Browserwahl

Wir surfen alle im Internet und immer mehr wird der Browser mit HTML, DOM, JavaScript und CSS nicht nur zum "Betrachter" von Webseiten sondern zugleich die neue Plattform für moderne Apps und Dienste. Diese Seite beleuchtet die Funktion aber auch das "Geschäftsmodell" der Browser und die damit verbundenen Risiken. Auch Microsofts Edge ist da kein Musterknabe.

Vertrauen

Microsoft verteilt mit jedem Windows den "Edge-Browser" und die viele Anwender nutzen den Browser, weil er ja eh da ist. Aber ist das eine gute Wahl oder sollten Sie doch besser einen alternativen Browser einsetzen? Ehe ich darauf weiter eingehe, sollten wir uns anschauen, welche Daten der eingesetzte Browser und die vielleicht zusätzlich installierten AddOns alle sehen können. Heute geht quasi nichts mehr ohne Browser und manchmal merken Sie gar nicht, dass ein Browser genutzt wird. Hier ein paar Beispiele ohne Gewichtung der Reihenfolge

  • Posteingang
    Auch wenn viele Menschen ihre Mails auf dem Smartphone per POP3/IMAP4/SMTP nutzen, gibt es nicht wenige Nutzer einen Browsers, um ihre Mails zu lesen und zu schreiben. Der Browser bekommt so nicht nur ihre Mails zu lesen, sondern auch die eingegebene Zugangsdaten und sogar nach 2FA ausgestellte "Session Cookies" zu Gesicht. Wenn Sie bei eine anderen Dienst ein "Kennwort vergessen" auslösen und einen Rücksetzlink im Postfach landet, dann lesen und öffnen Sie auch diesen mit ihrem Browser
  • Banken, Sparkassen aber auch Paypal, Kryptowährungen
    Ich bin sehr sicher, dass die überwiegende Anzahl von Anwendern am PC keine 3rd Party Software für ihre Bandgeschäfte nutzen, sondern auf dem Smartphone vermutlich die Banking-App aber auf dem PC überwiegend den Browser
  • Behördenzugänge wie Elster, Familienkasse etc.
    Wenn sie ihre Einkommensteuer per Elster abgeben oder als Firma ihre Lohnsteuer, Umsatzsteuer und auch Meldungen an Krankversicherungen o.ä. dann kommt dort meist "Elster" z.B. mit einem "sicheren" Zertifikat zum Einsatz. Natürlich vertrauen Sie hier ihrem Browser
  • Warenhäuser (Amazon, Reichelt, Otto, Shein, ebay)
    Natürlich bestellen Sie im Internet bei den verschiedenen Lieferanten, bei denen Sie natürlich ein Konto haben. Bei der Menge an Konten bietet es sich ja geradezu an dass der Browser diese gleich in einer Datenbank mitführt und direkt eingibt. Bequemlichkeit ist Trumpf?
  • Gesundheitsdaten
    Wer schon einen Fitness-Tracker einsetzt und diesen mit dem Cloud-Service des Anbieters verbunden hat, hinterlässt da schon seine Daten. Aber vielleicht haben wir in einigen Jahren einen Clouddienste für Gesundheitsdaten und der Zugriff per Browser wird hier sicher auch ein legitimer Weg sein.
  • Apps wie Teams, draw.io, SAP u.a.

Wir sehen also, dass der Code des Browsers auf jeden Fall die Eingaben von der Tastatur annimmt, die Daten gerne per HTTPS von der anderen Seite abfragt und dann auf dem Bildschirm anzeigt. Und hoffentlich macht das der Browser "vertrauenswürdig"

Risiken beim Browser

Nun können wir "hoffen", das die Entwickler und Programmierer hinter einen Browser ihren Code und die komplette Build-Pipeline im Griffe haben, so dass Malware dort nicht eingeschleust werden kann. Zudem sollten funktionierende Update-Wege auch immer wieder erkannte Bugs sehr zeitnah korrigieren. Aber es gibt Risiken, die sind beim Anwender oder Administrator.

