Firefox datenschutzfreundlich konfigurieren

Diese Anleitung ist sehr detailliert und genau. Für alle, die es schnell haben wollen, habe ich die wohl kürzeste Anleitung zur Sicherung von Firefox geschrieben. Dort zeige ich in nur 4 Punkten, wie man den größtmöglichen Schutz beim geringstmöglichen Konfigurationsaufwand erhält.

Websurfen ist heutzutage keinesfalls mehr nur das Besuchen von und das Interagieren mit Websites. Jedes Mal, wenn wir unseren Browser starten und damit Websites aufrufen, werden wir von unzähligen Trackern, die unser Surfverhalten aufzeichnen und analysieren, beobachtet. Die Daten werden gespeichert, analysiert, verarbeitet und verkauft. Datenschutzfreundliches Websurfen ist heutzutage ohne Konfiguration eines passenden Browsers und ohne Zusatzmodule unmöglich.

Safari ist ein an sich toller Browser, ihn aber zu konfigurieren ist nahezu unmöglich; an allen Ecken und Enden hat Apple vorbestimmt, was die User tun dürfen. Sogar die Auswahl einer Suchmaschine ist auf die von Apple vorgegebenen Möglichkeiten beschränkt. Google Chrome ist ebenfalls ein hervorragender Browser (nicht zuletzt durch zahlreiche automatisierte Sicherheitsupdates und das Sandboxing von Flash), er wird aber den dubiosen Touch nicht los, Daten an Google zu senden. Opera ist mittlerweile ein Google Chrome-Klon und interessiert daher niemanden mehr. Internet Explorer ist in jeder Hinsicht eine Katastrophe, Alternativen gibt es praktisch nicht. Es bleibt also im Rennen: Firefox.

Firefox

Im Gegensatz zu allen anderen Browsern wird Firefox nicht von einer profitorientierten Firma entwickelt, sondern von einer Community, die von sich behauptet, „Offenheit, Innovation & Chancen im Web zu fördern“. Der offene Zugang zur Entwicklung des Browsers ermöglicht es jedem Nutzer, datenschutzfreundliche Einstellungen leicht durchzuführen. Mit nur wenigen Klicks kann der Browser – noch vor der Installation des ersten Plugins! – deutlich sicherer gemacht werden.

Download Firefox.

Chronik und Datenschutz

Nach der Installation des Browsers sind einige Änderungen an den Einstellungen notwendig, um den Browser sicherer zu machen. Viele der Einstellungen können ohne Zuhilfenahme von Plugins und Add-Ons leicht vorgenommen werden.

Zuerst deaktivieren wir die Verfolgung von Nutzeraktivitäten, eine ohnehin kaum von Websites respektierte Einstellung, setzen aber fest, dass Cookies von Drittanbietern nicht akzeptiert werden und die Chronik mit Beenden des Browsers gelöscht wird.

firefox_einstellungen_datenschutz

Der Button „Einstellungen…“ neben dem Eintrag „Die Chronik löschen, wenn Firefox geschlossen wird“ offenbart weitere Möglichkeiten zur Löschung von Daten. Hier setzen wir fest, dass die wesentlichsten Elemente aus der Chronik und aus den Daten entfernt werden. (Ich habe „Besuchte Seiten & Download-Chronik“, sowie die „Website-Einstellungen“ ausgenommen, da dies Datensätze sind, die intern gespeichert werden.)

firefox_einstellungen_datenschutz_chronik

Sobald das erledigt ist, klicken wir auf OK und wechseln in den Reiter „Sicherheit“.

