Navigieren / suchen

Surfverhalten schützen – Stand November 2016

Vielleicht habt Ihr es mitbekommen: Über „irgendwelche“ Wege werden komplette Surfprofile von Benutzern erstellt und kommerziell vermarktet.
Es gibt also kommerzielle Anbieter, die eure komplette Browserhistory (incl. allem peinlichem) zum Verkauf anbieten.
Hier hat der NDR mit einer Scheinfirma ein Test-Paket angefordert, und es wurde ihnen mal eben als Auszug aus den Verkäufer-Datenbanken 3 Millionen Profile übermittelt. Wenn diese Händler mal eben so 3 Mio Profile als Testdaten rausschicken können, muss man wohl davon ausgehen, dass sie wohl Profile annähernd aller Internetbenutzer besitzen.
http://www.ndr.de/fernsehen/sendungen/zapp/Nackt-im-Netz-Journalistenprofile-im-Verkauf,nacktimnetz108.html

 

Wie kann man Surfprofile Personen zuordnen?

Wenn ich als Werbetreibender, Hacker o.ä. auf die Browserinteraktionen Zugriff habe, ist die Wahrscheinlichkeit sehr hoch, aus den Browserdaten automatisiert die echten Personendaten zu erschließen: weil man sich zum Beispiel in einem Sozialen Netzwerk wie Facebook mit seinem echten Namen anmeldet, oder weil man in Online-Shops seine echte (Liefer- oder Rechnungs-) Adresse eingibt. Schon ist dem Browserverlauf eine echte Person zugeordnet.

 

Wie kommen Dritte an meinen Browserverlauf?

Es gibt zwei Wege: Den „nackten“ Browserverlauf kann man von außen mit Tracking-Cookies verfolgen.
Der „angereicherte“ Browserverlauf (der auch Inhalte wie eingegebene Daten auslesen kann), kann im Browser mit Addons abgezogen werden. Andere Wege wie gehackte PCs, Viren, aber auch Schutzmodule der Virenscanner will ich hier nicht behandeln.

Fangen wir beim „nackten“ Browserverlauf an.

Wegen des lokalen Bezugs und weil ich zahlender Kunde der Main Post bin, schaue ich mir diese Website mal genauer an. Ich lese sie sehr gerne online, weil es schneller und praktischer ist. Die Webseite ist auch gut gemacht, der Deep-Link zu den Gerolzhöfer Nachrichten http://www.mainpost.de/regional/schweinfurt/gemeinde.=97447-Gerolzhofen/ liefert mir genau, was ich lesen möchte.

Jetzt ist die Frage: Bin ich Kunde der Main Post oder bin ich Produkt für die Werbekunden der Main Post?
Hmmm, die Homepage MainPost.de bekommt bei meinem Aufruf (18.11.2016 17:05 Uhr) offenbar von 8 Parteien Geld oder andere Vorteile, nämlich von mir plus von diesen 7 Werbe- bzw. Trackinganbietern:

  • Mainpost.de (7): googletagservices.com | criteo.com | ioam.de | m-pathy.com | mookie1.com | nuggad.net | theadex.com

Dass mir die Main Post Werbung zeigen will ist OK, und manchmal kann die Werbung auch interessant sein. Aber warum zum Teufel verkauft die Main Post mein Surfprofil an 7 unterschiedliche Unternehmen?

2016-11-18-18_31_39-mainpost-de-_-mainpost-de-_-main-post

Wessen Interessen stehen da im Vordergrund? Und kann die Main Post überhaupt garantieren, dass dort keine schädliche Software dabei ist? Zumal Werbung neue Werbetracker nachladen kann – und dann auch noch ganz viele andere Skripte und Inhalte von anderen Servern nachgeladen werden, und jeder kann mich tracken.
Schalte ich den Werbefilter aus, greift mein Browser zusätzlich zu mainpost.de noch auf diese 32 Domains zu (18.11.2016 17:15 Uhr):

  • Mainpost.de (32): google.com | googleadservices.com | google-analytics.com | googleapis.com | googlesyndication.com | googletagservices.com | gstatic.com | 360yield.com | adform.net | adition.com | adnxs.com | adscale.de | adsrvr.org | adtech.de | criteo.com | doubleclick.net | ibillboard.com | ioam.de | ligadx.com | ligatus.com | m6r.eu | mathtag.com | meetrics.net | mookie1.com | m-pathy.com | mxcdn.net | nuggad.net | oms.eu | rubiconproject.com | t4ft.de | theadex.com | yieldlab.net

