alexi.sh
Alle ArtikelBrowser-SicherheitNetzwerk-PrivatsphäreDatenschutz-ToolsBedrohungsmodellierungKI-ProgrammierungDev-Tools

alexi.shForschung

browser-privacy

Stand der Browser-Privatsphäre 2026: Fingerprinting, Lockdown, Härtung

PrivSec LabAktualisiert am 25. Juni 202624 Min. Lesezeit
Warme Glasfaserbeleuchtung, die ein Netzwerkgeflecht auf dunklem Hintergrund nachzeichnet

PrivSec Lab Säulenbericht zur Browser-Privatsphäre im Jahr 2026: Fingerprinting auf dem neuesten Stand, Entwicklung des Lockdown-Modus, Browser-Vergleichsmatrix, DNS-Härtung, Erweiterungen und OS-Hooks.

Browser-Privatsphäre im Jahr 2026 ist in erster Linie ein Fingerprinting-Problem, kein Cookie-Problem. Drittanbieter-Cookies werden von Safari, Firefox und Brave effektiv eliminiert; Google hat sie in Chrome durch Privacy Sandbox APIs ersetzt. Die ungelöste Bedrohung ist die gerätebasierte Identifikation: Canvas-Hashes, WebGL und Audiosignaturen – jede trägt laut veröffentlichter Forschung etwa 10 oder mehr Bits Entropie bei – die über Sitzungen, VPNs und privates Surfen hinweg bestehen bleiben.

Die vier Fronten des Browser-Trackings, nach aktuellem Bedrohungsgrad geordnet:

FrontStatus 2026Primäre Gegenmaßnahmen
Speicherung (Cookies, localStorage)Weitgehend gelöstBrowser-Partitionierung, ITP, uBlock Origin
Fingerprinting (Canvas, WebGL, Audio)Aktiv, ungelöstBrave Shields (Randomisierung) oder Tor/Mullvad (Einheitlichkeit)
Netzwerkidentität (IP, TLS JA4)AktivVPN + Verschlüsselter Client Hello (ECH)
Sensoren & SeitenkanäleNiedrig für die meisten NutzeriOS Lockdown-Modus, Browser-Berechtigungsmodell

Zusammenfassung der Browser-Empfehlungen:

  • Tägliche Nutzung: Brave (Randomisierung, Shields, Chromium-Sicherheitsrhythmus)
  • Anonymitätskritisch: Tor Browser oder Mullvad Browser (Einheitlichkeitsverteidigung)
  • Firefox-Nutzer: LibreWolf (gehärtete Voreinstellungen, 2–5 Tage Patch-Verzögerung)

Mehr: Methodik und Quellen · Tiefgehende Analyse von Datenschutz-Browsern · Testen Sie Ihren Fingerabdruck · HTTP-Sicherheitsheader-Checker

Inhaltsverzeichnis

Was ist die größte Bedrohung für die Browser-Privatsphäre im Jahr 2026?

Browser-Fingerprinting – nicht Cookies – ist die dominierende Tracking-Bedrohung im Jahr 2026. Veröffentliche Fingerprinting-Forschung (EFFs "How Unique Is Your Web Browser?" / Cover Your Tracks) zeigt, dass Canvas, WebGL und AudioContext jeweils etwa 10 oder mehr Bits Entropie beitragen. Zusammen machen diese drei Vektoren die große Mehrheit der Desktop-Browser vor jeder passiven Signaleingabe einzigartig identifizierbar. Drittanbieter-Cookies sind weitgehend durch Safari, Firefox und Brave gelöst; gerätebasierte Fingerabdrücke nicht.

Warum Browser-Privatsphäre im Jahr 2026 wichtig ist

Browser sind die am meisten exponierte Oberfläche auf einem modernen Gerät. Sie führen nicht vertrauenswürdigen Code aus Hunderten von Ursprüngen pro Sitzung aus, halten die meisten Identitätstoken eines Nutzers und fungieren zunehmend als universeller Client für Apps, die früher nativ ausgeliefert wurden. Eine typische Mainstream-Seite lädt jetzt JavaScript von vielen Drittanbieter-Domains und Erstanbieter-Subdomains – eine Zahl, die in den letzten Jahren stetig gestiegen ist, wie öffentliche Web-Transparenz-Datensätze wie das HTTP-Archiv dokumentieren. Die Oberfläche wächst weiter.

Zwei Verschiebungen in den letzten 18 Monaten haben das Bedrohungsmodell neu definiert. Erstens zwang der Übergang nach Cookies die Tracker dazu, sich auf gerätebasierte Signale zu konzentrieren, anstatt auf speicherbasierte. Cookies waren immer leicht zu löschen; Canvas-Hashes nicht. Zweitens ist die Nachfrage nach Verhaltens-Trainingsdaten gestiegen, was plausibel den Wiederverkaufswert von fein abgestimmter Browser-Telemetrie erhöht – obwohl wir keine Erstparteizahlen haben, um die Größe dieser Verschiebung zu quantifizieren.

Der kombinierte Effekt ist einfach. Der defensive Wert hat sich nach oben verlagert: Es reicht nicht mehr aus, Cookies zu löschen und "Do Not Track" zu aktivieren. Der aktuelle Kampf wird auf den Rendering-, Netzwerk- und OS-Ebenen geführt.

Dieser Bericht setzt einen Ausgangspunkt. Er katalogisiert die vier Haupt-Tracking-Fronten, den Stand der Fingerprinting-Forschung Mitte 2026, die Entwicklung des Apple Lockdown-Modus seit iOS 16, die realistische Positionierung jedes noch aktiv gepflegten datenschutzorientierten Browsers, das DNS-Verschlüsselungs-Ökosystem, die Erweiterungslandschaft nach Manifest V3 und die OS-Level-Hooks, die auf macOS, Linux und Windows erwähnenswert sind. Jede Behauptung basiert auf veröffentlichter Forschung oder Herstellerdokumentation, und der Methodik-Abschnitt erklärt, woher jede Zahl stammt.

Die vier Fronten des Browser-Trackings

Es gibt vier weitgehend unabhängige Fronten. Ein ernsthaftes Bedrohungsmodell muss alle berücksichtigen; das Ignorieren einer einzigen führt in der Regel zum Zusammenbruch der anderen.

Front 1 - Speicher-Tracking. Cookies, localStorage, IndexedDB, Service Worker, Cache API. Dies ist die älteste Schicht. Moderne Browser partitionieren die meisten davon nach dem Top-Frame-Ursprung, sodass die Ära der Drittanbieter-Cookies in Safari, Firefox und Brave effektiv vorbei ist. Chromes Privacy Sandbox ersetzte Drittanbieter-Cookies 2024 durch Topics und Protected Audience APIs, mit gemischter Resonanz. Speicher-Tracking ist immer noch nützlich für Erstanalyse, ermöglicht jedoch keine standortübergreifende Profilzusammenstellung mehr wie 2018.

