Das kranke WWW: Stop using Google Web-Services

1. KrebsgeschwürStop Google

Google wird weitläufig mit dem Begriff der Datenkrake assoziiert, deren Hauptinteresse in der Erhebung und Auswertung möglichst vieler Daten liegt. Nach meiner Auffassung beschreibt das Wort Datenkrake nicht annähernd Googles Omnipräsenz im Internet oder das Bestreben in all unsere Lebensbereiche vorzudringen – diese »bösartige« Ausbreitung ist eher mit einem Krebsgeschwür vergleichbar.

Google hat das Kunststück vollbracht, mit benutzerfreundlichen Produkten und Diensten den Markt zu erobern. Daran gibt es keinen Zweifel, der Markt gibt ihnen Recht. Doch bei dieser Erfolgsgeschichte gilt es sich auch vor Augen zu führen, welcher Preis dafür von den eigentlichen Nutzern gezahlt wurde. Diese bezahlten und bezahlen nämlich mit den von ihnen »produzierten« Daten.

Im vorliegenden Beitrag möchte ich nicht die allumfassende Macht von Google beleuchten, oder aufzeigen, in welche Lebensbereiche Google schon überall vorgedrungen ist, sondern den Fokus auf die Web-Services von Google legen. Diese stellen eine Gefahr für die Sicherheit und Privatsphäre von jedem Nutzer dar, der sich im Internet bewegt – ganz gleich, ob man Kunde / Nutzer von Google ist, oder nicht. Die meist unreflektierte Einbindung von Google Web-Services durch Webseitenbetreiber kann für die Rechte und Freiheiten eines Webseitenbesuchers ungeahnte Konsequenzen haben.

2. Die unsichtbare Gefahr

Ein jeder von uns dürfte heutzutage mindestens einmal am Tag mit seinem Browser im Internet surfen. Allerdings sind wir uns oftmals nicht bewusst, was bei dieser eigentlich für uns alltäglichen Tätigkeit technisch geschieht. Das Wissen der technischen Vorgänge ist jedoch essenziell, um für einen selbst das Risiko einschätzen zu können, das mit dem Ansurfen einer vernetzten Webseite einhergeht.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Aufruf einer Webseite

Nach der Eingabe einer Domain in die Adresszeile des Browsers wird die entsprechende Webseite vom Browser aufgerufen. Nach dem Erreichen der Webseite, enthält der Browser entsprechende Informationen, welche Inhalte er laden soll. Nachdem der Ladevorgang abgeschlossen ist, stellt der Browser den Inhalt der Webseite in einer für den Nutzer lesbaren Form dar.

Welche komplexen Prozesse im Hintergrund notwendig sind, um eine Webseite im Browser darzustellen, können die meisten Nutzer vermutlich nicht einmal erahnen. Die dahinterliegende Technik arbeitet vielmehr meist völlig geräuschlos und suggeriert einem Nutzer das Gefühl von Freiheit, jeden erdenklichen Informationsschnipsel der Webseite erreichen zu können bzw. nichts auf der Webseite zu verpassen.

Dabei ist nur den wenigsten bewusst, wie Webseitenbetreiber durch das Einbinden von externen Ressourcen, wie z. B. JavaScript oder Social-Media-Buttons, die Privatsphäre und insbesondere die Sicherheit ihrer Besucher leichtfertig aufs Spiel setzen. Ungeachtet der damit verbundenen Konsequenzen wird der »Vernetzungswahn« weiter vorangetrieben, indem immer mehr externe Ressourcen in die Webseite mit eingebunden und damit vernetzt werden. Der Nutzer wird damit jedoch eigentlich (vom Webseitenbetreiber) vermeidbaren Risiken ausgesetzt.

Um den Vernetzungswahn von Webseitenbetreibern darstellbar zu machen und dadurch insbesondere die damit verbundenen Risiken aufzuzeigen, eignen sich verschiedene Tools, zu denen beispielsweise Webbkoll zählt.

2.2 Webbkoll

Webbkoll ist ein von Internetfondeni und IIS finanziertes Projekt aus Schweden, das von dataskydd.net entwickelt wurde. Vereinfacht ausgedrückt, simuliert Webbkoll das, was bei einem Webseitenaufruf durch einen Browser im Hintergrund passiert. Die bei einem simulierten Webseitenaufruf gesammelten Informationen, werden vom Tool aufbereitet und gemeinsam mit zusätzlichen Hinweisen dargestellt.

Im Beitrag »Webbkoll: Wie datenschutzfreundlich ist deine Webseite?« und »Online-Scanner: Tools für Sicherheit und Datenschutz« hatte ich das Tool bereits vorgestellt, weshalb ich an dieser Stelle von einer detaillierten Darstellung absehe und mich im Folgenden auf das Wesentliche konzentriere.

Durch die bei Webbkoll eingesetzten Techniken, ist man als Nutzer in der Lage, die Cookies von Drittanbietern sichtbar zu machen. Webbkoll stellt diese, entsprechend grafisch aufbereitet, in einer Liste dar. Die Aufzeichnung und Darstellung solcher Cookies ist insbesondere deshalb relevant, da Drittanbieter Cookies meist ohne das Wissen des Nutzers innerhalb des Browsers bzw. in seinem Speicher ablegen. Nicht selten dienen solche Cookies dem Tracking, also dem Verfolgen und Analysieren des Surfverhaltens von Nutzern.

Beim Besuch einer Webseite lädt ein Browser unterschiedliche Ressourcen wie Texte, Bilder oder Videos und stellt diese dar. Diese Ressourcen werden vom Webseitenbetreiber meist direkt in die Seite eingebunden und direkt über seine Webseite ausgeliefert. Bei der Wahl der Quelle für diese Ressourcen müssen Webseitenbetreiber diese Ressourcen nicht zwingend auf ihrem Server hosten und an den Browser des Nutzers ausliefern. Vielmehr ist es ihnen auch möglich, Ressourcen aus anderen Quellen mit einzubinden. Zu diesen fremd eingebundenen Ressourcen zählen neben Bildern oder Videos häufig auch JavaScript, Schriftenarten oder Social-Media-Angebote. Ruft ein Besucher eine Webseite nun auf, ist es für ihn zunächst nicht ersichtlich, welche externen Ressourcen ein Webseitenbetreiber alles eingebunden hat und welche von seinem Server stammen. Webbkoll kann diese »Vertrauensbeziehungen« zu Drittanbietern sichtbar machen.

2.3 Webbkoll in Aktion

Um die Funktionsweise und die Möglichkeit der Informationsgewinnung mittels Webbkoll anschaulich darzustellen, soll dieses im Nachfolgenden anhand eines prominenten Beispiels, der Nachrichtenseite ZEIT ONLINE erfolgen – getestet am 10.11.2017.

Das Gesamtergebnis für ZEIT ONLINE  war demnach wie folgt:

  • Cookies: Bei einem Besuch von ZEIT ONLINE werden insgesamt 44 Cookies im Browser des Nutzers abgelegt/erneuert. Ob es sich dabei um Cookies von ZEIT ONLINE oder Drittseiten handelt stellt Webbkoll nochmals gesondert dar.
  • Third-party requests: Bei einem Besuch auf ZEIT ONLINE werden insgesamt 99 Verbindungen vom Browser initiiert, die die Ressourcen nicht vom ZEIT ONLINE-Server sondern von Drittseiten (Servern) nachladen.
  • Third-parties contacted: Die 99 externen Verbindungen verteilen sich auf insgesamt 39 unterschiedliche Domains. Demnach werden also Ressourcen von 39 Domains eingebettet.

Cookies sind insbesondere für die Privatsphäre von Nachteil. Wir richten unseren Blick allerdings auf die Einbindung von externen Quellen, die hinsichtlich der Sicherheit und Privatsphäre besonders kritisch zu bewerten sind:

Third Party Requests ZEIT ONLINE

Wie die Abbildung aufzeigt, wurden bei einem Besuch von ZEIT ONLINE insgesamt 99 externe Verbindungen vom Browser initiiert, die zu 39 unterschiedlichen Domains gehörten. Von diesen Domains wurden unterschiedliche Ressourcen, wie Bilder, Videos, JavaScript, Werbung usw. in den Kontext der ZEIT ONLINE Webseite eingebunden.

