© Elnur Amikishiyev, 123RF.com

Jeder Internetnutzer hinterlässt zahlreiche Spuren, aus denen Google & Co. umfangreiche Anwenderprofile erstellen und bereitwillig weitergeben. Die Datenkraken nicht mehr füttern und so die eigenen Mitarbeiter und die Firma schützen — das stellt Administratoren vor eine schwierige Aufgabe.

Müssen zum Frühstück frische Brötchen her, liefert Google zum Stichwort “Bäckereien” prompt passende Adressen aus der näheren Umgebung (Abbildung  1). Das funktioniert, weil Google anhand der IP-Adresse weiß, in welcher Stadt der Frühaufsteher sitzt. Google kennt sogar seine Vorlieben für Bio-Produkte – über die hat er schließlich bei Google+ ausgiebig berichtet – und kann ihm deshalb lokale Bio-Bäckereien vorschlagen.

Datenkraken bei der Arbeit

Was zunächst verführerisch bequem klingt, birgt jedoch mehrere Gefahren: Google & Co. erstellen immer detailliertere Profile ihrer Kunden. Mit denen können sie einem Nutzer maßgeschneiderte Werbung zeigen und ihn leichter und vor allem immer häufiger zum Kauf verleiten. Des Weiteren unterschlägt die Suchmaschine viele andere Treffer. Der hungrige Frühaufsteher erfährt so vielleicht gar nicht, dass es in seiner Nähe ein kleines Bistro gibt.

Eli Pariser bezeichnet diese Abschottung als “Filter Bubble”, in die sich alle Suchmaschinennutzer zwangsweise begeben [1] und die erfolgreich verhindert, dass der Suchende Ergebnisse erhält, die außerhalb seiner Erfahrungen und Vorlieben liegen. Das genaue Gegenteil mag ebenfalls ein Problem werden, wenn Google beispielsweise falsch kombiniert und einem Mann plötzlich Werbung für Damenbinden präsentiert.

All dies betrifft nicht nur Privatpersonen, sondern auch Mitarbeiter in Unternehmen. Die werden unter Umständen beobachtet, während sie auf die Webseiten der Konkurrenz zugreifen. Google enthält ihnen womöglich interessante Neuheiten vor, weil die Mitarbeiter einen Hersteller in der Vergangenheit mehrfach mit “Mag ich nicht” bedacht haben. Nicht wenige Unternehmen geben die Daten wohl auch an Geheimdienste weiter [2], was Industriespionen Tor und Tür öffnet.

Langzeitgedächtnis

Dieser Artikel zeigt, welche gezielten Maßnahmen Administratoren treffen können, um Unternehmen und Mitarbeiter vor den Datenkraken, aber auch vor der Filter Bubble zu schützen. Die wichtigste Rolle beim Datensammeln spielen Browser: Dank hinterlegter Identifikationsnummern in Cookies, Flash-LSO (Local Shared Objects) und dem Webstorage [3] erkennen die Tracker fast jeden Nutzer wieder.

Sofern im Unternehmen kein Browser vorgeschrieben oder noch keiner festgelegt ist, sollte die Wahl auf einen Vertreter fallen, der möglichst umfassende Konfigurationsmöglichkeiten bietet. Einen Vergleich aktueller Browser im Hinblick auf die Schaffung von Anonymität liefert die “Bitparade” in diesem Heft.

Für Unternehmen erweist sich Firefox als guter Kompromiss: Die meisten Distributionen bringen ihn bereits mit, was dem Admin die Wartung sehr vereinfacht. Da die Einstellungen in Form von Textdateien vorliegen, lassen sie sich leicht verändern und nachträglich auf alle Systeme im Unternehmen verteilen. Zahlreiche Erweiterungen erlauben fast komplett anonymes Surfen.

Angriffsziel Browser

Noch bevor die Nutzer zum ersten Mal ins Netz gehen, sollten Administratoren die standardmäßig recht auskunftsfreudigen Browser in ihrem Einstellungsdialog stumm schalten. Der erfahrene Stratege schaltet erst einmal alle problematischen Funktionen ab und definiert Ausnahmen für einzelne Websites (siehe Kasten “Firefox anonymisieren”).

Wenn möglich sollten Administratoren zunächst eine lokale Startseite einstellen und eine weniger datenhungrige Suchmaschine einstellen. Als Alternative eignen sich besonders Meta-Suchmaschinen wie Ixquick ([4], Abbildung 2), die anonym andere Suchmaschinen anzapfen. Zumindest bei Ixquick erhöht das die Suchzeiten nur unmerklich.

