Du bist nicht mit dem Internet verbunden.
Wissen

SnowHaze – Der sichere Browser, von Schweizer Studenten entwickelt

Die Idee kam den Studenten um Yvan Monneron auf einer Wanderung nach einer Diskussion über die Privatsphäre. Jetzt ist er Teilhaber einer GmbH und Mitgründer des Projekts SnowHaze, einem sicheren Browser für Apples iOS-Plattform.

Yvan Monneron ist 22 Jahre alt, studiert Maschinenbau und hat in seiner Freizeit mit vier Kollegen einen Browser für Apples iOS-Plattform entwickelt, der Chrome, Safari und wie sie alle heissen in den Schatten stellt. Denn der Browser mit dem Namen SnowHaze macht zwar nichts revolutionär Neues, aber dafür macht er es besser und er macht es per default. Denn nebst einem angenehmen Surf-Erlebnis hat sich SnowHaze eines aufs Banner geschrieben: Die Sicherheit und die Privatsphäre der User.

Wenn Studenten auf Wanderung gehen

Yvan sitzt im T-Shirt und Shorts auf dem Sofa im digitec-Office. In seiner Hosentasche: ein iPhone. Denn dort lebt sein Produkt, sein Browser, SnowHaze. «Wir wollten einen Browser machen, der den Datenschutz einfach zugänglich macht und in den Vordergrund stellt», sagt er.

Warum?

«Die meisten Browser scheren sich von Haus aus nicht um die Privatsphäre der Nutzer», sagt er. Browser können zwar nachgerüstet werden, unter Chrome sind das Plugins wie NoScript, AdBlock Plus oder Ghostery und andere Browser sind auch so aufgestellt. Doch das bedingt, dass sich ein Nutzer aktiv mit dem Thema beschäftigt, Wissen hat und dann auch noch die Fähigkeit, Plugins zu installieren und in Betrieb zu nehmen.

«Die Sache ist die: Deine Daten werden überall vermarktet und auf ewig irgendwo genutzt», sagt Yvan. Seine Stimme wird lauter, er wird leidenschaftlich. Denn diese Erkenntnis ist diejenige, die einst dazu geführt hat, dass er und sein Team SnowHaze, mittlerweile eine GmbH, erschaffen haben. «Wir waren in den Semesterferien auf einer Wanderung und haben darüber diskutiert, wohin all die Daten, die wir verteilen, gehen.» Der Grundstein für SnowHaze war gelegt.

SnowHaze sieht aus wie jeder andere Browser auch und funktioniert mit Ausnahme der Einstellungsfreiheit auch genau gleich

Im Betrieb unterscheidet sich SnowHaze kaum von einem normalen Browser. Einzig das User Interface unterscheidet sich darin, dass die Navigationselemente dunkel sind. Die meisten anderen Browser sind hell gehalten. «Irgendwo haben wir mal diskutiert, dass wir in der nächsten Version ein helles Theme anbieten», sagt Yvan. Er blättert in seinem Notizbuch herum, in dem er alles wichtige nach Datum sortiert, aufschreibt. In der Regel bin ich der einzige, der während einem Interview Notizen macht. Yvan schreibt mit.

Metadaten als Gefahr

Chrome ist gratis, Facebook ist gratis und Treuekarten wie Migros Cumulus und die Coop Supercard sind gratis. Doch sind sie das wirklich? «Nein, denn Daten sind in der heutigen Welt eine wertvolle Ressource», sagt Yvan. Der 22jährige erklärt. Er erklärt das anhand der Coop Supercard, die genau gleich funktioniert wie die Migros Cumulus Card.

  • Die Coop Supercard wird bei jedem Einkauf eingescannt
  • Die Coop Supercard hat eine Nummer, die deinem Namen zugeordnet ist
  • Somit kann eine Karte einem Einkauf zugeordnet werden
  • Coop kann also analysieren, was du kaufst

Es fällt Coop ein leichtes, festzustellen, was Menschen in einem gewissen Alterssegment kaufen, denn die Daten hast du ihnen bei der Bestellung der Supercard ausgehändigt

Die persönlichen Daten im Bestellformular

Angenommen, du bist 30 Jahre alt. Dann könnte dein Einkauf unter anderem folgenden Markern zu Analysezwecken zugeschrieben werden:

  • Filiale
  • Alterssegment
  • Berufstätig ja/nein? ← Basiert auf Einkaufszeit
  • Geschlecht: Männer kaufen selten Tampons, Frauen selten Aftershave
  • Beziehungsstatus: «Schatz, kannst du mir schnell ein Aftershave kaufen?»