Sicherheit

Passwörter (und Formulardaten) sollten niemals im Browser gespeichert, sondern von Passwortmanagern, wie zum Beispiel 1Password oder KeePassX, verwaltet werden. Das Speichern von Passwörtern wird im Reiter „Sicherheit“ deaktiviert.

firefox_einstellungen_sicherheit

Zurückgezogene Zertifikate blockieren

Firefox prüft Zertifikate auf ihre Gültigkeit, wenn wir das wollen. Da wir kein Zertifikat vorgesetzt bekommen wollen, das längst vom rechtmäßigen Eigentümer zurückgezogen wurde, aktivieren wir die Option, die das ermöglicht. Unter „Erweitert“ im Abschnitt „Zertifikate“ muss die Option „Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen“ aktiviert sein.

firefox_einstellungen_erweitert_zertifikate

Das Aktivieren des Online Certificate Status Protocol (OSCP) prüft bei jedem HTTPS-Seitenaufruf das vom Server verwendete Zertifikat auf seine Gültigkeit. Das hat zwar den entscheidenden Vorteil, zurückgezogene Zertifikate sofort blockieren zu können, aber auch ein paar Nachteile:

  • Jede aufgerufene HTTPS-Seite wird an eine zentrale Certificate Authority (CA) übertragen. Das verzögert das Laden der aufgerufenen Website.
  • Die Seriennummer jedes HTTPS-Zertifikats wird an die CA gesendet. Damit ist es der CA möglich, ein detailliertes Profil der geschützten Websites zu erstellen, die eine Person aufruft.

Es gibt eine Lösung für das Problem (OCSP Stapling: nicht der Browser, sondern der ausliefernde Server führt die Checks mit der CA durch), doch kann sie nur vom Serverbetreiber implementiert werden.

Damit sind die Einstellungen abgeschlossen.

Verschlüsselungsalgorithmen

MacLemon hat mich auf einer CryptoParty auf den Aspekt der Sicherheit durch Konfiguration aufmerksam gemacht. Was bedeutet das? Wenn wir Firefox per Konfiguration untersagen, als „wenig sicher“ eingestufte Algorithmen zu benutzen, schaltet Firefox automatisch auf sicherere Methoden um (falls der Server das unterstützt 1).

Um an die Konfigurationeinstellungen, die nicht mehr bequem über das Einstellungen-Menü erreichbar sind, zu gelangen, geben wir in die Adresszeile des Browsers die „URL“ about:config ein. Das nun folgende Fenster mit dem dramatischen Titel „Hier endet möglicherweise die Gewährleistung!“ quitieren wir mit einem Klick auf „Ich werde vorsichtig sein, versprochen!“.

In der folgenden Tabelle sind alle Soll-Werte für die links angeführten Einstellungen gezeigt. Je neuer der Browser ist, desto eher sind die hier angegebenen Werte ohnehin zur Standardeinstellung geworden.

Einstellungsname Soll-Wert
security.ssl3.ecdhe_ecdsa_rc4_128_sha false
security.ssl3.ecdhe_rsa_rc4_128_sha false
security.ssl3.rsa_rc4_128_md5 false
security.ssl3.rsa_rc4_128_sha false
security.tls.unrestricted_rc4_fallback false
security.tls.version.min 1

Wir haben nun als wenig(er) sicher eingestufte Verschlüsselungsalgorithmen browserseitig deaktiviert. Das bedeutet, dass Firefox nun beim Besuch einer Website wie zB amazon.com zuerst darüber verhandelt, welches Zertifikat überhaupt verwendet werden kann.

Ausspähen durch Browserfunktionen

Browserfunktionen, die wir andauernd benutzen, können dazu missbraucht werden, uns auszuspähen. Wem schon einmal aufgefallen ist, dass besuchte Links auf einer Website anders dargestellt werden als noch nicht besuchte, dem sollte jetzt dämmern, worum es hier geht. Wer sich schon einmal gewundert hat, warum die Ansichten in den häufig besuchten Websites im neuen Tab-Fenster immer aktuell sind, ebenso. Diese und weitere „Features“ werden hier deaktiviert.

