Studie zur Browser-Privatsphäre: Der neue Edge schneidet am schlechtesten ab

Studie zur Browser-Privatsphäre: Der neue Edge schneidet am schlechtesten ab

Man nehme Chromium, entferne alle Referenzen zu Google-Diensten, fertig ist der perfekte Privatsphäre-Browser. Zusammen mit anderen Sicherheitsfunktionen wie dem Trackingschutz, Smart Screen oder dem Schutz vor unerwünschter Software hat Microsoft mit dem neuen Edge ein prima Gesamtpaket für sicheres Browsen im Internet entwickelt. So sieht es jedenfalls Microsoft.

Browser-Sicherheitsexperte Douglas J. Leith sieht das allerdings anders. Er hat insgesamt sechs Browser auf den Privatsphäre-Prüfstand gestellt und kommt zu folgendem Ergebnis: In Gruppe 1 mit dem besten Schutz landet nur der Brave Browser, in Gruppe 2 werden Google Chrome, Mozilla Firefox und Apple Safari einsortiert, in Gruppe 3 mit der schlechtesten Privatsphäre finden sich Microsoft Edge und der Yandex Browser.

Leith hat sich bei seiner Studie allerdings nicht angeschaut, wie gut die einzelnen Browser vor den alltäglichen Gefahren des Internets schützen, seine Untersuchung bezieht sich rein auf die Frage, wie ausgeprägt die einzelnen Browser nach Hause telefonieren. Von allen untersuchten Browsern sendet Microsoft Edge tatsächlich die meisten Daten an Microsoft-Server. Andere Browser tun das in ähnlicher Form auch, im Falle von Edge aber gibt es eine Besonderheit, die letztlich zur Abstufung auf den letzten Platz geführt hat: Beim ersten Start generiert Edge eine einzigartige Hardware-ID. Diese ändert sich niemals, auch dann nicht, wenn man den Browser neu installiert. Gesendete Daten lassen sich somit über die gesamte Lebensdauer eindeutig einem Gerät zuordnen. Selbst wenn keine Verknüpfung mit dem Benutzerprofil erfolgt, ist das selbstverständlich unschön. Leith merkt an, dass Microsoft die gleiche ID grundsätzlich auch in anderen Apps verwenden und die Informationen verknüpfen könnte.

Chrome, Firefox oder Safari arbeiten ebenfalls mit solchen Identifiern, diese ändern sich aber, sobald man den Browser neu installiert.

Die komplette Studie kann als PDF unter diesem Link abgerufen werden: Web Browser Privacy: What Do Browsers Say When They Phone Home?

Vielen Dank an Markus für den Hinweis!

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. Interessiert mich persönlich einen feuchten (wer macht auch schon solche Studien? Studien müssen bezahlt werden, und dabei fließt Geld, damit etwas bewiesen wird). Aber, gut, nehmen wir es mal als Randnotiz auf. ;)
    also für mich geht das gar nicht, was Microsoft hier schon wieder treibt. Vorn herum immer Google beschuldigen und hinten rum dann selbst sen Nutzer gezielt erfassen und alle Daten sammeln. Damit ist für mich der Edge definitiv Geschichte
    @metalmanu: Microsoft kann eben auch nur mit Wasser kochen. Niemand arbeitet umsonst, auch du nicht. Microsoft ist eine große Firma, die viele Mäuler stopfen muss, und, wenn man ein kostenloses Produkt anbietet, dann ist das natürlich mit einem Haken verbunden. So realistisch muss man sein.
    Wenn du etwas kritisieren möchtest, dann die Erwartungshaltung der Konsumenten, denn , die erwarten, dass das alles kostenlos geht.
    Mir fehlt hier allerdings mal wieder die Differenzierung, was für Daten zu welchem Zweck verarbeitet werden. Dass Datenverarbeitung immer was mit dem Verarbeiten von Daten zu tun hat, sollte auch klar sein. Die Frage ist, welche, und zu welchem Zweck. Und, wenn dieser Zweck nun einmal das Personalisieren zu Werbezwecken ist, dann steht sowas sicher in der EULA.
    "Daten nach Hause senden", oder "nach Hause telefonieren" ist so unglaublich nichtssagend. Ich gehe davon aus, dass das allermeiste Telemetriedaten sind, die unheimlich wichtig für die Unternehmen heutzutage sind, damit sie wissen "was die Leute wollen" (das ist ein oft bemühter Ausdruck online, etwas, was einzelne Individuen immer kritisieren, dass die Firmen "nicht auf die Leute hören", wenn sie von ihren eigenen individuellen Wünschlein sprechen ;)).
    Kevin Kozuszek
    Im Übrigen ist das Ganze schon gut abgehangen. Die Studie war schon am 25.2. bei Deskmodder Thema...

    Ups, echt? Muss mir wohl durchgeflutscht sein.
    @chakko
    Edge ist für mich Umfang von Windows 10 und daher aus meiner Sicht definitiv nicht mit kostenlosen Programmen zu vergleichen. Windows 10 ist nämlich eben nicht kostenlos
    Darüber kann man diskutieren. Ich kenne niemanden, der Windows 10 nicht als kostenloses Upgrade bekommen hat.
    Außerdem ist der Edge auch auf Mac OS und (bald) Linux installierbar. Und, das ist dann in der Tat völlig kostenlos.
    Für mich war das kostenfrei, aber nicht umsonst ;)
    Nichtsdestotrotz ist das ein schöner Brocken Mist, den Microsoft da eingebaut hat.
    Man nehme Chromium, entferne alle Referenzen zu Google-Diensten,

    Chromium ungoogled -> Download latest stable Chromium binaries (64-bit and 32-bit) von Marmaduke
    Man muss allerdings dann auch tricksen, um an Erweiterungen zu gelangen:
    Frequently Asked Questions | ungoogled-chromium Wiki
    GitHub - NeverDecaf/chromium-web-store: Allows adding extensions from chrome web store on ungoogled-chromium. Also adds semi-automatic extension updating.
    Außerdem ist der Edge auch auf Mac OS und (bald) Linux installierbar.

    Und du meinst, das hindert Microsoft dran, dort keine feste User-ID zu vergeben? Wer's glaubt...
    Und jetzt könnte man auch mal wieder die DSGVO-Keule auspacken, denn wenn MS alle Daten zusammenzieht, ist ein Benutzer eindeutig identifizierbar für die. MS Konto, die feste UID, die gleiche IP, passt hab dich. Mal schauen, wie lange Brüssel da noch zuschaut und dann Straßbourg bemüht.
    Und du meinst, das hindert Microsoft dran, dort keine feste User-ID zu vergeben?

    Nein. War aber auch gar nicht mein Punkt. Im Gegenteil, mein Punkt war der, dass es keinen Unterschied macht, ob er Edge nun in einem kommerziellen Produkt (Windows 10) eingebaut ist, oder nicht. Auf Mac OS und Linux ist der Edge nicht in einem kommerziellen MS-Produkt eingebaut, die Datensammlerei ist dieselbe.
    Aber, nochmals: Es geht darum, was für Daten wofür erhoben werden. Nicht darum, dass die Daten überhaupt erhoben werden. Datenverarbeitung beinhaltet das verarbeiten von Daten bereits im Namen. Von daher ist es kein Wunder, dass es geschieht. Und, solange sich die Leute die Vorzüge der "Netzwerk-Revolution" wünschen, mit anderen Worten, die Vorteile der Cloud, solange werden auch immer mehr Daten übertragen.
    Ich gehe davon aus, dass ein Großteil dieser Daten beim Edge Telemetriedaten sind. Und, das ist meiner Meinung nach nicht negativ, sondern eher positiv.
    Sein wir doch ehrlich: Wer wünscht sich denn weniger davon, und, wer schert sich überhaupt darum? Einige wenige, die sich im Internet stark machen. Die allermeisten interessiert das nicht mal. Die allermeisten wissen nicht mal sehr viel, wenn überhaupt etwas davon. Vielleicht sollten diejenigen, die sich im Intern, oder der IT-Welt immer als Nabel der Menschheit sehen, vielleicht mal damit abfinden, dass sie Nerds mit einer Minderheitenmeinung sind. Und nicht für die Allgemeinheit sprechen.
    Der Edge kann von mir aus so oft über den grünen Klee gelobt oder verrissen werden, bis die Sonne sich verdunkelt, ich werde diesen Browser weiterhin geflissentlich ignorieren.
    chakko
    Ich kenne niemanden, der Windows 10 nicht als kostenloses Upgrade bekommen hat.

    Dann kennst du jetzt jemanden. :D
    Ich habe mir nämlich einen Key inklusive 16 GB USB-Stick mit Windows 10 Pro für den neuen PC gekauft. Für nur 19,- EUR + Briefporto. Trotz des enorm günstigen Preises ein seriöser Händler, bei dem ich für Bekannte und mich schon lange einkaufe und noch nie reingefallen bin. Der bisherige PC soll weiterhin mit Windows 7 Pro als Zweitrechner offline betrieben werden, die Lizenz wollte ich mir von Win10 nicht vermurksen lassen.
    Ich denke, die meisten juckt es nicht (mehr), weil es sich so gut wie gar nicht in Chromium abschalten lässt, ausser "ungoogled". Quasi "toller browser, geht nicht, macht nichts".
    Warum allerdings ausgerechnet Brave so prall sein soll, erschliesst sich mir nicht, weil der auf Chromium basiert. Bin eh kein Fan von modifizierten Produkten.
    vielleicht mal damit abfinden, dass sie Nerds mit einer Minderheitenmeinung sind

    Das ist eher Tobak als Realität. Real sind 15% Marktanteil von Firefox in Deutschland, weltweit nur 5%. Praktisch legt (fast) jeder Sechste in Deutschland doch wesentlich mehr Wert auf seine Privatsphare und genau daran schraubt Mozilla jedes Mal ein wenig mehr.
    Und beileibe, ich bin alles andere als ein "Nerd", ich habe mich ganz bewusst für diese Windows-Version entschieden und nutze fast nur Firefox, etc etc etc. Auch Microsoft muss sich an die DSGVO halten, ich habe das nicht umsonst angeführt.
    Du implizierst, dass jeder, der auf Privatsphäre wert legt, den Firefox nutzt. Meine Mutter nutzt auch den Firefox, und, die kennt Privatsphäre nur vom Hörensagen. ;)
    Das elendige Gebrabbel um die Telemetrie hängt mir zum Hals raus.
    An Tagen wie diesen gibt es nur einen Schutz, den die Webbrowser mit Bravour zu meistern haben: Seitenkanalattacken keine Chance zu bieten.
    Bei YouTube führen einige Vorführmodelle glaubwürdig vor, wie anfällig Software ist, mit welcher Leichtigkeit Meltdown-US einschleusbar ist und wie viele Informationen und in welch rasanten Tempo tatsächlich aus den gehärteten Speicherbereichen erfassen lassen, sodass sogar Bilder fast vollständig rekonstruiert werden können.
    Ja, wer den Baukasten dazu kennt und ihn beherrscht, demjenigen können die Daten geradezu ungehindert zugespielt werden und das in einer ausreichenden Konsistenz.
    - Google sendet Daten nach Hause
    - Microsoft sendet Daten nach Hause
    - Google vergibt eine Hardware-ID
    - Microsoft vergibt eine Hardware-ID
    Bis hier hin irgendwie dasselbe. Der Unterschied ist also nur, dass man nach einer Neuinstallation von Chrome eine neue bekommt, bei MS nicht? Da die wenigsten Menschen regelmäßig ihre Browser neu installieren, sehe ich darin keinen Grund, die Browser unterschiedlich zu bewerten...
    hallo chakko
    Auch wenn Windows 10 als Upgrade scheinbar gratis war, so bedingte das immer noch,dass man zuvor ein Windows 7 gekauft haben musste. Also nicht gratis sondern einfach nur getauscht ! Von XP oder Vista aus,gab es im Übrigen auch nie ein Gratisupdate.
    Richtig. Der neue Edge ist aber dennoch kostenlose Software, wenn man ihn unter Windows 7, 8, 10, Mac OS, oder Linux installiert. Oder unter Android oder iOS.
    Den ganzen Spaß im Zusammenhang mit den Telemetriedaten (war schon zur genüge abgehandelt) und dann noch mit dem MS -Cloudservice und dessen Daten oder evtl. deren Logdateien verknüpft.
    Da kann man irgendwann gleich einen von MS gestellten Blockwart bei sich wohnen lassen.
    Alles was technisch möglich ist, an Daten personalisiert zu verknüpfen, wird auch gemacht. Nicht weil es eben geht sondern weil es für IT-Firmen nützlich ist gläserne "Kunden" zu haben. Ganz am Rande wird mit solchen Profilen richtig Kasse gemacht.
    Der Umfang dessen, was technisch in Zukunft möglich sein wird ... Kristallkugel.
    Das hat nichts mit Aluhut & Co. zu tun.
    Das mit der ID
    Der Internet-Explorer hat früher auch eine eigene Seriennummer gehabt. Wie es Beelzebub will, war diese identisch mit der Seriennummer der Windowsinstallation. Auf anderen Geräten lief der sowieso nicht. Jetzt ist das eine neue Qualität - man kann diesen Edge auf allen Plattformen installieren.
    Stellt sich die Frage: Wozu einen Edge wenn der hauseigene Browser (Chrome, Safari oder der externe Firefox) in geringerem Umfang Daten sammelt.
    Im Firefox kann man selber Hand anlegen was in dieser Frage in Grenzen möglich wäre. Mit Plugins geht das zusätzlich auszugestalten..
    Das beim Edge zu erforschen , wenn es denn überhaupt möglich wäre, fehlt mir die Zeit und vor allem auch das Interesse.
    Weil es gerade so angesprochen wird , es gibt einen Unterschied bei Software die kostenlos oder umsonst zur Verfügung gestellt wird. Ist zwar ein Kalauer aber trifft trotzdem zu. Mit welcher Währung kostenlos/umsonst bezahlt wird ...
    Nur mal angemerkt
    Windows 7 wurde 2009 in Umlauf gebracht und wer damals dafür bezahlt hat profitiert heute noch davon, weil der Umstieg auf Windows 10 immer noch kostenlos funktioniert,
    Anders als diejenigen die von Windows 7 auf Windows 8 umsteigen wollten, das kostete im Oktober 2012 aber ca.15€ ;) und können nun über das ebenfalls kostenlose 8.1 auch auf Windows 10 ohne Kosten upgraden
    Und wieder einmal zeigt sich das eigentlich alle gleich sind.
    Wer seine Privatsphäre schützen will sollte das Internet meiden.
    Das ist wahrer als man meinen sollte. ;)
    "Wer seine Privatsphäre schützen will sollte öffentliche Orte meiden". Sehr richtig.
    chakko
    Darüber kann man diskutieren. Ich kenne niemanden, der Windows 10 nicht als kostenloses Upgrade bekommen hat.

