TechTok #9. Was sind Browsererweiterungen — und was macht eigentlich eine Firewall?
Als wir unsere TechTok-Serie im Dezember gestartet haben, wollten wir damit vor allem eines erreichen: Ihre Fragen rund um Werbeblocker und Datenschutz direkt beantworten. Die Idee war einfach — Sie fragen, wir antworten. Und das hat bei den ersten acht Ausgaben wunderbar funktioniert — dank Ihrer vielen Fragen, die Sie uns über dieses Online-Formular geschickt haben.
Heute machen wir allerdings eine kleine Ausnahme.
Diesmal stammen beide Fragen von Andrey Meshkov, dem CTO und Mitgründer von AdGuard. Ihm ist aufgefallen, dass bestimmte technische Begriffe zwar oft verwendet, aber selten verständlich erklärt werden. Zeit also, das nachzuholen. Fangen wir mit der ersten Frage an:
Wie funktionieren eigentlich Browsererweiterungen?
Zuerst sollten wir kurz klären, was Browsererweiterungen überhaupt sind. Ganz einfach gesagt: Es sind kleine Programme, die in Ihrem Browser laufen und das Surfen auf verschiedene Weise verändern. Diese kleinen Symbole neben der Adresszeile? Genau — das sind Erweiterungen. Manche ändern nur, wie Links geöffnet werden oder kopieren automatisch Text. Andere gehen viel weiter: Sie blockieren Werbung und Tracker, funktionieren als VPN oder helfen mit KI beim Schreiben und Zusammenfassen von Texten.
Normalerweise reicht es, zu wissen, wie man Erweiterungen installiert. Aber wie funktionieren sie im Hintergrund? Werfen wir einen Blick darauf.
Das Entscheidende steckt schon im Namen: Browsererweiterung. Sie funktionieren nicht allein, sondern nur in Kombination mit dem Browser. Im Mittelpunkt steht dabei etwas, das APIs genannt wird — kurz für Application Programming Interfaces. Diese Programmierschnittstellen werden vom Browser bereitgestellt und ermöglichen es Erweiterungen, auf bestimmte Funktionen und Daten zuzugreifen — aber nur mit Ihrer Erlaubnis.
Ein Beispiel: Gibt es eine API, um Tabs zu öffnen oder zu schließen, kann die Erweiterung genau das tun — vorausgesetzt, sie hat die nötige Berechtigung.
Je mehr eine Erweiterung kann oder möchte, desto mehr Zugriffsrechte braucht sie. Deshalb lohnt es sich, beim Installieren neuer Erweiterungen genau hinzuschauen, welche Berechtigungen angefordert werden. Doch dazu später mehr.
In der Regel stellt jeder Browserhersteller eigene Schnittstellen (APIs) zur Verfügung, die speziell auf den jeweiligen Browser zugeschnitten sind. Deshalb kommt es oft vor, dass eine Erweiterung für Chrome nicht in Safari funktioniert — oder umgekehrt.
Ideal ist das natürlich nicht. Deshalb gibt es seit einiger Zeit Bestrebungen, diese Schnittstellen zu vereinheitlichen. Ein gutes Beispiel dafür ist die WebExtensions API. Sie wird inzwischen von allen großen Browsern wie Chrome, Firefox und Safari unterstützt. Dadurch können Entwickler Erweiterungen erstellen, die mit nur wenigen Anpassungen in mehreren Browsern laufen.
Ganz so einfach ist es aber nicht immer. Oft steckt viel Aufwand dahinter, eine Erweiterung wirklich reibungslos auf verschiedenen Plattformen zum Laufen zu bringen — und nicht jeder hat Zeit oder Ressourcen dafür.
Um noch einmal auf das Thema Sicherheit zurückzukommen: Lassen Sie uns über die Einschränkungen sprechen, die Browser für Erweiterungen vorsehen. Browsererweiterungen werden in sogenannten Sandboxes ausgeführt. Das heißt: Sie laufen in einer geschützten Umgebung. Dort haben sie nur Zugriff auf bestimmte, klar definierte Funktionen des Browsers — aber keinen direkten Zugriff auf das Betriebssystem oder andere Programme.
