Business-Mann isst Keks und runzelt die Stirn. Aussage: Nicht jeder Keks ist ein Genuss: Cookies (engl. "Kekse") speichern unseren Browserverlauf und vieles mehr.
Nicht jeder Keks ist ein Genuss: Cookies (engl. „Kekse“) speichern unseren Browserverlauf und vieles mehr. Auf geschäftlich genutzten Rechnern kann das ein Sicherheitsrisiko darstellen.

 

Sicherheit, Datenschutz und Anonymität sind wichtige Werte in unserem Leben. Geschäftlich, aber auch privat. Wie schnell haben wir uns daran gewöhnt, dass wir Cookies akzeptieren, hilfreiche Zusatzsoftware und Erweiterungen (Extensions) in unserem Browser installieren und unsere Social-Media-Profile nutzen (womit wir eingeloggt und damit identifizierbar sind). Angemeldet bei Google und Facebook browsen wir durch die Welt, doch wir sind Klick für Klick nicht mehr anonym, sondern werden auf Schritt und Tritt getrackt.

Wie wichtig ist Anonymität – im Beruf und Privatleben?

Cookies zeigen Profil in der Browserhistorie
Cookies zeigen Profil in der Browserhistorie

Wie oft ist es mir schon passiert, dass ich erst auf Amazon war und danach auf Facebook eine Werbung für genau die Schuhe gesehen habe, die ich mir gerade auf der anderen Plattform angeschaut habe. Für das Ausspielen der Amazon-Anzeige nutzt Facebook Daten über mein Surfverhalten. Sie kommen aus einer kleinen Textdatei, einem sogenannten Cookie, das Amazon vorher meinem Browser „untergeschoben“ hat und das jetzt dort gespeichert ist.

Welche Auswirkungen kann das Auslesen von Cookies und damit der Browserhistorie haben? Inwieweit bin ich persönlich identifizierbar? Was verraten meine zuletzt besuchten Websites, wenn ich in einem Social Network aktiv bin? Kann das meine private und auch die Sicherheit meiner Firma gefährden?

Immerhin nutzen viele Freiberufler ihre Arbeitsmittel auch für den privaten Bereich. Oder in der Firma darf in der Mittagspause privat gesurft werden. Vieles lässt sich auch gar nicht sauber trennen. Es gibt viele Überschneidungen.

Beim normalen, also „unbedachten“ Surfen im Internet herrscht keine Anonymität. Ob es Cyber-Kriminelle oder Geheimdienste, Marketingunternehmen oder andere Datensammler sind: Alle wollen wissen, wo und wie man sich im Internet bewegt.

IP-Adresse, Cookies, DOM-Cookies, Super-Cookies

Die Datensammelei beginnt mit der Erfassung der IP-Adresse und geht weiter über die unterschiedlichen Cookies. Flash Cookies, auch Super-Cookies genannt, werden vom Flash-Player verwaltet und überleben auch einen Browserwechsel. DOM-Cookies (Domain-Speicherobjekte) geben weitreichende Informationen und wirken wie ein Fingerabdruck Ihres Browsers.

Maßnahmen: Sie können Ihre echte IP-Adresse verbergen (über saubere VPN-Verbindungen) und Cookies nicht ausnahmslos aus Bequemlichkeit akzeptieren. Zudem können Sie die meisten Cookies regelmäßig wieder löschen. Auf einen Flash-Player könnte man verzichten oder ihn richtig konfigurieren.

Viele Cookies sind für Sie als Nutzer komplett verzichtbar: Einzig auf Session-Cookies kann man während Sitzungen mit Login nicht verzichten. Der Login-Bereich funktioniert dann nicht mehr richtig, wenn Sie der entsprechenden Website das Nutzen von Cookies nicht erlaubt haben. Doch hinterher können Sie auch solche Session Cookies wieder löschen.

Privater Browsermodus, Browser Addons Scriptschutz

Einen zusätzlichen Schutz bietet der Inkognito-Modus, also das „private Surfen“. Doch darf man sich im Private-Surfing-Modus noch nicht vollumfänglich sicher fühlen, vor allem, wenn man noch mit der eigenen IP-Adresse (ohne VPN) surft. Weitere Gefahren sind Javascripte und die oben erwähnten Flash-Objekte.

Bringt ein Browser Addon Schutz? Ja und Nein, denn man muss wissen, was der Addon-Anbieter mit den Daten anstellt, die automatisch erfasst werden. In welche Hände gelangen die Daten? Ich erinnere an den WOT-Fall, in dem die Browserverläufe gesammelt und verkauft wurden.

