In diesem Artikel stellen wir ein relativ einfaches Schutzkonzept vor, was dafür sorgt, dass ein beiläufiges Tracking durch Drittanbieter im Netz erheblich erschwert wird. Grundsätzlich wird dies erreicht durch drei Komponenten:

1. Cookies werden nur im Ausnahmefall erlaubt und schnell wieder gelöscht.
2. Drittanbieter werden stark eingeschränkt und
3. JavaScript wird ebenfalls stark eingeschränkt.

Als Basis dient uns ein aktueller Firefox-Browser. Warum dieser Browser? Ganz einfach, Firefox bietet derzeit die besten Möglichkeiten, mithilfe von Add-Ons zusätzlichen Schutz und Sicherheit einzubauen. Ein Teil der Add-Ons ist allerdings auch für andere Browser verfügbar; zu einem späteren Zeitpunkt werden wir auch dazu Anleitungen veröffentlichen.
Diese Anleitung ist sowohl für Computer und Laptops (unabhängig vom Betriebssystem, solange eine Firefox-Variante installiert werden kann) und für Android-Geräte geeignet. Für die Android-Geräte sehen die Add-Ons ein wenig anders aus, wir gehen auf die Unterschiede im Text ein. Die Unterschiede für Android sind kursiv dargestellt.
In Anbetracht des aktuell diskutierten Falls des Ausspähens von Nutzerdaten durch ein Browser-Add-On sei ein genereller Hinweis erlaubt: Es empfiehlt sich, immer zu prüfen, wer ein Add-On bereitstellt. Sind es freiwillige Entwickler oder handelt es sich um eine Firma mit einem Geschäftsmodell? Werden Nutzungsdaten des Add-Ons übertragen? Muss ich für die Nutzung des Add-Ons Bedingungen zustimmen? Hilfreich ist es auch, einen genaueren Blick auf die Bewertungen eines Add-Ons, insbesondere die negativen, zu werfen. Die von uns empfohlenen Add-Ons werden ohne Gewinnerzielungsabsicht auf Spendenbasis entwickelt und sind nach eigener Aussage unabhängig von finanziellen Interessen Dritter.

Als Erstes installieren wir folgende Add-Ons in Firefox:

Für Android-Geräte werden folgende Add-Ons in Firefox installiert:

• NoScript (Add-On ist nicht im Firefox-Marketplace verfügbar und muss von Hand von der Entwicklerseite installiert werden, Firefox gibt dabei die Warnung aus “Blockierte Add-Ons installieren”, dies muss bestätigt werden.)
• uBlock Origin
• Self-Destructing Cookies

Als Erstes schalten wir die Werbung von Mozilla, dem Firefox-Entwickler, auf dem neuen Tab ab. Öffne dazu einen neuen Tab. 

Hier deaktivieren wir die Einstellung „Vorschläge anzeigen“.
Als Nächstes gehen wir in die Einstellungen.

Beim Reiter Datenschutz stellen wir die Chronik auf benutzerdefiniert. Cookies können wir komplett sperren, die Verwaltung der Ausnahmen erfolgt über das Add-On Self-Destructing Cookies. Wem dies zu aufwändig ist, der sollte zumindest ein „Nie“ für Cookies von Drittanbietern setzen und die Lebensdauer der Cookies darauf beschränken, bis Firefox geschlossen wird.

Als Nächstes wird ausgewählt, was bei Firefox nach dem Schließen alles gelöscht werden soll. Dazu wird der Haken bei „Die Chronik löschen…“ gesetzt. Danach muss entschieden werden, was gelöscht wird. Wir empfehlen, die Haken so zu lassen; wer beim nächsten Start noch seine Historie sehen möchte, kann den Haken bei „Besuchte Seiten…“ und „Eingegebene Suchbegriffe…“ entfernen.

Zum Abschluss der Grundeinstellungen wenden wir uns der Suche zu. Standardmäßig ist Google als Suchanbieter voreingestellt. Wir empfehlen, als Standard eine datenschutzfreundlichere Suchmaschine zu verwenden, z. B. das bereits enthaltene DuckDuckGo. Auch sollte der Haken bei „Suchvorschläge“ entfernt werden, um zu verhindern, dass Daten bei der Eingabe im Suchfeld an den Anbieter übertragen werden.