Jede Erweiterung enthält eine sogenannte Manifest-Datei. In dieser Datei wird festgelegt, welche Berechtigungen die Erweiterung benötigt — zum Beispiel, um Inhalte von Webseiten zu verändern oder Downloads zu starten. Der Browser überprüft dann bei der Installation, ob die angeforderten Rechte erlaubt sind. Alles, was darüber hinausgeht, wird blockiert. Selbst wenn eine Erweiterung also kompromittiert wird, sind die Möglichkeiten für Schaden begrenzt — zumindest in der Theorie.
Immer wieder wird davor gewarnt, Erweiterungen außerhalb der offiziellen Stores zu installieren – und das aus gutem Grund. Wenn eine Erweiterung im Chrome Web Store oder bei Firefox eingereicht wird, durchläuft sie einen Prüfprozess. Die Entwickler müssen dabei erklären, warum ihre Erweiterung bestimmte Rechte benötigt. Wenn die angeforderten Berechtigungen nicht zum Funktionsumfang passen, kann die Erweiterung abgelehnt werden.
Dieser Prüfprozess ist allerdings nicht unfehlbar. Es gibt zahlreiche Beispiele dafür, dass Erweiterungen trotz Freigabe später bösartig wurden — und Nutzerdaten gestohlen oder noch schlimmeres angerichtet haben. Deshalb ist es wichtig, sich immer genau anzuschauen, welche Berechtigungen eine Erweiterung anfordert — bevor Sie sie installieren.
Zum Thema Sicherheit gehört auch der Wechsel von Chrome auf die neue Erweiterungsplattform Manifest V3. Wir haben dazu schon viel geschrieben und auch bei verschiedenen Veranstaltungen, etwa dem Ad-Filtering Dev Summit, darüber gesprochen.
Für Entwickler — besonders im Bereich Werbeblocker — bringt Manifest V3 viele Einschränkungen mit sich. Aber: Was die Sicherheit betrifft, ist der Schritt verständlich. Erweiterungen dürfen künftig keinen beliebigen oder externen Code mehr ausführen. Alles muss vorher geprüft und im Paket enthalten sein. Das sollte — wenn auch nicht alle, so doch viele — Sicherheitsrisiken deutlich verringern.
Kommen wir zur nächsten Frage:
Was ist eigentlich eine Firewall?
Das ist eine dieser Fragen, über die man locker zehn Seiten schreiben könnte — wenn man wirklich alle Details abdecken wollte. Aber statt in die Tiefe abzutauchen, konzentrieren wir uns lieber auf das Wesentliche.
Fangen wir mit der naheliegendsten Frage an: Warum heißt das überhaupt „Firewall“?
Der Begriff stammt ursprünglich gar nicht aus der IT-Welt. Er war lange vor dem Internet in Gebrauch — und zwar im ganz wörtlichen Sinne: Eine Firewall war früher einfach eine feuerfeste Wand, die verhindern sollte, dass sich ein Brand im Gebäude ausbreitet. Solche Wände bestehen meist nur aus massivem Material, sind besonders dick und haben keine Fenster oder Öffnungen, durch die sich Flammen ausbreiten könnten.
Und was hat das mit Computern zu tun?
In Computernetzwerken tauchten Firewalls erstmals Ende der 1980er-Jahre auf. Und die Idee dahinter war ganz ähnlich: Etwas soll daran gehindert werden, sich unkontrolliert auszubreiten — in diesem Fall unerwünschter oder schädlicher Datenverkehr im Netzwerk.
Die erste Generation von Firewalls wurde als Paketfilter bezeichnet. Diese arbeiteten auf der Netzwerkebene und untersuchten den Datenverkehr, indem sie einzelne Pakete analysierten — also die kleinen Datenstücke, in die Informationen auf dem Weg durchs Internet zerlegt werden.
Paketfilter trafen ihre Entscheidungen anhand bestimmter Merkmale: zum Beispiel der IP-Adresse von Absender und Empfänger, der verwendeten Ports oder des Transportprotokolls. Ob Daten durchgelassen oder blockiert wurden, hing von festen Regeln ab, die vorher definiert waren.
