Datenschützer oder Datenschleuder: Sieben Browser im Privacy-Check

Die Wahl des Browsers ist eine Vertrauensfrage, denn kaum eine andere Software kommt mit so vielen sensiblen Daten in Kontakt: Surfverhalten, Passwörter, Banking, Kommunikation und vieles mehr. Im besten Fall nimmt der Browser den Schutz Ihrer Daten ernst, im schlechtesten Fall ist er selbst eine Datenpetze. Wir haben die Desktop-Browser Brave, Chrome, Edge, Firefox, Opera, ­Safari und Vivaldi einem Privacy-Check unterzogen, um die Spreu vom Weizen zu trennen. Auch wenn die Browser auf den ersten Blick alle das Gleiche tun, könnten die Ergebnisse kaum unterschiedlicher sein.

Uns hat sowohl interessiert, welche Trackingschutzfunktionen die Browser mitbringen und wie effektiv diese arbeiten, als auch, welche Daten die Browser eigenmächtig in die Welt hinaussenden. Denn der beste Trackingschutz ist wertlos, wenn schon der Browser selbst das Datenschutzproblem ist. In unserem Testparcours zeigte sich etwa, ob ein Browser unsichtbare Tracker und Werbung abwehrt, die den Nutzer verfolgt. Auch die Identifizierbarkeit des Browsers mittels Fingerprinting haben wir überprüft.

Wir ließen die Browser unter anderem auf die Onlinetests „Cover your tracks“ der Electronic Frontier Foundation (EFF), Browserleaks und FingerprintJS los, das Browser-Installationen mit einer Zuverlässigkeit von 99,5 Prozent wiedererkennen soll – ganz ohne Cookies. Die Browser mussten unseren Testparcours sowohl im Auslieferungszustand als auch mit maximal hochgedrehten Schutzfunktionen ­absolvieren.

Zudem überprüften wir, ob die Browser bestimmte Datenschutzfunktionen wie DNS-over-HTTPS (DoH) anbieten, durch das IP-Adressen zu Domains transportverschlüsselt bei einem DoH-­Server abfragt werden. Weniger effektiv ist der „Do Not Track“-Header, durch den der Browser einer Website signalisieren kann, dass sein Nutzer nicht getrackt werden möchte. Die Website kann darauf Rücksicht nehmen, muss sie aber nicht. Man sollte ihn dennoch aktivieren können. ­Darüber hinaus wollten wir wissen, welche Filterlisten die Tracking- und Werbe­blocker der Browser nutzen, beliebt sind zum Beispiel die Listen EasyPrivacy und EasyList.

Um herauszufinden, was die Browser aus eigenem Antrieb ins Internet übertragen, haben wir ihren Traffic durch den SSL-Proxy mitmproxy geleitet. So konnten wir live mitverfolgen, welche Daten wohin verschickt wurden. Während manche Browser auf leisen Sohlen unterwegs waren, meldeten andere schon das Tippen in der Adresszeile Zeichen für Zeichen an den Server eines Internetriesen, um Suchvorschläge abzurufen. Manche Browser hinterließen selbst im Inkognito-Modus gut lesbare Datenspuren im Netz.

Es handelt sich bei unserem Privacy-­Check um eine Momentaufnahme: Die Browser-Welt dreht sich schnell und auch beim Tracking ist gerade einiges in Bewegung. Sie werden jedoch einen fundierten Eindruck davon bekommen, welche Browser das Thema Datenschutz ernst nehmen.

Google Chrome

Chrome kommt nach wie vor minimalistisch und ohne Fremdwerbung daher. Der Browser kommunizierte während unserer Analyse hauptsächlich mit Google und lud nach der Installation eine Handvoll Erweiterungen nach, vor allem zur Integration der Google-Dienste. Zudem zog er sich auf unser Windows-System einen On-Demand- Virenscanner, den Google von Eset entwickeln ließ. Er ist in den Einstellungen über „Zurücksetzen und bereinigen/Computer bereinigen“ aufrufbar.