Weitere datenschutzfreundliche Suchmaschinen sind Startpage oder Disconnect. Diese können über die Links als Add-On integriert werden.
Im Android-Firefox sind diese Einstellungen genauso vorhanden, lediglich das Menü sieht ein wenig anders aus.

NoScript kann JavaScript über temporäre Berechtigungen oder über die Positivliste freigeben.

Viele Webseiten fordern für eine Anmeldung die Freigabe von JavaScript (und Cookies, siehe Add-On Self-Destructing Cookies).
Wie eine Freigabe erfolgt, ist am Bespiel des E-Mail-Providers Posteo.de erläutert:

Posteo fordert auf der Startseite die Freigabe von Cookies und JavaScript. Beides ist erforderlich für eine erfolgreiche Anmeldung.

 Mit dem NoScript-Button kann eine temporäre oder dauerhafte Freigabe erfolgen, wenn eine Seite nicht vollständig geladen wurde. Gegebenenfalls muss diese Freigabe von JavaScript mehrfach erfolgen, da einzelne Objekte voneinander abhängen und erst dann nachgeladen werden, wenn bestimmte Seiten erlaubt wurden. Erst wenn der temporäre Button grau bleibt, sind alle verfügbaren Skripte der Seite berechtigt worden.

Dies bedeutet zunächst einigen Aufwand am Anfang der Nutzung. Besonders schwierig ist es, zu erkennen, welche Skripte für das korrekte Funktionieren beispielsweise eines Videoportals verantwortlich sind. Es ist allerdings möglich, die Einstellungen je Webseite in NoScript abzuspeichern, sodass die freigegebenen Objekte beim nächsten Seitenaufruf automatisch geladen werden.
Die einfachste Methode ist zunächst die temporäre Freigabe einer Webseite. Weiterhin ist zu beachten, dass einige Webseiten nur funktionieren, wenn neben den Skripten auch der Zugriff auf Cookies freigeben wird. Dies ist über die Cookie-Einstellungen (siehe Add-On Self-Destructing Cookies) möglich.

Weitere Einstellungen (NoScript-Button: Einstellungen):

Wir löschen die vorgegebene Positivliste und bauen uns eine eigene für die weitere Verwendung.

Damit schränken wir die Überwachung, auch durch erwünschte Seiten, weitgehend ein (Beispiel: Ich möchte zwar gern YouTube-Videos schauen und habe dafür in NoScript eine Freigabe auf der Positivliste erstellt. Aber ich möchte nicht, dass YouTube - und damit Google - bei JEDEM eingebetteten YouTube-Video über den Besuch einer Seite informiert wird. Daher ist NoScript so konfiguriert, dass ich noch einmal klicken muss, um ein Video zu sehen, wenn ich das denn möchte.)

Das Verbot von font-face sorgt mitunter für ein seltsames Aussehen von Bedienelementen auf Webseiten. Wenn das stört, kann der Haken auch weggelassen werden.

Aussehen anpassen

NoScript für Android ist einfacher strukturiert. Es gibt keine vorgegebene Positivliste, wir müssen diese beim Surfen selbst erstellen. Dazu klickt ihr im Menü von Firefox auf den No-Script-Schalter und seht alle blockierten Skripte. Viele davon sind nicht notwendig und dienen der Einbindung von unerwünschten Drittanbietern. Am besten orientiert ihr Euch bei der Freigabe am Namen der besuchten Webseite (Beispiel: Für Video-Seiten ist es mitunter notwendig, mehrere Skripte freizugeben, um die Videos zum Laufen zu bekommen, für YouTube sind dies z. B. youtube.com, ytimg.com und googlevideo.com). Und Achtung: Bei No Script für Android gibt es keine temporäre Freigabe, alle Freigaben sind dauerhaft und können immer nur auf der betreffenden Webseite geändert werden.