Mit jeder Ressource die ein Webseitenbetreiber einbindet, geht er eine Vertrauensbeziehung mit der jeweiligen Quelle bzw. Domain ein. Das bedeutet wiederum auch, dass die eigentliche Kontrolle über die ausgelieferte Ressource allein beim Drittanbieter liegt. Wird der Drittanbieter allerdings in irgendeiner Form kompromittiert bzw. gehackt, kann das unter Umständen dazu führen, dass der Angreifer die auszuliefernde Ressource gegebenenfalls modifiziert und dass beispielsweise statt eines schadlosen ein schadhafter JavaScript-Code an den Besucher von ZEIT ONLINE ausgeliefert wird.

Insofern sollte man sich vor Augen führen, dass bei einem Besuch von ZEIT ONLINE insgesamt 39 Verbindungen zu fremden Domains vom Browser initiiert wurden, die faktisch nicht unter der Kontrolle vom Seitenbetreiber stehen. Oder anders formuliert: Der Nutzer muss bei einem Besuch auf ZEIT ONLINE 39 Drittanbietern hinsichtlich seiner Sicherheit und Privatsphäre vertrauen. Das Schlimme an dem Vernetzungswahn ist aber, dass der Nutzer ja oftmals gar nicht weiß, dass 39 Drittanbieter zusätzlich involviert sind. Nach meiner Auffassung informiert die Datenschutzerklärung der ZEIT ONLINE den Anwender nur unzureichend über die Einbindung dieser (39) Drittanbieter und die damit verbundene Datenerhebung.

Dass von den insgesamt 99 Verbindungen 60 von Webbkoll als »insecure«, also unverschlüsselte Datenverbindungen eingestuft wurden, ist weiterhin bedenklich.

Hinweis

Man hätte auch jede andere Verlagsseite / Newsangebot wie Spiegel Online oder die Süddeutsche Zeitung nehmen können, das Ergebnis wäre ähnlich ausgefallen.

3. Google Web-Services

Was hat das vorstehend gewählte Beispiel von ZEIT ONLINE nun mit den Google Web-Services für Webseitenbetreiber zu tun? Ganz einfach: Das Beispiel steht stellvertretend für den (Google-)Vernetzungswahn, dem viele Webseitenbetreiber heutzutage verfallen sind. Diesen Vernetzungswahn stellt auch die Studie Exposing the Hidden Web: An Analysis of Third-Party HTTP Requests on One Million Websites aus dem Jahr 2014 dar, in der 1 Million der bekanntesten Webseiten untersucht wurden:

Dritt-Ressourcen

Aus der 4. Spalte (mit third-party Element) lässt sich entnehmen, dass etwa 87 % der untersuchten Webseiten Ressourcen von Drittanbietern nachladen und dabei im Schnitt 9,5 (durchschnittliche Anzahl kontak-tierter Domains) (fremde) Domains kontaktieren. 63 % der Webseiten setzen dabei Cookies von Drittanbietern beim Besucher und bei ca. 83 % wird JavaScript von externen Quellen eingebunden (Werte gerundet).

Ein ähnliches Bild ergibt sich für die untersuchten Seiten aus Ländern wie den USA (com, edu, gov), oder Deutschland (de), Russland (ru) oder England (uk).

Laut der Studie wurden insgesamt 7.564.492 Millionen Cookies und 21.214.652 unterschiedliche Ressourcen von 1.056.533 Millionen Drittanbietern eingebunden.

3.1 Häufig eingesetze Inhalte

Im Rahmen der Studie wurde auch untersucht, welche externen Ressourcen am häufigsten in Webseiten eingebunden werden:

  • JavaScript: JavaScript erlaubt es, HTML-Dokumente während der Anzeige im Browser dynamisch zu verändern, Benutzerinteraktionen auszuwerten oder neue Inhalte nachzuladen. Zu den typischen Anwendungsgebieten von JavaScript zählen deshalb unter anderem die Datenvalidierung von Formulareingaben, die Anzeige von Dialogfenstern oder die Anzeige von Suchvorschlägen während der Eingabe. JavaScript ist nicht per se unsicher. Dennoch wird die Sicherheit von JavaScript aufgrund der mannigfaltigen Funktionen und Möglichkeiten immer wieder kontrovers diskutiert, da die meisten der in Browsern bekannt gewordenen Sicherheitslücken oftmals eng mit JavaScript und deren Funktionalität verknüpft sind.
  • Bilder: Bilder, Audio und Video zählen zu den Multimedia-Elementen im WWW. Insbesondere Bilder werden häufig von Drittseiten zur Auslieferung von Werbung eingebunden oder als unsichtbare Web-Bugs missbraucht, die gerne im Bereich des Online-Marketing zum Einsatz kommen, um den Besucher zu tracken.
  • Schriftarten: Moderne Browser unterstützen heute das Nachladen von Schriftarten von Webseiten oder Drittquellen, meist mit dem Ziel, ein einheitliches Aussehen der Webseite, browser- und betriebssystemübergreifend zu erreichen.
  • Stylesheets: Über die Stylesheet-Sprache Cascading Style Sheets (CSS) wird im Zusammenspiel mit HTML, das Aussehen und die Gestaltung von Webseiten beeinflusst. CSS ermöglicht weitestgehend eine Trennung von Darstellung und Inhalt einer Webseite.
  • Weitere Ressourcen: Neben den bereits genannten, existieren weitere Ressourcen, die in den Kontext einer Webseite eingebettet werden können. Dazu zählen unter anderem Ressourcen, die in der fünften Fassung von HTML spezifiziert sind, also z. B. mathematische Formeln, Vektorgrafiken, Tonspuren oder interaktiver Inhalt. Im Grunde kann ein Webseitenbetreiber damit nahezu jeden (externen) Inhalt einbinden. Es ist daher wenig verwunderlich, dass im Rahmen der Studie, 38 % von Elementen identifiziert wurden, die keiner der vorstehend genannten Ressourcen zuzuordnen sind.

Die Studie differenziert nicht, ob es sich bei einem eingebundenen JavaScript beispielsweise um ein Social-Media Plugin handelt oder einen klassischen Tracker, der das Surfverhalten analysiert. Zu den klassischen Trackern zählen bspw. Web-Bugs, 1×1 Pixel oder Like-Buttons der sozialen Netzwerke wie Facebook.

3.2 Krebsgeschwür Google

Die Studie Online Tracking: A 1-million-site Measurement and Analysis hat 2016 über 1 Million Webseiten analysiert. Bemerkenswert ist in dieser Studie eine Auswertung, die aufzeigt, welche Unternehmen mit ihren Diensten am häufigsten auf den Webseiten eingebunden wurden und über die Auslieferung von Web-Bugs, JavaScript, Social Media-Addons oder andere Ressourcen in die Lage versetzt werden, das Surfverhalten von Besuchern aufzuzeichnen – allen voran Google:

Tracking Content

Aus der Studie geht hervor, dass Webseitenbetreiber mit über 80 % Google-Dienste (Google Analytics, DoubleClick, Schriftenarten, usw.) in Anspruch nehmen, die wiederum zwingend in die Webseite des Betreibers eingebunden sein müssen:

Google Tracking

3.3 Googles-Dienste / Web-Services

Webseitenbetreiber binden gemäß der Studie überdurchschnittlich oft Google-Dienste in den Kontext ihrer Webseite ein. Zu den bekanntesten dieser Services zählen unter anderem:

