Vielleicht habt Ihr es mitbekommen: Über „irgendwelche“ Wege werden komplette Surfprofile von Benutzern erstellt und kommerziell vermarktet.
Es gibt also kommerzielle Anbieter, die eure komplette Browserhistory (incl. allem peinlichem) zum Verkauf anbieten.
Hier hat der NDR mit einer Scheinfirma ein Test-Paket angefordert, und es wurde ihnen mal eben als Auszug aus den Verkäufer-Datenbanken 3 Millionen Profile übermittelt. Wenn diese Händler mal eben so 3 Mio Profile als Testdaten rausschicken können, muss man wohl davon ausgehen, dass sie wohl Profile annähernd aller Internetbenutzer besitzen.
http://www.ndr.de/fernsehen/sendungen/zapp/Nackt-im-Netz-Journalistenprofile-im-Verkauf,nacktimnetz108.html

Wie kann man Surfprofile Personen zuordnen?

Wenn ich als Werbetreibender, Hacker o.ä. auf die Browserinteraktionen Zugriff habe, ist die Wahrscheinlichkeit sehr hoch, aus den Browserdaten automatisiert die echten Personendaten zu erschließen: weil man sich zum Beispiel in einem Sozialen Netzwerk wie Facebook mit seinem echten Namen anmeldet, oder weil man in Online-Shops seine echte (Liefer- oder Rechnungs-) Adresse eingibt. Schon ist dem Browserverlauf eine echte Person zugeordnet.

Wie kommen Dritte an meinen Browserverlauf?

Es gibt zwei Wege: Den „nackten“ Browserverlauf kann man von außen mit Tracking-Cookies verfolgen.
Der „angereicherte“ Browserverlauf (der auch Inhalte wie eingegebene Daten auslesen kann), kann im Browser mit Addons abgezogen werden. Andere Wege wie gehackte PCs, Viren, aber auch Schutzmodule der Virenscanner will ich hier nicht behandeln.

Fangen wir beim „nackten“ Browserverlauf an.

Wegen des lokalen Bezugs und weil ich zahlender Kunde der Main Post bin, schaue ich mir diese Website mal genauer an. Ich lese sie sehr gerne online, weil es schneller und praktischer ist. Die Webseite ist auch gut gemacht, der Deep-Link zu den Gerolzhöfer Nachrichten http://www.mainpost.de/regional/schweinfurt/gemeinde.=97447-Gerolzhofen/ liefert mir genau, was ich lesen möchte.

Jetzt ist die Frage: Bin ich Kunde der Main Post oder bin ich Produkt für die Werbekunden der Main Post?
Hmmm, die Homepage MainPost.de bekommt bei meinem Aufruf (18.11.2016 17:05 Uhr) offenbar von 8 Parteien Geld oder andere Vorteile, nämlich von mir plus von diesen 7 Werbe- bzw. Trackinganbietern:

• Mainpost.de (7): googletagservices.com | criteo.com | ioam.de | m-pathy.com | mookie1.com | nuggad.net | theadex.com

Dass mir die Main Post Werbung zeigen will ist OK, und manchmal kann die Werbung auch interessant sein. Aber warum zum Teufel verkauft die Main Post mein Surfprofil an 7 unterschiedliche Unternehmen?

Wessen Interessen stehen da im Vordergrund? Und kann die Main Post überhaupt garantieren, dass dort keine schädliche Software dabei ist? Zumal Werbung neue Werbetracker nachladen kann – und dann auch noch ganz viele andere Skripte und Inhalte von anderen Servern nachgeladen werden, und jeder kann mich tracken.
Schalte ich den Werbefilter aus, greift mein Browser zusätzlich zu mainpost.de noch auf diese 32 Domains zu (18.11.2016 17:15 Uhr):

• Mainpost.de (32): google.com | googleadservices.com | google-analytics.com | googleapis.com | googlesyndication.com | googletagservices.com | gstatic.com | 360yield.com | adform.net | adition.com | adnxs.com | adscale.de | adsrvr.org | adtech.de | criteo.com | doubleclick.net | ibillboard.com | ioam.de | ligadx.com | ligatus.com | m6r.eu | mathtag.com | meetrics.net | mookie1.com | m-pathy.com | mxcdn.net | nuggad.net | oms.eu | rubiconproject.com | t4ft.de | theadex.com | yieldlab.net

Jeder dieser 32 Server ist per se erst mal nicht vertrauenswürdig. Denn jeder dieser Server kann Sicherheitslücken haben und neben Trackingfunktionen auch Schadsoftware ausliefern. Viren, Würmer und Verschlüsselungstrojaner werden immer wieder über Werbung ausgeliefert: Wenn ich als Virenprogrammierer 0,30 € für einen Werbeklick zahlen muss, aber dann vom User 500 € fürs Entschlüsseln seiner Daten verlangen kann, ist das doch in Ordnung.

