Datenschutz: iOS-Browser im Vergleich

Schützt Sie Ihr Browser wirklich vor Überwachung?

Veröffentlicht von Pixel de Tracking am 14. Dezember 2020

Safari, der unvermeidliche iOS-Browser?

Für einen Drittanbieter-Browser ist es schwierig, auf iOS mit Apple Safari zu konkurrieren:

  • Im Gegensatz zu Android erlaubt iOS Drittanbieter-Browsern nicht, ihre eigene Rendering-Engine zu verwenden. In den „Guidelines“ des App Store, Abschnitt 2.5.6 heißt es: „Apps that browse the web must use the appropriate WebKit framework and WebKit Javascript“.
  • Apple hat die neueste WebKit-Version lange Zeit Safari vorbehalten; andere Browser waren gezwungen, eine veraltete Version (auf Basis der Klasse UIWebView) zu verwenden, die langsam und instabil war.
  • Ebenfalls aufgrund der Pflicht, WebKit zu verwenden, erlaubt iOS Drittanbieter-Browsern nicht, eine eigene Erweiterungsbibliothek anzubieten. Auf Android kann ich Firefox-Erweiterungen wie uBlock Origin installieren.
  • Die Erweiterungen von Safari wie etwa die Inhaltsblocker sind für andere Browser nicht zugänglich.
  • Vor iOS 14 war es nicht möglich, den Standardbrowser zu ändern.

Folglich war es nicht sehr reizvoll, einen anderen Browser zu verwenden. Apple entwickelt sich jedoch allmählich weiter. Seit iOS 8 können Drittanbieter-Browser die neueste Rendering-Engine von WebKit korrekt verwenden. Und seit iOS 14 erlaubt Apple es, den Standardbrowser zu ändern. Dadurch können Drittanbieter-Browser besser mit Safari konkurrieren, insbesondere beim Schutz Ihrer Privatsphäre.

Unabhängig von Ihrem Browser profitieren Sie bereits vom WebKit-Schutz

Drittanbieter-Browser sind verpflichtet, die Rendering-Engine von Apple, WebKit, zu verwenden. Technisch bedeutet das die Verwendung der Klasse WKWebView. Seit iOS 14 umfasst diese standardmäßig Intelligent Tracking Prevention, den Datenschutzmechanismus von Apple (bisher nur in Safari verfügbar).

chrome

Ja, Chrome unter iOS schützt Sie standardmäßig vor Cross-Site-Tracking! Die Pflicht, WebKit zu verwenden, zwingt Google dazu, Ihre Privatsphäre besser zu schützen.

Intelligent Tracking Prevention (ITP) enthält zahlreiche Mechanismen zur Bekämpfung des „Cross-Site-Trackings“, dazu zählen insbesondere:

  • Das Blockieren aller Drittanbieter-Cookies (auf Chrome erst für 2022 geplant).
  • Die Beschränkung der Lebensdauer von Cookies, die per Javascript erstellt werden (Erstanbieter-Cookies, die aber von Dritten erstellt werden können), auf 7 Tage.
  • Die Beschränkung der Lebensdauer von Cookies, die über CNAME-Domains gesetzt werden (auch hier Erstanbieter-Cookies, die jedoch von Dritten gesetzt werden können), auf 7 Tage.

Der ITP-Schutz beschränkt sich nicht auf Cookies; eine vollständige Liste finden Sie auf der Cookie-Status-Seite von Safari.

Diese Schutzmaßnahmen helfen zwar, das Schlimmste der Werbung (das Cross-Site-Tracking) zu bekämpfen, hindern Marketingunternehmen jedoch nicht daran, jede Ihrer Interaktionen auf jeder Website zu messen oder Werbung auszuspielen. Zudem arbeiten Marketingunternehmen weiterhin daran, die Beschränkungen von Apple zu umgehen (etwa über serverseitiges Tagging oder als Erstanbieter getarnte Drittanbieter-Kennungen).

Welche Möglichkeiten haben Sie, wenn Sie besser geschützt sein möchten?

Der Browser, ein erster Überwachungsvektor

Bevor ich überhaupt die Schutzmaßnahmen der Browser gegen das Tracking beim Surfen analysiere: Haben die Browser ein eigenes Überwachungssystem eingerichtet? Dazu beobachte ich, was beim ersten Start des Browsers passiert. Übrigens hat Brave kürzlich bereits eine ähnliche Analyse durchgeführt. Das sind die einzelnen Schritte:

  • Herunterladen des zu testenden Browsers.
  • Deaktivieren von NextDNS.
  • Schließen der verschiedenen laufenden Anwendungen.
  • Starten von Charles Proxy und Aktivieren der Mitschneidung.
  • Starten des Browsers, dann Suche über die Adressleiste (kein privates Surfen).
  • Export der Charles-Sitzung auf meinen Computer zur Analyse.

