SearXNG: Suche ohne Tracking und Profiling
Dieser Artikel ist kein Schritt-für-Schritt-Guide. Er erklärt, warum eine selbst gehostete Metasuchmaschine Datenschutz strukturell verbessert — nicht als Versprechen, sondern durch technische Architektur. Themen: Funktionsprinzip, Privacy-Vorteile, Hosting-Stack, globale Konfiguration und Einsatz als unternehmensweite Suchmaschine.
Was ist eine Metasuchmaschine?
Eine Metasuchmaschine ist keine eigene Suchmaschine im klassischen Sinne — sie crawlt kein Web und baut keinen eigenen Index auf. Stattdessen schickt sie eine Anfrage gleichzeitig an mehrere bestehende Suchmaschinen, aggregiert deren Ergebnisse und gibt sie gebündelt zurück. Der Nutzer redet mit SearXNG, nicht mit Google oder Bing.
SearXNG unterstützt in der Standardkonfiguration über 70 aktiv konfigurierte Quellen — in der vollständigen Liste sind bis zu 242 Suchdienste verfügbar. Dazu gehören allgemeine Websuchmaschinen ebenso wie spezialisierte Quellen für Nachrichten, Code, Karten, Bilder und wissenschaftliche Literatur.
Ein weiterer Vorteil, der oft übersehen wird: Nicht jede Suchmaschine indexiert dasselbe. Google gewichtet nach eigenen Signalen, Brave durchsucht einen unabhängigen eigenen Index, DuckDuckGo liefert Ergebnisse aus anderen Quellen. Wer mehrere gleichzeitig abfragt, bekommt eine breitere Ergebnisgrundlage — Treffer, die bei einem einzelnen Anbieter fehlen, tauchen durch einen anderen auf.
Das Entscheidende: SearXNG hat keine direkte Beziehung zu einem einzelnen Anbieter. Die Anfragen gehen gebündelt und anonymisiert durch SearXNG — der eigentliche Suchanbieter sieht nur die Anfrage des SearXNG-Servers, nicht den Nutzer dahinter.
Wer nur Google nutzt, gibt einem einzigen Unternehmen vollständigen Einblick in alle Suchanfragen. Wer SearXNG mit sechs konfigurierten Quellen nutzt, verteilt die Anfragen gleichzeitig — kein einzelner Anbieter sieht das vollständige Suchverhalten.
Das Datenschutz-Problem kommerzieller Suchmaschinen
Suchmaschinen wie Google und Bing bieten ihre Dienste kostenlos an — das Geschäftsmodell basiert auf personalisierten Werbeprofilen. Die Datenerfassung geht dabei weit über den offensichtlichen Suchverlauf hinaus.
Suchverlauf und zeitlicher Kontext aller Anfragen; Klickmuster und verweildauerbasierte Interessensprofile; digitales Fingerprinting aus Bildschirmauflösung, installierten Fonts, Browser-Konfiguration und Geräteeigenschaften; Tracking-Pixel in verlinkten Seiten, die auch ohne Klick Daten übermitteln.
Digitales Fingerprinting ist dabei das hartnäckigste Problem: Im Gegensatz zu Cookies lässt es sich nicht durch Löschen des Browserspeichers entfernen. Es entsteht ein geräte- und sitzungsübergreifendes Profil, das persistent bleibt. Google kündigte im Dezember 2024 an, seine Fingerprinting-Einschränkungen weiter zu lockern.
Für Unternehmen kommt eine weitere Dimension hinzu: Mitarbeiter, die kommerzielle Suchmaschinen nutzen, geben ihre Rechercheaktivitäten an externe Dienstleister weiter. Das widerspricht dem Prinzip der Datensparsamkeit aus Art. 5 DSGVO — selbst wenn die gesuchten Informationen selbst unkritisch sind.
SearXNG unterbricht dieses Modell strukturell: Kein Logging, keine Trackingpixel, kein Fingerprinting, keine Nutzerprofile, keine Weitergabe von Cookies an die zugrundeliegenden Suchmaschinen. Die Anfragen werden über den SearXNG-Server proxied — die Suchmaschinen sehen die IP-Adresse des SearXNG-Servers, nicht die des Nutzers.
SearXNG: Open Source, kein Tracking, kein Profiling
SearXNG ist ein Fork des ursprünglichen Searx-Projekts und wird von der Community aktiv weiterentwickelt. Die Lizenz ist AGPL-3.0 — der Quellcode ist vollständig einsehbar und auditierbar. Versteckte Datenerhebung ist strukturell ausgeschlossen.
Technische Datenschutzmerkmale
- POST statt GET: Suchanfragen werden per HTTP POST übertragen, nicht per GET. Damit erscheinen Suchanfragen weder in der Adressleiste noch in Browser-Verläufen oder Server-Access-Logs.
