Digitale Selbstverteidigung: Browser | AzubiBlog von Axians
Digitale Selbstverteidigung: Browser

Digitale Selbstverteidigung: Browser

Einfallstor fürs Internet

Unsere Haustüre trennt uns von unserem Zuhause und der Außenwelt – eine reale Welt, in der wir andere Menschen persönlich treffen, arbeiten und einkaufen gehen. Mit dem Internet heutzutage ist der Schritt aus der Haustüre hinaus nicht mehr zwingend notwendig (wenn auch empfohlen ;)). Über das weltweite Netz können wir von daheim aus arbeiten (Homeoffice), Einkäufe online erledigen (selbst Lebensmittel können in manchen Regionen aus dem Supermarkt direkt vors Haus geliefert werden) und mit Freunden kommunizieren – sei es über Text- oder Sprachnachrichten, Bilder, Videos, Anrufe oder Videotelefonie.

Was sich auf den ersten Blick fantastisch anhört, das möchte ich überhaupt nicht anzweifeln, birgt genauso Risiken. Beim Surfen im Netz verwenden wir am häufigsten einen Browser, sofern keine native App zum Einsatz kommt, der uns die Verbindung zwischen unserem gemütlichen Zuhause und den Diensten weltweiter Anbieter herstellt. Der Clou dabei: Genauso wie in unser Haus jemand durch die Haustüre einbrechen oder uns durch ein Fenster beobachten kann, so bietet der Browser eine große Angriffsfläche als Einfallstor fürs Internet. Webseiten können uns ebenfalls durch unterschiedlichste Trackingmethoden ausspionieren.

Seien wir mal ehrlich: Verlässt du dein Haus ohne die Haustüre abzuschließen? Ziehst du dich in deinem Zimmer um ohne die Vorhänge zuzuziehen oder einen anderen Sichtschutz?

Niemand möchte gerne beobachtet werden. Was (leider) sehr viele dabei übersehen: Im Internet sind wir viel angreifbarer und überwachbarer als Daheim, da vieles – für uns unsichtbar – unbemerkt im Hintergrund abläuft.

 

Tracking und JavaScript

Bereits in dem Beitrag „Digitale Selbstverteidigung: Pi-hole“ sind wir auf das Thema Tracking und Werbung auf Internetseiten eingegangen. Während diese erste Barriere eines DNS-basierten Blockierens von bekannten Domains mit Malware, Tracking oder Werbung ein guter Einstieg ist, so fängt diese längst nicht alles ab. Ein Gerät mit Pi-hole nimmt unseren Endgeräten wie Computer oder Mobilgeräten schon einiges an Last ab. Wovor es uns nicht schützen kann, ist auf Webseiten eingebundenes JavaScript von durch Pi-hole nicht herausgefilterten Domains.

Eine HTML-Seite ist ein digital strukturiertes Dokument, das einmal geladen grundsätzlich nicht mehr veränderbar ist. Für mehr Flexibilität wurde JavaScript entworfen, um die statischen Inhalte im Browser dynamisch verändern zu können. Typischerweise wird das zur Validierung von Formulareingaben, Anzeigen von Dialogfenstern oder Suchvorschlägen während der Eingabe eingesetzt.

So wie ein Hammer zum Arbeiten aber auch zum Einschlagen von Fenstern verwendet werden kann, hat auch JavaScript Schattenseiten: Die Werbe- und Trackingbranche kann dadurch Nutzer seitenübergreifend tracken und anhand verschiedener Merkmale (Fingerabdruck) wiedererkennen. Dabei können diese Informationen wie beispielsweise die verwendete Bildschirmauflösung, die Farbtiefe, eventuell im Browser installierte Add-ons oder verfügbare Schriftarten erfasst werden. So können diese Branchen über uns plattform- und geräteübergreifend detaillierte Nutzungs- und Bewegungsprofile erstellen. Mit dem Projekt Panopticlick der Electronics Frontier Foundation könnt ihr euren Browser im aktuellen Zustand einmal testen.

Am Rand kurz angemerkt: Ein Großteil der Sicherheitslücken im Browser steht oft im engen Zusammenhang mit JavaScript.

