Geht es nach dem Willen vieler Juristen und mindestens ebenso vieler Politiker gerade aus dem rechten Spektrum in Deutschland, so ist "ein Recht auf anonyme Internet-Nutzung nicht anzuerkennen". Aber auch bei Politikern gibt es andere Auffassungen. Die Landesbeauftragte für den Datenschutz in Niedersachsen fasst es auf ihrer Web-Seite prägnant zusammen: "Das Recht auf Anonymität ist an sich so selbstverständlich, dass man darüber nicht schreiben oder sprechen müsste".
In der Praxis klafft jedoch eine große Lücke zwischen dem Bestreben übereifriger Politiker und Staatsschützer, jeden noch so kleinen Schritt alle Bürger im Internet zu überwachen und dem Anspruch vieler Internet-Aktivisten, allen Menschen völlig Freiheit im Netz zu gewähren. Ein Blick auf die Technik zeigt folgende aktuelle Situation:
Jede Online-Aktion hinterlässt Spuren;
Eine Online-Aktion gleich welcher Art hinterlässt in der Regel sowohl auf dem eigenen Endgerät (PC, Tablet, Smartphone) als auch auf allen "dazwischen geschalteten" Ressource wie Web- und Proxy-Servern unterschiedliche Spuren;
Das Löschen aller Spuren ist nur sehr schwer möglich beziehungsweise unmöglich. Wie bei allen "forensischen" Operationen bleibt einzig die Frage, welchen Aufwand es kostet, bestimmte Information zu finden beziehungsweise wiederherzustellen;
Mit den richtigen Software-Tools ist es möglich, einen Grad der Anonymität zu erreichen, der für die alltäglichen Bedürfnisse (nicht für geheimdienstliche Tätigkeiten) ausreicht.
Wir geben in diesem Beitrag einen Überblick darüber, wie Sie feststellen, welche Daten Sie und Ihr Browser beim Surfen preisgeben und welche Tools Ihnen dabei helfen können, dies zu verhindern.
Informationen zuerst: Welche Daten verrät mein Browser?
Zunächst einmal ist es gut zu wissen, um welche Daten es geht: Welche Informationen gibt ein Browser preis, wenn beispielsweise eine Web-Seite aufgerufen wird? Den meisten Anwendern dürfte bekannt sein, dass alle Browser die besuchten Seiten in einer Liste aufbewahren, die sich auch im Nachhinein anschauen und untersuchen lässt. Dagegen hilft ein manuelles Löschen dieses Verlaufs, der in einigen Browsern auch Chronik heißt. Die Alternative stellt ein so genannter "InPrivate"- oder auch Inkognito-Modus dar, durch den der Browser nach Abschluss der Sitzung den Verlauf sowie eventuell gespeicherte Cookies und den Cache löscht. Auch Passwörter und zuvor eingegebene Benutzerkennungen sowie Daten, die in Formularfelder eingegeben wurden, werden gelöscht. Es lässt sich zwar verhindern, dass andere Benutzer des gleichen Systems herausbekommen, auf welchen Seiten gesurft wurde - aber schon im internen Netzwerk bieten sich für einen Administrator oder auch einen Angreifer genügend Möglichkeiten, die von einem Browser übermittelten Daten abzufangen und zu analysieren. Was die Anonymität im Internet angeht, bieten diese Maßnahmen keinen Schutz.
Web-Seiten zum Testen der Anonymität
Es existieren einige Web-Seiten, die anzeigen, welche Informationen der eigene Browser preisgibt. Eine schöne Übersicht bietet die Seite Dein-Ip-Check.de. Auf ihr finden sich nicht nur allgemeine Information wie IP-Adresse, Host- und Providername, sondern auch geographische Informationen zum eigenen Standort. Informationen zum verwendeten Browser, die bis zu den verwendeten Plugins und der Verfügbarkeit von Java reichen, runden das Angebot ab. Da diese Details aber via JavaScript ausgelesen werden, kann ein Ausschalten der JavaScript-Unterstützung im Browser oder noch besser der Einsatz eines Script-Blockers wie NoScript sehr wirksam verhindern, dass viele Informationen über den Browser weitergegeben werden. Die beiden Browser-Fenster (einmal mit Script-Blocker und einmal ohne), die das Bild 4 unserer Bildstrecke zeigt, demonstrieren diesen Unterschied sehr schön.
