Im Rahmen der Sicherheitskonferenz Defcon haben zwei Sicherheitsexperten das sogenannte private Browsen genauer unter die Lupe genommen. Der private Modus kann inzwischen in fast allen Browsern aktiviert werden. Er verspricht anonymes Surfen ohne Aktivitätenverfolgung. Dass dieses Versprechen so nicht ganz stimmt, bewiesen die deutsche Journalistin Svea Eckert und der Datenwissenschaftler Andreas Dewes mit ihrem Defcon-Vortrag .
Der private Modus soll Browser-Nutzer anonymisieren und ihre Spuren im Internet unkenntlich machen. Diese Funktion wird jedoch durch sogenannte Click-Streams zunichtegemacht. Click-Streams sind Nutzerdaten, die durch diverse Browser-Plugins gesammelt werden. Diese Daten werden beispielsweise für gezielte Werbung genutzt. Sie sollen eigentlich keine persönlichen Informationen enthalten und so auch keinem Nutzer zugeordnet werden können. Dewes und Eckert bewiesen mit ihren Recherchen jedoch das Gegenteil.
Die Click-Streams konnten sie relativ einfach einzelnen Nutzern zuordnen und so sehen, welche Websites sie besucht oder welche Produkte sie gekauft hatten. Die Sicherheitsexperten stellten eine Datenbank mit neun Millionen Websites zusammen, die von drei Millionen deutschen Nutzern besucht wurden. 95 Prozent der gewonnenen Daten stammten von zehn beliebten Browser-Erweiterungen. Der schlimmste Datensammler war dabei das Surf-Tool “Web of Trust”.
Web of Trust soll Nutzern eigentlich zeigen, ob die Websites, die sie besuchen, sicher sind und ihre Privatsphäre respektieren. Ironischerweise sammelt Web of Trust jedoch selbst Daten zum Surfverhalten der Nutzer und verkauft diese an Werbetreibende weiter. Laut Eckert sei dieses Geschäftsgebaren in Europa illegal, das würde die Anbieter jedoch nicht scheren. Nach den Recherchen löschten Eckert und Dewes ihre Datenbank sofort wieder. Die beiden hatten Angst, sie könnte Hackern in die Hände fallen.
Die von den Browser-Plugins gesammelten Daten werden vor dem Weiterverkauf anonymisiert und mit einer Kunden-Identifikationsnummer anstelle des Klarnamens versehen. Laut Eckert und Dewes seien diese Daten jedoch sehr einfach einer bestimmten Person zuzuordnen. Dafür nutzten die beiden Experten öffentlich zugängliche Daten über das Surfverhalten der Nutzer – beispielsweise Facebook-Fotos oder YouTube-Browsing-Histories. Vergleicht man diese öffentlichen Daten mit den anonymisierten Click-Stream-Daten, lässt sich eine Verbindung herstellen.
Diese Verbindung zu den anonymisierten Browser-Daten, die trotz des privaten Modus gesammelt wurden, gibt viele intime Details über die Nutzer preis. In den Browser-Gewohnheiten seien laut Dewes und Eckert jedoch keine illegalen Aktivitäten zu erkennen gewesen. Aber die Suchbegriffe oder die Porno-Vorlieben könnten gerade bei Personen des öffentlichen Lebens eine Grundlage für Erpresser oder Cyber-Kriminelle bieten.