Bei der Adresseingabe übertrug Chrome erwartungsgemäß jedes Zeichen an Google, um die Suchvorschläge abzurufen. Die angesteuerten URLs funkte der Browser hingegen nur an sein Mutterschiff, wenn wir das optionale „Erweiterte Safe Browsing“ eingeschaltet hatten. Chrome meldet gelegentlich an https://beacons.gcp.gvt2.com/domainreliability/upload, wenn Google-Domains nicht erreicht werden konnten, offenbar um Google dabei zu helfen, die Verlässlichkeit der Dienste im Blick zu behalten

Der Google-Browser erkundigt sich dann und wann nach Updates und Inhalten für die „Neuer Tab“-Seite. Es gibt auch einen Mechanismus, um darauf Promotion-Aktionen anzuzeigen, der Google-­Server hatte jedoch während unserer Analyse keine in petto. Alles in allem sind die Kontaktversuche nach außen selbst mit aktivierter Diagnose-Option überschaubar und nachvollziehbar. Auffällig war, dass Chrome eine Reihe zufällig generierter URLs zu kontaktieren versuchte. Der Browser versuchte so zu erkennen, ob der Internetprovider ungültige URLs abfängt, um etwa Werbung anzuzeigen (DNS-Antwort NXDOMAIN).

Einen Tracking- oder Adblocker sucht man vergeblich. Einzig die Chromium-­Basics wie das Blockieren von Drittanbieter-Cookies, den „Do No Track“-Header und verschlüsseltes DNS über HTTPS kann man konfigurieren, um die Privatsphäre zu verbessern.

Mozilla Firefox

Mozilla schärft den in Firefox integrierten Trackingschutz immer weiter nach (siehe Seite 22). Einen Werbeblocker gibt es zwar nicht, der Trackingblocker filtert auf maximaler Stufe jedoch vieles weg. Die Daten für den Trackingschutz wurden im Vorfeld direkt von Mozilla geladen. Anfragen an detectportal.firefox.com/success.txt stellten sicher, dass eine ungestörte Verbindung zum Internet besteht.

Firefox öffnete zudem eine Web­Socket-Verbindung zu Mozillas Push-­Service, um Benachrichtigungen von Websites empfangen zu können. Bei openh264.org holte sich Firefox den H.264-Videocodec ab, bei Google eine Bibliothek für das Video-DRM Widevine sowie eine Datei mit Informationen über gefährliche Websites (Safe Browsing). Die Website-Überprüfung beim Surfen fand anschließend offline statt. Eingeschaltet waren jedoch die Suchvorschläge, wodurch Eingaben in die Adresszeile an Google übertragen wurden. Im privaten Modus war aber Ruhe.

Standardmäßig war auch die Übertragung von Diagnosedaten aktiv, was wir auch im Firefox-Traffic nachvollziehen konnten. Der Umfang der an incoming.telemetry.mozilla.org übermittelten Daten war überschaubar: Bei uns interessierte sich Mozilla etwa dafür, ob bestimmte Funktionen wie die Bild-in-Bild-Funktion für Videos aktiv sind. Firefox hat die Übertragung der Diagnosedaten nachvollziehbar beendet, nachdem wir die „Datenerhebung durch Firefox“ in den Einstellungen deaktiviert hatten.

Mozilla nutzt die „Neuer Tab“-Seite auch für moderate Werbeeinblendungen. Während unseres Tests waren etwa gesponserte Links zu Amazon und eBay sichtbar, die sich jedoch über den jeweiligen Menüknopf leicht entfernen ließen. Darunter empfiehlt Firefox aktuelle Nachrichten, die direkt von dem zu Mozilla gehörenden Dienst Pocket geladen wurden.

Microsoft Edge

Microsoft verteilt seinen von Grund auf überarbeiteten Edge-Browser seit gut einem Jahr per Systemupdate an die Windows-Nutzer. Der auf Chromium aufbauende Browser erinnert optisch an Google Chrome, allerdings hat Microsoft ihn auf seine eigenen Dienste zugeschnitten und Funktionen nachgerüstet. Dazu zählt auch ein Trackingblocker mit drei Stufen, von denen standardmäßig die mittlere eingestellt ist („Ausgewogen“).

Richtig effektiv arbeitete er bei uns erst auf im „strengen“ Modus. Mit dieser Einstellung filtert Edge auch viel Reklame weg. Edge-Nutzer haben den Trackingschutz bitter nötig, denn die ersten Begegnungen mit Third-Party-Trackern machen sie schon beim Browserstart: Edge öffnet in jedem neuen Tab eine überladene Startseite, die jedes Mal von MSN.com nachgeladen wird. Sie nutzt externe Tracker wie Taboola, Zemanta und ScorecardResearch – da wundert es nicht, dass Microsoft sogar einen Cookie-Consent-Banner davorgeschaltet hat. Ironischerweise waren es dann auch Taboola und Zemanta, welche die Liste der am häufigsten blockierten Tracker während unserer Analyse anführten. Wir konnten keinen Weg finden, diese Seite über die Browser-Einstellungen loszuwerden. Abhilfe schaffen unabhängige Erweiterungen wie „Custom New Tab“ oder „Tabliss“.

