1. Datensammelwut
Die meisten Apps aus den Stores von Google und Apple beinhalten Software-Bausteine von Drittanbietern, die dem Nutzer Werbung einblenden oder seine Aktivität auf Schritt und Tritt verfolgen. Als Nutzer hat man allerdings keinen Einblick in die App bzw. sieht ihr von »außen« nicht an, wie sehr die Werbe- und Trackingbausteine die Sicherheit und den Datenschutz gefährden.
Sowohl Google als auch Apple tun insgesamt zu wenig, um den Abfluss (personenbezogener) Daten zu verhindern, wie aktuelle App-Prüfungen des DB Navigators (Deutsche Bahn) und der Post & DHL App (Deutsche Post) zeigen. Beide Systeme schützen den Nutzer nicht bzw. nur unzureichend vor der (ungefragten) Datenerhebung durch Tracking-Dienstleister – daran ändert auch Apples App Tracking Transparency nichts, die auf dem Papier eine gute Figur macht, aber in der Praxis lediglich homöopathischen Nutzen hat.
Nachfolgend möchte ich eine einfache Lösung für Android- und iOS-Nutzer vorstellen, um sich vor dieser (größtenteils rechtswidrigen) Datensammlung zu schützen. Zunächst wird kurz erläutert, wie der Schutz vor Werbung und Trackern technisch funktioniert. Anschließend wird für beide Plattformen eine bebilderte Anleitung bereitgestellt, um die Schutzmaßnahme umzusetzen. Nach erfolgter Umsetzung werden Werbung, Tracker und Co. sowohl beim Surfen im Internet (via Browser) als auch in allen Apps gefiltert/blockiert.
Hinweis
Auf ausführliche Hintergrundinformationen verzichte ich im vorliegenden Beitrag und verweise an entsprechender Stelle auf weitere Quellen.2. Zielgruppe
Die Zielgruppe des vorliegenden Beitrags sind Android- und iOS-Nutzer, die etwas für den Schutz der eigenen Privatsphäre und Sicherheit tun möchten, allerdings wenig bis keine Kenntnisse mitbringen. Sobald die nachfolgenden Schritte umgesetzt sind, werden Werbung und Tracker systemweit (in allen Apps) blockiert.
Wer hingegen bereits Apps wie AdAway, NetGuard oder AdGuard Pro einsetzt bzw. einen Pi-hole in seinem Netzwerk integriert hat, kann den vorliegenden Beitrag überspringen. Eine Umsetzung der nachfolgend beschriebenen Schritte ist mit anderen Tracking- und Werbeblockern nicht kompatibel.
3. Das Prinzip
Am Beispiel von In-App-Werbung möchte ich kurz erläutern, wie das Filtern von Werbung und Trackern erfolgt. Bei jedem Start der App oder auch während der Laufzeit kontaktiert die Beispiel-App die Adresse:
werbung.server1.de
Dieser Domainname muss allerdings zunächst in eine IP-Adresse übersetzt werden, damit die Werbung anschließend von dort nachgeladen werden kann. Dieser Service wird vom Domain Name System (DNS) erledigt – einer der wichtigsten Dienste im Internet, der für ebendiese Übersetzung zuständig ist. Das Prinzip dahinter kennt jeder: Ihr gebt im Browser eine URI ein (also den Domainnamen), dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen lassen sich eben leichter merken als IP-Adressen. In eurem Router sind daher üblicherweise DNS-Server von eurem Provider hinterlegt oder ihr habt manuell eigene eingetragen, die dann anschließend die Adresse »werbung.server1.de« in eine IP-Adresse übersetzen.