In den frühen 1990er-Jahren kamen die ersten Stateful Firewalls auf — eine deutlich weiterentwickelte Form. Im Gegensatz zu den einfachen Paketfiltern betrachteten sie nicht nur einzelne Pakete, sondern konnten Verbindungen über längere Zeit hinweg mitverfolgen. Diese Firewalls „merkten sich“, ob ein Paket zu einer bereits bestehenden Verbindung gehörte oder einfach aus dem Nichts kam. So konnten sie viel gezielter entscheiden, ob eine Datenübertragung erlaubt werden sollte oder nicht.
Mit dem Aufstieg von Webanwendungen wurden auch Application Layer Firewalls entwickelt. Sie arbeiten — wie der Name schon sagt — auf der Anwendungsebene (Application Layer). Dadurch können sie Datenverkehr erkennen und filtern, der zu bestimmten Diensten gehört, etwa HTTP (für Laden von Websites) oder DNS (zur Auflösung von Domainnamen in IP-Adressen).
Ab etwa 2008 begannen moderne Firewalls auch, Deep Packet Inspection (DPI) zu nutzen. Dabei wird nicht nur der Header eines Pakets betrachtet, sondern auch dessen Inhalt — also die eigentlichen Daten, die übertragen werden.
Firewalls können auf unterschiedliche Weise umgesetzt werden. Es gibt:
- Hardware-Firewalls — physische Geräte, die an der Grenze eines Netzwerks sitzen und dort den Datenverkehr filtern (wie etwa ein Router zu Hause).
- Software-Firewalls — Programme, die direkt auf einem Gerät laufen und ein- und ausgehende Verbindungen überwachen (zum Beispiel die Windows Defender Firewall).
- Virtuelle oder Cloud-Firewalls — sie laufen nicht auf einem bestimmten Gerät, sondern in der Cloud und schützen Netzwerke oder Geräte unabhängig von der verwendeten Hardware.
Nun wollen wir eine Frage beantworten, die Sie vielleicht interessiert. Ist AdGuard Werbeblocker eine Firewall? Kurz gesagt: AdGuard ist kein Firewall-Tool im klassischen Sinne. Aber unsere Apps beinhalten durchaus Firewall-Funktionen. In AdGuard für Android gibt es ein eigenes Firewall-Modul, mit dem Sie genau steuern können, welche Apps auf Ihrem Gerät ins Internet dürfen — und welche nicht.
Das ist besonders dann hilfreich, wenn sich eine App verdächtig verhält, zum Beispiel im Hintergrund Daten sendet, obwohl Sie sie gar nicht benutzen.
Mit dem Firewall-Modul von AdGuard für Android können Sie:
- den Internetzugriff für einzelne Apps blockieren
- verhindern, dass Apps im Hintergrund Daten senden, wenn der Bildschirm aus ist
- mobile Daten im Roaming gezielt ausschalten
Und das alles, ohne Root-Zugriff oder komplizierte Systemeinstellungen.
Sie behalten die volle Kontrolle — einfach und direkt.
Firewalls können durchaus nützlich sein — etwa um Ihr Heimnetzwerk zu schützen oder um auf Ihrem Gerät mehr Kontrolle über Datenschutz und Sicherheit zu bekommen. Aber oft wird der Begriff „Firewall“ inzwischen mit einem ganz anderen Thema in Verbindung gebracht: Zensur. Das liegt vor allem an der Berühmtheit der sogenannten „Great Firewall of China“.
Dabei handelt es sich um ein groß angelegtes, staatlich betriebenes Zensursystem. Ziel ist es, den Zugang zu ausländischen Internetinhalten aus dem Inland heraus stark einzuschränken — darunter Dienste wie Google, Facebook, Twitter oder YouTube.
Technisch setzt die Great Firewall auf eine Kombination verschiedener Methoden. Dazu gehören etwa DNS-Spoofing, die Filterung nach bestimmten Schlüsselwörtern in URLs, Deep Packet Inspection (DPI) sowie das gezielte Fälschen von Datenpaketen, um den Datenverkehr zu unterbrechen oder umzuleiten.
China ist dabei nicht allein. Auch in anderen Ländern gibt es staatlich kontrollierte Systeme, die unter dem Vorwand der Sicherheit eingesetzt werden — in Wahrheit aber vor allem der Zensur dienen.
Doch das ist ein Thema, dem wir uns besser in einem eigenen Artikel widmen.