Statt der Google-Suche setzt Edge auf Bing.com, wodurch Eingaben in die Adressleiste Zeichen für Zeichen dorthin übertragen wurden. Auch die Safe-Browsing-Funktion SmartScreen läuft über ­Microsoft-Server. Sie schickt die URLs aufgerufener Websites zur Überprüfung an Microsoft. Das passierte während unserer Analyse auch im „InPrivate“ getauften Inkognito-Modus von Edge – anhand der übertragenen Daten bekommt Microsoft also selbst im privaten Browsermodus mit, welche Adressen geöffnet wurden. Die Übertragung von „erforderlichen Diagnosedaten“ konnten wir bei Edge nicht abschalten.

Brave

Der Browser Brave basiert ebenfalls auf Chromium. Die Kommunikation mit Google beschränkt sich auf den Abruf intern genutzter Erweiterungen. Weitere Add-ons zog Brave direkt bei seinem Hersteller, etwa ein Update für den Ad­blocker. Von dort stammten auch die Daten fürs Safe Browsing.

Regelmäßig kommunizierte der Browser mit p3a.brave.com, um Diagnosedaten abzuliefern. Brave hat das Verfahren öffentlich dokumentiert (siehe ct.de/ymv9). Demnach lassen sich die Daten nicht einzelnen Nutzern zuordnen und enthalten keine Informationen über den Browserverlauf. Nachdem wir die „vollständig privaten Produktanalysen“ deaktiviert hatten, hörte der Spuk auf. Eingaben in die Adressleiste hinterließen keine Datenspuren, da die automatischen Suchvorschläge abgeschaltet sind. Statt Google war die Privacy-freundliche Suchmaschine DuckDuckGo voreingestellt. Beim Surfen blieben die angesteuerte URLs privat, da Brave keine Echtzeitüberprüfung für seine Safe-Browsing-Funktion unternahm.

Der integrierte Adblocker arbeitet bereits mit den Voreinstellungen äußerst effektiv. Brave nutzt neben den Blocklisten EasyList und EasyPrivacy auch die Liste von uBlock Origin, über den Menüeintrag „Brave Werbeblocker“ lassen sich zudem weitere Listen auswählen und eigene hinzufügen. Wer die blockierte Werbung vermisst, kann mit „Brave Rewards“ zurückhaltende Reklame einschalten, die der Browser als Benachrichtigungen anzeigt. Den aus der Werbung geschöpften Gewinn teilt Brave mit seinen Nutzern und Website-Betreibern durch Kryptogeld, das ins in den Browser integrierte Krypto-Wallet fließt. War die Funktion aktiv, hat Brave gelegentlich einen vierstelligen Hash an seinen Hersteller geschickt, um zu überprüfen, ob eine Site am Rewards-Programm teilnimmt. Weitere Kryptomünzen kann man über die reichlich überladene „Neuer Tab“-Seite verdienen, die von Zeit zu Zeit Werbung als Hintergrundbild anzeigt. Anders als etwa bei Edge konnten wir die Seite jedoch einfach über die Einstellungen deaktivieren.

Als einziger Browser im Testfeld hat Brave einen integrierten Tor-Client, der auf Wunsch für private Browserfenster aktiviert wird. Brave ist zudem ist der einzige Browser, der bei den Trackingtests bereits im Auslieferungszustand sehr gut abschnitt und sogar Canvas-Fingerprinting verhindern konnte. Gegen besonders ausgefeilte Fingerprinting-Methoden wie FingerprintJS (siehe ct.de/ymv9) kommt jedoch auch Brave derzeit nicht an.

Vivaldi

Schon beim ersten Start von Vivaldi entdeckten wir Anfragen an Google-Dienste wie YouTube sowie die Werbenetzwerke DoubleClick und Google Ads. Offenbar standen diese in direktem Zusammenhang mit der Herstellerseite, die der Browser in einem Hintergrund-Tab geöffnet hatte. Die Aktualität der Browser-Add-ons überprüfte Vivaldi bei Google. Nachgeladen wurde ein Add-on zur Einschätzung der Stärke von Passwörtern. Jeder Browserstart führte zudem zu einer Anfrage an update.googleapis.com.

Die Kommunikation mit dem Hersteller war indes überschaubar: Außer der Website zog sich Vivaldi dort etwa eine Liste mit Suchpartnern und mehrere Filterlisten wie EasyList, AdBlock Plus und DuckDuckGo Tracker Radar. Ansonsten verhielt sich Vivaldi mit Ausnahme eines Verbindungstests leise.

