Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 13 Min.

Sieben kostenfreie Werbefilter im Vergleich: Werbung unerwünscht


Linux Magazin - epaper ⋅ Ausgabe 9/2020 vom 06.08.2020

Blocker gegen aufdringliche Werbung gehören heute zur Grundausstattung. Dieser Artikel vergleicht sieben kostenfreie Werbefilter und deren Integration ins Netzwerk.

Artikelbild für den Artikel "Sieben kostenfreie Werbefilter im Vergleich: Werbung unerwünscht" aus der Ausgabe 9/2020 von Linux Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Linux Magazin, Ausgabe 9/2020

© Anastasiia Bobko,123RF

Wer nicht wirbt, der stirbt! Dieses Motto, das Henry Ford zugeschrieben wird, könnte auch Leitspruch vieler Webseiten sein, die dank der Werbeeinnahmen ihre Inhalte für Besucher kostenlos anbieten.

Manche von ihnen übertreiben es allerdings, und im Browser häufen sich Popups, Videoschnipsel und Produktplatzierungen.

Erscheinen die redaktionellen Inhalte dann nur noch als Beiwerk, wird es für den Betrachter Zeit, die ...

Weiterlesen
epaper-Einzelheft 5,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Linux Magazin. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 9/2020 von Das alles und mehr. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Das alles und mehr
Titelbild der Ausgabe 9/2020 von News. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News
Titelbild der Ausgabe 9/2020 von Zahlen & Trends. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Zahlen & Trends
Titelbild der Ausgabe 9/2020 von Kernel-Entwicklung verfolgen und Kernel testen: Wellenreiter. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Kernel-Entwicklung verfolgen und Kernel testen: Wellenreiter
Titelbild der Ausgabe 9/2020 von Hobby-Kernel mit Bochs und Qemu entwickeln: Nur ein Hobby. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hobby-Kernel mit Bochs und Qemu entwickeln: Nur ein Hobby
Titelbild der Ausgabe 9/2020 von Greg Kroah-Hartman im Interview: Erste Schritte. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Greg Kroah-Hartman im Interview: Erste Schritte
Vorheriger Artikel
Bücher über Visualisierung und unüberwachtes Lerne…
aus dieser Ausgabe
Nächster Artikel Prozesse nach Zeitpunkt finden: Auf Geisterjagd
aus dieser Ausgabe

... Werbung auszufiltern.

Der Filter kann dabei auf jedem einzelnen Endgerät ansetzen oder für alle Clients im Netz an zentraler Stelle die Werbung unsichtbar machen. Dieser Artikel vergleicht Werbeblocker, die im Router oder als zusätzliches Gerät im Netz agieren. Die Endgeräte benötigen dann keine zusätzliche Software.

Die Anforderungen

Der Werbekiller sollte auf einer kostengünstigen Hardware oder direkt im vorhandenen Router laufen. Eine wichtige Anforderung ist: Eigene Änderungen an den Sperrlisten müssen möglich sein, damit sich der Anwender helfen kann, falls die Software zu viel (oder zu wenig) wegfiltert.

Dem Werbefilter müssen außerdem deutsche Webseiten geläufig sein. Die beste Software hilft nichts, wenn sie die regionale Reklame nicht erkennt. Und schließlich soll der Werbeblocker, dazu aufgefordert, Zugriffe auf Webseiten mit dubiosen Inhalten oder Erwachsenenunterhaltung bei Bedarf unterbinden.

Die Kandidaten

Die Probanden kommen in Form von Addons für ein vorhandenes (Router-) Betriebssystem oder als zusätzliche Hardware.

Der bekannteste Bewerber Pi-hole muss sich dem Herausforderer Adguard Home und dem Außenseiter eBlocker stellen. Für Netze mit einer Firewall mit pfSense, OPNsense oder OpenWrt gesellen sich pfBlockerNG, Unbound-Plus oder Adblock dazu.

Alle in Tabelle 1 aufgeführten Kandidaten sind kostenfrei und bedienen sich an kostenlosen Sperrlisten. Falls keine geeignete Hardware im lokalen Netz zur Verfügung steht, fallen Kosten für einen Mini-Computer an. Das könnte etwa ein Raspberry Pi sein.

