Datenschutz und Datenverwendung beim eBlocker Gerät

Neben unserer Datenschutzerklärung auf der Website werden wir häufig gefragt, wie und ob der eBlocker selbst Nutzerdaten verarbeitet. In Kurzform: Nein, wir verarbeiten möglichst gar keine Daten und eBlocker läuft vollkommen autark (ohne Cloud-Dienste). Alle Details zur Datenverarbeitung durch den eBlocker haben wir hier zusammengefasst.

Als Datenschutz-Projekt halten wir bei der Entwicklung unserer Technologien und dem Betrieb unserer Dienste stets an diesen drei Grundsätzen fest:

  • Datensparsamkeit: Wir verarbeiten und speichern nur die Daten, die wir zur Abwicklung des jeweiligen Vorgangs wirklich benötigen.
  • Privacy by Design: Die Datenverarbeitung erfolgt stets nach dem „Privacy by Design“-Prinzip, wobei wir bereits bei der Entwicklung einer Funktion stets auf ein hohes Datenschutzniveau achten.
  • Privacy by Default: Alle konfigurierbaren Funktionen sind so voreingestellt, dass sie möglichst wenig Daten generieren, speichern oder übertragen.

Datenverarbeitung bei Verwendung des eBlockers

Ein grundlegendes Designprinzip des eBlockers ist es, keinerlei Nutzungsdaten während des Betriebs des eBlockers aufzuzeichnen. Dabei werden insbesondere keinerlei Nutzungsdaten an uns (eBlocker Open Source) oder eine dritte Partei gesendet, die über die unvermeidlichen Daten hinausgehen, die bei der normalen Internetkommunikation anfallen. Selbst für die unvermeidlich anfallenden Daten stellt der eBlocker dem Nutzer ggf. Optionen zur Verfügung, um Umfang, Empfänger oder Zeitpunkt der Übermittlung steuern zu können. Die Entwicklung des eBlockers wurde von folgenden Prinzipien geleitet:

  • Vermeidung von Datenspeicherung auf dem Gerät.
  • Alle eBlocker-spezifischen Dienste des Gerätes arbeiten autark ohne zusätzliche Cloud-Server. D.h. weder direkt noch indirekt gibt es einen Datenabfluss vom Gerät zu uns (eBlocker Open Source) oder anderen Dritten.
  • Bei unvermeidlichen Internet-Verbindungsdaten (DNS-Abfragen, Routing) bietet der eBlocker dem Nutzer zusätzliche Optionen, um steuern zu können, welche Server diese Daten bekommen.

Die folgenden Abschnitte erläutern einige wichtige Aspekte genauer.

eBlocker-Filter arbeitet stets autark

Die Mustererkennungs- und Filterfunktionen des eBlockers arbeiten völlig autark und verwenden keinerlei Cloud-Dienste. Dazu gehören Tracker- und Ad-Blocking-Filter, Malware-Filter sowie Jugendschutzfilter. Daher wird auch keine Information über die aufgerufenen Webseiten an uns (eBlocker Open Source) oder eine dritte Partei gesendet.

Der eBlocker speichert keine Verbindungsdaten

Der eBlocker speichert auch keine Verbindungsdaten auf dem Gerät selbst. Hierbei bestehen die folgenden Ausnahmen:

  • Der Geräte-eigene DNS-Server verfügt – wie jeder entsprechende Server – zur Optimierung der Antwortzeiten über einen Cache (Zwischenspeicher), in dem die zuletzt abgefragten Domänen gespeichert sind. Die Aufbewahrungszeit entspricht der TTL-Zeit der DNS-Antworten, typischerweise einige Minuten. Es gibt keine Schnittstelle, um diesen Cache gezielt auszulesen.
    Der DNS-Cache kann jederzeit manuell über die Administrationsoberfläche geleert werden. Der Nutzer kann den eBlocker DNS-Server jederzeit abschalten.
  • Zur Optimierung der Filterfunktionen können Filterergebnisse zu aufgerufenen Domänen lokal im eBlocker gespeichert werden. Diese Daten werden vom eBlocker verschlüsselt abgelegt. Es gibt keine Schnittstelle, um sie gezielt auszulesen.
  • Zur Analyse und Behebung von SSL-Verbindungsproblemen kann der Nutzer die Aufzeichnung von SSL-Verbindungsproblemen aktivieren. Hierbei kann die Aufzeichnung einzeln für jedes Gerät im Heimnetz aktiviert werden. Im Fall eines SSL-Verbindungsproblems wird das betroffene Gerät, der Zeitpunkt sowie die angesprochene Domäne gespeichert und vom eBlocker in der Administrationsoberfläche angezeigt. Diese Aufzeichnungen können jederzeit manuell gelöscht werden und werden nach sieben Tagen automatisch gelöscht.
  • Eine ähnliche Funktion erlaubt die Aufzeichnung aller SSL-Verbindungsdaten eines Gerätes für maximal 15 Minuten, ebenfalls zur Analyse und Behebung von SSL-Verbindungsproblemen. Diese Aufzeichnungsfunktion beendet sich selbst nach spätestens 15 Minuten und zeichnet immer nur die SSL-Verbindungsdaten eines einzelnen Gerätes im Heimnetz auf.

Verteilung von DNS-Abfragen

Zu den unvermeidlich beim Aufbau von Internetverbindungen anfallenden Verbindungsdaten gehören die DNS-Abfragen zur Auflösung von Internet-Domänen. Hier bietet der eBlocker dem Nutzer die Möglichkeit, mehrere externe DNS-Server anzugeben und entsprechend auszuwählen, so dass die Anfragen gleichmäßig auf alle DNS-Server verteilt werden, damit keiner dieser Server ein vollständiges Profil der Abfragen erstellen kann. Der Nutzer ist dabei in der Wahl der DNS-Server frei, die Anzahl ist nicht begrenzt. Zusätzlich können DNS-Anfragen optional über das Tor-Netzwerk gesendet werden (auch wenn der restliche Datenverkehr gar nicht über Tor geroutet wird).

Verschleierung der Routing-Daten

Um zu verhindern, dass der Internetprovider des Nutzers detaillierte Verbindungsdaten über das Routing der Internetanfragen bekommt, bietet der eBlocker dem Nutzer die Möglichkeit, die gesamte Internet-Kommunikation einzelner Geräte oder des gesamten Heimnetzes verschlüsselt über Tor oder einen OpenVPN-fähigen VPN-Anbieter abzuwickeln. Wir (das eBlocker Open Source Projekt) ist hierbei zu keinen Zeitpunkt in die Kommunikation eingebunden. Der Nutzer hat die freie Wahl eines beliebigen VPN-Anbieters. Bei dem Routing über Tor können die Länder der Exit-Nodes durch den Nutzer frei festgelegt werden.

Analyse des SSL-Verkehrs

Der eBlocker arbeitet im Kern mit einer Technologie, bei der die Datenpakete auf Muster von datensammelnden Diensten untersucht werden. Diese Muster-Analyse kann nur erfolgen, wenn der Datenverkehr im eBlocker entschlüsselt vorliegt. Wünscht der Nutzer auch den eBlocker Schutz für SSL-Verbindungen (per https), ist auf dem eBlocker explizit die SSL-Funktion zu aktivieren. Bei Aktivierung wird für jeden eBlocker ein einmaliges Root-CA Zertifikat im jeweiligen eBlocker erzeugt. Um verschlüsselte Verbindungen zu entschlüsseln, bildet der eBlocker anschließend das Ende der Ende-zu-Ende Verschlüsslung einer SSL-Verbindung. Er übernimmt dabei die Validierung des Website-Zertifikats und der Sperrlisten anstelle des Browsers. Zur erneuten Verschlüsselung zum Endgerät des Nutzers muss das eBlocker Root-CA Zertifikat einmalig in den Browser bzw. in das Betriebssystem des Endgerätes aufgenommen werden. Der eBlocker verwendet sodann sein Root-CA Zertifikat zur Signatur des Website-Zertifikats um die Verschlüsselung zum Endgerät sicher zu stellen. Das Root-CA Zertifikat hat dabei eine Gültigkeitsdauer von drei Jahren. Der Nutzer kann jederzeit ein neues Root-CA Zertifikat generieren, bei dem die Gültigkeitsdauer (12/24/36 Monate) frei bestimmt werden kann.

