Wirf einen Blick in die Empfehlungsecke
Mike Kuketz
24. August 2016

Webbkoll: Wie datenschutzfreundlich ist deine Webseite?

1. Wunderbares ToolWebbkoll

In meinem Kommentar »Datenschutz auf Webseiten – Quo vadis!?« habe ich das fragwürdige Verhalten diverser Unternehmen, Datenschutz-Blogs und Vereinen, die sich das Thema »Datenschutz« auf ihre Fahne geschrieben haben, bereits erörtert. Meine Kritik von damals kurz zusammengefasst: Unser Surfverhalten wird für die unterschiedlichsten Zwecke aufgezeichnet und ausgewertet. Von Nachrichtenseiten, Shopping Portalen oder sozialen Netzwerken sind wir die Einbindung diverser Tracker schon gewohnt. Von Unternehmen, die Produkte und Dienstleistungen im Bereich Datenschutz anbieten, würde man allerdings ein anderes Vorgehen erwarten. Denn wer mit Datenschutz wirbt, der sollte es tunlichst vermeiden in seine Webseite Tracker einzubinden und auf das Nachladen externer Ressourcen wie Schriftarten, JavaScript oder den Facebook Like-Button verzichten. Wer mit Datenschutz wirbt, dann aber nicht in der Lage ist seinen eigenen Webauftritt datenschutzfreundlich zu gestalten, verspielt seine Glaubwürdigkeit.

Im vorliegenden Beitrag möchte ich euch nun ein Tool mit dem Namen Webbkoll vorstellen, mit dem sich Webseiten auf Privatsphäre-Verletzungen analysieren lassen. Die transparente Aufschlüsselung der eingebundenen Cookies, Verbindungen zu Dritt-Seiten und Versäumnisse bei der Sicherheit dürften so manch einen Webseiten-Betreiber in Erklärungsnot bringen. Das Schöne an diesem Tool: Es ist kinderleicht zu bedienen, denn die Eingabe einer URL genügt, um anschließend ein aussagekräftiges Ergebnis zu erhalten. Damit ist nun endlich wirklich jeder in der Lage den Webseitenbetreibern auf den Zahn zu fühlen – und das ist insbesondere dann wichtig, wenn jemand öffentlichkeitswirksam mit Datenschutz bzw. ominösen Datenschutz-Siegeln wirbt, selbst aber gar nicht so recht weiß, wie man das eigentlich umsetzt bzw. lebt.

2. Webbkoll

Webbkoll ist ein von Internetfonden und IIS finanziertes Projekt aus Schweden. Entwickelt wurde es von dataskydd.net. Der Quellcode ist Open-Source und auf Github einsehbar. Vereinfacht ausgedrückt, simuliert Webbkoll was im Hintergrund passiert, wenn ein Nutzer eine Seite in seinem Browser aufruft. Dabei sammelt das Tool nach der Eingabe einer URL verschiedene Informationen wie zum Beispiel Anfragen an Dritt-Seiten, Cookies, Response-Header usw. und stellt die Ergebnisse auf einer Webseite zusammen mit Erläuterungen und Hinweisen bereit. Wer die technischen Voraussetzungen (PhearJS) erfüllt, der kann Webbkoll auf seinem eigenen Server hosten. Einfacher ist die Verwendung einer bereits bestehenden Webbkoll-Instanz, wie sie unter https://webbkoll.dataskydd.net/en angeboten wird.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Hosen runter!

Mit Webbkoll kann endlich jeder hinter die Kulissen schauen und sich selbst ein Bild davon machen, wie schlampig und scheinheilig das Thema Datenschutz behandelt wird. Die häufigsten »Verstöße« auf einen Blick:

  • Die Einbindung externer JavaScripts von »Fremdquellen« ist nicht nur aus Datenschutzperspektive bedenklich, sondern auch hinsichtlich der Sicherheit
  • Die Einbindung externer Schriftarten bzw. Webfonts (mit Vorliebe »fonts.googleapis.com«) ist ein No-Go. Das einheitliche Gesamtbild bzw. Außenwirkung einer Webseite kann nicht wichtiger sein, als der Datenschutz meiner Besucher
  • Social Media Share Buttons, die direkt beim Aufruf der Webseite Inhalte bzw. eine IP-Verbindung zu Facebook, Twitter und Google+ aufbauen
  • Externe Tracker zur Analyse des Surf- bzw. Leseverhaltens eines Users (ganz prominent: Google Analytics)
  • Die Verwendung von Newsletter bzw. Newsletter-Diensten, die nicht selbst gehostet werden
  • [ … ]

Besonders hoch sollte die Latte übrigens bei all denjenigen gelegt werden, die im Bereich Datenschutz Dienstleistungen und Produkte anbieten. Das gilt bspw. für Rechtsanwälte die sich auf den Bereich Datenschutz und IT-Recht spezialisiert haben oder auch für Unternehmen, die »Privacy-Lösungen« anbieten. Wer hier den Kardinalfehler begeht und mit Google Analytics trackt oder die Schriftart von »fonts.googleapis.com« bezieht, der ist nicht in der Lage den technischen und rechtlichen Fragestellungen im Umgang mit personenbezogenen Daten auf Augenhöhe zu begegnen.

