Wer im Web unterwegs ist, der hinterlässt Spuren – sehr viele Spuren, um genau zu sein. Die Möglichkeiten, die Aktivitäten der Nutzer zu überwachen, sind mannigfaltig. Dass das nicht so weitergehen kann, scheint sich mittlerweile bei vielen herumgesprochen zu haben. Also sollen die primär für solche Aufgaben genutzten "Third Party"-Cookies in absehbarer Zeit komplett gestrichen werden.

So erfreulich das auch sein mag, eines sollte dabei nicht übersehen werden: Cookies sind bei weitem nicht der einzige Weg, über den einzelne Nutzer quer durchs Internet verfolgt werden können. Genau aus diesem Grund setzen immer mehr Browser auf zusätzliche Privatsphären-Features, um sich vom Mainstream in Form von Googles Chrome abzusetzen.

Auftritt: Mullvad-Browser

Mit dem Mullvad-Browser gibt es aber nun ein neues Angebot, das dieses Thema komplett in den Mittelpunkt stellt. Gemeinsam vom Tor-Projekt und dem VPN-Anbieter Mullvad entwickelt, will man damit einen Browser bieten, der die eigenen Aktivitäten so gut schützt, wie es nur irgendwie geht, aber dabei trotzdem alltagstauglich bleibt. Was das konkret heißt, soll im Folgenden näher unter die Lupe genommen werden.

Der Mullvad-Browser ist eine Koproduktion des VPN-Anbieters Mullvad und des Tor-Projekts.
Screenshot: Proschofsky / STANDARD

Zuvor aber noch etwas Hintergrund zu den hinter dem Mullvad-Browser stehenden Projekten. Immerhin ist Software-Wahl auch immer eine Frage des Vertrauens. Das Tor-Projekt dürfte vielen ein Begriff sein, und zwar für dessen gleichnamiges Anonymisierungsnetzwerk, das Internetverbindungen effektiv verschleiern kann und so für viele ein wichtiges Tool in der Recherche, aber auch zum Umgehen von Zensur ist.

Ein außergewöhnlicher VPN-Anbieter

Bei Mullvad handelt es sich hingegen um einen in Schweden angesiedelten VPN-Anbieter. Dieser war jahrelang eine Art Geheimtipp unter den VPN-Diensten, hat zuletzt aber auch durch den Aktivismus des Betreibers deutlich mehr Aufmerksamkeit bekommen. So bekämpft Mullvad offen die Chatkontrolle und hat dafür in Schweden eine eigene Plakatkampagne lanciert. In deren Rahmen wurde selbst im Einreisebereich des Stockholmer Flughafens vor der Unterwanderung von verschlüsselten Messengern gewarnt.

Erst vor kurzem wurde Mullvad zudem das Ziel einer Hausdurchsuchung, bei der die Behörden Nutzerdaten einsammeln wollten – und tatsächlich unverrichteter Dinge wieder abziehen mussten. Der VPN-Anbieter verspricht nämlich nicht nur, keine Daten zu sammeln, sondern tut das offenbar wirklich nicht. Dazu passend bezeichnet der bekannte Sicherheitsforscher Brian Krebs Mullvad denn auch als einzigen VPN, dem er wirklich vertraue.

Zurück zum Browser

Der Mullvad-Browser beginnt dabei nicht von null. In Wirklichkeit handelt es sich dabei um eine angepasste Variante jenes Tor-Browsers, der jetzt schon für Hochsicherheitsaufgaben verfügbar ist und der wiederum auf Firefox aufbaut. Den Unterschied macht, dass es hier keine fixe Anbindung an das Tor-Netzwerk gibt. Denn so sicher dieses auch sein mag, für eine durchgängige Nutzung ist es aufgrund der eher gemächlichen Übertragungsgeschwindigkeit nicht geeignet. Generell empfehlen die Entwickler stattdessen die Verwendung eines VPN – das kann der Mullvad-VPN sein, muss es aber nicht. Zwingend ist das aber nicht.

Gegen Fingerprinting

Doch wie schützt der Mullvad-Browser nun die Privatsphäre? Das beginnt mit einer Fülle von Maßnahmen gegen die Erstellung von digitalen Fingerabdrücken. Wer wissen will, wie zuverlässig dieses Fingerprinting funktioniert, sei auf eine Webseite der US-Bürgerrechtsorganisation EFF verwiesen. Dort kann man nämlich testen, was sich so über den eigenen Browser herausfinden lässt – und wie eindeutig diese Kombination dann ist. Bei Mullvad hat man ebenfalls einen ausführlichen Hintergrundartikel zu der Thematik im Angebot.