Abbildung 2: Die niederländische Meta-Suchmaschine Ixquick verspricht anonyme Suchanfragen bei angenehmen Reaktionszeiten.

Suchmaschinen sammeln alle Informationen, die sie vom Browser bekommen können. Neben der Browserkennung sind das auch diverse Einstellungen – darunter etwa die Javascript-Version und die zur Verfügung stehenden Schriftarten. Aus diesen Daten erstellen die Suchmaschinen einen digitalen Fingerabdruck, über den sie die Browser-Installation – und somit den Nutzer – erstaunlich gut wiedererkennen. Viele Infos sind dazu nicht notwendig: Eine Seite der EFF verrät, wie häufig die eigene Browser-Konfiguration im Internet auftaucht [5].

Stumm geschaltet

Administratoren erhöhen folglich die Anonymität, indem sie den Nutzern möglichst identische Systemkonfigurationen bereitstellen und den Browser anweisen wenig über sich preiszugeben. Insbesondere gilt es, die Browserkennung zu unterdrücken, wozu meist eine Browser-Erweiterung oder ein Proxy notwendig sind. Interessant an den Ergebnissen auf Abbildung 3 sind die weiter unten abgefragten Informationen. Sie eignen sich gut für Tests der Konfiguration.

Abbildung 3: Die Standardkonfiguration von Firefox unter Open Suse 12.3 ist unter mehr als 2 Millionen getesteten Installationen eindeutig erkennbar.

Komplett deaktivieren können Administratoren die im Alltag meist überflüssige Browser-History sowie die nur selten benötigte Standortabfrage über das Geo-Location-API [6].

Damit Google & Co. keine Identifikationsnummern im Browser ablegen, gilt es, Cookies, Flash und neuere Speichermethoden wie Webstorage oder Web-SQL abzuschalten. Wer Javascript blockiert, verhindert das unbefugte Auslesen weiterer Daten (etwa der Fenstergröße) sowie den Zugriff auf den Webstorage.

Unbedingt unterdrücken sollten die Admins das standardmäßige Öffnen von Pop-up-Fenstern, die meist nur Werbebanner enthalten, sowie die Darstellung von “Gefällt mir”-Buttons, Webfonts und Webbugs. Letztere bestehen aus 1 mal 1 Pixel großen, meist leeren Bildern, deren einziger Zweck im Tracken des Users besteht. In solchen Fällen erhalten die Anbieter schon durch das Abrufen der Grafik oder Schriftart Informationen über den Nutzer, die zum Beispiel verraten, welche Seite er gerade betrachtet.

Während die meisten Browser Pop-up-Fenster blockieren können, müssen Admins Webbugs und “Gefällt mir”-Knöpfen mit separaten Erweiterungen zu Leibe rücken. Werbefilter blockieren mittlerweile sehr erfolgreich fast alle Banner aus Werbenetzwerken wie dem von Google. Sie verhindern, dass der Suchmaschinenriese auch jenseits seiner eigenen Seiten Nutzer verfolgt. Addons wie Ghostery oder Better Privacy (beide im Firefox-Addon-Store) leisten dabei gute Dienste.

Generell gilt: Erweiterungen und Plugins sollten nur dann aktiv sein, wenn eine Webanwendung sie auch wirklich benötigt. Das gilt insbesondere für Flash, das äußerst hartnäckige, Cookie-ähnliche Local Shared Objects speichert, um die sich wiederum separate Lösch-Tools wie Better Privacy kümmern müssen.

Do not track!

Umstritten ist derzeit noch der Nutzen der Do-not-track-Funktion. Dabei bittet der Browser die Webanwendung, seinen Nutzer nicht zu überwachen. Es gibt jedoch insbesondere in den USA kein Gesetz, das den Server dazu verpflichtet. Da sich deshalb nur wenige Seiten daran orientieren, ist die Funktion in der Praxis weitgehend nutzlos.

Wenn möglich sollten Administratoren den privaten Modus erzwingen oder den Browser entsprechend konfigurieren (Abbildung 4). Damit gehen insbesondere Cookies beim Beenden des Browsers verloren. Zusätzlich sollten Administratoren den Browser dazu anweisen, beim Beenden alle angefallenen Daten zu löschen (Better Privacy hilft hierbei).

Abbildung 4: Je nach Browser sind die Datenschutzeinstellungen über mehrere Register – mitunter auch Fenster – verteilt.