  • Standardbrowser: Edge, Chrome Firefox, Safari
    Einige Browser kommen ja mit dem Betriebssystem mit oder werden von "großen Firmen" entwickelt, die sich Missbrauch eigentlich nicht leisten können. Allerdings kostet die Entwicklung eines Browsers natürlich Geld und auch Entwickler leben nicht von Luft und Code. Neben Computer und Strom gibt es noch Schlafen, Essen, Trinken, etc. Also muss man sich das "Geschäftsmodell" der allesamt "kostenfreien" Standardbrowser anschauen. Man könnte nun sagen, dass Microsoft, Apple, Google ein Interesse daran haben, dass ihre Betriebssysteme (Windows, MacOS/IOS, Chromebooks) den besten Browser haben, um ihre Produkte zu verkaufen. Da sollten Sie aber nicht so sicher sein, denn die meisten Browser haben "Features", die datenschutztechnisch nicht immer ganz sauber sein dürften. Dazu später mehr.
  • "Besserer Browser" (Brave, Opera, Maxthon, Vivaldi, Tor u.a.)
    Dann gibt es noch viele andere Hersteller von Browsers, die z.B. weniger Popups, Werbebanner, höheren Datenschutz u.a. versprechen. Teils werden diese Projekte von wenigen Personen einer Community betrieben während andere ganz offiziell ein Produkt "verkaufen". Aber gerade kommerzielle Browser tun sich schwer zahlende Nutzer zu finden, wenn andere alle "kostenfrei" sind.
  • Addons
    Alle Browser haben ein "Extension"-System mit dem weitere Tools die Funktion des Browsers erweitern können, z.B. Downloads beschleunigen, Kennworte verwalten, Favoriten Verwalten, Details und Statistiken anzeigen etc. Auch diese AddOns haben Zugriff auf ihre Eingaben und können Ausgaben mitlesen oder verändern.
  • Download-Quellen
    Zuletzt sollten Sie einmal genau hinschauen, woher Sie ihre Browser beziehen. Sind sie sicher, dass Sie den Download von einer vertrauenswürdigen Quelle bezogen haben oder kamen die Bits und Bytes von einer "anderen" Seite, die einfach per Werbung sich vorgedrängelt hat?

Sie haben sicher schon gemerkt, dass nach der Installation eines neuen Browsers diese mehr oder weniger aggressiv Sie dazu bringen will, ihn auch als Standardbrowser zu erklären. Microsoft geht da auch nicht mit gutem Beispiel voran, da sie schon angekündigt haben, dass bestimmte Programme oder Links die Einstellung ihres "Standard-Browsers" ignorieren wollen

Die meisten Browser haben eine Telemetrie-Funktion, mit denen der Hersteller die Nutzung und Fehler finden möchte aber dazu werden auch Teile von Webseiten oder URLs übertragen. Einige Browser versprechen sogar eine "Optimierung" und Sicherheit, indem z.B. Bilder über einen Proxy geleitet werden oder URLs von einem Cloud-basierten Reputations-Service bewertet werden. Der Hersteller bekommt natürlich damit etwas mit und es braucht nicht viel Phantasie, dass diese Daten auch einen Wert haben. Letztlich ist der Browser auch die Instanz, die Zertifikate prüft und im Fehlerfall eine Warnung ausgibt. es wäre für die Hersteller sehr einfach, eigene Stammzertifikate mitzuliefern oder die Daten zu entschlüsseln.

Das sind ganz viele Fakten, die bei der Auswahl eines Browsers im privaten Umfeld aber auch im Firmeneinsatz zu berücksichtigen sind.

Chromium, Gecko, Chakra, Webkit/Nitro

Wenn wir schon beim "Browser" sind, dann müssen Sie die Oberfläche von der darunter arbeitenden Engine trennen. Früher hat jeder Browser seine eigene Engine gehabt und Microsoft hat erst den alten Internet Explorer samt der "Chakra"-Engine auf Abstellgleis gestellt aber auch die Neuentwicklung "Edge" hatte erst eine neue JavaScript Engine. In der Zeit gab es regelrechte Wettbewerbe, welcher Browser eine JavaScript-Seite schnell und fehlerfreier errechnen und anzeigen konnte. Während aber viele Administratoren dies damals eher belustigt und wenig relevant abgetan haben, waren die Entwickler schon weiter. Google hat mit dem Chromebooks angefangen, dass der Browser das neue Betriebssystem ist und der Anwender gar nicht mehr den Browser verlassen sollte. Irgendwann hat Microsoft dann den Wechsel vollzogen und Edge nutzt mittlerweile auch "Chromium" als Unterbau.

Denken Sie daran: Chromium ist nur die Engine unter der Haube von Chrome, Edge und einigen anderen Browsern. Chrome ist der Browser von Google mit vielen Funktionen, die rund um die Engine angebaut wurden.

Wenn Sie heute das Microsoft 365-Angebot anschauen, dann ist Microsoft mittlerweile auch auf den Zug aufgesprungen und Word, Excel, PowerPoint im Browser mit Teams oder SharePoint als Ablage ist für viele Anwender vollkommen ausreichend. Natürlich funktioniert dies am besten, wenn die Daten auch gleich in der Cloud sind und als Abonnement dem Anbieter auch regelmäßige Einnahmen erzeugen.

Kostenlos und Vertrauen?