Und hier eine Übersicht der verschiedenen getesteten Browser.

Safari, umfassend schwer zu prüfen

Safari ist vorinstalliert, daher kann ich keinen ersten Start simulieren. Es ist nicht auszuschließen, dass Apple Telemetriedaten von Safari erhebt, wenn Sie die verschiedenen Schalter unter „Einstellungen“ > „Datenschutz“ > „Analyse & Verbesserungen“ nicht deaktiviert haben:

apple

Ich habe die verschiedenen Schalter unter „Analyse & Verbesserungen“ deaktiviert, und so habe ich keine speziell auf Safari ausgerichteten Apple-Tracker gesehen.

Wenn Sie eine Suche durchführen, ist die Standardsuchmaschine Google. Dieses soll Apple 12 Milliarden Dollar pro Jahr zahlen, um auf allen Apple-Geräten die Standardsuchmaschine zu sein. Safari sendet so jedes in die Suchleiste eingegebene Zeichen (ohne Kennung) an Google, damit die automatische Vervollständigung funktioniert.

iphone

In Sachen Datenschutz ergreift Apple sehr gute Initiativen. Doch es lässt zu, dass Google und sein Überwachungskapitalismus prosperieren, gegen sehr viel Geld.

DuckDuckGo, der Musterschüler

Die amerikanische Suchmaschine (die weitgehend auf Bing basiert) hat den Datenschutz zu ihrem Steckenpferd gemacht; sie gehört auch zu den von PrivacyTools empfohlenen Suchmaschinen. Sie bietet zudem einen Browser für iOS; hier die Anfragen, die beim ersten Start gesendet werden:

duck

Wenn man genauer hinschaut, ist es sehr sauber: DuckDuckGo lädt die Inhaltsblocker herunter. Wenn Sie in die Adressleiste tippen, werden die Zeichen zur automatischen Vervollständigung abgerufen (Vorteil davon, selbst eine Suchmaschine anzubieten), ohne Kennung. Die Telemetrie ist aktiviert, aber auch hier ohne Kennung.

Einzige Einschränkung: Die Standardsuchmaschine (die der Adressleiste) lässt sich natürlich nicht ändern. Aber wenn Sie mit bestimmten Abfragen nicht zufrieden sind (zur Erinnerung: hinter DuckDuckGo steckt oft Bing), können Sie die „Bangs“ nutzen, Aliasse, mit denen Sie eine Suche in einer anderen Suchmaschine durchführen können (natürlich Google, aber auch YouTube, Wikipedia, Twitter usw.).

bang

DuckDuckGo ist nicht ohne Humor; hier die eigens dafür vorgesehene Nachricht bei Ihrer ersten Google-Suche (indem Sie Ihrer Suche !g voranstellen).

Ebenfalls sehr geschätzt: die einfache Löschung der Daten:

duckremove

Sie müssen nur auf die Flamme klicken, um die Daten zu löschen.

Brave beschützt Sie... und hält sein Geschäft am Laufen

Der Browser Brave wurde von Brendan Eich erstellt, einem ehemaligen Mitbegründer von Firefox und Erfinder von Javascript. Brave tritt mit klarer Haltung gegen Tracker und sonstige, die Privatsphäre missachtende Werbung an. Hier einige Kernpunkte:

  • Brave basiert auf Chromium (und dessen Rendering-Engine Blink), dem Open-Source-Teil von Google Chrome. Auf iOS kann es Chromium jedoch nicht verwenden und ist gezwungen, WebKit zu nutzen.
  • Über Brave Shields blockiert es Tracker und sonstige Werbung, die Sie verfolgt. Wenn Sie es zulassen, spielt es die Privatsphäre respektierende Werbung aus (lokal ausgeliefert, was Brave zu einer Werbevermarktung macht). Diese Positionierung, in Konkurrenz zu den Publishern (Brave wirbt Werbetreibende an), sorgt für Kontroversen.
  • Brave Rewards ermöglicht es Ihnen, die von Ihnen besuchten Websites auf verschiedene Weise zu bezahlen: über ein monatliches Abonnement (zum Beispiel 10 €, die je nach Ihrer auf diesen Websites verbrachten Zeit mit den besuchten Websites geteilt werden), über Trinkgelder (Mikrozahlungen) oder über die lokal von Brave ausgespielte Werbung (für die Sie ebenfalls bezahlt werden können). Brave Rewards basiert auf der eigenen Kryptowährung von Brave: dem BAT (oder Basic Attention Token).

