Hintergrund

SnowHaze – Der sichere Browser, von Schweizer Studenten entwickelt

3.6.2017

Die Idee kam den Studenten um Yvan Monneron auf einer Wanderung nach einer Diskussion über die Privatsphäre. Jetzt ist er Teilhaber einer GmbH und Mitgründer des Projekts SnowHaze, einem sicheren Browser für Apples iOS-Plattform.

Yvan Monneron ist 22 Jahre alt, studiert Maschinenbau und hat in seiner Freizeit mit vier Kollegen einen Browser für Apples iOS-Plattform entwickelt, der Chrome, Safari und wie sie alle heissen in den Schatten stellt. Denn der Browser mit dem Namen SnowHaze macht zwar nichts revolutionär Neues, aber dafür macht er es besser und er macht es per default. Denn nebst einem angenehmen Surf-Erlebnis hat sich SnowHaze eines aufs Banner geschrieben: Die Sicherheit und die Privatsphäre der User.

Wenn Studenten auf Wanderung gehen

Yvan sitzt im T-Shirt und Shorts auf dem Sofa im digitec-Office. In seiner Hosentasche: ein iPhone. Denn dort lebt sein Produkt, sein Browser, SnowHaze. «Wir wollten einen Browser machen, der den Datenschutz einfach zugänglich macht und in den Vordergrund stellt», sagt er.

Warum?

«Die meisten Browser scheren sich von Haus aus nicht um die Privatsphäre der Nutzer», sagt er. Browser können zwar nachgerüstet werden, unter Chrome sind das Plugins wie NoScript, AdBlock Plus oder Ghostery und andere Browser sind auch so aufgestellt. Doch das bedingt, dass sich ein Nutzer aktiv mit dem Thema beschäftigt, Wissen hat und dann auch noch die Fähigkeit, Plugins zu installieren und in Betrieb zu nehmen.

Hintergrund
Acht Browser-Erweiterungen, die dir das Leben erleichtern
von Dominik Bärlocher

«Die Sache ist die: Deine Daten werden überall vermarktet und auf ewig irgendwo genutzt», sagt Yvan. Seine Stimme wird lauter, er wird leidenschaftlich. Denn diese Erkenntnis ist diejenige, die einst dazu geführt hat, dass er und sein Team SnowHaze, mittlerweile eine GmbH, erschaffen haben. «Wir waren in den Semesterferien auf einer Wanderung und haben darüber diskutiert, wohin all die Daten, die wir verteilen, gehen.» Der Grundstein für SnowHaze war gelegt.

SnowHaze sieht aus wie jeder andere Browser auch und funktioniert mit Ausnahme der Einstellungsfreiheit auch genau gleich

Im Betrieb unterscheidet sich SnowHaze kaum von einem normalen Browser. Einzig das User Interface unterscheidet sich darin, dass die Navigationselemente dunkel sind. Die meisten anderen Browser sind hell gehalten. «Irgendwo haben wir mal diskutiert, dass wir in der nächsten Version ein helles Theme anbieten», sagt Yvan. Er blättert in seinem Notizbuch herum, in dem er alles wichtige nach Datum sortiert, aufschreibt. In der Regel bin ich der einzige, der während einem Interview Notizen macht. Yvan schreibt mit.

Metadaten als Gefahr

Chrome ist gratis, Facebook ist gratis und Treuekarten wie Migros Cumulus und die Coop Supercard sind gratis. Doch sind sie das wirklich? «Nein, denn Daten sind in der heutigen Welt eine wertvolle Ressource», sagt Yvan. Der 22jährige erklärt. Er erklärt das anhand der Coop Supercard, die genau gleich funktioniert wie die Migros Cumulus Card.