Eine weitere Seite, die einen solchen Test vornimmt, wird vom JonDonym-Projekt zur Verfügung gestellt. Die dort angebotene Testseite "ip-check.info" zeigt nicht nur sehr ausführlich, wo der Browser gefährlich Schwachstellen offenbart, sondern gibt auch fast immer Tipps, wie diese beseitigt werden können. Wir haben diese Seite auch dazu verwendet, die Wirksamkeit der Tools zu überprüfen, die wir im Rahmen dieses Berichts vorstellen.
Einfach und ohne Installation: Web-Proxy über den Browser
Wer möglichst unerkannt im Netz surfen will, wird dazu in der Regel einen so genannten Proxy-Server einsetzen: Dabei laufen alle Aufrufe von Web-Seiten und auch die entsprechenden Rückmeldungen zunächst über diesen dazwischen geschalteten "Stellvertreter". Wer solch einen Server im eigenen Netzwerk installiert, kann aber auch bestimmte Seiten filtern und besitzt zudem eine wirksame Kontrollinstanz, der das Surfverhalten der Anwender aufzeichnet. Im Internet existiert eine große Zahl von anonymen Servern, die als Proxy-Server fungieren und damit einen Teil der Information über den Nutzer und seinen Browser vor dem Ziel-Server verbergen. Wer keine zusätzliche Software zur Anonymisierung auf seinem Rechner installieren kann oder will, sollte auf einer dieser Lösungen zurückgreifen, von denen wir hier einige exemplarisch vorstellen.
CyberGhost
CyberGhost: Eine Web-Seite, die neben dem freien Web-Proxy auch eine eigene Software (in einer freien und in verschiedenen kommerziellen Versionen) anbietet:
Freier Web-Proxy, der mit guter Geschwindigkeit und einer großen Auswahl an Servern aufwarten kann;
Seite und Software vollständig in Deutsch und in weiteren Sprachen lokalisiert;
Bei den von uns verwendeten Testseiten blieb die Anonymität gewahrt.
Fazit: Diese Web-Seite eignet sich in der aktuellen Konfiguration gut dazu, ohne großen Aufwand anonym zu surfen. Die Firma bietet auch ein entsprechendes Programm zur Installation eines VPN-Tunnels an, das wir im weiteren Verlauf des Artikels noch genauer vorstellen.
Vtunnel
Ähnlich wie bei anderen Web-Proxys genügt auch bei Vtunnel der Aufruf der Seite und das Eingeben der Web-Adresse, die der Anwender anonym besuchen will. Allerdings haben wir während der gesamten Testphase keine andere Seite gefunden, die derart mit Werbung überfrachtet ist. Zwar anonymisiert die Web-Seite die Aufrufe zuverlässig, was uns auch durch Aufruf der Testseiten bestätigt wurde. Der Nutzer wird aber bereits beim Start mit Pop-Up-Fenstern regelrecht bombardiert. Selbst auf der eigentlichen Testseite stören Musik und Audio-Spots das Surfen. Durch einen Script-Blocker lassen sich die meisten dieser nervenden Einblendungen zwar abschalten, dann funktionierte die Seite aber nicht immer richtig.
Fazit: Ein Paradebeispiel dafür, wie eine kostenfreie Lösung nicht aussehen sollte.
Installation notwendig: Anonymität durch Zusatzprogramme
Wer nicht darauf angewiesen ist, nur mit dem Browser auf bestehende Web-Proxys zuzugreifen, kann sich entsprechende Lösungen auf seinem PC installieren. Hier stehen sowohl Standalone-Lösungen als auch Plugins für den Browser zur Verfügung, wobei die meisten dieser Browser-Ergänzung für Mozilla Firefox angeboten werden.
Zu den bekanntesten Entwicklungen, die mit einem eigenen Client auf dem PC arbeiten, gehört das Projekt AN.ON, das vielen unter dem Namen JAP (oder JonDo) bekannt ist. Während es sich bei JAP um das kommerzielle JonDonym-Anonymous-Proxy-Programm handelt, das gegen Bezahlung sehr sichere, mehrstufige Web-Proxy-Verbindungen anbietet, wird das Projekt AN.ON weiter kostenlos betrieben.