uBlock Origin bietet die Möglichkeit, eine Vielzahl von Drittanbietern, die Euer Verhalten beobachten wollen, von vornherein auszusperren. Dies betrifft Werbung, Verbindungen zu Social-Media-Diensten und vieles mehr. Letztendlich sorgt der Blocker dafür, dass nur die Seite, welche besucht werden soll, auch besucht wird und nicht noch zusätzliche weitere Drittanbieter.Ein kurzes Wort zur aktuellen Diskussion um die Werbe-Blocker: Natürlich verhindert ein Blockieren von Werbung, dass Webseiten, die sich nur über Werbung finanzieren, an ihr Geld kommen. Da diese Werbung allerdings dein Verhalten im Web überwacht und verfolgt, gibt es keinen vernünftigen Grund für dich, auf die Werbe-Blocker zu verzichten.

Weitere Einstellungen (uBlock-Symbol und Dashboard öffnen):

Haken bei WebRTC setzen.

Empfohlene Filterlisten:

Damit werden zahlreiche Quellen für Werbung, bekannte Verteiler von Schadsoftware und Warnungen vor der Benutzung von Blockern ausgeblendet.
Das Add-On funktioniert für Android genau so, lediglich der Button ist als Schalter im Menü angebracht.

Self-Destructing-Cookies

Wir empfehlen, auf Cookies generell zu verzichten und sie nur für wirklich notwendige Dienste zu erlauben. Wem das zu aufwändig ist, sollte zumindest die Cookies von Drittanbietern untersagen; das Add-On sorgt dann dafür, dass diese Cookies laufend gelöscht werden. Das weitere Cookie-Management übernimmt dann „Self-Destructing-Cookies“.
Das Add-On überwacht den Cookie-Speicher des Browsers und löscht – sofern nicht anders konfiguriert – gespeicherte Cookies nach einer festgelegten Zeit. Ist dies nicht gewünscht bzw. sind Cookies für den Zugriff auf eine Seite erforderlich (z.B. Sitzungsinformationen, die in Cookies abgelegt werden), können seitenspezifisch Ausnahmen definiert werden.

Wir bleiben beim Beispiel des E-Mail-Providers Posteo.de:
Skripte sind bereits freigegeben (siehe Add-On NoScript).

Mit Klick auf den Button kann eine seitenspezifische Ausnahme für die Annahme von Cookies erlaubt werden. Ein Klick auf den gelben Button ist ausreichend. Anschließend muss die Seite neu geladen werden und eine Anmeldung ist ab sofort wieder möglich. Für künftige Besuche der Webseite ist die Einstellung dauerhaft gespeichert.

Das Add-On funktioniert für Android genau so, lediglich die Buttons sind als Schalter im Menü angebracht.

Mithilfe des Add-Ons Lightbeam, mit dem sich die Datenspuren des Browsers einfach visualisieren lassen, vergleichen wir zum Abschluss die Wirksamkeit der Maßnahmen.
Dazu werden fünf Webseiten lediglich mit der Startseite aufgerufen und ein Begriff bei Google gesucht.

Dieses Bild ergibt sich mit einem Standard-Browser ohne Veränderung der Werkseinstellungen. 6 Sites wurden aufgerufen, 118 weitere Drittanbieter haben unsere kompletten Daten ebenfalls erhalten und haben die Möglichkeit, Cookies zu setzen und damit eine langfristige Wiedererkennung zu ermöglichen.

Die exakt gleichen Aufrufe erfolgen nun im modifizierten Browser. Datenspuren und beiläufiges Tracking durch Drittseiten sind wesentlich reduziert (6 Sites und 3 weitere Drittanbieter).

Im ersten Artikel haben wir mit NoScript, uBlock Origin und Self-Destructing Cookies einen Grundschutz gegen Tracking eingerichtet. Wer Interesse hat, noch mehr Kontrolle über sein Surfverhalten zu erlangen, kann sich hier über drei weitere Add-Ons informieren. Die Unterschiede für Android sind wieder kursiv dargestellt.