Front 2 - Fingerprinting. Alles Passives, abgeleitet vom Gerät und dem Rendering-Stack: User-Agent, Bildschirmgröße, Schriftarten, Canvas, WebGL, Audiokontext, Hardware-Konkurrenz, Gerätespeicher, Batterie, Sensoren und die neue Entropie-Grenze von GPU-Shader-Timings. Fingerprinting erfordert keinen Speicher und keine Benutzerzustimmung. Es ist die dominierende Tracking-Methode im Jahr 2026 für jeden, der ernsthaft an Identitätspersistenz interessiert ist.

Front 3 - Netzwerkidentität. IP-Adresse, TLS-Fingerabdruck (JA3, JA4), HTTP/2 SETTINGS-Frame-Muster, QUIC-Verbindungs-IDs und DNS-Abfragemuster. Selbst mit einem VPN kann der TLS-Handshake den genauen Browser und die Version offenbaren. Selbst mit einem datenschutzorientierten DNS ist das SNI im ClientHello für den Netzwerkbetreiber sichtbar, es sei denn, Encrypted ClientHello (ECH) wird verwendet.

Front 4 - Sensoren und Seitenkanäle. Mikrofon, Kamera, Geolokalisierung, Gyroskop, Beschleunigungsmesser, Umgebungslicht und zunehmend die WebHID- und WebUSB-APIs. Die meisten Nutzer stoßen hier auf explizite Berechtigungsaufforderungen, aber Umweltsensoren auf Mobilgeräten lecken passiv Daten und wurden in veröffentlichten Angriffen verwendet, um Anti-Fingerprinting-Rauschunterdrückung zu umgehen.

Jede Front benötigt ihre eigene Gegenmaßnahme. Ein VPN adressiert Teile der Front 3, aber nichts in Front 2. Ein Datenschutz-Browser adressiert Teile der Fronten 1 und 2, verbessert jedoch nur marginal Front 3. Der Lockdown-Modus ist eine der wenigen Funktionen, die gleichzeitig Fronten 2 und 4 berühren.

Fingerprinting auf dem neuesten Stand im Jahr 2026

Sechs Fingerprinting-Vektoren tragen im Jahr 2026 den Großteil der Entropie. Wir listen sie in absteigender Reihenfolge der Informationsdichte auf, basierend auf veröffentlichter Fingerprinting-Forschung (EFFs "How Unique Is Your Web Browser?" und das Cover Your Tracks-Projekt) und nicht auf eigenen Messungen.

Canvas-Fingerprinting bleibt der Vektor mit der höchsten Entropie – veröffentlichte Forschung gibt an, dass es im Durchschnitt etwa 16 Bits beträgt. Das Rendern eines komplexen Glyphs mit Subpixel-Antialiasing erzeugt Hashes, die mit dem GPU-Treiber, der OS-Version, dem Schriftsatz und dem Farbprofil variieren. Das Update 2026 ist, dass Browser jetzt genug WebGPU-Fähigkeiten bereitstellen, dass selbst wenn 2D-Canvas randomisiert ist, das 3D-Canvas für denselben Zweck abgefragt werden kann.

WebGL-Fingerprinting liegt knapp dahinter, mit etwa 14 Bits. Die WEBGL_debug_renderer_info-Erweiterung gibt die unmaskierten Hersteller- und Renderer-Strings in jedem Desktop-Browser außer Brave Shields im strengen Modus und Tor Browser preis. Selbst wenn diese Erweiterung blockiert ist, können Parameterabfragen zu MAX_TEXTURE_SIZE, ALIASED_LINE_WIDTH_RANGE und der unterstützten Erweiterungsliste das GPU-Modell mit hoher Zuverlässigkeit rekonstruieren.

Audio-Fingerprinting über OfflineAudioContext liefert laut veröffentlichter Forschung etwa 11 bis 12 Bits. Ein kurzer Oszillator-Durchgang durch einen Dynamikkompressor erzeugt Pufferwerte, die vom Audiosubsystem und der Hardware-Gleitkomma-Implementierung abhängen. Der Vektor ist seit 2016 bekannt und bleibt über Browser-Versionen hinweg stabil, da eine Änderung den Audiopfad brechen würde.

Schriftarten-Aufzählung ist die Überraschung von 2026. Die direkte Aufzählung wurde abgeschafft, aber die indirekte Erkennung durch CSS-Rendering eines bekannten Glyphensatzes diskriminiert immer noch eine bedeutende Anzahl von Bits. Die Local Fonts API, die hinter einer Berechtigungsaufforderung steht, leckt eine große Menge an Entropie, wenn sie gewährt wird – weshalb kein Datenschutz-Browser sie freigibt.

Hardware-Konkurrenz und Gerätespeicher zusammen fügen einige Bits hinzu. Die Werte sind grob (navigator.hardwareConcurrency wird gerundet, deviceMemory gibt einen von fünf Buckets zurück), aber in Kombination mit Bildschirmauflösung und Pixelverhältnis verengen sie den Pool erheblich.

User-Agent Client Hints sind die Lösung nach dem User-Agent, die Chrome 2022 vorangetrieben hat und die sich nun stabilisiert hat. Die hochentropischen Hinweise (vollständige Browserversion, Architektur, Modell) sind hinter einer Serveranfrage gesperrt, aber sie lecken, sobald der Server fragt – was die meisten Websites tun.

Zwei aufkommende Vektoren sind erwähnenswert. GPU-Shader-Timing nutzt Mikrobenchmark-Unterschiede zwischen GPU-Familien aus, wobei aktuelle akademische Arbeiten zusätzliche Entropie berichten, die von aktuellen Anti-Fingerprinting-Heuristiken nicht blockiert wird. TLS-Level-Fingerprinting (JA4) arbeitet unterhalb des Browsers und ist für Erweiterungen unsichtbar; es unterscheidet Browser, Browserversionen und Plattformen mit extrem hoher Genauigkeit.

Die Verteidigungslandschaft teilt sich in zwei Strategien. Der Randomisierungsansatz (Brave, LibreWolf) injiziert pro Sitzung Rauschen in Canvas-, Audio- und WebGL-Ausgaben. Es funktioniert für einzelne Sitzungen, ist jedoch über lange Besuche hinweg fragil, wenn der Randomisierungs-Seed leckt. Der Einheitlichkeitsansatz (Tor Browser, Mullvad Browser) versucht, jeden Nutzer denselben Fingerabdruck erzeugen zu lassen. Es funktioniert nur, wenn man die Einschränkungen akzeptiert: feste Fenstergröße, fester Schriftsatz, JIT-Handel und keine Erweiterungen. Es gibt keinen dritten Weg.

Lockdown-Modus vier Jahre später

Ein Anmeldebildschirm mit einem Passwortfeld

Apple hat den Lockdown-Modus in iOS 16 im Jahr 2022 eingeführt, vermarktet an Journalisten, Aktivisten und Menschen, die staatlichen Gegnern gegenüberstehen. Vier Jahre später ist die Funktion ehrgeiziger, benutzerfreundlicher und leise auf macOS und iPadOS verfügbar. Die ursprünglichen Safari-Kompromisse, die wir in unserem früheren Deep-Dive zu iOS 16 JIT-Deaktivierung dokumentiert haben, gelten immer noch, aber der Funktionsumfang hat sich erheblich erweitert.

Der Funktionsumfang von 2022 umfasste Safari (JIT deaktiviert, mehrere APIs blockiert), Nachrichten (Link-Vorschauen deaktiviert, die meisten Anhangstypen blockiert), kabelgebundene Verbindungen (erfordert Entsperren zum Verbinden) und Konfigurationsprofile (Installation blockiert). Der Funktionsumfang von 2026 fügt hinzu: signierte Systemvolumenüberprüfung auf macOS, vollständige Attestierung der Netzwerkbedingungen auf iPadOS, Durchsetzung der Zertifikatstransparenz auf OS-Ebene, ein gehärteter WiFi-Stack, der WPA2 unter bestimmten Bedingungen ablehnt, und strengere Bluetooth-Paarungsbeschränkungen.

Für den Browser speziell hat sich die JIT-off-Konfiguration weiterentwickelt. JavaScript ist merklich langsamer, da JavaScriptCore auf seinen Interpreterpfad zurückfällt, aber die Liste der kaputten Websites ist im Laufe der Zeit geschrumpft. Die größte Verbesserung kam von WebAssembly-Fallbacks: Figma, Photopea und die meisten In-Browser-PDF-Tools liefern jetzt JavaScript-Pfade, die aktiviert werden, wenn WASM nicht verfügbar ist.

Der Lockdown-Modus ist jetzt auch kopierbar. Firefox hat 2024 ein "Resist Fingerprinting"-Preset eingeführt (privacy.resistFingerprinting = true), das die browserseitigen Schutzmaßnahmen annähert, jedoch ohne den JIT-off-Schritt. Mullvad Browser bündelt dieselben Standardeinstellungen plus die Anti-Fingerprinting-Patches des Tor Browsers. Auf Android hat GrapheneOS 2025 seine eigenen Sandbox-Beschränkungen pro App eingeführt, die die Härtungsziele von macOS widerspiegeln.

Die ehrliche Einschätzung ist, dass der Lockdown-Modus eine der einzigen Mainstream-OS-Privatsphäre-Funktionen ist, die es wert ist, für ein ernsthaftes Bedrohungsmodell aktiviert zu werden. Die Kosten sind real (ein kleiner Anteil von Websites verschlechtert, merklich langsameres JavaScript), aber begrenzt. Wir empfehlen es für jeden Journalisten, Aktivisten, Anwalt oder Menschen mit erhöhtem Risiko. Wir empfehlen es nicht als Standard für den allgemeinen Gebrauch.

Vergleich von Datenschutz-Browsern

Fünf Browser sind es wert, im Jahr 2026 auf Datenschutz bewertet zu werden: Brave, Tor Browser, Mullvad Browser, LibreWolf und Firefox mit manueller Härtung. Wir bewerten sie anhand von sieben Kriterien: Fingerabdruck-Oberfläche, Schutz der Netzwerkidentität, Blocker-Qualität, Leistung, Ergonomie, Update-Rhythmus und Erweiterungsunterstützung.

Brave bietet das beste Out-of-the-Box-Erlebnis für die meisten Nutzer. Shields blockiert standardmäßig Tracker und Werbung, Fingerprinting wird pro Sitzung pro Ursprung randomisiert, Drittanbieterspeicherung wird partitioniert. Es verwendet Chromium im Hintergrund, sodass die Leistung mit Chrome vergleichbar ist. Die Kompromisse: Das Unternehmen hatte Governance-Kontroversen, Brave Rewards fügt Aufmerksamkeitstracking hinzu, selbst wenn es deaktiviert ist (die Oberfläche ist vorhanden, nur inaktiv), und einige Chromium-APIs lecken mehr Entropie als die Äquivalente in Firefox. Für die meisten Nutzer bleibt es der stärkste Standard-Datenschutz-Browser.

Tor Browser ist der Goldstandard für Netzwerkidentität und Einheitlichkeitsstil-Anti-Fingerprinting. Es leitet den Datenverkehr durch drei Relays, erzwingt eine feste Fenstergröße, liefert einen festen Schriftsatz und deaktiviert JIT (langsameres JavaScript, derselbe Kompromiss wie im Lockdown-Modus). Es ist auch der langsamste Browser mit großem Abstand und der umständlichste für den täglichen Gebrauch. Reservieren Sie ihn für hochsensible Aufgaben: Quellenkontakt, anonyme Recherche, zensierte Regionen.

Mullvad Browser, veröffentlicht 2023 in Zusammenarbeit mit dem Tor-Projekt, ist Tor Browser ohne Tor. Dieselben Anti-Fingerprinting-Patches, dieselbe feste Fenstergröße, derselbe deaktivierte JIT, aber es verwendet Ihre reguläre Netzwerkverbindung (oder ein VPN). Für Nutzer, die Tor-Level-Browser-Härtung ohne Onion-Routing-Latenz wünschen, ist dies die beste Option. Die Leistung ist akzeptabel, der Update-Rhythmus ist angemessen (alle zwei bis drei Wochen), und die Ergonomie ist fast identisch mit Firefox.

LibreWolf ist ein gehärteter Firefox-Build mit vernünftigen Voreinstellungen: Resist Fingerprinting aktiviert, Telemetrie deaktiviert, DNS-over-HTTPS vorkonfiguriert auf einen datenschutzfreundlichen Resolver, uBlock Origin vorinstalliert. Es ist die reibungsloseste Option für Desktop-Nutzer, die einen sauberen Firefox ohne eine Stunde in about:config wollen. Der Nachteil: Update-Verzögerung, typischerweise 2 bis 5 Tage hinter den Upstream-Firefox-Versionen, was ein kleines Fenster der Exposition während kritischer CVE-Patches bedeutet.

Firefox selbst, mit manueller Anpassung, bleibt der flexibelste Datenschutz-Browser. Setzen Sie privacy.resistFingerprinting = true, network.trr.mode = 3 für striktes DNS-over-HTTPS, installieren Sie vollständiges uBlock Origin und NoScript, deaktivieren Sie die Telemetrie, und Sie nähern sich LibreWolf mit den neuesten Patches. Die Kosten sind die manuelle Arbeit und das Risiko von Fehlkonfigurationen.

Wir schließen gehärtete Chromium-Forks wie Ungoogled Chromium nicht in den primären Vergleich ein, da ihr Update-Rhythmus tendenziell weit hinter den Upstream-Chromium-Sicherheitsveröffentlichungen zurückbleibt, was sie für den täglichen Gebrauch im Jahr 2026 riskanter macht – während LibreWolf typischerweise nur wenige Tage hinter Firefox liegt.

Unsere Empfehlungsmatrix für die meisten Leser: Brave für das tägliche Surfen, Mullvad Browser für sensible Recherchen, Tor Browser, wenn Anonymität das Hauptziel ist, LibreWolf oder Firefox mit manueller Härtung für Nutzer, die das Firefox-Ökosystem bevorzugen.

DNS-over-HTTPS und DNS-over-TLS Landschaft

DNS ist die Schicht, die die meisten Nutzer überspringen, und es ist die erste, die ein neugieriger Netzwerkbetreiber betrachtet. Im Jahr 2026 ist verschlüsseltes DNS endlich ein abgeschlossenes Thema: DoH und DoT sind weit genug verbreitet, dass eine unverschlüsselte DNS-Anfrage ein Konfigurationsfehler ist, nicht die Standardeinstellung.

Die Wahl zwischen DoH und DoT hängt davon ab, wo sich der Resolver befindet. DoH (RFC 8484) läuft auf Port 443 und ist auf Netzwerkebene nicht von normalem HTTPS zu unterscheiden. Dies macht es schwerer zu blockieren, weshalb mobile Browser und Verbrauchsgeräte standardmäßig darauf setzen. DoT (RFC 7858) läuft auf Port 853 und ist leicht identifizierbar. Für Infrastruktur-Resolver ist DoT sauberer und einfacher zu überwachen; für Client-Geräte gewinnt DoH in Bezug auf Zugänglichkeit.

Die Resolver-Landschaft hat sich um vier ernsthafte Anbieter gruppiert:

Cloudflare 1.1.1.1: größte Infrastruktur, schnellste Latenz in den meisten Regionen, Anycast-Bereitstellung mit ungefähr unter 15 ms Antwortzeiten. Die Datenschutzrichtlinie ist vernünftig (24-Stunden-Aufbewahrung, kein Weiterverkauf), aber Cloudflares Position im breiteren Internet (CDN, WAF, Workers) bedeutet, dass für einige Nutzer die Wahl des Resolvers nicht der Engpass ist.

Quad9 (9.9.9.9): in der Schweiz ansässig, von einer gemeinnützigen Organisation betrieben, umfasst standardmäßig Malware-Blockierung. Etwas langsamer als Cloudflare, mit ungefähr unter 25 ms mittlerer Latenz in Europa und unter 40 ms in Nordamerika. Stärkste Datenschutzgarantien eines großen Resolvers: keine IP-Protokollierung am Resolver-Rand, nur aggregierte Abfragezählungen.

NextDNS: kein öffentlicher Resolver, sondern ein persönlicher Kontodienst mit umfangreichen Protokollierungs- und Filtersteuerungen. Starke Passform für Nutzer, die pro Gerät Filterrichtlinien, Analysen und pro Abfrage Blockierungsentscheidungen wünschen. Der Datenschutzkompromiss besteht darin, dass NextDNS Ihr vollständiges Abfrageprotokoll sieht; Sie vertrauen ihnen die Daten an, die der Resolver normalerweise verwirft.

Benutzerdefinierte Resolver (Unbound, Pi-hole + Unbound, Knot Resolver, dnscrypt-proxy): die stärkste Datenschutzhaltung ist Ihr eigener Resolver, der iterative Auflösungen zu autoritativen Servern durchführt. Keine Drittpartei sieht den vollständigen Abfragestream. Die Kosten sind betrieblich: Sie warten den Resolver, Sie handhaben die DNSSEC-Validierung, Sie debuggen Randfälle. Empfohlen für technische Nutzer mit einem Homelab oder einem VPS, nicht für allgemeine Zielgruppen.

Im Jahr 2026 sind drei Bereitstellungsmuster dokumentationswürdig:

  1. Nur OS-Level-DNS, Browser-DoH deaktiviert. Der OS-Resolver behandelt alles. Am vorhersehbarsten. Empfohlener Standard.
  2. Browser-DoH plus OS-DNS (verschiedene Resolver). Der Browser sieht einen Satz von Auflösungen, das OS sieht einen anderen. Nützlich für die Kompartimentierung, aber betrieblich verwirrend.
  3. DNS über Ihr VPN mit dem VPN-Resolver, der iterative Auflösungen durchführt. Die stärkste Kombination, wenn der VPN-Anbieter vertrauenswürdig ist und keine Protokolle führt. Mullvad und IVPN bieten dies beide an.

Eine Anmerkung zu Encrypted ClientHello (ECH): Mitte 2026 wird ECH standardmäßig auf Cloudflare-gestützten Ursprüngen bereitgestellt und von Firefox 128+, Chrome 122+ (hinter einem Flag) und Safari 18 unterstützt. ECH schließt das SNI-Leck, das DoH allein nicht adressiert. Schalten Sie es ein, wenn Ihr Browser es unterstützt.

Erweiterungs-Audit-Methodik

Manifest V3 hat die Erweiterungslandschaft umgestaltet. Chromes Frist für die vollständige MV2-Abschaltung Mitte 2024 zwang jede Datenschutz-Erweiterung, entweder eine MV3-Version mit reduzierten Fähigkeiten zu veröffentlichen oder nur für Firefox verfügbar zu bleiben. Wir prüfen Erweiterungen anhand von fünf Achsen: Fähigkeit unter MV3, Blocklisten-Update-Mechanismus, dynamisches vs. statisches Filtern, CNAME-Uncloaking-Unterstützung und die Datenschutzhaltung der Erweiterung selbst (Telemetrie, Sponsormodelle, Datenerfassung).

uBlock Origin (vollständig): Nur Firefox MV2-Build. Best-in-Class. Unterstützt dynamisches Filtern, erweiterte Einstellungen, CNAME-Uncloaking, benutzerdefinierte Filterlisten mit Regex. Wenn Sie Firefox ausführen können, führen Sie das vollständige uBlock Origin aus.

uBlock Origin Lite: MV3-Build, verfügbar auf Chromium und Firefox. Ungefähr 85 bis 90% so effektiv wie das vollständige uBO auf dem Standard-EasyList-Set. Kein dynamisches Filtern, kein CNAME-Uncloaking, keine erweiterten Regeln pro Website. Akzeptabel für Chromium-Nutzer; suboptimal auf Firefox, wo die vollständige Version noch verfügbar ist.

NoScript: JavaScript-Kontrolle pro Ursprung. Verfügbar auf Firefox und Chromium mit MV3-Unterstützung. Der stärkste Schutz gegen Drive-by-Fingerprinting, wenn Sie die Benutzererfahrungskosten akzeptieren, Skripte pro Ursprung zuzulassen. Wir verwenden es auf gehärteten Profilen, nicht auf täglichen.

Privacy Badger: heuristische Tracker-Blockierung von der EFF. MV3-kompatibel. Gute Ergänzung zu uBO, aber kein Ersatz. Seine Stärke liegt darin, aus beobachtetem Tracking-Verhalten zu lernen; seine Schwäche ist, dass es nur Tracker erfasst, die den Nutzer bereits mindestens dreimal verfolgt haben.

Cookie AutoDelete und Äquivalente: containerbasierte oder regelbasierte Cookie-Löschung. Meist redundant im Jahr 2026, da die browserseitige Speicherpartitionierung dasselbe Ziel zuverlässiger erreicht.

ClearURLs: entfernt Tracking-Parameter aus URLs. Leichtgewichtig, nützlich, kein wirklicher Nachteil. Empfohlen.

Erweiterungen, die wir vermeiden empfehlen: jede Erweiterung, deren Geschäftsmodell Datenerfassung ist (mehrere beliebte Ad-Blocker haben dies), jede Erweiterung, die Konten und Cloud-Synchronisation von Browsing-Daten erfordert, jede Erweiterung mit breiten Berechtigungen und unklarer Eigentumsgeschichte. Die Fälle von 2024, in denen ehemals vertrauenswürdige Erweiterungen an Datenbroker verkauft wurden, sollten eine dauerhafte Erinnerung sein: Erweiterungsberechtigungen sind eine Datenschutzangriffsfläche, nicht nur eine Funktionsfläche.

Eine reproduzierbare Audit-Methode, die jeder anwenden kann: Führen Sie jede Erweiterung auf einem sauberen Profil aus, erfassen Sie HTTP-Anfragen mit einem transparenten Proxy, vergleichen Sie das Anforderungsdiagramm mit demselben Profil ohne Erweiterungen und vergleichen Sie dann, was die Erweiterung geändert hat und welche Daten sie nach Hause gesendet hat.

OS-Level-Privatsphäre-Hooks

Browser-Härtung ist notwendig, aber nicht ausreichend. Das Betriebssystem sieht mehr als der Browser und leckt mehr, als die meisten Nutzer realisieren. Drei Plattformen, drei verschiedene Hook-Sets.

macOS. Apple übernimmt die Hauptarbeit standardmäßig – Sandboxing, TCC-Berechtigungen, signiertes Systemvolumen, Code-Signierung – aber vier Schalter sind es wert, umgelegt zu werden. Deaktivieren Sie die Analysefreigabe (Systemeinstellungen → Datenschutz → Analyse). Deaktivieren Sie Siri-Vorschläge für Spotlight. Setzen Sie die Datenschutzeinstellungen von Safari auf "Cross-Site-Tracking verhindern" plus "IP-Adresse vor Trackern und Websites verbergen" (was über iCloud Private Relay geleitet wird, wenn Sie iCloud+ haben). Für Nutzer mit erhöhtem Risiko aktivieren Sie den Lockdown-Modus auf OS-Ebene – er propagiert sich auf alle Browser und Nachrichten. Netzwerkweise konfigurieren Sie einen benutzerdefinierten DNS-Resolver in den Netzwerkeinstellungen, anstatt sich nur auf browserseitiges DoH zu verlassen; dies verhindert DNS-Divergenz pro App.

Linux. Die Standardeinstellungen variieren je nach Distribution. Auf den meisten Desktop-Distributionen (Fedora, Ubuntu, Debian) wird der Standardbrowser mit aktivierter Telemetrie und deaktiviertem DoH ausgeliefert. Die sauberste Einrichtung besteht darin, den Mullvad Browser oder LibreWolf zu installieren, systemd-resolved mit einem DoT-Resolver zu konfigurieren und einen Netzwerk-Namespace oder ein firejail-Profil zu verwenden, um den Browser zu isolieren. Für Hochrisikoprofile ist Qubes OS mit Einweg-Browser-VMs immer noch die rigoroseste Antwort im Jahr 2026; es ist auch die anspruchsvollste im Betrieb. Wayland über X11 verhindert eine Kategorie von Keylogging-Angriffen zwischen Apps; wenn Ihre Distribution noch standardmäßig X11 verwendet, lohnt sich die Migration.

Windows. Die am meisten exponierte Standardeinstellung der drei. Telemetrie läuft heiß und ist nicht vollständig über die GUI deaktivierbar – verwenden Sie Gruppenrichtlinien oder PowerShell, um sie zu reduzieren. Deaktivieren Sie die Werbe-ID (Einstellungen → Datenschutz → Allgemein). Deaktivieren Sie "Apps die Verwendung meiner Werbe-ID erlauben". Für die Browserwahl, Brave oder Firefox plus die oben beschriebene Härtung. DNS-weise unterstützt Windows 11 nativ DoH (Einstellungen → Netzwerk → DNS-Serverzuweisung → DoH "Ein" mit einem manuellen Server), was der sauberste Weg ist, um sicherzustellen, dass alle Apps einen einzigen verschlüsselten Resolver teilen. Der größte einzelne Härtungsschritt auf Windows im Jahr 2026 ist das Deaktivieren von Recall (die OS-Level-Bildschirmaufnahme-Indizierung, die 2024 eingeführt wurde), wenn es in Ihrem Build aktiviert ist; es indiziert alles, was Sie sehen, einschließlich privater Browsing-Sitzungen.

Über alle drei Plattformen hinweg gilt die Regel: Jede Schicht, die lecken kann, sollte explizit konfiguriert werden. Standardeinstellungen ändern sich im Laufe der Zeit, manchmal stillschweigend. Prüfen Sie bei jedem großen Versionsupdate.

Was sich 2026 bei den Browser-Engines geändert hat

Ein Laptop mit dem Bildschirm einer verbundenen VPN-App, gehalten von einer Person an einem Holzschreibtisch Ein verbundenes VPN, hier auf einem Laptop, verbirgt deine IP und deinen DNS-Pfad vor dem Netzwerk – tut aber nichts gegen Browser-Fingerprinting oder Drittanbieter-Cookies. Deshalb ist Datenschutz 2026 ein mehrschichtiges Problem und keine Sache einer einzelnen App.

Die größte Engine-Nachricht der letzten zwei Jahre ist die, die nicht eintrat: Chrome hat das Entfernen der Drittanbieter-Cookies nie abgeschlossen. Google hatte jahrelang eine „Privacy Sandbox“-Abschaffung vorbereitet, kündigte aber im Juli 2024 an, die Drittanbieter-Cookies nicht zwangsweise abzuschaffen und stattdessen ein Nutzerwahl-Modell beizubehalten. Im April 2025 bestätigte es, nicht einmal einen eigenständigen Opt-out-Bildschirm auszuliefern. Das praktische Ergebnis für 2026 ist unverändert gegenüber dem Beginn dieses Berichts: Drittanbieter-Cookies existieren in Chrome weiterhin standardmäßig, während Safari, Firefox und Brave sie blockieren – die relevante Tracking-Oberfläche verschiebt sich also weiter zum Fingerprinting, genau den Vektoren, die unser Leitfaden zum Stand der Technik beim Fingerprinting behandelt.

Das andere abgeschlossene Thema ist Manifest V3. Chrome hat die Abschaltung von Manifest V2 für die breite Nutzerschaft über 2024–2025 vollzogen, weshalb das volle uBlock Origin nun ein reines Firefox-Angebot ist und uBlock Origin Lite die Chromium-Realität. Das ist eine dauerhafte strukturelle Änderung, keine vorübergehende: Das dynamische Filtern und das CNAME-Enttarnen, die MV2 erlaubte, kommen auf Chromium nicht zurück. Für jeden, der Content-Blocking als Datenschutzkontrolle und nicht als Komfort behandelt, ist die Engine-Wahl (Firefox-Familie vs. Chromium-Familie) nun die Blocking-Fähigkeits-Wahl.

Einige kleinere, aber reale Verschiebungen von 2026 sind festzuhalten. Encrypted ClientHello (ECH) wurde von experimentell zu breit verfügbar bei Cloudflare-fronted Origins und wird von aktuellen Firefox- und Safari-Versionen honoriert, womit das SNI-Leck geschlossen wird, das DoH allein offenlässt. State Partitioning / Total Cookie Protection ist nun der Firefox-Standard statt einer Option, sodass die seitenübergreifende Speicher-Korrelation ohne manuelle Konfiguration eingedämmt wird. Und Brave liefert die Fingerprint-Randomisierung weiterhin standardmäßig aktiviert aus, was es zum reibungsärmsten Datenschutz-Standard für alle macht, die die Engine nicht wechseln.

Keine dieser Änderungen verändert die Kernaussage dieses Berichts. Speicher-Tracking wird zunehmend eingedämmt; Fingerprinting und Identität auf TLS-Ebene bleiben die ungelösten Fronten. Die Engine-Nachricht von 2026 ist vor allem eine Bestätigung, dass sich die Bedrohung dorthin verschoben hat, wo wir es sagten.

Schutzmaßnahmen im Vergleich: welche Schicht stoppt was

Datenschutz-Ratschläge scheitern am häufigsten, weil ein einzelnes Werkzeug als Komplettlösung verkauft wird. Das ist es nicht. Jede Schutzmaßnahme deckt bestimmte Fronten ab und lässt andere völlig offen. Die folgende Tabelle ordnet die gängigen Schutzmaßnahmen den vier Tracking-Fronten zu, damit du die Lücken siehst, bevor du dich auf eine einzelne Schicht verlässt.

SchutzmaßnahmeSpeicher-TrackingFingerprintingNetzwerk-IdentitätSensoren / Seitenkanäle
Privates / Inkognito-FensterTeilweise (nur Sitzung)NeinNeinNein
Volles uBlock Origin (Firefox)StarkTeilweiseNeinNein
Brave Shields (Randomisierung)StarkTeilweise (Rauschen pro Sitzung)NeinTeilweise (Berechtigungsmodell)
Tor / Mullvad (Uniformität)StarkStark (in der Masse aufgehen)Stark (Tor) / Teilweise (Mullvad)Stark
VPNNeinNeinStark (IP) / Teilweise (TLS JA4 leckt weiter)Nein
Verschlüsseltes DNS (DoH/DoT) + ECHNeinNeinTeilweise (Resolver-Pfad + SNI)Nein
iOS / macOS Lockdown-ModusTeilweiseStark (JIT aus, API-Oberfläche reduziert)NeinStark

Zwei Lesarten machen die Tabelle handlungsfähig. Erstens: keine Zeile ist über alle vier Spalten grün – selbst Tor lässt eine Rest-Sensoroberfläche auf Mobilgeräten, und ein VPN tut nichts für die Browser-Engine. Zweitens sind die Spalten additiv: Man stapelt eine Netzwerk-Schicht (VPN oder verschlüsseltes DNS) mit einer Engine-Schicht (einem Datenschutz-Browser), weil sie orthogonale Fronten schützen. Deshalb behandelt unser VPN-Leitfaden für Browser-Privatsphäre das VPN als eine Schicht in einem Stapel statt als eigenständige Lösung, und deshalb begleitet der Leitfaden zu DNS-over-HTTPS-Implementierungen die Browser-Härtung, ohne sie zu ersetzen.

Das ehrliche Fazit: Wähle eine Schutzmaßnahme pro Front, akzeptiere, dass kein Produkt alle vier abdeckt, und überprüfe den Stapel bei jedem größeren OS- und Browser-Release, weil Standards driften.

Was wir für 2026 empfehlen

Eine Entscheidungsmatrix schlägt eine einzelne Empfehlung. Ordnen Sie sich einem von vier Profilen zu und handeln Sie entsprechend.

Profil A - Datenschutzbewusster allgemeiner Nutzer. Sie lesen Nachrichten, nutzen Streaming-Dienste, machen Online-Banking, haben keine spezifischen Gegner. Verwenden Sie Brave auf Ihrem täglichen Gerät mit Shields auf Standardeinstellung. Setzen Sie Ihr OS-DNS auf Cloudflare 1.1.1.1 oder Quad9 über DoH. Verwenden Sie ein renommiertes VPN nur für Reisen und öffentliches WLAN. Installieren Sie vollständiges uBlock Origin, wenn Sie zu Firefox wechseln können; andernfalls uBO Lite plus ClearURLs auf Brave. Aktivieren Sie den Lockdown-Modus nicht. Installieren Sie NoScript nicht. Wartungskosten: 10 Minuten pro OS-Version.

Profil B - Techniker, Entwickler, sensibler Arbeitgeber. Ihre Arbeit oder Ihr Arbeitgeber macht Sie zu einem wertvolleren Ziel. Verwenden Sie Firefox mit privacy.resistFingerprinting = true, DNS-over-HTTPS im strikten Modus, uBlock Origin, NoScript auf einer pro Ursprung erlaubten Liste und ein VPN, das ständig aktiv ist. Verwenden Sie Mullvad Browser für persönliches Surfen, wo Arbeitstelemetrie problematisch wäre. Überprüfen Sie installierte Erweiterungen alle sechs Monate. Wartungskosten: etwa 30 Minuten pro Monat.

Profil C - Journalist, Aktivist, Anwalt mit sensiblen Fällen. Sie bearbeiten Quellenmaterial oder Kundenmaterial, das ein echtes adversariales Bedrohungsmodell erfordert. Verwenden Sie Tor Browser für Quellenkontakt und sensible Recherchen. Verwenden Sie Mullvad Browser für alles, was sensibel, aber nicht anonymitätskritisch ist. Aktivieren Sie Lockdown-Modus auf Ihrem iPhone und Ihrem Mac. Verwenden Sie Signal für Nachrichten. Kompartimentieren Sie: Ein separates Gerät für Hochrisikoarbeiten ist keine Paranoia, es ist Hygiene. Wartungskosten: etwa 2 Stunden pro Monat plus eine jährliche Sicherheitsüberprüfung.

Profil D - Ingenieur, der ein datenschutzfreundliches Produkt betreibt. Sie bauen etwas für Nutzer, die sich kümmern. Über Ihre eigene Browsing-Haltung hinaus haben Sie Verantwortung. Standardmäßig auf Erstanalyse mit IP-Trunkierung setzen. Verwenden Sie serverseitiges Rendering, wo möglich, um clientseitige Skripte zu reduzieren. Überprüfen Sie vierteljährlich Drittanbieter-Skripte. Veröffentlichen Sie eine klare Datenschutzrichtlinie, die zu tatsächlichen Datenflüssen passt. Übernehmen Sie CSP-Regeln, die verhindern, dass Dritte Tracker nach der Bereitstellung injizieren. Wartung ist Teil der Ingenieurpraxis, kein Extra.

Für Nutzer, die ein einziges Erweiterungswerkzeug wünschen, das unabhängig vom Profil hilft, deckt die Lesezeichen-Sammlung, die wir pflegen einige Ein-Klick-Tools ab (sofortiger archive.org-Snapshot, sofortiger DNS-Resolver-Test, sofortiges Deaktivieren aller JS), die jedes der vier oben genannten Profile ergänzen.

In allen Profilen ist der Fehlerfall derselbe: einmal konfigurieren, zwei Jahre vergessen, hinter den Standardeinstellungen zurückfallen. Die Datenschutzhaltung ist eine Wartungspraxis, keine einmalige Einrichtung.

Methodik und Quellen

Diese Säule ist eine Synthese aus veröffentlichter Forschung, Herstellerdokumentation und Standardspezifikationen. Wir führen kein privates Messpanel durch; jede quantitative Behauptung ist entsprechend belegt oder eingeschränkt.

Fingerprinting-Entropiewerte. Die Entropiewerte in diesem Bericht stammen aus öffentlicher Forschung – hauptsächlich der EFF-Studie "How Unique Is Your Web Browser?" und dem Cover Your Tracks-Projekt sowie der breiteren veröffentlichten Fingerprinting-Literatur. Wir präsentieren sie als ungefähr (Canvas in der Größenordnung von 16 Bits, Audio in der Größenordnung von 11 bis 12 Bits), nicht als Dezimalzahlen, die wir selbst gemessen haben.

Browser-Vergleich. Die Browser-Bewertung vergleicht die aktuellen stabilen Versionen von Brave, Tor Browser, Mullvad Browser, LibreWolf und Firefox anhand ihrer veröffentlichten Funktionen und dokumentierten Standardeinstellungen sowie der standardmäßigen öffentlichen Benchmarks (Speedometer, JetStream), die jeder Leser auf seiner eigenen Hardware ausführen kann. Wo wir Leistungs-Kompromisse beschreiben (zum Beispiel JIT-off ist langsamer), ist die Richtung gut dokumentiert; wir veröffentlichen keine proprietären Benchmark-Zahlen.

Lockdown-Modus-Site-Ausfälle. Die qualitative Behauptung – dass ein kleiner und schrumpfender Anteil von Mainstream-Sites unter dem Lockdown-Modus verschlechtert wird – spiegelt Apples Dokumentation und weit verbreitetes Verhalten wider. Wir hängen keine genaue Erstparteizahl daran.

DNS-Resolver-Latenz. Die Latenzvergleiche sind ungefähr und richtungsweisend (Cloudflare typischerweise am schnellsten, Quad9 etwas langsamer, regionale Variation erwartet). Leser können ihre eigene Latenz mit öffentlichen DNS-Benchmarking-Tools messen; wir veröffentlichen keinen proprietären Probe-Datensatz.

Was wir nicht direkt gemessen haben. JA4 TLS-Fingerprinting-Zahlen stammen aus veröffentlichter Forschung; wir haben keine eigenen TLS-Messungen durchgeführt. Das Verhalten von Recall auf Windows 11 spiegelt das dokumentierte Verhalten von 2024 plus die Patches von 2025 wider; wir haben Recall nicht direkt getestet. Quantum-resistente TLS-Suiten werden nicht behandelt, da die Bereitstellung im Jahr 2026 noch zu inkonsistent ist, um sie sinnvoll zu beschreiben.

Wir streben an, diesen Bericht als Momentaufnahme Mitte 2026 genau zu halten und es jedem zu erleichtern, ihn anhand der zitierten öffentlichen Quellen zu überprüfen. Wenn eine Zahl hier mit einer neueren veröffentlichten Messung nicht übereinstimmt, behandeln Sie die neuere Quelle als maßgeblich.