Als Standardsuchmaschine war Bing eingestellt. Die Startseite war gespickt mit großen bunten Werbekacheln, die zum Onlineshopping einladen sollen. Diese wird man über den Minus-Button schnell los. Startseite und „Neue Tab“-Seite konnten wir leicht über die Einstellungen nach unseren Wünschen ändern. Suchvorschläge in der Adressleiste waren standardmäßig inaktiv und die geöffneten URLs wurden nicht an einen Safe-Browsing-Server gemeldet – die Bedrohungsinfos hatte sich der Browser im Vorfeld bei Google abgeholt.

Werbe- und Trackingschutz sind bei Vivaldi standardmäßig ausgeschaltet, lassen sich jedoch während der Ersteinrichtung aktivieren, die sich als Website im ersten Tab öffnet. Der Trackingblocker überzeugte uns anfangs nicht, er schnitt jedoch zu einem späteren Zeitpunkt gut ab – mutmaßlich nach einem Update der Filterliste (DuckDuckGo). Die Privatsphären-Einstellungen sind übersichtlich gegliedert. Dort werden etwa die Filterlisten für Tracking- und Werbeblocker konfiguriert. Zwei Listen gegen Cookie-Banner stehen zur Wahl, sind jedoch nicht besonders effektiv. Zudem lassen sich hier die mitgelieferten Google-Add-ons abschalten.

Uns fiel auf, dass beim Adblocker eine Ausnahmeliste für Werbepartner von Vivaldi ausgewählt war, die wir jedoch problemlos in den Privacy-Einstellungen unter „Tracker- und Werbeblocker/Quellen verwalten“ abwählen konnten. Die Verschlüsselung von DNS-Anfragen (DoH) konnten wir über die Vivaldi-Einstellungen nicht aktivieren, über die Adresse chrome://settings/security erreicht man jedoch die gewohnten Chromium-­Einstellungen mit DNS-over-HTTPS-­Option („Sicheres DNS“).

Opera

Das Geschäftsmodell von Opera erschließt sich schon beim ersten Start: Die Startseite ist mit Links zu diversen Onlineshops verknüpft. Besonders weitreichend ist die Kooperation mit Amazon: Standardmäßig ist die Erweiterung „Amazon Assistant“ vorinstalliert. Aktiviert man sie, überwacht sie das Surfverhalten, um etwa beim Googeln konkrete Verkaufsangebote einzublenden, die sich auf die Suchbegriffe beziehen.

Das ist nicht der einzige Einkaufshelfer: Bei der Analyse des Datenverkehrs stellten wir fest, dass Opera heimlich eine Erweiterung namens „Rich Hint Agent“ nachgeladen hatte, die offenbar in Verbindung mit dem Cashback-Dienst Dify steht. Die Erweiterung tauchte nicht in der Liste der installierten Add-ons auf und wurde erst sichtbar, nachdem wir den Browser mit dem Parameter --show-component-extension-options gestartet hatten. So entdeckten wir dann auch noch den „Aliexpress observer“, der anscheinend beim Einkaufen auf der chinesischen Handelsplattform aktiv wird.

Bei der Adresseingabe übertrug der Browser jedes Zeichen an Google, um die Suchvorschläge abzurufen. Für den Sicherheitscheck (Safe Browsing) meldete Opera zudem jede angesteuerte URL an sitecheck.opera.com. Die Safe-Browsing-­Funktion war sogar bei der Nutzung der privaten Fenster aktiv, die ihrem Namen daher nicht gerecht werden.

Auf der Habenseite stehen ein integrierter Werbeblocker und Trackingschutz. Beides muss man allerdings erst einschalten. Der Opera-Werbeblocker vertraut standardmäßig auf die EasyList sowie NoCoin, die JavaScript-Cryptominer umfasst. Beliebige weitere Listen lassen sich ergänzen. Eine Besonderheit von Opera ist der eingebaute VPN-Dienst ohne ­Traffic-Limit, über den man seine externe IP-Adresse verschleiern kann. Im Test ­erreichten wir darüber flotte 100 MBit/s und mehr.

Apple Safari

Apple hat den macOS-Systembrowser mit einem Trackingschutz ausgestattet, der standardmäßig eingeschaltet ist. Viel zu konfigurieren gibt es nicht, in den Datenschutz-Einstellungen lässt sich das „websiteübergreifende Tracking“ lediglich aus- und wieder einschalten. Ferner kann man dort die „Datenschutzwahrende Messung der Werbewirksamkeit“ abschalten.