  • Google Analytics: Webseitenbetreiber analysieren mit Hilfe von Google Analytics unter anderem die Verweildauer auf einzelnen Seiten oder die Wirksamkeit von Werbemitteln. Aus datenschutzrechtlicher Sicht ist der Dienst höchst umstritten, was allerdings mehr als 50% der Webseitenbetreiber weltweit nicht davon abhält, die Besucheranalyse in Googles Hände zu legen.
  • Google Fonts: Um ein einheitliches Aussehen einer Webseite zu erreichen, binden viele Webseitenbetreiber Schriften in Kontext der Seite ein. Anstatt diese allerdings lokal zu hosten und auszuliefern, werden viele Schriftarten direkt über Google eingebunden – das spart oftmals wertvolle Bandbreite und die Integration ist äußerst bequem für den Betreiber.
  • Google DoubleClick: DoubleClick zählt zu einem der größten Auslieferer von Werbung weltweit. Über die Einblendung von Werbung kann Google einen Nutzers praktisch durch das (gesamte) Internet verfolgen, da beim Abruf der Werbung vom Browser auch immer IP-Adresse, Domain und weitere Browserinformationen übermittelt werden.
  • Google Maps: Der Online-Kartendienst bietet ein detailliertes Kartenmaterial, das ebenfalls direkt in die Webseite eingebunden werden kann. Viele Webseitenbetreiber nutzen Google Maps im Impressum oder unter Kontaktinformationen für eine Anfahrtsbeschreibung.
  • Google+: Ähnlich dem Like-Button von Facebook erhoffen sich Webseitenbetreiber mit der Einbindung sozialer Medien eine Erhöhung der Reichweite, da jedes Like im Grunde das Publikum vergrößert und dafür sorgt, dass weitere Teilnehmer auf ihre Webseite aufmerksam werden.
  • Googles Accelerated Mobile Pages (AMP): Gerade auf relativ schwachbrüstigen Smartphones und Tablets dauert das Laden von komplexen Seiten wesentlich länger.  Mit AMP sollen Webseiten insbesondere auf Smartphones schneller laden – indem datenintensive Werbeformen und der Einsatz von JavaScript beschnitten wird. Eine logische Maßnahme, die im Grunde jeder Webseitenbetreiber selbst durchführen könnte. Google AMP braucht es dazu jedenfalls nicht.
  • […]

Das Einbinden externer Google-Dienste auf Webseiten verfolgt meist unterschiedliche Ziele. Für viele Webseitenbetreiber ist es schlichtweg bequem, eine JavaScript-Bibliothek von einer externen Quelle einzubetten, ohne sich die Mühe zu machen, die für die Funktionalität der Webseite benötigen Ressourcen selbst zu hosten. Zweifellos sind die genannten Google Services benutzerfreundlich und können von jedem Webseitenbetreiber in wenigen Schritten in den Kontext der eigenen Webseite eingebunden werden.

Bequemlichkeit und fehlendes Risikobewusstsein sind sicherlich zwei Gründe, für den Vernetzungswahn moderner Webseiten. Doch oftmals stecken auch weitere Beweggründe hinter der Einbindung von Google-Services, die häufig leider nicht mit Sicherheit und Datenschutz in Einklang gebracht werden können.

4. Risiken für Sicherheit und Datenschutz

Insbesondere beim WWW entstehen durch das unreflektierte Einbinden von externen Ressourcen, wie Bilder oder JavaScript in eine Webseite Risiken, die für die Rechte und Freiheiten eines Webseitenbesuchers ungeahnte Konsequenzen haben können. Wie wir bereits gesehen haben, ist Google beim Anbieten von (Web-)Services marktführend – nicht zuletzt aufgrund der einfachen Handhabung.

Im Folgenden möchte ich nochmal im Detail auf Google-Services eingehen, deren Einbindung mit einem Risiko für Sicherheit und Datenschutz der Webseitenbesucher einhergehen.

4.1 (Web-)Tracking via Google Analytics

Webtracking gibt es schon seit den Anfängen des Internets. Dabei wird das Ziel verfolgt, das Verhalten eines Besuchers auf einer Webseite zu erfassen und anschließend seine Verhaltensweisen zu analysieren. Die daraus gewonnenen Erkenntnisse werden meist zur Optimierung und Kontrolle einer Webseite eingesetzt bzw. liefern insbesondere im elektronischen Handel wichtige Informationen, so z. B.

  • zur Wirksamkeit einzelner Werbemittel
  • zur Anzahl der Besucher eines Webshops bzw. aufgerufener Artikel
  • zum Anteil der Besucher, die ein bestimmtes Produkt in den Warenkorb legen
  • zum durchschnittlichen Warenkorbwert oder
  • Suchbegriffe mit denen der Web-Shop gefunden wurde

Um einzelne Seitenaufrufe eines Besuchers zu erfassen bzw. um wiederkehrenden Besucher zu erkennen, setzen Webseitenbetreiber auf unterschiedliche Technologien. Zu den am häufigsten eingesetzten Verfahren zählen dabei unter anderem auf Logdateien vom Webserver, Cookies, Web-Bugs oder JavaScript-Lösungen wie Google Analytics.

Ursprünglich war die Tracking-Technik vor allem dazu gedacht, einem Webseitenbetreiber zu ermöglichen, die Aktionen eines Besuchers zu analysieren, um daraus Erkenntnisse zu gewinnen, wie er seine Webseite (weiter) optimieren/verbessern kann. Doch die Tracking-Techniken haben sich immer mehr zu einem perfiden Werkzeug entwickelt, mit dem man das Surfverhalten von Nutzern auch jenseits der einzelnen Webseite, praktisch durch das ganze WWW nachverfolgen kann. Diese Problematik des seitenübergreifenden Trackings hat sich insbesondere dadurch verschärft, dass Webseitenbetreiber die Erfassung und Auswertung ihrer Besucher gar nicht mehr selbst durchführen (wollen), sondern diesbezüglich zunehmend auf externe Dienstleister wie Google zurückgreifen, die ihnen diese Arbeit abnehmen.

Das Outsourcing dieser Besucheranalyse zu Google macht es allerdings wiederum notwendig, dass ein Webseitenbetreiber externe Ressourcen einbindet, die dann z. B. über Web-Bugs oder JavaScript das Besucherverhalten erfassen und analysieren. Die Einbindung von Google Analytics ist für den Webseitenbetreiber meist bequem und mit wenig Aufwand verbunden (lässt sich mit ein paar Klicks durchführen), weshalb sich diese Praxis allgemein durchgesetzt hat.

Ein weiterer Vorteil von Google Analytics stellt die vermeintlich meist kostenlose Nutzungsmöglichkeit für einen Webseitenbetreiber dar. Dieser muss lediglich – als Gegenleistung – mit den Daten seiner Besucher »bezahlen«.

Durch die Einbindung externer Dienstleister in seine Webseite geht ein Webseitenbetreiber demnach eine Vertrauensbeziehung ein, ohne sich womöglich mit der daraus resultierenden Tracking-Problematik bzw. der Aufzeichnung sensibler Informationen durch Dritte ausreichend auseinandergesetzt zu haben.

Letztendlich sollte man sich nochmals vor Augen führen, dass beispielsweise bei einem Besuch auf einem News-Portal durchschnittlich ca. 45 externe Dienstleister das Surfverhalten »tracken« und gerade große Anbieter wie Google dadurch in die Lage versetzt werden, einen Nutzer nahezu lückenlos über das Internet zu verfolgen – ganz gleich ob die IP-Adresse vor der Übermittlung »anonymisiert« wird. In der Studie (Cross-)Browser Fingerprinting via OS and Hardware Level Features wird aufgezeigt, dass sich über Browser-Merkmale (Bildschirmauflösung, Farbtiefe, etwaige im Browser installierte Plugins oder Schriftarten) 99,24 % der Besucher wiedererkennen lassen. Es ist also auch ohne die Verwendung von Cookies oder der vollständigen Übermittlung der IP-Adresse möglich, dass Google das Surfverhalten des Nutzers seitenübergreifend verfolgt / trackt.

4.2 Auslieferung von Werbung via DoubleClick

Die Einbindung externer Ressourcen zur Auslieferung von Werbung zählt mitunter zu einem der häufigsten Anwendungszwecke im WWW. In den meisten Fällen wird die Werbung über einen Dienstleister ausgeliefert, der vom Seitenbetreiber in den unterschiedlichsten Formen, wie Banner, Textwerbung oder Pop-up Fenster, in die Webseite eingebunden wird. Insbesondere Nachrichtenseiten, Blogs oder auch andere kostenfreie Dienste finanzieren darüber einen Großteil ihres Angebots.

Ein Vorteil von Google DoubleClick für den Betreiber einer Seite ist, dass meist genau nachvollzogen werden kann, wie viele Personen eine Werbung gesehen und angeklickt haben. Allerdings sind diese Informationen nicht nur für den Betreiber interessant, sondern insbesondere auch für den Dienstleister, der die Werbung ausliefert. Nahezu jeder Seitenaufruf wird von Google mitgeschnitten und das Surfverhalten analysiert. Aus dem Surfverhalten kann mittels entsprechender Korrelation und Kombination mit anderen Daten dann relativ einfach auf das Alter und Geschlecht geschlossen werden oder auch eine Wahrscheinlichkeits-Aussage über die Hobbys und Interessen eines Nutzers erfolgen. Aus den aufgezeichneten Informationen können demnach individuelle Profile erstellt werden, die es ermöglichen, auf den Nutzer zugeschnittene Werbeangebote anzuzeigen.