Abschließend sollten Admins ihren Nutzern das Eintragen eigener DNS-Server verbieten. Beliebt sind vor allem die DNS-Server von Google (IP-Adressen 8.8.8.8 und 8.8.4.4), weil sie angeblich ein paar Millisekunden schneller reagieren und nicht zensiert werden. Im Gegenzug registriert Google jedoch jede Anfrage. Idealerweise sollten Admins vertrauenswürdige DNS-Server vorgeben und die IP-Adressen fragwürdiger DNS-Server über die Firewall blockieren.

Das Erstellen von Ausnahmeregeln ist in der Praxis mitunter recht aufwändig. Müssen sich die Mitarbeiter frei im Internet bewegen, sollten Javascript und Cookies aktiviert bleiben und Browser-Erweiterungen die Anonymität erhöhen. Unter Firefox weist etwa Noscript [8] neugierige Javascript-Funktionen in ihre Schranken.

Erweiterungen sind zudem immer dann eine Empfehlung, wenn dem Browser Funktionen fehlen. So rüstet etwa Adblock Plus [9] unter Firefox, Chrome und Opera einen Werbefilter nach (Abbildungen 5 und 6), das angesprochene Better Privacy [10] löscht alle Daten am Ende einer Browsersitzung, Ghostery [11] informiert über Schnüffelversuche von Webseitenbetreibern und unterdrückt sie auf Wunsch.

Abbildung 5: Ärgerlich für Webmaster: Aus einer Seite mit Werbebannern …

Abbildung 6: … machen Noscript und Adblock eine auf den Inhalt reduzierte.

Bevor die Suchanfrage an Google das Unternehmen verlässt, sollte sie eine Filtersoftware noch einmal unter die Lupe nehmen und dabei Cookies, die Browserkennung und andere persönliche Daten entfernen. Ein beliebter Filter, der genau das erledigt, ist Privoxy [12], der in den Repositories vieler Distributionen liegt. Wie die meisten seiner Kollegen arbeitet er als Proxy, nimmt also Netzwerkverkehr entgegen, manipuliert ihn und schickt ihn dann ins Internet. Diese Arbeitsweise hat den Vorteil, dass Administratoren in den Browser-Einstellungen lediglich Privoxy als Proxy eintragen müssen. Proxys, die den Netzwerkverkehr anonymisieren, nennt man Anonymous oder Elite Proxys. Privoxy kann direkt auf den Rechnern der Mitarbeiter laufen, besser ist aber ein dedizierter Server oder gar die Kombination mit einem vorhandenen (Squid-)Proxy [13].

So ein Elite Proxy ist verlockend, weil Administratoren seine Nutzung erzwingen können (wenn er auf einem eigenen Server werkelt). Welche Informationen Privoxy streichen oder austauschen soll, bestimmen Regelsätze, deren Aufbau jedoch viel Fingerspitzengefühl erfordert. Filtern Administratoren zu stark, indem sie etwa alle Cookies eliminieren, funktionieren unter Umständen viele Webanwendungen nicht mehr. Die Mitarbeiter haben dann keine Chance, dies selbst zu ändern. Bei Privoxy kommt hinzu, dass die Einstellungen recht kryptisch aufgebaut sind, was eine entsprechende Einarbeitung erfordert.

Eine gute Idee ist es, einen einfachen Squid-Proxy für den gesamten Webtraffic zu verwenden. Er kann den Benutzern über dedizierte Regeln entweder für einzelne Webseiten Anonymität verschaffen oder sie für bestimmte URLs von der erzwungenen Namenlosigkeit ausnehmen. Squid bietet hier viele Möglichkeiten bis hin zur Active-Directory-Integration mit User-, Gruppen-, Protokoll-, Port- und URL-basierten Regeln.

Wer seinen Anwendern die Wahl überlassen will oder muss, schafft Abhilfe mit Browser-Erweiterungen und Policies, also mit Vorgaben wie “Diese Seiten bitte nur anonymisiert aufrufen”. In diesem Fall schalten die Nutzer den Proxy nach Bedarf ein und aus und wechseln zwischen mehreren Proxys hin und her.

Einige dieser Extensions wählen den passenden Proxy anhand der aufgerufenen URL sogar automatisch (Abbildung 7). So fließen dann beispielsweise beim Aufruf von »www.google.de« alle Daten über Privoxy, im Fall von »www.example.com« kommuniziert der Browser direkt mit der Seite. Eine solche automatische Umschaltung beherrscht beispielsweise Foxyproxy Standard für Firefox und Chrome [14]. Die Automatik hat zudem den Vorteil, dass Mitarbeiter das Umschalten nicht vergessen – wie im oben genannten Beispiel mit dem Squid-Proxy.