Verkauft nur die Main Post mein Surfprofil? Nein, gerade die großen Medienhäuser tun sich da viel mehr hervor:

• Spiegel.de (7): google-analytics.com | ioam.de | vgwort.de | visualrevenue.com | adition.com | mxcdn.net | outbrain.com
• Bild.de (8): emetriq.de | ioam.de | visualrevenue.com | mookie1.com | outbrain.com | smartadserver.com | yieldlab.net | tiqcdn.com
• Sueddeutsche.de (12): googletagservices.com | googletagmanager.com | facebook.net | twitter.com | chartbeat.com | w55c.net | theadex.com | yieldlab.net | sitestat.com | emetriq.de | doubleclick.net | ioam.de
• Rekordhalter ist: RTL.de (15): google-analytics.com | googletagservices.com | facebook.com | facebook.net | twitter.com | doubleclick.net | addthis.com | revsci.net | nuggad.net | smartclip.net | theadex.com | cloudfront.net | emetriq.de | ioam.de | optimizely.com

OK, Medienhäuser tracken mich alle. Wie sieht es denn beim Shopping aus?

• eBay.de (5): google.com | googletagservices.com | bluekai.com | ioam.de | dobedtm.com
• Idealo.de (4): google.com | googletagmanager.com | webtrekk.net | optimizely.com
• billiger.de (3): ioam.de | adition.com | himediads.com
• fluege.de (6): googleadservices.com | doubleclick.net | iadition.com | bing.com | oam.de | adtech.de
• holidaycheck.de (8): googlesyndication.com | googletagservices.com | googletagmanager.com | amazon-adsystem.com | criteo.com | yieldlab.net | emetriq.de | newrelic.com
• aldi.de (5): adform.net | flashtalking.com | adsrvr.org | etracker.com | etracker.de

Ich habe weiter oben von “peinlich” gesprochen. Wer sollte mich denn vielleicht besser nicht tracken?

• YouP***.com (4): google-analytics.com | twitter.com | doublepimp.com | trafficjunky.net
• Xhams***.com (2): google-analytics.com | trafficjunky.net
• P***hub.com (3): google-analytics.com | doublepimp.com | trafficjunky.net
• or***m.com (5): google.com | google-analytics.com | facebook.com | twitter.com | s**searchcom.com

Fällt was auf? Immer wieder Google, Facebook und Twitter. Und ob News, Shopping oder Schmuddelsites: Sie wissen ganz genau, was Du machst.

Gibt es überhaupt Seiten, die nicht tracken?

Klar, und man kann es sich auch denken: Die Seiten, die ihre Nutzerdaten nicht verkaufen wollen, tracken sie auch nicht. Hat ja auch nur Nachteile, Tracker einzubauen.

Hier habe ich mal rumgeklickt und wie erwartet waren da keine Tracker aktiv:

• wikipedia.org (0)
• bundesregierung.de (0)
• kk-software.de (0)
• gerolzhofen.de (0)
• landkreis-schweinfurt.de (0)

Es gibt also noch viele Seiten, die die Privatsphäre der Benutzer achten.

Eher unerwartet, aber dann logisch:

• facebook.com (0)
• google.com (0)

Den beiden gehört ungefähr jeweils „30% des Internets“, und wie man oben sieht, trackt Google auf fast jeder Seite, und Facebook ist auch ganz oft dabei. Die möchten alle Daten sammeln und keine Daten rausgeben. Also lassen sie natürlich keine fremden Tracker auf ihre Seiten. Doch Facebook weiß natürlich perfekt, was du auf Facebook / Whatsapp / Instagram machst, und Google weiß perfekt, auf was du bei Google / YouTube machst.

Dann muss man wissen, dass der Markt für Onlinewerbung sehr verdichtet ist. Z.B. ist doubleclick.net ein Unternehmen von Google.
Weiter muss man davon ausgehen, dass darunter Werbefirmen sind, die die Benutzerprofile weiterverkaufen. Insbesondere wenn ein Unternehmen insolvent geht, sind die Benutzerprofile das wertvollste in der Insolvenzmasse.

Weiter geht es mit dem „angereicherten“ Browserverlauf, mit den

Browser-Plugins

Es liegt auf der Hand: Wenn man nicht will, dass in ein paar Jahren mal die persönliche Surfhistorie öffentlich im Internet auftaucht, muss man sich schützen. Das geht effektiv nur mit Browser-Plugins wie Werbefiltern.