Google hat den Begriff "Don't be evil" geprägt, von dem aber wohl nicht mehr so viel übrig geblieben ist. Sobald ein Projekt über einen Hobby-Status hinausgeht und Finanzinvestoren sich engagieren kommt irgendwann der Moment, wann es an die Monetarisierung geht. Beim Internet Explorer und Edge hatte ich lange die Hoffnung, dass Microsoft diese als Plattform für ihre Microsoft 365 Cloud-Dienste nutzt und sich daher zumindest im Firmenumfeld etwas zurück hält. Aber mittlerweile finde ich die "Defaults" bei den drei bekanten großen Browsern schon etwas bedenklich. Oft kommen mit einer neuen Version auch neue "Funktionen" dazu, die natürlich nur zum Wohle des Anwenders eingesetzt werden sollen. Allerdings wird der Anwender nicht immer darüber informiert oder aktiv um Erlaubnis gefragt. Schauen Sie sich die Einstellungen der Browser einfach mal an.

  • Alle: Senden Telemetriedaten an das Mutterschiff, um natürlich die Fehler und Probleme zu erkennen und zu verbessern.
    Aber sehr oft sind umfangreiche Daten enthalten. Sie vertrauen darauf, dass der Entwickler keine vertraulichen Daten erhält, wenn er nicht nur den Fehler sondern auch die verursachenden Daten einsammelt.
  • Alle: Kennwort speichern
    Auf der einen Seite möchten die Browser dem Anwender die Mühe abnehmen, Kennwort manuell einzugeben aber auf der anderen Seite erzwingt kein Browser dazu ein Masterkennwort. Zudem erschwert dies natürlich den Wechsel des Browsers, was durchaus auch ein Ziel sein kann. Ich würde immer zu 3rd Party Kennwort-speichern greifen, was aber auch wieder die App-Thematik mit sich bringt.
  • Alle: Formularausfüllen und Zahlungsinformationen speichern
    Klar ist es bequem, wenn ein Browser in einem Formular die Felder erkennt und vorbelegt. Aber dazu muss er die Informationen speichern. Diese Daten sucht und findet auch Malware
  • Edge: Bilder werden zur "Verbesserung" an Microsoft gesendet
    Bislang habe ich noch nicht verstanden, warum ein Client von einer Webseite heruntergeladene Bilder zu Microsoft zwecks Optimierung senden sollte
  • Alle: URLs werden an Microsoft gesendet um Malware zu erkennen
    Das ist im Grunde sehr nützlich, wenn Anwender vom Anklicken unsicherer URLs geschützt werden. Aber muss es dazu die URL im Klartext sein. Es würde auch ein Hashwert der Hostnamens und optional des Pfads reichen.
  • Firefox: Es gibt die Option dass HTTPS immer genutzt werden könnte.
    Diese ist aber by default abgeschaltet. Wenn ich für Normalanwender die Sicherheit erhöhen will, dann sollte ich das Einschalten und bei Seiten ohne HTTPS warnen und die Erlaubnis einholen.
  • DNS (DoH), VPN, Optimierung
    Immer mehr Browser ignorieren die im Betriebssystem hinterlegten DNS-Server, Proxy-Server oder Routen und fragen per DNS over HTTPS die Namen bei anderen Diensten ab. Damit hinterlassen sie dort Spuren ihrer IP-Adresse und der abgefragten Namen und die Antwort muss nicht die "beste" sein. Andere leiten den Verkehr über Proxy-Server oder durch Tunnel, um vorgeblich den Anwender zu schützen. Wobei Sie ihre Bewegungsdaten nun einfach bei einem anderen Anbieter hinterlassen.
  • Werbung (chrome://settings/adPrivacy/)
    Irgendwann im Sep 2023 hat mich Chrome nach meinen Werbeeinstellungen gefragt. Standardmäßig sind "werbethemen" aktiv, d.h. der Browser nutzt meinen Verlauf um relevante Werbung zu verbessern. Weiterhin können Webseiten meine Verlauf abfragen, um bessere Werbung zu liefern und zuletzt können die Werbetreibenden soger dan "Erfolg" ihrer Werbung messen.
  • Adressbar-Suche
    Früher mussten Anwender erst eine Suchseite wie Bing, Google, Yahoo, AltaVista etc. ansurfen, um ihre Suchanfrage abzusetzen. Heute reicht die Eingabe der ersten Buchstaben in der Adressleiste und der Browser stürmt an die hinterlegte Suchmaschine und liefert Vorschläge oder Ergebnisse. Unbemerkt kann die Suchmaschine aber direkt nachvollziehen, welche Suche sie starten aber auch wieder abbrechen, wie schnell sie tippen, welche Themen Sie interessieren und das Profil über Sie verfeinern
  • Homepage
    Ich stelle in meinem Browser immer ein "about:blank" als Startseite ein, damit allein beim Start oder mit einer neuen Seite nicht gleich wieder eine "Homepage" mit Nachrichten, Wetter und natürlich Werbung von meiner Arbeit ablenkt. Es passiert regelmäßig dass nach einem Update diese Einstellung wieder zurückgedreht wurde, weil der Hersteller nun eine ganz neue Seite gebaut hat, die er dem Anwender nicht vorenthalten möchte. Ein Schuft, der böses dabei denkt