Jeder dieser 32 Server ist per se erst mal nicht vertrauenswürdig. Denn jeder dieser Server kann Sicherheitslücken haben und neben Trackingfunktionen auch Schadsoftware ausliefern. Viren, Würmer und Verschlüsselungstrojaner werden immer wieder über Werbung ausgeliefert: Wenn ich als Virenprogrammierer 0,30 € für einen Werbeklick zahlen muss, aber dann vom User 500 € fürs Entschlüsseln seiner Daten verlangen kann, ist das doch in Ordnung.

Verkauft nur die Main Post mein Surfprofil? Nein, gerade die großen Medienhäuser tun sich da viel mehr hervor:

  • Spiegel.de (7): google-analytics.com | ioam.de | vgwort.de | visualrevenue.com | adition.com | mxcdn.net | outbrain.com
  • Bild.de (8): emetriq.de | ioam.de | visualrevenue.com | mookie1.com | outbrain.com | smartadserver.com | yieldlab.net | tiqcdn.com
  • Sueddeutsche.de (12): googletagservices.com | googletagmanager.com | facebook.net | twitter.com | chartbeat.com | w55c.net | theadex.com | yieldlab.net | sitestat.com | emetriq.de | doubleclick.net | ioam.de
  • Rekordhalter ist: RTL.de (15): google-analytics.com | googletagservices.com | facebook.com | facebook.net | twitter.com | doubleclick.net | addthis.com | revsci.net | nuggad.net | smartclip.net | theadex.com | cloudfront.net | emetriq.de | ioam.de | optimizely.com

OK, Medienhäuser tracken mich alle. Wie sieht es denn beim Shopping aus?

  • eBay.de (5): google.com | googletagservices.com | bluekai.com | ioam.de | dobedtm.com
  • Idealo.de (4): google.com | googletagmanager.com | webtrekk.net | optimizely.com
  • billiger.de (3): ioam.de | adition.com | himediads.com
  • fluege.de (6): googleadservices.com | doubleclick.net | iadition.com | bing.com | oam.de | adtech.de
  • holidaycheck.de (8): googlesyndication.com | googletagservices.com | googletagmanager.com | amazon-adsystem.com | criteo.com | yieldlab.net | emetriq.de | newrelic.com
  • aldi.de (5): adform.net | flashtalking.com | adsrvr.org | etracker.com | etracker.de

Ich habe weiter oben von “peinlich” gesprochen. Wer sollte mich denn vielleicht besser nicht tracken?

  • YouP***.com (4): google-analytics.com | twitter.com | doublepimp.com | trafficjunky.net
  • Xhams***.com (2): google-analytics.com | trafficjunky.net
  • P***hub.com (3): google-analytics.com | doublepimp.com | trafficjunky.net
  • or***m.com (5): google.com | google-analytics.com | facebook.com | twitter.com | s**searchcom.com

Fällt was auf? Immer wieder Google, Facebook und Twitter. Und ob News, Shopping oder Schmuddelsites: Sie wissen ganz genau, was Du machst.

 

Gibt es überhaupt Seiten, die nicht tracken?

Klar, und man kann es sich auch denken: Die Seiten, die ihre Nutzerdaten nicht verkaufen wollen, tracken sie auch nicht. Hat ja auch nur Nachteile, Tracker einzubauen.

Hier habe ich mal rumgeklickt und wie erwartet waren da keine Tracker aktiv:

  • wikipedia.org (0)
  • bundesregierung.de (0)
  • kk-software.de (0)
  • gerolzhofen.de (0)
  • landkreis-schweinfurt.de (0)

Es gibt also noch viele Seiten, die die Privatsphäre der Benutzer achten.

Eher unerwartet, aber dann logisch:

  • facebook.com (0)
  • google.com (0)

Den beiden gehört ungefähr jeweils „30% des Internets“, und wie man oben sieht, trackt Google auf fast jeder Seite, und Facebook ist auch ganz oft dabei. Die möchten alle Daten sammeln und keine Daten rausgeben. Also lassen sie natürlich keine fremden Tracker auf ihre Seiten. Doch Facebook weiß natürlich perfekt, was du auf Facebook / Whatsapp / Instagram machst, und Google weiß perfekt, auf was du bei Google / YouTube machst.