Dieses DNS-Prinzip machen wir uns nun zunutze, indem wir einen DNS-Server-Betreiber wählen, der eine Liste mit Domainnamen verwaltet, die entweder Werbung ausliefern, den Nutzer tracken oder sonst wie eine negative Auswirkung auf Sicherheit und Privatsphäre haben können. Habt ihr einen solchen (DNS-Server-)Betreiber gewählt, wird die DNS-Abfrage zunächst mit dieser intern hinterlegten Liste abgeglichen. Befindet sich die Adresse
werbung.server1.de
in dieser Liste bzw. kommt es zu einem Treffer, wird die IP-Adresse nicht wie üblich aufgelöst, sondern euer Gerät bzw. die App erhält sinngemäß die Antwort: »Nicht erreichbar« – die Übersetzung in die korrekte IP-Adresse wird vom DNS-Server-Anbieter also unterdrückt. Die Folge: Die Werbung kann nicht von der eigentlichen Quelle bzw. IP-Adresse nachgeladen werden. Anstatt der Werbung sieht der Nutzer einen Platzhalter bzw. einfach nichts. Ein einfaches Prinzip, das die Werbung noch vor der Auslieferung – ja sogar noch vor der Übersetzung in die IP-Adresse – blockiert:
4. DNS-Server-Betreiber
Um Werbung, Tracker und Co. nun bereits auf DNS-Ebene zu blockieren, müssen wir einen DNS-Betreiber auswählen, der dies unterstützt. Nach meiner Erfahrung gibt es nur wenig vertrauenswürdige DNS-Server-Betreiber, die mit Sicherheitstechniken wie DNSSEC, DNS over TLS (DoT) oder DNS over HTTPS (DoH) arbeiten und zusätzlich noch Werbung und Tracker filtern. Anbei eine Auswahl solcher Anbieter:
- dnsforge.de (privater Anbieter, spendenfinanziert)
- dismail.de (privater Anbieter, spendenfinanziert)
- BlahDNS.com (privater Anbieter, spendenfinanziert)
- AdGuard (kommerzieller Anbieter, finanziert sich über Premium-Funktionen, Dienstleistungen und Apps)
- Mullvad (kommerzieller Anbieter, finanziert sich über sein VPN-Angebot)
Die DNS-Server-Betreiber arbeiten teils mit unterschiedlichen Filterlisten, um die Auslieferung von Werbung und Trackern zu blockieren. Insgesamt dürften die Ergebnisse bzw. Blockrate allerdings ähnlich sein und letztendlich ist es eine persönliche Entscheidung, welchen Anbieter ihr wählt bzw. vertraut. Beachten solltet ihr allerdings, dass je nach Anbieter ein Overblocking eintreten kann. Das bedeutet: Es werden fälschlicherweise Domains gefiltert, die für die Funktionalität einer App/Website erforderlich sind. Das kommt allerdings kaum/selten vor.
Wenn ihr Android einsetzt, könnt euch frei für einen der Anbieter entscheiden. iOS-Nutzer hingegen sollten entweder dnsforge.de, dismail.de oder AdGuard wählen, da die Betreiber ein DNS-Konfigurationsprofil anbieten, mit dem unter iOS DNS over TLS (DoT) ermöglicht wird.
Nachfolgend erkläre ich die Umsetzung für beide Plattformen (Android, iOS) am Beispiel von dnsforge.de.
5. Android [Screenshots Android 12]
Unter Android ist die Umsetzung relativ simpel – Android 9 oder höher ist allerdings eine Mindestvoraussetzung. Über Einstellungen wird zunächst der Menüpunkt Netzwerk & Internet aufgerufen:
Anschließend tippt ihr auf Privates DNS und wählt Hostname des privaten DNS-Anbieters [1]. Nachdem ihr dort dnsforge.de [2] eingetragen habt, könnt ihr auf Speichern tippen:
Das war es auch schon. Nun könnt ihr über DNSleaktest.com noch prüfen, ob Android die DNS-Server von dnsforge.de auch tatsächlich nutzt. Tippt auf der Website einfach auf Standard test. Als Ergebnis sollte dann eine IP-Adresse von dnsforge.de auftauchen:
- 176.9.93.198 | dnsforge.de
- 176.9.1.117 | dnsforge.de
Hinweis
Ab sofort werden all eure DNS-Anfragen mittels DoT verschlüsselt an den Betreiber übermittelt und beantwortet. Der Schutz vor Tracking und Werbung erfolgt sowohl im heimischen WLAN, aber auch unterwegs, wenn ihr in das Mobilfunknetzwerk eures Anbieters eingebucht seid.6. iOS [Screenshots iOS 15]
Anders als bei Android existiert unter iOS leider noch keine (schnelle) Möglichkeit, den DoT-Hostnamen des DNS-Betreibers direkt zu hinterlegen. Dort muss man den Weg über Konfigurationsprofile gehen. Ruft dazu zunächst via Safari die Webite von dnsforge.de auf und tippt dort unter Clients -> iOS auf das Profil dnsforge-dot.mobileconfig (DoT). Anschließend erscheint das nachfolgende Hinweisfenster:
Mit einem Tipp auf Zulassen bestätigt ihr das Laden des Konfigurationsprofils.
