• Begriff:
  Jeder Browsertyp verfügt über eine eindeutige solche Kennung. Daraus kann die verwendete Browser- version geschlossen werden. Dies ist oftmals nützlich, da sich viele Websites optimal auf die Funktionen eines Browsers einzustellen versuchen.
  
  
• Risiken:
  Jeder Browser hat andere Sicher- heitslöcher - diese Kennung erlaubt es, die Sicherheitslöcher Ihres Browsers gezielt anzusteuern.
  
  
• Notwendigkeit:
  Kann nur mittels Anonymizer ( Bsp.) ausgeschaltet werden. Dadurch werden gewisse Websites aber unter Umständen nicht mehr optimal dargestellt.

• Begriff:
  Anzahl Pixel (Bildschirmpunkte), die Ihr Bildschirm darstellt.
  
  
• Risiken:
  Keine.
  
  
• Notwendigkeit:
  Kann oftmals höher eingestellt werden. Dadurch werden zahl- reiche Webseiten optimaler dargestellt.

• Begriff:
  Per se ungefährliche, kleine Datenschnipsel, die der Browser auf Anforderung durch einen Web-Server auf der Festplatte ablegt.
  
  
• Risiken:
  Erlauben eine genaue Analyse der Benutzerverhaltens über zahlreiche Websites hinweg.
  
  
• Notwendigkeit:
  Interaktive Websites sind oftmals auf Cookies angewiesen. Sofern kein überhöhtes Bedürfnis nach Persönlichkeitsschutz vorliegt, sollten sie nicht ausgeschaltet werden.

• Begriff:
  Eine auf dem Client ausgeführte Interpreter-Sprache, mit zahlreichen Anwendungsmöglichkeiten: Animierte oder aufklappende Menüs, Abfangen von Browser-Inkompatibilitäten, automatisches Öffnen weiterer Browserfenster usw. Hat nichts mit Java zu tun. DHTML (Dynamic HTML) funktioniert nur zusammen mit JavaScript.
  
  
• Risiken:
  Wird häufig benutzt, um Sicherheitslücken von Browsern auszunützen.
  
  
• Notwendigkeit:
  Sollte eher nicht abgeschaltet werden, da sonst die Navigation auf zahlreichen Websites unmöglich wird.

• Begriff:
  Client-seitige Scriptingsprache, von Microsoft ursprünglich als Ersatz für JavaScript gedacht. Funktioniert nur mit Microsoft Browsern. Findet im Internet nur selten Einsatz, wohl aber in Intra- und Extranets.
  
  
• Risiken:
  Wird oftmals zur Erstellung von Viren verwendet (VBS/Loveletter usw.)
  
  
• Notwendigkeit:
  Kann bei hohen Sicherheitsan- forderungen im Internet abge- schaltet werden. Sollte bei der Ver- wendung von Intra- und Extranets nicht abgeschaltet werden. Detaillierte Einstellung nach Zone möglich.
  

Falls rotes Quadrat erscheint: aktiviert.

• Begriff:
  Plattformübergreifende Program- miersprache von Sun. Der Browser lädt beim Besuch ein sogenanntes Java-Applet herunter, das lokal abläuft. Wird oft für zusätzliche Funktionen wie Newsticker, 3D-Animationen oder Datenbankab- fragen eingesetzt.
  
  
• Risiken:
  Java Applets laufen in einer in sich geschlossenen Umgebung, der Java Virtual Machine (JVM), die keinen Zugriff auf lokale Ressourcen wie Dateien oder Programme hat. Implementationsfehler können aber trotzdem zu Sicherheitslücken führen.
  
  
• Notwendigkeit:
  Im Allgemeinen nicht zwingend erforderlich. Beim Abschalten muss aber auf gewisse Funktionen verzichtet werden.

Falls nichts erscheint: deaktiviert.

• Begriff:
  Plugin, das vor allem von grafiklastigen und dynamischen Websites (Games, Produktedemos usw.) verwendet wird.
  
  
• Risiken:
  Unterschiedlich, abhängig vom Lieferanten des Plugins. Nicht vertrauenswürdige Websites vermeiden.
  
  
• Notwendigkeit:
  V.a. auf designorientierten Seiten unvermeidbar. Oftmals wird eine HTML-Alternative angeboten. Das Menü links auf dieser Website basiert auch auf Flash. Die HTML-Alternative befindet sich am unteren linken Seitenrand (oder über die Sitemap)
  

• Begriff:
  Microsoft-Technologie, die nicht nur im Internet eingesetzt wird. Im Internet vergleichbar mit Netscape-Plug-Ins. Dient der Erweiterung des Funktionsumfangs (bspw. Multimedia-Player, 3D-Controls, Online-Virusscans usw.)
  Die Missbrauchsmöglickeiten sind jedoch gewaltig. Benutzer, die Wert auf Sicherheit legen, sollten deshalb alle Optionen mit ActiveX deaktivieren oder zumindest auf "Eingabeaufforderung" stellen.
  