1 Was geht und was nicht? Pi-hole weiß, welche Webseiten am häufigsten angefragt und geblockt wurden.


Schwarze Löcher

Die meisten Werbefilter arbeiten nach demselben Prinzip: Sie integrieren sich als DNS-Server ins Netz und beantworten die entsprechenden Anfragen der Clients. Die Endgeräte bitten den neuen DNS-Server um Namensauflösung und erhalten die hinterlegte IP-Adresse.

Im Unterschied zu einem herkömmlichen DNS-Server beantwortet der Werbeblocker aber jene DNS-Anfragen mit Achselzucken, die auf seiner schwarzen Liste stehen (DNS-Sinkhole). Aus der Sicht der Clients gibt es diese Webseite dann nicht, und der Browser kann die Werbeeinblendung nicht laden.

Woher weiß der Werbefilter, dass eine DNS-Anfrage zu einer Werbedomäne führt? Dazu bedient sich die Software öffentlich verfügbarer Listen, die Webadressen und Domänen für Reklame sammeln. Diese schwarzen Listen funktionieren ähnlich wie Spam-Listen für E-Mailserver.

Pi-hole

Der wohl bekannteste Vertreter der freien Werbeblocker ist Pi-hole. Er besticht durch einen Installationsassistenten, den man auch Linux-Einsteigern zumuten kann.

Nach einer kurzen Frage-Antwort-Runde hinterlässt der Installer einen vorkonfigurierten Reklamefilter und verweist auf die lokale Webseite zur Administration und Auswertung. Mehr ist auf der Kommandozeile nicht zu tun, der Rest erfolgt über besagte Webseite. Über voreingestellte Sperrlisten lädt Pi-hole automatisch knapp 125 000 Einträge in seinen DNS-Dienst und beginnt mit der Arbeit.

Pi-hole wurde für den Raspberry Pi konzipiert, läuft aber auch auf anderen Einplatinenrechner oder als virtuelle Maschine. Selbst in großen Umgebungen macht dieser Dienst eine gute Figur: In einem Feldversuch lief er in einem Unternehmensnetz mit etwa 1200 Clients ohne Leistungseinbußen oder Ausfälle.

Die Auswertung von Pi-hole liefert Statistiken in Echtzeit. Die Graphen in Abbildung 1 zeigen die DNS-Belastung aller Clients innerhalb der letzten 24 Stunden und die Top Ten der erlaubten und blockierten Webseiten.

Fazit

Das gut dokumentierte Pi-hole lässt sich leicht installieren und funktioniert sofort. Es hat wenige Stellschrauben und eignet sich damit auch für Einsteiger. Seit Kurzem kann es seine Clients unterschiedlich behandeln und einzelne Endgeräte mit besonderem Schutz versorgen, etwa die Smartphones Minderjähriger.

Adguard Home

Die Adguard Software Limited begann mit der Entwicklung von Werbeblockern für Webbrowser und weitete danach ihr Konzept mit Adguard Home auf netzwerkseitige Blockierer aus. Die Software bevorzugt keine bestimmte Hardware und eignet sich für alle Mini-Computer, die Linux oder BSD mitbringen. Daneben kann der Werbeblocker huckepack auf einer bestehenden Firewall mitlaufen.

Nach dem ersten Start von Adguard Home in der Konsole verweist die Kommandoausgabe auf eine lokale Webadresse.

Die begleitet den Anwender durch die weitere Konfiguration. Nach dem letzten Schritt ist der Adguard-Prozess einsatzbereit und läuft als DNS-Server mit aktiver Sperrliste. Bis hierhin lässt sich kaum ein Unterschied zu Pi-hole erkennen. Die voreingestellten Sperrlisten erweisen sich jedoch für den deutschen Markt als etwas löchrig. Hier empfiehlt sich die deutsche Ergänzung in Form von Easylist .

Adguard Home schert nicht alle Clients über denselben Kamm, sondern vermag bestimmte Endgeräte gesondert zu behandeln.

Damit lassen sich einzelne Clients oder IP-Bereiche von Erwachseneninhalten ausschließen oder SafeSearch erzwingen 2. Darüber hinaus sperrt Adguard Home im Bedarfsfall Dienste wie Steam, Netflix oder Skype wahlweise pro Client oder für alle.

Fazit

Adguard Home eignet sich optimal für Umgebungen mit unterschiedlichem Schutzbedarf. Einzelne Clients lassen sich mit Jugendschutz, Internet-Sicherheit oder SafeSearch einschränken. Die schwache Unterstützung für den deutschen Markt kann man mit einer zusätzlichen Sperrliste leicht und schnell ausgleichen.