UPDATE 15. Dezember 2020: Brave hat weitere Kontroversen vorzuweisen (danke @kinux), insbesondere:

Brave ermöglicht es Ihnen beim ersten Start, Ihre Standardsuchmaschine auszuwählen (und verschafft datenschutzfreundlichen Suchmaschinen wie Qwant, DuckDuckGo oder Startpage neue Nutzer):

brave1

Ich wähle hier Startpage, eine Suchmaschine, die auf Google basiert, aber die Privatsphäre respektiert.

Prüfen wir die Anfragen, bevor wir auf „Speichern“ klicken:

sudo

Einige Anfragen sind im Tool Charles nicht lesbar, weshalb ich nicht überprüfen konnte, ob Kennungen durchsickerten; bemerkenswert ist jedoch der Aufruf von sudosecuritygroup.com. Dahinter steckt tatsächlich die Firma Guardian, die sich mit Brave zusammengetan hat, um ein VPN bereitzustellen, das auch Tracker und Werbung blockiert. Sie können das VPN in Brave aktivieren, müssen dafür aber bezahlen.

Im zweiten Schritt bietet Brave an, die Tracker zu blockieren:

brave2

Natürlich nehme ich an.

Im dritten Schritt denkt Brave an seine eigene Werbevermarktung und bietet Ihnen an, „private und anonyme“ Werbung anzusehen:

brave3

Ich klicke auf „Ignorieren“; die Prüfung der Brave-Werbung hebe ich mir für ein anderes Mal auf.

Im vierten Schritt starte ich eine Suche. Brave fragt mich, ob ich die Suchvorschläge aktivieren möchte:

brave4

Eine willkommene Frage, daher lehne ich ab.

Schauen wir uns nun die gesendeten Anfragen an (seit dem Start der Anwendung):

bravefinal

Im Detail betrachtet hat Brave seit Schritt 1 keine zusätzlichen Anfragen gesendet, außer an Startpage, das nur aufgerufen wird, wenn ich meine Suchanfrage bestätige.

Firefox, einige unangenehme Überraschungen

Firefox ist mein Browser auf dem Mac. Anders als etwa Brave verfügt Firefox über eine eigene Rendering-Engine, Gecko. Aber auch er ist gezwungen, WebKit zu verwenden. Ich hatte erwartet, dass Firefox für iOS beim Datenschutz eine tadellose Haltung einnimmt, da Firefox einen guten Ruf genießt und vorteilhaft auftritt. Ich war überrascht:

firefox

Schon beim ersten Öffnen gibt Firefox meine persönlichen Daten an Leanplum weiter, ein Marketingunternehmen, mit dem sich gezielte Nachrichten anzeigen lassen. Leanplum ist gefräßig: Es sammelt insbesondere die deviceId, userId und uuid. Es erfasst auch meine wichtigsten Interaktionen mit Firefox.

Firefox erlaubt sich außerdem, meine wichtigsten Interaktionen (etwa das Öffnen der Anwendung, ihr Schließen, den Klick auf die Adressleiste) live zu erfassen (über incoming.telemetry.mozilla.org), mit der Kennung clientId.

Bei den Aufrufen von Google keine Überraschung: Es ist die Standardsuchmaschine in Firefox. Google stellt die Haupteinnahmequelle für Firefox dar, mit rund 450 Millionen Dollar pro Jahr. Jedes in die Suchleiste eingegebene Zeichen wird zur automatischen Vervollständigung (ohne Kennung) an Google gesendet.

Lässt sich die Weitergabe der persönlichen Daten an Leanplum sowie die Telemetrie deaktivieren? Ja, indem man die richtige Option in den Einstellungen deaktiviert:

params2

Ich deaktiviere „Nutzungsdaten senden“

Man hätte von Firefox ein Opt-in erwartet, und zwar ohne Weitergabe persönlicher Daten an ein Marketingunternehmen.

Chrome, der unersättliche Browser von Google

Wenn Sie Chrome für iOS verwenden, haben Sie von vornherein keine besonderen Erwartungen an den Schutz Ihrer Privatsphäre. So konnten wir beispielsweise sehen, dass Chrome einen eindeutigen HTTP-Header an alle Domains von Google und Doubleclick sendet — praktisch, um Sie zu verfolgen. Lesen Sie auch „Why I'm done with Chrome“, geschrieben vor bereits 2 Jahren.

Schon beim Öffnen von Chrome informiert Sie Google also darüber, dass Sie die Nutzungsbedingungen akzeptieren müssen. Erstes Problem: Das Senden von Nutzungsstatistiken und Fehlerberichten ist standardmäßig aktiviert:

chrome1

Also deaktiviere ich das Senden von Nutzungsstatistiken und Fehlerberichten.