Dann muss man wissen, dass der Markt für Onlinewerbung sehr verdichtet ist. Z.B. ist doubleclick.net ein Unternehmen von Google.
Weiter muss man davon ausgehen, dass darunter Werbefirmen sind, die die Benutzerprofile weiterverkaufen. Insbesondere wenn ein Unternehmen insolvent geht, sind die Benutzerprofile das wertvollste in der Insolvenzmasse.

 

Weiter geht es mit dem „angereicherten“ Browserverlauf, mit den

Browser-Plugins

Es liegt auf der Hand: Wenn man nicht will, dass in ein paar Jahren mal die persönliche Surfhistorie öffentlich im Internet auftaucht, muss man sich schützen. Das geht effektiv nur mit Browser-Plugins wie Werbefiltern.

Kommen wir also zu den Browser-Plugins. Anfang 2015 habe ich in diesem Post
https://www.facebook.com/arnulf.koch/posts/925883384112740 einen Schutz empfohlen, und die damalige Empfehlung ist nicht mehr aktuell. Damals habe ich schon explizit vor “Adblock Plus” gewarnt, da es ein Wolf im Schafspelz ist und selbst die Daten ihrer Nutzer zu (Werbe-) Geld macht. Siehe die Berichte von 2013: https://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/ und 2016: https://www.mobilegeeks.de/artikel/adblock-plus-verkauft-nun-werbebanner-hahahahahahaha/
Aber ich habe damals “Ghostery” empfohlen. Allerdings verdient “Ghostery” inzwischen sein Geld, indem es die Userdaten (angeblich “freiwillig” und “anonymisiert”) verkauft: https://netzpolitik.org/2016/nach-nacktimnetz-so-schuetzt-du-dich-und-deinen-browser/
Ebenso kritisch ist das Plugin “ProxyTube”, mit denen man Geo-geblockte Filme im Internet schauen kann, auch hier wurden Benutzerdaten verkauft, oder auch das Browser-Plugin „WOT – Web of Trust„.

Das gefährliche an diesen Plugins ist, dass sie vollen Zugriff auf die Inhalte der Webseite haben, also auch in Formulare eingegebene Benutzerdaten auslesen können, und dass sie immer auf jeder Seite aktiv sind. Ein Browser-Plugin kann Euch also vollständig überwachen.

Daher die dringende Empfehlung: Durchforstet regelmäßig alle Eure Browser-Plugins und entfernt alle Plug-Ins, die Ihr nicht zwingend braucht.

Und löscht die Cookies regelmäßig. Gerne auch mit einem externen Programm wie CCleanerhttps://www.piriform.com/ccleaner/download/standard

Benutzt AdwCleanerhttps://toolslib.net/downloads/finish/1/ und Malwarebyteshttps://de.malwarebytes.com/mwb-download/thankyou/

 

Welches Browser-Plugin zum Schutz?

Man darf also nur Browser-Plugins einsetzen, denen man wirklich vertrauen kann. Das ist bei ClosedSource quasi nicht möglich, selbst bei OpenSource ist es nicht ausgeschlossen, jedoch bei großen OpenSource-Projekten ist die Wahrscheinlichkeit des Missbrauches geringer. Hier gibt es im Moment (November 2016, und weil sich das leider auch ändern könnte, habe ich das Datum des Beitrags in die Überschrift aufgenommen) in meinen Augen nur ein Projekt, dem ich aktuell vertraue: uBlock Origin
Quellcode: https://github.com/gorhill/uBlock
Für Firefox: https://addons.mozilla.org/de/firefox/addon/ublock-origin/
Für Chrome: https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?hl=de

Und im uBlock Origin ruhig alle Filter aktivieren. Neben dem massiven Plus an Privatsphäre spart ihr euch einen ordentlichen Teil der Webseitenverbindungen zu all den Werbeseiten und habt als Zusatznutzen ein viel schnelleres Internet. Wenn euch infolgedessen Webseiten nicht reinlassen (wie bild.de oder sueddeutsche.de), dann ist das von deren Seite nachvollziehbar, aber dann muss man konsequent bleiben: Dann besucht man diese Seiten eben nicht.