NxFilter

Die vollwertige DNS-Appliance NxFilter kann nach Kategorien wie auch anhand von Richtlinien filtern. Bei der Rubrik Werbung handelt es sich um nur eine von zahlreichen Kategorien, die die Software aus den DNS-Antworten ausblenden kann.

NxFilter basiert auf Java und läuft damit sowohl unter Linux als auch unter Windows und MacOS. Es steht unter einer kommerziellen Linux-Lizenz, die bis 25 Clients kostenfrei bleibt. In der Voreinstellung arbeitet es als regulärer DNS-Server und filtert nichts.

Über die Weboberfläche von NxFilter lassen sich Richtlinien anlegen, die bestimmte Kategorien oder Schlagwörter ausfiltern. Die erstellten Richtlinien gelten für einzelne Clients oder für bestimmte Anwender einer Active-Directory- Domäne. Die Integrationsmöglichkeit mit Active Directory, OpenLDAP oder RADIUS macht deutlich, dass sich NxFilter in Unternehmensnetzen wohlfühlt.

Aber auch für den Heimgebrauch ist der Kategoriefilter durchaus reizvoll: Damit bleiben beispielsweise Webseiten über Alkohol, Tabak und Glücksspiel für die Smartphones der minderjährigen Kinder unerreichbar.

Im Auslieferzustand verwendet NxFilter keine Sperrlisten, sondern vergleicht die angesurfte Domäne mit vordefinierten Mustern und findet damit die hinterlegte Kategorie. Diese Suchmuster lassen sich flexibel anpassen und stellen auf diese Weise ein Alleinstellungsmerkmal von NxFilter dar.

Fazit

NxFilter kann fein abgestuft regeln, welcher Client auf welche Webseite oder welche Kategorie zugreifen darf. Für Heimnetze erscheint diese Granularität fast übertrieben. Trotz der möglichen Komplexität lässt sich NxFilter schnell installieren und mit einer einfachen Policy einrichten.

pfBlockerNG

Schützt eine pfSense-Firewall das eigene Netz, dann kann das Plugin pfBlockerNG den Werbeblocker liefern. Dessen Installation lässt sich über den integrierten Paketmanager der Firewall schnell abschließen.

Die Einrichtung ist aufwendiger, da pfBlockerNG weitere Filter für Geo-IP und Reputation mitbringt.

Nach dem Einbinden des Plugins in die Firewall eröffnet sich im webbasierten Menü noch eine Vielzahl zusätzlicher Möglichkeiten. Unter DNSBL findet sich der in der Voreinstellung abgeschaltete Werbefilter samt der Sperrlisten von Easylist 3.

pfBlockerNG kann mehr, als einen DNS-Server mit Sperrlisten im Netz bereitstellen. Das Plugin integriert sich in die Weboberfläche von pfSense und kann komplexe Richtlinien erstellen. Die damit konstruierten Firewall-Regeln filtern (oder erlauben) Datenverkehr aufgrund der Glaubwürdigkeit oder geografischen Herkunft einer Server-IP-Adresse. Neben diesen schicken Features hat pfBlockerNG auch die Basics drauf: zusätzliche Sperrlisten, eigene Ausnahmen und Protokollierung.

Seine Clients hat pfBlockerNG fest in der Hand, denn der Datenverkehr läuft durch die Firewall und nicht wie bei Pi-hole und Adguard daran vorbei. Aufgrund seiner zentralen Position lässt sich der Werbefilter nicht umgehen. Die Firewall- Richtlinie gilt für die angeschlossenen Geräte, ob sie es wollen oder nicht.

Damit eignet sich pfBlockerNG für Umgebungen, in denen die Anwender den Filter als Einschränkung auffassen und weniger als Beschützer.

2 Adguard Home behandelt seine Clients auf Wunsch individuell.


3 Das Addon pfBlockerNG für pfSense kann mehr als nur Werbung filtern.


Fazit

pfBlockerNG richtet sich ausschließlich an die Besitzer einer pfSense-Firewall. Das Plugin macht mit seinem Werbeblocker und Geo-IP-Filter die Firewall vielseitiger, aber ihre Konfiguration auch komplexer. Nach dem erfolgreichen Einrichten können sich die Clients an der Richtlinie nicht mehr vorbeimogeln. Neben pfBlockerNG läuft auf pfSense auch Adguard Home und kann die Firewall sinnvoll ergänzen.