Wenn ich mir die Anfragen ansehe, bevor ich auf „Akzeptieren und fortfahren“ klicke, sehe ich, dass Chrome bereits viele Websites aufruft: keine Sorge, es lädt in Wirklichkeit die Bilder für die Standard-Lesezeichen (vermutlich die meistbesuchten Websites Frankreichs). Chrome ruft auch Kennungen ab, etwa die userid.

chrome1stscreen

Zweiter Schritt: Chrome zeigt sich hier sehr gefräßig: Es fordert Sie auf, meine gesamte Navigation mit meinem Google-Konto zu synchronisieren. Eine enorme Erfassung Ihrer persönlichen Daten also, die Google beschönigt, indem es Ihnen vorgaukelt, Sie könnten so auch Ihre Passwörter auf Ihren verschiedenen Geräten synchronisieren „und mehr“.

chrome2

Also klicke ich auf „Nein, danke“.

Wenn Sie auswählen möchten, welche Elemente synchronisiert werden sollen, könnte der blaue Text „Einstellungen“ Sie glauben lassen, Sie hätten die Kontrolle, doch er ist nicht anklickbar. Beachten Sie zudem den blauen Button „Ich akzeptiere“, ganz selbstverständlich. Im Vergleich zum schwarzen „Nein, danke“: ein schönes Beispiel für ein „Dark Pattern“.

Im dritten Schritt macht Chrome munter weiter und bittet mich um Zugriff auf meinen genauen Standort (um „mein Erlebnis zu verbessern“)!

chrome3

Ich klicke auf „Nicht zulassen“

Beachten Sie, dass ich mit iOS den Zugriff jetzt nur ein einziges Mal erlauben kann (Chrome muss mich dann beim nächsten Start erneut fragen); ich kann auch „Genauer Standort“ deaktivieren. Diese Optionen können nützlich sein, um sich vor bestimmten Anwendungen zu schützen.

Letzter Schritt: Chrome ist bereits gestartet, aber ich führe eine Suche durch, natürlich über Google, und stoße auf ein Einwilligungsbanner, das gerade von der CNIL beanstandet wurde:

Das neue Informationsbanner, das die Unternehmen bei Aufruf der Seite google.fr eingeführt hatten, erlaubte es den in Frankreich ansässigen Nutzern weiterhin nicht, die Zwecke zu verstehen, für die die Cookies verwendet werden, und informierte sie nicht darüber, dass sie diese Cookies ablehnen konnten.

chrome4

Und tatsächlich, viel Glück beim Ablehnen der Cookies: Sie können sich in den Menüs verlieren, ohne die Option zu finden, ja ohne überhaupt sicher zu sein, dass die gewählte Option die Cookies wirklich ablehnt (ich gehe nicht ins Detail, das würde einen eigenen Artikel verdienen).

Hier könnten Sie sich sagen: Ich habe noch nicht auf „Ich akzeptiere“ geklickt, Google dürfte also keine Cookies gesetzt haben. Zumal, wenn man die jüngste Sanktion der CNIL gegen Google liest (vom 10. Dezember 2020), Google sich dies zwar erlaubte, das Vorgehen aber korrigiert hat:

Der eingeschränkte Ausschuss nahm zur Kenntnis, dass die Unternehmen seit einer Aktualisierung im September 2020 nicht mehr automatisch Werbecookies setzen, sobald der Nutzer die Seite google.fr aufruft.

Schauen wir uns dennoch die gesendeten Anfragen an (seit Schritt 2):

chromecookies

Unter den zahlreichen Anfragen an die verschiedenen Dienste von Google fallen die Anfragen an adservice.google.com und an doubleclick.net auf. Die Anfrage an adservice.google.com enthält tatsächlich das Cookie NID. Wozu dient dieses Cookie? In Googles eigenen Worten:

Wir verwenden Cookies wie „NID“ und „SID“, um Anzeigen auf Google-Websites wie der Google-Suche zu personalisieren. Sie helfen uns beispielsweise, uns an Ihre letzten Suchanfragen, Ihre früheren Interaktionen mit den Suchergebnissen oder den Anzeigen eines Werbetreibenden sowie Ihre Besuche auf der Website eines Werbetreibenden zu erinnern. Dadurch können wir Ihnen auf Google personalisierte Anzeigen präsentieren.

Erwähnt die CNIL das Cookie NID in ihrer Entscheidung?