 

Basisschutz im Browser

Ich möchte euch Tipps an die Hand geben, wie ihr eurem „virtuellen Tor in die Außenwelt“ – dem Browser – ein Schloss einbaut und ein paar Vorhänge aufhängt. Dazu benötigen wir einen Browser, der in der Lage ist, unsere Privatsphäre und Sicherheit im Internet bestmöglich zu schützen. Das kann meiner Meinung nach kein Browser so gut wie Firefox (einschließlich Add-ons) von Mozilla. Da kein Browser, Firefox eingeschlossen, im Auslieferungszustand unserem Anspruch entspricht, werden wir ein paar Anpassungen der Einstellungen vornehmen und zusätzliche Add-ons installieren müssen. Um den Rahmen des Beitrags nicht zu überspannen, habe ich zu den einzelnen Themen wertvolle Beiträge recherchiert, welche ich euch nachstehend zur Umsetzung der einzelnen Punkte und darüber hinaus auch die dahinterstehenden Seiten insgesamt empfehlen möchte. So wird an mehreren Stellen auf den Kuketz IT-Security Blog und das Privacy-Handbuch verwiesen.

Adblocker: uBlock origin (Firefox Add-ons)
Ein Werbeblocker ist ein absolutes Muss und gehört eigentlich schon zur Grundausstattung. uBlock origin ist ein beliebter Adblocker, der quelloffen, ressourcenschonend und zeitgleich äußerst effektiv beim Filtern von Werbung, Trackern, Social-Media-Buttons und weiterem ist. Anhand unterschiedlichster Filterlisten können tausende Filter angewendet werden. Während damit auch die Ausführung von JavaScript blockiert werden kann, empfiehlt sich das eher auf NoScript auszulagern.

Lokales CDN: Decentraleyes (Firefox Add-ons)
Viele Webseitenbetreiber binden JavaScript-Ressourcen von externen Diensten ein, sogenannten Content Delivery Networks, um eine möglichst schnelle Auslieferung dieser meist bandbreitenintensiven Dateien zu erreichen. Diese CDN-Anbieter erhalten beim Abruf der Ressource persönliche Informationen von uns, wie der IP-Adresse oder den Fingerabdruck unseres Endgeräts. Sofern durch Pi-hole oder uBlock origin gefiltert, kann die Ressource sogar blockiert sein. Decentraleyes vermeidet diese Anfragen an Dritte, indem es bekannte Bibliotheken lokal bereitstellt und ergänzt somit bereits vorhandene Blocker.

„Entschärfte“ URLs: Neat URL (Firefox Add-ons)
Neat URL reinigt URLs und entfernt Tracking-Parameter wie „utm“ von Google Analytics. Ein Parameter startet in der URL mit einem „?“. So würde die URL https://ausbildung.axians.de/?s=digitale+selbstverteidigung&utm_source=axians.de&utm_medium=referral&utm_campaign=Axians-aSTUbiBlog nach der Bereinigung so aussehen: https://ausbildung.axians.de/?s=digitale+selbstverteidigung. Der eigene Nutzen beim Einsatz zusätzlicher Add-ons müssen wir für uns selbst abwägen. Für weitere Empfehlungen möchte ich euch diese Übersicht nahelegen.

 

Fragen über Fragen…

Einer unserer Leser hat auf den einleitenden Beitrag der Beitragsserie ein paar Fragen im Kommentarbereich geäußert. Pauschal lässt sich keine eindeutig gültige bzw. im Alltag umsetzbare Antwort geben. Dennoch möchte ich basierend auf meiner Meinung kurz darauf eingehen:

 

Welche Einstellungen im Browser könnten gemacht werden?

Im Browser gibt es viele Einstellungen. Vor allem die verborgene Seite „about:config“ in Firefox bietet erfahrenen Anwendern eine Feinjustierung der Einstellungen an die eigenen Bedürfnisse. Dabei könnten wir soweit gehen, dass der Browser im Alltag unbrauchbar wird, da zu umständlich oder beschränkt eingestellt. Mit einem guten Gleichgewicht zwischen Bequemlichkeit und Sicherheit kann das Tor ins Internet nach eigenem Gefühl eingestellt werden. An dieser Stelle möchte ich auf das Kapitel „Spurenarmes Surfen“ vom Privacy-Handbuch und insbesondere dessen Zusammenfassung mit den Einstellungen fürs Firefox-Profil als user.js Datei verweisen.

 

Bringt mir das „private Fenster“ im Browser irgendetwas?