Das ganze nennt sich Datenkorrelation und kann so richtig unheimliche Proportionen annehmen. Ein Artikel der US-amerikanischen Tageszeitung New York Times beschreibt im Gespräch mit einem Datenanalysten, wie Unternehmen die Daten, die wir Kunden für ein Prozent Rabatt hergeben, verwenden. Im Artikel beschreibt der Analyst, wie er anhand von Kundenverhalten – die Daten hat die Supermarktkette Target anhand von Kundenrabattkarten und Kreditkartentransaktionen gesammelt – herausgefunden hat, wann eine Frau im sechsten Monat schwanger ist, bevor die Chefetage des Unternehmens ihm den weiteren Kontakt mit der Times verboten hat.

«Wenn wir Google oder Chrome oder Safari verwenden, passiert nichts anderes», sagt Yvan. Unsere Daten werden gesammelt, analysiert und zu Werbezwecken verkauft. Sei das nun vom Browser selbst oder von Websites, die wir als User besuchen. «Und genau gegen diese Daten tut kein Browser etwas», sagt Yvan.

Wenn du noch mehr über Metadaten hören willst, hier ein Talk, der thematisiert, was alles mit Metadaten angestellt werden kann.

Das Beispiel mit der Kundenkarte im Supermarkt

Tatsächlich finden sich in den allgemeinen Geschäftsbedingungen von Supermarkt-Kundenkarten zahlreiche Hinweise auf Datenkorrelation. Die folgenden Zitate sind am 30. Mai 2017 den AGBs auf supercard.ch entnommen worden.

  • «Die Angabe eines Postfaches als Wohnsitzadresse kann abgelehnt werden.» → Coop besteht darauf, wissen zu wollen, wo der Kunde wohnt
  • «Durch die Teilnahme am Supercard Programm wird ein Kundenprofil des Teilnehmers erstellt. Ein Kundenprofil setzt sich zusammen aus Kontaktdaten, Einkaufsdaten sowie allfällig gesundheitsrelevanten Daten, die im Zusammenhang mit den Einkäufen stehen. Die Kontaktdaten umfassen Angaben wie Name, Anschrift, Telefonnummer und E-Mail-Adresse. Die Einkaufsdaten setzen sich u. a. aus Ort- und Zeitangaben, den Daten zu den Produkten, Dienstleistungen und der Inanspruchnahme von Vergünstigungen zusammen, bei deren Kauf oder Inanspruchnahme die Supercard verwendet wird.»
  • «Weiter erlaubt der Teilnehmer der Coop Genossenschaft, die gesammelten Daten mit Daten der Coop-Gruppe und mit Daten von Supercard Partnerunternehmen sowie durch professionelle Adresshändler mit zusätzlichen Merkmalen (wie Haushaltsgrösse, Hausbesitz, Alter, Einkommensklasse etc.) zu ergänzen.»
  • «Diese Supercard Daten dürfen zu Marketing- und Werbezwecken ausgewertet werden. Dabei können Zielgruppen bestehend aus Kunden mit ähnlichen Kunden- und Einkaufsdaten gebildet werden. Die Werbung, Angebote und Dienstleistungen der Coop-Gruppe und Supercard Partnerunternehmen können auf Ihr persönliches Kundenprofil abgestimmt werden.»

Daraus zieht Yvan einen Schluss, der im Internet unter Privatsphären-Aktivisten schon seit Jahren ein Mantra ist: Wenn es gratis ist, dann bist du nicht der Kunde. Du bist das Produkt, das verkauft wird.

Original von Oliver Widder

Bemerkenswert an den AGBs der Supercard ist übrigens auch, dass nirgendwo in der Anmeldung Daten zur Haushaltsgrösse, dem Hausbesitz und der Einkommensklasse abgefragt werden. Diese Daten werden aus deinen Einkäufen abgelesen.