Die Coop Supercard wird bei jedem Einkauf eingescannt
Die Coop Supercard hat eine Nummer, die deinem Namen zugeordnet ist
Somit kann eine Karte einem Einkauf zugeordnet werden
Coop kann also analysieren, was du kaufst

Es fällt Coop ein leichtes, festzustellen, was Menschen in einem gewissen Alterssegment kaufen, denn die Daten hast du ihnen bei der Bestellung der Supercard ausgehändigt

Die persönlichen Daten im Bestellformular

Angenommen, du bist 30 Jahre alt. Dann könnte dein Einkauf unter anderem folgenden Markern zu Analysezwecken zugeschrieben werden:

Filiale
Alterssegment
Berufstätig ja/nein? ← Basiert auf Einkaufszeit
Geschlecht: Männer kaufen selten Tampons, Frauen selten Aftershave
Beziehungsstatus: «Schatz, kannst du mir schnell ein Aftershave kaufen?»
…

Das ganze nennt sich Datenkorrelation und kann so richtig unheimliche Proportionen annehmen. Ein Artikel der US-amerikanischen Tageszeitung New York Times beschreibt im Gespräch mit einem Datenanalysten, wie Unternehmen die Daten, die wir Kunden für ein Prozent Rabatt hergeben, verwenden. Im Artikel beschreibt der Analyst, wie er anhand von Kundenverhalten – die Daten hat die Supermarktkette Target anhand von Kundenrabattkarten und Kreditkartentransaktionen gesammelt – herausgefunden hat, wann eine Frau im sechsten Monat schwanger ist, bevor die Chefetage des Unternehmens ihm den weiteren Kontakt mit der Times verboten hat.

«Wenn wir Google oder Chrome oder Safari verwenden, passiert nichts anderes», sagt Yvan. Unsere Daten werden gesammelt, analysiert und zu Werbezwecken verkauft. Sei das nun vom Browser selbst oder von Websites, die wir als User besuchen. «Und genau gegen diese Daten tut kein Browser etwas», sagt Yvan.

Wenn du noch mehr über Metadaten hören willst, hier ein Talk, der thematisiert, was alles mit Metadaten angestellt werden kann.

Das Beispiel mit der Kundenkarte im Supermarkt

Tatsächlich finden sich in den allgemeinen Geschäftsbedingungen von Supermarkt-Kundenkarten zahlreiche Hinweise auf Datenkorrelation. Die folgenden Zitate sind am 30. Mai 2017 den AGBs auf supercard.ch entnommen worden.

«Die Angabe eines Postfaches als Wohnsitzadresse kann abgelehnt werden.» → Coop besteht darauf, wissen zu wollen, wo der Kunde wohnt
«Durch die Teilnahme am Supercard Programm wird ein Kundenprofil des Teilnehmers erstellt. Ein Kundenprofil setzt sich zusammen aus Kontaktdaten, Einkaufsdaten sowie allfällig gesundheitsrelevanten Daten, die im Zusammenhang mit den Einkäufen stehen. Die Kontaktdaten umfassen Angaben wie Name, Anschrift, Telefonnummer und E-Mail-Adresse. Die Einkaufsdaten setzen sich u. a. aus Ort- und Zeitangaben, den Daten zu den Produkten, Dienstleistungen und der Inanspruchnahme von Vergünstigungen zusammen, bei deren Kauf oder Inanspruchnahme die Supercard verwendet wird.»
«Weiter erlaubt der Teilnehmer der Coop Genossenschaft, die gesammelten Daten mit Daten der Coop-Gruppe und mit Daten von Supercard Partnerunternehmen sowie durch professionelle Adresshändler mit zusätzlichen Merkmalen (wie Haushaltsgrösse, Hausbesitz, Alter, Einkommensklasse etc.) zu ergänzen.»
«Diese Supercard Daten dürfen zu Marketing- und Werbezwecken ausgewertet werden. Dabei können Zielgruppen bestehend aus Kunden mit ähnlichen Kunden- und Einkaufsdaten gebildet werden. Die Werbung, Angebote und Dienstleistungen der Coop-Gruppe und Supercard Partnerunternehmen können auf Ihr persönliches Kundenprofil abgestimmt werden.»

Daraus zieht Yvan einen Schluss, der im Internet unter Privatsphären-Aktivisten schon seit Jahren ein Mantra ist: Wenn es gratis ist, dann bist du nicht der Kunde. Du bist das Produkt, das verkauft wird.

Original von Oliver Widder

Bemerkenswert an den AGBs der Supercard ist übrigens auch, dass nirgendwo in der Anmeldung Daten zur Haushaltsgrösse, dem Hausbesitz und der Einkommensklasse abgefragt werden. Diese Daten werden aus deinen Einkäufen abgelesen.