Dabei handelt es sich um einen von Apple erdachten Standard, um Klicks auf Werbeanzeigen datenschutzfreundlich zu erfassen, der jedoch von den Werbenetzen implementiert werden muss. Apple macht auch beim „Do Not Track“-Header sein eigenes Ding und unterstützt ihn nicht mehr. Ein Werbeblocker ist ebenfalls nicht an Bord. Die „Neuer Tab“-Seite ist auch bei Safari mit Werbelinks gespickt. Man kann sie leicht über die Favoriten entfernen.

Bei unserem Trackingtest schnitt ­Safari nur mittelgut ab, ungefähr vergleichbar mit der mittleren Anti-Tracking-Einstellung anderer Browser. Dieses Ergebnis ist jedoch nur bedingt aussagekräftig, da Safaris Trackingschutz laut Apple-Dokumentation dynamisch arbeitet (siehe ct.de/ymv9), was schwer messbar ist. Demnach werden Tracker lokal durch maschinelles Lernen klassifiziert und zudem zeitabhängig blockiert. Das bedeutet etwa, dass ein Third-Party-Cookie möglicherweise am ersten Tag noch funktioniert, aber am zweiten schon nicht mehr. So soll verhindert werden, dass zum Beispiel Single-­Sign-on-Dienste gestört werden.

Bei Safari ist Google als Suchmaschine voreingestellt und bei der Analyse des Datenverkehrs zeigte sich, dass der Browser erwartungsgemäß Eingaben in der Adresszeile dorthin überträgt. Eine Überraschung erwartete uns dennoch: Denn die Eingaben gingen zusätzlich an api-glb-euc1a.smoot.apple.com raus, also direkt an Apple. Apple blendet damit eigene Vorschläge ein, zum Beispiel Wortdefinitionen aus einem Lexikon. Wer möglichst privat surfen möchte, sollte in den Safari-Einstellungen unter „Suchen“ die Optionen „Suchmaschinenvorschläge“ und die „Safari-Vorschläge“ ausschalten. Dann kommuniziert Safari nur sehr sparsam aus eigenem Antrieb.

Fazit

Die Wahl des Browsers hat beträchtliche Auswirkungen auf die Privatsphäre, wie unser Privacy-Check gezeigt hat. Wer möglichst wenig Spuren hinterlassen möchte, sollte zu Brave greifen: Der Browser ist gut vorkonfiguriert und verhindert sogar das Canvas-Fingerprinting. Allerdings bringt er auch einige Funktionen wie ein Krypto-Wallet mit, die nicht jeder braucht. Direkt darauf folgt Mozilla Firefox, der einerseits mit einem guten Trackingschutz daherkommt und andererseits selbst nicht allzu viel in die Welt hinausposaunt.

Wer macOS nutzt, macht mit Safari wenig falsch, auch wenn der Tracking­blocker mehr Einflussnahme erlauben könnte. Die doppelt gemoppelten Suchvorschläge sollte man jedoch besser deaktivieren. Google Chrome gibt sich recht neutral und hat Trackern wenig entgegenzusetzen, kommuniziert dafür aber auch nur in überschaubarem Umfang mit seinem Mutterschiff.

Vivaldi fiel vor allem durch unnötige Übertragungen an Google und Werbung auf. Ignoriert man die Einrichtungs-Website beim ersten Start, ist der Trackingschutz erst mal inaktiv, ansonsten arbeitet er aber mittlerweile zuverlässig. Opera ist mit Werbe-Add-ons gespickt und zu redselig: Durch die Kombination von Opera- und Google-Diensten bekommen gleich zwei Unternehmen das Surfverhalten mit. Der Microsoft-Browser Edge hat zwar einen guten Trackingschutz, liefert seine Nutzer jedoch über die nicht deaktivierbare „Neuer Tab“-Seite gleich selbst ans Messer. Zudem erfährt Microsoft viel über das Surfverhalten, selbst im Inkognito-Modus.

Gegen die ausgefeilten Tracking-Methoden von FingerprintJS waren übrigens alle Browser machtlos, was zeigt, dass es keinen absoluten Schutz vor Tracking gibt – solange man nicht an anderer Stelle Kompromisse eingeht.

Dieser Artikel klärt nur die Datenschutzfrage, in der Titelstory von c’t 2/2021 finden Sie einen ausführlichen Test der wichtigsten Browser, der auch Geschwindigkeit und Funktionsumfang berücksichtigt. Auf den folgenden Seiten zeigen wir Ihnen, wie Sie Firefox so einrichten, dass Sie einerseits wenig Datenspuren hinterlassen, aber andererseits noch sehr komfortabel surfen. (rei@ct.de)

Testseiten, Hintergrundinfos: ct.de/ymv9