Das sind nur ein paar Punkte und den meisten Personen ist einfach nicht mehr bewusst, dass Updates nicht nur Fehler korrigieren, sondern auch das Verhalten ändern können. Wenn Sie einen Browser nutzen, dann sollte ihnen bewusst sein, dass die dem Hersteller schon großes Vertrauen entgegenbringen.

Alternativen?

Es gibt sehr viele andere Browser, von denen einige die Chromium-Engine als Unterbau zum Rendern der Webseiten und Apps nutzen aber ansonsten vorgeben, viel "sparsamer" zu sein. Zudem versprechen Sie nützliche Zusatzfunktionen wie z.B. Popup-Blocker, Werbeblocker etc., die ohne zusätzliche AddOns oder Plugins auskommen.

Aber auch hier müssen Sie natürlich darauf vertrauen, wie der Anbieter seine Kosten reinholt. Manchmal ist schon die Cookie-Anfrage beim Besuch der Webseite ein Hinweis, ob es die Firma ernst meint mit dem Daten sammeln.

Letztlich gibt es aber auch hier keine Sicherheit, denn anscheinend haben sind alle Versuche gescheitert, einen Browser statt der Daten zu "verkaufen"

Addons/JavaScript

Wenn wir mal den Browser zurückstellen, dann gibt es auch beim Browser mittlerweile eine muntere Anzahl sinnvoller und weniger sinnvoller Erweiterungen. Viele Anwender nutzen Kennwort-Speicher, die sich auch als AddOn, Extension, Themen integrieren, um Formulare auszufüllen. Andere helfen bei der Analyse einer Seite für SEO-Optimierungen oder fragen Zusatzinformationen von Suchmaschinen etc. ab.

Bei allen Erweiterungen müssen Sie vorsichtig sein, da diese im Browser laufen und damit alles sehen, was auch hier Browser sieht, d.h. auch Tastatureingaben in Kennwort-Dialogen, Authentication-Header aber sie können auch Inhalte auf der Webseite selbst verändern. Gute AddOns blenden damit Werbung etc. aus und ändern nicht die Bankverbindung oder den Betrag beim Homebanking.

Einige Leser mögen es sogar kritisch ansehen, wenn Sie in einem Formular etwas eingeben und per JavaScript oder AddOn im Hintergrund schon jeder Eingabe übertragen wird. Das ist "nett", wenn damit schon Wortvorschläge oder sogar Suchbegriffe geliefert werden aber letztlich verraten sie ihre Frage schon ehe sie auf den Button "Suchen" drücken. Auch bei der Eingabe von URLs in der Adresszeile bezeichnen es einige AddOns als Mehrwert, schon Teilinformationen zu übertragen, was aber auch einen unerwünschten Informationsabfluss bedeuten kann.

Zusammenfassung

Irgendwie sind die Anwender selbst mit schuld, denn ansonsten würden Sie vielleicht ein paar Euro/Monat für einen sicheren und datenschutzfreundlichen Browser ausgeben. Als Anbieter haben Sie es aber schwer solch ein Geschäftsmodell durchzusetzen, denn wenn zu wenige Käufer vorhanden sind, können Sie das auch nicht vorantreiben.

Mich irritiert hier etwas, dass nicht Firmen, Behörden und Schulen mit einem Bedarf an einem höherem Datenschutzniveau nicht von sich aus starten und auf Basis von Chromium einen einen "reduzierten" Browser für den eigenen Einsatz pflegen. Immer mehr Applikationen laufen mittlerweile im "Webbrowser" und nachdem nun auch Edge und Opera auf Chromium als Renderer gewechselt sind, sollte es durchaus im Interesse vieler Firmen liegen, einen datenschutztechnisch sicheren Browser zu verteilen. Die Frage ist nur, unter welchem Dach so eine Entwicklung dann erfolgen würde. An DE-Mail, DE-Cloud und anderen "DE-spezifischen" Produkten haben sich ja schon mehrere Firmen ihre Finger verbrannt.

Ich lebe eigentlich auch mit dem unschönen Gefühl, dass meine Browser mehr über mich verraten, als mir lieb ist.

Weitere Links