Auch hier wieder die Einstellungen:

Einstellungsname Soll-Wert
layout.css.visited_links_enabled false
webgl.disabled true
geo.enabled false
browser.safebrowsing.enabled false
browser.safebrowsing.malware.enabled false
dom.event.clipboardevents.enabled false
network.cookie.cookieBehavior 1
network.cookie.lifetimePolicy 2
browser.send_pings false
media.peerconnection.turn.disable true
media.peerconnection.use_document_iceservers false
media.peerconnection.video.enabled false
media.peerconnection.identity.timeout 1

Interner Trackingschutz

Firefox enthält eine interne Liste von Domains, die das Nutzerverhalten aufzeichnen und verfolgen. Diese Liste wird von Haus aus nicht zur Anwendung gebracht („Y u not enable, Mozilla?“) und muss durch den User aktiviert werden. Das ist über die URL about:config recht einfach möglich. Wir suchen nach privacy.trackingprotection.enabled und setzen den Wert (durch Doppelklick) manuell auf true.

firefox_privacy-trackingprotection-enabled

Um das Konfigurationsmenü wieder zu verlassen, geben wir statt „about:config“ wieder eine richtige URL ein – zum Beispiel „mkln.org“.

Suchmaschine

Von Haus aus verwendet Firefox die Suchmaschine des größten Sponsors der Mozilla-Foundation, in Europa ist das Google. Ich will mich nicht in die persönlichen Präferenzen bezüglich der Wahl der Suchmaschine einmischen, empfehle jedoch die Standardsuchmaschine auf Startpage zu setzen und die Google-Suche über eine Schlüsselwort zu modifizieren.

Startpage als Standardsuchmaschine

Beim ersten Umstieg von Google auf Startpage habe ich sicherheitshalber nach einer Suche mit Startpage nocheinmal gegooglet. Mittlerweile verlasse ich mich zu 100 Prozent auf die niederländische Suchmaschine. Sie bietet Vollverschlüsselung an und speichert Suchabfragen nicht. Die Suchqualität kann besser nicht sein, denn Startpage setzt auf Google auf, übermittelt allerdings nur anonymisierte Suchanfragen an (und Ergebnisse von) Google.

firefox-startpage

  1. Zuerst fügen wir Startpage als Suchmaschine zu Firefox hinzu: Neben „HTTPS“ klickt man auf den „Installieren“-Button und aktiviert die Option, Startpage als Standardsuchmaschine einzurichten. Damit kann aus der dedizierten Sucheingabe mit Startpage gesucht werden.
  2. Seit Firefox, Version 23, war es das auch schon. Ist Startpage nun im Suchfeld als Suchmaschine ausgewählt, ist sie auch in der Adresszeile automatisch als Suchmaschine ausgewählt.

Google ergänzen und per Schlüsselwort ansprechen

In Firefox kann die angesprochene Suchmaschine während des Suchvorgangs durch ein „Schlüsselwort“ ausgewählt werden. Gibt man bspw. „kaffee“ ein, wird die Standardsuchmaschine verwendet. Gibt man aber „y Kaffee“ ein, wird Yahoo, bei „b Kaffee“ bing, usw. verwendet.

Ich habe mir eine alternative Google-Version, die Klicks auch intern nicht über Trackinglinks umleitet, unter dem standardmäßig an Google vergebenen Sschlüsselwort „g“ eingerichtet.

firefox-google-encrypted

  1. In den Einstellungen auf den Link „Weitere Suchmaschnen hinzufügen…“ klicken.
  2. Auf der folgenden Seite „Google (encrypted)“ auswählen und über „Add to Firefox“ installieren.
  3. Zurück in den Einstellungen wird das „g“ bei Google als Schlüsselwort gelöscht und bei Google (encrypted) eingesetzt.
  4. Fertig.

Plugins & Add-Ons

Mit den obigen Einstellungen ist die Konfiguration des Browsers abgeschlossen. Leider ist es damit nicht getan. Zumindest zwei weitere der in dieser Serie genannten Plugins und Add-Ons sind notwendig, um halbwegs sicher zu sein.