Hier ein Blick in meine uBlock-Origin-Einstellungen:

screenshot-2016-11-18-18-16-53

Damit habt Ihr in meinen Augen aktuell die beste Browsereinstellung mit einem guten Kompromiss aus persönlichem Schutz und trotzdem einer Teilhabe am modernen Internet und Social Media.

 

Content kostet Geld!

Aber wenn euch eine Webseite gefällt, vergesst nicht, sie für ihren Content zu bezahlen. Schließt ein Zeitungsabo ab, unterstützt (meist kleine) Webseiten mit Geld über flattr.com oder patreon.com, bucht den werbefreien Premium-Zugang zu Webseiten oder Foren. Contenterstellung kostet Geld und muss bezahlt werden.

 

Werbung an sich ist nicht negativ

Im Gegenteil: Für alle Beteiligten (Benutzer, werbende Unternehmen und Webseitenbetreiber) kann Werbung stark positive Effekte haben:

  • Für Benutzer sind sie eine Möglichkeit, auf interessante Produkte hingewiesen zu werden, die sie vielleicht nicht auf ihrem Radar hatten.
  • Für werbende Unternehmen ist es eine Möglichkeit, Benutzer darauf hinzuweisen, was für tolle Produkte sie haben.
  • Für Webseitenbetreiber ist es eine Möglichkeit, den Betrieb der Webseite und die Contenterstellung zu refinanzieren.

Aber bitte wie früher, wenn ich eine Zeitschrift am Kiosk gekauft habe: Anonym: Ohne dass alle meine Daten schon beim Überblättern an anonyme Werbezwischenhändler verkauft werden.

Dass heute meine persönlichen Surfdaten für 3 Werbebanner an 7 Datenkraken weitergegeben werden, ist einfach inakzeptabel und solange das der Fall ist, kann man sich nur mit einem Adblocker schützen.

CSU Parteitag 2016

Ich habe den CSU Parteitag 2016 (Hashtag #csupt16) besucht und dabei live getwittert und zwei Videopodcasts gedreht.

Zuerst ein Podcast mit unserem Bürgermeister Thorsten Wozniak während der Antragsberatung. Im Hintergrund sieht man die Abstimmungen:

Dann hatte Doro Bär Zeit für mich:

Und das habe ich getwittert:

Natürlich hatte ich einen gewissen Standards an meine Fotos, ich hoffe, das fällt auf, dass sie sich von Smartphone-Fotos abheben. Ich habe mit der Sony A6300 fotografiert und die Bilder per WLAN aufs Smartphone übertragen und dann getwittert.

Wer sind die Delegierten? Wikipedia schreibt:
„Höchstes Organ auf Landesebene ist der Landesparteitag. Der Parteitag besteht aus den Delegierten der Bezirks- und Kreisverbände und tritt mindestens einmal jährlich zusammen. Seine Aufgaben sind insbesondere die Beschlussfassung über die Grundlinien der Parteipolitik, das Parteiprogramm und die Satzung sowie die Wahl und Kontrolle der Funktionsträger auf Landesebene. Die CSU hat einen vergleichsweise niedrigen Delegiertenschlüssel: auf ca. 170 Mitglieder kommt ein Delegierter.“

Generalsekretär Andi Scheuer ist der Mann fürs Grobe:

Wir waren drei Teilnehmer aus Gerolzhofen: die beiden Delegierten Lieselotte Feller und Thorsten Wozniak (hier beide im Bild) und ich als Gast:

Österreichs Außenminister Sebastian Kurz hatte quasi ein Heimspiel:

Doro Bär war den ganzen Tag in der Sitzungsleitung aktiv, in einer Pause hat sie mir für einen Video-Podcast 3 Fragen beantwortet:

Das hat mich wirklich überrascht:

Ich habe auch online abgestimmt:

Leider ist Reichweite nicht alles. Ich schätze, DIE PARTEI und AfD dürften noch größer sein:

Leider habe ich keine Videowiedergabe von der Leinwand fotografiert. Videos auf der Leinwand kamen glasklar rüber:

Dann die Rede von Horst Seehofer. Leider kam Angela Merkel ja nicht zum Parteitag.

In der Tat eine Wahrheit: Vergangene Erfolge zählten oft nichts.