Vorteile beim Einsatz von AN.ON und JAP (JonDO):
Ausführlich dokumentierte deutschsprachige Lösungen mit sehr vielen interaktiven Hilfestellungen;
Neben den Assistenten erlauben Zusatzlösungen wie JonDoFox (ein Konfigurations-Tool, das den Firefox-Browser für die Anonymisierung einstellt) auch unerfahrenen Anwendern, sich sicher und weit gehend anonym im Internet zu bewegen;
Die Nutzung von Tor Onion-Router wird unterstützt, so dass der Anwender noch mehr Auswahlmöglichkeit hat.
Nachteil beim Einsatz dieser Lösung: Wer JAP/AN.ON nutzen will, muss Java auf seinem Rechner installieren. Leider macht diese Software nicht nur durch mangelnde Geschwindigkeit, sondern gerade durch immer wieder auftauchende schwere Sicherheitslücken von sich reden. So raten vielen Security-Experten mittlerweile dazu, Java komplett vom System zu entfernen, wenn es nicht zwingend benötigt wird…
Fazit: JAP ist sowohl in der freien als auch der kommerziellen Variante gelungen. Die Lösung ist schnell und einfach zu installieren und durch die vielen Hilfestellungen für fast jeden Anwender einzusetzen. Der Wermutstropfen ist und bleibt die Verwendung von Java.
Der "Klassiker": das Tor-Projekt
Ebenso wie das JAP/AN.ON-Projekt arbeitet auch das Tor-Projekt als Multi-Level-Lösung für die Anonymisierung. Dabei kann nicht nur die Herkunft des HTTP-Verkehrs verborgen werden, sondern auch die damit verbundenen TCP-Aktionen. So werden Anonymisierung und Sicherheit deutlich verbessert. Bei Tor handelt es sich im Ursprung um ein militärisches Projekt, das zunächst als "Onion Routing-Projekt" des US Naval Research Laboratory für die US-Marine entwickelt und eingesetzt wurde. Heute bietet das offene Netzwerk allen Menschen die Möglichkeit zur sicheren Internetkommunikation. Grundsätzlich arbeitet Tor mit einer großen Anzahl von Knotenrechnern, die voneinander unabhängig die Datenpakete bewegen. Auf der Web-Seite des Projekts finden sich ausführliche (englischsprachige) Erläuterungen zu diesem Prinzip.
Was bietet das Tor-Projekt dem Anwender?
Ein sehr sichere Lösung, um möglichst weitgehend anonymisiert zu surfen;
Ein freies, offenes Projekt, das stetig weiterentwickelt wird. Das Tor-Browser-Bundle steht sowohl für Windows-, als auch für Mac OS X und Linux bereit;
Durch die vielen verteilten "Onion Router" wird eine Nachverfolgung eines Nutzers nahezu unmöglich gemacht.
Was es früher recht aufwändig, die Tor-Software zu installieren und in den Betrieb zu nehmen, ist der Tor-Browser heute durch ein Installationsprogramm, das auch in deutscher Sprache bereitsteht, auch für weniger geübte Nutzer und unter erschwerten Bedingungen wie "Zwangs-Proxy-Server" recht einfach zu installieren.
Was spricht gegen den Einsatz der Tor-Lösung?
Die mehrfache Weiterverbindung und -verteilung auf viele Server im Netzwerk geht selbstverständlich mit Geschwindigkeitseinbußen einher;
Viele Anleitungen, Erläuterungen und Software-Hilfen sind in Englisch gehalten;
Der Anwender muss sich darauf verlassen, dass die Onion-Router sicher sind und nicht zur Datenspionage verwendet werden.
Fazit: Tor ist die Lösung für Anwender, deren Hauptaugenmerk auf so viel Anonymität wie nur irgendwie möglich liegt und die dafür auch Geschwindigkeitseinbußen in Kauf nehmen. Das Tor Vidalia Bundle erleichert Konfiguration und Einsatz der komplexen Lösung.
CyberGhost: Der VPN-Tunnel
Wir haben bereits im ersten Abschnitt dieses Beitrags die Firma CyberGhost vorgestellt, die unter anderem auch einen freien Proxy-Server im Web anbietet. Daneben stellt das Unternehmen auch die Möglichkeit zur Verfügung, mit Hilfe der Software ein VPN (Virtual Private Network) über seine Server aufzubauen und alle Internet-Verbindungen über diese Verbindung zu betreiben.