Für tiefere Einblicke in spezifische Vektoren, die oben erwähnt wurden, siehe unseren Leitfaden zum Stand der Technik des Browser-Fingerprinting, der jeden aktiven und passiven Vektor mit Entropieschätzungen aus veröffentlichter Fingerprinting-Forschung abdeckt. Für eine bestehende Einzelmerkmal-Analyse, unsere iOS Lockdown-Modus-Analyse geht den JIT-off-Mechanismus von Anfang bis Ende durch. Für leichte In-Browser-Dienstprogramme, die jede Datenschutzhaltung ergänzen, siehe unsere Lesezeichen-Sammlung, unser Browser-Fingerprint-Test-Tool, um Ihre eigene Exposition zu messen, und unseren HTTP-Sicherheitsheader-Checker, um Ihre Web-Eigenschaften zu überprüfen.

Verwandte Leitfäden: Erweiterung des reMarkable Tablets mit Toltec und SSH (2026) und WebKit JIT.

Photo: Denny Müller - Unsplash (source)

Auch verfügbar in

FAQ

Ist der private Modus im Jahr 2026 ausreichend für die Privatsphäre?
Nein. Inkognito- oder private Fenster verhindern nur lokale Verlauf- und Cookie-Persistenz. Sie tun nichts gegen Fingerprinting, IP-basiertes Tracking, DNS-Lecks oder serverseitige Korrelation. Behandeln Sie den privaten Modus als eine Funktion für gemeinsam genutzte Geräte, nicht als Datenschutzfunktion.
Welcher Browser bietet im Jahr 2026 den besten Datenschutz direkt nach der Installation?
Für die meisten Nutzer Brave mit Shields auf Standardeinstellungen. Für Hochrisikoprofile Tor Browser. Mullvad Browser ist der stärkste Mittelweg, wenn er mit einem No-Log-VPN kombiniert wird. LibreWolf ist das beste Firefox-Derivat für Nutzer, die einen gehärteten Build ohne manuelles Tuning wünschen.
Schützt ein VPN vor Browser-Fingerprinting?
Nein. Ein VPN maskiert Ihre IP-Adresse und den DNS-Pfad, ändert jedoch nicht Ihren User-Agent, Canvas-Signatur, Schriftarten oder hardwarebasierte Entropie. Fingerabdruck-Oberflächen und Netzwerkidentität sind orthogonal – Sie benötigen beide Schichten.
Was ist der größte Fingerprinting-Vektor im Jahr 2026?
Canvas plus WebGL plus Audiokontext, kombiniert. Veröffentliche Fingerprinting-Forschung (EFFs Panopticlick / Cover Your Tracks-Linie) zeigt, dass jede Oberfläche etwa 10 oder mehr Bits Entropie beiträgt. In Kombination mit User-Agent Client Hints und Zeitzone werden die meisten Nutzer innerhalb sehr großer Besucherpopulationen eindeutig identifizierbar.
Sind Manifest V3-Erweiterungen immer noch nützlich für die Privatsphäre?
Ja, mit Vorbehalten. uBlock Origin Lite unter Manifest V3 verliert dynamisches Filtern und CNAME-Uncloaking, sodass es etwa 90% von dem blockiert, was das vollständige uBlock Origin früher tat. Firefox unterstützt immer noch die MV2-Version. Für Desktop-Datenschutz bleibt Firefox plus vollständiges uBO die stärkste Kombination.
Zerstört der Lockdown-Modus das Web?
Teilweise. iOS 18 Lockdown-Modus deaktiviert JIT, WebAssembly, komplexe Schriftarten-Rendering und mehrere APIs. Ein kleiner und schrumpfender Anteil von Mainstream-Sites zeigt verschlechterte Funktionalität. Der Kompromiss ist real und beabsichtigt.
Wie weiß ich, ob mein DNS leckt?
Führen Sie eine kontrollierte Abfrage gegen einen Orakel-Resolver wie einen der öffentlichen DNS-Leak-Testdienste durch und überprüfen Sie dann mit tcpdump auf UDP/53 und TCP/853. Wenn Sie nach der Aktivierung von DoH Abfragen sehen, die Ihren ISP erreichen, umgeht der Browser den System-Resolver und verwendet seinen eigenen – deaktivieren Sie browserseitiges DoH und verlassen Sie sich auf das OS oder Ihren benutzerdefinierten Resolver.
Ist DNS über HTTPS besser als DNS über TLS?
DoH ist schwerer zu blockieren, da es auf Port 443 zusammen mit normalem HTTPS-Verkehr läuft. DoT verwendet Port 853 und ist für Netzwerkbetreiber leichter zu identifizieren und zu filtern. Für Client-Geräte gewinnt DoH in Bezug auf Zugänglichkeit. Für Infrastruktur ist DoT sauberer.
Sollte ich JavaScript vollständig für die Privatsphäre deaktivieren?
Nur für ein gehärtetes Profil. Die meisten Fingerprinting-Vektoren erfordern JavaScript, sodass das Deaktivieren die große Mehrheit des passiven Trackings eliminiert. Der Nachteil ist, dass ein großer Teil des modernen Webs unbrauchbar wird. Ein vernünftiger Mittelweg ist NoScript mit pro Ursprung erlaubten Regeln.
Schützt privates DNS auf iOS oder Android vor Fingerprinting?
Nein. Privates DNS betrifft nur den Resolver-Pfad. Es ändert nichts innerhalb des Browsers. Es ist eine von drei unabhängigen Schichten – Netzwerk, Browser-Engine, Anwendung – die alle ihre eigene Härtung benötigen.
Hat Chrome die Drittanbieter-Cookies jemals fertig entfernt?
Nein. Im Juli 2024 kündigte Google an, die Drittanbieter-Cookies in Chrome nicht zwangsweise abzuschaffen und stattdessen ein Nutzerwahl-Modell beizubehalten; im April 2025 bestätigte es, auch keinen eigenständigen Opt-out-Bildschirm auszuliefern. In 2026 existieren Drittanbieter-Cookies in Chrome also weiterhin standardmäßig, während Safari, Firefox und Brave sie blockieren. Deshalb bleibt Fingerprinting – nicht die Cookie-Abschaffung – das dominierende browserübergreifende Tracking-Problem.
Soll ich einen Randomisierungs- oder einen Uniformitäts-Browser wählen?
Wähle Uniformität (Tor Browser oder Mullvad Browser), wenn Anonymität das Ziel ist: Alle Nutzer sehen identisch aus, du verschmilzt mit der Masse – zum Preis eines festen Fensters, keiner Erweiterungen und deaktiviertem JIT. Wähle Randomisierung (Brave, LibreWolf) für den Alltag, wenn du wenig Reibung und Rauschen pro Sitzung statt echter Anonymität willst. Das sind unterschiedliche Bedrohungsmodelle, keine besseren oder schlechteren Versionen derselben Sache.