Die Cumulus-Karte der Migros funktioniert übrigens genau gleich, aber die AGB sind nicht so ausführlich aufgeschlüsselt.

Genau dasselbe, so hält Yvan fest, geschieht auch mit Daten, die Nutzer bei Facebook, Reddit, Google und sonst überall hinterlassen. Bei digitec auch, übrigens.

Die Kontrolle in den Nutzerhänden

Darum also SnowHaze. Der Browser, basierend auf Apples Webkit, bringt die Sicherheitsoptionen nahe an den User. Auf dem iPhone genügt ein Klick auf das Zahnrädchen auf dem Screen und die Sicherheitsoptionen sind da. «Uns ist wichtig, dass die Optionen wirklich Optionen sind», sagt Yvan. Es ginge darum, dass die User eine informierte Entscheidung treffen können, wie viel von ihrer Privatsphäre sie aufgeben wollen.

SnowHaze erklärt alle Einstellungen leicht verständlich

Wem Begriffe wie JavaScript, HTTPS oder Popover nichts sagen, dem war der Einblick in die Sicherheit abseits von einigen Randthemen und einfachen Fixes bisher verwehrt. Weil die IT Security ist stark mit Computer-Nerd-Sprache behaftet. Dem hat das SnowHaze-Team vorgebeugt indem sie jeder Option eine Erklärung zugewiesen haben. In einfacher Sprache. Denn Erklärungen müssen nicht kompliziert sein, um die Mechanismen soweit zu verstehen, dass eine Entscheidung getroffen werden kann.

Kurz: Mit SnowHaze können auch IT-Security-Unbetuchte verstehen, was JavaScript tut und warum es eine Gefahr sein kann.

Aber: JavaScript wird nicht von Haus aus zwingend blockiert. Denn die Wahl, ob du JavaScript willst oder nicht, liegt bei dir. Mit einem ganz normalen Schieber kannst du JavaScript ein- oder ausschalten.

Der Ritterschlag von den Experten

«Okay, das sind jetzt so ein paar Jungs, die was Lustiges in ihrer Freizeit programmiert haben», magst du jetzt denken. Mit diesem Assessment sind die Experten nicht einverstanden. Namentlich hat der US-amerikanische Podcast «The Complete Privacy and Security Podcast» den Schweizer Codern nicht nur extreme Kompetenz zugeschrieben, sondern die Moderatoren nutzen den Browser selbst und loben ihn ausdrücklich.

Der Podcast gilt unter Security- und Privatsphärenaktivisten als einer der grossen Informationsquellen, wo Unterhaltung klein, Wissen dafür aber gross geschrieben wird. Und in der zehnten Episode empfehlen die zwei Moderatoren ab dem Marker 46:40 SnowHaze und loben die Einstellungsvielfalt.

Bisher gibt es SnowHaze nur für Apple iOS. Das liegt daran, dass die Studenten um Yvan das Projekt in ihrer Freizeit betreuen. «Wir wollen lieber ein Produkt betreuen, von dem wir absolute Ahnung haben, als ein halbfertiges Produkt auf zwei Plattformen zu veröffentlichen.» Eine Android-Version sei zwar ein Ziel, aber noch nicht geplant.

Mein neuer iOS Homescreen. Anders würde ich das nicht mehr wollen

Die Frage, ob SnowHaze das Ding sei, mit dem sie sich selbständig machen wollen, kann Yvan aber nicht beantworten. Denn Investoren suchen sie nicht, auch wenn sie einem Geldgeber gegenüber nicht grundsätzlich abgeneigt sind. «Sobald wir uns aufkaufen lassen, sind wir wieder abhängig von jemandem. Geschäftsinteressen kommen dann auf einmal ins Spiel und das könnte heikel werden», sagt Yvan. Es gebe aber gute Gründe für den Schritt zur Firma mit Geschäftsbeziehungen wie es auch gute Gründe dagegen gebe.

Doch bevor er sich Gedanken über eine allfällige Android-Version machen kann oder über Investoren, ist Yvan wieder Student: «Das Semesterende steht bevor. Jeder Student ist dann mit Uni-Stress beschäftigt».