Allerdings ist die Einblendung bzw. die Darstellung von Werbung nicht nur hinsichtlich der Privatsphäre eines Besuchers bedenklich, sondern auch bezüglich seiner Sicherheit. Google hat immer mal mit einem Problem zu kämpfen, das sich in den letzten Jahren massiv ausgebreitet hat. Mittels schadhafter Online-Werbung, sogenannte Malvertising, werden zunehmend Sicherheitslücken in Browsern, Addons usw. ausgenutzt, die unter anderem dazu führen, dass Rechner der Besucher vollständig gekapert werden können. Dass Angreifer insbesondere den Browser zum Verbreiten von Schadsoftware ausnutzen ist kein Zufall. Denn dieser ist der Schlüssel zum Internet bzw. zum WWW, mit dem wir sowohl private als auch berufliche Aufgaben erledigen. Gelingt es dem Angreifer, eine entsprechende Schwachstelle im Browser bzw. in der vom Browser verwendeten Software auszunutzen, wird zusätzlicher Schadcode geladen, der unter anderem die Festplatte verschlüsseln oder sensible Zugangsdaten von den infizierten Rechnern ausspähen kann.

Wie einige Schlagzeilen aus der einschlägigen Berichterstattung zeigen, gelingt es Angreifern zunehmend, die Sicherheitsmaßnahmen von Werbedienstleistern -auch Google- zu umgehen und ihre Schadsoftware auszuliefern:

Insbesondere wenn es gelingt, Schadcode in den Anzeigen von großen Werbenetzwerken, wie DoubleClick, unterzubringen, vervielfacht dieses die Wahrscheinlichkeit einer erfolgreichen Infektion entsprechender Browser/Rechner erheblich. Die Auslieferung von Werbung bedingt wie dargestellt meist die Einbindung vorgefertigter JavaScript-Codes, die der Seitenbetreiber vom Werbedienstanbieter bereitgestellt bekommt und an geeigneter Stelle in seine Webseite integrieren muss.

Allerdings kann sich die Einbettung von fremden JavaScript-Code, egal ob dieser nun für die Auslieferung von Werbung oder der Darstellung eines Sliders benutzt wird, negativ auf die Verfügbarkeit, als auch auf die Sicherheit des Webservers und damit auch letzten Endes auf seine Besucher auswirken:

  • Externer JavaScript-Code: Angenommen ein Seitenbetreiber hat externen JavaScript-Code »example.de/slider.js« eingebunden. Man sollte sich immer vor Augen führen, dass der Betreiber von »example.de« praktisch jederzeit Änderungen an der JavaScript-Datei vornehmen kann. Möglicherweise wird er auch gehackt und die Angreifer modifizieren den JavaScript-Code derart, dass er beispielsweise schadhaften Code von einer anderen Domain nachlädt. Eine böswillige Veränderung von JavaScript-Code kann unter anderem auch dazu missbraucht werden, um Cookies aus dem Kontext einer Webseite zu stehlen oder die Login-Daten (Benutzernamen & Passwort) abzugreifen. Für diesen Vorgang benötigt ein Angreifer noch nicht einmal Zugang zur Webseite des Betreibers, sondern einzig und alleine zum JavaScript, das er entweder selbst kontrolliert oder entsprechend auf dem Server des Drittanbieters modifiziert hat. Fatal an dieser ganzen Thematik ist, dass der Webseitenbetreiber praktisch keine Chance hat, von dieser Veränderung etwas mitzubekommen. Vielmehr muss er dem Anbieter blind vertrauen und sich damit auch darüber im Klaren sein, dass er durch die Einbindung von externem Code zum einen seinen Besuchern und damit auch letzten Endes sich selber extrem schaden kann. Mittlerweile steht mit »Subresource Integrity« eine Technologie bereit, die die Integrität von JavaScripten sicherstellt, die über Drittseiten eingebunden werden. Darüber ließen sich nachträgliche und auch bösartige Veränderungen an JavaScript-Code erkennen. Allerdings wird diese Technik noch nahezu von keinem Webseitenbetreiber bzw. Drittanbieter verwendet.

Wie aufgezeigt, ist die Einbindung von Werbung daher nicht nur hinsichtlich der Privatsphäre eines Besuchers bedenklich, sondern gerade auch im Hinblick auf seine Sicherheit, wie u. a. die vorstehend dargestellte Problematik des Malvertisings und die Einbindung von externen JavaScript-Ressourcen aufzeigen sollte.

4.3 Weitere Google-Services

Das Einbinden von Google Analytics oder Google DoubleClick zählt mitunter zu den häufigsten Anwendungszwecken, bei denen Webseitenbetreiber externe Ressourcen von Google verwenden. Es existieren allerdings noch weitere Services, die Webseitenbetreiber von Google einbinden und die nicht weniger fragwürdig hinsichtlich der Wahrung von Sicherheit und Privatsphäre eines Besuchers sind. Denn die meisten Google-Services bedingen meist die Einbindung von »fremdem« JavaScript-Code bzw. erfordern das Nachladen von Ressourcen, die von Google bereitgestellt werden und zwangsläufig mit der Übermittlung der IP-Adresse eines Besuchers einhergehen. Eben diese Übermittlung der vollständigen IP-Adresse bei der Einbindung externer Google-Services, führt nach meiner Auffassung, die angebliche Kürzung der IP-Adresse bei der »datenschutzkonformen« Verwendung von Google Analytics ad absurdum. Wem nutzt eine »Anonymisierung« der IP-Adresse via Google Analytics, wenn im gleichen Atemzug die IP-Adresse bei der Einblendung von DoubleClick-Werbung oder Google Kartenmaterial wieder vollständig vom Browser übermittelt wird? Sofern Webseitenbetreiber neben Google Analytics weitere Google-Services einbinden, wird der Sinn und Zweck der IP-Adressanonymisierung praktisch ausgehebelt.

Wie bereits unter Ziffer 4.2 dargestellt, geht die Einbindung von externen JavaScript-Ressourcen mit einem Risiko für die Sicherheit des Webseitenbetreibers und insbesondere seiner Besucher einher. Die Einbindung von JavaScript stellt allerdings nicht nur hinsichtlich von Werbung ein mögliches Problem dar, sondern lässt sich grundsätzlich auf alle Anwendungszwecke ausweiten, die es erforderlich machen, JavaScipt-Code von Drittanbietern einzubinden. Auch die Einbindung von externem Kartenmaterial (Google Maps) oder interaktiven Grafikelementen (jQuery) ist immer mit einer Vertrauensbeziehung verbunden, die ein Webseitenbetreiber zwangsläufig mit Google / einem Drittanbieter eingehen muss. Zu keinem Zeitpunkt hat er allerdings die Kontrolle, ob Google selbst oder ein Hacker böswillige Veränderungen an dem eingebetteten JavaScript-Code vornimmt. Folglich gefährdet ein Webseitenbetreiber mit jeder Einbindung von JavaScript, über einen Drittanbietern, die Sicherheit seiner Besucher.

Ein Sicherheitsvorfall auf der Webseite des Finanzdienstleistungsunternehmens Equifax führt einem vor Augen, welche negativen Auswirkungen mit der Einbindung externen JavaScript-Codes einhergehen kann. Über die Webseite bzw. das eingebundene JavaScript des Drittanbieters wurde Adware ausgeliefert, mit der sich eine bis dato unbekannte Anzahl von Nutzern infizierte.

Vielfach wird allerdings einer weiteren Problematik, die mit der Einbindung externen Ressourcen einhergeht, nicht genügend Beachtung geschenkt. Denn jedes Mal, wenn der Browser eine Webseite aufruft und externe Ressourcen nachlädt, initiiert der Browser systembedingt eine Verbindung zu dieser Quelle auf. Bei diesem Verbindungsaufbau wird, und das ist technisch gar nicht anders möglich, die IP-Adresse an den Server übertragen, damit die angeforderte Ressource anschließend von dort bezogen werden kann. IP-Adressen stellen wie nun mehr oder weniger rechtlich anerkannt ist, personenbezogene Informationen dar, die im Zuge der Einbindung einer externen Ressource an den Drittanbieter übermittelt wird. Allerdings ist vielfach ungewiss, ob der Drittanbieter diese Informationen auch speichert und für welche Zwecke er diese möglicherweise verwendet. So bedingt beispielsweise auch die Einbindung von externem Kartenmaterial (Google Maps) oder auch Integration von Schriften (GoogleFonts) immer auch eine Übermittlung der IP-Adresse an den Drittanbieter, bei dem man nicht weiß und abschätzen kann, was dieser letzten Endes mit den ihm übermittelten Daten (noch) anstellt.