Abbildung 7: Foxyproxy kann automatisch zwischen verschiedenen Proxys wechseln.

Noch mehr Anonymität?

Aber selbst wenn der Browser keine Informationen mehr herausrückt, erfahren Google & Co. immer noch die IP-Adresse des anfragenden Rechners. Über sie lässt sich unter anderem der Standort des Nutzers herausfinden. Besitzt das Unternehmen fest zugewiesene IP-Adressen, kennen die Webanwendungen sogar das Unternehmen und können im schlimmsten Fall einen Mitarbeiter der Konkurrenz anhand seiner IP-Adresse zuverlässig identifizieren.

Die IP-Adresse verschleiern so genannte Webproxys. Sie stellen eine Internetseite bereit, auf der ein Anwender die gewünschte URL eintippt. Der Webproxy ruft dann stellvertretend diese Adresse auf und liefert die Webseite an den Nutzer aus. Webproxys sind bequem, da sie keine Konfiguration benötigen, in der Vergangenheit verschwanden viele von ihnen allerdings immer wieder urplötzlich. Einer der wenigen beständigen deutschsprachigen Webproxys ist Anonymouse ([15], Abbildung 8), eine halbwegs aktuelle Liste führt das Electronic Privacy Information Center (unter [16] im Abschnitt »Surf Anonymously« ).

Abbildung 8: Anonymouse verspricht die eingetippte URL anonym anzufordern.

Offene Proxys: Finger weg!

Neben den Webproxys gibt es noch komplett offene Proxys, die einfach den ganzen Netzwerkverkehr weiterleiten. Die besseren entfernen dabei auch gleich noch verräterische Informationen, etwa eine Browserkennung. Doch auch sie verschwinden so schnell vom Markt wie neue hinzukommen. Eine recht aktuelle Liste führt unter anderen Public Proxy Servers [17]. Die entsprechenden Daten eines offenen Proxys müssten Administratoren entweder in den Browsern hinterlegen oder aber den Firmen-Proxy auf den offenen umbiegen.

Das klingt verführerisch: Web- und offene Proxys sind schnell eingerichtet (Abbildung 9) und bequem zu nutzen. Doch Vorsicht: Der Betreiber des Proxys kann den kompletten Datenverkehr einsehen und mitschneiden. Schlimmer noch: Die Proxys können mühelos schadhaften Code in die zurückgelieferten Seiten einschleusen. Darüber hinaus verzögert ein Proxy die Anfrage und reduziert unter Umständen die Bandbreite.

Abbildung 9: Um einen (anonymen) Proxy zu nutzen, sind nur die entsprechenden Einstellungen im Browser erforderlich.

Die Verschleierung funktioniert zudem nur dann wirksam, wenn möglichst viele verschiedene Personen den Proxyserver nutzen. Durch die so erzeugte Last verringert sich allerdings die Bandbreite, die Geschwindigkeit sinkt. Nicht zuletzt werfen Proxys Datenschutzprobleme auf, da in diesem Fall Unternehmensinterna und persönliche Daten der Mitarbeiter über Dritte fließen.

Es gibt Browser-Erweiterungen, die nach einiger Zeit automatisch den Proxy wechseln. Damit sehen die einzelnen offenen Proxys zwar immer nur einen Ausschnitt des Netzwerkverkehrs, die Grundprobleme bleiben jedoch weiterhin bestehen. Web- und offene Proxys eigenen sich folglich nicht für den Unternehmenseinsatz.

Zwiebelschalen

Wenn die Nutzung einzelner Proxys bedenklich ist, bietet es sich an, die Daten zu verschlüsseln und zusätzlich dazu mehrere Proxyserver hintereinanderzuschalten. Nach diesem Zwiebelschalenprinzip arbeitet das Tor-Projekt [18]: Zunächst sendet der Browser seine Anfrage an einen so genannten Onion-Proxy. Dieses Programm besorgt sich bei einem speziellen Verzeichnisserver eine Liste mit Routern, die dem Tor-Projekt zur Verfügung stehen und die eigentliche Weiterleitung der Daten übernehmen.

Der Onion-Proxy wählt dann eine Kette aus mehreren Routern aus, mit denen er jeweils einen geheimen Schlüssel vereinbart. Anschließend chiffriert er die eigentliche Nachricht nacheinander mit allen Schlüsseln und schickt das erst einmal unleserliche Ergebnis an den ersten Router. Dieser dechiffriert die Nachricht mit seinem Schlüssel und sendet das Ergebnis an den zweiten Router, der wiederum das Datenpaket mit seinem Schlüssel entschlüsselt. Wie beim Schälen einer Zwiebel entfernt jeder Router eine Verschlüsselungsschicht.