    Also Kostenlos stellt sich für mich anders dar, Linux kann ich tatsächlich einfach aus dem Internet herunter Laden installieren und ohne zusätzliche Kosten nutzen, für Windows 10 hingegen habe ich bereits mit Windows 7 oder 8 bezahlt.
    Daneben sofern ich nicht dagegen tue, zahle ich zusätzlich noch mit meinen Daten die ich mehr oder weniger mit meiner Nutzung Microsoft zur Verfügung stelle.
    Ganz genauso ist es auch mit den Browsern Google Chrome habe ich auf meinem Android Smartphone, damit gebe ich dort schon eine Menge an Daten unweigerlich über mich preis, egal ob ich das will oder nicht.
    Um den Edge mache ich großen Bogen, bei der Installation der Beta wurde jeder darüber informiert das bei der Benutzung im großen Umfang Daten gesammelt werden, Okay das kann ja jeder für sich selbst entscheiden ob er will oder nicht, ich will nicht.
    Sobald ich unter Windows in der Suche oder Cortana was eingebe und eine Suche Starte, darf ich meine Such Einträge in meiner History auf meinem Microsoft Account wieder Augenscheinlich Monat für Monat löschen. Falls das tatsächlich so einfach wäre und es jeder machen würde hätte Microsoft ja auch nicht davon.
    Im Übrigen nützt es auch ziemlich wenig mit einem Lokalen Account zu arbeiten, die Daten werden sowieso weitergegeben ob ich will oder nicht.
    Vivaldi:
    How product usage tracking can violate privacy
    While all of this feature tracking goes on, it is all too easy to stop doing the most important thing: listening to users. Users are the life of the industry. Those people, those real humans, are what the product is made for. They have desires for the product that will not show up in a statistic. They may have wanted to use a feature, but were unable to find it, and therefore the unused feature gets removed.
    Sometimes, there is also an unseen link between users and minor features. Many software companies rely – knowingly or unknowingly – on the goodwill of users. A user who enjoys a specific minor feature may encourage other users to use the product, even though the new users might not make use of that specific feature. Removing the feature because it is not used by many users, can alienate the once-loyal user, and in the long term reduce the free promotion of the product that the user was providing. This is something that happens regularly when a company stops listening to users and starts relying on statistics.