Bei Mullvad übernimmt man zunächst einmal die "Resist Fingerprinting"-Funktion von Firefox und aktiviert diese von Haus. Damit wird etwa der Zugriff auf die Liste aller am Rechner installierten Schriften beschränkt, auch diverse, verräterische, Hardware-Schnittstellen stehen nicht zur Verfügung. Die Zeitzone wird einfach immer als UTC angegeben, ebenso werden keine individuellen Details zu Tastatur und Sprache weitergegeben. Auch die Zoom-Einstellungen für einzelne Seiten sowie Details zu Kamera- und Mikrofähigkeiten werden nicht geliefert.

Zusatz

Mullvad geht aber noch über all das hinaus. So wird der Zugriff auf die 3D-Schnittstelle WebGL beschränkt, die oft für Fingerprinting mittels versteckter Objekte in einer Webseite genutzt wird. Dass der "User Agent String", der historisch viele Informationen über einen Browser enthält, möglichst generisch gehalten ist, versteht sich da schon fast von selbst. In diesem Fall wird immer exakt derselbe Eintrag verwendet, der standhaft behauptet, dass es sich um einen Firefox 102 unter Windows handelt.

Ebenso verräterisch kann die Größe des Browserfensters sein. Insofern täuscht der Mullvad-Browser immer eine Größe vor, die auf das nächste Vielfache von 200x100 Pixel hochgerechnet wird. Das führt zwar dazu, dass schon mal rund um Webseiten ein schwarzer Rahmen zu sehen ist, ist dafür aber wesentlich weniger eindeutig.

Immer im Privatmodus

Die meisten Browser bieten einen "Incognito"- oder "Private Browsing"-Modus, beim Mullvad-Browser dieser immer zum Einsatz. Das heißt, dass bis auf Bookmarks und Browser- sowie Erweiterungseinstellungen eigentlich nichts dauerhaft gespeichert wird. Beim Schließen des Browsers werden sämtliche Cookies und Caches geleert, auch der Browserverlauf wird entfernt. Dinge wie Download-History oder Autofill-Informationen werden gleich gar nicht gespeichert.

Nun hilft das Entfernen der Cookies zwar einzelne Sitzungen voneinander sauber zu trennen, solange der Browser offen bleibt, könnten diese aber natürlich noch immer zum Tracking verwendet werden. Der Mullvad Browser begegnet dem, indem selbst Third Party Cookies fix einer Seite zugeordnet und isoliert, also nie an andere Webpages herausgegeben werden

Neustart

Wem das noch nicht reicht, für den gibt es noch einen eigenen Knopf, über den eine "neue Identität" angefordert werden kann. Konkret bedeutet dies, dass sämtliche Cookies, Caches und History gelöscht sowie sämtliche Tabs neu geladen werden. Wer einen VPN nutzt, dem empfiehlt Mullvad, in diesem Zug auch gleich auf einen neuen Server zu wechseln.

Ein Neustart, um die Spuren aus der aktuellen Sitzung wieder loszuwerden.
Screenshot: Proschofsky / STANDARd

Telemetrie

Softwarehersteller betonen gerne, dass Telemetriedaten lediglich zur Verbesserung ihrer Software benutzt werden. Trotzdem sind darin doch jede Menge sensible Informationen enthalten – und diese sammelt sogar Mozilla ein. Der Mullvad Browser kappt all das, zudem wird im Detail erklärt, wann für welche Zwecke mit welchem Server Kontakt aufgenommen wird – dabei geht es vor allem um das Besorgen von Updates.

DNS-Schutz

Auch wenn die weitreichende Nutzung von mittels HTTPS verschlüsselten Datenwegen viele Verbesserungen für die Privatsphäre gebracht haben, so gibt es doch für Dritte noch andere Möglichkeiten, um zu sehen, für welche Webseiten sich eine Person interessiert. Eine davon sind die Anfragen an DNS-Server, die bei der Zuordnung eines Domainnamens (also etwa derstandard.at) an die richtige, numerische IP-Adresse helfen – und die lange unverschlüsselt erfolgt sind.