Weiter oben habe ich mich übers WLAN beschwert, aber es war wohl abhängig, in welchem Access-Point man eingeloggt war.

Wie kann man den rechten Rand bekämpfen? Defizite klar benennen: Ja. Selbst am rechten Rand fischen: Bitte nicht.

Was ich interessant an der langen Rede fand, waren die sehr differenzierten Töne in der Rede, die es nicht in die Medien schaffen. Ich habe versucht, zwei davon auf Twitter einzufangen:

Oh ja, hinterher ist man immer schlauer!

Danach begann der Abstimmungsmarathon:

Der Ausstellerbereich war interessant. Teilweise haben alle beide Seiten ausgestellt, z.B. der Bayerische Apothekerverband die wohl eher gegen Online-Apotheken sind und DocMorris, die wohl mehr Freiheiten für Online-Apotheken möchten.

Am zweiten Tag wurde das neue Grundsatzprogramm diskutiert und beschlossen. In allen Bundesländern erringt die AfD mit plumpen Populismus starke Wahlerfolge und ich kann die CSU-Strategie nachvollziehen, hier auf die AfD-Zielgruppe zuzugehen. Die bisherigen Strategien in anderen Bundesländern sind ja nicht so erfolgreich gewesen.

Umgedreht sehe ich, dass sich bei der Flüchtlingshilfe vor Ort auch sehr viele CSU-Mitglieder und CSU-Wähler aktiv engagiert haben und ich beobachte, dass sie die aktuelle „unchristliche“ CSU-Linie eher verstört und sie viel mehr auf Merkel-Linie sind.
Nachdem in Bayern die CDU nicht antritt, ist wahltaktisch die Frage, ob die CSU mit der Strategie auf der einen Seite mehr AfD-Wähler zurückgewinnt, als sie an der anderen Seite an die Grünen verliert. In Baden-Württemberg haben sich die Grünen unter Winfried Kretschmann ja erfolgreich als wertkonservative Alternative etabliert.

Inhaltlich stört mich am Grundsatzprogramm v.a. die Forderung „soll die Bundeswehr auch außerhalb der Katastrophenhilfe im Innern zum Einsatz kommen können“ -> dafür haben wir die Polizei und wenn sie dafür nicht gut genug ausgestattet ist, dann muss die Polizei besser ausgestattet werden. Zumal die Bundeswehr im Moment weltweit sehr viel zu tun hat und sich auf diese Aufgaben konzentrieren soll (und auch dafür ordentlich ausgestattet werden muss). Siehe auch https://www.tagesschau.de/inland/polizei-bundeswehr-trennung-101.html

Was im Grundsatzprogramm wichtig und richtig ist:

  • „Bildung ist mehr als Wissen. Bildung heißt nicht nur Lernen, sondern vor allem auch Verstehen. Auf Erwerb und Stärkung von Kompetenzen kommt es an: beim Umgang mit Medien, Daten und Algorithmen ebenso wie bei Sozialkompetenz und kulturellem Verständnis.“
  • „Die Digitalisierung verändert alles. …. Ein digitaler Aufbruch ist nötig, um beim nächsten Wirtschaftswunder dabei zu sein.“
  • „Wir wertschätzen die Leistungsträger. Arbeitnehmer, Unternehmer, Selbstständige, Freiberufler und Landwirte: sie alle übernehmen Verantwortung für sich und andere und dienen damit der Gemeinschaft.“
  • „Wir wollen ein Klima der Gründerfreundlichkeit schaffen und den Gründergeist fördern: Nur wenn wir Neues wagen, können wir Zukunft gewinnen.“
  • „Leistungsfähige Telekommunikations- und Breitbandverbindungen sind in der Gigabit-Gesellschaft genauso Lebensadern für ein Land wie Verkehrswege, Transportmittel und Stromnetze.“
  • „Medienkompetenz ist Grundvoraussetzung für soziale, berufliche und gesellschaftliche Teilhabe.“

So, das war der CSU-Parteitag 2016. Ich fand es hochinteressant, das mal live zu erleben: Reden in voller Länge zu hören. Wie umfangreiche Abstimmungen und Diskussionen strukturiert werden. Wie das Außenrum ist. Ich kann jedem nur ein Besuch empfehlen!