5. Was also tun?

Angesicht der im WWW vorherrschenden Praxis, Ressourcen wie JavaScript oder ganz simple Schriftarten von Drittanbietern wie Google einzubinden, wirft sich die Frage auf, ob sich Webseitenbetreiber mit den daraus resultierenden Konsequenzen für die Sicherheit und die Privatsphäre für sich aber insbesondere ihrer Besucher ausreichend auseinandergesetzt haben.

Würden sich die Webseitenbetreiber mit den möglichen Konsequenzen auseinandersetzen, so müsste sich der Großteil der Betreiber wohl (endlich) eingestehen, dass sie mittlerweile einen ganzen Wust an Drittanbietern – allen voran Google – in den Kontext ihrer Seiten einbinden. Mit jeder Ressource die ein Webseitenbetreiber einbindet, geht er allerdings eine Vertrauensbeziehung mit der jeweiligen Quelle bzw. Domain ein. Das bedeutet wiederum auch, dass die eigentliche Kontrolle über die ausgelieferte Ressource allein beim Drittanbieter liegt.

In erster Linie sollte es im Interesse eines Webseitenbetreibers selbst liegen, diesem schleichenden Kontrollverlust entgegenzuwirken und sich insbesondere aus Googles »krakenhafter« Umklammerung zu lösen:

  • Tracking: Google Analytics lässt sich bspw. durch die datenschutzfreundliche Open-Source Alternative Matomo ersetzen.
  • Schriftarten: Google Fonts oder auch andere Schriftarten können über den eigenen Server eingebunden und ausgeliefert werden.
  • Kartenmaterial: Google Maps lässt sich durch das freie Projekt OpenStreetMap ersetzen.
  • Social-Media: Social-Media-Buttons, wie die von Facebook oder Google+, lassen sich bspw. über Shariff datenschutzfreundlich in den Kontext einer Webseite einbinden.
  • […]

Die Alternativen zu Google Web-Services sind vorhanden – man muss sie nur nutzen (wollen). Sofern sich Webseitenbetreiber allerdings nicht eingestehen wollen, dass der Vernetzungswahn und die geschwürartige Ausbreitung von Google schädlich für die Sicherheit und Privatsphäre ihrer Besucher ist, bleibt einem letztendlich nur der Selbstschutz mit Browser-Addons, wie bspw. uBlock Origin oder (für Fortgeschrittene) uMatrix.

Hinweis

Im Beitrag »Tschüss Datenkrake: Ein Leben ohne Google« wird aufgezeigt, wie ihr euch als Privatanwender aus der krakenhaften Umklammerung von Google befreien könnt.

6. Fazit

Insbesondere Unternehmen oder Institutionen, die Dienstleistungen im Bereich der Informationssicherheit oder Datenschutz anbieten, sollten in der Lage sein, ihren Webauftritt entsprechend sicher und datenschutzfreundlich zu gestalten. Vielfach ist dies allerdings nicht der Fall, was nach meiner Auffassung ein Zeichen dafür ist, dass diese Protagonisten sich mit den technischen und rechtlichen Fragestellungen, die sich im Bereich des sicheren und respektvollen Umgangs mit personenbezogenen Daten ergeben, offenbar nicht auseinandersetzen wollen oder können.

Wenn Banken z. B. ihre Kunden beim Login in den Online-Banking Bereich tracken oder Anwaltskanzleien, die sich das Thema Datenschutz auf die Fahne geschrieben haben, Google Schriftarten in die Webseite einbinden, dann ist das ein Beleg für den Vernetzungswahn, dessen Risiken den Verantwortlichen offenbar nicht bekannt sind oder schlichtweg ausgeblendet werden. Aktuell ist auch keine Trendwende in Sicht, die das Einbinden von externen Ressourcen verringert oder zumindest in Frage stellt. Die Zeichen stehen weiterhin auf Vernetzung, ohne die Sicherheit und Privatsphäre von Nutzern ausreichend zu berücksichtigen.

Das Web ist seiner derzeitigen Form ist krank und wird insbesondere von Google dominiert – die Frage ist, ob wir an einer »Heilung« interessiert sind oder den Strukturwandel weiterhin Anbietern wie Google, Amazon oder Facebook überlassen wollen.

Bildquellen:

Sick: Smileys and people from www.flaticon.com is licensed by CC 3.0 BY
WWW Click: DinosoftLabs from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

43 Ergänzungen zu “Das kranke WWW: Stop using Google Web-Services”

  1. Comment Avatar Hugo Taranis sagt:

    Sehr guter Artikel! Vielen Dank!

    Peinlich wie uns unsere Politik- und Wirtschafts-„Elite“, offenbar bereits abhängig wie unmündige Deppen von den US-Datenkraken, uns, die Wähler und Bevölkerung als zu melkendes Datenvieh, ungeschützt verheizt.

    Und, nein, es hilft nicht, kein Facebookler oder Dumm-Googler zu sein: Die kriegen dich auch so, wie der Artikel zeigt.

    Das Internet war mal frei, dann kam Google.

    • Comment Avatar Egon Frisky sagt:

      Kriegen die eigentlich auch meine Metadaten, wenn ich Conversations als Messenger nutze?

      • Comment Avatar Anonymous sagt:

        Bei Nutzung von Conversations ohne Google Diensten fallen nur beim Serverbetreiber Metadaten an. Google bleibt hier außen vor.

    • Comment Avatar Anonymous sagt:

      Es hilft schon kein Googler und Facebooker zu sein. Die Einstellung „nichts hilft“ dann nutze ich gleich die Datenkraken hilft am wenigsten.
      Man kann sich schon bis zu einem gewissen Grad schützen siehe 3-Browser Konzept

      • Comment Avatar Kermit Modify sagt:

        Ich meine auf Heise.de wurde binnen der letzten drei Monate über eine Studie zweier Informatikstudenten berichtet, die in einem „paper“ darlegten, dass das Tracking bei Verwendung mehrerer Browser noch wesentlich zuverlässiger funktioniert, als wenn das ‚target‘ nur einen Browser verwendet … find’s grad nicht wieder.

        Man mache sich aber klar: In den USA gilt das Online-Tracking mittlerweile als (hochbezahlte, hochlukrative) Wissenschaft und diese Studenten haben ihren Job bei den Datenkraken damit bereits in der Tasche … 8-/

        Dennoch nutze ich selbst deutlich mehr als zwei Browser.
        Einfach aus dem Grund, dass mein Hauptbrowser eben manchmal den Mist nicht mitmacht und sich weigert, ich aber dennoch weiterarbeiten muss … 8-)

        Seit fast einem Jahrzehnt muss ich aber für meine Mitbewohner meine anfangs sicheren Routereinstellungen lockern .. und lockern … und lockern … einfach, weil die Datenkraken immer invasiver werden und meine Mitbewohner immer online-süchtiger … 8-/

        • Comment Avatar Anonymous sagt:

          Kenne das Paper
          Bei „normalen“ Browsern ist das auf jedenfall über CSS und Javascript machbar.
          Der TorBrowser ist mit deaktiviertem Javascript jedoch relativ safe vor Fingerprinting, da natürlich jeder mit dem TorBundle den gleichen Fingerprint aufweist und auch die größe des Browserfensters immer gleich ist.
          Daher bringt dass 3-Browser Konzept in der Form schon etwas in punkto Tracking, da für generelles Surfen immer das TorBundle zu Einsatz kommt.
          Sobald man jedoch auf Eigenlösungen setzt ist man immer identifizierbar.

  2. Comment Avatar Jens sagt:

    Wäre es nicht möglich, ein kleines Script zu schreiben, welches die Daten des Drittanbieters erst mal auf den Server lädt und sie dann an den Webseitenbesucher ausliefert? In erster Linie um die IP zu „verschleiern“, aber in zweiter Linie könnte der Server auch als Virenscanner/Malwarescanner fungieren … ist nicht die perfekte Lösung, die wäre in der Tat, die Drittanbietersoftware gar nicht erst einzubauen!

