Über

Webbkoll prüft die Datenschutzfunktionen von Webseiten und hilft herauszufinden, wer einem die Kontrolle über Privatsphäre gibt. Wir decken auf, inwieweit eine Webseite Ihre Besucher überwacht und wie sehr diese Daten an Dritte "petzt", basierend auf den Informationen, die bei einem Besuch einer Website entstehen. Wir stellen auch eine Reihe von Empfehlungen zusammen, wie Daten im digitalen Umfeld nicht weitergegeben oder gepetzt werden können.

Funktionsweise

Webbkoll simuliert was passiert, wenn ein Benutzer eine Seite mit einem normalen Browser besucht ohne mit dieser zu interagieren. Die angegebene Seite wird mit Chromium besucht, einem typischen Endbenutzerbrowser, der auf Google Chrome basiert. Daten (Anfragen/Antworten, Cookies usw.) werden gesammelt, analysiert und dargestellt. Der Browser hat keine Addons/Erweiterungen installiert und die Do-Not-Track Einstellungen sind nicht aktiviert (Standardeinstellung in den meisten Browsern). Es wird nichts angeklickt und es wird keine Zustimmung erteilt.

Einschränkungen

Webbkoll überprüft nur das, was auf der ersten besuchten Website passiert. Es kann Dir nicht sagen, wie sich eine Website "als Ganzes" verhält, wie Daten intern gespeichert werden, mit welchen Dritten die Daten noch geteilt werden und ob der Datenschutz und die organisatorischen Abläufe ausreichend sind. Ein "gutes" Webbkoll Ergebnis bedeutet noch lange nicht, dass alles gut ist (aber ein "schlechtes" Ergebnis bedeutet, dass es defintiv nicht gut ist).

Dieses Tool ist in erster Linie als Ausgangspunkt für Webentwickler gedacht. Es bildet einen kleinen Teil eines größeren Puzzles.

Autoren und Technik

Webbkoll wird von Anders Jensen-Urstad (Programmierung, Design) und Amelia Andersdotter (FAQ, Gesetzesinformationen) von Dataskydd.net, einer schwedischen Nichtregierungsorganisation, die sich für einen einfachen Datenschutz in Recht und Praxis einsetzt, entwickelt. Wir arbeiten überparteilich.

Webbkoll verwendet das Phoenix Framework (Elixir), Puppeteer und weitere Open Source Projekte; weitere Informationen stehen hier.

Wir bieten keine API an, da wir nur über begrenzte Ressourcen verfügen. Der Code ist aber hier verfügbar und steht unter einer freien MIT-Lizenz. Alternativen findest Du weiter unten.

Die ursprüngliche Entwicklung von Webbkoll wurde von Internetfonden / IIS in 2016 finanziert. Ende 2018 erhielten wir eine kleine Spende von Digital Rights Fund. Abseits davon betreuen wir dieses Tool in unserer Freizeit. Unterstütze uns und unsere Arbeit.

Übersetzungen

Alternativen und weitere Ressourcen

Der einzige vergleichbare Service, von dem wir wissen, welche auch mit einem echten Browser testet, ist PrivacyScore (Open Source). Es arbeitet wie Webbkoll, überprüft aber zusätzlich auch TLS und ermöglicht Dir die Organisation Deiner Checks in sortierten Listen.

Für strengere und systematischere Tests empfehlen wir OpenWPM, das in großen Studien und Projekten genutzt werden kann (und wird).

Observatory von Mozilla (Open Source) analysiert CSP, HSTS, TLS and verschiedene andere Dinge (einige Webbkoll Tests basieren auf dem Code von Observatory). Du kannst zusätzlich auch Googles CSP Evaluator benutzen.

Hardenize ist vergleichbar mit Observatory, prüft darüber hinaus auch E-Mail Server.

Report URI bietet Dir viele nützliche Tools: CSP Analyzer/Builder, Header Analyzer (securityheaders.com), SRI Hash Generator etc.

Qualys SSL Server Test ist ein hervorragendes Tool zur Analyse von TLS/SSL-Einstellungen eines Servers. testssl.sh ist eine Open-Source-Alternative.

Weitere Informationen auch im InfoSec Handbuch Pros and cons of online assessment tools for web server security (eine Seite mit zahlreichen Artikeln zum Thema auf Englisch).