Adblock

Adblock ist der Haus-und-Hof-Werbefilter des freien Router-Projekts OpenWrt. Er lässt sich als Paket nachinstallieren und integriert sich nahtlos in die Konfigurationsoberfläche. Vor dem Start bietet er eine Vielzahl von Sperrlisten, die sich nach Thema, Anbieter und Land untergliedern.

Die Funktionsweise unterscheidet sich nicht von der anderer Werbeblocker: Sperrlisten laden, DNS-Dienst damit betanken und ein wenig Statistik treiben.

Als einziger Kandidat kann Adblock eine E-Mail verschicken, falls der Werbeblocker auf Fehler stößt. Weiteres Feedback liefert der DNS-Anfragebericht, der die entsprechenden Requests zählt und nach blockierten und erlaubten Domänen unterteilt.

Die Kombi aus Adblock und OpenWrt arbeitet sehr speicherschonend. Damit eignet sich dieser Werbeblocker ideal für den Einsatz auf schmalbrüstigen Routern.

Wird der Arbeitsspeicher trotzdem knapp, bietet OpenWrt im Repository noch die speicheroptimierte Variante: Simple Adblock.

Fazit

Adblock ist ein vollwertiger, schmuckloser Werbefilter für einen OpenWrt-Router. Die Installation und Einrichtung bereiten keinerlei Probleme, auf der Konfigurationsseite sind die meisten Häkchen bereits gesetzt. Die bemerkenswert breite Auswahl an Sperrlisten berücksichtigt insbesondere auch deutsche Webseiten. Logging und Reporting beschränken sich auf das Nötigste, was für die Zielgruppe der eingebetteten Systeme von Vorteil ist.

Unbound-Plus

Bei Unbound-Plus handelt es sich um einen Zusatz für OPNsense-Firewalls. Die Software holt sich verschiedene Sperrlisten aus dem Internet und betankt damit den lokalen DNS-Server Unbound.

Zusammen ergibt das einen schlichten Werbefilter, der sich allerdings noch im Entwicklungsstadium befindet und bei dessen Einrichtung es gelegentlich noch hakelt.

Unbound-Plus integriert sich in die Webseite der OPNsense-Box. In der Konfiguration wählt der Admin aus 24 voreingestellten Sperrlisten aus und fügt bei Bedarf noch eigene hinzu 4. Die Entscheidung gilt stets für alle Clients im Netz, bestimmte Endgeräte lassen sich nicht davon ausnehmen.

Darüber hinaus vermisst der Anwender auch Statistiken zum Werbefilter und die Möglichkeit, schnell eine Ausnahme einzurichten, für den Fall, dass der Filter eine Webseite einmal unpassend klassifizieren sollte.

4 OPNsense liefert einen funktionalen Werbeblocker als Addon.


Fazit

Unbound-Plus beschert einer vorhandenen OPNsense-Firewall einen simplen Werbeblocker. Neben den Sperrlisten bietet das Plugin nicht viele Features, was dem unfertigen Entwicklungsstand geschuldet sein dürfte. Steht Stabilität im Fokus, kann auf der Firewall auch Adguard Home laufen und zusammen mit OPNsense das Netz beschützen.

eBlocker

Angefangen hat eBlocker als kommerzielles Unternehmen, seit 2020 ist es ein kostenfreies Open-Source-Projekt. Die Stärke von eBlocker liegt nicht nur im Filtern von Werbung, die Software ermöglicht auch das anonyme Surfen und den Jugendschutz. Sie kommt als vorbereitetes Image für den Raspberry Pi oder den Banana Pi, weitere Plattformen sind nicht im Angebot.

Die Entwickler preisen eBlocker als Plug-and-Play- Lösung für Heimnetze an. Nach Aussage des Marketings schützt die Software alle Nutzer im Netz, sobald man sie anschließt. Wer etwas mehr Feedback von der eierlegenden Wollmilchsau wünscht, den informiert eBlocker via Webseite über die beschützten Geräte, Filterlisten und Kategorien.