Datenspeicherung bei Aktivierung des eBlockers

Die bei der Aktivierung angegebene E-Mail-Adresse wird ausschließlich dafür verwendet, um im Falle eines sehr schweren eBlocker Sicherheitsfehlers den Nutzer zu benachrichtigen. Insbesondere wird die bei der Aktivierung angegebene E-Mail-Adresse nicht an Dritte weitergegeben und auch nicht für andere Zwecke wie zum Beispiel die Aussendung von Werbung verwendet.

Datenspeicherung bei Aktualisierung

Um autark zu agieren (s.o.) muss der eBlocker regelmäßig mit aktualisierten Mustern, Filterlisten und weiteren Daten versorgt werden. Dazu verfügt der eBlocker über eine Funktion zur automatischen oder manuellen Aktualisierung. Der Nutzer kann dabei selbst entscheiden, ob der eBlocker automatisch einmal täglich zu frei wählbaren Zeiten über einen Abruf von einem eBlocker Cloud-Server prüft, ob Aktualisierungen vorliegen, oder ob er diese Prüfung manuell vornehmen möchte.

Um Updates zu erhalten muss der eBlocker über eine gültige Lizenz und ein damit verknüpftes X.509-Zertifikat mit zugehörigem privatem Schlüssel verfügen. Dieses Zertifikat ist dem aktivierten eBlocker eindeutig zugeordnet, enthält selbst aber keine Nutzerdaten. Insbesondere weder die E-Mail-Adresse, noch eine IP- oder MAC-Adresse des Nutzers.

Bei der Prüfung auf Aktualisierung wird lediglich dieses Zertifikat zur Validierung der Update-Berechtigung übertragen. Der Aktualisierungsserver speichert eine Referenz auf dieses Zertifikat und die zugehörige, aktivierte Lizenz sowie den Zeitpunkt der Anfrage.

Diese Aktualisierungsanfragen sind die einzigen Daten, die von uns während des Betriebs eines eBlockers zentral erfasst und gespeichert werden.

Die bei der Aktualisierungsanfrage verwendete IP-Adresse wird aus technischen Gründen in die Logdateien des Servers geschrieben. Sie wird jedoch nicht systematisch ausgewertet und insbesondere nicht in einer Datenbank gespeichert oder anderweitig mit den oben genannten Aktualisierungsdaten oder anderen Daten des Nutzers verknüpft.

eBlocker Diagnose-Report

Zur Unterstützung bei der Analyse von technischen Problemen werden wir den Nutzer eventuell bitten, einen eBlocker Diagnose-Report zu erstellen und per E-Mail zu übersenden. Es wird ausdrücklich nicht empfohlen, Diagnose-Reports im Community-Forum zu teilen.
Dieser Diagnose-Report enthält eine eigens erstellte Diagnose-Datei mit Angaben zum lokalen Netz des Nutzers: Anzahl und Art der Netzwerkgeräte, deren lokale IP-Adresse und MAC-Adresse, die externe IP-Adresse des Nutzers sowie weitere Daten zur aktuellen Konfiguration des eBlockers. Darüber hinaus enthält der Diagnose-Bericht einige weitere Logdateien, die Informationen über die Verwendung des eBlockers geben können.

Bei allen Dateien handelt es sich um einfache Textdateien, die in ein komprimiertes Tar-Archiv gepackt werden. Der Nutzer kann diese Dateien vor der Übersendung jederzeit einsehen.

Source-Code-Einsicht durch Jedermann

Der gesamte eBlocker Quellcode steht als Open Source unter der EUPL-Lizenz zur Verfügung. So kann jeder Interessierte Einblick in die Qualität des Programmiercodes nehmen und sich davon überzeugen, dass größte Sorgfalt bei der Entwicklung und die hier geschilderte Umsetzung des Datenschutzes entsprechend vorgenommen wurde.

Scroll to Top