Die Cumulus-Karte der Migros funktioniert übrigens genau gleich, aber die AGB sind nicht so ausführlich aufgeschlüsselt.

Genau dasselbe, so hält Yvan fest, geschieht auch mit Daten, die Nutzer bei Facebook, Reddit, Google und sonst überall hinterlassen. Bei digitec auch, übrigens.

Die Kontrolle in den Nutzerhänden

Darum also SnowHaze. Der Browser, basierend auf Apples Webkit, bringt die Sicherheitsoptionen nahe an den User. Auf dem iPhone genügt ein Klick auf das Zahnrädchen auf dem Screen und die Sicherheitsoptionen sind da. «Uns ist wichtig, dass die Optionen wirklich Optionen sind», sagt Yvan. Es ginge darum, dass die User eine informierte Entscheidung treffen können, wie viel von ihrer Privatsphäre sie aufgeben wollen.

SnowHaze erklärt alle Einstellungen leicht verständlich

Wem Begriffe wie JavaScript, HTTPS oder Popover nichts sagen, dem war der Einblick in die Sicherheit abseits von einigen Randthemen und einfachen Fixes bisher verwehrt. Weil die IT Security ist stark mit Computer-Nerd-Sprache behaftet. Dem hat das SnowHaze-Team vorgebeugt indem sie jeder Option eine Erklärung zugewiesen haben. In einfacher Sprache. Denn Erklärungen müssen nicht kompliziert sein, um die Mechanismen soweit zu verstehen, dass eine Entscheidung getroffen werden kann.

Kurz: Mit SnowHaze können auch IT-Security-Unbetuchte verstehen, was JavaScript tut und warum es eine Gefahr sein kann.

Aber: JavaScript wird nicht von Haus aus zwingend blockiert. Denn die Wahl, ob du JavaScript willst oder nicht, liegt bei dir. Mit einem ganz normalen Schieber kannst du JavaScript ein- oder ausschalten.

Der Ritterschlag von den Experten

«Okay, das sind jetzt so ein paar Jungs, die was Lustiges in ihrer Freizeit programmiert haben», magst du jetzt denken. Mit diesem Assessment sind die Experten nicht einverstanden. Namentlich hat der US-amerikanische Podcast «The Complete Privacy and Security Podcast» den Schweizer Codern nicht nur extreme Kompetenz zugeschrieben, sondern die Moderatoren nutzen den Browser selbst und loben ihn ausdrücklich.

Der Podcast gilt unter Security- und Privatsphärenaktivisten als einer der grossen Informationsquellen, wo Unterhaltung klein, Wissen dafür aber gross geschrieben wird. Und in der zehnten Episode empfehlen die zwei Moderatoren ab dem Marker 46:40 SnowHaze und loben die Einstellungsvielfalt.

Bisher gibt es SnowHaze nur für Apple iOS. Das liegt daran, dass die Studenten um Yvan das Projekt in ihrer Freizeit betreuen. «Wir wollen lieber ein Produkt betreuen, von dem wir absolute Ahnung haben, als ein halbfertiges Produkt auf zwei Plattformen zu veröffentlichen.» Eine Android-Version sei zwar ein Ziel, aber noch nicht geplant.

Mein neuer iOS Homescreen. Anders würde ich das nicht mehr wollen

Die Frage, ob SnowHaze das Ding sei, mit dem sie sich selbständig machen wollen, kann Yvan aber nicht beantworten. Denn Investoren suchen sie nicht, auch wenn sie einem Geldgeber gegenüber nicht grundsätzlich abgeneigt sind. «Sobald wir uns aufkaufen lassen, sind wir wieder abhängig von jemandem. Geschäftsinteressen kommen dann auf einmal ins Spiel und das könnte heikel werden», sagt Yvan. Es gebe aber gute Gründe für den Schritt zur Firma mit Geschäftsbeziehungen wie es auch gute Gründe dagegen gebe.

Doch bevor er sich Gedanken über eine allfällige Android-Version machen kann oder über Investoren, ist Yvan wieder Student: «Das Semesterende steht bevor. Jeder Student ist dann mit Uni-Stress beschäftigt».