Von allen getesteten Werbefiltern greift eBlocker am gravierendsten in die Kommunikation ein. Das neue Gerät fungiert für andere Clients als Standard-Gateway und kapert damit (gutwillig) sämtliche Internet-Anfragen der anderen Teilnehmer. Das macht die heimische Fritzbox allerdings keineswegs überflüssig, denn eBlocker schickt die Anfragen nach gründlicher Überprüfung über sie weiter in Richtung Internet.

Als klassischer Man-in-the-Middle (MITM) kann checkt eBlocker die durchfließenden Datenpakete auf Werbung und Malware. Auf verschlüsselte Verbindungen reagieren die Macher mit TLS-Inspection - damit vermag eBlocker sogar in HTTPS-Verbindungen hineinzuschnüffeln.

Dieses Feature ist allerdings nicht automatisch aktiv und erfordert auf jedem Endgerät ein Zertifikat, das eBlocker für die Deep-Packet-Inspection autorisiert. Zur Anonymisierung leitet eBlocker den Traffic gegebenenfalls über einen VPN-Provider oder durchs Tor-Netz.

Auf der Schattenseite erhält eBlocker tiefen Einblick in die Datenkommunikation und sieht damit auch Passwörter, Banküberweisungen und vertrauliche Informationen. Da der Dienst bereits im Kommunikationspfad sitzt, spuckt der Webbrowser keine Zertifikatswarnung aus, wenn tatsächlich ein MITM-Angriff stattfindet.

Darüber hinaus schützt der eBlocker nur Clients, die er im lokalen Ethernet-Segment gefunden hat. Clients in anderen Netzen (Wi-Fi, Gästenetz) bleiben davon unberührt und surfen ungeschützt im Internet. Schließlich spielen auch nicht alle Heim-Router mit eBlocker zusammen, und je nach Modell und Hersteller wandelt sich Plug-and-Play in eine manuelle Einrichtung.

Fazit

Um die Kommunikation der Clients an sich zu reißen, greift eBlocker zu krassen Werkzeugen: Der gewollte Man-in-the- Middle nutzt zum Schutz seiner Clients vor Malware, Werbung und Datensammlern eine Kollektion aus ARP-Spoofing, SSL-Bumping und DNS-Blocking. Er erweist sich damit als ideale Ergänzung, wenn der DSL-Router die einzige Verteidigungslinie im Netz darstellt. Zudem setzt eBlocker die zwischen Eltern und Kindern vereinbarten Internet-Regeln konsequent durch.

Damit es funktioniert

Damit die vorgestellten Werbeblocker funktionieren, müssen die Clients den neuen DNS-Server für ihre Namensauflösung oder als ihr Default-Gateway verwenden. Erhalten die Endgeräte ihre IP-Adresse per DHCP zugewiesen, muss ab sofort der DHCP-Server in seinen Angeboten den neuen Werbeblocker als DNS-Server oder Gateway hinterlegen.

Bei statischen Adressen ist das händische Ändern in den IP-Einstellungen der jeweiligen Geräte angesagt.

In kleinen Umgebungen übernimmt in aller Regel der DSL-Router die Rolle des DHCP- und DNS-Servers. Falls dieser DSL-Router stets sich selbst als DNS-Server ankündigt, können die Clients den neuen DNS-Server nicht verwenden. In diesem Fall muss der DSL-Router seine DHCP-Aufgabe abgeben. Glücklicherweise können die Werbeblocker hier aushelfen: Alle untersuchten Systeme bieten einen DHCP-Server oder lassen sich zumindest entsprechend nachrüsten

5 Auf Wunsch verrät die Fritzbox ihren Clients einen neuen DNS-Server.


Eine Fritzbox, der wohl prominenteste DSL-Router für Heimnetze, verweist in Abbildung 5 auf den neuen Werbefilter als DNS-Server. Viele Modelle des berüchtigten Speedport bieten diesen Luxus nicht an, sodass der Werbeblocker als DHCP-Server einspringen muss.

Einen anderen Ansatz bevorzugt eBlocker, der sich selbst zum Default-Gateway macht. Damit kontrolliert er nicht nur die DNS-Anfragen, sondern hat Zugriff auf den kompletten Datenstrom. Auf Wunsch lugt die Schnüffelbox sogar in den HTTPS-Verkehr, wobei diese Option im Auslieferzustand inaktiv ist.