  
• Risiken:
  ActiveX-Controls können auf beliebige Ressourcen des PC zugreifen und erheblichen Schaden anrichten. Digital signierte Controls sind jedoch im allgemeinen un- problematisch. Eine Garantie gibt es aber nicht.
  
  
• Notwendigkeit:
  Im allgemeinen unproblematisch, sofern nur sichere Controls von vertrauenswürdigen Websites akzeptiert werden.

• Begriff:
  Wie sichere bzw. signierte ActiveX-Controls, aber nicht digital signiert.
  
  
• Risiken:
  Grosse Risiken - Sie öffnen dem Lieferanten des Controls unter Umständen Tür und Tor Ihres PCs
  
  
• Notwendigkeit:
  Sollte ausgeschaltet werden.

Diese Informationen alleine genügen zwar in dieser Form kaum, um in Ihre Privatsphäre einzubrechen. Aber selbst wenn wir von weiteren Informationen und Angriffen absehen, die durch Sicherheitslöcher ermöglicht werden, über die jeder Browser "verfügt", lassen sich mit diesen Mitteln haarschafte Profile Ihres Surfverhaltens - und somit rasch einmal auch Ihrer Person - erstellen.

Cookies als Erkennungsmarken

Cookies spielen dabei eine herausragende Rolle, weil sie die Wiedererkennung eines Besuchers erlauben. Cookies sind grundsätzlich völlig ungefährliche, kleine Datenschnipsel, die der Browser auf Anforderung durch einen Web-Server auf der Festplatte ablegt. Dadurch "weiss" der Web-Server, wann Sie eine bestimmte Seite bereits einmal besucht haben - und was Sie dort gemacht haben.

Besonders mächtig werden diese Cookies im Zusammenhang mit grossen Online-Werbefirmen, die Ihre Banner auf tausenden von Websites platziert haben und so Benutzeraktivitäten über zahlreiche Sites hinweg erfassen können. Mit modernem Data Mining ist es dann ein Leichtes, ein haarschafes Benutzerprofil zu erstellen.

Die Abschaltung dieser Cookies ist jedoch nur für besonders Vorsichtige eine Alternative - viele Funktionen des Internets lassen sich dadurch nämlich nicht mehr bedienen, da Cookies durchaus auch nützliche Einsatzgebiete haben.

Mit diesen Informationen baut sich ein Kundenprofil Stück für Stück zusammen. Wenn möglich und sinnvoll werden dabei ergänzend auch Quellen aus der "echten" Welt wie Adress- oder Berufsverzeichnisse beigezogen. Der Autor dieses Textes veröffentlichte einmal eine Hotmail-Adresse im Schweizer Telefonbuch. Seither prasseln täglich massenweise Spammails in dieses Postfach.

Verräterische Emails

Neueste Trends gehen dahin, auch Emails in die Profilerstellung einzubeziehen. Früher hatten Versender von Spam Mails Mühe herauszufinden, welche Email-Adressen auch wirklich aktiv waren und gelesen wurden. Deshalb waren Sie um jedes Antwortmail - auch wenn der Empfänger darin ersuchte, keine weiteren Spam Mails zu erhalten - sehr dankbar. Dadurch verriet der Empfänger nämlich nichts anderes, als dass es sich bei der Email-Adresse um eine aktive und somit interessante Adresse handelt.

In Emails eingebettete Links zu Websites, die den Empfänger durch einen eingebetteten Code verrieten, waren die nächste Stufe. Der Empfänger bestätigte die Existenz seiner Adresse auch ohne Beantwortung des Mails.

Spätestens seit der Einführung von HTML-Emails konnte das Profiling mittels Email perfektioniert werden. So werden in diesen Emails gerne (unsichtbare) Grafiken eingebaut, deren Aufruf zugleich einen eindeutigen Schlüssel an den Versender übermittelt. Der Versender merkt dadurch, dass - und wann - Sie das Email gelesen haben.

Diese Technologie der unsichtbaren Grafiken wird übrigens auch auf Websiten eingesetzt. Ausserdem kann mit zahlreichen Plugins wie bspw. dem RealPlayer ein ähnlicher Effekt erzielt werden. Obwohl die betroffenen Firmen die Erstellung von Kundenprofilen oftmals abstreiten, muss aufgrund der aufgedeckten Fälle davon ausgegangen werden, dass die Bemühungen in diesem Bereich sehr intensiv sind.

Weiterführende Links

• DoubleClick, eine der grössten Online-Werbeagenturen
• Tips und Tools für sicheres Surfen vom Datenschutzbeauftragten des Kantons Zürich
• Symantec Security Check
• c't Browsercheck
• Shields Up! Browsercheck
• Heise.de Browsercheck
• Security Website von Microsoft
• Anonym durch's Web surfen - mit dem Anonymizer

Noch Fragen?

Gerne beraten wir auch Sie in Sicherheitsfragen. Denn Sicherheit ist heute Chefsache. Und fragen kostet bekanntlich nichts!