Zu den bereits im letzten Artikel vorgestellten Add-Ons installieren wir drei weitere Add-Ons:

Wie die Add-Ons eingestellt werden und was sie bewirken, schauen wir nun an. Zu den Einstellungen der Add-Ons kommt ihr entweder über ein Symbol oder durch diese zwei Klicks:

No Resource URI Leak:

Dieses Add-On unterbindet die Weitergabe von Systemvariablen von Firefox an Webseiten. Damit werden Anker, welche zum Fingerprinting Eures Browsers genutzt werden können, gar nicht erst weitergegeben.
Wir setzen einen zusätzlichen Haken in den Einstellungen.

Auf der Webseite "Browserleaks" schauen wir uns an, was das bewirkt (browserleaks.com muss dazu über NoScript temporär berechtigt werden):

Einmal mit dem Add-On:

Und einmal ohne das Add-On:

Damit sind einige Zusatzinformationen auslesbar, welche Euch wiedererkennbar machen. Das Add-On hat im Test keine Einschränkungen in der Benutzbarkeit von Webseiten gezeigt.

Das Add-On funktioniert für Android genauso, lediglich der Button ist als Schalter im Menü angebracht.

Privacy Settings

Dieses Add-On kontrolliert zahlreiche Einträge im Innenleben von Firefox, welche normalerweise nicht sichtbar sind bzw. nur über das Aufrufen von „about:config“ änderbar sind. Firefox rät unerfahrenen Nutzern aber zu Recht von einem Editieren dieser Einträge ab. Mit Privacy Settings erfolgt dies einfach und transparent.
Mit einem Klick auf das Symbol kommt ihr in die Einstellungen:

Wir empfehlen, zunächst mit „Full Privacy“ zu starten. Wenn eine Webseite trotz Cookie-Erlaubnis und freigegebenem JavaScript nicht funktioniert, empfiehlt sich ein Wechsel auf Privacy (compatible).

Was bedeuten die Einstellungen im Einzelnen? Zum Einen werden viele auslesbare Variablen gesperrt (z. B. der Ladestand Eures Akkus), zum Anderen wird die Weitergabe von Daten an Mozilla, den Firefox-Entwickler, und an Google (das Safebrowsing-Programm) stark eingeschränkt. Weiterhin werden Funktionen (z. B. die Geolokalisation) abgeschaltet, welche auch für ein Tracking genutzt werden können. Damit sind einige Funktionen des Browsers nicht mehr verfügbar; wer diese nutzen möchte, sollte die einzelnen Einträge genauer anschauen.

Zum Safebrowsing-Programm von Google: Dies ist an sich eine sinnvolle Sache. Google befüllt eine lokale Datenbank mit bekannten Websites, die Malware verteilen. Firefox gibt beim Besuch dann eine Warnung heraus. Der Nachteil ist, dass die Datenbank zum Abgleich regelmäßig Kontakt zu Google-Servern aufnimmt und eure Nutzungsdaten dabei überträgt. Als Kompensation für die von uns empfohlene Deaktivierung ist der Schutz gegen JavaScript durch NoScript und die Malware-Listen des Add-Ons uBlock Origin aus unserer Sicht gleichwertig, so dass auf eine Teilnahme am Safebrowsing-Programm verzichtet werden kann.

Das Add-On funktioniert für Android genauso, lediglich der Button ist als Schalter im Menü angebracht.

Smart Referer

Der Smart Referer blockiert den Referer des Nutzers. Der Referer gibt im Normalfall Auskunft darüber, woher der Nutzer gekommen ist. Über eine Google-Suche oder durch einen direkten Aufruf der Seite? Diese Information ist zwar interessant für den Betreiber einer Website, für den Nutzer bringt das aber gar nichts. Ein Abschalten hat in aller Regel auch keine negativen Auswirkungen auf das Surferlebnis.
Das Add-On wird wie folgt eingestellt (Löschen der Whitelist und Einstellung „Send nothing…“)

Das Add-On funktioniert für Android genau so, lediglich der Button ist als Schalter im Menü angebracht.

Zum Abschluss werfen wir noch einen Blick auf die Browser-Testseite http://ip-check.info:

Ihr seht, dass immer noch Einiges über euch verraten wird, aber viele Schlupflöcher für Datenspuren sind dafür geschlossen.