Der eingeschränkte Ausschuss stellt fest, dass das Unternehmen GIL in seinem Schreiben vom 30. April 2020 angegeben hat, dass vier der sieben gesetzten Cookies, nämlich die Cookies NID, IDE, ANID und 1P_JAR, einen Werbezweck verfolgen.

Somit hat Google entgegen der Entscheidung der CNIL nicht aufgehört, bestimmte Werbecookies automatisch auf der Seite google.fr zu setzen.

Edge schneidet noch schlechter ab als Chrome

Den Ruf der Microsoft-Browser muss man nicht mehr eigens darlegen:

IE

Über das Twitter-Parodiekonto @intrnetexp.

Doch Schluss mit dem Spott über den Rückstand des Internet Explorers: Microsoft baut für seinen Browser Edge nun auf Chromium und dessen Rendering-Engine Blink (genau wie Brave, Opera oder Vivaldi) und investiert, um ihn wettbewerbsfähig zu machen. Auch für Edge gibt es aufgrund der Apple-Beschränkungen kein Chromium auf iOS und damit die erzwungene Verwendung von WebKit. Wie steht es um den Schutz Ihrer Privatsphäre?

Der erste Start von Edge ähnelt stark Chrome, was kein gutes Zeichen ist. Edge schlägt Ihnen vor, sich anzumelden, um die Synchronisierung zu aktivieren: Lesezeichen, Passwörter und „viel mehr“.

edge1

Ich klicke auf „Ignorieren“ (beachten Sie das Dark Pattern).

Wenn wir uns die gesendeten Anfragen ansehen, bevor wir auf „Ignorieren“ klicken, zeigt sich Edge bereits gefräßig:

init

Über mehrere Anfragen ruft Edge mehrere Kennungen ab, etwa die deviceId oder clientId. Beachten Sie insbesondere die so treffend benannte Domain vortex.data.microsoft.com. Bei jeder Interaktion mit Edge erhebt dieses Daten, und dieses Leck lässt sich nicht deaktivieren.

Wie Firefox gibt auch Edge Ihre persönlichen Daten an einen Dritten weiter, Adjust, ein auf mobile Messung und Attribution spezialisiertes Unternehmen. Adjust ruft Kennungen wie persistent_ios_uuid ab.

Zweiter Schritt: Edge ist immer noch so gefräßig wie Chrome, es möchte meinen Browserverlauf speichern:

edge2

Ich klicke auf „Nicht jetzt“.

Dritter Schritt: Den Unterschied zum vorherigen Schritt versteht man nicht ganz („Weitere Informationen“ verweist weiterhin auf die Seite „Aktivitätsverlauf und Datenschutz für Windows 10“); Edge besteht darauf und bittet mich um Daten dazu, „wie Sie den Browser nutzen“:

edge3

Ich klicke erneut auf „Nicht jetzt“.

Im vierten Schritt führe ich eine Suche durch (natürlich über Bing); beachten Sie das Einwilligungsbanner:

edge6

Prüfen wir die Anfragen (ich habe noch nicht mit dem Einwilligungsbanner interagiert):

pagesjaunes

Die Microsoft-Dienste sind allgegenwärtig, alle erheben Ihre persönlichen Daten. Leboncoin wird zwar aufgerufen, aber nur, um das Logo herunterzuladen. Edge gibt Ihre persönlichen Daten nicht nur an Adjust weiter, sondern auch an Comscore (über scorecardresearch.com), einen Marketingriesen, der Sie so besser profilieren kann.

Bonus: Bing leitet Ihre Suchanfragen an die Website Pages Jaunes weiter

Wegen Bing (und nicht wegen Edge) war ich überrascht (und alarmiert) zu sehen, dass dieses eine potenziell sensible Information, meine Suchanfrage, direkt an Pages Jaunes weitergibt (über pagesjaunes.fr):

jaunes

Zum Glück war meine Suche „bonjour“ nicht sensibel, aber Bing leitet sämtliche Ihrer Suchanfragen (sowie Ihre Stadt) in Echtzeit an die Website Pages Jaunes weiter, unabhängig vom verwendeten Gerät und Browser.

Die Werbevermarktung von Pages Jaunes heißt Solocal. Es handelt sich um eine alte Partnerschaft, die sicherlich erneuert wurde, auf Kosten Ihrer Privatsphäre (zur Erinnerung: Ich habe immer noch nicht mit dem Einwilligungsbanner interagiert, und meine Bing-Suche ist an die Website Pages Jaunes durchgesickert).