Weitere Maßnahmen: Im eigenen Browser das Zulassen von Skripten auf das Minimum reduzieren. Alle Addons prüfen, ob sie wirklich notwendig sind; unnötige Addons unbedingt löschen und nur Addons von vertrauenswürdigen Anbietern einsetzen. Alle Skripte komplett zu deaktivieren ist leider auch nicht die Lösung, denn die allermeisten Websites werden damit so gut wie unbenutzbar.

Die Browserhistorie ist eine Sicherheitslücke hinsichtlich der Anonymität

Wer auf Anonymität Wert legt, sollte sich diese Daten nicht „stehlen“ lassen. Denn die Browserhistorie enthält immer die Spuren der eigenen Identität. Teilweise ist der Verlauf der besuchten Webseiten so eindeutig, dass man mit Tools und Algorithmen genau die dahintersteckende Person ausfindig machen kann.

 

Screenshot Browserhistorie

Hier ein kleiner Auszug meiner Browserhistorie. Man sieht, dass ich Google und Facebook nutze, dass ich nach dem Titelbild dieses Artikels recherchiert habe und dann diesen Artikel weiter bearbeitet habe. Die ganz persönlichen Web-Adressen habe ich sicherheitshalber herausgelöscht. Denn dort hätte man sehen können, dass ich auf meinem Twitter-Profil war, dass ich von dort auf einen Link aus meiner Timeline geklickt habe. Danach bin ich wieder auf mein Facebook-Profil gegangen und habe diesen Link geteilt. Und so weiter …

Wenn ich jetzt auf weitere Webseiten gehe, schließt sich der Kreis. Ich werde als Nutzer nicht mehr anonym sein, denn es kann anhand meiner Browserhistorie ein ausführliches und eindeutiges Personenprofil von mir erstellt werden.

Die Studie „De-anonymizing Web Browsing Data with Social Networks“ deckt auf

Die Studie der Stanford University (PDF) ist interessant, wenn man über Cyber-Security sowie Anonymität in Unternehmen – und auch im Privathaushalt – reflektieren möchte.

Eine Browserhistorie wird ja sogar von einigen Nutzern bereitwillig zur Verfügung gestellt, wenn sie dafür „belohnt“ werden. Eine Falle, in der man beispielsweise bei der Installation eines Addons landen kann – siehe oben. Die Probanden stellten ihre Browserhistorie freiwillig zur Verfügung, gaben jedoch keine Daten zur Person an. Der Algorithmus der Universität ermittelte in 72 Prozent der Fälle das korrekte Twitter-Profil (bei 374 Teilnehmern). Schon 30 geklickte Links der Browserhistorie reichten aus, um mit fünfzigprozentiger Sicherheit den Twitter-Account herauszufinden.

Die automatisierte De-Anonymisierung hat zwar ihre Grenzen, doch ist gleichermaßen bedenklich, dass angeblich anonyme Tracking-Cookies gesammelt werden, die konkreten Personen zugeordnet werden können.

Was tun, um die Anonymität im Internet zu wahren?

Anonym im Internet zu surfen ist eine Herausforderung. Ein Komfort- und Geschwindigkeitsverlust entsteht dabei leider fast immer. Wir sind zwar auf dem Weg, dass wir alles möglichst synchron, überall verfügbar und always on haben möchten, doch sollten wir dabei den Sicherheitsaspekt nicht außer Acht lassen.

Muss man wirklich mit einem Rechner, auf dem die Buchhaltungssoftware läuft, Kundendaten gespeichert sind und vieles mehr, ins Internet gehen? Lässt sich das vermeiden? Kann man eventuell mit zwei unterschiedlichen Desktops/Identitäten/Logins auf dem Rechner arbeiten? Alles, was man zur Firmensicherheit beitragen kann, ohne dass der Aufwand überhand nimmt, sollte man ins Auge fassen.

Sollten Sie bald auf eine Geschäftsreise in die USA gehen, dann stellen Sie sich schon mal darauf ein, dass Ihre Social-Media-Profile und Ihre Browserhistorie sowie ihr Adressbuch auf dem Smartphone gläsern sein werden. Das und diese Studie haben mich sehr nachdenklich gemacht und ich werde einige Maßnahmen ergreifen, dass ich mich nicht mehr so unbedarft wie früher im Internet bewegen werde.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.