  3. Comment Avatar SecInt sagt:

    Bevor man die Datenschutz/Datenverbindungen einer Website lesen kann wurde man doch bereits getrackt. Eigentlich müsste es eine vorschaltseite geben (ohne tracker/3rd party scripts) die auf alle eingebunden scripte hinweist. Am besten nach Kategorien Werbung, Daten Krake etc. dann könnte man bewusst entscheiden und Seiten meiden.

    Es gibt halt für nicht direkt spürbare Auswirkungen die normal User Überzeugen.

    Und wenn man es versucht ist man Schwarzmaler oder aluhut Träger

  4. Comment Avatar asca sagt:

    Gruselig aus meiner Sicht ist vor allem das Nachladen von JS-Code von Dritten. Denn dieser Code läuft dann im Context der jeweiligen Seite und kann somit ALLES auslesen.

    Beispielsweise musste ich jetzt heftigst dazwischengrätschen als auf einer Vereinswebseite ein WordPress-Plugin aktiviert wurde, was so schön einfach (!) eben Google-Translate einbindet. Dies war dann auch auf der Seite zwecks Mitgliedsantrag aktiv, wo die Leute halt Adressdaten, Kontoverbindung, etc. eingeben. Im Grunde muss man davon also ausgehen, dass Google diese während der Eingabe auslesen kann.
    Vermutlich wird es aktuell (wohl und noch) nicht gemacht, weil das Sammeln und Auswerten noch nicht so einfach automatisierbar ist.
    Auch sind Techniken des Maustrackings zur Identifikation ja nicht mehr nur theoretisch.

    Zudem gibt es genügend Möglichkeiten, um zu verschleiern, dass dies passiert. Denn JEDER kann ja ganz andere JS-Dateien ausgeliefert bekommen. Der eine mag tatsächlich jquery.js bekommen, der andere bekommt jquery.js + reingepacktes „tracking.js“.

    Und das durchsetzt heute fast sämliche Webseiten. Selbst wer nicht mit Google einen Arzt sucht, sondern direkt auf jameda (deutsche Betreiber) geht, wird zwangsläufig an Google dabei übermitteln welchen Arzt und wo er sucht… denn es wird ja die Karte von Google geladen indem Google-JS eigenbunden wird. Das gleiche bei (Essens)-Lieferdiensten, Restaurantsuche, …
    Selbst wer sich hier noch versucht zu schützen und Ad-/Trackingblocker einsetzt, wird hier ausgeliefert.

    • Comment Avatar Lars Grobbe sagt:

      Bezüglich jquery und bootstrap (Twitter) und auch Google Fonts muss man der Fairnis halber aber beachten, dass diese Inhalte typischerweise im Browsercache landen und eine lange Zeit unverändert bleiben, d.h. es wird – soweit ich informiert bin – erst bei Ablauf des Haltbarkeitsdatums erneut der „Lieferant“, also Google & Co kontaktiert?

      (Dennoch würde ein Webseiten-Programmierer, der etwas auf sich hält, die Sachen eben lokal vorrätig halten.)

  5. Comment Avatar Pierre sagt:

    Es ist ein nie zu Ende gehender Kampf…
    Mike, vielen Dank für Deinen Einsatz. Du bist, wie ein Fels in der Brandung. Ich schütze meinen Browser mit den Add-ons:
    Canvas Fingerprint Blocker
    Cookie AutoDelete
    Decentraleyes
    HTTPS everywhere
    No-Script
    Privacy Settings
    Smart Referer und
    uBlock Origin (in fortgeschrittenem Modus)
    Nun lese ich über uMatrix. Käme dies zusätzlich dazu? Oder ersetzt uMatrix uBlock Origin? Über Lezteres hast Du einen sehr aufschlussreichen Artikel erfasst. Könntest Du evtl., wenn Deine Zeit es erlaubt über uMatrix näheres berichten?

    • Comment Avatar Arnd sagt:

      uMatrix ist eine Alternative zu NoScript.
      Die Bedienung ist vll. etwas gewöhnungsbedürftig, wenn man NoScript gewohnt ist.
      Mittlerweile gefällt sie mir aber deutlich besser.

      • Comment Avatar savant sagt:

        @kuketzblog Ich schließe mich dem an und würde mich auch über einen Artikel extra zu uMatrix freuen. Am besten du erklärst dann auch wo die Unterschiede zu NoScript liegen. Vielen Nutzern scheint gar nicht bewusst zu sein, dass beide Add-ons zwar das selbe Ziel verfolgen (externe Inhalte blockieren), aber das auf komplett unterschiedliche Art realisieren. uMatrix wäre im Gegensatz zu NoScript eher mit einer Firewall zu vergleichen, die das Senden von Anfragen vollständig verhindert, während NoScript „nur“ das Laden von Skripten blockiert. Wobei das nicht ganz stimmt, da NoScript noch zusätzliche Funktionen hat, die Sicherheit bieten sollen (e.g XSS Schutz). Meiner Meinung nach ergänzen sich beide Add-ons deshalb auch so gut, da sie Funktionen bieten, die das jeweils andere Add-on nicht hat. Übrigens ist uMatrix auch nicht umständlicher zu bedienen als NoScript, wenn man mit uMatrix Anfragen immer global erlaubt (dazu von example.com auf * umschalten). https://github.com/gorhill/uMatrix/wiki/Setting-Domain-Specific-&-Global-Rules

  6. Comment Avatar knoppi sagt:

    Bei seuddeutsche.de wird dir Seite nicht mehr geladen, wenn JS ausgeschaltet oder blockiert ist. Ich habe auch RefControl und Ghostery eingebunden. Wenn ich RefControl so konfiguriere, das alles blockiert wird, komme ich auf einige Seiten nicht mehr drauf. Ebenso wenn bei Ghostery alles blockiert wird. Wenn JS abgeschaltet ist. Sehe ich z.T. nur noch leere Seiten.

    • Comment Avatar panoptikum sagt:

      @knoppi
      Wenn du Ublock origin nutzt einfach in das leere feld klicken und auf element blockieren klicken. Es sollte eine nojs element sein welches dann blockiert wird. Mit diesen trick kann man ein paar „light“ blocking walls umgehen.
      Trozdem würde ich von Ghostery abstand nehmen, da es nicht quelloffen ist! Halte dich an die addons liste von Kuketzblog.

      Back to topic:
      Sehr informativer Artikel – nur genau hier sollte ja unsere neue ePrivacy Verordnung greifen.
      Man wird ja sehen wie viel davon noch übrig bleibt, wenn einmal der Lobbymotor auf allen 8 Zylindern rennt.
      Noch so am rande, könnte man nicht Dezentralis ausbauen? Aus meine Erfahrung sehe ich am meisten jquery und den ajax button, der quasi local gehostet wird, nur ich sehe da noch massiges Poential in dem Addon.

    • Comment Avatar Klimbim sagt:

      Warum benutzt du immer noch Ghostery?
      Es gibt seit langem genug Artikel im Netz (auch hier bei Mike), die völlig zu Recht mit diesem verlogenen Add-On abrechnen.
      Und seit Kurzem wird jeder, der Ghostery einsetzt, auch noch von Cliqz getrackt:
      „Cliqz kauft Addon Ghostery“
      https://www.youtube.com/watch?v=bk-mzL6Jxhk
      (leider fand ich die Info darüber bis jetzt nicht außerhalb von Youtube)

      Auch über Cliqz gibt es hier im (Micro)Blog noch ganz frische Artikel.

  7. Comment Avatar Gregor H. sagt:

    Wenn Banken z. B. ihre Kunden beim Login in den Online-Banking Bereich tracken

    Das finde ich sehr fragwürdig und habe gleich mal bei meiner Sparkasse geschaut. Nichts gefunden. Aber dann habe ich bei Triodos geschaut: Google Analytics!

    Gibts da einen Grund, daß Du die Bank nutzt, Mike?