Eine zusätzliche Zugabe von Bing und Pages Jaunes: Die Domain at.pagesjaunes.fr (die ohne Ihre Einwilligung ein Cookie setzt) ist ein CNAME-Alias auf das französische Analytics-Tool AT Internet:

at

Wie wir es bereits bei Criteo, Boursorama oder Lemonde.fr gesehen haben, dienen diese CNAME-Aliasse dazu, Browser-Schutzmaßnahmen und Adblocker zu umgehen; sie sind zudem häufig die Ursache einer erheblichen Sicherheitslücke.

Verhindert das Klicken auf „Weitere Optionen“ und das anschließende Deaktivieren der „nicht notwendigen“ Cookies, dass Ihre Suchanfragen an Pages Jaunes und Ihre Surfdaten an AT Internet durchsickern?

edge6

Das Einwilligungsbanner ohne Option auf erster Ebene, um alles abzulehnen, ein Klassiker.

Leider nein, das ändert nichts am Verhalten von Bing: Es leitet meine Suchanfragen weiterhin an die Website Pages Jaunes weiter.

Für Microsoft fehlte eine wichtige Information: meine Geolokalisierung! Und tatsächlich, ohne dass ich meine Navigation fortsetze, fragt mich Edge nun nach Zugriff auf meinen Standort:

edgeloc

Fazit: Kaum zu glauben, aber mit Edge und Bing gelingt Microsoft das Kunststück, beim Schutz Ihrer Privatsphäre schlechter abzuschneiden als Google.

Der Browser als Schutz vor der Überwachung durch Websites

Auch wenn sie selbst Ihre Privatsphäre mehr oder weniger gut respektieren, sollen Browser Sie auch beim Surfen im Internet schützen. Schauen wir, ob das wirklich der Fall ist, anhand des Surfens auf zwei Websites, die dafür bekannt sind, Ihre persönlichen Daten massenhaft preiszugeben:

Das Vorgehen ist für alle Browser dasselbe:

  • Löschen der Cookies und sonstigen Browserdaten.
  • Deaktivieren von NextDNS.
  • Schließen der verschiedenen laufenden Anwendungen.
  • Starten von Charles Proxy und Aktivieren der Mitschneidung.
  • Starten des zu testenden Browsers, kein privates Surfen.
  • Surfen auf der Startseite dieser beiden Websites, mit Annahme des Trackings über das Einwilligungsbanner.

Der Vergleich kann nicht perfekt sein, da es sich nur um zwei Startseiten handelt und die ausgespielte Werbung von einem Moment zum anderen unterschiedlich sein kann. Aber die Anzahl der Tracker dürfte uns einen guten Eindruck von der Wirksamkeit des Browsers vermitteln.

Safari ohne Inhaltsblocker: alles geht durch

Der Normalfall: Ich habe meinen Inhaltsblocker deaktiviert, Firefox Focus. Hier die zusammengefassten Ergebnisse:

  • 94 Hosts kontaktiert.
  • 338 Anfragen.
  • 9,2 MB heruntergeladene Daten.

Unnötig zu sagen, dass die Zahl der Tracker beeindruckend ist, auch wenn Intelligent Tracking Prevention das Schlimmste verhindert, indem es das Cross-Site-Tracking unterbindet.

Safari mit Inhaltsblocker: erhebliche Lücken

Hier habe ich Firefox Focus verwendet (dessen Tracker-Liste von Disconnect bereitgestellt wird); Sie können auch andere Inhaltsblocker wie Adguard auswählen. Sind die Ergebnisse besser? Spürbar:

  • 45 Hosts kontaktiert (also 49 Tracker weniger).
  • 200 Anfragen.
  • 6,2 MB heruntergeladene Daten.

Heißt das, dass der Inhaltsblocker Sie vollständig geschützt hat? Bei genauerem Hinsehen verfolgen Sie zahlreiche Dritte weiterhin, auch wenn die „offensichtlichsten“ Tracker verschwunden sind:

focus

Ich habe die Erstanbieter-Anfragen entfernt, um den Überblick zu erleichtern.

DuckDuckGo, ein verbesserter Schutz

DuckDuckGo verwendet eine eigene Tracker-Liste, „Tracker Radar“, die durch einen eigenen Web-Crawl erzeugt wird. Die Informationen von „Tracker Radar“ zu den verschiedenen Trackern können auch von Dritten genutzt werden (wie in Safari, um Informationen zu diesen Trackern bereitzustellen). Hier die Ergebnisse:

  • 39 Hosts kontaktiert.
  • 226 Anfragen.
  • 6,3 MB heruntergeladene Daten.

Diese Werte scheinen denen von Safari mit Inhaltsblocker nahezukommen; schauen wir uns nun die Details an:

duckliste

Die Tracker-Liste ist kürzer; DuckDuckGo ist etwas effektiver als Safari in Kombination mit Firefox Focus.