    Das ist imo ein Problem von z.B. Mozilla/Firefox. Die die sind viel zu Telemetrie-hörig.
    KnSN

    An Tagen wie diesen gibt es nur einen Schutz, den die Webbrowser mit Bravour zu meistern haben: Seitenkanalattacken keine Chance zu bieten.

    Das ist Blödsinn. Wie viele solche Angriffe gab es bisher im "echten Leben" da draußen?
    Vergleiche das mit der Zahl klassischer Angriffe.
    @ntoskrnl
    In wie vielen Fällen, dass die User in nicht auf diese Weise um ihre persönlichen Daten (Logins und Accounts) gebracht worden sind, kannst Du faktisch belegen?
    Ich bezweifle, dass die meisten Attacken aufs Tracking zurückzuführen sind, andernfalls könnte man sie über die Logs bei beispielsweise Ubisoft unschwer in Richtung der Angreifer zurückverfolgen, denn es sind in den meisten Fällen Gaming-Accounts und E-Mail-Konten betroffen, die gehackt und gestohlen werden und die Logs auf die Rechner der eigentlichen Besitzer zurückführen, und von außen kann eine solche Attacke nicht gesteuert werden, das passiert auf den Rechner desjenigen Computernutzers, wessen Daten dabei sind, gestohlen zu werden.
    Beweisen kann ich die Nicht-Existenz nicht.
    Allerdings ist mir keine einzige Meldung derartiger Malware in Erinnerung. Jedoch zahlreiche klassische.
    Ich hab mal Google bemüht:
    When it comes to Meltdown and Spectre, we need to stress that there are no known exploits in the wild that features these exploits.
    What we learned from Meltdown/Spectre – Part Four - SecureData
    The good news is that, so far, there doesn't seem to have been any attacks in the wild exploiting the Spectre or Meltdown vulnerabilities.

    Spectre, Meltdown Vulnerabilities Will Haunt Industry for Years - Security Now
    We are currently not aware of any malware based on Spectre.
    Cache attacks are not common in malware.

    On the other hand, this research work proves that cache attacks are difficult to implement, and perhaps not extremely well suited to mass infection because the malicious implementation will have to handle many CPUs, architectures and operating systems, and tune the attack for each of them. As long as there are easier ways for malware authors to make money, why would they embarrass themselves with such a technical choice? Nonetheless, the attack could certainly interest authors of targeted attacks (governments, political targets etc.).

    Virus Bulletin :: Does malware based on Spectre exist?
    Mozilla ist alles andere als Telemetrie-hörig, wie kommst du auf so einen Quatsch? Ist der einzige Browser, wo sich "Telemetrie" (Mozilla nennt es anders) komplett abschalten lässt, das kann man mit keinem Chromium-Derivat, ausser der "ungoogled". Bei Firefox Beta und Nightly lässt es sich nicht abschalten, aber wer die nutzt, weiss das auch und arbeitet damit. Ansonsten wäre das ganz schön naiv. Ansonsten lässt es sich wie mit Windows 10 - abschalten und hinterher meckern, man würde ungehört sein, eigenes Pech, selten blöd.
    Mozilla ist alles andere als Telemetrie-hörig, wie kommst du auf so einen Quatsch?

    Weil ich schon in vielen Bugzillaeinträgen u.ä. gelesen habe wie das Ändern oder Entfernen von Features mit Telemetriedaten begründet wurde.
    Beim neuen Fenix Project hat die Telemetrie gleich eine hohe Prioritätsstufe bekommen.
Nach oben