  8. Comment Avatar Heiner Holm sagt:

    Es scheint Strategie der Datenkraken zu sein, die Menschen zu überlasten:

    1. Es werden an sovielen Stellen soviele intimste Daten gesammelt, dass man es nicht fassen kann.

    2. Die sogenannten „Datenschutzerklärungen“ sind so schwammig, umfangreich und unleserlich, dass sie ihren Zweck nicht mehr erfüllen. Wie denn auch, wenn in industriellem Maßstab in die Privatssphäre eingegriffen wird? Dafür war sie nie gedacht! Im Grunde sind sie unwirksam, schon der Länge und Unverständlichkeit wegen.
    Das Schlimmste aber ist: Sie sind immer auch unvollständig. Google unterlag allein in Deutschland schon zweimal vor Gericht mit seinen „Datenschutzbestimmungen“. Eine US-Datenkrake wurde von der FCC oder FTC sogar zum Datenschutzunterricht für seine Mitarbeiter verpflichtet, damit wenigstens mal ein Hauch von Problembewusstsein geschaffen würde.

    Dass unsere Regierung uns so im Stich lässt, ist „unbezahlbar“ für die Datenkraken: Die Daten sind weg, die können nicht mehr wiedergeholt werden, auch wenn morgen eine Regierung endlich die schlimmsten Perversionen verbieten würde.
    Der volkswirtschaftliche Schaden ist unbezifferbar: Die Daten können nicht nur zur Absatzsteigerung verwendet werden, sondern im großen Maße auch zur politischen Manipulation. Ein Fest für die Geheimdienste, wie sich ja schon zeigte. Würde eine Datenkraken morgen verkauft, die US-Regierung würde sie heute übernehmen (lassen) „aus staatlichem Interesse“!

  9. Comment Avatar Otto Normal sagt:

    Dur verwendest häufig den Ausdruck »externe Dienstleister«. Vielleicht ist dieser Begriff für viele noch zu abstrakt. Du solltest darauf aufmerksam machen, dass dabei personenbezogene Daten an ausländische Konzerne übertragen werden.

  10. Comment Avatar Danilo sagt:

    Wir bestimmen, wo du surfst

    Das freie Internet war in den letzten zwei Jahrzehnten eine wunderbare Sache. Wir haben damit wunderbar gelebt, es war wirklich eine tolle Zeit. Aber, das freie Internet ist Geschichte, wie es das Schwarz-Weiß-Fernsehen ist. Das freie Internet gibt es nicht mehr.

    Zitat: Christian Sickendieck (fixmbr.de)

    • Comment Avatar Markus Neubrecht sagt:

      Das „freie Internet“ würde ich nicht mit einer veralteten Technik wie es Schwarz-Weiß-Fernseher sind, vergleichen.

      Eher mit einem hauchdünnen, hochauflösendes Groß-TV mit grandios natürlichen (!) Farben und einem absolut natürlichem Sound, Inhalte bietend, die die Menschen wirklich sehen wollen: Unzensiert, nicht verlogen, einfach echt … ohne von Regierungspolitikern besetzte Rundfunkräte.

      Das man höchstwertige Technik und Inhalte schaffen kann, indem die Menschen einfach zu ihrem jeweiligen Vorteil zusammenarbeiten, zeigte das Internet in seinen Anfängen und in freien Bereichen bis heute. Das zeigen auch seit mehr als zwanzig Jahren erfolgreich laufende OpenSource-Projekte wie Linux – siehe u.a. Android = Linux. Man kann es bekämpfen (Steven Ballmer Microsoft: „Linux ist Krebs“, man kann es zu kommerziellen Zwecken missbrauchen, siehe Googles Android-Verwendung zum Ausspionieren der Nutzer), aber man kann es auch zum Guten nutzen: Für Transparenz und Sicherheit, für die Freiheit, für die Bürger.

      Geschrieben auf Linux.

      • Comment Avatar Danilo sagt:

        Thema verfehlt!

        Christian Sickendieck vergleicht nicht das „Freie Internet“ mit dem „Schwarz-Weiß-Fernsehen“, sondern sein Vergleich ist darauf gerichtet, dass beide Geschichte sind, also in ihrer ursprünglichen Form nicht mehr existieren.

  11. Comment Avatar kangaroo sagt:

    Danke für den (erschreckenden) Beitrag und die ganze Arbeit die Du hier leistest. Als Entspannungslektüre zum Thema würde ich Qualityland von M.U.Kling empfehlen.

    Als erste Hilfe zum Thema sind Deine Beiträge einfach über die Suche zu finden und im speziellen sicher das angehen einer entspr. Hosts-Liste.
    Danke nochmal…

  12. Comment Avatar Anonymous sagt:

    Danke für den guten Artikel, der mich in meine Einstellung zum „Digitalen Zeitalter“ weiter festigt.
    Ich nutze kein Onlinebanking – ich gehe zur Bank.
    Ich habe keinen Emailaccount – ich schreibe Briefe oder sende ein Fax.
    Onlineeinkäufe tätige ich nicht – bevorzuge die persönliche Beratung im Fachhandel.
    Ja ich habe PC und Smartphone. Beide sind eingerichtet nach Empfehlungen vom Kuketz-Blog.
    Grundsätzlich gilt für mich digitaler Minimalismus.
    Denn die Zeit, um permanent dem Datenschutz hinterherzurennen, möchte ich nicht verschwenden. Das analoge Leben ist zu schön, um im digitalen Leben hängen zu bleiben.

    • Comment Avatar Moritz sagt:

      Das Problem ist, dass die vermeintliche digitale Lücke, die du im globalen Netz der Nutzer darstellst (über dich gibt es anscheinend viel weniger Daten als über andere), viel heller strahlt als all die langweiligen FB/Google Profile, die sich in ihrem Ablauf und ihrem Verhalten zu sehr ähneln.

      Der Kampf, den du führst, ist sehr löblich, aber in meinen Augen verloren, da eine einzige Person in deinem Umfeld reicht, um deine Daten an Google zu liefern: Deine Nummer im Telefonbuch einer anderen Person etc.

      Das Ziel sollte es also sein, so wenig „unique“, also so wenig einzigartig wie möglich zu erscheinen. Ein langweiliges FB Profil, ein paar Newsletter, Nachrichten online gucken, mal ne Whatsapp an die Oma mit Katzenfotos.

      Da die gesammelten Daten kein Mensch sondern ein Bot durchsieht, sucht er nach Merkmalen, die Nutzergruppen einzigartig erscheinen lassen. Das krasseste Beispiel, um sich das zu veranschaulichen, sind die verpixelten Häuser bei Google Street View: Welche Häuser fallen auf? Die 100 000 Stück am Straßenrand oder die, die verpixelt sind?

      Wir brauchen ein privates und ein öffentliches Gesicht. So wie Menschen es schon immer gehabt haben. Nur mit dem Unterschied, dass es ein Irrtum war, zu glauben, das private Gesicht hätte einen Platz im Internet. Das hat es nicht.

  13. Comment Avatar chris-t sagt:

    nicht das WWW ist krank, sondern die Prostitution der Browser Hersteller, des W3C und der Seitenbetreiber vor und die unglaubliche Naivität unserer Politiker gegenüber der Macht der (googleschen) SEO-/Werbe-/Datensammel-Industrie.

  14. Comment Avatar Albertus sagt:

    Bin zwar kein Web-Experte, kann aber als allgemeiner Informatiker den Inhalt trotzdem gut nachvollziehen.
    Erstklassige Analyse von Ihnen Herr Kuketz, vielen Dank dafür!
    Bleiben Sie standhaft, auch wenn die meisten Techniker den einfacheren aber verderblichen Weg wählen, also wie die Masse üblich mit dem Strom mitlaufen (sich dem Krebsgeschwür ausliefern in dem Fall). Die dicke Rechnung kommt am Ende, also bald.

  15. Comment Avatar Joe sagt:

    Die einzige Hoffnung die ich hatte war das Bildungswesen. D.h. knallharte 1-2 Wochenstunden von diesen Themen möglichst zeitig in den Lehrplan.

    Leider und ich spreche hier aus eigener Erfahrung, haben die KITAs und Schulen andere Probleme. Seit 2015 sind die Klassen/Gruppen überfüllt, das Leistungsniveau sinkt – die Themen sind ganz andere. Hinzu kommt, dass man Schulbücher lieber einem Gender-Lektorat unterzieht und Fragen diskutiert, ob Mädchen rosarote Schulmäppchen benutzen können, oder ob das diskriminierend sei.