Kommen wir also zu den Browser-Plugins. Anfang 2015 habe ich in diesem Post
https://www.facebook.com/arnulf.koch/posts/925883384112740 einen Schutz empfohlen, und die damalige Empfehlung ist nicht mehr aktuell. Damals habe ich schon explizit vor “Adblock Plus” gewarnt, da es ein Wolf im Schafspelz ist und selbst die Daten ihrer Nutzer zu (Werbe-) Geld macht. Siehe die Berichte von 2013: https://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/ und 2016: https://www.mobilegeeks.de/artikel/adblock-plus-verkauft-nun-werbebanner-hahahahahahaha/
Aber ich habe damals “Ghostery” empfohlen. Allerdings verdient “Ghostery” inzwischen sein Geld, indem es die Userdaten (angeblich “freiwillig” und “anonymisiert”) verkauft: https://netzpolitik.org/2016/nach-nacktimnetz-so-schuetzt-du-dich-und-deinen-browser/
Ebenso kritisch ist das Plugin “ProxyTube”, mit denen man Geo-geblockte Filme im Internet schauen kann, auch hier wurden Benutzerdaten verkauft, oder auch das Browser-Plugin „WOT – Web of Trust„.

Das gefährliche an diesen Plugins ist, dass sie vollen Zugriff auf die Inhalte der Webseite haben, also auch in Formulare eingegebene Benutzerdaten auslesen können, und dass sie immer auf jeder Seite aktiv sind. Ein Browser-Plugin kann Euch also vollständig überwachen.

Daher die dringende Empfehlung: Durchforstet regelmäßig alle Eure Browser-Plugins und entfernt alle Plug-Ins, die Ihr nicht zwingend braucht.

Und löscht die Cookies regelmäßig. Gerne auch mit einem externen Programm wie CCleaner: https://www.piriform.com/ccleaner/download/standard

Benutzt AdwCleaner: https://toolslib.net/downloads/finish/1/ und Malwarebytes: https://de.malwarebytes.com/mwb-download/thankyou/

Welches Browser-Plugin zum Schutz?

Man darf also nur Browser-Plugins einsetzen, denen man wirklich vertrauen kann. Das ist bei ClosedSource quasi nicht möglich, selbst bei OpenSource ist es nicht ausgeschlossen, jedoch bei großen OpenSource-Projekten ist die Wahrscheinlichkeit des Missbrauches geringer. Hier gibt es im Moment (November 2016, und weil sich das leider auch ändern könnte, habe ich das Datum des Beitrags in die Überschrift aufgenommen) in meinen Augen nur ein Projekt, dem ich aktuell vertraue: uBlock Origin
Quellcode: https://github.com/gorhill/uBlock
Für Firefox: https://addons.mozilla.org/de/firefox/addon/ublock-origin/
Für Chrome: https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?hl=de

Und im uBlock Origin ruhig alle Filter aktivieren. Neben dem massiven Plus an Privatsphäre spart ihr euch einen ordentlichen Teil der Webseitenverbindungen zu all den Werbeseiten und habt als Zusatznutzen ein viel schnelleres Internet. Wenn euch infolgedessen Webseiten nicht reinlassen (wie bild.de oder sueddeutsche.de), dann ist das von deren Seite nachvollziehbar, aber dann muss man konsequent bleiben: Dann besucht man diese Seiten eben nicht.

Hier ein Blick in meine uBlock-Origin-Einstellungen:

Damit habt Ihr in meinen Augen aktuell die beste Browsereinstellung mit einem guten Kompromiss aus persönlichem Schutz und trotzdem einer Teilhabe am modernen Internet und Social Media.

Content kostet Geld!

Aber wenn euch eine Webseite gefällt, vergesst nicht, sie für ihren Content zu bezahlen. Schließt ein Zeitungsabo ab, unterstützt (meist kleine) Webseiten mit Geld über flattr.com oder patreon.com, bucht den werbefreien Premium-Zugang zu Webseiten oder Foren. Contenterstellung kostet Geld und muss bezahlt werden.

Werbung an sich ist nicht negativ

Im Gegenteil: Für alle Beteiligten (Benutzer, werbende Unternehmen und Webseitenbetreiber) kann Werbung stark positive Effekte haben:

• Für Benutzer sind sie eine Möglichkeit, auf interessante Produkte hingewiesen zu werden, die sie vielleicht nicht auf ihrem Radar hatten.
• Für werbende Unternehmen ist es eine Möglichkeit, Benutzer darauf hinzuweisen, was für tolle Produkte sie haben.
• Für Webseitenbetreiber ist es eine Möglichkeit, den Betrieb der Webseite und die Contenterstellung zu refinanzieren.

Aber bitte wie früher, wenn ich eine Zeitschrift am Kiosk gekauft habe: Anonym: Ohne dass alle meine Daten schon beim Überblättern an anonyme Werbezwischenhändler verkauft werden.

Dass heute meine persönlichen Surfdaten für 3 Werbebanner an 7 Datenkraken weitergegeben werden, ist einfach inakzeptabel und solange das der Fall ist, kann man sich nur mit einem Adblocker schützen.