Brave, ein starker Schutz

Brave Shields, das System zum Blockieren von Trackern, ist sehr flexibel:

  • Die Standardeinstellungen schützen Sie gut.
  • Sie können die Standardeinstellungen ändern.
  • Sie können die Einstellungen auch für bestimmte Websites ändern.

Hier also die Standardeinstellungen:

bravesetup

Sie können das Blockieren von Skripten, sämtlichen Cookies und der digitalen Fingerabdrücke festlegen. Erfahrungsgemäß funktionieren dann jedoch einige Websites nicht mehr richtig. Hier also die Ergebnisse mit den Standardeinstellungen:

  • 29 Hosts kontaktiert.
  • 168 Anfragen.
  • 5,4 MB heruntergeladene Daten.

Brave ist somit am wirksamsten. Im Detail betrachtet:

braveliste

Es ist fast perfekt (Brave schützt zum Beispiel vor dem CNAME-Cloaking von AT Internet auf der Website lemonde.fr, über die Domain buf.lemonde.fr), doch Brave übersieht insbesondere Facebook und Twitter.

Firefox schützt Sie standardmäßig eher schlecht

Firefox ist auf meinem Mac zwar eine sehr gute Option, hat auf iOS aber eine gravierende Einschränkung: Wie bei allen anderen iOS-Browsern lassen sich keine Erweiterungen installieren. Und Firefox ohne Erweiterung schützt Sie leider deutlich schlechter. Hier die Ergebnisse mit den Standardeinstellungen:

  • 111 Hosts kontaktiert.
  • 454 Anfragen.
  • 11,9 MB heruntergeladene Daten.

Sie werden also weitgehend verfolgt. In Wirklichkeit ist nicht alles düster, wenn Sie in die Einstellungen gehen:

ff1

Klicken Sie im Bereich „Datenschutz“ auf „Schutz vor Aktivitätenverfolgung“

Sie können feststellen, dass Firefox standardmäßig den „Verbesserten Schutz vor Aktivitätenverfolgung“ (ETP für „Enhanced Tracking Protection“) in der Version „Standard“ anwendet:

ff2

Wenn Sie auf das „i“ klicken, erfahren Sie, dass Firefox Sie vor Trackern sozialer Netzwerke schützt (tatsächlich wurden Facebook und Twitter blockiert), vor Cross-Site-Trackern (nichts Neues hier, davor sind Sie bereits durch ITP geschützt), vor Kryptowährungs-Minern und vor Detektoren digitaler Fingerabdrücke (eine Technik, die üblicherweise „Fingerprinting“ genannt wird).

ff3

Wenn Sie den Schutz „Streng“ aktivieren, schützt Sie Firefox auch vor „Inhalten, die zum Tracking verwendet werden“ (ein Schutz, der uns besonders interessiert):

ff4

Sind Sie besser geschützt? Hier die neuen Ergebnisse:

  • 42 Hosts kontaktiert.
  • 225 Anfragen.
  • 6,7 MB heruntergeladene Daten.

Die Ergebnisse sind also deutlich besser. Im Detail betrachtet:

ffstrict

Wir finden dieselben Tracker wie bei der Kombination Safari und Firefox Focus: die 2 Anwendungen von Mozilla nutzen eine von Disconnect bereitgestellte Liste, um bestimmte Tracker zu blockieren.

Chrome, der Browser ohne Schutz

Bei Chrome ist es ganz einfach: Sie haben keinerlei Standardschutz und auch keine Einstellung, mit der Sie sich schützen könnten. Chrome bleibt allerdings nicht völlig untätig; die Teams arbeiten am Projekt Privacy Sandbox, mit folgender Mission:

Die Mission des Projekts Privacy Sandbox lautet, „ein florierendes Web-Ökosystem zu schaffen, das die Nutzer respektiert und standardmäßig privat ist“.

Im Detail bedeutet „ein florierendes Web-Ökosystem“, die aktuellen Anwendungsfälle der Werbung zu unterstützen: Conversion-Messung, verhaltensbasierte Werbung, Retargeting usw. „Standardmäßig privat“ bedeutet, es Trackern nicht mehr zu erlauben, Nutzer individuell zu verfolgen (Chrome wird 2022 die Drittanbieter-Cookies blockieren).

Messung und Targeting sollen über „Kohorten“ von Nutzern erfolgen (ausreichend große Gruppen), über direkt vom Browser getroffene Entscheidungen, über Mechanismen, die das Verknüpfen von Daten verhindern, usw.

Natürlich ist Google von den Änderungen an Chrome weniger betroffen als eine beliebige Website: Es wird die große Mehrheit der Nutzer weiterhin über ihre Google-Konten verfolgen.