    Damit ist meine Hoffnung gestorben, dass man eine Sensibilisierung bereits im frühesten Alter erreichen kann. Und wenn ich sehe, wie z.B. der sog. Öffentlich-Rechtliche Rundfunk alle Altersklassen – von sehr jung bis ganz alt – in die kommerziellen Netzwerke drängt – anstatt mit 9 Milliarden Euro Gebührengelder eigene Plattformen zu schaffen, dann ist das Spiel bereits jetzt verloren.

    Aber vielleicht will man diese Sensibilisierung gar nicht – wie in so vielen Bereichen unsers Alltags steht das Geschäftsmodell im Vordergrund und nicht die Belange der Bürger.

  16. Comment Avatar Ihr wisst nicht was ihr sagt:

    Es reicht schon wenn man das Protokoll von uBlock Origin anschaut oder in den DNS Log blickt.
    Überall taucht *google* auf. Google ist keine Suchmaschine mehr. Es ist wirklich ein Geschwür.

    Was noch problematisch ist, ist das Google reCaptcha, welches selbst seriöse Seiten verwenden, weil es kein „besseres“ anti-Bot Verfahren gibt.

    So baut Google weiterhin ihre Position aus, in dem freie Dienste unter die Masse gebracht werden, die dann dank den Benutzerdaten der Masse verbessert werden, wodurch die Dienste weiterhin beliebt bleiben.

    Macht echt kein Spaß das Web in einem 1000×900 Pixel Fenster zu betrachten, in dem die Webseiten wegen Trackingschutzmaßnahmen zerfetzt sind.
    Macht das Erlebnis und die Funktion kaputt.

  17. Comment Avatar Scroll Lock sagt:

    Hallo Mike,

    ich lese deinen Blog schon länger und finde immer wieder interessante Anregungen. Kennst du schon Framasoft? https://framasoft.org/

    „Framasoft and the “De-google-ify Internet” campaign received some attention.“, siehe z. B. diesen Artikel mit Interview: https://www.konradlischka.info/2017/02/blog/how-a-french-association-with-6-employees-offers-mainstream-users-free-and-libre-alternatives-to-facebook-groups-slack-skype-and-the-like/

    Aufmerksam wurde ich darauf, weil jemand eine Datei via https://framadrop.org/ zum Download bereitgestellt hatte.

    Viele Grüße

  18. Comment Avatar Curiosi sagt:

    Die Ignoranz von Webdesignern und Webdevelopern ist nicht minder Schuld als das Unternehmen Google selbst, an dem Überwachungs- und Kontrolldesaster. Ein flächendenkendes Problem gibt es u.a. Bei WordPress Themes. Ich schätze mal 3/4 aller neuen Themes die irgendwo erscheinen, enthalten externe Einbettungen, besonders „google-fonts“ sind beliebt.

    In Wahrheit ist genau dies für all jene Menschen ein Graus die eigentlich auf Datensouveränität setzen. Da hostet man schon selber und und dann sitzt der „Feind“ in der eigenen Installation.

  19. Comment Avatar Shakira Meier-Otte sagt:

    Wie offenbar unentrinnbar Google sich positioniert, zeigt erschreckend auch dieser frische Artikel:

    https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html

    Die haben sich an die Quelle jeder Bewegung im Internet gesetzt.
    Und nun sollen wir alternativ einem Sheriff aus Manhattan trauen, lol ?

  20. Comment Avatar Vomitorium sagt:

    Mh.
    Technisch alles richtig.
    Aber eine andere Perspektive bzw. Frage:
    a) dann nutzt halt einfach Google oder Facebook nicht und schaltet mit entsprechenden Tools/Plugins einfach alles an JS aus?
    (Das hilft natürlich nicht bei Tracking-Pixeln, die als Bild ausgeliefert werden)

    b) Niemand ist gezwungen das Internet zu nutzen. Wenn es sich nicht vermeiden lässt, tja .. Pech gehabt. Die Welt ist ungerecht und es ist hier auch keine Just-World. Thats it.

    Viel wichtiger ist aber folgendes:
    Du bist Techie – und kennst dich aus.
    Die meisten sind keine Techies.
    Schlimm genug, aber es kommt v.a. eine Sache hinzu: Die meisten Leute interessiert Datenschutz schlicht und ergreifend einfach nicht.
    Beispiel:
    Über PayPal zereißen sich alle Techies bezgl. Datenschutz & Co das Maul. Nun haben wir in Deutschland Paydirekt – das mit „höherem Datenschutz“ als bspw. PayPal wirbt.
    Die Leute interessiert es nicht.
    Punkt. Aus. Ende.
    Vielleicht muss erst wieder was passieren, bis Leute anfangen, sich damit auseinander zu setzen?
    Der Ottonormalo hatte bisher wenig/keine Nachteile durch seinen laxen Umgang mit Daten. Und bis auf weiteres wird das auch so bleiben, behaupte ich jetzt mal.

    Frag mal Non-Techies. Frag mal Hartz-IV-Empfänger. Frag mal die Dame an der Kasse deines dm-Marktes.
    Die Leute interessiert es nicht. (völlig unabhängig davon, dass die meisten das oben angeführte Tech-Blabla sowieso nicht verstehen)

    Grüße
    Vomitorium.de

    • Comment Avatar Mike Kuketz sagt:

      Ich fasse mich kurz:

      Nach deiner Logik müssen wir also akzeptieren, dass Seiten-Betreiber unverantwortlich handeln und ihre Besucher Sicherheits- und Datenschutzrisiken aussetzen? Oder anders formuliert: Sollen wir uns damit zufrieden geben, Misstände in der (digitalen) Gesellschaft nicht zu bennen und dagegen anzukämpfen? Also einfach die Klappe halten, weil es sowieso niemanden interessiert. Das ist eine sehr seltsame Sicht auf deine Umwelt.

      Die Menschheit hätte es ja auch sein lassen können, gegen die Sklaverei vorzugehen oder Alternativen für die Erzeugung nach (Atom-)Strom zu suchen, denn: Der Status quo ist halt einfach so und jeder sollte ihn so hinnehmen. Weil?

      Die Welt ist ungerecht und es ist hier auch keine Just-World. Thats it.

      Wir sind gewaltig falsch abgebogen in den letzten zehn Jahren und wenn wir das nicht begreifen, dann stehen uns Jahrzehnte der digitalen Sklaverrei und Ausbeutung bevor. Leider sehen das nur die wenigsten – die, die es allerdings sehen, sollten entsprechend warnen.

  21. Comment Avatar Patrick sagt:

    Ich frage mich wie die Einbindung von Drittdiensten über Javascript und die damit verbundene Datenweitergabe überhaupt noch möglich ist, wenn 2018 die Datenschutzgrundverordnung in Kraft tritt. Streng genommen dürfte das ganze Crosscripting dann nicht mehr datenschutzkonform zu machen sein (der Benutzer müsste theoretisch vor dem ersten Anzeigen der Seite einwilligen).
    Eigentlich eine gute Sache, doch ich nehme an, daß sich außer bei Abmahnanwälten nichts weiter ändern wird.

    Jedenfalls wäre es interessant eure Meinung darüber zu lesen, welche Konsequenzen Webmaster daraus ziehen sollten.

  22. Comment Avatar Niklas Poslovski sagt:

    Endlich noch jemand,der meine Meinung dazu teilt. Die meisten machen sich nur ueber meinen Hass auf Google lustig. Wie man hier sieht,habe ich schon meine Gruende,warum ich seit einer Weile gar nichts mehr von Google zulasse.

    Ich habe bereits eine eigene Blockliste geschrieben,damals fuer den Opera Adblocker,heute nutze ich es mit uBlock Origin. Diese blockiert alle Anfragen auf Google Server,ausser die,die die Webseiten komplett unbrauchbar machen wuerden (ajax.googleapis.com fuer jQuery und das nervige ReCaptcha ohne das man halt fast nirgends rein kommt).

    Ich finde es wirklich schlimm,wie viele Daten man sonst unnoetigerweise weitergibt. Mit meiner Liste kann man auch keine Google Webseiten mehr direkt aufrufen,aber wenn man diesen Artikel richtig gelesen hat,will man das sowieso nicht. Ich verzichte immer mehr auf die grossen Datenkraken und setze immer mehr auf open source Dienste. Die sind nicht nur datenschutzfreundlicher,sondern auch viel besser und meistens werbefrei.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.