Im Eigenbau

Falls keines der vorgestellten Software-Projekte infrage kommt, lässt sich ein Werbefilter mit überschaubarem Aufwand selbst bauen. Hierfür muss man das Rad nicht neu erfinden, denn die vorgestellten Kandidaten verraten das Konzept: Sperrlisten herunterladen und den DNS-Server damit füllen.

Ein möglicher Aufbau besteht aus einem Raspberry Pi, den der Admin per LAN-Kabel mit dem restlichen Netz verbindet. Über die Kommandozeile kommt der DNS-Server Dnsmasq hinzu (Listing 1, erste Zeile). Es fehlt noch eine Sperrliste, die den DNS-Dienst zum Werbefilter macht. Um die Konvertierungsarbeit gering zu halten, empfiehlt sich eine Sperrliste, die bereits im passenden Format für Dnsmasq vorliegt (Zeile 2).

Dnsmasq lernt den Inhalt der Sperrliste durch einen Eintrag in seiner Konfiguration (Zeile 3 bis 5). Anschließend startet der Dienst neu (Zeile 6) und ist damit der neue Werbefilter.

Ob der Eigenbau tatsächlich Werbung aus Webseiten wegfiltert, vermag ein Browser zu zeigen. Da sich Dnsmasq auf dem Raspberry Pi via LAN erreichen lässt, kann ein Test-Client in seinen DNS-Einstellungen die IP-Adresse des RasPi eintragen. Danach sollten die persönlich bekannten Webseiten weniger Reklame enthalten.

Für das regelmäßige Update der Sperrliste hilft der übliche Verdächtige: Cron. Einen Nutzungsbericht schreibt Dnsmasq ins Journal, sobald der Prozess das Signal USR1 erhält (Listing 1, Zeile 7).

Optimal

Die vorgestellten Werbefilter erreichen zwar durch die Bank alle das gemeinsame Ziel - aber jede Software hat ihre ganz individuellen Stärken und passt in unterschiedliche Zielgruppen.

Pi-hole eignet sich für große Umgebungen aus Clients mit ähnlichem Schutzbedarf. Adguard Home dagegen waltet idealerweise in Netzen mit unterschiedlichem Schutzbedarf, beispielsweise im Heimnetz: Es versorgt Kinder mit SafeSearch und Jugendschutz, Gäste mit einem Werbefilter und die eigenen PCs mit Tracking-Schutz.

NxFilter ist fit für diffizile Richtlinien und umfangreiche Kategoriefilter mit Anbindung an einen Directory-Server.

Allerdings fallen ab 25 Usern für diesen Service Kosten an. pfBlockerNG passt, wenn bereits eine pfSense-Firewall im Einsatz ist: Dann kommt zum Werbeblocker noch Reputation und Geo-IP hinzu; vorbeimogeln kann sich niemand. Adblock punktet, wenn die verfügbare (Router-)Hardware zu wenig Arbeitsspeicher für einen „großen“ Werbefilter mitbringt. In kleinen Netzen mit hohem Schutzbedarf und Fokus auf Anonymisierung, Tracking und Jugendschutz spielt schließlich eBlocker seine Trümpfe aus.

Grenzen

Die Webseitenbetreiber platzieren ihre Werbung vorzugsweise so, dass Werbeblocker sie nur schwer oder gar nicht erkennen und die Markenbotschaft damit doch zum Anwender durchdringt. Reguläre Werbung lässt sich dennoch mit aktuellen Sperrlisten ausblenden.

Hartnäckige Reklame, die sich im verschlüsselten Datenstrom befindet, bleibt allerdings unerkannt (einzige Ausnahme: eBlocker). Hier müsste der Werbefilter via TLS-Inspection in den Datenstrom eingreifen und den Inhalt untersuchen - was zwar möglich, aber aufwendig und nicht ganz ungefährlich ist . Die Werbung in und vor Youtube-Clips bleibt damit ein kaum verhinderbares, nerviges 5-Sekunden-Übel.

Ein versierter Anwender kann den DNS-basierten Werbeblocker leicht umgehen, indem er in seinen IP-Einstellungen einen anderen DNS-Server konfiguriert. In diesem Fall punkten die Werbefilter, die auf einer Firewall aufsetzen. Diese vermag die Zugriffe auf andere DNS-Server zu unterbinden oder auf den gewünschten Werbefilter umzulenken. In einfachen Umgebungen mit Fritzbox und Pi-hole gelingt das nicht.

