Der Webbrowser gehört zum fixen Programminventar moderner PCs. Mit ihm erschließen wir viele Inhalte des World Wide Web – reichend von einfachen Textseiten über browserbasierte Games bis hin zum Videostreaming. Dementsprechend wichtig ist es, wie das Surftool mit unseren Daten umgeht, geben wir damit doch allerlei Informationen ein, die viel über uns verraten können.

Forscher der University of Dublin haben nun fünf bekanntere Browser einem Vergleich in puncto Datenschutz unterzogen. Und zwar Googles Chrome, Apples Safari, Mozillas Firefox, die neue, Chromium-basierte Ausgabe von Microsoft Edge, den ebenfalls auf Chromium aufsetzenden Brave Browser sowie den Yandex Browser, der auf der selben Basis steht und vom gleichnamigen, russischen Onlineservice-Anbieter entwickelt wird. Es gab einen klaren Sieger.

Brave "ab Werk" am besten

Gemäß der Untersuchung geht Brave am vorsichtigsten mit den Daten User um. Das darf nicht ganz verwundern, schreiben sich die Entwickler doch Privacy groß auf ihre Fahnen. Brave biete "ab Werk" mit Abstand den besten Schutz insofern, als dass er deutlich weniger Daten an die Server der Entwickler kommuniziert, als seine Konkurrenten.

Man fand keinerlei Hinweise darauf, dass Identifikatoren verwendet würden, die es ermöglichen könnten, das Surfverhalten über die IP-Adresse des Nutzers langfristig zu verfolgen. Außerdem gibt der Browser auch keine genaueren Informationen über aufgerufene Websites weiter.

Bei Brave arbeitet man derweil an einem weiteren Feature, das zusätzlichen Datenschutz gewährleisten soll. Und zwar soll der Browser künftig für den Aufruf jeder Website einen zufälligen "Fingerabdruck" generieren, um die Nachverfolgung des Surfverhaltens der Nutzer gegenüber Seitenbetreibern zu erschweren.

Safari, Chrome, Firefox mit Verbesserungsbedarf

Bei Safari, Firefox und Chrome stellte man hingegen fest, dass Telemetriedaten übertragen werden, die sich dem jeweiligen laufenden Browser zuordnen lassen. Die Entwickler können also analysieren, wie Nutzer mit ihrem Surftool interagieren, auch wenn dieses neugestartet wird. Telemetriedaten dienen üblicherweise dazu festzustellen, wie gut die Bedienoberfläche einer Software funktioniert.

Alle drei Browser schicken aber auch erweiterte Informationen über aufgerufene Webseiten nach Hause. Und zwar über die Autocomplete-Funktion, die Eingaben in die Suchleiste über die Server des Anbieters laufen lässt, um Suchbegriffe oder Internetadressen als Vorschläge anzubieten. Nutzer können dieses standardmäßig aktivierte Feature allerdings abschalten.

Bei Firefox fand man weiters einen offenen Websocket, der für Pushbenachrichtigungen genutzt wird. Dieser steht in Verbindung mit einem eindeutigen Identifikator, was wiederum für Tracking missbrauch werden könnte. Safari lobt man für verhältnismäßig gute Privatsphäre-Einstellungen, bemängelt aber, dass die voreingestellte Startseite mehrere Tracker von Drittanbietern enthält. Generell werden Safari, Firefox und Chrome dafür kritisiert, dass sie bessere Standardeinstellungen bieten könnten. Man könne zwar die Ärgernisse selbst beseitigen, für Durchschnittsuser sei die Vielfalt der dafür notwendigen Änderungen aber zu komplex.

Kritik an Edge und Yandex Browser

Wenig begeistert sind die Wissenschaftler vom Yandex Browser und Microsoft Edge. Beide arbeiten mit eindeutigen Identifikatoren, die von der Hardware des Nutzers abgeleitet sind – und sich somit auch nur ändern, wenn wichtige Komponenten des Systems ausgetauscht werden. Das Nutzerverhalten kann somit nicht nur nach Neustarts des Browsers, sondern auch nach einer kompletten Neuinstallation weiter zugeordnet werden. Yandex schickt zusätzlich auch noch einen Hash aus den Seriennummern der Hardware sowie die MAC-Adresse an seine Server. Bei beiden Browsern ist dieses Verhalten nicht einfach abschaltbar.

Ein Problem sieht man aber nicht nur an diesem Hardware-Fingerabdruck. Neben der Übertragung von Webseiten-Infos basierend auf der Autocomplete-Funktion schicken Edge und Yandex auch Daten über Webseiten heim, in deren Aufruf mit hoher Wahrscheinlichkeit keine Autovervollständigung involviert war. Demnach dürfte es eine weitere Trackingebene geben.

Methodik

Für die Untersuchung der Browser haben die Forscher erfasst, welche Daten ein Browser in fünf Szenarien überträgt: Beim ersten Start nach einer Neuinstallation, beim Schließen und Neustarten, beim Einfügen einer URL in die Eingabeleiste, beim Eingeben einer URL in die Leiste und wenn der Browser geöffnet ist, aber gerade nicht aktiv verwendet wird.

Die vollständige Untersuchung kann in einem online abrufbaren Paper (PDF) nachgelesen werden. (gpi, 10.03.2020)