Öffnet danach unter iOS die Einstellungen und wählt ganz oben Profil geladen. Dort wird euch das Profil nochmal angezeigt und ihr müsst es nun noch installieren:
Es folgt eine kleine Klickorgie – ihr müsst die Installation des Profils dann noch zwei weitere Male [1] und [2] bestätigen. Zum Abschluss erscheint dann die Meldung Profil installiert, die ihr mit einem Tipp auf Fertig schließen könnt:
Das war es auch schon. Nun könnt ihr über DNSleaktest.com noch prüfen, ob iOS die DNS-Server von dnsforge.de auch tatsächlich nutzt. Tippt auf der Website einfach auf Standard test. Als Ergebnis sollte dann eine IP-Adresse von dnsforge.de auftauchen:
- 176.9.93.198 | dnsforge.de
- 176.9.1.117 | dnsforge.de
Das hinterlegte DNS-Profil könnt ihr über Einstellungen -> Allgemein -> VPN, DNS und Geräteverwaltung einsehen/entfernen:
Hinweis
Ab sofort werden all eure DNS-Anfragen mittels DoT verschlüsselt an den Betreiber übermittelt und beantwortet. Der Schutz vor Tracking und Werbung erfolgt sowohl im heimischen WLAN, aber auch unterwegs, wenn ihr in das Mobilfunknetzwerk eures Anbieters eingebucht seid.7. Weitere Lösungen | Alternativen
Die vorliegende Anleitung ist vermutlich der einfachste Weg, um Werbung, Tracking und Co. systemweit auf eurem Android- bzw. iOS-Gerät zu blockieren – egal ob zu Hause oder unterwegs. Es gibt aber auch weitere Lösungen bzw. Alternativen, die einen umfangreicheren/individuelleren Schutz bieten und bei denen ihr selbst entscheiden könnt, was ihr blockiert bzw. zulasst. Die nachfolgenden Alternativen haben allerdings eine Gemeinsamkeit: Für Anfänger oder Bequeme sind sie nicht/weniger geeignet.
7.1 Direkt auf dem System als App
- AdAway [Android]: Wie auch alle anderen Werbe- und Trackingblocker arbeitet AdAway auf Basis von Filterlisten, um Tracking- und Werbedomains zu blockieren. Im Gegensatz zu NetGuard oder RethinkDNS bietet AdAway zwei Modi: Einen für gerootete Geräte und für nicht gerootete Geräte. Letzteres benötigt ein lokales VPN, durch das im Anschluss jeglicher App-Verkehr fließt und die Filterung erfolgt. AdAway ist direkt über F-Droid erhältlich. Der Beitrag »AdAway: Werbe- und trackingfrei im Android-Universum« beschreibt die Arbeitsweise von AdAway und gibt Tipps zur Konfiguration.
- NetGuard [Android]: NetGuard ist eigentlich eine Firewall für das Android-System. Mit einer speziellen Version von NetGuard, die auf GitHub oder F-Droid angeboten wird, lassen sich jedoch auch Werbe- und Trackingdomains filtern. Die Kombinaton aus Firewall + Filterlisten ist äußerst mächtig, erfordert allerdings auch ein hohes Maß an Disziplin und Einarbeitungszeit. Ebenso wie bei AdAway nutzt NetGuard die lokale VPN-Schnittstelle von Android, um den Datenverkehr der Apps einsehen zu können. Nachteil: Der Aufbau eines weiteren VPN-Tunnels ist nicht möglich.
- AdGuard Pro [iOS]: Die iOS-App AdGuard Pro blockiert ebenfalls wie AdAway Werbung und Tracker bereits auf DNS-Ebene. Dazu initiiert die App ein lokales VPN, durch das im Anschluss jeglicher App-Verkehr fließen muss. Der Artikel AdGuard Pro: Tracking und Werbung unter iOS unterbinden gibt einen Einblick in die Funktionsweise von AdGuard Pro.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
7.2 Als externe Anwendung / Komponente im Netzwerk
- Pi-hole [geräteübergreifend]: Mit dem Pi-hole lassen sich Tracker und Werbung bereits auf DNS-Ebene filtern. DNS-Anfragen an Werbe- und Trackingdomains werden dann nicht wie üblich in die dazu passende IP-Adresse übersetzt und nachgeladen, sondern die Anfragen laufen praktisch »ins Leere«. Positiv: Mit einem Pi-hole lassen sich Werbeeinblendungen und Datensammler auf allen Geräten filtern, die den Pi-hole zur Namensauflösung nutzen. Um auch unterwegs bzw. im mobilen Netzwerk von der Filterfunktion des Pi-holes zu profitieren, kann es sinnvoll sein einen VPN-Tunnel in das (private) Netzwerk aufzubauen, in dem der Pi-hole erreichbar ist. Einen solchen VPN-Tunnel könnt ihr bspw. über eure FRITZ!Box oder den PiVPN realisieren.
- OpenWrt – Adblock-Addon [geräteübergreifend]: Wer einen OpenWrt-Router einsetzt, der kann sich das Adblock-Addon installieren. Damit werden Werbung und Tracker bereits auf DNS-Ebene gefiltert – wie beim Pi-Hole für alle Geräte in einem Netzwerk.