- Bildproxy: Bilder in den Suchergebnissen werden über den SearXNG-Server proxied. Der Browser des Nutzers stellt keine direkte Verbindung zu fremden Bild-CDNs her — die eigene IP bleibt verborgen.
- tracker_url_remover: Plugin, das UTM-Parameter und Tracking-Token aus allen Ergebnis-URLs entfernt, bevor sie dem Nutzer angezeigt werden.
- Keine Werbung, keine Sponsored Results: Reine Suchergebnisse, keine Monetarisierungsschicht.
- Tor-Instanzen: Öffentliche .onion-Instanzen existieren für Anwendungsfälle, bei denen maximale Anonymität erforderlich ist.
Öffentliche Instanzen sind unter searx.space gelistet. Für maximale Kontrolle — besonders im Unternehmenskontext — ist eine selbst gehostete, intern zugängliche Instanz die sicherere Wahl.
Hosting-Architektur: Proxmox, Debian, Docker
Eine konkrete Möglichkeit, SearXNG zu betreiben: eine Debian-VM auf einem Proxmox-Hypervisor, mit einem Docker Compose Stack aus drei Diensten.
Proxmox-Host
└── Debian VM
└── Docker Compose Stack
├── Caddy (Reverse Proxy) ← TLS, Security Headers, Komprimierung
├── SearXNG (lokal erreichbar) ← Metasuchmaschine, Prometheus-Metriken
└── Valkey (Redis-kompatibler Cache) ← Query-Cache, Snapshots alle 30sWarum diese Kombination
- Proxmox als Hypervisor: OS-Ebene-Isolation zwischen Diensten; Snapshots und Backups in Sekunden; Basis für weiteres Homelab-Wachstum.
- Debian VM: Minimal, stabil, gut dokumentiert — bewährte Basis für Docker-Workloads.
- Docker Compose: Reproduzierbar und portabel; alle drei Dienste
werden in einem einzigen
docker-compose.ymldefiniert und gemeinsam verwaltet. - Caddy als Reverse Proxy: Automatisches TLS (wenn öffentlich erreichbar), Security Headers (X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy no-referrer), zstd/gzip-Komprimierung.
- Valkey (Redis-Fork): Cacht Suchanfragen, sodass wiederholte Suchen ohne erneuten Upstream-Aufruf beantwortet werden; Persistenz-Snapshots alle 30 Sekunden.
Datenpfad
So verläuft eine Suchanfrage durch den Stack:
Valkey sitzt zwischen SearXNG und den Suchmaschinen. Bei einem Cache-Treffer endet der Rückpfad bereits bei Valkey — die Suchmaschinen werden gar nicht kontaktiert. Bei einem Cache-Miss speichert Valkey die aggregierten Ergebnisse, bevor sie über SearXNG und Caddy zum Browser zurücklaufen.
Konfiguration: Globale Einstellungen und Branding
Die zentrale Konfigurationsdatei von SearXNG ist settings.yml. Sie ist die
einzige Quelle der Wahrheit für alle Nutzer der Instanz — keine per-Gerät-Konfiguration,
keine Browser-Erweiterungen notwendig.
Anders als bei einem Browser-Plugin, das jeder Nutzer einzeln installieren und
konfigurieren muss, gilt settings.yml sofort für alle Geräte, die
auf die Instanz zugreifen. Datenschutz-Einstellungen sind damit nicht von der
Disziplin einzelner Nutzer abhängig.
Relevante Einstellungen im Überblick
- instance_name: Name der Instanz — erscheint im Browser-Tab und als Seitentitel. Kann auf den Unternehmensnamen gesetzt werden, um eine gebrandete interne Suchmaschine zu schaffen.
- method: POST: Suchanfragen werden per HTTP POST übertragen. Queries erscheinen nicht in Serverlogs oder Browser-Verläufen.
- image_proxy: true: Alle Bilder in Suchergebnissen werden über SearXNG proxied — der Browser stellt keine direkte Verbindung zu Bild-Hosts her.
- infinite_scroll (Plugin): Nächste Ergebnisseite lädt automatisch beim Scrollen — kein Paginierungsklick notwendig.
- tracker_url_remover (Plugin): UTM-Parameter und Tracking-Token werden aus allen Ergebnis-URLs entfernt.
- calculator, unit_converter, hash_plugin, hostnames: Weitere aktive Plugins — Arithmetik direkt in der Suche, Einheitenumrechnung, MD5/SHA256 on demand, prominente Domain-Anzeige in Ergebnissen.
Konfigurierte Suchquellen
In diesem Setup sind sechs Quellen gleichzeitig aktiv: Bing, Brave, DuckDuckGo, Google, Startpage und Yahoo. Ihre Ergebnisse werden zusammengeführt und dedupliziert — kein einzelner Anbieter bestimmt die Reihenfolge allein.
SearXNG als unternehmensweite Suchmaschine
Die naheliegendste Anwendung für KMU: eine einzige SearXNG-Instanz wird als Standard-Suchmaschine für alle Arbeitsplätze eingerichtet — per Browser-Policy oder MDM. Damit suchen alle Mitarbeiter datenschutzkonform, ohne individuelle Einrichtung.
- Unternehmensbranding:
instance_nameauf Firmennamen setzen — Mitarbeiter sehen eine firmeneigene Suchmaschine. - DSGVO-konform by design: Keine Mitarbeiter-Suchanfragen verlassen die unternehmenseigene Infrastruktur (bei VPN/Intranet-Betrieb); Datensparsamkeit nach Art. 5 DSGVO automatisch erfüllt.
- Keine Lizenzkosten: AGPL-3.0, selbst gehostet, läuft auf einer einzelnen kleinen VM.
- Zentral verwaltet: Einstellungen in
settings.ymlgelten sofort für alle Nutzer — keine Rollouts, keine Endgerätekonfiguration.
Monitoring ohne Profilbildung
SearXNG unterstützt Prometheus-Metriken: Query-Volumen, Antwortzeiten der einzelnen Suchquellen, Fehlerraten — aggregiert und anonym. Kein einziger Suchanfrage-Inhalt wird dabei gespeichert. Betreiber sehen, ob die Instanz stabil läuft, nicht was gesucht wurde.
Zum Vergleich: Eine SearXNG-Instanz auf einem 3–5 EUR/Monat-VPS oder einer internen VM ersetzt kostenpflichtige Enterprise-Suchabonnements und eliminiert gleichzeitig die Profilbildung durch kommerzielle Anbieter.
Netzwerksicherheit: WireGuard und Tailscale
SearXNG ist in diesem Setup nicht öffentlich erreichbar — der Zugriff ist auf Mitglieder des WireGuard- bzw. Tailscale-Netzwerks beschränkt. Das ist eine bewusste Entscheidung.
Auch wenn SearXNG selbst nichts loggt, könnte ein passiver Netzwerkbeobachter erkennen, dass ein Client regelmässig einen Suchdienst kontaktiert. WireGuard und Tailscale eliminieren diese Sichtbarkeit: Der gesamte Traffic zwischen Client und Server ist verschlüsselt — ISPs und Netzwerkmonitore sehen nur verschlüsselte Datenpakete.
WireGuard und Tailscale im Überblick
- WireGuard: Schlankes, modernes VPN-Protokoll; direkt im Linux-Kernel integriert; minimale Angriffsfläche; sehr gute Performance.
- Tailscale: Baut auf WireGuard auf; Zero-Config-Deployment pro Gerät; Mesh-Netzwerk ohne zentralen VPN-Server; End-to-End-verschlüsselt — auch für Tailscale selbst nicht einsehbar.
- Headscale: Selbst gehostete Alternative zum Tailscale Control-Server — volle Kontrolle, keine Abhängigkeit von Drittanbieter-Infrastruktur. Ideal für datenschutzbewusste Organisationen.
Das Ergebnis ist eine mehrschichtige Datenschutzarchitektur: SearXNG (kein Logging) auf Applikationsebene, WireGuard/Tailscale (verschlüsselter Transport) auf Netzwerkebene, Proxmox-Isolation auf Infrastrukturebene.
Konkrete Einrichtungsanleitungen für WireGuard und Headscale sind als eigenständige Howtos geplant. Dieser Artikel beschreibt das Zusammenspiel der Komponenten — nicht den Installationsprozess.
Zusammenfassung
- SearXNG aggregiert über 70 Quellen gleichzeitig — ohne eigene Datenerhebung, ohne Trackingpixel, ohne Fingerprinting.
- Kommerzielle Suchmaschinen erstellen Nutzerprofile. Digitales Fingerprinting ist persistent und nicht löschbar — SearXNG unterbricht dieses Modell strukturell.
- settings.yml setzt globale Defaults. Infinite Scroll, Bildproxy, POST-Methode, Branding — alles zentral konfiguriert, gilt sofort für alle Nutzer.
- Ideal für KMU. Unternehmensweite Suchmaschine ohne Lizenzkosten, DSGVO-konform by design, mit optionalem Monitoring.
- WireGuard und Tailscale verstärken den Datenschutz auf Netzwerkebene — der Suchverkehr bleibt auch zwischen Client und Server verschlüsselt.
Dieser Artikel gibt einen Überblick — ein produktives Setup hat mehr Details. Bei spezifischen Fragen zu Konfiguration, Deployment oder Unternehmenseinsatz erreichst du mich über die Kontaktseite.