Hier also die Ergebnisse des Surfens mit Chrome:

  • 100 Hosts kontaktiert.
  • 370 Anfragen.
  • 11,3 MB heruntergeladene Daten.

Keine Überraschung also: Sie sind überhaupt nicht geschützt.

Edge, gut versteckte Schutzmaßnahmen

Edge war beim ersten Start des Browsers Schlusslicht. Wie steht es um den Schutz beim Surfen? Wenn wir uns die Ergebnisse mit der Standardkonfiguration ansehen:

  • 96 Hosts kontaktiert.
  • 368 Anfragen.
  • 10,2 MB heruntergeladene Daten.

Edge ist vergleichbar mit Chrome, was kein Kompliment ist. Aber Edge verfügt über interessante versteckte Optionen. Wenn Sie in den „Einstellungen“ auf „Inhaltsblocker“ gehen, entdecken Sie eine „native“ Integration des Blockers Adblock Plus:

edgeadblock

Also aktiviere ich „Werbung blockieren“

Ja, Edge hat Adblock Plus in seinen Browser integriert. Nur ist Adblock Plus zugleich ein Werbeunternehmen, das sich von Marketingriesen große Summen zahlen lässt (darunter Microsoft, aber auch Google, Amazon, Criteo, Taboola oder Outbrain), um bestimmte Werbung durchzulassen — eine schöne Heuchelei. Um sämtliche Werbung zu blockieren, müssen Sie daher noch weiter gehen, nämlich in die „Erweiterten Einstellungen“ der „Inhaltsblocker“:

edgeacceptable

Ich deaktiviere „Akzeptable Werbung“.

Aber Sie sind noch nicht am Ende Ihrer Mühen! Eine weitere Option ist nützlich, sie findet sich in den „Einstellungen“, „Datenschutz und Sicherheit“, und im Abschnitt „Sicherheit“ (!) finden Sie den Punkt „Tracking-Verhinderung“ (anscheinend bereits „Aktiviert“):

trackingedge

Hier müssen Sie auf „Tracking-Verhinderung“ klicken.

Anschließend gelangen Sie zu einem neuen Bildschirm:

prevention

Standardmäßig ist die Version „Ausgewogen (empfohlen)“ ausgewählt. Edge würde also bereits „Tracker von Websites, die Sie nicht besucht haben“ sowie „bekanntermaßen schädliche Tracker“ blockieren. Tatsächlich fragt man sich, was Edge wirklich blockiert: Alle Tracker sind zur Party eingeladen (Criteo, Google, Doubleclick, Weborama, Facebook, Amazon usw.).

Microsoft gibt an, sich auf Disconnect zu stützen, um Tracker zu blockieren, bereits ab der Version „Ausgewogen“ der „Tracking-Verhinderung“; es scheint sich dabei um einen reinen Ankündigungseffekt zu handeln (Firefox stützt sich ebenfalls auf Disconnect, blockiert aber durchaus zahlreiche Tracker).

Schützt Sie die Umstellung auf „Tracking-Verhinderung Streng“, das Aktivieren von Adblock Plus und das Deaktivieren der „Akzeptablen Werbung“ vor allen Trackern? Angesichts des betriebenen Aufwands wäre es wünschenswert. Hier die Ergebnisse:

  • 41 Hosts kontaktiert.
  • 200 Anfragen.
  • 6,8 MB heruntergeladene Daten.

Edge erreicht das Niveau eines Safari mit Firefox Focus (was das Mindeste ist mit aktiviertem Adblock Plus und Disconnect). Im Detail betrachtet:

edgeliste

Man sieht deutlich, dass Edge noch Fortschritte machen muss.

NextDNS, zur Unterstützung des Browsers

Zum Abschluss: Die Wahl des Browsers ist eine persönliche Entscheidung, aber bestimmte iOS-Browser bieten ein gutes erstes Schutzniveau: Ich denke dabei insbesondere an DuckDuckGo. NextDNS lässt sich ergänzend nutzen.

Üblicherweise verwende ich die Kombination Safari - Firefox Focus (auch wenn DuckDuckGo und Brave verlockend sind); NextDNS blockiert die Tracker, die durch die Maschen geschlüpft sind. Hier das Ergebnis beim selben kombinierten Test von LeBonCoin und Lemonde.fr:

nextdns

Tracker, die von der Kombination Safari - Firefox Focus nicht blockiert werden konnten, wurden von NextDNS blockiert.

Kurz gesagt: Die Wahl Ihres Browsers und etwaiger zusätzlicher Schutzmaßnahmen kann einen großen Unterschied machen!