Welche Vorteile bietet CyberGhostVPN?
Eine (in der kleinsten Ausprägung) freie Software, bei der nicht nur das Surfen im Web anonymisiert wird, sondern auch Programme wie Skype über diesen Tunnel betrieben werden können;
Es kommen keine unbekannten Proxy-Server im Internet zum Einsatz, bei denen Zuverlässigkeit und Sicherheit zumeist nicht eingeschätzt werden können;
Anwendung, Hilfe und Web-Seite stehen in deutscher Sprache zur Verfügung.
Fazit: Die CyberGhost-Lösung verwendet das bekannte OpenVPN. Während OpenVPN jedoch ein gewisses Maß an Fachwissen erfordert, ist CyberGhost leicht und schnell installiert. Das System installiert vollkommen automatisch den TAP-Windows Adapter V9 als virtuelle Netzwerkkarte. Das klappte im Test auch unter Windows 10 Professional völlig problemlos. Die freie Variante der Software erlaubt 1 Gigabyte an Daten pro Monat, nimmt eine Zwangstrennung nach sechs Stunden vor und verwendet nur wenige Server des Anbieters. Bei entsprechend umfangreicheren kommerziellen Angeboten werden diese Beschränkungen aufgehoben. Allerdings gilt es natürlich, dem Anbieter dieser Lösung, dessen Firma in Bukarest residiert und ihre Server betreibt, voll zu vertrauen - schließlich laufen alle Daten über dessen Infrastruktur.
Sicherheit durch Browser-Erweiterungen
Abschließend wollen wir noch die Möglichkeit erwähnen, eine gewisse Sicherheit durch entsprechende Browser-Plugins beziehungsweise -Erweiterungen zu erreichen. Zwar werden die meisten dieser Add-ons mit dem Hintergedanken angeboten, mögliche Einschränkungen bei der Betrachtung von Youtube-Videos zu umgehen, aber natürlich verwenden auch sie Web-Proxy-Server.
Von der bis vor einigen Jahren noch sehr popuären Erweiterung Stealthy für den Firefox-Browser können wir in der Zwischenzeit nur abraten. Sie steht zwar grundsätzlich nach wie vor kostenlos zur Verfügung, bietet dem Anwender aber ihr volles Potenzial (mit entsprechend schnellen Servern in USA und Großbritannien) erst nach einem kostenpflichtigen Update auf die Pro-Version an. Aktuelle Tests zeigten dann leider auch, dass mit der freien Version nur sehr selten überhaupt eine Verbindung zustande kam. Auch die Integration in aktuelle Version des Firefox klappte nicht immer reibungslos.
Als Alternative können wir nach dem aktuellem Stand (September 2016) die Firefox-Erweiterung anonymoX empfehlen. Sie steht auch in einer freien Version bereit, die bei diversen Testläufen ohne Probleme funktionierte. Sie ersetzte auch problemlos unsere IP-Adresse, so dass statt dieser auf den Testseiten eine andere angezeigt wurde. Das ist kein großartiger Aufwand, war aber eine Disziplin in der Stealthy bereits nicht ohne Schwierigkeiten bestehen konnte.
Auch für Google Chrome stehen diverse Erweiterungen im Chrome Webstore bereit. Die meisten davon arbeiten ebenso wie die hier von uns vorgestellte Erweiterung Proxy SwitchyOmega als Administrationswerkzeuge, die es den Anwendern erleichtern, verschiedene Proxy-Server zu verwalten sowie automatisch oder manuell "auf Knopfdruck" zwischen diesen zu wechseln.
Was uns bei dieser Erweiterung absolut missfallen hat: Sie verlangt den Zugriff auf alle Daten der vom Nutzer besuchten Web-Seiten - was bei einem solchen Werkzeug unverständlich und unnötig ist.
Wer selbst die Proxy-Server auswählen möchte, über die er anonym surft, kann dies über zahlreiche Web-Seiten wie beispielsweise Proxy-listen.de tun: Dort werden Listen der aktuellen, frei zugänglichen Proxy-Server im Web gepflegt. Die Server-Adressen können anschließend mit einer Erweiterung wie "Proxy SwitchyOmega" im Chrome-Browser einfach genutzt und auch über Regeln verwaltet werden. (sh)