Dank DNS-over-HTTPS und DNS-over-TLS hat sich aber auch in diesem Bereich in den vergangenen Jahren einiges getan. Der Mullvad-Browser nutzt nun von Haus aus einen eigenen DNS-over-HTTPS-Dienst, der diese Details effektiv vor Provider und Co. versteckt. Diesen Dienst stellt Mullvad übrigens generell kostenlos zur Verfügung, wer will, kann ihn auch mit anderen Browsern nutzen. Das Vertrauen gegenüber Mullvad ist dabei natürlich essenziell, immerhin laufen damit dann all diese Abfragen über das Unternehmen.

Gegen Tracking und nervige Cookies

Fix vorinstalliert ist uBlock Origin, das zahlreiche Tracker-Skripte von Haus aus blockiert. Dabei verwendet der Mullvad Browser zwei Erweiterungen: Die "Adguard URL Tracking Protection" sowie "EasyList Cookie", um nervige Cookie-Banner loszuwerden. Als Default-Suchmaschine kommt DuckDuckGo zum Einsatz, wobei die Autosuggest-Funktion deaktiviert ist, da diese schon beim Eintippen Daten überträgt – was für so eine Funktion natürlich auch notwendig ist.

Die Mullvad-Erweiterung ist für jene äußerst hilfreich, die parallel dazu auch den Mullvad-VPN verwenden.
Screenshot: Proschofsky / STANDARd

Wer parallel den VPN von Mullvad nutzt, der profitiert zudem von der passenden Erweiterung. Diese zeigt auf Knopfdruck Details zur aktuellen Verbindung an. Also etwa die IP-Adresse, aber auch ob es irgendwelche typischen Datenlecks – etwa über falsche DNS-Einstellungen oder WebRTC – gibt. Zudem kann an dieser Stelle schnell auf einen anderen Proxy-(Socks5-)Server von Mullvad und damit auf eine neue IP-Adresse gewechselt werden.

Sicherheitsstufen

Und dann wäre da noch eine eigentlich ziemlich zentrale, aber auch mit viel Vorsicht zu genießende Funktion: Die Nutzer können zwischen drei unterschiedlichen Sicherheitsstufen wählen: "Standard", "Safer" und "Safest". Warum ist das nun aber mit Vorsicht zu genießen? Weil man sich bewusst sein sollte, dass schärfere Einstellungen zu allerlei Problemen beim Besuch von Webseiten führen können.

Ist "Safer" aktiviert, wird Javascript-Code generell nur mehr bei HTTPS-Seiten ausgeführt. Das sollte in der Praxis nicht mehr das große Problem sein, da mittlerweile alle relevanten Seiten auf HTTPS gewechselt sind. Parallel dazu werden aber auch gewisse Schriften und mathematische Symbole deaktiviert. Die Anzeige von Audio- und Video-Inhalten erfolgt erst nach explizitem Klick darauf – also Click-to-Play.

Während "Safer" also noch weitgehend alltagstauglich ist, wird es bei "Safest" dann schon erheblich schwieriger. Wird dabei doch Javascript von Haus aus deaktiviert, das Ganze eignet sich also dann eigentlich nur mehr für statische Webseiten und einfache Dienste.

Drei Sicherheitsstufen stehen zur Wahl – eine davon ist nur für Hartgesottene.
Screenshot: Proschofsky / STANDARd

Doppelter Check

Ebenfalls nicht unwichtig: Neue Features von Firefox werden nicht automatisch in den Mullvad-Browser übernommen. Zuvor müssen sie einen Sicherheits- und Privatsphären-Audit von Tor und Mullvad durchlaufen, um eine Folgeabschätzung treffen zu können.

Der Mullvad-Browser ist für Windows, Mac und Linux verfügbar, der Download ist kostenlos.

Fazit

Für all jene, die ein gesteigertes Bedürfnis nach Privatsphäre haben, ist der Mullvad-Browser eine hervorragende neue Option. Natürlich kann man über allerlei Erweiterungen auch einen Firefox oder andere Browser entsprechend herrichten, das ist aber ungleich mühsamer. Vor allem, wenn man dabei auch aktuelle Entwicklungen im Auge behalten will. (Andreas Proschofsky, 22.4.2023)