Der „Private Modus“, teilweise auch als „Inkognito“ bezeichnet, kann die eigenen Surfaktivitäten vor anderen Personen verbergen, die den gleichen Browser am selben Computer wie wir verwenden. Damit ist gemeint, dass Cookies, die Chronik, der lokale Cache und Passwörter nur temporär zwischengespeichert werden, solange das private Fenster geöffnet ist. Nach Schließen des Fensters werden diese Daten gelöscht. Heruntergeladene Dateien oder angelegte Lesezeichen bleiben davon unberührt. Dadurch werden wir jedoch online nicht „unsichtbar“.
Während Firefox mittlerweile zusätzlich einen Basis-Trackingschutz standardmäßig im privaten Modus aktiv hat, können Webseiten weiterhin Informationen zu den von uns besuchten Seiten sammeln. Selbst wenn wir nicht angemeldet sind. Dasselbe gilt auch für unseren Internetanbieter: So kann das Unternehmen, bei dem wir Arbeiten, oder der Anbieter unseres Internetanschlusses daheim überwachen, welche Webseiten wir besuchen.
Mögliche Maßnahmen wären der Einsatz eines vertrauenswürdigen VPN-Anbieters bzw. eines selbst aufgesetzten VPN und andere DNS Server zu verwenden. (Letzteres ist, je nach Konfiguration, bereits weitestgehend durch Pi-hole abgedeckt.)

 

Wie kann ich verhindern, dass Google weiß was ich letzte Woche gesucht habe?

Die einfachste Antwort wäre: Vermeide Google komplett. Durch Blockieren aller IP-Adressen von Google durch Pi-hole wäre das umsetzbar. (JA, das ist möglich!) Mit dem Nachteil, dass ein Großteil des Internets nicht mehr funktioniert, da viele Webseiten und Apps Google Dienste in ihr Angebot einbinden.
Ein anderer Ansatz, der zwar nicht ganz so effektiv, aber dennoch wirksam ist: Verwende eine andere Suchmaschine als Google.

 

 

Was kann ich ggf. an nützlichen Tools auf meinem privaten PC/Notebook installieren?

Zunächst sei angemerkt, dass jede zusätzliche Software, seien es Anti-Viren-Software oder „Cleaner“-Apps für das Smartphone, zusätzliches Risiko mit sich bringt. Je mehr Code auf dem Gerät vorhanden ist, desto höher ist die Wahrscheinlichkeit einer Sicherheitslücke und größer die Angriffsfläche.
Anstatt uns zu fragen, mit welcher Software, die wir einmal „kurz“ installieren und dann vergessen möchten, wir uns schützen können, sollte der Fokus auf etwas anderem liegen: regelmäßiges Einspielen von Sicherheitsupdates, den gesunden Menschenverstand einschalten (Stichwort Phishing-Mails, Sicherheitswarnungen des Browsers, E-Mail Anhänge unbekannter Absender, Social Engineering, etc.), Systemhärtung (Prinzip „KISS“ – Reduzieren auf das Wesentliche) und das Stärken des eigenen Sicherheitsbewusstseins sowie das der Menschen in unserem Umfeld.

 

Fazit

Wir können noch so viele Sicherheitsmaßnahmen, Passwörter, Firewalls, Zugangskontrollen, et cetera haben: Wenn der Mensch einen auf dem Parkplatz gefundenen USB-Stick in den Computer steckt, Passwörter aufgeschrieben an den Bildschirm heftet, Firewalls mit Proxys und VPNs o.ä. umgeht, Zugangskarten für die Kontrolle an der Türe leichtfertig rumliegen lässt, den Bildschirm bei Verlassen des Arbeitsplatzes oder Weglegen des Smartphones nicht sperrt… dann hat all das kaum Wirkung.

Denk daran: Die größte Schwachstelle ist immer der Nutzer.

Letztendlich steht es uns allen selbst frei, ob die eigenen Daten „freiwillig“ mit Internetgroßkonzernen im Tausch für freie Dienste geteilt werden oder ob wir uns um unsere Privatsphäre sorgen und durch gezielte Maßnahmen zumindest versuchen, die Hoheit über unsere eigenen Daten zurückzuerlangen und für deren Schutz zu sorgen.

1 Kommentare

  1. Avatar
    April 12, 2019

    Toller Beitrag, Tobi!

    Danke an das ganze BLOG-Team! 🙂

    Reply

Leave a comment

Sicherheitsschutz: Bitte trage die unten erfragten Ziffern in das Feld ein. *