Wer die betroffenen Unternehmen dann auf den Widerspruch von Außenwirkung und Selbstdarstellung hinweist, erntet oftmals ungläubiges Staunen. Oder schlimmer: Unverständnis oder sogar den Verweis, dass die Webseite von einem externen Webdesigner entwickelt wurde. Ganz ehrlich: Bei einer solchen Stümperei und dem Abschieben von Verantwortung sucht man besser das Weite.

Hinweis

Ich erhalte gerade diverse Hinweise, dass sich Google Analytics auch »datenschutzkonform« einsetzen lässt. Das mag aus rechtlicher Sicht gelten – aus der strengen Datenschutzperspektive ist jeder Datensatz der bei Google landet einer zu viel.

2.2 Webbkoll in Aktion

Ihr dürft Webbkoll gerne auf meiner Unternehmensseite oder dem Kuketz-Blog ausprobieren. Im Folgenden die Ergebnisse für den Kuketz-Blog:

Webbkoll Kuketz-Blog

Dem kritischen Auge dürften sofort die 5 »Third-party requests« bzw. der eine »Third-party contact« auffallen. Scrollen wir mal runter zu den Details:

media.kuketz.de

Der Grund ist einfach: Ich hoste die Bilder des Blogs über die Domain »media.kuketz.de« – aus diesem Grund wird diese mehr oder weniger »externe« Verbindung aufgebaut. Das ist allerdings unkritisch, da die Domain ebenfalls von mir verwaltet wird. Würde ich die Bilder bei einem externen Hoster speichern, dann wäre der Fall anders gelagert.

Und ich leiste mir ein zweites »Vergehen«, da ich beim Blog auf das TLS Zertifikats-Pinning verzichte – bei Let’s Encrypt müssen die TLS-Certs alle 3 Monate erneuert werden:

HTTP-Header

Hinweis: Ein einwandfreies Ergebnis stellt Webbkoll übrigens für Kuketz IT-Security aus.

2.3 Negativbeispiele

Negativbeispiele von Webseiten, deren Betreiber offenbar wenig Muße haben eine datenschutzfreundliche Variante anzubieten, finden sich leider zur Genüge. Wenn ihr in einer Suchmaschine bspw. »datenschutz blog«, »datenschutzberatung« oder »datenschutz anwalt« eintippt und die ersten fünf Treffer bzw. URLs von Webbkoll auswerten lasst, könnt ihr euch selbst ein Bild von der Misere machen. ;-(

3. Fazit

Webbkoll ist Fluch und Segen gleichermaßen. Ein Fluch für all diejenigen, die in der Selbstdarstellung gerne mit Datenschutz werben, ihn dann aber nicht umsetzen können/wollen und ein Segen für all jene, die gewillt sind ihre Webseite datenschutzfreundlich zu gestalten. Denn dank der Hinweise und Erläuterungen die Webbkoll bietet, wird es nun einfacher Privatsphäre-Verletzungen zu erkennen und anschließend zu beseitigen. Oder umgekehrt: Diese anzuprangern.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du immer über neue Beiträge informiert bleiben möchtest, gibt es verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Stop Google
13. November 2017

Das kranke WWW: Stop using Google Web-Services

Google Web-Services verbreiten sich wie ein Krebsgeschwür, dabei gibt es Alternativen.
IPFire IP-Blocking
1. August 2017

ASN-Skript: Datensammler haben ausgeschnüffelt – IPFire Teil3

Über die IPFire, iptables oder AFWall+ lassen sich IP-Adressblöcke von Datensammlern sperren.
Banken Risiko
25. Januar 2018

Wie Banken die Sicherheit und Privatsphäre ihrer Kunden aufs Spiel setzen

Mit der Einbindung von Trackern und Werbung risikieren Banken die Sicherheit und Privatsphäre ihrer Kunden.
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Online Check
11. September 2017

Online-Scanner: Tools für Sicherheit und Datenschutz

Mit Online-Scannern lassen sich Sicherheitsdefiziete einer Webseite aufspüren oder Mängel beim Datenschutz aufdecken.
Weitere Themen
AndroidAppleAuditAutonomieBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOEncryptionFirewallHackingHardeningiOSKIKuketz-BlogLinuxMessengerMicrosoftOpenWrtPasswortPentestPolitikRaspberryPiRechtSicherheitsmaßnahmeSurveillanceTDDDGTestberichtTorTrackingUnplugBigTechVulnerabilityWearableWordPress
Diskussion
HilfeFür Hilfe und Fragen nutze bitte ausschließlich unser offizielles Forum. Dort erhältst du Unterstützung von der Community – und alle profitieren von der Lösung. Direkte Anfragen per E-Mail oder Signal kann ich aus Zeitgründen leider nicht beantworten und lösche sie ungelesen – der individuelle Betreuungsaufwand ist einfach zu hoch. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt der Veröffentlichung wieder, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.