Knifflig wird die Situation, wenn der Webbrowser für die Namensauflösung einen DNS-Server im Internet bemüht und seine Anfragen mit DNS over HTTPS (DoH) verschlüsselt. Hier kann die Firewall nicht erkennen, ob der Client eine Webseite ansurft oder einen Hostnamen auflösen will.

Die populären Webbrowser unterstützen seit Kurzem DoH, wobei die Option in der Voreinstellung inaktiv ist. Wenn der Werbeblocker zukünftig die Clients beschützen soll, dann geht das nur ohne DoH. Ironischerweise unterstützen viele Werbeblocker DoH, aber nur zwischen der Filterbox und dem DNS-Server, nicht jedoch zwischen der Filterbox und den Geräten im Heimnetz.

In der Protokolldatei des DNS-Servers sammeln sich die aufgerufenen Domänen der Netzteilnehmer. Daneben finden sich an dieser Stelle auch die IP-Adressen der Clients, also personenbezogene Daten.

Hier sollte beim Admin die DSGVO-Glocke klingeln, denn das Speichern und Verarbeiten dieser Daten unterliegt dem Datenschutz. Neben der Möglichkeit, die Protokollierung gänzlich abzuschalten, kann Pi-hole in seinen Logs die Domäne, den Client oder beides weglassen .

Adguard Home anonymisiert auf Wunsch zumindest die IP-Adresse.

Adblocker aufspüren

Ein Werbefilter reduziert die finanziellen Einnahmen einer Webseite. Manche Webpräsenzen bitten ihre Kunden, den Werbeblocker abzuschalten, und hoffen auf Verständnis. Andersherum verweigern Webseiten wie Bild.de ihre Schlagzeilen, wenn der Betrachter die Werbung herausfischt. Werbeblocker lassen sich aufspüren.

Die Webseite schickt dem Browser ein Stückchen Javascript, das eine Reklame laden soll. Gelingt das nicht, ist offensichtlich irgendein Werbefilter im Spiel.

Auf diese Information kann der Webentwickler reagieren und die Inhalte einschränken oder eine Paywall einschalten.

Es gibt sogar Analytics-Dienste für Werbung. Sie bewerten, wie viele Benutzer in der Lage waren, die Werbung auszublenden, und welche Inhalte der Webseite tatsächlich sichtbar waren - quasi ein Google-Analytics, nur für Werbung.

Ausblick

Ein Werbefilter braucht nicht als Mini-Computer neben der Fritzbox zu stehen, sondern kann als Cloud-Dienst die eigenen Rechner beschützen. Ein Adblocker-as- a-Service bietet eine praktikable Alternative, wenn keine lokale Hardware erwünscht oder möglich ist. Die großen Anbieter OpenDNS oder Alternate DNS arbeiten genau wie der heimische Werbeblocker, wobei sich die Cloud-Anbieter nicht in die Karten (sprich: Sperrlisten) blicken lassen.

Ohne Cloud und Zusatz-Hardware geht es auch: Die Fritzbox kennt Filterlisten und kann damit den Zugriff auf (Werbe-) Seiten einschränken. Allerdings bekommt die Liste keine automatischen Updates, und bei 500 Einträgen ist Schluss. Dieser „Adblocker Light“ benötigt also ein gelegentliches händisches Nachtanken der Filterlisten.

Fazit

Werbung ist im Prinzip eine legitime Methode, um eine Webseite zu finanzieren.

Viele Anbieter übertreiben es jedoch, sodass die relevanten Inhalte in einer Flut bunter Popups untergehen. Für diese Art Webseiten lohnt sich ein Werbeblocker, der nervige Einblendungen verschwinden lässt.

Die meisten Werbekiller schützen darüber hinaus vor Datensammlern, blockieren Malware und filtern bei Bedarf jugendgefährdende Inhalte heraus. Damit gehört der Adblocker zum kleinen Einmaleins der Netzwerkerei.

Im Praxistest schlüpften übrigens einige Webseiten durchs Raster, die eigentlich am Kategoriefilter hätten hängen bleiben sollen. Ein pfiffiger Teenager oder ein pausenorientierter Mitarbeiter probiert alternative Webseiten und überlistet damit womöglich auch den Jugendschutz. (jcb/jlu)

Weitere Infos und interessante Links www.lm-online.de/qr/45178