Hinweis
Weitere Tipps für mehr Sicherheit und Privatsphäre findet ihr in der Empfehlungsecke.8. Fazit
Ein einfacherer Weg ist mir aktuell nicht bekannt, um auf Android bzw. iOS Werbung und Tracker systemweit (in allen Apps) auf Eis zu legen. Nach meiner Ansicht ist dies absolut erforderlich, um die größtenteils rechtswidrige Datensammlung bzw. -erhebung durch Tracking-Anbieter und Co. zu verhindern. Google und Apple tun diesbezüglich einfach zu wenig bzw. insbesondere Google profitiert (Werbung) selbst von dem datengetriebenen Geschäftsmodell. Das muss man so allerdings nicht einfach hinnehmen, sondern kann sich selbst behelfen – und das ist wirklich für jeden umsetzbar.
Bildquellen:
Ad Blocker: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
AdAway: Werbe- und trackingfrei im Android-Universum
AdAway: Werbe- und Trackingblocker – Take back control! Teil6
AdGuard Pro: Tracking und Werbung unter iOS unterbinden
Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1
12 Ergänzungen zu “Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Muss zusätzlich bei AFWall+ noch etwas freigegeben werden?
Bitte die FAQ von AFwall+ konsultieren: https://github.com/ukanth/afwall/wiki/FAQ
Seit 2018 habe ich ein Android Smartphone und seitdem nutze ich auch wie von Ihnen damals beschrieben „Blokada“ aus dem F-Droid Store.
Ich habe da nie Applikationen umgeleitet oder ähnliches, habe nur den Werbe- und Trackingfilter genossen.
Wenn ich diesen Artikel hier richtig verstehe, dann könnte ich jetzt z.B. wie oben beschrieben mein „privates DNS“ umstellen auf ein DNS Anbieter MIT Filter und dann bräuchte ich Blokada als App überhaupt nicht.
Habe ich das richtig verstanden?
Ja, das ist korrekt. Aber dann eben mit dem Nachteil, nicht selbst entscheiden zu können was geblickt/erlaubt wird. Aber für die meisten Anwender dürfte das nicht relevant sein.
Als DNS-Service, der auch Werbung blockt, kann ich NextDNS in den Raum werfen.
Da kann man sogar die Filterlisten selbst bestimmen, nach denen geblockt wird und auch Ausnahmen im Profil pflegen.
Das kostenlose Angebot bietet „nur“ 300.000 DNS-Anfragen pro Monat, was aber bei normalem Gebrauch reichen sollte, denke ich.
Erwähnenswert für iOS wäre noch die App Lockdown Privacy, Zitat:
Quelle: Lockdown Privacy
Nicht zu vergessen: Adguard Home.
Quasi wie Pihole, kann aber out of the box Safe Search, DoT und DoH und ist imo deutlich hübscher.
Und auch OpenSource: https://github.com/AdguardTeam/AdGuardHome
Ich nutze seit kurzem RethinkDNS das wie NetGurad eine Kombination aus Firewall und Filtern über eine große auswajhl an Filterlisten bietet.
Link zu F-Droid:
RethinkDNS
Besteht hinsichtlich der genannten Lösungen neben der Einfachheit und Flexibiltät auch ein Stufenverhältnis hinsichtlich des Schutzniveaus, das man – auch unter Einbeziehung der weiteren Empfehlungen in anderen Artikeln hier – so zusammen fassen könnte?
[1.] DNS-Server ändern
Einfachste aber unflexibelste Lösung, da Gefahr des Overblockings und keine Ausnahmen möglich wie bei uBlock Origin oder Blokada.
[2.] App installieren
Wobei es eine Abstufung hinsichtlich einfache Bedienung vs. bessere Blockiereigenschaften und Flexibilität gibt:
[3.] Pi-Hole verwenden
Schutz für alle Geräte im Netzwerk/LAN. Aber bei mobilen Endgeräten kein Schutz gegeben, wenn im mobilen Providernetzwerk eingebucht. Dann VPN nach Hause notwendig.
Wobei 2. und 3. nicht kompatibel mit 1. sind.
Zusätzlich jeweils trotzdem:
Hinweis von Admin: Ergänzung leicht angepasst.
Ja, das könnte man so ungefähr zusammenfassen.
Eine kleine Ergänzung.
Gemäss Privacy Handbuch kann man sich sogar selbst ein ios DNS Profil mit https://dns.notjakob.com/tool.html zusammenstellen und WLAN Exceptions darin definieren.
Dies hat den Vorteil, dass man sein WLAN zuhause z.B. als Exception definieren kann, so dass zum Beispiel zuhause alle DNS Anfragen ans Pi-Hole gehen und nur in fremden WLANS oder der mobilen Datenverbindung der DNS Server im Profil angesteurt wrid.
Als Ergänzung zu iOS: DNS-Blocking aktivieren via Profil und dann Hush Nag Blocker installieren. Der Blockt alle Cookie Messages und so einen Kram. Das ist schnell und ressourcenschonend und funktioniert gut.