Tor! Aber auf Japanisch?

Nur der letzte Router in der Kette (der so genannte Exit Node) sieht schließlich die Nachricht im Klartext und stellt sie zu. Genau dieser Router könnte aber auch wie ein offener Proxy die Daten im Klartext mitschneiden und verändern. Um das zumindest etwas zu erschweren, wechselt der Onion-Proxy regelmäßig die beteiligten Router. Außerdem erhöhen die Weiterleitung und Verschlüsselung die Latenz – auch wenn die Entwickler von Tor versucht haben, möglichst effiziente Verfahren zu wählen.

Und es gibt noch ein Problem: Steht der letzte Onion-Proxy in Japan, geht Google unter Umständen davon aus, dass auch der Nutzer in Nippon sitzt, und präsentiert seine Seiten mit japanischen Schriftzeichen. Googles Suchseite lässt sich vermutlich auf eine andere Sprachfassung umstellen, bei anderen Diensten klappt das unter Umständen nicht.

Wie der Name schon andeutet, arbeitet der Onion-Proxy mit Schichten hintereinandergeschalteter Proxys. Tor liegt in den Repositories der meisten Distributionen, bei der Konfiguration hilft das GUI Vidalia (Abbildung 10), das auch unter Windows und Mac OS X läuft [19].

Abbildung 1: Google schlägt ausschließlich Bäckereien aus Lüdenscheid vor, da es den Nutzer dort vermutet – und liegt damit rund 45 Kilometer daneben.

Abbildung 10: Das Management-Tool von Vidalia aus dem Tor Browser Bundle ist selbsterklärend.

Für Einzelplatzrechner stellt das Tor-Projekt zudem ein Paket aus Tor, Vidalia und einem vorkonfigurierten Mozilla Firefox in einer älteren ESR-Fassung bereit. Die Tools aus dem Bundle [20] liefern Zusatzinformationen, etwa die Anonymisierungskette auf einer grafischen Karte (Abbildung 11). Zugleich warnt das Tor-Projekt davor, Browser-Plugins wie Flash und Java einzusetzen, weil diese unter Umständen eine direkte Verbindung am Proxy vorbei aufbauen.

Abbildung 11: Zweimal USA und zurück, aber vielleicht auch via Japan: Tor.

Wer zusätzlich Privoxy nutzen will, um seine User zu schützen, muss den Elite- unbedingt noch vor den Onion-Proxy setzen, da Privoxy ansonsten nur noch verschlüsselte Pakete sieht. In den Browsern müssen Administratoren in den Proxy-Einstellungen die Daten des Onion-Proxys eintragen.

Neben Tor gibt es weitere Projekte, die nach einem ähnlichen Prinzip arbeiten. Bekanntestes Beispiel ist das deutsche Jon Donym, das aus dem AN.ON-Projekt hervorgegangen ist [21]. Da es ähnlich wie Tor arbeitet, gelten hier die gleichen Einschränkungen. Auch bei kostenpflichtigen VPN-Diensten muss das Unternehmen dem Anbieter des VPN vertrauen und Geschwindigkeitseinbußen durch die Verschlüsselung hinnehmen. Zudem sieht Google dabei nur eine andere IP-Adresse, das Filtern der Daten muss der Admin separat erledigen.

Nur theoretisch anonym?

Eine gänzlich anonyme Internetnutzung ist wohl nur theoretisch zu erreichen. Tor und (offene) Proxyserver dürften für Unternehmen in der Praxis ausscheiden: Die Lösungen sind zu langsam und zu unsicher für den Alltag und lösen nicht das Problem der Datenschnüffelei durch den Betreiber einer Webseite oder Suchmaschine. Der wichtigste Schritt, den Browser komplett stumm zu schalten, kostet Mühe und benötigt je nach Browser viele Erweiterungen. Zudem setzen viele Webanwendungen aktiviertes Javascript und Cookies voraus, was Ausnahmeregelungen erfordert.

Nicht zuletzt sind Administratoren machtlos, wenn ihre Benutzer fleißig und ohne Zwang auf Google+ oder Facebook Daten preisgeben. Hier helfen nur Unternehmensrichtlinien, passende Firewallregeln und vor allem eine Sensibilisierung der Mitarbeiter.