Das könnte dich auch interessieren

meitu_teaser_0221.jpeg
Wissen
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

Benutzerprofil
  • 44 33

Sicherheitswarnung: Meitu – Die App schleudert deine persönlichen Daten nach China

381A028021.jpeg
Wissen
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

Benutzerprofil
  • 26 17

WhatsApp-Sicherheitslücke – Der Erfinder spricht über «fundamentales Problem der Kryptographie»

whatsapp_teaser21.jpeg
Wissen
Dominik Bärlocher

Dominik Bärlocher

Senior Editor

Benutzerprofil
  • 35 44

Sicherheitslücke in WhatsApp – Forscher entdeckt Hintertür, Facebook ist es egal

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

12 Kommentare

User fumo

"Doch das bedingt, dass sich ein Nutzer aktiv mit dem Thema beschäftigt, Wissen hat und dann auch noch die Fähigkeit, Plugins zu installieren und in Betrieb zu nehmen."

Und um dem entgegenzuwirken bietet man als CH Firma die AGB und Datenschutzbestimmungen nicht in einer der Landessprachen....

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Krono

Für Desktops ist momentan der Browser "Vivaldi" meiner Meinung nach der absolut beste.
Auf iOS ist das Ganze ein bisschen ein Witz da alle Browser die alte Engine von Safari nutzen können und nur Safari selbst die neue, schnellere nutzen kann.
Aber bessere Privatsphäre tönt gut.

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Krono

Im Artikel wird nur Javascript ausschalten erwähnt. Ich hoffe es kann noch mehr denn sonst ist das extrem 'lame' ??!

Aber interessant und furchterregend ist das z.B. mit der Kundenkarte allemal. Schöne Analyse der AGB!

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User xmxmx

Kann ich mit dem Browser in der Migros endlich anonym Cumulus-Punkte sammeln?

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Mr.Shin-Chan

Hoffe immer, wenn einer meine Daten analysiert und sieht wie oft ich tanke, dass diese Person vielleicht etwas mitleid bekommt, was ich ausgebe um zur Arbeit zu gehen. Vielleicht schenkt man mir ja ein Schöggeli xD

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Mr.Shin-Chan

Spass bei Seite, eines der Gründe warum ich Werbung mit dem PiHole sperre (bin unterwegs dann via VPN daran gebunden)ist, dass irgendwo für etwas das ich sehe, was ich aber nicht will, Geld fliesst. Irgend ein Heini denkt, er müsse mir nun die ganze Zeit Werbung zeigen weil ich 2-3 mal nach einem Auto gegooglet habe. Wenn ich irgendwo ein Angebot will, hole ich mir das oder habe einen nicht nervenden Newsletter wie bei Digitec z.B. wo ich gerne mal rein schaue.

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User umino

PS: vielleicht erfindet ja jemand dann den SchöggeliFluxKompensator ;)

Nein ernsthaft, das mit der VPN wäre hier erwähnenswert, aber ich denke nicht jeder kann das so einfach einrichten..
Wäre es da mit startpage.com nicht einfacher ?

04.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Mr.Shin-Chan

@Umino: Jein, fürs PiHole gibt es von Sempervideo ein sehr einfaches Tutorial (wer sich etwas mit dem PC auskennt und an Technik interessiert ist, wird das schnell hinbekommen). Vorteil: Alles im Netzwerk wie z.B. PS4, Smart TV,.. davon betroffen ohne ein zusätzliches Programm. Das mit dem VPN kam mir recht spontan in den Sinn. Es ist halt nicht so easy wie eine App :)
swisscom.ch/de/privatkunden...
youtube.com/watch?v=3GJ2Jqk...=

04.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User jhvalic

Wow ich war das ganze Semester bei Yvan Monneron in Werksoffe & Fertigung Übung und wusste nichts davon... Cooles Projekt.

10.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anony

Bezüglich der Analayse "Berufstätig ja/nein? ← Basiert auf Einkaufszeit".
Also bin ich nicht berufstätig, weil ich so unregelmässig arbeite dass ich an mindestens einem Tag zu jeder Uhrzeit Zeit habe...

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anony

*Analyse

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Bruno Gysin

Die Plakate im Hintergrund vom ersten Bild, wirds die wiedermal geben?

03.06.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo