Empfehlungsecke

Die Empfehlungsecke enthält meine aktuellen Empfehlungen zu verschiedenen Themen – also bspw. Messenger, Browser-Add-ons und Suchmaschinen. Ziel ist es, die Empfehlungsecke so aktuell wie möglich zu halten, damit man sich bei Bedarf daran orientieren kann. Die Empfehlungen sind mit kurzen Texten versehen, ich verzichte jedoch auf eine ausführliche Darstellung bzw. verlinke dann auf weiterführende Informationen.

Sprungmarken zu den Themen

Hinweis

Die Empfehlungsecke steht unter der CC BY-SA 4.0-Lizenz. Wenn du Verbesserungsvorschläge, Korrekturen oder Anmerkungen hast, dann reiche diese bitte per Issue/Pull-Request über Codeberg ein. Alle Änderungen an der Empfehlungsecke sind transparent in einem Changelog nachvollziehbar.

Account-Diebstahl: Was tun?Hacked

Ein (Online-)Kontodiebstahl ist nicht nur ärgerlich, sondern kann auch unangenehme Folgen haben – vor allem, wenn man nicht rechtzeitig reagiert. Möglicherweise ist bereits ein finanzieller Schaden entstanden, persönliche Daten (Adressen, Bankdaten, Gesundheitsdaten etc.) wurden entwendet/missbraucht oder Aussagen in sozialen Netzwerken veröffentlicht, die man selbst so nicht sagen/schreiben würde. Leider bleibt oft unklar, wie es zu einem Account-Diebstahl kommen konnte, was nicht gerade zur Beruhigung der Betroffenen beiträgt. Häufige Ursachen für einen Account-Diebstahl sind:

  • Passwort: Wenig komplexe oder einfache Passwörter (bspw. 123456, monkey, passwort) sind ein häufiger Grund für einen Account-Diebstahl. Bei der Passwortvergabe sollte man sich ein sicheres Passwort generieren lassen und für jeden Online-Account ein anderes Passwort verwenden. Für mehr Sicherheit: Zwei-Faktor-Authentifizierung aktivieren.
  • Phishing: Phishing ist eine beliebte Betrugsmasche, bei der Benutzer durch gefälschte E-Mails oder andere Kommunikationsmittel dazu verleitet werden, Zugangsdaten zu Konten preiszugeben. Wie man Phishing-Angriffe erkennt bzw. wie man am besten damit umgeht, wird im Artikel »Phishing: Das Abfischen von Zugangsdaten vermeiden« näher erläutert.
  • Schadsoftware: Veraltete Software oder nicht aktuell gehaltene Systeme sind häufig ein Einfallstor für Schadsoftware. Aber auch die Unachtsamkeit oder Gutgläubigkeit von Anwendern kann den Befall mit Schadsoftware begünstigen, bspw. durch die Installation von Software aus unbekannten Quellen.

Betroffene fühlen sich nach einem Accountdiebstahl oft hilflos. Die folgenden Tipps können helfen, die Kontrolle über den gestohlenen Account wiederzuerlangen:

  • Kontrolle zurückerlangen: Häufig wird bei einem Account-Diebstahl das Passwort geändert und der rechtmäßige Besitzer vom eigenen Konto ausgesperrt. In diesem Fall hilft die Funktion Passwort-Reset bzw. Passwort zurücksetzen, mit der das Passwort zurückgesetzt werden kann. Sollte dies nicht möglich sein, führt ein weiterer Weg über den Diensteanbieter. Nachfolgend sind einige Links aufgeführt, über die ein Fremdzugriff bzw. eine Account-Übernahme bei bekannten Diensten gemeldet werden kann:
  • Passwort ändern: Sobald der Zugang bzw. die Kontrolle über das Konto wiederhergestellt ist, sollte das Passwort geändert werden. Falls noch nicht geschehen, empfiehlt sich die Verwendung eines Passwort-Managers und (sofern möglich) die Aktivierung der Zwei-Faktor-Authentifizierung.
  • Überprüfung des Accounts: Ein Account-Diebstahl geht oftmals mit der Manipulation bzw. dem Diebstahl von (personenbezogenen) Daten einher. Es empfiehlt sich daher, alle hinterlegten Daten genau zu überprüfen. Es kann sein, dass der Eindringling die E-Mail-Adresse geändert hat oder Nachrichten (in sozialen) Netzwerken versendet, die nicht von einem selbst stammen.
  • Polizei benachrichtigen: Je nach Fall bzw. welcher Schaden entstanden ist, kann es sinnvoll sein, die Polizei zu verständigen oder Anzeige zu erstatten. Insbesondere dann, wenn ein Identitätsdiebstahl vorliegt oder ein Webshop Bestellungen bereits verschickt hat. Bei finanziellen Schäden (Abbuchungen/Überweisungen) vom Bankkonto sollte zusätzlich die Betrugsabteilung der Bank informiert werden – diese kann das Geld eventuell zurückholen.
  • Kontakte informieren: Wenn der kompromittierte Account Kontaktdaten von Freunden, Bekannten, Kollegen und/oder Geschäftspartnern enthält, sollten diese über den Accountdiebstahl informiert werden.
  • Zahlungsbewegungen: Sofern Zahlungsinformationen auf dem gekaperten Konto hinterlegt wurden, sollten die betroffenen Bankkonten über einen längeren Zeitraum auf unregelmäßige Zahlungsbewegungen überwacht werden.

Bildquellen:

Spyware: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Android-AppsF-Droid

Im Android-Universum existieren beinahe so viele Apps wie Sterne am Firmament. Ein Großteil dieser Apps ist für den Anwender lediglich »verschwommen« wahrnehmbar und es bedarf diverser Hilfsmittel, um sichtbar zu machen, was sich bei der App-Nutzung im Hintergrund abspielt – ähnlich einem Teleskop, um die Struktur der weit entfernter Sterne erkennen zu können. Bei genauerer Betrachtung wird dann schnell deutlich, dass insbesondere herkömmliche Apps aus dem Google Play Store häufig mit Trackern und Werbemodulen »zugepflastert« sind, was auch meine App-Rezensionen für mobilsicher.de immer wieder belegen.

Mit dem F-Droid Store hat sich erfreulicherweise ein alternativer App-Store etabliert, der sich insbesondere an kritische Anwender richtet, die Wert auf freie und quelloffene Anwendungen legen. Die folgende Auflistung nennt datenschutzfreundliche Apps aus dem F-Droid Store.

Alternative Clients

Der Zugriff auf den F-Droid Store ist über verschiedene Clients wie Neo Store oder Droid-ify möglich.
Kategorie / Anwendungszweck App
Internet / Browser / E-Mail
Browser (privatsphäreorientiert) Mull, Fennec, Tor Browser, Privacy Browser, Cromite (Cromite Repository)
Browser (sicherheitsorientiert) Mulch (DivestOS Repository)
E-Mail K-9 Mail, FairEmail
RSS-Reader Feeder, FreshRSS, Nextcloud News (Nextcloud)
Büro
Kalender etar, Fossify Calendar
Kalender- und Kontakte-Synchronisation DAVx5
Notizen Notally (lokal), EteSync Notes (Cloud), Nextcloud Notes (Cloud), Joplin
Dokumenten-Scanner OSS Document Scanner
Geburtstagshinweis Birthday Calendar, BirthDay Droid
ToDo-Manager Tasks (Tracker deaktivieren), jtx Board
(Kunden-)Karten digital verwalten Catima, PassAndroid
Text-Editor Editor, Markor
Barcode-Scanner Binary Eye
Messenger
Messenger Element (Matrix), Briar, Conversations (XMPP)
Multimedia
Video- und Audioplayer VLC, mpv, Just Player (nur Video), mucke (nur Audio)
eBook-Reader Librera Reader
Audio-Books Voice
Youtube-Player NewPipe, LibreTube
Spotify Player Spotube
Bildergalerie Fossify Gallery, Aves Libre
PDF-Viewer muPDF
Kamera Open Camera
Fernseh-Streaming Zapp
Radio Transistor
Podcasts AntennaPod
Screen-Mirror ScreenStream
Webseiten-Änderungen Change Detection
Gesundheit
Fitness-Tracker OpenTracks, Gadgetbridge, FitoTrack
Zyklustracking drip, Periodical
System
Dateimanager Material Files, Fossify File Manager
Tastatur HeliBoard, AnySoftKeyboard, Simple Keyboard
Netzwerk- bzw. App-Analyse PCAPdroid
Terminal Termux
WLAN optimieren WiFiAnalyzer
Bluetooth Auto Off Greentooth
SSH-Client ConnectBot,
GPS / Smartphone-Sensoren SatStat, GPSTest
Apps im Hintergrund ausführen FakeStandby, Kaffee
Text-to-speech Engine eSpeak
App Downloads
F-Droid-Clients Neo Store, Droid-ify
Google-Play-Store Alternative Aurora Store
Sicherheit / Datenschutz
Firewall RethinkDNS, NetGuard, AFWall+
Ad- und Trackingblocker AdAway
VPN WG Tunnel (WireGuard), OpenVPN
Passwortmanager KeePassDX, PasswdSafe
TOTP FreeOTP+, Aegis Authenticator
OpenPGP OpenKeychain
URL-Wandler (Twitter/X, YouTube etc.) UntrackMe
URL-Cleaner Léon – The URL Cleaner
Metadaten entfernen (Bilder) Scrambled Exif
AirTag-Schutz AirGuard
Navigation / Wetter / Warnungen
Offline-/Online-Navigation OsmAnd, Organic Maps
Personennahverkehr Transportr, Öffi Stations
Wetter Kleine Wettervorschau Deutschland, RadarWeather
Notfallbenachrichtigungen FOSS Warn
Benzinpreise Spritpreise
Fediverse
Lemmy Voyager, Jerboa, Eternity
Mastodon Tusky, Fedilab
Datei-Synchronisation/Austausch
Dezentral Syncthing
Nextcloud Nextcloud (Hosting-Anbieter)
ownCloud ownCloud (Hosting-Anbieter)
Lokaler Dateiaustausch LocalSend

Hinweis

Weitere Informationen über den F-Droid Store findet ihr im Beitrag »F-Droid und App-Alternativen« – Teil der Artikelserie Android unter Kontrolle.

Android: Captive-PortalCaptive-Portal

Jedes Mal, wenn sich ein Android-Gerät mit einem WLAN oder einem Mobilfunknetz verbindet, führt das System einen Captive-Portal-Check durch. Damit will Android sicherstellen, dass ein Gerät nicht nur eine IP-Adresse vom Access Point bzw. Internet Service Provider erhalten hat, sondern auch tatsächlich Ziele im Internet erreichen kann. Dies ist bspw. notwendig, um Portalseiten von WLAN-Hotspots (z.B. in Hotels) zu erkennen.

Um zu prüfen, ob eine Verbindung besteht, sendet Android eine Anfrage an die Adresse connectivitycheck.gstatic.com. Ist die Anfrage erfolgreich, besteht eine Verbindung zum Internet. Mit dieser Anfrage übermittelt das System jedes Mal Informationen über die IP-Adresse des Anschlusses, den Zeitpunkt des Internetzugriffs und den aktuell verwendeten Browser an Google. Gerade datenschutzsensible Nutzer möchten jedoch nicht bei jedem Besuch im Internet einen »Ping« an Google senden. Als Alternative biete ich einen Captive-Portal-Check unter der Adresse »captiveportal.kuketz.de« an. Sobald Android die folgende Rückmeldung erhält, ist sichergestellt, dass eine Verbindung zum Internet besteht:

HTTP/1.1 204 No Content

Hinweis

Das Captive-Portal bzw. die URL muss nicht für jedes Custom-ROM manuell geändert werden. Custom-ROMs wie GrapheneOS bieten Einstellungsmöglichkeiten über die GUI. Vor der Anpassung des Captive-Portal-Checks sollte geprüft werden, ob das verwendete Custom-ROM nicht bereits eine datenschutzfreundlichere Alternative verwendet oder eine Einstellmöglichkeit über die GUI bietet.

Captive-Portal einstellen [Einsteiger]

Am einfachsten lässt sich das Captive Portal mit der App Captive Portal Controller aus dem F-Droid Store anpassen. Nachfolgend eine etwas aufwändigere Variante.

Zunächst müsst ihr euer Android-Gerät über ein USB-Kabel mit eurem Rechner verbinden und ADB für diesen Vorgang aktiviert haben. Über ein Terminal am Rechner könnt ihr dann folgende Befehle eingeben:

adb shell 'settings put global captive_portal_http_url "http://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_https_url "https://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_fallback_url "http://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_other_fallback_urls "http://captiveportal.kuketz.de"'

Mit folgendem Befehl kann überprüft werden, ob die URLs wie gewünscht angepasst wurden:

adb shell 'settings get global captive_portal_https_url'

Ausgabe:

https://captiveportal.kuketz.de

Um die Änderungen rückgängig zu machen, genügt folgender Befehl:

adb shell 'settings delete global captive_portal_http_url'
adb shell 'settings delete global captive_portal_https_url'

Hinweis

Die Anpassungen sind mit Android ab Version Nougat (7.x) bis einschließlich Android 14 kompatibel und erfordern keine Root-Rechte. Unter Windows kann es erforderlich sein, die Befehle mit " statt mit einem Apostroph zu umschließen.

AFWall+ & Captive-Portal [Fortgeschrittene]

AFWall+ Nutzer kennen das Problem: Wenn der Captive Portal Check in irgendeiner Form blockiert ist, erscheint ein kleines Kreuz neben dem WLAN-Symbol in der Android-Menüleiste. Je nach Android-Version erscheint zusätzlich die Meldung, dass keine Verbindung zum Internet besteht. Als Nutzer hat man zwei Möglichkeiten.

[1] In AFWall+ die entsprechenden Regeln bzw. IP-Adresse freigeben

Möchte man die Freigabe über die GUI von AFWall+ vornehmen, muss man die Regel [1000] Android-System, Erweiterte Einstellungen, Einrichtungsassistent, [...] freigeben. Dies ist allerdings sehr grob und wenig empfehlenswert, da danach auch viele Systemkomponenten ins Internet dürfen. Alternativ kann man einfach das eigene Skript um folgende Zeile ergänzen:

# IPv4
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp -j ACCEPT
# IPv6
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp -j ACCEPT

Wer es etwas feingranularer mag:

# IPv4
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp --dport 443 -j ACCEPT
# IPv6
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp --dport 80 -j ACCEPT
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp --dport 443 -j ACCEPT

[2] Den Captive-Portal-Check vollständig deaktivieren

Mit dem adb-Befehl kann der Captive-Portal-Check auch komplett deaktiviert werden. Android prüft dann nicht mehr, ob eine Verbindung zum Internet besteht. Je nach Android-Version müssen verschiedene Befehle über ein Terminal direkt auf dem Gerät eingegeben werden:

  • bis Android Nougat (7.x)
    su
    settings put global captive_portal_detection_enabled 0
    settings put global captive_portal_server localhost
    settings put global captive_portal_mode 0
  • ab Android Oreo (8.x) – bis einschließlich Android 14
    adb shell 'settings put global captive_portal_detection_enabled 0'
    adb shell 'settings put global captive_portal_server localhost'
    adb shell 'settings put global captive_portal_mode 0'

Hinweis

Nach der Beantwortung der Anfrage durch den nginx-Webserver werden alle Informationen wie die IP-Adresse sofort verworfen und in keinem Logfile gespeichert. Weitere Informationen zur Nutzung des Dienstes können den Datenschutzhinweisen entnommen werden.

Android: Custom-ROMCustom-ROM

Offiziell werden Android-Smartphones mit einem sogenannten Stock-ROM ausgeliefert, das ab Werk vorinstalliert ist und meist verschiedene Modifikationen und Erweiterungen der Gerätehersteller enthält. Die meisten Android-Geräte bzw. Stock-ROMs werden von vielen Herstellern insbesondere im Hinblick auf Sicherheitsupdates stiefmütterlich behandelt und häufig aus Kostengründen nach einigen Monaten nicht mehr mit Updates versorgt. Dadurch entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele oder die meisten Geräte anfällig für kritische Sicherheitslücken macht. Über solche Schwachstellen können Angreifer unter anderem die Kontrolle über das Gerät erlangen, den Nutzer ausspionieren oder unbemerkt Daten abfließen lassen.

Aber nicht nur fehlende Sicherheitsupdates sind ein Problem, sondern vor allem die Datensammelwut von Google. Schließlich ist Android darauf ausgelegt, dass Google möglichst viele Daten vom Gerät erhält. Unmittelbar nach dem ersten Einschalten wird der Nutzer aufgefordert, ja geradezu bedrängt, sein Gerät mit einem bestehenden Google-Konto zu verknüpfen oder gegebenenfalls ein neues Konto anzulegen. Selbst wenn ein Nutzer diese Verknüpfung nicht vornimmt, ist Android so eng mit Google verknüpft, dass ein durchschnittlicher Nutzer kaum eine Chance hat, sich dem Konzern und seiner Datensammelwut zu entziehen.

In der Android-Welt gibt es jedoch einen Ausweg aus diesem Sicherheits- und Datenschutzdilemma: Sogenannte Custom-ROMs. Diese ROMs werden meist von privaten Entwicklern ohne kommerzielles Interesse für die unterschiedlichsten (älteren) Geräte zur Verfügung gestellt. Derzeit sind ca. 12 verschiedene Custom-ROMs verfügbar. Vor der Installation eines Custom-ROMs sollte man sich jedoch über die möglichen Nebenwirkungen im Klaren sein:

  • Unzulässige Ablehnung der (Hersteller-)Garantie
  • Unlösbare technische Probleme
  • Bricking des Geräts
  • Bestimmte Apps werden unter Umständen nicht lauffähig sein
  • Minderung der Kameraqualität
  • Einschränkung der Funktionalität
  • Verlust jeglicher Daten
  • […]

Hinweis

Falls euer Gerät nicht von einem Custom-ROM unterstützt wird oder ihr euch aus den oben genannten Gründen nicht an eine Installation traut, aber trotzdem mehr Kontrolle über eure Daten haben wollt, solltet ihr einen Blick in die Artikelserie »Android unter Kontrolle« werfen. Dort wird euch ein alternativer Weg aufgezeigt, wie ihr die Datensammelwut von Google und (System-)Apps einschränken könnt.

Orientierung: Welches Custom-ROM soll ich installieren?

Die Entscheidung für ein Custom-ROM hängt von verschiedenen Faktoren ab, wobei die entscheidende Frage ist, ob das gewünschte Custom-ROM überhaupt mit dem eigenen Gerät kompatibel ist. In meiner Artikelserie über Android-Custom-ROMs habe ich verschiedene Custom-ROMs unter die Lupe genommen. Aus Sicherheits- und Datenschutzperspektive lässt sich folgendes Fazit ziehen: Wenn ihr ein aktuelles Google Pixel-Gerät habt, das offiziell von Google unterstützt wird und Sicherheitsupdates erhält, empfehle ich GrapheneOS. Falls ihr kein Google Pixel-Gerät besitzt, solltet ihr zuerst überprüfen, ob euer Gerät von DivestOS unterstützt wird. Sollte dies nicht der Fall sein, könnt ihr die Projekte iodéOS und CalyxOS in Betracht ziehen. Falls auch diese Projekte euer Gerät nicht unterstützen, bleibt noch LineageOS als (letzte) Alternative. Im Folgenden werden einige der genannten Custom ROMs kurz vorgestellt.

GrapheneOS [Einsteiger / Fortgeschrittene / Profis]

GrapheneOS ist ein gemeinnütziges, Open-Source-Betriebssystem (MIT- und Apache License 2.0) für mobile Geräte mit Schwerpunkt auf Datenschutz und Sicherheit. Das Projekt konzentriert sich auf die Erforschung und Entwicklung fortschrittlicher Datenschutz- und Sicherheitstechnologien. Dazu gehören wesentliche Verbesserungen in den Bereichen SandboxingExploit-Schutz und Android-Berechtigungsmodell. GrapheneOS basiert eng auf dem Android Open Source Project (AOSP), erweitert dieses aber um zahlreiche Funktionen und Maßnahmen, die die Sicherheit und den Datenschutz verbessern.

Es wird exklusiv für Google Pixel-Geräte entwickelt – andere Geräte werden nicht unterstützt. Im Vergleich zu anderen Custom-ROMs ist die Auswahl an Geräten daher sehr eingeschränkt. Hintergrund dieser Einschränkung sind die hohen Sicherheitsanforderungen von GrapheneOS. Die Anforderungen des Projekts werden derzeit nur von Google Pixel Geräten vollständig erfüllt.

Interessierte können sich vorab in der umfangreichen Dokumentation / FAQ über GrapheneOS informieren und über das Community-Forum und andere Kanäle Hilfe erhalten. GrapheneOS wird standardmäßig ohne Google-Anwendungen und Google Play-Dienste ausgeliefert. Bei Bedarf kann jedoch eine spezielle Version namens Sandboxed Google Play über den GrapheneOS App-Store installiert werden.

Derzeit ist GrapheneOS das sicherste und datenschutzfreundlichste Custom-ROM bzw. Android-System. Das Sahnehäubchen wäre es, wenn der Zwang, ein Google-Gerät zu verwenden, aufgehoben würde und GrapheneOS an den Plänen festhielte, eigene Geräte auf den Markt zu bringen.

Installation und Wartung: Die Installation von GrapheneOS kann entweder über die Kommandozeile oder über einen benutzerfreundlichen Web-Installer erfolgen, der auch für Anfänger geeignet ist. Sobald die Systemvoraussetzungen erfüllt sind, kann die Installation in wenigen Minuten abgeschlossen werden.

Hinweis

GrapheneOS wird ausführlich im Beitrag »GrapheneOS: Der Goldstandard unter den Android-ROMs – Custom-ROMs Teil7« vorgestellt.

DivestOS [Fortgeschrittene / Profis]

DivestOS ist ein Open-Source-Betriebssystem für mobile Geräte (Smartphones und Tablets), das auf dem quelloffenen Android von Google basiert. Es handelt sich um einen Soft Fork von LineageOS, der darauf abzielt, die Sicherheit und den Datenschutz zu erhöhen sowie ältere Geräte zu unterstützen. DivestOS strebt an, proprietäre Android-Komponenten weitestgehend zu entfernen und ausschließlich freie Software zu verwenden.

Das aktuelle DivestOS-Betriebssystem ist für eine Vielzahl von Geräten erhältlich, darunter Modelle von Herstellern wie Sony, Fairphone, Google, Samsung, OnePlus und Xiaomi. Es ist jedoch zu beachten, dass nicht alle Builds lauffähig sind, einige sind als Broken gekennzeichnet. Für bestimmte Geräte sollte man keine vollständigen Sicherheitsupdates für proprietäre Komponenten wie Bootloader oder Firmware erwarten. Beispielsweise werden Geräte wie das Google Pixel 4a nicht mehr vom Hersteller mit entsprechenden Updates versorgt. DivestOS richtet sich hauptsächlich an Nutzer, deren Fokus auf dem Betrieb älterer Geräte liegt, die keine Android-Updates mehr von den Herstellern erhalten. Aber auch Nutzer, mit einem hohen Anspruch an Datenschutz, werden von DivestOS nicht enttäuscht. Wenn man ein aktuelles Gerät (Golden Devices) verwendet, das noch mit Updates für proprietäre Komponenten vom Hersteller versorgt wird, spricht DivestOS auch Nutzer an, die Wert auf Sicherheit legen.

Interessierte können sich vorab in der umfangreichen Dokumentation (Website -> Menü links -> Docs) über DivestOS informieren und über diverse Support-Kanäle (XMPP, Matrix, Reddit, Discord etc.) Hilfe erhalten. DivestOS wird standardmäßig ohne Google-Anwendungen und Google Play-Dienste ausgeliefert. Bei Bedarf kann jedoch die Alternative zu den Google Play Diensten, microG, genutzt/aktiviert werden.

Insgesamt ist DivestOS relativ minimalistisch und integriert nur eine kleine Auswahl an Standardanwendungen. Weitere Apps können aus dem F-Droid-Store bezogen werden, der fest im System integriert ist. Durch die Entfernung unnötiger proprietärer Komponenten (Blobs) und die Fokussierung auf freie Software möchte DivestOS die Kontrolle über persönliche Daten in die Hände der Nutzer legen.

Installation und Wartung: Eine einfache Installationsroutine oder ein Installationsskript fehlt bei DivestOS bedauerlicherweise. Stattdessen muss sich der Nutzer durch eine teilweise unübersichtliche Installationsanleitung kämpfen, die insbesondere Einsteiger abschrecken dürfte. Damit ist der Einstieg in DivestOS im Vergleich zu Betriebssystemen wie GrapheneOS oder iodéOS etwas anspruchsvoller.

Hinweis

DivestOS wird ausführlich im Beitrag »DivestOS: Datenschutzfreundlich und erhöhte Sicherheit – Custom-ROMs Teil5« vorgestellt.

LineageOS [Fortgeschrittene]

LineageOS ist ein kostenloses Betriebssystem für Smartphones und Tablets, das auf dem quelloffenen Android von Google basiert. Es wurde entwickelt, um eine Alternative für das eingestellte CyanogenMod-ROM zu bieten. Die Entwickler haben den Namen »Lineage« (engl. Abstammung/Herkunft) gewählt, um die Verbindung des Betriebssystems mit seinen Wurzeln und der Abstammungslinie von Android zu betonen. Eine Gemeinschaft von Freiwilligen entwickelt LineageOS als Freie Software und bietet es kostenlos zum Download an.

Das Betriebssystem ist für eine Vielzahl von Geräten verfügbar, wie das Fairphone (FP3 und FP4), Samsung (S10 etc.) und Google (Pixel 3, Pixel 4, Pixel 6a etc.). Allerdings sollte man bei den meisten Geräten keine vollständigen Sicherheitsupdates von proprietären Komponenten wie Bootloader oder Firmware erwarten.

Interessierte können sich vorab im Wiki über LineageOS informieren und im über diverse Support-Kanäle (IRC, Reddit, Discord) Hilfe erhalten. LineageOS wird standardmäßig ohne Google-Anwendungen und Google Play-Dienste ausgeliefert. Es besteht jedoch die Möglichkeit, die Google Play-Dienste optional nachzurüsten. Hierfür kann MindTheGapps (empfohlen) oder Open GApps verwendet werden, das in verschiedenen Varianten angeboten wird, wie z.B. pico, nano, micro bis hin zu super. Diese Pakete bieten unterschiedliche Funktionsumfänge, die in einer Tabelle verglichen werden. Wenn man nur die Basisfunktionalität benötigt und keine weiteren Google-Apps installieren möchte, ist die Installation der pico-Variante (Open GApps) ausreichend.

LineageOS unterstützt zwar viele Geräte. Aber: Wer tatsächlich auf Google verzichten möchte bzw. zeitnah Sicherheitsupdates für sein Gerät erhalten möchte, der sollte sich nach einem anderen Custom-ROM umschauen. LineageOS selbst unternimmt keine besonderen Anstrengungen, um sich von Google abzunabeln. Fairerweise muss man aber auch erwähnen: Das haben sie nie behauptet. Der Verzicht auf die Google Apps bzw. Google-Play-Dienste bedeutet nicht automatisch, dass ein Custom-ROM googlefrei ist. Dafür sind weitere Schritte notwendig, die LineageOS allerdings nicht geht. Insgesamt ist LineageOS weder besonders datenschutzfreundlichen, noch wirklich sicher. LineageOS richtet sich hauptsächlich an Anwender, deren Fokus im Betrieb älterer Geräte liegt, die selbst keine Android-Updates mehr von den Herstellern erhalten.

Installation und Wartung: Eine einfache Installationsroutine oder ein Installationsskript fehlt bei LineageOS bedauerlicherweise. Stattdessen muss sich der Nutzer durch eine Installationsanleitung kämpfen, die insbesondere Einsteiger abschrecken dürfte. Damit ist der Einstieg in LineageOS im Vergleich zu Betriebssystemen wie GrapheneOS oder iodéOS etwas anspruchsvoller.

Hinweis

LineageOS wird ausführlich im Beitrag »LineageOS: Weder sicher noch datenschutzfreundlich – Custom-ROMs Teil4« vorgestellt.

Bildquellen:

Android: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Android: UnifiedPushUnifiedPush

Push-Benachrichtigungen (engl. Notifications) sind Meldungen, die auf dem Smartphone erscheinen und über neue App-Ereignisse informieren – die jeweilige App muss dazu nicht geöffnet sein. Solche Ereignisse können sein: Benachrichtigung über den Eingang einer neuen E-Mail oder Messenger-Nachricht. Bei herkömmlichen Android-Geräten werden diese Push-Benachrichtigungen über den Google-Dienst Firebase Cloud Messaging (FCM) zugestellt. Auf googlefreien Geräten wie GrapheneOS ist FCM allerdings nicht Bestandteil des Systems, weshalb Apps alternative Wege gehen müssen, um den Nutzer über neue Ereignisse mittels Push-Benachrichtigungen zu informieren.

Der Messenger Signal hat bspw. eine auf WebSocket basierende Push-Benachrichtigung implementiert, die gänzlich ohne Google-Dienste auskommt. Sobald eine neue Nachricht eingeht, wird das Mobilgerät »aufgeweckt« bzw. der Nutzer über das Vorhandensein einer neuen Nachricht informiert. Ähnliche Wege gehen auch andere Apps und behelfen sich dann bspw. über zeitbasiertes Polling, um den Server in regelmäßigen Abständen nach neuen Ereignissen zu fragen. Eleganter ist jedoch die Lösung UnifiedPush, die ähnlich wie FCM funktioniert und den Nutzer über eine zentrale Stelle (Server) über neue Ereignisse informiert. Im Folgenden werden zwei dieser UnifiedPush-Varianten vorgestellt.

Welche Apps unterstützen UnifiedPush?

Derzeit ist die Liste der Apps, die UnifiedPush unterstützen, noch überschaubar. Bekannte Vertreter sind Element (Matrix-Client), Molly (Signal-Client) und Tusky (Mastodon-Client).

ntfy [Einsteiger]

ntfy ist eine UnifiedPush-Variante, die den Empfang von Ereignissen in »Echtzeit« ermöglicht und sich insbesondere für Einsteiger eignet. Nach der Installation über den F-Droid-Store melden sich kompatible Apps (nach einem Neustart) meist automatisch bei ntfy an – eine Nutzerinteraktion ist nicht erforderlich. Push-Nachrichten werden standardmäßig über den Server ntfy.sh ausgeliefert. Über die Einstellungen kann der Standardserver aber auch angepasst und bspw. ein anderer ntfy-Dienstleister (adminforge.de) hinterlegt werden. Fortgeschrittene Nutzer können den Dienst auch selbst hosten. Eine entsprechende Installationsanleitung ist verfügbar.

NextPush [Fortgeschrittene]

Wer bereits eine Nextcloud im Einsatz hat, kann Push-Benachrichtigungen über NextPush empfangen. Sofern der Nextcloud-Server mit einer Redis-Instanz verbunden ist, genügt die Installation der NextPush-Server-App und die Installation der NextPush-App aus dem F-Droid-Store. Nach der Installation melden sich kompatible Apps (nach einem Neustart) in der Regel automatisch bei NextPush an – eine Nutzerinteraktion ist nicht erforderlich.


App-Verkehr mitschneidenApp-Verkehr mitschneiden

Viele Apps geben private oder sensible Daten aus dem Leben der Smartphone-Nutzer preis. Schuld daran sind die App-Entwickler, die entweder selbst eine Vielzahl von Daten abgreifen oder Analysedienste und Werbefirmen in die Apps integrieren, die ebenfalls ungefragt Daten übermitteln. Welche Daten bei der Nutzung einer App übermittelt werden, sollte der Nutzer eigentlich der Datenschutzerklärung einer App entnehmen können – zumindest in der Theorie. In der Praxis stößt man immer wieder auf Datenschutzerklärungen, die entweder unvollständig sind oder gar nicht darüber informieren, welche Drittanbieter in eine App eingebunden sind oder wohin die eigenen Daten fließen. Anhand der Datenschutzerklärung ist es daher kaum möglich, sich ein Bild davon zu machen, welche Daten bei der Nutzung erhoben und weitergegeben werden.

Abhilfe schaffen App-Reviews, wie sie der Kuketz-Blog regelmäßig durchführt. Allerdings gibt es im Google- und Apple-Universum so viele Apps, dass es schlichtweg unmöglich ist, jede einzelne App zu testen. Für den interessierten Nutzer gibt es aber Möglichkeiten, Apps unter die Lupe zu nehmen. Sowohl für Android als auch für iOS gibt es Apps, die eine Analyse ohne externen Rechner ermöglichen.

App-Verkehr mit »Sniffer-Apps« mitschneiden [Einsteiger | Fortgeschrittene]

  • Android: Mit der quelloffenen App PCAPdroid kann der Datenverkehr von Apps einfach aufgezeichnet werden. PCAPdroid erzeugt ein lokales VPN, durch das der gesamte Netzwerkverkehr geschleust wird – es sind keine entfernten Server involviert. Um TLS-verschlüsselte Verbindungen zu knacken, muss zusätzlich eine Root-CA im Zertifikatsspeicher des Systems installiert werden – diese Modifikation erfordert Root-Rechte auf dem Gerät. Anschließend kann der App-Verkehr einer oder mehrerer Apps gezielt aufgezeichnet und analysiert werden. Dabei werden sowohl die Anfrage- als auch die Antwortpakete angezeigt. Für den Hobby-Analysten oder »Datenjäger« eine tolle App, um »schwarze« Schafe aufzuspüren. Matthias hat auf tracktor.it ausführlich beschrieben, wie man mit der Kombination PCAPdroid und mitmproxy das Datensendeverhalten von Apps analysieren kann.
  • iOS: Eine ähnliche Funktionalität bietet die kostenpflichtige App Charles Proxy für iOS. Auch diese App ermöglicht die Aufzeichnung des Datenverkehrs bzw. die Analyse von Metadaten, Request-Headern und -Bodys. Auch Charles Proxy erzeugt zunächst ein lokales VPN, durch das im Anschluss der gesamte Netzwerkverkehr geleitet wird – es sind keine entfernten Server involviert. Eine weitere Möglichkeit ist die Aktivierung des App-Datenschutzberichts in iOS. Damit erhält man einen Überblick über die Netzwerkaktivitäten von Apps und sieht, welche Domains von deinen Apps am häufigsten kontaktiert werden. Inhaltsdaten, also was übertragen wurde, sind damit allerdings nicht einsehbar.

Burp Suite | Magisk | Frida Framework & Objection [Profis]

Persönlich führe ich App-Analysen mit der Burp Suite/mitmproxy durch, die weit mehr bietet, als nur Datenpakete über den Proxy mitzuschneiden. In Kombination mit der Systemless-Root-Lösung Magisk, dem Frida-Framework und der Frida-Erweiterung Objection ist es sogar möglich, Certificate-Pinning zu umgehen. Details dazu findet ihr in den beiden folgenden Beiträgen:

Hinweis

Die korrekte Interpretation des Datenstroms bzw. der übermittelten Daten ist das A und O. Diese Erfahrung zu erlangen benötigt Zeit und Geduld – behaltet dies bitte stets im Hinterkopf.

Bildquellen:

Smartphone: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Bezahlen im InternetBezahlen im Internet

Das Einkaufen im Internet ist bequem: Stöbern, kaufen und liefern lassen. Leider sind beim bargeldlosen Bezahlvorgang oftmals Akteure beteiligt, die dem Datenschutz keinen allzu großen Wert beimessen. Dazu zählen bspw. Dienstleister wie PayPal, Sofortüberweisung oder Klarna. Anbei möchte ich euch ein paar Tipps geben, was ihr beim Bezahlen im Internet beachten solltet. Ziel sollte es sein, so weit wie möglich auf Dienste von Drittanbietern zu verzichten. Folgende bargeldlose Zahlungsmethoden eignen sich dafür:

  • Vorkasse: Bei der Zahlung per Vorkasse erhaltet ihr in der Regel eine Bestellbestätigung per E-Mail mit den notwendigen Zahlungsinformationen wie bspw. der Bankverbindung. Nachdem ihr die Überweisung getätigt habt und der Händler euren Zahlungseingang verbucht hat, geht die bestellte Ware auf die Reise.
  • Lastschrift: Bei der Zahlung per (SEPA-)Lastschrift wird der Zahlungsvorgang nicht von euch selbst, sondern vom jeweiligen Online-Shop ausgelöst. Häufig wird bei dieser Zahlungsart allerdings eine Bonitätsprüfung durchgeführt, was zur Folge hat, dass eure Daten dann bspw. an Auskunfteien weitergegeben werden. Bevor ihr euch für den Kauf per Lastschrift entscheidet, solltet ihr daher die Allgemeinen Geschäftsbedingungen des Online-Shops daraufhin überprüfen.
  • Rechnung: Bei der Zahlung auf Rechnung erhaltet ihr gemeinsam mit eurer Ware eine Rechnung, die innerhalb einer Frist beglichen werden muss. Allerdings wird auch bei dieser Zahlungsart häufig eine Bonitätsprüfung durch Auskunfteien durchgeführt. Bevor ihr euch für den Kauf auf Rechnung entscheidet, solltet ihr daher die Allgemeinen Geschäftsbedingungen des Online-Shops daraufhin überprüfen.
  • SEPA Instant Payment: SEPA Instant Payment ermöglicht Überweisungen in Echtzeit. Darunter versteht man Geldtransaktionen (nahezu) in Echtzeit – das Geld wird dem Empfänger innerhalb von 10 bis 20 Sekunden gutgeschrieben.

Auch die Zahlung per Kreditkarte oder Gutscheinkarte ist eine Alternative – sollte aber wirklich die Ausnahme bleiben, denn auch Kreditkartenanbieter wie Mastercard verarbeiten bei der Zahlungsabwicklung eine ganze Reihe personenbezogener Daten. Lässt sich der sporadische Einsatz einer Kreditkarte jedoch nicht vermeiden, besteht bei den Anbietern Visa und Mastercard die Möglichkeit, der Datenauswertung zu widersprechen:

  • Opt-Out Mastercard
  • Opt-Out Visa
    Hinweis: Der Opt-Out-Link funktioniert aktuell nicht. Man wird auf eine Webseite mit dem folgenden Hinweis weitergeleitet:

    Visa Advertising Solutions is no longer in service. If you want more information about your privacy rights, please visit our Privacy Rights Portal.

Auf Bezahlvorgänge, die über Drittanbieter wie PayPal, Klarna etc. abgewickelt werden, sollte hingegen aus Datenschutzsicht gänzlich verzichtet werden.

Hinweis

Insbesondere bei der Zahlung per Vorkasse besteht natürlich immer das Risiko, dass eine per Vorkasse bezahlte Ware nicht geliefert und der bereits bezahlte Betrag nicht erstattet wird. Ihr solltet euch dieses Risikos bewusst sein, bevor ihr euch für den Kauf per Vorkasse entscheidet – ihr geht immer in Vorleistung. Aus diesem Grund solltet ihr eure Online-Shops sorgfältig auswählen. Allerdings ist diese Zahlungsvariante auch diejenige, bei der mit hoher Wahrscheinlichkeit keine Drittanbieter (außer eurer Bank) involviert sind, die personenbezogene Daten von euch erhalten.

Bildquellen:

Credit Card: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY


CloudspeicherCloudspeicher

Für die Ablage/Speicherung von Daten in der Cloud gibt es eigentlich nur zwei datenschutzfreundliche Lösungen: Die Daten vor dem Hochladen in die fremde Cloud zu verschlüsseln oder die Cloud selbst zu hosten. Alles andere kommt einem Kontrollverlust über die eigenen Daten gleich.

Vor dem Upload verschlüsseln

Mit dem plattformübergreifenden Tool Cryptomator werden die Daten zunächst lokal verschlüsselt, bevor sie in die Cloud hochgeladen werden. Das Prinzip funktioniert mit jeder Cloud, die mit einem Ordner im Dateisystem synchronisiert werden kann. Auf den Geräten (PC, mobiles Endgerät etc.) kann wie gewohnt auf die Daten zugegriffen werden. Der Cloud-Anbieter selbst sieht jedoch nur die verschlüsselten Dateien, die aufgrund der AES-256-Verschlüsselung für ihn nicht lesbar sind. Cryptomator ist für Windows, macOS, Linux, Android und iOS verfügbar – der Quellcode kann auf GitHub eingesehen werden.

Eine eigene Wolke betreiben

  • Nextcloud: Das Schweizer Allzweckmesser Nextcloud bietet einen großen Funktionsumfang, das auch die Datenspeicherung umfasst. Auf die Daten kann entweder über ein Webinterface oder über eine Client-Applikation (Desktop/Smartphone) zugegriffen werden. Neben der Möglichkeit, Nextcloud selbst zu hosten, gibt es auch Anbieter, die dies übernehmen. Auch Filesharing ist mit Nextcloud möglich.
  • Seafile: Mit Seafile können Daten auf einem eigenen Server gespeichert und zwischen Geräten synchronisiert werden. Ähnlich wie bei Nextcloud kann über ein Webinterface sowie über mobile Apps (Android, iOS) oder Desktop-Clients auf die Daten zugegriffen werden. Der Quellcode von Seafile ist für jeden auf GitHub einsehbar.

Daten synchron halten

Es muss nicht immer eine Cloud sein, um Daten zwischen verschiedenen Geräten auszutauschen oder zu synchronisieren. Syncthing ist eine Open-Source-Anwendung (MPL 2.0-Lizenz), mit der Dateien zwischen (mehreren) Geräten in einem lokalen oder entfernten Netzwerk synchronisiert werden können. Der Quellcode sowohl für den Client als auch für den Server ist vollständig auf GitHub verfügbar. Syncthing ist für Windows, macOS, Linux, FreeBSD und auch Android verfügbar. Für verschiedene Linux-Distributionen werden fertige Pakete zur einfachen Installation angeboten.

Bildquellen:

Cloud Storage: vectorsmarket15 from www.flaticon.com is licensed by CC 3.0 BY


Domain-Name-System (DNS)DNS

Kaum jemand ist sich bewusst, wie viele Informationen man mit einer scheinbar harmlosen DNS-Abfrage preisgibt. Insbesondere die DNS-Server der Provider (Vodafone, Telekom und Co.) oder auch die DNS-Server von Google (8.8.8.8 / 8.8.4.4) protokollieren oft eure Anfragen (also welche Webseiten ihr aufruft) und werten diese Informationen aus. Schlimmer noch: Die Provider geben diese Informationen möglicherweise an Dritte weiter oder zensieren Webseiten aus rechtlichen Gründen. Es gibt zensurfreie Alternativen, die DNS-Anfragen nicht protokollieren und auf die jeder ausweichen kann.

Unzensiert, frei & keine Protokollierung [Einsteiger]

Digitalcourage | Serverstandort: Deutschland

[1] dns3.digitalcourage.de (unterstützt DNSSEC)
DNS over TLS:
   Host: dns3.digitalcourage.de
   Port: 853
   IPv4: 5.9.164.112
   IPv6: 2a01:4f8:251:554::2
Besonderheit: Keine Filter | Unterstützt ausschließlich DNS over TLS (DoT)

dismail.de | Serverstandort: Deutschland

[1] fdns1.dismail.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 116.203.32.217
   IPv6: 2a01:4f8:1c1b:44aa::1
DNS over TLS:
   Host: fdns1.dismail.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

[2] fdns2.dismail.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 159.69.114.157
   IPv6: 2a01:4f8:c17:739a::2
DNS over TLS:
   Host: fdns2.dismail.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

dnsforge.de | Serverstandort: Deutschland

[1] dnsforge.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 176.9.93.198 | 176.9.1.117
   IPv6: 2a01:4f8:151:34aa::198 | 2a01:4f8:141:316d::117
DNS over TLS:
   Host: dnsforge.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

AdGuard | Serverstandort: Weltweit

[1] dns.adguard-dns.com (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.adguard-dns.com
   Port: 853
   IPv4: 94.140.14.14 | 94.140.15.15
   IPv6: 2a10:50c0::ad1:ff | 2a10:50c0::ad2:ff
DNS over HTTPS: 
   Host: https://dns.adguard-dns.com/dns-query
   Port: 443
Besonderheit: Blockiert Werbung und Tracker

[2] unfiltered.adguard-dns.com (unterstützt DNSSEC)
DNS over TLS:
   Host: unfiltered.adguard-dns.com
   Port: 853
   IPv4: 94.140.14.140 | 94.140.14.141
   IPv6: 2a10:50c0::1:ff | 2a10:50c0::2:ff
DNS over HTTPS: 
   Host: https://unfiltered.adguard-dns.com/dns-query
   Port: 443
Besonderheit: Keine Filter

Mullvad | Serverstandort: Weltweit

[1] adblock.dns.mullvad.net (unterstützt DNSSEC)
DNS over TLS:
   Host: adblock.dns.mullvad.net
   Port: 853
   IPv4: 194.242.2.3
   IPv6: 2a07:e340::3
DNS over HTTPS: 
   Host: https://adblock.dns.mullvad.net/dns-query
   Port: 443
Besonderheit: Blockiert Werbung und Tracker | Unterstützt ausschließlich DNS over TLS (DoT) und DNS over HTTPS (DoH)

[2] dns.mullvad.net (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.mullvad.net
   Port: 853
   IPv4: 194.242.2.2
   IPv6: 2a07:e340::2
DNS over HTTPS: 
   Host: https://dns.mullvad.net/dns-query
   Port: 443
Besonderheit: Keine Filter | Unterstützt ausschließlich DNS over TLS (DoT) und DNS over HTTPS (DoH)

ffmuc.net | Serverstandort: Deutschland

[1] dot.ffmuc.net (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 5.1.66.255
   IPv6: 2001:678:e68:f000::
   IPv4: 185.150.99.255
   IPv6: 2001:678:ed0:f000::
DNS over TLS:
   Host: dot.ffmuc.net
   Port: 853
DNS over HTTPS: 
   Host: https://doh.ffmuc.net/dns-query
   Port: 443
Besonderheit: Keine Filter

Digitale Gesellschaft | Serverstandort: Schweiz

[1] dns.digitale-gesellschaft.ch (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.digitale-gesellschaft.ch
   Port: 853
DNS over HTTPS:
   Host: https://dns.digitale-gesellschaft.ch/dns-query
   Port: 443
Besonderheit: Keine Filter

UncensoredDNS | Serverstandort: Dänemark

[1] anycast.uncensoreddns.org (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 91.239.100.100
   IPv6: 2001:67c:28a4::
DNS over TLS: 
   Host: anycast.uncensoreddns.org 
   Port: 853
DNS over HTTPS: 
   Host: https://anycast.uncensoreddns.org/dns-query
   Port: 443
Besonderheit: Keine Filter

[2] unicast.uncensoreddns.org (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 89.233.43.71
   IPv6: 2a01:3a0:53:53::
DNS over TLS:
   Host: unicast.uncensoreddns.org
   Port: 853
DNS over HTTPS: 
   Host: https://unicast.uncensoreddns.org/dns-query 
   Port: 443
Besonderheit: Keine Filter

Globale Anbieter: Zensur bei Gerichtsverfahren, aber frei [Einsteiger]

Hinweis

Die Nutzung eines DNS-Dienstes ist immer eine Vertrauensfrage, da der DNS-Dienst eine zentrale Rolle bei der Umwandlung von Domainnamen in IP-Adressen spielt. Da DNS-Dienste auch potenziell sensible Informationen über deine Internetaktivitäten sammeln können, ist es wichtig, einen DNS-Anbieter zu wählen, der deine Privatsphäre respektiert und angemessene Sicherheitsmaßnahmen implementiert. Sowohl quad9 als auch Cloudflare werden als datenschutzfreundliche DNS-Anbieter beworben und versichern, keine personenbezogenen Daten zu speichern oder zur Identifizierung einzelner Nutzer zu verwenden. Wie bei jedem anderen Anbieter kann jedoch nicht kontrolliert werden, ob dies tatsächlich der Fall ist. Quad9 zensiert nicht – es sei denn, das Unternehmen ist in ein Gerichtsverfahren verwickelt (z.B. Sony). Mit dem Blocked Domain Tester kann überprüft werden, ob eine Domain aufgrund eines Gerichtsverfahrens (vorübergehend) gesperrt oder zensiert ist.

quad9 | Serverstandort: Weltweit [Hinweis: keine Protokollierung]

[1] dns.quad9.net (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 9.9.9.9
   IPv4: 149.112.112.112
   IPv6: 2620:fe::fe
   IPv6: 2620:fe::9
DNS over TLS: 
   Host: dns.quad9.net 
   Port: 853
DNS over HTTPS: 
   Host: https://dns.quad9.net/dns-query
   Port: 443
Besonderheit: Blockiert Malware

[2] dns11.quad9.net (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 9.9.9.11
   IPv4: 149.112.112.11
   IPv6: 2620:fe::11
   IPv6: 2620:fe::fe:11
DNS over TLS:
   Host: dns11.quad9.net
   Port: 853
DNS over HTTPS: 
   Host: https://dns11.quad9.net/dns-query
   Port: 443
Besonderheit: Blockiert Malware | EDNS Client Subnet (ECS)

Cloudflare | Serverstandort: Weltweit [Hinweis: 24-Stunden Protokollierung]

[1] one.one.one.one (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 1.1.1.1 | 1.0.0.1
   IPv6: 2606:4700:4700::1111 | 2606:4700:4700::1001
DNS over TLS: 
   Host: one.one.one.one 
   Port: 853
DNS over HTTPS: 
   Host: https://cloudflare-dns.com/dns-query
   Port: 443
Besonderheit: Keine Filter

Einstellung der DNS-Server

Ihr könnt die DNS-Server entweder direkt auf eurem System anpassen oder zentral auf eurem Router (bspw. Fritz!Box) konfigurieren. Die zentrale Konfiguration direkt auf dem Router ist empfehlenswert, da diese Einstellung dann in der Regel für alle Geräte in eurem privaten Netzwerk gilt. Mit dnsleaktest.comDNS-Leak-Test könnt ihr überprüfen, ob der gewählte DNS-Server verwendet wird. Ruft die Seite auf und klickt auf Standard Test – wenn ihr den DNS-Server dismail.de ausgewählt habt, solltet ihr folgendes Ergebnis erhalten:

  • IP: 116.203.32.217
  • Hostname: dismail.de

Hinweis

Damit Internetseiten auch bei Ausfall des bevorzugten DNS-Servers aufgerufen werden können, sollte immer ein zweiter / sekundärer DNS-Server konfiguriert werden.

Ab Android 9 (Pie) [Einsteiger]

Android unterstützt ab der Version 9.x (Pie) das Protokoll DNS over TLS (DoT). Das bedeutet: Alle DNS-Anfragen und Antworten werden über eine TLS-gesicherte Verbindung übertragen, die zwischen Android und einem DNS-Server aufgebaut wird. Im Gegensatz zur ungesicherten Abfrage von DNS-Anfragen über den UDP-Port 53, schützt DoT unter anderem vor dem Ausspähen von DNS-Anfragen und Man-in-the-Middle-Angriffen. DoT verbessert somit sowohl die Privatsphäre als auch die Sicherheit.

Aktivierung von DoT unter Android 9:

  • Ruft die Systemeinstellungen auf und navigiert zu »Netzwerk & Internet« -> »Erweitert« -> »Privates DNS«
  • Selektiert dort Hostname des privaten DNS-Anbieters
  • Im Feld darunter tragt ihr dann die Adresse des DNS-Servers ein, der DoT unterstützt

Anschließend werden alle DNS-Anfragen des Systems über eine TLS-verschlüsselte Verbindung an den gewählten DNS-Server übermittelt und beantwortet. Empfehlenswert in diesem Zusammenhang ist der Beitrag »Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen«.

Mit dnsleaktest.com | DNS-Leak-Test könnt ihr überprüfen, ob der gewählte DoT-Server verwendet wird. Ruft die Seite auf und klickt auf Standard Test – wenn ihr den DoT-Server dismail.de ausgewählt habt, sollte das Ergebnis angezeigt werden:

  • IP: 116.203.32.217
  • Hostname: dismail.de

Hinweis

Dies ist eine globale Einstellung und gilt für alle Netzschnittstellen (WLAN, Mobil, VPN etc.). Wenn ihr also bspw. im Mobilfunknetz eures Providers unterwegs seid, bekommt ihr von diesem normalerweise DNS-Server zugewiesen, die dann die DNS-Anfragen beantworten. Aktiviert ihr jedoch DoT, werden die DNS-Anfragen über den von euch gewählten DNS-Server abgewickelt – die DNS-Server des Providers werden sozusagen überschrieben.

Zusätzliche Privatsphäre & Sicherheit [Fortgeschrittene]

Anfragen an DNS-Server werden normalerweise unverschlüsselt über Port 53 (TCP|UDP) gesendet. Das bedeutet: Selbst wenn man einen unzensierten und freien DNS-Server gewählt hat, besteht die Möglichkeit, dass jemand die DNS-Anfragen mitliest und auswertet. Derzeit gibt es verschiedene Ansätze, dies zu verbessern oder die DNS-Anfragen zwischen Client und DNS-Server zu verschlüsseln – durchgesetzt haben sich jedoch nur die beiden folgenden Lösungen:

Bildquellen:

Server: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Drittanbietersperre beim Mobilfunkbetreiber einrichtenDrittanbietersperre

Dem einen oder anderen ist es sicher schon passiert: Einmal nicht aufgepasst und schon hat man ein kostenpflichtiges Abo abgeschlossen, das plötzlich auf der nächsten Mobilfunkrechnung auftaucht. Der beste Schutz vor solchen Abofallen sind Drittanbietersperren, die verhindern, dass über die Mobilfunkrechnung an Dritte gezahlt wird.

Obwohl die Abrechnung über den Mobilfunkanbieter durchaus praktisch sein kann, da man relativ einfach und ohne die Angabe von Bankdaten bspw. Testberichte der Stiftung Warentest erwerben kann, ist die Gefahr, in eine Abofalle zu tappen, groß. Unseriöse Geschäftemacher und dubiose Unternehmen nutzen Direct Carrier Billing, um ihren »Kunden« bspw. über ein Werbebanner (In-App oder Webseiten) ein Abo unterzuschieben. Kosten und Kündigungsmöglichkeiten werden dabei oft geschickt verschleiert und so kann ein Abo schon mal 9,90 € pro Woche kosten. Gegen diese Abzocke kann man bei seinem Mobilfunkanbieter einfach eine Drittanbietersperre einrichten.

Drittanbietersperre bei Netzbetreiber einrichten

  • Telekom:
  • Telefonica (o2):
  • Vodafone:
    • Online: Kunden-Konto (Mein Vodafone) unter Ihre Rechnungen -> Mobiles Bezahlen -> Mobiles Bezahlen deaktivieren
    • Telefonisch: 1212 (Kurzwahl aus dem Vodafone-Netz)
    • App: Über die Vodafone-App unter Menü -> Mein Vertrag -> Optionen -> Drittanbieter Abos sperren

Drittanbietersperre bei Anbietern/Resellern einrichten

  • Congstar:
    • Online: Kunden-Konto (Mein Congstar) unter Meine Produkte -> Details -> SIM- & Vertragsdetails -> Drittanbietersperre -> Drittanbieterdienste
    • Telefonisch: 0221 79 700 700
    • Chat: Über den Service-Chat
  • Simyo:
    • E-Mail: E-Mail an die Adresse service@simyo.de mit der Bitte um Einrichtung einer Drittanbietersperre für die eigene Rufnummer
  • Blau:
  • Aldi Talk:
    • Online: Kunden-Konto unter Konto -> Account -> Drittanbieterdienste
    • Telefonisch: 0177 177 1157 oder 1157 (Kurzwahl aus dem Aldi-Talk-Netz)
    • E-Mail: E-Mail an die Adresse partnerservice@eplus.de mit der Bitte um Einrichtung einer Drittanbietersperre für die eigene Rufnummer
  • Klarmobil:

Drittanbietersperre nicht notwendig

Bei folgenden Anbietern ist die Drittanbietersperre bereits standardmäßig aktiviert:

  • Lidl Connect
  • WEtell

Bildquellen:

Stickers: Freepik from www.flaticon.com is licensed by CC 3.0 BY


E-Mail-AnbieterE-Mail-Anbieter

Auch wenn sich die Kommunikation gerade im privaten Umfeld zunehmend auf Messenger verlagert, so ist und bleibt die E-Mail ein beliebtes Kommunikationsmittel. Grund genug, einen Anbieter zu wählen, der sowohl hohe Sicherheitsstandards erfüllt, als auch die Privatsphäre schützt. Leider tummeln sich auf dem Markt viele Anbieter, die diese Anforderungen wenig Wert legen und mehr daran interessiert sind, vermarktbare Informationen über den Nutzer zu gewinnen. Anbieter wie Google scannen ungeniert die ein- und ausgehenden E-Mails ihrer Nutzer, mit dem Ziel, um das Datenprofil weiter zu verfeinern. Damit verletzt Google nicht nur die Privatsphäre der Gmail-Nutzer, sondern auch die der Korrespondenzpartner. Dabei gibt es Alternativen, bei denen der Nutzer nicht mit seinen Daten bezahlt und die Privatsphäre respektiert wird.

Kein Proton Mail oder Tuta?

Ich werde oft gefragt, warum ich E-Mail-Anbieter wie Proton Mail oder Tuta nicht empfehle. Weil der Zugang über IMAP nicht möglich ist, was ich für sehr wichtig halte. Ich möchte nicht auf den Browser oder die Apps des Providers angewiesen sein, um meine E-Mails abzurufen. Ich weiß, dass Proton eine »Proton Mail Bridge« anbietet. Das funktioniert aber nicht bei jedem Client, vor allem nicht mobil.

Professionelle Anbieter [Einsteiger | Fortgeschrittene]

Sowohl mailbox.org als auch Posteo sind zwei deutsche E-Mail-Anbieter, die bereits seit einigen Jahren auf dem Markt sind und ihre Dienste gegen eine geringe monatliche Gebühr anbieten. Beide Anbieter werben mit sicheren und datenschutzfreundlichen Postfächern, die bestmöglich vor Spam geschützt sein sollen. Beide Anbieter veröffentlichen Transparenzberichte, d.h. wie oft Behörden Auskunft über Kundendaten verlangen.

mailbox.org

Ab 1,- € pro Monat bietet mailbox.org E-Mail-Postfächer für Privat- und auch Geschäftskunden an. Der Serverstandort ist in Berlin und es werden alle wichtigen Sicherheitserweiterungen wie DANE, SPF, DKIM etc. unterstützt – mit einer Zwei-Faktor-Authentifizierung (nur beim Zugriff über das Webinterface aktiv) kann das Postfach zusätzlich gegen Eindringlinge gesichert werden. Darüber hinaus bietet mailbox.org Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner, die ebenfalls über das CardDAV- bzw. CalDAV-Protokoll geräteübergreifend synchronisiert werden können. Die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> mailbox.org bzw. mailbox.org <-> E-Mail-Server anderer Anbieter erfüllen hohe Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen. Auf Wunsch bietet mailbox.org ein Postfach mit eigener Domain als E-Mail-Adresse an. Als Captcha-Dienst setzt mailbox.org mittlerweile konsequent auf Friendly Captcha.

Posteo

Posteo bietet einen ähnlichen Leistungsumfang wie mailbox.org. Ebenfalls ab 1,- € pro Monat erhält der Nutzer ein eigenes Postfach mit Funktionen wie Kalender- und Adressbuch-Synchronisation über das CardDAV- bzw. CalDAV-Protokoll. Über eine Zwei-Faktor-Authentifizierung (nur beim Zugriff über das Webinterface aktiv) kann das Postfach zusätzlich gegen unbefugten Zugriff gesichert werden. Auf Kritik hat Posteo in der Vergangenheit leider nicht immer so professionell reagiert, wie man es sich wünschen würde. Unter anderem wurde gegen den Betreiber des Privacy-Handbuchs eine Unterlassungsklage eingereicht, nachdem dieser die Verwendung diverser Cipher-Suiten durch Posteo kritisiert hatte. Trotz dieses harschen Umgangs mit Kritik ist Posteo aus meiner Sicht ein empfehlenswerter E-Mail-Dienst, der mit viel Herzblut betrieben wird, um dem Nutzer ein hohes Maß an Sicherheit und Datenschutz zu bieten.

Spendenfinanzierte Anbieter [Fortgeschrittene]

Neben Anbietern, die ihre Dienste gegen eine feste monatliche Gebühr anbieten, gibt es auch Projekte, wie dismail.de oder disroot.org, die auf Spendenbasis arbeiten. Hinsichtlich der angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM stehen sie den professionellen Anbietern in nichts nach – beide bieten sogar eine Zwei-Faktor-Authentifizierung über das Webinterface an. Aufgrund der spendenfinanzierten Basis schätze ich das Risiko einer (abrupten) Einstellung des Dienstes allerdings höher ein als bei professionellen Anbietern wie mailbox.org.

dismail.de [keine Registrierung mehr möglich]

dismail.de ist eine Ein-Mann-Show. Das soll aber den Gesamteindruck nicht schmälern. Die angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM entsprechen dem Stand der Technik – und auch die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> dismail.de bzw. dismail.de <-> E-Mail-Server anderer Anbieter genügen hohen Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen.

disroot.org

Die Server von disroot.org stehen in den Niederlanden und werden von einer kleinen Gruppe Freiwilliger betrieben, denen Dezentralität, Open-Source und ein respektvoller Umgang mit Freiheit und Privatsphäre am Herzen liegen. Die von disroot.org angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM entsprechen ebenso dem Stand der Technik wie die angebotenen Cipher-Suiten (TLS-Verschlüsselung). Positiv: Ein disroot.org-Account kann neben E-Mail auch für verschiedene Dienste wie einen Nextcloud-Zugang etc. genutzt werden.

Bildquellen:

Windows: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY


Fake News: Desinformation und Medienmanipulation erkennenFake News

Insbesondere soziale Medien wie Facebook oder Twitter/X eignen sich für die Verbreitung von Fake News – also der Verbreitung von Falschmeldungen, meist mit dem Ziel, eine politische Debatte zu emotionalisieren. Das wirft die Frage auf: Wie kann man erkennen, ob eine Quelle vertrauenswürdig ist bzw. ob die verbreiteten Informationen der Wahrheit entsprechen? Die COVID-19-Pandemie hat eindrücklich gezeigt, wie schwer es den Menschen offenbar fällt, eine Antwort auf diese Frage zu finden. Wenn sich Fake News weiter so erfolgreich verbreiten wie bisher, birgt das ungeahnte Risiken für das Informationsökosystem und damit für die Demokratie. Aus meiner Sicht ist es daher unerlässlich, Wissen zu vermitteln, das Nutzer in die Lage versetzt, Fake News zu erkennen bzw. zu entlarven.

Hinweis

Wer selbst einmal testen möchte, wie es um die eigene Medienkompetenz bestellt ist, kann den digitalen Nachrichtentest absolvieren.

Sieben Arten der Informationsstörung

Nach der Vorstellung von Claire Wardle gibt es unterschiedliche Arten von problematischen Inhalten im Informationsökosystem. In einem Entwurf vom März 2017 benennt Wardle sieben Arten von »Informationsstörungen«:

Desinformation

Wer erstellt diese Inhalte und was ist das Ziel? Nach Wardle sind die Motive unterschiedlich und lassen sich in folgende Kategorien einteilen:

Desinformation-Checklist

Verification Handbook

Das Verification Handbook – das Handbuch zur Überprüfung von Desinformation und Medienmanipulation – bündelt auf 144 Seiten alles Wissenswerte zum Thema Fake News. Es wurde von der Landesanstalt für Medien NRW ins Deutsche übersetzt. Jeder, der sich im Internet bewegt, sollte dieses Handbuch im Grunde einmal gelesen haben – klare Leseempfehlung!

Bildquellen:

News: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Fake Telefonnummer: Frank geht ranFrank geht ran

Bei vielen Online-Bestellungen, Reservierungsformularen oder anderweitig ist die Angabe einer Telefonnummer ein Pflichtfeld. In der Regel wird diese jedoch nicht wirklich benötigt, da die Kommunikation meist per E-Mail erfolgt. Wer also nicht gerade etwas per Spedition bestellt, der wird kaum telefonisch kontaktiert.

Daher ist es für manche ärgerlich, Informationen angeben zu müssen, die für die eigentliche Dienstleistung nicht notwendig sind. Für die Telefonnummer gibt es eine einfache Lösung: Frank geht ran. Ein Dienst, der Anrufe automatisch entgegennimmt und »abwimmelt« bzw. darauf hinweist, dass eine telefonische Kontaktaufnahme nicht erwünscht ist.

Franks Nummer lautet:

01631737743

Die Nutzung erfolgt selbstverständlich auf eigene Gefahr.

Bildquellen:

Call: Freepik from www.flaticon.com is licensed by CC 3.0 BY


FediverseFediverse

Ein Netzwerk mit dem Anspruch »allen zu gehören«? Angesichts der Monopolstellung und kommerziellen Ausrichtung von Plattformen wie Twitter/X, Facebook, YouTube und Co. klingt das befremdlich – wie aus einem anderen Universum. Und so ähnlich kann man sich das Fediverse tatsächlich auch vorstellen. Es ist ein »vereinigtes Universum«, in dem föderierte, voneinander unabhängige soziale Netzwerke, Mikroblogging-Dienste und Webseiten ein gemeinsames Netzwerk bilden, das die Freiheit, Autonomie und Inhalte der Nutzer in den Vordergrund stellt. Also Soziale Medien für alle.

Weitere Infos

Das Fediverse wird im Beitrag »Social Media losgelöst von den Fesseln kommerzieller Interessen« ausfürhlich vorgestellt. Der Beitrag beleuchtet auch die Probleme klassischer sozialer Medien wie Facebook und Twitter/X.

Das Fediverse selbst ist kein Dienst/Plattform, sondern gibt nur eine Struktur bzw. eine Idee vor, an der sich Entwickler orientieren können. Das Konzept scheint aufzugehen, denn das Fediverse wächst beständig und immer neue Dienste kommen hinzu und vergrößern das Universum. Der Vorteil für (bestehende) Nutzer: Durch die Registrierung bei einer Instanz erhält man Zugriff auf das (gesamte) Fediverse. Es ist also nicht notwendig, sich für jeden Dienst einzeln zu registrieren. Als Teilnehmer des Fediverse kann man mit jedem anderen Nutzer kommunizieren und ihm folgen. Es steht dem Nutzer also völlig frei, welchen Dienst er nutzen möchte.

Nachfolgend eine Auswahl an verschiedenen Diensten aus dem Fediverse. In Klammern sind jeweils die bekannten nicht freien Dienste angegeben, die am ehesten mit dem Dienst im Fediverse vergleichbar sind:

  • Mastodon (Twitter/X): Ähnlich wie Twitter/X ist Mastodon ein Microblogging-Dienst, bei dem sich die Nutzer direkt über Kurznachrichten (Toots) von bis zu 500 Zeichen austauschen können. Das Teilen/Verbreiten von anderen Toots wird als »Boost« bezeichnet.
  • Pleroma (Twitter/X): Pleroma ist ebenfalls ein Microblogging-Dienst, vergleichbar mit Mastodon. Auf vielen Pleroma-Instanzen können auch längere Beiträge als die bei Mastodon üblichen 500 Zeichen verfasst werden.
  • PeerTube (YouTube): Die Video-Plattform PeerTube ist eine Alternative zu geschlossenen Plattformen wie YouTube oder Vimeo. Auf PeerTube können Videos hochgeladen, angesehen und kommentiert werden. Ähnlich wie bei YouTube werden auch Kanäle unterstützt, die die Nutzer abonnieren können.
  • Funkwhale (Spotify, Soundcloud): Funkwhale ist das Pendant zu PeerTube, auf dem Audio/Musik hochgeladen, angehört und kommentiert werden kann. Für Musiker, Hörbuch- oder Podcasthörer eine Alternative zu kostenpflichtigen Diensten wie Spotify oder Soundcloud.
  • Pixelfed (Instagram): Ähnlich wie Instagram ist Pixelfed ein Dienst zum Teilen, Verbreiten und Kommentieren von Fotos. Nutzer können eigene Fotoalben anlegen, andere Fotos entdecken und anderen Nutzern/Fotografen in einer Timeline folgen.
  • Friendica (Facebook): Friendica ist ein soziales Netzwerk bzw. ein Macroblogging-Dienst, vergleichbar mit Facebook. Es bietet unter anderem die Möglichkeit, sich mit anderen Nutzern zu vernetzen, ihnen zu folgen, sich in Gruppen zu organisieren, Fotoalben zu führen, Kommentare abzugeben und Inhalte mit »Likes« oder »Dislikes« zu versehen.
  • Hubzilla (Facebook): Auch Hubzilla ist charakteristisch ein soziales Netzwerk, das ähnlich wie Friendica funktioniert und mit Facebook vergleichbar ist. Wie in einem sozialen Netzwerk üblich, können sich die Nutzer untereinander vernetzen, Inhalte austauschen und kommentieren.
  • Mobilizon (Facebook-Events): Mobilizon ist eine kostenlose Alternative zu Facebook-Events, um Veranstaltungen zu organisieren und zu bewerben. Neben dem Veranstaltungsort enthält ein Event auf Mobilizon ein Datum/eine Uhrzeit und optional eine Beschreibung.
  • Plume (WordPress): Plume ist ein föderierter Blogging-Dienst, der es ermöglicht, größere Beiträge/Inhalte im Fediverse zu veröffentlichen. Die Nutzer können gemeinsam an einem Beitrag arbeiten und sich untereinander austauschen.
  • WriteFreely (WordPress): Ähnlich wie Plume ist WriteFreely ein föderativer Blogging-Dienst zur Verbreitung von Beiträgen/Inhalten.

Ein weiterer bekannter Dienst (Diaspora) ist in der Aufzählung nicht enthalten, da er das ActivityPub-Protokoll bisher nicht unterstützt und dies auch nicht plant. Nach meiner Einschätzung wird dieser Dienst langfristig keine Zukunft haben.

Die folgende Abbildung stellt die oben genannten Dienste/Plattformen des Fediverse grafisch dar und skizziert mit verschiedenen Verbindungslinien, ob die jeweiligen Dienste miteinander kommunizieren können:

Fediverse

Nachfolgend eine vereinfachte Variante, die nur die Plattformen darstellt, die das verbreitete ActivityPub unterstützen und darüber ein großes (Interaktions-/Kommunikations-)Netzwerk bilden:

Fediverse: ActivityPub

Bildquellen:

Networking: Becris from www.flaticon.com is licensed by CC 3.0 BY


FilesharingFilesharing

Manchmal ist es notwendig Dateien (Dokumente, Bilder etc.) mit anderen Personen auszutauschen. Üblicherweise wird dazu einfach ein Anhang an eine E-Mail angehängt oder ein Messenger verwendet. Dabei stößt man jedoch schnell an Grenzen, da Dateianhänge meist nur bis zu einer bestimmten Größe erlaubt sind. Abhilfe schaffen Upload- bzw. Filesharing-Dienste, die den Austausch von Dateien bis zu einer Größe von 4 GB (und mehr) ermöglichen.

Filesharing-Dienste [Einsteiger]

Verschiedene Vereine und freie Projekte bieten Filesharing-Dienste an, die von jedermann zum Austausch großer Dateien genutzt werden können. Die Anbieter freuen sich über Spenden, da die Bereitstellung von Speicherplatz und die Administration Kosten verursachen. Hier einige Dienste:

  • Anoxinon Share (50 MB): Bei Anoxinon Share können Dateien bis zu einer Größe von 50 MB hochgeladen werden – der Dienst basiert auf Jirafeau. Die Dateien werden serverseitig verschlüsselt und nach 24 Stunden automatisch wieder gelöscht. Mit einem Passwort kann der Download zusätzlich gesichert werden. Gehostet wird der Dienst von Anoxinon e.V.
  • Disroot Upload (2 GB): Der Disroot-Uploader ermöglicht den Upload von Dateien bis zu 2 GB und basiert auf Lufi, das die Dateien noch vor dem Upload im Browser verschlüsselt und anschließend eine URL ausgibt, die vom Server nicht eingesehen werden kann. Damit ist eine Ende-zu-Ende-Verschlüsselung der Dateien bzw. zwischen den Teilnehmern möglich. Die Verfallszeit (wann die Downloadmöglichkeit erlischt) einer Datei kann auf 24 Stunden, 7 oder 30 Tage – oder auch nach dem ersten Download – eingestellt werden. Der Upload kann zusätzlich mit einem Passwort geschützt werden. Gehostet wird der Dienst von Disroot.
  • NowTransfer (2 GB): Der Dienst NowTransfer basiert auf linx und ermöglicht den Austausch von Dateien bis zu einer Größe von 2 GB. Neben einer Verfallszeit (nach der die Downloadmöglichkeit abläuft) kann der Dienst den Dateinamen randomisieren und die Datei zusätzlich mit einem Passwort schützen. Gehostet wird der Dienst von adminforge.de.

Selbstgehostete Dienste [Fortgeschrittene]

Wer mehr Kontrolle wünscht bzw. den frei angebotenen Filesharing-Diensten nicht vertraut, kann auch selbst hosten:

  • Nextcloud: Das Schweizer Allzweckmesser Nextcloud bietet einen breiten Funktionsumfang, der auch das Teilen von Dateien über URLs beinhaltet. Eine Beschränkung der Dateigröße gibt es nicht bzw. liegt in der Verantwortung des Nextcloud-Administrators. Dateien können mit einem Ablaufdatum versehen und zusätzlich mit einem Passwort geschützt werden.
  • Lufi: Vor dem Hochladen von Dateien auf eine Lufi-Instanz erfolgt eine browserseitige Verschlüsselung. Nach dem Upload wird die Download-URL mit einem Anker (#) clientseitig berechnet und ausgegeben. Das bedeutet: Der Ankerteil der URL enthält den Schlüsselteil, den der Server nicht einsehen kann und der dann vom Browser des Empfängers verwendet wird, um die Datei wieder zu entschlüsseln. Damit ist eine Ende-zu-Ende-Verschlüsselung von Dateien bzw. zwischen den Teilnehmern möglich.
  • OnionShare: Mit OnionShare können Dateien (bei korrekter Handhabung) anonym über das Tor-Netzwerk getauscht werden. Dazu wird lokal auf dem Rechner eine temporäre, passwortgeschützte Webseite mit einer Onion-Adresse erzeugt. Diese Onion-Adresse kann dann mit dem Tor-Browser aufgerufen werden, um die Dateien herunterzuladen. Der Austausch erfolgt also Peer-to-Peer und ohne Zwischenhändler. Zu beachten ist: Der Computer, der die Dateien teilt, muss online sein, damit die Dateien heruntergeladen werden können.

Bildquellen:

Computer: Freepik from www.flaticon.com is licensed by CC 3.0 BY


FirefoxFirefox

Ein Webbrowser ist der »Schlüssel« zum Internet bzw. zum World Wide Web, mit dem wir unsere privaten und beruflichen Aufgaben erledigen können. Daher ist es wichtig, einen Browser zu wählen, der unsere Privatsphäre und Sicherheit im Internet wirksam schützen kann. Eine bewährte Lösung hierfür ist Firefox, der von der Mozilla Foundation entwickelt und 2002 erstmals veröffentlicht wurde. Seit mehr als zwei Jahrzehnten ist Firefox eine ausgezeichnete Alternative zu Browsern wie Google Chrome, Microsoft Edge (ehemals Internet Explorer) und Apple Safari.

Browser-Check-Serie

Im Rahmen der Artikelserie »Browser-Check« wurden verschiedene Browser auf ihr Datensendeverhalten hin überprüft. Untersucht wurde, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übertragen werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und daraus Tipps ableiten, wie das »nch Hause telefonieren« eingeschränkt oder sogar vollständig abgeschaltet werden kann.

Empfehlenswerte Add-ons [Einsteiger]

Die nachfolgenden Add-ons sind für Anfänger geeignet. Über 99% aller Webseiten sollten problemlos funktionieren. Gelegentlich kann es notwendig sein, Skip Redirect vorübergehend zu deaktivieren – bspw. beim Einloggen in WiFi-Hotspots in Hotels/Cafés etc.

  • uBlock Origin: Der beliebte Tracking- und Werbeblocker ist ein Muss. Einstellungstipps für das Add-on gibt es hier. Weitere Einstellungen/Empfehlungen:
    • Medium-Mode: Nach einer Eingewöhnungszeit mit dem Add-on sollte auf den Medium-Mode gewechselt werden. Im Medium-Mode wird das Add-on NoScript nicht mehr benötigt.
    • Zusätzliche Filterlisten:
  • Skip Redirect: Das Add-on umgeht nervige und nutzerverfolgende Redirects, die beispielsweise von Google und anderen Unternehmen eingesetzt werden. Es sorgt dafür, dass der Nutzer nicht mehr umgeleitet wird.
  • LibRedirect: Anfragen zu Diensten wie Twitter/X, YouTube, Instagram und Google Maps werden zu den datenschutzfreundlichen Alternativen wie Invidious weitergeleitet.

Empfehlenswerte Add-ons [Fortgeschrittene]

  • LocalCDN (Decentraleyes Fork): Stellt lokal Ressourcen zur Verfügung, die Webseiten gerne von Drittanbietern einbinden (ajax.googleapis.com, code.jquery.com).
  • CanvasBlocker: Kann Canvas-Fingerprinting verhindern, indem modifizierte JavaScript-API-Werte (Canvas, Screen, SVG usw.) zurückgegeben werden.

Empfehlenswerte Einstellungen / user.js [Fortgeschrittene]

Mozilla integriert immer wieder Funktionen in Firefox, die die Privatsphäre beeinträchtigen können. Um das Surfen sicherer und privater zu gestalten, können einige Parameter in der »about:config« angepasst werden. Eine vorgefertigte user.js erleichtert diese Aufgabe:

Alternativ kann auch der Firefox Profilemaker verwendet werden, um eine eigene user.js zu erstellen.

Firefox-Fork: LibreWolf

Wer keine Lust hat, immer Mozilla »hinterherzulaufen« bzw. die Einstellungen und Änderungen im Auge zu behalten, die sich negativ auf die Privatsphäre auswirken können, sollte einen Blick auf LibreWolf werfen. LibreWolf basiert auf Firefox. Im Gegensatz zu Firefox wurden proprietäre Komponenten und die Telemetrie bzw. die Übermittlung von Diagnosedaten/Absturzmeldungen an Mozilla entfernt. In der Artikelserie »Browser-Check« schneidet der Browser im Check einwandfrei ab.

In LibreWolf ist das Add-on uBlock Origin bereits integriert. Es wird empfohlen, auch die anderen für Firefox empfohlenen Add-ons zu installieren. Die Installation von CanvasBlocker ist optional, sofern der Fingerprinting-Schutz in LibreWolf aktiviert ist (Einstellungen -> LibreWolf -> Fingerprinting).

Bei LibreWolf ist es nicht notwendig, Anpassungen über die about:config oder user.js vorzunehmen. Falls gewünscht, können einige spezielle Werte/Einstellungen über die Einstellungen -> LibreWolf angepasst werden. Ein Blick in die Dokumentation bzw. FAQ von LibreWolf ist empfehlenswert.

Hinweis

Wer möglichst spurenarm im Internet surfen möchte, der sollte einen Blick auf die vierteilige Artikelserie »Not my data!« werfen. Dort wird anhand eines 3-Browser-Modells erklärt, wie man seine Privatsphäre besser schützen kann. Gerade wenn das Bedrohungsmodell Anonymität und einen erweiterten Schutz vor Fingerprinting erfordert, sollte man den Tor-Browser verwenden.

Bildquellen:

Firefox: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY


Google-AlternativenGoogle Alternativen

Googles Strategie, den Markt mit benutzerfreundlichen Produkten und Dienstleistungen zu erobern, ist aufgegangen. Der Erfolg gibt ihnen Recht. Bei dieser Erfolgsgeschichte muss man sich aber immer wieder vor Augen führen, welchen Preis die eigentlichen Nutzer (oder besser »Produkte«) dafür bezahlt haben. Diese zahlten und zahlen nämlich mit den Daten, die sie »produzieren«. In einem Interview mit James Bennet sagte der Aufsichtsratsvorsitzende Eric Schmidt:

With your permission you give us more information about you, about your friends, and we can improve the quality of our searches. We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Diese Bemerkung aus dem Jahr 2010 ist heute aktueller denn je. Und je öfter man sie liest, desto gruseliger wird die Vorstellung, dass ein amerikanischer Konzern »mehr oder weniger weiß, was man denkt«. Und was Google über einen weiß, kann man relativ einfach selbst herausfinden – sofern man noch ein Google-Konto hat.

Wer sich gelegentlich Gedanken über seine Privatsphäre macht, der wird feststellen: Gerade Unternehmen wie Google, Microsoft und Co. zählen heute zu den größten Datensammlern. Die nachfolgenden Dienste bzw. Anbieter stellen eine datenschutzfreundliche Alternative zu den Google-Diensten dar.

[1] Nutzer (Desktop, Smartphone)

Dienst / Software Alternative
Google Chrome Firefox, Ungoogled Chromium
Google Suche Startpage, weitere Empfehlungen
Google Hangouts Jitsi Meet, BigBlueButton, OpenTalk
Gmail mailbox.org, Posteo, weitere Empfehlungen
Google Docs / Sheets / Slides Nextcloud, Framacalc, Etherpad, EtherCalc
YouTube PeerTube, weitere Empfehlungen
Google Calendar Nextcloud, Baikal, Radicale, mailbox.org, Posteo
Google Maps Maps Metager, OpenStreetMap, OSMAnd, Organic Maps
Google DNS Liste mit freien, unzensierten DNS-Servern
Google Play Store F-Droid (inkl. Android-Empfehlungen), Aurora Store
Google Drive Nextcloud, Syncthing, Seafile
Google Android GrapheneOS, DivestOS, LineageOS, CalyxOS
Doodle nuudel, dudle

[2] Webseitenbetreiber

Dienst / Software Alternative
Google Analytics Matomo, Open Web Analytics, GoAccess
Google reCAPTCHA TextCaptcha, Friendly Captcha
Google Maps für Webseiten Leaflet
Google Fonts Google-Webfonts Helper (Schriftart runterladen, lokal per CSS einbinden), Font Squirrel

[3] Android Entwickler

Dienst / Software Alternative
Google Crashlytics Sentry (Self-Hosted)
Google Firebase Kuzzle, appwrite

Bildquellen:

Google: Freepik from www.flaticon.com is licensed by CC 3.0 BY


IdentitätsdiebstahlIdentitätsdiebstahl

Identitätsdiebstahl ist die missbräuchliche Verwendung der Identität einer natürlichen Person durch Dritte. Der Diebstahl kann physisch erfolgen, wenn bspw. Ausweispapiere/Personalausweise entwendet werden. Oder der Betrüger hackt sich in das Konto des Betroffenen und gibt sich als dieser aus. Was dann folgt, kann sehr unterschiedlich sein, hat aber in der Regel schwerwiegende Folgen für den Betroffenen. Meist werden die gestohlenen Daten im Netz für Einkäufe aller Art und den Abschluss von (Mobilfunk-)Verträgen missbraucht. In besonders schweren Fällen werden mit dem gestohlenen Ausweis neue Bankkonten eröffnet oder Kredite aufgenommen.

Hinweis

Nachfolgend werden Tipps und Maßnahmen zur Prävention des Verlusts/Diebstahls von Ausweisdokumenten vorgestellt. Hinweise zum Schutz vor und zur Reaktion auf Online-Kontohacking finden sich unter »Account-Diebstahl: Was tun?«.

Schutzmaßnahmen

In Deutschland besteht zwar eine Ausweispflicht, aber keine generelle Mitführungspflicht. Wer also seinen Ausweis nicht dabei hat und zum Beispiel in eine Polizeikontrolle gerät, kann von den Beamten zur Identitätsfeststellung mit auf die Wache genommen werden. Das kann ärgerlich sein und unnötig Zeit kosten, ein Bußgeld droht aber nicht. Vor allem in Grenznähe, an Flughäfen oder Bahnhöfen, wo häufiger Personenkontrollen stattfinden, ist es aber generell sinnvoll, den Ausweis mitzuführen. Letztlich muss man immer abwägen, ob man den Ausweis zur nächsten Großveranstaltung mitnimmt oder ihn auch mal zu Hause lässt.

Wird der Personalausweis mitgenommen, sollte er gut geschützt sein. Die Brieftasche sollte nicht in der Gesäßtasche, sondern bspw. in der Jackeninnentasche am Körper getragen werden. Rucksäcke sollten bei großen Veranstaltungen mit vielen Menschen besser vorne als hinten getragen werden.

Tipp: Sperr-Notrufnummer

Für den Notfall sollte man sich die Sperr-Notrufnummer seiner Bank merken/abspeichern.

Ernstfall: Was tun?

Im Falle eines Diebstahls von Geldbörse und Ausweispapieren ist schnelles Handeln wichtig. Folgende Schritte können helfen, die Auswirkungen eines professionellen Identitätsdiebstahls zu minimieren:

  • Bank/Kreditkarteninstitut: Benachrichtigung der Bank zur Sperrung der betroffenen Karten und Konten
  • Polizei: Strafanzeige bei der Polizei erstatten – schnell erledigt mit der Online-Strafanzeige
  • Auskunfteien: Eventuell falsche Einträge bei Auskunfteien korrigieren lassen. Bei der Schufa (Eilmeldung Identitätsdiebstahl) und anderen Auskunfteien kann der Identitätsdiebstahl gemeldet werden.
  • Zahlungsverkehr: Betroffene Bankkonten sollten über einen längeren Zeitraum auf unregelmäßige Zahlungsbewegungen überprüft werden
  • Rat einholen: Im Zweifelsfall Beratung bei der Verbraucherzentrale einholen

Sollten die (Ausweis-)Daten bereits für den illegalen Kauf von Waren etc. verwendet worden sein, werden folgende Maßnahmen empfohlen:

  • Widerspruch: Bei Erhalt eines Mahnbescheides muss innerhalb von 2 Wochen Widerspruch eingelegt werden. Eine Kopie der Strafanzeige kann als Nachweis verwendet werden, um eventuelle Zahlungsforderungen zurückzuweisen.
  • Geld zurück: Rückbuchung zu Unrecht abgebuchter Beträge durch Bank/Kreditkarteninstitut
  • Verbraucherzentrale: Verbraucherzentrale bietet Musterbrief zur Abwehr von (Gläubiger-)Forderungen an

Kollaborations-PlattformenKollaboration-Plattform

Das gemeinsame Arbeiten an Dokumenten (Texte, Tabellen, Präsentationen etc.) kann vieles erleichtern. Um die Kontrolle über die eigenen Daten zu behalten, sollten hierfür quelloffene Dienste bzw. Werkzeuge verwendet werden. Je nach Anforderung (Kompatibilität, Bedienbarkeit) gibt es hierfür unterschiedliche Lösungen, von denen nachfolgend einige vorgestellt werden.

CryptPad [Dokumente + erweiterte Funktionen]

CryptPad ist eine vollständig/durchgehend verschlüsselte Collaboration-Suite, deren Quellcode für jeden auf GitHub einsehbar ist. Neben Grundfunktionen wie Textverarbeitung und Tabellenkalkulation werden auch ein Whiteboard und ein Editor für Eingabeformulare angeboten. Da alle Daten verschlüsselt werden, können weder der Dienst noch seine Administratoren die Inhalte einsehen. Interessierte können alle Funktionen online nutzen oder bei Bedarf eine eigene CryptPad-Umgebung hosten.

OnlyOffice [vollständige Office-Suite]

OnlyOffice ist eine quelloffene Office-Suite, die aus mehreren Modulen besteht. Das Modul Docs ermöglicht das gemeinsame Arbeiten an Texten, Tabellen und Präsentationen in Echtzeit. Eine Integration in Cloud-Lösungen wie NextCloud ist ebenfalls möglich. Daneben gibt es noch folgende Module:

  • Projekte: Verwaltung von Projektphasen wie Planung, Teamleitung, Überwachung und Berichterstattung.
  • CRM: Verwaltung einer Kundendatenbank, Erstellung von Verkaufschancen und Aufgaben.
  • E-Mail: Vereinigt den Mail-Server für die Erstellung eigener Domain-Mailboxen und den Mail-Aggregator zur zentralen Verwaltung mehrerer Postfächer.
  • Kalender: Anlegen von persönlichen und firmeninternen Ereignissen, Abgabeterminen in Projekten etc.
  • Community: Durchführung von Umfragen und Abstimmungen. Aber auch Bereitstellung von Blogs und Foren, aktuellen Nachrichten, Lesezeichen und Messenger-Funktionalitäten.

Bildquellen:

Collaboration: smallsmiles from www.flaticon.com is licensed by CC 3.0 BY


LinuxLinux

Lange Zeit fristete GNU/Linux ein Nischendasein. Doch diese Zeiten sind längst vorbei: Heute ist GNU/Linux auf Augenhöhe mit anderen Betriebssystemen wie Windows oder macOS angekommen und übertrifft diese in einigen zentralen Eigenschaften sogar. Insbesondere Anwendern, die Wert auf Datenschutz und Privatsphäre legen, ist ein Umstieg auf Linux zu empfehlen. Dies insbesondere deshalb, weil Windows oder macOS für den Privatanwender nicht datenschutzfreundlich konfiguriert werden können – auch mit viel Aufwand lässt sich die Datenübermittlung an den Hersteller bestenfalls minimieren.

Empfehlenswerte Distributionen [Einsteiger]

Gerade für Einsteiger kann der Umstieg auf Linux zunächst verwirrend sein, da es nicht »das« Linux gibt. Vielmehr gibt es verschiedene Distributionen, die je nach Kenntnisstand mehr oder weniger für Einsteiger geeignet sind. Nachfolgend einige Empfehlungen für Umsteiger und Einsteiger, die meist ohne weitere Anpassungen (out of the box) funktionieren.

Linux Mint

Linux Mint basiert auf Ubuntu, schlägt aber einen etwas anderen Weg ein. Nach einer kurzen Eingewöhnungszeit sollten sich sowohl Windows- als auch MacOS-Benutzer auf dem neuen Desktop zurechtfinden. Das System ist so konzipiert, dass beispielsweise proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs gleich mitgeliefert werden. Verfechtern freier und quelloffener Software ist dies natürlich ein Dorn im Auge, während Einsteiger von dieser Entscheidung profitieren dürften. Linux Mint ist gelegentlich etwas träge bei der zeitnahen Bereitstellung von Sicherheitsupdates. Das Forum LinuxMintUsers bietet eine gute Anlaufstelle für Fragen rund um Linux Mint.

Ubuntu

Ubuntu ist auch für Einsteiger geeignet. Aufgrund fragwürdiger Entscheidungen wie Apport oder Desktop-Suchanfragen, die sich negativ auf die Privatsphäre auswirken können, ist Ubuntu in der Standardauslieferung leider nicht optimal voreingestellt. Datenschutzsensible Nutzer sollten daher eine andere Distribution bevorzugen. Auch Ubuntu enthält standardmäßig proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs oder Treiber, um den Einstieg in die Linux-Welt zu erleichtern. Wer bei der Installation oder im Betrieb auf Probleme stößt, findet im Ubuntuusers-Forum meist schnell kompetente Hilfe.

Hinweis

Du bist noch immer unschlüssig, welches Linux am besten zu dir passt? Vielleicht kann dir der Distrochooser bei deiner Wahl eine Hilfe sein.

Empfehlenswerte Distributionen [Einsteiger | Fortgeschrittene]

MX Linux

MX Linux basiert auf Debian GNU/Linux (Stable) und antiX-Komponenten. Erklärtes Ziel der Distribution ist die Bereitstellung eines eleganten und effizienten Desktops, mit Fokus auf Stabilität, einfacher Konfiguration und Geschwindigkeit – was dem Projekt auch mühelos gelingt. Da ein Nutzer während der Installation jedoch einige Entscheidungen treffen muss, ist es nicht für jeden Anfänger geeignet. Ist die Installation abgeschlossen, dürften sich insbesondere Windows-Nutzer mühelos auf dem neuen Desktop zurechtfinden. Im Gegensatz zu Linux Mint oder Ubuntu arbeitet MX Linux (weitghend) direkt mit den unveränderten (Software-)Paketen von Debian GNU/Linux. Dies wirkt sich insgesamt positiv auf die Stabilität und insbesondere die Sicherheit des Systems aus. Wer Hilfe bei der Einrichtung oder dem Betrieb benötigt, findet im MX Linux Forum, im Handbuch oder im Wiki meist den passenden Ratschlag. MX Linux ist mein persönlicher Favorit für alle, die ein stabiles, schnelles und benutzerfreundliches Linux suchen.

Manjaro Linux

Manjaro Linux basiert auf Arch Linux und ist ebenso wie Linux Mint auf Benutzerfreundlichkeit bzw. einen einfachen Einstieg ausgelegt. Allerdings ist Manjaro meiner Meinung nach nur bedingt für Einsteiger geeignet. Ein klein wenig Hintergrundwissen bzw. IT-Affinität sollte schon vorhanden sein, um mit Manjaro in die Linux-Welt einzusteigen. Wie Mint und Ubuntu enthält auch Manjaro standardmäßig proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs oder Treiber. Sowohl das Manjaro-Wiki als auch das offizielle Forum sind eine gute Anlaufstelle bei Fragen oder Problemen.

Empfehlenswerte Distributionen [Fortgeschrittene]

Als fortgeschrittener Nutzer hat man in der Linux-Welt die »Qual der Wahl«. Es gibt einfach so viele tolle Distributionen und Derivate, dass die Entscheidung manchmal schwer fallen kann. Wer sich einen Überblick verschaffen will, der sollte Distrowatch besuchen. Distrowatch bietet Informationen, Neuigkeiten und ein Beliebtheitsranking zu verschiedenen Linux-Distributionen. Anbei meine Empfehlungen für Fortgeschrittene:

Debian GNU/Linux

Debian GNU/Linux zählt zu den ältesten, konservativsten und am weitesten verbreiteten Distributionen. In der Standardauslieferung besteht ein Debian-System vollständig aus freier Software, bietet allerdings die Möglichkeit, auch »unfreie« Software zu installieren. Von Debian werden immer drei Varianten (Releases) parallel angeboten: Stable, Testing und Unstable. Insbesondere Stable-Releases eignen sich aufgrund ihrer hohen Stabilität und Zuverlässigkeit für Serversysteme. Wer nicht immer auf aktuelle Programmversionen angewiesen ist, der kann Debian GNU/Linux auch bedenkenlos auf einem Desktop-System einsetzen. Insgesamt zeichnet sich das Debian-GNU/Linux-Projekt durch einen offenen und transparenten Umgang mit Sicherheitslücken aus. Bei Fragen und Problemen hilft meist ein Blick in das Debian-Wiki oder ein Besuch im deutschsprachigen Debian-Forum.

Arch Linux

Arch Linux ist ein sogenanntes Rolling-Release-System. Anders als bei Debian GNU/Linux gibt es also keine unterschiedlichen Versionen, bei denen bei einem Versionsupgrade eine große Menge an Software aktualisiert wird. Die Philosophie von Arch Linux basiert auf dem KISS-Prinzip – das bedeutet: Einfachheit wird bevorzugt und Unnötiges einfach weggelassen. Dies zeigt sich insbesondere darin, dass Arch Linux keinen grafischen Installer besitzt und keine GUI-Tools zur Konfiguration anbietet. Wer aktuelle Programmversionen bevorzugt und einen Blick in das Arch-Wiki bzw. das Arch-Forum nicht scheut, der dürfte mit Arch Linux seine Freude haben.


Medien für KinderMedien für Kinder

Kinder und Jugendliche kommen schon früh mit Smartphones und Tablets in Kontakt, werden damit fotografiert oder nutzen sie selbst. Es ist daher essenziell, unseren Nachwuchs für die damit einhergehenden Risiken (aber auch Chancen) zu sensibilisieren. Was bedeutet Privatsphäre? Was sind soziale Netzwerke und wie kann man seine Daten schützen? Nachfolgend eine Auswahl an Büchern und Medien, die Wissenswertes vermitteln:

Bücher

  • Das ist privat!: Das Pixi-Buch erklärt, was Privatsphäre bedeutet und was schon die Kleinsten dafür tun können.
    • Altersempfehlung: Kindergartenalter bis Grundschüler (2. Klasse)
    • Bezugsquelle: BfDI Pixi Bücher
    • Zusatzhinweis: Ebenfalls als Video verfügbar
  • Was ist Datenschutz?: Anhand alltäglicher Beispiele werden Datenschutzprobleme erläutert und Lösungen aufgezeigt. Unter anderem werden Themen wie »Soziale Netzwerke« oder »Wer schützt meine Daten?« beleuchtet.
  • Ada und Zangemann: Ein Märchen über Software, Skateboards und Himbeereis: Ein modernes Märchen, das die Freude am Tüfteln vermittelt und zum selbstbestimmten Umgang mit Software anregt.
    • Altersempfehlung: Ab 6 Jahren
    • Bezugsquelle: Buchhandel [ISBN-10: 3960091907 / ISBN-13: 978-3960091905]

Videos

  • Datenschutz geht zur Schule: Die vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ins Leben gerufene Initiative »Datenschutz geht zur Schule« sensibilisiert bundesweit Schülerinnen und Schüler für einen sicheren und bewussten Umgang mit eigenen und fremden Daten im Internet und in sozialen Medien.
  • Das ist privat!: Die Daten-Füchse gibt es auch in Bild und Ton. Die Geschichte zu »Das ist privat!« steht ebenfalls als Video zur Verfügung.
    • Altersempfehlung: Kindergartenalter bis Grundschüler (2. Klasse)
    • Bezugsquelle: BfDI-Website

Websites

  • Data-Kids: Auf der Website Data-Kids können Kinder die Abenteuer der Roboterfamilie »Data-Robs« erleben oder sich mit ihren tierischen Freunden auf die Suche nach Datenspuren begeben.
    • Altersempfehlung: Ab der 4. Klassenstufe
  • Youngdata: Youngdata ist das Jugendportal der unabhängigen Datenschutzbehörden des Bundes und der Länder mit Informationen zu Datenschutz und Informationsfreiheit.
    • Altersempfehlung: Ab 12 Jahren
  • #Kids #Digital #Genial: Der Blog bietet Tipps und Tricks zum Umgang mit Medien und Datenschutz.

Bildquellen:

Read: Freepik from www.flaticon.com is licensed by CC 3.0 BY


MessengerMessenger

Gefühlt wird jede Woche ein neuer Messenger angekündigt oder veröffentlicht. Angesichts dieses »Messenger-Dschungels« hat der durchschnittliche Nutzer längst resigniert und bleibt bei WhatsApp. Dabei gibt es mindestens drei Alternativen, die ich guten Gewissens empfehlen kann – auch wenn die folgenden Messenger meine strengen Kriterien an Sicherheit und Datenschutz nicht vollständig erfüllen. Zwei kommen dem aber zumindest nahe.

Hinweis

Wer sich einen Überblick über die unterschiedlichen (technischen) Eigenschaften der verschiedenen Messenger verschaffen möchte, dem sei die Messenger-Matrix empfohlen.

Threema / Signal: Android & iOS [Einsteiger | Wechselwillige]

Threema

Threema ist ein Messenger, der besonderen Wert auf Datenschutz und Sicherheit legt – regelmäßige Audits bestätigen dies. Insbesondere für Nutzer, die Wert auf Datenschutz legen, Metadaten vermeiden wollen und ihre Telefonnummer nicht als Identifikator verwenden möchten, ist Threema eine gute Wahl. Zur Vermeidung von Metadaten zählt auch die Möglichkeit, Threema völlig unabhängig von Google zu betreiben. Über einen Webshop ist es möglich, Threema ohne den Google Play Store zu beziehen. Zusätzlich kann die komplett googlefreie-Version Threema Libre über F-Droid installiert werden.

Leider ist bisher nur der Quellcode des Clients unter der AGPLv3-Lizenz verfügbar. Aufgrund des proprietären Serverteils sind einige Aussagen der Threema GmbH leider nicht nachprüfbar. Diese Einschränkung führt zu einer gewissen Intransparenz der Datenverarbeitung, was eine bekannte Schwäche proprietärer Software darstellt.

Signal

Mir sind die Nachteile von Signal wohlbekannt (Telefonnummer-Upload, zentraler Dienst etc.). Trotz dieser berechtigten Kritik muss betont werden: Die Signal Foundation hat nicht die Absicht, den sichersten und datenschutzfreundlichsten Messenger zu entwickeln. Ziel der Signal Foundation ist es, verschlüsselte Kommunikation einer breiten Öffentlichkeit zugänglich zu machen und gleichzeitig eine hohe Benutzerfreundlichkeit und Datensparsamkeit zu gewährleisten. Ein Balanceakt, der bisher hervorragend gelungen ist.

Bei der Nutzung von Signal werden nur wenige Metadaten erzeugt und innovative Technologien wie Private Contact Discovery und Sealed Sender zum Schutz der Privatsphäre eingesetzt. Die standardmäßig aktivierte Ende-zu-Ende-Verschlüsselung garantiert eine vertrauliche Kommunikation und wird regelmäßig auditiert. Insbesondere für diejenigen, die WhatsApp endlich hinter sich lassen wollen, ist Signal aufgrund der nahezu identischen Bedienbarkeit eine empfehlenswerte Alternative.

Hinweis

Signal kann auf Android-Geräten auch ohne die Nutzung der Google Play Services oder Firebase Cloud Messaging (FCM) betrieben werden. Damit ist der Messenger nun auch für diejenigen empfehlenswert, die bewusst auf die Datensammlung von Google auf ihrem Smartphone verzichten möchten. Erfahrene Nutzer können die Signal-App auch direkt als APK herunterladen und so den Google Play Store umgehen. Signal prüft automatisch, ob Updates verfügbar sind. Eine Alternative zu Signal ist der Fork Molly, der in drei verschiedenen Varianten angeboten wird. Die Version Molly-UP verzichtet vollständig auf proprietäre Komponenten und kann Push-Nachrichten wahlweise über Websockets oder UnifiedPush empfangen.

XMPP & Matrix: Android & iOS [Fortgeschrittene]

Sowohl XMPP als auch Matrix sind Protokolle, die es Menschen ermöglichen, miteinander zu kommunizieren bzw. ein Kommunikationsnetzwerk zu betreiben, ohne in irgendeiner Form von zentralen Anbietern abhängig zu sein. Insbesondere für Personen oder Institutionen mit einem hohen Autonomiebedürfnis kommen nach meiner Auffassung lediglich XMPP oder Matrix in Frage. Welches dieser beiden Protokolle man persönlich bevorzugt, hat sicherlich ganz unterschiedliche Gründe – jedes hat seine individuellen Stärken, aber auch Schwächen.

XMPP

Fortgeschrittene Anwender oder solche, die die Telefonnummer nicht als Identifier verwenden möchten, können auf das XMPP-Protokoll via Conversations (Android) und Siskin (iOS) zurückgreifen. Seit Conversations 2.x ist die OMEMO-Verschlüsselung standardmäßig aktiviert und bietet eine Ende-zu-Ende-Verschlüsselung zu anderen OMEMO-fähigen XMPP-Clients, um eine vertrauliche Kommunikation zu gewährleisten. Für Anfänger ist der Einstieg in die XMPP-Welt etwas gewöhnungsbedürftig – das liegt insbesondere an der verteilten Server-Infrastruktur (Föderation), wie wir sie aus der E-Mail-Welt kennen. Wie bei einem E-Mail-Provider benötigt man zunächst einen neuen (XMPP-)Account bei einem Anbieter. Für Unentschlossene hier ein paar XMPP-Server-Anbieter:

Hinweis: Um den Einstieg in Conversations / XMPP etwas zu erleichtern, gibt es eine hervorragende Anleitung. Etwas ausführlicher: Das Conversations Kompendium.

Matrix

Obwohl wesentlich jünger als XMPP, können für Matrix die gleichen konzeptionellen Vorteile angeführt werden. Einem derzeit eher zentralistischen Entwicklungsansatz folgend, werden mit Synapse serverseitig und mit Element clientseitig »Referenzsysteme« für das Matrix-Protokoll bereitgestellt, die im Vergleich zu XMPP eine gewisse Homogenität erzeugen, in der Vor- und Nachteile gleichermaßen gesehen werden können. Einen konkreten Erfahrungsbericht aus Admin-Perspektive bietet der Beitrag »Matrix – Das XMPP für Hobby-Admins?«. Unterm Strich erhalten Nutzer mit Matrix/Element für alle gängigen Systeme eine freie, föderierte Alternative zu WhatsApp, aber auch zu unfreien Kollaborations-Messengern wie Slack, inklusive Web-Client und Audio-/Video-Telefonie.

Hinweis

Mit einem Matrix-kompatiblen Client kann man dann auch gerne im Chat für Kuketz-Blog-Leser vorbeischauen und sich über Themen rund um den Blog austauschen.

Briar: Android [Profis | Investigative Journalisten | Aktivisten]

Dezentrale Kommunikation (Peer-to-Peer), Verschleierung jeglicher Metadaten, Ende-zu-Ende-Verschlüsselung und immun gegen (Internet-)Zensur – das ist Briar. Ein Messenger für alle, die wissen, was sie tun.


Mobilfunkanbieter: Widerspruch gegen Erhebung von BewegungsdatenBewegungsdaten

Alle Netz­betreiber in Deutschland sammeln und analysieren die Bewegungs-, Verkehrs- oder GEO-Daten genannten Informationen über die Bewegungen ihrer Kunden. Eines der Ziele: Die Vermeidung von Über­lastungen und Störungen durch die individuelle Anpassung / Ausbau in (stark) frequentierten Zonen.

Was viele Kunden jedoch nicht wissen: Zu sogenannten Marketingzwecken verkaufen Telefónica und die Telekom die (Kunden-)Daten in »anonymisierter« Form an Drittunternehmen weiter. Zu diesen Daten zählen unter anderem Alter, Aufenthalts­ort und Geschlecht der Kunden.

Widerspruch bei Netzbetreibern

Widerspruch bei Anbietern/Resellern einrichten

  • Aldi Talk (Telefónica-Netz): Aldi-Talk-Kunden können der Erhebung von Bewegungsdaten über die Telefónica-Anleitung widersprechen
  • Drillisch (Telefónica-Netz): Kunden von Drillisch haben die Möglichkeit, gegen die Erfassung von Bewegungsdaten gemäß der Telefónica-Anleitung Widerspruch einzulegen

Widerspruch nicht möglich/notwendig

  • Vodafone: Vodafone erhebt zwar Verkehrsdaten, nutzt diese aber derzeit wohl nur intern zur »Verbesserung« des Netzausbaus. Ein Opt-Out ist daher nicht möglich.
  • simplytel (Telefónica-Netz): simplytel-Kunden sind von der Widerspruchsmöglichkeit ausgenommen, da ihre Daten nicht genutzt werden.
  • WETell (Vodafone-Netz): Bei WETell werden keine Bewegungsdaten an Dritte verkauft.

Bildquellen:

Map Location: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


Nichts zu verbergen?Nichts zu verbergen

Oftmals hört man im Zusammenhang mit dem Thema Datenschutz / Privatsphäre bzw. (staatliche) Überwachung das abgedroschene Argument »Ich habe doch nichts zu verbergen!«. Diese Aussage ist nicht nur relativ kurzsichtig, sondern auch gefährlich. Schon aus historischer Sicht sollte es eigentlich nicht notwendig sein, diese Aussage ständig widerlegen zu müssen. Wer diesen Satz von jemandem hört, sollte ihm entschieden widersprechen und argumentieren, warum Privatsphäre ein Menschenrecht ist.

Edward Snowden ist ein Verfechter der Privatsphäre:

Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.

Es gibt weitere Argumente, die die Aussage »Ich habe doch nichts zu verbergen!« entlarven:

  • Wer nichts zu verbergen hat, braucht auch kein Bankgeheimnis
  • Wer nichts zu verbergen hat, braucht auch kein Anwaltsgeheimnis
  • Wer nichts zu verbergen hat, braucht auch kein Briefgeheimnis
  • Wer nichts zu verbergen hat, braucht auch kein Wahlgeheimnis
  • Wer nichts zu verbergen hat, braucht auch kein Beichtgeheimnis
  • Wer nichts zu verbergen hat, braucht auch keine ärztliche Schweigepflicht
  • Wer nichts zu verbergen hat, braucht auch keine Vorhänge
  • […]

Hinweis

Im Beitrag »Nichts zu verbergen? Ein moderner Mythos und 12 Argumente dagegen« wird beleuchtet, warum es wichtig ist, diese Aussage zu hinterfragen.

Und wer dann immer noch meint, er habe »nichts zu verbergen«, den fragt ihr einfach nach seinem Smartphone, ob ihr ein paar Minuten darin stöbern dürft. Oder ihr macht einen kleinen Videoabend mit den folgenden Dokumentarfilmen:

Bildquellen:

Security camera: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


Newsletter-ToolsNewsletter Anbieter

Weltweit nutzen Unternehmen, Nachrichtenseiten oder Blogs Newsletter, um ihre Kunden/Leser über aktuelle Entwicklungen auf dem Laufenden zu halten. Oftmals wird dafür der Anbieter Mailchimp genutzt, obwohl dessen Vereinbarkeit mit der DSGVO höchst fragwürdig ist. Wer diese Rechtsunsicherheit gerne vermeiden möchte, der kann auf einen Anbieter aus Deutschland oder dem Europäischen Wirtschaftsraum (EWR) setzen, der die Voraussetzungen mitbringt, einen datenschutzkonformen Betrieb (nach DSGVO) zu ermöglichen.

Versand über Dienstleister [Einsteiger]

  • JPBerlin: Das Schwesterunternehmen von mailbox.org bietet DSGVO-konforme Mailinglisten, die sich auch für den Versand von Newslettern eignen. JPBerlin hat seinen Sitz in Berlin (Deutschland) und ist schon seit Jahrzehnten ein zuverlässiger Dienstleister.
  • rapidmail: Der Anbieter rapidmail hat seinen Sitz in Freiburg (Deutschland) und konzentriert sich ausschließlich auf den Versand von E-Mail-Newslettern. Auch die Server zum Versand der Newsletter stehen in Deutschland. Abgesehen von JPBerlin macht die Website von rapidmail von den vorgestellten Anbietern den datenschutzfreundlichsten Eindruck – aber auch hier ist noch (viel) Luft nach oben.
  • Cleverreach: Cleverreach hat seinen Sitz ebenfalls in Deutschland und wirbt unter anderem mit einem datenschutzkonformen Newsletter-Versand. Wie die Mitbewerber bietet auch Cleverreach die Möglichkeit, das Angebot bzw. die Dienstleistung kostenlos zu testen.
  • Inxmail: Nicht nur rapidmail hat seinen Sitz in Freiburg, sondern auch der Anbieter Inxmail ist dort ansässig. Nach Angaben des Anbieters lässt sich die Software mit spezialisierten Systemen wie CRM-, Online-Shop- und Kampagnenmanagement-Tools vernetzen.

Neben den genannten Anbietern gibt es weitere aus Deutschland wie Mailjet oder Steady. Aber auch im EWR werden wir fündig: GetResponse (Polen), Moosend (Dänemark) und Brevo (Frankreich).

Self-Hosting [Fortgeschrittene]

Es muss nicht immer ein Dienstleister sein, der die Newsletter im Auftrag versendet. Für technisch Versierte kann auch das Hosting eines Newsletter-Tools in Frage kommen.

  • listmonk: Die Open-Source-Lösung listmonk ermöglicht es, den Quellcode auf der GitHub-Projektseite einzusehen und zu verbessern. Eine eigene Infrastruktur vorausgesetzt, kann das Newsletter-Tool selbst gehostet werden. Mehr Kontrolle über die Datenverarbeitung (bspw. E-Mail-Adressen) ist kaum möglich. Insgesamt wohl die datenschutzfreundlichste Lösung – entsprechende Administration und (Server-)Absicherung vorausgesetzt.

Newsletter: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


Online-BewertungstoolsOnline-Bewertungstools

Viele Website-Betreiber oder auch Besucher stellen sich die Frage, wie »sicher« bzw. datenschutzfreundlich eine Website ist. Dies hängt natürlich von verschiedenen Faktoren ab. Erste Anhaltspunkte liefern Online-Bewertungstools, mit denen Webserver oder auch E-Mail-Server auf Schwachstellen und Konfigurationsfehler überprüft werden können. Diese Tools eignen sich hervorragend, um einen ersten Eindruck von der Sicherheit bzw. dem Datenschutzniveau eines Dienstes zu erhalten – vorausgesetzt, man kann die Ergebnisse auch richtig bewerten.

Keines der folgenden Tools bietet eine ganzheitliche Sicht auf das Sicherheitsniveau eines Servers. Viele Aspekte können nur dann getestet werden, wenn ein direkter Zugriff auf den Server besteht, um bspw. die Konfigurationsdateien einzusehen. Insgesamt sind die Möglichkeiten zur Beurteilung der Sicherheit bzw. des Datenschutzniveaus einer Website und insbesondere eines Webservers auf öffentlich zugängliche Informationen beschränkt.

Sicherheit

Datenschutz

  • Webbkoll: Webbkoll simuliert, was im »Hintergrund« passiert, wenn man eine Webseite im Browser aufruft. Die Stärke von Webbkoll liegt in der transparenten Darstellung, welche Ressourcen wie JavaScript, Cookies und/oder Schriftarten von Drittquellen (Google, Facebook etc.) in den Kontext einer Webseite eingebunden sind. Darüber hinaus überprüft Webbkoll den Webserver unter anderem auf Security-Header wie HSTS, Content Security Policy (CSP) und Referrer-Policy.
  • PrivacyScore: PrivacyScore prüft nicht nur sicherheitsrelevante Parameter, sondern auch die Datenschutzfreundlichkeit einer Website. PrivacyScore erkennt Analyse- und Werbedienste, eingebettete Ressourcen von Drittseiten und die Verwendung von Content Distribution Networks (CDN), die ebenfalls eine Gefahr für die Sicherheit und Privatsphäre darstellen können.

List: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


OSINT-ToolsOSINT-Tools

Unter Open Source Intelligence (OSINT) versteht man die Gewinnung von Informationen aus frei verfügbaren/offenen Quellen. Mit Hilfe von OSINT-Tools kann die Informationsgewinnung automatisiert werden, indem verschiedene Datenquellen abgefragt und aufbereitet werden. So können beispielsweise verdächtige IP-Adressen analysiert, schädliche E-Mail-Anhänge überprüft oder Daten im Darknet aufgespürt werden. Die Tools können aber auch für eigene Zwecke genutzt werden: So kann man sich ein Bild davon machen, wie groß der eigene digitale Fußabdruck ist bzw. welche (öffentlichen) Spuren man im Internet hinterlässt.

Malware-Analyse

  • FileScan.IO: Dateien bis zu einer Größe von 100 MByte können auf FileScan.IO hochgeladen werden. Anschließend wird eine automatisierte Analyse durchgeführt, die eine Einschätzung liefert, ob schädliches Verhalten vorliegt. Zusätzlich zur Analyse kontaktiert der Dienst den Meta-Virenscanner VirusTotal, an den über 60 Virenscanner angeschlossen sind. Über VirusTotal sollte man wissen: Bei der Nutzung gibt man die Vertraulichkeit der hochgeladenen Dateien auf und macht diese praktisch öffentlich zugänglich. Dieser Datenweitergabe an Dritte (bspw. Antivirus-Unternehmen) stimmt man mit den Nutzungsbedingungen auch explizit zu.
  • any.run: Während die meisten Online-Dienste (hochgeladene) Schadsoftware automatisiert scannen, hat man bei any.run Zugriff auf eine virtuelle Maschine und kann so nicht nur den Netzwerkverkehr analysieren, sondern auch Dateizugriffe (bspw. Systemdateien) protokollieren. Nach der Registrierung hat man mit einem Free-Account 60 Sekunden Zugriff auf eine virtuelle Maschine – das ist sehr kurz, kann aber bereits wichtige Hinweise liefern. Für weitere Funktionen und ein längeres Analysezeitfenster werden verschiedene kostenpflichtige Upgrades angeboten.

Domain- und IP-Info

  • ipinfo.io: Über ipinfo.io können allgemeine Informationen zu einer IP-Adresse abgefragt werden. Neben whois-Informationen wird auch der ungefähre (Geo-)Standort ausgegeben oder Domains aufgelistet, die über die IP-Adresse erreichbar sind bzw. dort gehostet werden. Außerdem gibt ipinfo.io Auskunft darüber, ob eine IP-Adresse zu einem VPN-Provider, dem Tor-Netzwerk oder einem Hoster gehört.
  • DNSViz: DNSViz visualisiert den Status einer DNS-Zone. Es bietet eine visuelle Analyse der DNSSEC-Authentifizierungskette für eine Domain und deren Auflösungspfad im DNS-Namensraum. Außerdem listet das Tool erkannte Konfigurationsfehler auf.
  • AbuseIPDB: AbuseIPDB ist eine gigantische (Online-)Datenbank, über die Informationen zu IP-Adressen oder Domains abgefragt werden können. So wird beispielsweise angezeigt, ob eine Domain aktuell oder in der Vergangenheit Malware verbreitet hat oder für Spamming missbraucht wurde. Über die Kommentare ist für jedermann ersichtlich, woher die jeweiligen Meldungen stammen, die zumeist von den Nutzern des Dienstes eingesandt werden.
  • X-Force Exchange (IBM): Der Online-Dienst X-Force Exchange von IBM bietet Informationen und eine Risikobewertung zu Domains, IP-Adressen und Web-URLs. Unter anderem kann man herausfinden, ob eine Domain/IP-Adresse in der Vergangenheit als Absender von Spam- oder schädlichen E-Mails aufgefallen ist.

E-Mail

  • MXToolBox: Die Website MXToolBox ermöglicht die Analyse von E-Mail-Servern bzw. Domains. Unter anderem können DMARC- oder SPF-Richtlinien für eine E-Mail-Domain übergeprüft werden. Ferner kann festgestellt werden, ob die (eigene) E-Mail-Domain auf einer (Spam-)Blacklist steht oder stand.

Schwachstellen-Suchmaschine

  • Shodan: Shodan ist eine Suchmaschine bzw. eine riesige Datenbank, mit der man alle möglichen Geräte/Systeme finden kann, die mit dem Internet verbunden sind. Angefangen beim heimischen Router über Webcams bis hin zu Ampelsteuerungen oder SCADA-Systemen lässt sich so ziemlich alles finden, was eine Netzwerkadresse besitzt. Und so funktioniert es: Shodan scannt regelmäßig das gesamte Internet und prüft, ob IP-Adressen/Systeme auf gängigen Ports antworten. Alle Ergebnisse werden dann in einer Datenbank gespeichert, die durchsucht werden kann. Der Beitrag »Shodan: Suchmaschine für das »Internet of Shit« erklärt die Nutzung/Anwendung des Online-Dienstes.
  • Censys: Censys funktioniert ähnlich wie Shodan und kann ebenfalls zum Aufspüren von (verwundbaren) Systemen im Internet verwendet werden. Censys bietet jedoch eine interessante Funktion: Geräte/Systeme können nach bestimmten Sicherheitslücken (bspw. Heartbleed) aufgelistet werden.

Informationsgewinnung (Lokale Tools)

Neben reinen Online-Diensten gibt es auch OSINT-Tools, die lokal auf einem Rechner ausgeführt werden müssen. Für solche Zwecke eignet sich insbesondere die Linux-Distribution Kali, die bereits viele OSINT-Tools mitbringt.

  • Spiderfoot: SpiderFoot ermöglicht die Automatisierung der Informationsgewinnung durch Abfrage und Aufbereitung verschiedener Datenquellen. SpiderFoot kann Informationen aus über 200 Quellen (Modulen) extrahieren. Zu den Quellen gehören beispielsweise Archive.org, BGPView, Google, Open Bug Bounty, Shodan und Whois. Im Beitrag »Spiderfoot: OSINT-Tool (Open Source Intelligence) zur Analyse und Aufklärung« wird die Nutzung/Anwendung des Tools erläutert.
  • Maltego: Ein grafisches Open-Source-Analysewerkzeug für die Sammlung und Verknüpfung von OSINT-Daten.
  • theHarvester: Ein einfach zu bedienendes, aber dennoch leistungsstarkes und effektives Tool, das für die frühe Phase eines Penetrationstests eingesetzt wird.
  • Maryam: Ein modulares Open-Source-Framework, das auf OSINT und Datenerfassung basiert.
  • OWASP Amass: Hilft bei der Kartierung von Angriffsflächen im Netzwerk und bei der Erkennung externer Ressourcen mithilfe von frei verfügbarer Informationsquellen.

Schwachstellen-Infos

  • CVE Details: CVE Details liefert nicht nur Informationen über Schwachstellen, sondern auch über dazu passende Exploits bzw. bereits im Internet kursierenden Angriffscode. Basierend auf dem Common Vulnerability Scoring System (CVSS) werden die Schwachstellen nach ihrem Schweregrad bewertet und können nach verschiedenen Kriterien (Aktualität, Risikobewertung etc.) angezeigt werden. Über die Suchmaske kann man entweder direkt nach CVE-Nummern oder nach Software/Produkt/Hersteller suchen.
  • Vulmon: Die Online-Datenbank Vulmon beitet umfassende und übersichtlich aufbereitete Informationen zu Sicherheitslücken, die nach Aktualität, Risikobewertung oder Relevanz sortiert werden können. Weiterführende bzw. vertiefende Informationen zu den Schwachstellen sind entsprechend verlinkt. In der Ansicht Trends werden die Schwachstellen bzw. deren aktuelle Relevanz grafisch dargestellt.

Weitere OSINT-Tools

Die Webseiten OSINT Tools und OSINT Framework bieten einen Überblick über verschiedene weitere Dienste/Tools.

Bildquellen:

Detective: max icons from www.flaticon.com is licensed by CC 3.0 BY


Passwort-ManagerPasswort-Manger

Unsichere oder mehrfach verwendete Passwörter sind oftmals ein Einfallstor für Datenmissbrauch und -diebstahl. Daher ist es ratsam, für jeden Online-Dienst ein eigenes Passwort zu verwenden. Gleichzeitig gilt aber auch, dass Passwörter komplex, ausreichend lang und vor allem zufällig sein sollten, um einen Schutz zu bieten. In der Praxis stößt man unweigerlich auf ein Problem: Wer soll sich all diese Passwörter merken? Bei durchschnittlich mehr als 20 Online-Accounts, die jeder von uns besitzt, ist das unmöglich. Daher ist es sinnvoll, einen Passwort-Manager zu verwenden, der uns diese Aufgabe abnimm

Passwortmanager verwalten bzw. speichern die verschiedenen Passwörter für Online-Accounts in einer verschlüsselten Datenbank. Der Zugriff auf diese Datenbank ist durch ein sogenanntes Master-Passwort geschützt. Nach Eingabe des korrekten Master-Passwortes hat man Zugriff auf alle gespeicherten Passwörter – vor diesem Hintergrund ist es wichtig, ein wirklich »sicheres« Master-Passwort zu wählen. Mit dem Diceware-Verfahren (erläutert ab Punkt 5.) kann man ein solches Passwort bzw. eine solche Passphrase »würfeln«. Der Vorteil dieses Verfahrens liegt auf der Hand: Man erhält nicht nur ein sicheres Passwort, sondern auch eines, das man sich gut merken kann.

Hinweis

Ein Passwort-Manager sollte nach meiner Auffassung quelloffen sein, die Passwörter lokal speichern und aktiv weiterentwickelt werden. Von Lösungen, die Passwörter in irgendwelchen Clouds speichern oder deren Quellcode nicht einsehbar ist, sollte man Abstand nehmen. Sensible Passwörter gehören nicht in fremde Hände, wie uns gravierende Sicherheitslücken bei bekannten Anbietern (LastPass Hack, LastPass Security Incident, OneLogin Hack, 1Password Datenleak) immer wieder vor Augen führen. So viele sensible Daten an einem Ort ziehen unweigerlich böswillige Angreifer an, die sich darauf Zugang verschaffen wollen.

Passwörter verwalten [Einsteiger]

KeePassXC ist ein quelloffener Passwort-Manager, der für alle gängigen Desktop-Systeme angeboten wird. Das hat den Vorteil, dass man seine Passwortdatenbank auf ein anderes System übertragen und dort wie gewohnt mit KeePassXC arbeiten kann. Nach der Installation von KeePassXC solltet ihr folgende Schritte befolgen:

  • Master-Passwort: Mit dem Diceware-Verfahren wird zunächst ein »sicheres« Master-Passwort erstellt. Damit wird der Zugang zu den Passwörtern bzw. zur Datenbank gesichert.
  • Accounts einpflegen: Für jedes eurer Online-Konten erstellt ihr einen neuen Eintrag in KeePassXC. Benutzt dabei den integrierten Passwort-Generator, um zufällige und möglichst lange Passwörter zu erstellen. Als Faustregel gilt: Wählt als Passwortlänge immer die maximale Zeichenanzahl, die ein Online-Dienst zulässt.
  • Backup anlegen: Erstellt regelmäßig ein Backup eurer Passwortdatenbank. Wenn ihr die Datenbank verliert, müsst ihr alle eure Passwörter zurücksetzen, was je nach Anzahl eurer Accounts mit einem erheblichen Aufwand verbunden ist.

Mit KeePassDX für Android oder KeePassium für iOS könnt ihr eure KeePassXC-Datenbank ebenfalls auf euren mobilen Endgeräten nutzen. Allerdings solltet ihr euch gut überlegen, ob ihr alle eure Passwörter immer dabei haben müsst oder wollt. Je nach Stand der Sicherheitsupdates sind mobile Endgeräte nicht unbedingt für die Speicherung sensibler Informationen geeignet.

Mein Tipp: Speichert in der mobilen Passwortdatenbank nur die Passwörter, die ihr unterwegs benötigt. Alle anderen lasst ihr einfach weg oder speichert sie nur auf eurem Computer zu Hause. Zusätzlich solltet ihr ein zweites Diceware-Passwort anlegen, mit dem ihr eure mobile Datenbank vor unbefugtem Zugriff schützt.

Hinweis

Vor allem technisch weniger versierten Nutzern fällt der Umstieg auf einen Passwortmanager oft schwer. Wer damit nicht zurechtkommt, greift zu einem Notizbuch und verwaltet dort seine Online-Zugänge inklusive Passwörter. Diese Lösung hat natürlich diverse Nachteile – ist aber insgesamt immer noch besser als ein einfaches Passwort, das für jeden Account verwendet wird.

Passwörter synchronisieren [Fortgeschrittene]

Für die Verwaltung von Passwörtern, PINs und anderen sensiblen Informationen ist KeePassXC ein praktisches Tool. Einige Nutzer vermissen jedoch eine Funktion zum Abgleich der gespeicherten Daten zwischen mehreren Systemen. Abhilfe schaffen hier Lösungen wie NextCloud, WebDAV, Syncthing und vergleichbare Anwendungen oder Dienstleister. Wer seine Passwortdatenbank unbedingt zwischen verschiedenen Geräten synchronisieren möchte, sollte allerdings durch die Verwendung einer Schlüsseldatei für mehr Sicherheit sorgen.

Eine solche Schlüsseldatei (engl. Keyfile) kann entweder bei der Erstellung einer neuen Passwort-Datenbank oder auch nachträglich in KeePassXC erstellt werden. Diese Schlüsseldatei verbleibt lokal auf jenen Geräten, die die Passwort-Datenbank öffnen dürfen und wird nicht in einer »Cloud« abgelegt. Gelangt ein Angreifer auf irgendeine Weise in den Besitz der Passwortdatenbank, so muss er nicht nur das korrekte Master-Passwort kennen, um alle Passwörter einsehen zu können, sondern er muss auch in den Besitz der Schlüsseldatei gelangen. Nur die Kombination aus dem richtigen Master-Passwort und der dazu passenden Schlüsseldatei ermöglicht letztendlich den Zugriff auf eure Passwörter.

Für Teams [Profis]

Wer an einem gemeinsamen Projekt arbeitet, teilt manchmal die Zugangsdaten zu bestimmten Online-Konten mit seinen Kolleginnen und Kollegen. Bitwarden bietet hierfür eine Open-Source-Lösung an, die in der eigenen Infrastruktur gehostet werden kann. Der Betrieb einer solchen Online-Lösung, auf die mehrere Nutzer Zugriff haben, erfordert allerdings ein hohes Maß an Verantwortung seitens des Betreibers. Bevor man sich also überlegt, einen eigenen Bitwarden-Server für sich oder ein Team zur Verfügung zu stellen, sollte man sich überlegen, ob man die dafür notwendigen Voraussetzungen mitbringt, wie z.B. Grundkenntnisse in der Härtung eines Serversystems.

Wer Bitwarden selbst hostet, der sollte übrigens auch unbedingt die »Schwächen« der Lösung berücksichtigen. Durch eine speziell angepasste Content-Security-Policy für das Webinterface und die Deaktivierung von Tracking in den mobilen Apps ist Bitwarden eine geeignete Lösung für teambasiertes Passwortmanagement. Übrigens: Datenschutzsensible Nutzer können die Android-App auch über F-Droid beziehen – in einem GitHub-Beitrag werden zwei Quellen genannt.

Bildquellen:

Key: Pixel Buddha from www.flaticon.com is licensed by CC 3.0 BY


Petition einreichen

Petition einreichen

In Deutschland hat jedermann das Recht, sich mit einem Anliegen in Form einer Bitte, Beschwerde oder Anregung an eine zuständige Stelle oder Volksvertretung zu wenden. Jemand, der von diesem Recht Gebrauch macht, wird als Petent bezeichnet. Eine eingereichte Bitte oder Beschwerde wird daher auch als Petition bezeichnet. Das Wort Petition hat seinen Ursprung im Lateinischen: »petere« bedeutet bitten, ersuchen.

Um eine Petition einzureichen, sollte man die Plattform des jeweiligen Bundeslandes oder des Bundes nutzen. Wer bspw. auf privaten Petitionsplattformen wie change.org veröffentlicht, erreicht allenfalls ein mediales Echo. Im Landtag oder im Bund wird eine solche Petition jedoch kaum/keine Beachtung finden. Auch im Hinblick auf den Datenschutz ist von Plattformen wie change.org (dringend) abzuraten, da die Webseiten häufig nicht datenschutzkonform gestaltet sind und bspw. den Nutzer tracken oder Daten ungefragt an Dritte weitergeben. Ebenso bedenklich ist die Speicherung/Auswertung der politischen Meinungsdaten von Millionen deutscher Nutzer auf US-Servern.

Die korrekten Adressaten für Petitionen sind:

Einreichung per Brief

Wer es lieber analog mag: Petitionen können auch per Brief bei der zuständigen Stelle/Behörde eingereicht werden.

Petition: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Remote-Control

Remote-Control

Fernwartungstools wie TeamViewer oder AnyDesk ermöglichen es Administratoren/IT-Mitarbeitern, aus der Ferne auf PCs zuzugreifen und Benutzer bei Problemen/Fragen zu unterstützen. Insbesondere im Familien- und Freundeskreis sind diese Tools weit verbreitet und werden häufig für Reparatur- und Wartungsarbeiten genutzt. Die Nutzung dieser Tools setzt jedoch ein hohes Maß an Vertrauen in den Hersteller/Dienstleister voraus – insbesondere bei proprietären Lösungen wie TeamViewer. Es gibt jedoch auch Lösungen, die datenschutzfreundlich, transparent und mindestens ebenso benutzerfreundlich sind.

Screen-Sharing [Einsteiger]

Die Nutzung eines Fernwartungstools erfordert in der Regel die Installation/Ausführung einer Software. Häufig reicht es jedoch aus, die Screensharing-Funktion einer Videokonferenzlösung wie Jitsi Meet oder BigBlueButton zu nutzen. Dies hat den Vorteil, dass der Hilfesuchende selbst klicken/tippen muss und dabei im Idealfall etwas lernt. Man kann ihm dann beratend zur Seite stehen und die erforderlichen Schritte gemeinsam umsetzen.

Remotely [Fortgeschrittene]

Wenn die Screensharing-Funktion an ihre Grenzen stößt und bspw. größere Reparatur- oder Wartungsarbeiten anstehen, dann ist eine Remote-Control-Software meist sinnvoller. Das quelloffene Tool Remotely funktioniert in Kombination mit Windows und diversen Linux-Derivaten. Der Hilfesuchende muss lediglich die für sein Betriebssystem passende Client-Software herunterladen, starten und eine neunstellige Session-ID an den Helfer übermitteln. Dieser kann sich anschließend über ein Web-Frontend mit dem Rechner verbinden und die Steuerung/Kontrolle übernehmen. Remotely bzw. das Web-Frontend kann auf einem eigenen Server (Windows / Ubuntu) installiert werden.

RustDesk [Fortgeschrittene]

Wie auch Remotly handelt es sich bei RustDesk um eine Open-Source-Lösung, die ebenfalls auf einem eigenen Server betreiben werden kann. RustDesk versteht sich als einfache Alternative zu Fernwartungssoftware wie Teamviewer oder AnyDesk. Die Fernwartungssoftware ist kompatibel mit Windows. macOS, Linux, Android und iOS.

Bildquellen:

Remote Control: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Soziale Netzwerke: Datenschutzfreundliche Web-Frontends/AppsSoziale Netzwerke

Soziale Netzwerke wie Twitter/X, Instagram, Facebook, YouTube und Co. sollte man eigentlich meiden. Jedenfalls dann, wenn einem der Datenschutz und ein freies/offenes Internet am Herzen liegen. Wer auf die Inhalte dieser Plattformen dennoch gelegentlich zugreifen möchte, der kann dies zumindest datenschutzfreundlich tun. Für einige der Plattformen existieren Web-Frontends bzw. Apps, die einen möglichst datensparsamen Besuch ermöglichen.

Wer auf soziale Netzwerke nicht verzichten, aber seine Privatsphäre und Selbstbestimmung wahren möchte, dem sei das Fediverse ans Herz gelegt. Das Fediverse ist ein dezentrales Kommunikationsnetzwerk, das ähnlich wie die E-Mail-Infrastruktur aufgebaut ist. Ein Teil dieses Fediverse ist Mastodon, auf dem auch der Kuketz-Blog aktiv ist.

Web-Frontends für den Browser

Die nachfolgenden Web-Frontends sind nicht für die Interaktion bzw. aktive Teilnahme auf den Plattformen konzipiert. Sie stellen lediglich eine Art Notlösung dar, um die Inhalte dieser geschlossenen und proprietären Plattformen möglichst datenschutzfreundlich abzurufen:

  • YouTube -> Piped/Invidious: YouTube-Videos können datenschutzfreundlich über Piped oder Invidious konsumiert werden. Eine ausführliche Anleitung und mehr Hintergrundinformationen dazu gibt es hier in der Empfehlungsecke.
  • Reddit -> Teddit/redlib: Die Plattform Reddit lässt sich auch über Teddit oder redlib verfolgen. Einfach loslegen: Teddit-Instanzen / redlib-Instanzen.
  • TikTok -> ProxiTok: ProxiTok ermöglicht das Ansehen von TikTok-Videos ohne Login/Account. Einfach eine ProxiTok-Instanz auswählen und los geht’s.
  • Instagram -> Proxigram: Instagram-Inhalte lassen sich über Proxigram anschauen. Einfach eine Proxigram-Instanz auswählen und los geht’s.

Hinweis

Weitere Web-Frontends für geschlossene Plattformen findet ihr beim Add-on LibRedirect.

Apps für Android

  • LibreTube/NewPipe (YouTube): Die Pendants zu Piped bzw. Invidious auf der Android-Plattform heißen LibreTube und NewPipe. Im Gegensatz zur Original-App von YouTube kommen beide Apps mit einer Handvoll Berechtigungen aus und sind unter anderem auch in der Lage, Werbung zu filtern.
  • Stealth (Reddit): Mit Stealth aus dem F-Droid-Store können Diskussionen auch ohne Reddit-Account verfolgt und abonniert werden.
  • SlimSocial (Facebook): Die Android-App SlimSocial ermöglicht die Nutzung von Facebook. Im Gegensatz zur originalen Facebook-App verzichtet die App auf invasive Berechtigungen, die eine permanente Überwachung des Nutzers über sein Smartphone ermöglichen.

Automatische Weiterleitung

Die Weiterleitung auf datenschutzfreundliche Web-Frontends kann auch automatisiert über entsprechende Browser-Add-ons/Applikationen erfolgen:

  • Browser-Add-on: Das Add-on LibRedirect leitet automatisch zu Invidious, FreeTube usw. um. Es ist für Firefox und Chrome zur verfügbar.
  • Android: Über den F-Droid-Store können Android-Nutzer die App UntrackMe installieren. Die App wandelt Links zu Twitter/X, YouTube und Instagram automatisch um und leitet zu den datenschutzfreundlichen Varianten der Dienste weiter.

Bildquellen:

Social Networks: Freepik from www.flaticon.com is licensed by CC 3.0 BY


SuchmaschinenSuchmaschine

Als Alternative zur Suchmaschine Google wird häufig DuckDuckGo genannt. Doch warum sollte man plötzlich einem Anbieter vertrauen, der seinen Sitz in den USA hat und wie alle dort ansässigen Unternehmen dem Patriot Act unterliegt? DuckDuckGo ist grundsätzlich zur Zusammenarbeit mit Behörden wie FBI, NSA und CIA verpflichtet. Es gibt genügend Alternativen, denen man wahrscheinlich mehr vertrauen kann als DuckDuckGo.

Neben meinen nachfolgenden Empfehlungen existieren noch weitere Suchmaschinen, die Wert auf Privatsphäre legen. Trotz allem sollten wir eines nicht vergessen: Wie gut die Suchergebnisse wirklich sind, lässt sich nur schwer messen. Wir können zwar immer Google als Maßstab nehmen, aber wer sagt uns eigentlich, dass die Suchergebnisse von Google »gut« sind? Letztlich ist es eine subjektive Entscheidung, welcher Suchmaschine man den Vorzug gibt. Die Auswahl an datenschutzfreundlichen Suchmaschinen ist jedenfalls groß genug.

Standard [Einsteiger | Wechselwillige]

  • Startpage: Die Suchmaschine leitet eure Suchanfragen an Google/Bing weiter und fungiert sozusagen als Vermittler – mit dem Vorteil, dass ihr für die beiden Suchmaschinen »anonym« bleibt. Sobald ihr mit der Suche bei Startpage beginnt, werden eure Suchergebnisse nicht mehr von Google/Bing personalisiert. Ihr könnt also »neutrale« Ergebnisse erwarten. So entkommt ihr auch ein Stück weit eurer eigenen Filterblase.
  • Qwant: Ähnlich wie Startpage liefert auch Qwant keine personalisierten Suchergebnisse – die Suchergebnisse sind für alle gleich. Im Gegensatz zu Startpage basieren die Suchergebnisse hauptsächlich auf den Qwant-Datensätzen und werden noch mit den Ergebnissen von Bing verknüpft. Die Server befinden sich in der Europäischen Union.

SearXNG [Fortgeschrittene | Profis]

  • SearXNG: Die Meta-Suchmaschine (GNU Affero General Public License) kann selbst gehostet werden und ist damit garantiert frei von Tracking und Werbung. Alternativ kann auch eine bestehende Instanz gewählt werden, die von Vereinen oder Privatpersonen bereitgestellt wird – teilweise auch als Hidden Service über Tor. SearXNG kann bis zu 70 verschiedene Suchmaschinen bzw. Informationsquellen »anzapfen«. Die bekanntesten sind Bing, Google, Reddit, DuckDuckGo, Startpage, Wikipedia, Yahoo und Yandex. Empfohlen wird die SearXNG-Instanz Gruble.

Suchmaschine für Kinder

Suchmaschinen für Kinder sollen Kindern die Möglichkeit geben, ihre eigene Medienkompetenz zu entwickeln und ihnen helfen, das Internet »sicher« zu erkunden. Für Kinder ungeeignete Inhalte wie Pornografie, Gewalt und Glücksspiel werden von Kindersuchmaschinen in der Regel herausgefiltert. Natürlich bieten diese Suchmaschinen keinen vollständigen Schutz – daher sollte immer ein Erwachsener anwesend sein. Aus datenschutzrechtlicher Sicht sollten Suchmaschinen gemieden werden, die Kinder von Drittanbietern tracken lassen oder die Suchanfragen bspw. direkt an Google weiterleiten. Suchmaschinen wie fragFINN.de oder Helles Köpfchen sind daher für Kinder nicht empfehlenswert.

  • Blinde Kuh: Blinde-Kuh.de recherchiert, sammelt und verlinkt Seiten, die für Kinder geeignet sind. Zudem werden die Suchergebnisse redaktionell aufbereitet. Kinder werden nicht getrackt und Suchanfragen werden nicht an Dritte weitergegeben. Laut Datenschutzerklärung werden Suchanfragen zwar protokolliert bzw. gespeichert, die Informationen sollen aber nicht auf einzelne Personen zurückführbar sein. Die Suchmaschine richtet sich an Kinder im Alter von 6 bis 14 Jahren.

Hinweis

Die Förderung des Projekts »Kindersuchmaschine Blinde Kuh« durch das BMFSFJ endet am 31.01.2024. Aktuell sucht das Projekt nach anderen Finanzierungsmöglichkeiten. Das bedeutet: Die Suchmaschine ist derzeit leider nicht nutzbar/verfügbar.

Bildquellen:

Search: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY


ThunderbirdThunderbird

Die Verwaltung der E-Mail-Kommunikation über einen lokalen Client ist nicht nur komfortabler, sondern auch sicherer als der Zugriff über das Webinterface beim Anbieter. Für den E-Mail-Client Thunderbird von Mozilla gibt es Add-ons und Einstellungen, mit denen die Sicherheit und der Datenschutz weiter verbessert werden können. Seit der Version 78 von Thunderbird sind Enigmail (Verschlüsselung / Signierung von E-Mails) sowie Lightning (Kalender- und Aufgabenverwaltung) fester Bestandteil des E-Mail-Clients und müssen nicht separat installiert werden.

Empfehlenswerte Add-ons [Einsteiger]

  • Allow HTML Temp: E-Mails können mit einem Klick als »Original oder Simple HTML« angezeigt werden. Es empfiehlt sich, das Add-on auf die Darstellung von »Simple HTML« einzustellen. Nach dem Lesen der E-Mail wird wieder auf den ursprünglich gewählten Anzeigemodus umgeschaltet – bei Thunderbird sollte dies idealerweise »Plain Text« sein.
  • CardBook: Ermöglicht die Verwaltung von Kontakten, die anschließend über das CardDAV-Protokoll mit anderen Geräten synchronisiert werden können. Seit Version 102 unterstützt Thunderbird ebenfalls die Synchronisation von Kontakten – das Add-on ist in diesem Fall nicht unbedingt notwendig.

Hinweis

Für die Synchronisation von Kontakten, Kalendereinträgen etc. gibt es zwei Möglichkeiten:
  • Dienstleister: Sofern bspw. euer E-Mail-Anbieter das Card- bzw. CalDAV-Protokoll unterstützt, könnt ihr Kalender, Kontakte etc. über mehrere Geräte hinweg synchronisieren.
  • Self-Hosting: In Kombination mit Radicale, Nextcloud oder einer vergleichbaren Lösung könnt ihr eure Daten ebenfalls über mehrere Geräte hinweg synchronisieren, behaltet aber die Hoheit und Kontrolle über euer Adressbuch bzw. euren Kalender.

Empfehlenswerte Add-ons [Fortgeschrittene]

Empfehlenswerte Einstellungen [Anfänger]

Standardmäßig stellt Thunderbird E-Mails im HTML-Format dar. Grundsätzlich halte ich es für empfehlenswert, E-Mails nur als Text bzw. »Plain Text« anzuzeigen. In HTML-E-Mails lauern oftmals Tracking-Wanzen oder Phishing-Links, auf die man schnell unbedacht klickt. Sollte eine HTML-E-Mail als reiner Text nicht lesbar sein, kann man sie mit dem Add-on »Allow HTML Temp« temporär anzeigen lassen.

Damit E-Mails ausschließlich in Textform dargestellt werden, öffnet ihr den Menüpunkt Ansicht -> Nachrichteninhalt und stellt die Auswahl auf Reiner Text (engl. Plain Text).

Empfehlenswerte Einstellungen [Fortgeschrittene]

Weitere Einstellungen zur Verbesserung der Sicherheit und des Datenschutzes von Thunderbird sind im Privacy-Handbuch zusammengefasst.


Übermittlungssperre beim MelderegisterÜbermittlungssperre

Das Melderegister ist ein amtliches Verzeichnis, in dem der ständige bzw. vorübergehende Aufenthalt einer Person eingetragen wird. In diesem Register werden unter anderem folgende Daten gespeichert:

  • Name und Vorname
  • Geburtsdatum und Geschlecht
  • Staatsangehörigkeit
  • Zugehörigkeit zu einer Religionsgemeinschaft
  • derzeitige Anschrift
  • Familienstand
  • Eltern minderjähriger Kinder
  • […]

Was viele nicht wissen: Bestimmte Zielgruppen wie Parteien, Religionsgesellschaften, die Bundeswehr aber auch Adressbuchverlage haben das Recht, diese Daten beim Melderegister anzufragen. Gegen diese Anfragen kann gemäß § 50 Abs. 5 und § 36 Bundesmeldegesetz bei der zuständigen Meldebehörde eine Übermittlungssperre beantragt werden. Eine einmal eingerichtete Übermittlungssperre gilt in der Regel unbefristet.

Einrichtung einer Übermittlungssperre

Für die Einrichtung einer Übermittlungssperre gibt es kein einheitliches Verfahren oder Musterschreiben der Städte bzw. Gemeinden – jede kocht hier ihr eigenes Süppchen. Am Beispiel der Stadt Mannheim soll die Vorgehensweise kurz erläutert werden:

  • Zunächst wird folgender Suchstring in eine Suchmaschine eingegeben: Übermittlungssperre Melderegister Mannheim
  • Danach wird folgende Webseite angezeigt: Widerspruchsrechte für Melderegisterdaten
  • Nach allgemeinen Erläuterungen findet sich auf der Seite (ganz unten) ein Antragsformular
  • Im Antragsformular muss ausgewählt werden, für welche Zielgruppen (Parteien, Bundeswehr etc.) die Übermittlungssperre gelten soll
  • Für den Antrag wird auch eine Kopie des Personalausweises benötigt – ich würde dem aber nicht nachkommen, sondern erst nach Aufforderung
  • Idealerweise die ausgefüllten Unterlagen direkt beim zuständigen Amt/Bürgerbüro/Stelle abgeben (Briefkasten genügt)

Hinweis

Wenn ihr in einer anderen Stadt/Gemeinde wohnt, könnt ihr bei der Suche einfach Mannheim durch euren Wohnort ersetzen.

Alternative: Formular der Piratenpartei

Sollte eure Stadt/Gemeinde kein Formular bzw. keine Möglichkeit anbieten, eine Übermittlungssperre zu beantragen, könnt ihr auch einfach eine Vorlage der Piratenpartei verwenden:

Lade dir unser Formular herunter und fülle es aus. Wähle aus, gegen welche Verwendungszwecke du Widerspruch einlegen möchtest. Adressiere es an deine Meldebehörde (in der Regel das Rathaus) und drucke es aus. Vergiss nicht, das Formular zu unterschreiben. Dann ab damit in einen Briefumschlag, frankieren und in die Post – oder direkt beim Rathaus abgeben.

Übermittlungssperre oder Auskunftssperre?

Eine Übermittlungssperre ist nicht mit einer Auskunftssperre gleichzusetzen. Bei der Übermittlungssperre geht es gemäß § 50 Abs. 5 und § 36 Bundesmeldegesetz darum, der Weitergabe der eigenen Meldedaten an Parteien, Bundeswehr etc. zu widersprechen. Bei einer Auskunftssperre (§ 51 Bundesmeldegesetz) wird dagegen ein Vermerk im Melderegister hinterlegt, der sich auf alle Arten von Melderegisterauskünften bezieht. Eine solche Auskunftssperre muss vom Antragsteller immer glaubhaft begründet werden und dient dem Schutz des Betroffenen vor Bedrohungen, Beleidigungen etc. Eine Auskunftssperre ist in der Regel zeitlich befristet – üblich sind zwei Jahre. Genauere Informationen können bei der zuständigen Stelle erfragt werden.

Bildquellen:

Cloud: Freepik from www.flaticon.com is licensed by CC 3.0 BY


Infografiken: Verhalten im NetzVerhalten im Internet

Der respektvolle Umgang mit seinen Mitmenschen sollte eigentlich eine Selbstverständlichkeit sein. Wie wir alle wissen, sieht die Realität leider oft anders aus – insbesondere im Internet. Verhaltensempfehlungen wie die Netiquette sollen helfen, einen angemessenen und respektvollen Umgang bzw. Benehmen bei der technischen Kommunikation im Internet zu (be)wahren.

Die nachfolgenden Infografiken von Imke Senst und FrauTux ergänzen die Netiquette um konkrete Handlungsempfehlungen für die Aktivitäten

  • Bilder veröffentlichen
  • Texte veröffentlichen
  • und Inhalte teilen

Bild im Internet posten

Infografik: Bild posten

Text veröffentlichen

Infografik: Text veröffentlichen

Etwas mit anderen teilen

Infografik: Inhalte teilen

Bildquellen:

Timeline: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


VideokonferenzApp-Verkehr mitschneiden

In Zeiten von Covid-19 sind Videokonferenzen unverzichtbar, da sie es ermöglichen, die Gesprächspartner zu sehen – sowohl im geschäftlichen als auch im privaten Umfeld. Populäre Video-Chat-Anbieter wie Zoom, MS Teams, Cisco Webex und andere sind nicht unbedingt die beste Wahl, wenn die Teilnehmer Wert auf Datenschutz legen. Kommerzielle Anbieter erheben und verarbeiten oft eine Vielzahl von (personenbezogenen) Daten wie Namen, Städte, Gesprächsdauer sowie Einstellungen und eindeutige Geräte-IDs aller Teilnehmer für jedes einzelne Meeting.

Es geht aber auch datenschutzfreundlicher, wie einige Alternativen aus der Open-Source-Welt zeigen. Die bessere Bilanz bei Datenschutz und Sicherheit geht übrigens nicht zu Lasten der Benutzerfreundlichkeit – im Gegenteil, die Einstiegshürde in die Welt der Videokonferenzen ist bei der Alternative Jitsi Meet wohl am geringsten.

Grundsätzlich empfiehlt es sich, Video- oder Webkonferenzsysteme auf eigenen Servern zu betreiben, die die Einhaltung des Datenschutzes (nachweisbar) ermöglichen.

Jitsi Meet [Einsteiger | Eignet sich für Besprechungen in Kleingruppen]

Jitsi Meet ist ein quelloffenes Open-Source-Videokonferenzsystem, das den Austausch mit einem oder mehreren Teilnehmern ermöglicht. Sowohl der Betrieb als auch die Nutzung sind unkompliziert und ermöglichen anonyme Videokonferenzen ohne Werbung und Tracking. Für die Nutzung ist kein Account erforderlich, sondern lediglich ein Webbrowser (der WebRTC unterstützt) oder die App für Android bzw. iOS. Datenschutzsensible Nutzer finden die Jitsi-Meet-App ebenfalls im F-Droid-Store.

  • Anwender: Eine Kurzanleitung ermöglicht den schnellen Einstieg in eine Videokonferenz mit Jitsi Meet. Innerhalb von 10 Minuten kann praktisch jeder mit dem entsprechenden Equipment (Webcam, Headset etc.) eine Videokonferenz über einen Browser initiieren und weitere Teilnehmer einladen. Um sofort loslegen zu können, benötigst du eine Jitsi Meet Instanz. Öffentlich verfügbare Instanzen findest du hier: Public Jitsi Meet Instances.
  • Betreiber: Auch wenn Jitsi Meet quelloffen ist, bedeutet dies nicht automatisch, dass es im Auslieferungszustand datenschutzfreundlich eingesetzt werden kann. Dazu sind einige Nachbesserungen notwendig, die ich im Beitrag »Server-Einstellungen für einen datenschutzfreundlichen Betrieb« zusammengefasst habe.

BigBlueButton [Einsteiger | Eignet sich für Besprechungen, Schulen, Seminare, Vorlesungen etc.]

BigBlueButton ist eine Open-Source-Videokonferenzlösung, die sich besonders für die Vermittlung von Lerninhalten an Schulen, Universitäten etc. eignet. BigBlueButton wurde speziell für den E-Learning-Bereich entwickelt und bietet unter anderem diverse Werkzeuge wie Whiteboard, Bildschirm freigeben, Feedback-Funktion etc. die den virtuellen Unterricht erleichtern.

Unter anderem stellt das Land Baden-Württemberg den Schulen eine Moodle/BigBlueButton-Infrastruktur zur Verfügung, über die Lehrerinnen und Lehrer den Kontakt mit ihren Schülerinnen und Schülern in Kontakt bleiben oder Lerninhalte datenschutzgerecht vermitteln können.

Tipp: Senfcall.de bietet jedem die Möglichkeit, Meetings über BigBlueButton zu initiieren.

OpenTalk [Einsteiger | Eignet sich für Besprechungen, Schulen, Seminare, Vorlesungen etc.]

OpenTalk, entwickelt vom Berliner Linux- und Mailbox-Experten Heinlein Support, ist eine Open-Source-Videokonferenzlösung, die sowohl als Community Edition als auch als Enterprise Edition verfügbar ist. Die Lösung eignet sich insbesondere für den Einsatz in Politik und Verwaltung sowie in Universitäten und Schulen.

Die Videokonferenzplattform wird in deutschen Rechenzentren gehostet und berücksichtigt die Vorgaben der Datenschutzgrundverordnung (DSGVO). Mit seiner einfachen Handhabung und Skalierbarkeit bietet OpenTalk eine Alternative zu amerikanischen Anbietern wie Zoom oder WebEx.

OpenTalk bietet die Flexibilität, je nach Bedarf lokal auf eigenen Servern (On-Premise) oder als Software-as-a-Service (SaaS) betrieben zu werden. Beim SaaS-Modell übernimmt OpenTalk den kompletten Betrieb.

Bildquellen:

Videoconference: Freepik from www.flaticon.com is licensed by CC 3.0 BY


VPN-AnbieterVPN-Anbieter

VPN ist die Abkürzung für Virtual Private Network. Ursprünglich wurde diese Technologie entwickelt, um von praktisch jedem Ort der Welt aus sicher auf die Ressourcen eines privaten oder geschützten Netzwerks zugreifen zu können. VPNs werden vor allem im Unternehmensumfeld eingesetzt, um Mitarbeitenden, die unterwegs oder zu Hause arbeiten, den Zugriff auf das Firmennetzwerk zu ermöglichen. Sie können dann so arbeiten, als säßen sie am Computer im Büro.

Privatanwender hingegen haben bei der Nutzung eines VPN meist ihre Privatsphäre im Blick. Sie wollen nicht erkannt werden, wenn sie im Internet surfen. In der Praxis klappt das aber eher schlecht als recht, denn die Tracking-Methoden sind heute so ausgereift, dass es nicht mehr ausreicht, die IP-Adresse über ein VPN zu verschleiern. Dennoch werben viele unseriöse VPN-Anbieter mit Versprechungen wie

Werden Sie unsichtbar und surfen Sie anonym im Web, ohne Spuren Ihrer Aktivitäten zu hinterlassen.

oder

Ohne ein VPN sind Ihre IP-Adresse, Standort, Browseraktivitäten und Online-Kommunikation gefährdet.

Leider fallen viele Nutzer auf diese haltlosen Werbeversprechen herein und wiegen sich in falscher Sicherheit. Zudem fallen VPN-Anbieter immer wieder durch nachlässige Sicherheitsvorkehrungen auf. Ganz zu schweigen von den angebotenen VPN-Apps für mobile Endgeräte, die mit Trackern geradezu vollgestopft sind – in einem so sensiblen Umfeld sollte es eigentlich eine Selbstverständlichkeit sein, darauf zu verzichten. Um es also ganz klar zu sagen: VPNs wurden ursprünglich nicht als Anonymisierungsdienste entwickelt – darauf weist auch das Tor-Project hin.

Brauchst du wirklich ein VPN?

Im Folgenden sind einige Kriterien aufgeführt, was ein VPN leisten kann und was nicht.

Ein VPN ist nicht sinnvoll für folgende Zwecke:

  • Erreichen von Anonymität
  • Schutz vor Hacking, Cyber-Bedrohungen und/oder Identitätsdiebstahl
  • Verschleierung des GPS-Standorts (bspw. Mobilgerät)
  • Passwörter schützen
  • Verhindern, dass Microsoft, Google oder Facebook private Daten sammeln
  • Verhinderung von unerwünschter Profilbildung/Tracking durch soziale Netzwerke, Suchmaschinen oder andere Dienstleister
  • Vermeidung von Daten-Leaks, bei der Nutzung von Online-Diensten

Ein vertrauenswürdiges VPN kann in folgenden Fällen nützlich sein:

  • Verbesserung der Sicherheit in unsicheren/nicht vertrauenswürdigen öffentlichen Netzwerken (Cafés, Züge etc.) durch Prävention von Man-in-the-Middle-Angriffen
  • Umgehung von Zensur oder geografischen Sperren (Geoblocking) von Websites und Inhalten
  • Verschlüsselung der Kommunikation, damit der Internet- oder Mobilfunkanbieter die Online-Aktivitäten nicht überwachen oder aufzeichnen kann
  • Verschlüsselung der DNS-Anfragen, damit der Internet- oder Mobilfunkbetreiber die besuchten Domains nicht protokollieren kann
  • Verstecken/Maskieren der IP-Adresse vor den besuchten Websites und Servern
  • Getunnelte Verbindung nach Hause und/oder zum Arbeitgeber, um auf Dienste zuzugreifen, die nicht direkt über das Internet erreichbar sind

Hinweis

Übrigens: Finger weg von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.

VPN-Anbieter [Einsteiger]

Die Wahl eines VPN-Anbieters ist Vertrauenssache. Schließlich wird der gesamte Datenverkehr über diesen Anbieter abgewickelt. Die meisten VPN-Anbieter machen jedoch keinen seriösen oder vertrauenswürdigen Eindruck. Oft sind die Webseiten gespickt mit haltlosen Werbeversprechen oder Trackern, die in diesem sensiblen Umfeld eigentlich nichts zu suchen haben. Der schwedische Anbieter Mullvad hebt sich in diesem hart umkämpften Markt positiv von der Konkurrenz ab. Für die Nutzung des Dienstes müssen beispielsweise keine persönlichen Daten angegeben werden. Zum Aufbau einer VPN-Verbindung können freie, quelloffene Programme/Applikationen wie OpenVPN oder WireGuard verwendet werden. Wie viele andere Anbieter gibt auch Mullvad an, keine Logfiles zu speichern – dies ist jedoch nicht überprüfbar.

VPN-Hosting [Fortgeschrittene]

Idealerweise hostet man das VPN-Gateway selbst. Dazu stehen dem technisch versierten Anwender verschiedene Varianten zur Verfügung:

  • FRITZ!Box: Die (Kabel-)Router von AVM sind in vielen Haushalten zu finden und bieten mehr Funktionen als nur die Bereitstellung eines Internetanschlusses. Unter anderem kann auf der FRITZ!Box beispielsweise auch ein VPN-Dienst eingerichtet werden. Technisch unterstützt die Box dabei VPN-Verbindungen nach dem WireGuard- oder IPSec-Standard. Bevor man jedoch ein VPN auf der FRITZ!Box in Betrieb nimmt, sollte man aus Sicherheitsgründen prüfen, ob die aktuelle Version des FRITZ!OS installiert ist.
  • OpenVPN: Das Projekt PiVPN ermöglicht den einfachen Betrieb eines VPN auf Basis des OpenVPN-Protokolls.
  • WireGuard: WireGuard ist eine VPN-Lösung, die als Alternative zu bekannten Vertretern wie OpenVPN und IPsec entwickelt wird. Die Inbetriebnahme ist im Vergleich zu OpenVPN deutlich einfacher und beschränkt sich auf das Wesentliche. Es gibt diverse Anleitungen (bspw. Set Up WireGuard VPN on Ubuntu), um einen WireGuard-Server zu installieren.

Bildquellen:

Shield: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


Werbe- und TrackingblockerWerbe- und Trackingblocker

Ein Werbe- bzw. Trackingblocker zählt mittlerweile zur Grundausstattung der digitalen Selbstverteidigung. Denn die heile Welt der Online-Werbung hat längst ein großes Problem: Malvertising – also die Auslieferung von Werbung, die Schadcode enthält und damit ein Risiko für den Nutzer bzw. seine Daten darstellt.

Aber nicht nur Malvertising ist ein Ärgernis, sondern auch Tracking-Firmen, die ungefragt die Aktivitäten von Nutzern auf Webseiten und innerhalb von Apps aufzeichnen, auswerten und die Daten gewinnbringend vermarkten. Man könnte sie auch als »digitale Parasiten« bezeichnen, die eigentlich niemand braucht, deren parasitäres Verhalten aber von den meisten Nutzern nicht bemerkt wird, weil es äußerst subtil und nahezu unsichtbar ist. Aufgeklärte Nutzer müssen sich aber nicht einfach mit diesen Privatsphäre missachtenden Protagonisten abfinden, sondern können technisch aufrüsten und ihnen den Datenhahn zudrehen.

Werbe- bzw. Trackingblocker gibt es in unterschiedlichen Ausprägungen. Einige funktionieren als Erweiterung im Browser, andere sind als App für das Smartphone verfügbar und wieder andere Lösungen funktionieren als eigenständiges Gerät, um mehrere Computer oder Smartphones zu schützen.

DNS-Blocking [Anfänger/Bequeme]

Ein einfacher Weg, Werbung und Tracker auf Android bzw. iOS systemweit (in allen Apps) auf Eis zu legen, ist die Blockierung über einen DNS-Anbieter. Im Beitrag »Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen« wird die Umsetzung ausführlich beschrieben.

Empfehlenswerte Tools [Anfänger bis Fortgeschrittene]

  • uBlock Origin: Das Browser-Add-on uBlock Origin ist der derzeit effektivste Werbe- und Tracking-Blocker. Bereits im Auslieferungszustand enthält uBlock Origin diverse Filterlisten, die Tausende von Domains blockieren, die für die Auslieferung von Werbung, Trackern und anderen unerwünschten Inhalten bekannt sind. Das Add-on ist für Firefox, Chromium, Microsoft Edge und Safari verfügbar. Der Beitrag »Firefox: uBlock Origin – Firefox-Kompendium Teil2« gibt einen Einblick in die Konfiguration – das Add-on eignet sich nicht nur für Anfänger, sondern auch für Fortgeschrittene und Profis und sollte zur Grundausstattung eines jeden Browsers gehören. uBlock Origin sollte übrigens immer installiert werden, auch wenn man eine Lösung wie AdAway oder Pi-hole verwendet. Die in uBlock Origin integrierten (kosmetischen) Filter erfassen auch Werbung, die direkt in eine Webseite eingebettet ist und nicht aus Drittquellen nachgeladen wird.
  • AdAway [Android]: Wie auch alle anderen Werbe- und Trackingblocker arbeitet AdAway mit Filterlisten, um Tracking- und Werbedomains zu blockieren. Im Gegensatz zu NetGuard oder RethinkDNS bietet AdAway zwei Modi: Einen für gerootete Geräte und einen für nicht gerootete Geräte. Letzterer erfordert ein lokales VPN, über das dann der gesamte App-Verkehr läuft und die Filterung erfolgt. AdAway ist direkt über F-Droid verfügbar. Der Beitrag »AdAway: Werbe- und trackingfrei im Android-Universum« beschreibt die Funktionsweise von AdAway und gibt Tipps zur Konfiguration.
  • AdGuard Pro [iOS]: Die iOS-App AdGuard Pro blockiert ebenfalls wie AdAway Werbung und Tracker bereits auf DNS-Ebene. Dazu initiiert die App ein lokales VPN, durch das im Anschluss jeglicher App-Verkehr fließen muss. Eine Alternative zu AdGuard Pro ist bspw. die App DNSCloak – diese ist jedoch komplexer in der Bedienung und daher weniger für Einsteiger geeignet. Der Beitrag »AdGuard Pro: Tracking und Werbung unter iOS unterbinden« gibt einen Einblick in die Funktionsweise von AdGuard Pro.

Weitere Apps für Android

Insbesondere für Android gibt es noch weitere Werbe- und Tracking-Blocker. Dazu zählen unter anderem RethinkDNS, personalDNSfilter oder TrackerControl. Oft ist es Geschmackssache oder eine bestimmte Funktion, die darüber entscheidet, welche dieser Apps man im Alltag nutzt. Die Funktionsweise ist bei allen ähnlich.

Mehr Kontrolle – höhere Blockraten [Fortgeschrittene]

  • Pi-hole [geräteübergreifend]: Mit dem Pi-hole können Tracker und Werbung bereits auf DNS-Ebene herausgefiltert werden. DNS-Anfragen an Werbe- und Trackingdomains werden dann nicht wie üblich in die entsprechende IP-Adresse übersetzt und nachgeladen, sondern die Anfragen laufen quasi »ins Leere«. Positiv: Mit einem Pi-hole können Werbeeinblendungen und Datensammler auf allen Geräten gefiltert werden, die das Pi-hole zur Namensauflösung verwenden. Um auch unterwegs bzw. im mobilen Netz von der Filterfunktion des Pi-Holes zu profitieren, kann es sinnvoll sein, einen VPN-Tunnel in das (private) Netz aufzubauen, in dem das Pi-Hole erreichbar ist. Ein solcher VPN-Tunnel kann z.B. über die FRITZ!Box oder PiVPN realisiert werden.
  • OpenWrt – Adblock-Addon [geräteübergreifend]: Wer einen OpenWrt-Router einsetzt, der kann sich das Adblock-Addon installieren. Damit werden Werbung und Tracker bereits auf DNS-Ebene gefiltert – wie beim Pi-Hole für alle Geräte im Netzwerk.
  • RethinkDNS [Android]: RethinkDNS ist ein leistungsstarkes Tool, das mehrere Funktionen in sich vereint. Es ist nicht nur eine Firewall, mit der man feingranular steuern kann, zu welchen Domains/IP-Adressen sich eine App verbinden darf, sondern kann auch Werbe- und Tracking-Domains filtern. Die Kombination Firewall + Filterlisten ist äußerst mächtig, erfordert aber auch ein hohes Maß an Disziplin und Einarbeitungszeit. Wie AdAway, NetGuard und Co. nutzt auch RethinkDNS die lokale VPN-Schnittstelle von Android, um den Datenverkehr von Apps einsehen zu können.

Weitere Filterlisten

Mit DNS-basierten Werbe- und Tracking-Blockern wie Pi-hole, AdAway, NetGuard, AdGuard Pro, Adblock (OpenWrt) etc. können unerwünschte Verbindungen blockiert werden. In der Regel werden diese Tools mit vordefinierten Filterlisten ausgeliefert, die Werbung und Co. vor dem Nachladen aussortieren. Meist gibt es zusätzlich die Möglichkeit, weitere Filterlisten einzubinden. Zwei davon sind meines Erachtens eine Empfehlung wert:

Kontrollfetischisten [Profis]

  • IPFire: Für die Firewall-Lösung IPFire existiert ein DNS-Blocker-Skript, mit dem ein ähnliches Ergebnis erzielt werden kann. Auch hier laufen DNS-Anfragen an Server, die für Tracking und Werbung bekannt sind, anschließend ins Leere bzw. werden von unbound mit der IP-Adresse »0.0.0.0« beantwortet. Kombiniert man diese Methode noch mit dem ASN-Skript, mit dem sich IP-basierte Blocking-Regeln für IPFire generieren lassen, haben die Datensammler im wahrsten Sinne des Wortes »ausgesammelt«.

Bildquellen:

Windows: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


Widerspruch nach Art. 21 DSGVOWiderspruch

Egal mit welchem Dienstleister, Versicherer, Bank, Online-Shop etc. ihr einen Vertrag / eine Geschäftsbeziehung habt, fast alle nutzen eure Daten für Direktwerbung, Profiling und Meinungsforschung. Dank der Datenschutzgrundverordnung (DSGVO) könnt ihr dem widersprechen. Das verhindert die Verarbeitung eurer Daten zu Werbezwecken und erspart euch Werbemüll im E-Mail-Postfach oder Briefkasten.

So geht ihr vor, wenn ihr widersprechen wollt:

  • Ruft die Webseite der Bank, der Versicherung, des Dienstleisters, des Online-Shops usw. auf
  • Ruft die Datenschutzerklärung auf
  • Sucht dort nach dem Verantwortlichen im Sinne der DSGVO
  • Kopiert die E-Mail-Adresse (meist ist sie dort hinterlegt)

Anschließend wird eine E-Mail mit dem Titel »Widerspruchsrecht – Art. 21 DSGVO« verfasst:

Sehr geehrte Damen und Herren,

hiermit widerspreche ich der Verarbeitung meiner personenbezogenen Daten für Zwecke der Direktwerbung gem. Art. 21 Abs. 2 DSGVO. Der Widerspruch bezieht sich auch auf das Profiling, soweit es im Zusammenhang mit der Direktwerbung steht.

Sofern ich eine Einwilligung zur Verarbeitung meiner Daten für Zwecke der Direktwerbung (z.B. nach Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) erteilt habe, widerrufe ich diese hiermit.

Mein Widerruf gilt ausdrücklich auch für alle anderen Angebote und Unternehmen, für die Sie gemäß Art. 4 Nr. 7 DSGVO verantwortlich sind.

Gemäß Art. 12 Abs. 3 DSGVO bestätigen Sie mir meinen Widerspruch unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang meiner Anfrage.

Zur Identifizierung meiner Person habe ich folgende Daten beigefügt:
[Vorname Nachname]
[Straße Hausnummer]
[PLZ Ort]
[Vertragsnummer / Kundennummer]

Hinweis: Sollte mein Widerspruch zu einer Löschung meines Accounts nach Art. 17 Abs. 1 lit. c DSGVO führen, teilen Sie mir dies bitte mit. Ich werde dann im Einzelfall entscheiden, ob diese durchgeführt wird.

Mit freundlichen Grüßen
[Vorname Nachname]

Auf »Drohungen« in der ersten E-Mail sollte zunächst verzichtet werden, da die meisten Verantwortlichen innerhalb der Frist antworten und die Sperrung bestätigen.

Das könnt ihr bei fast jedem Vertrag oder Anbieter machen. Es kostet euch nichts, ist schnell erledigt und wirkt sich positiv auf den Schutz eurer Daten aus. Also: Macht es!

Bildquellen:

Protest: Freepik from www.flaticon.com is licensed by CC 3.0 BY


WLAN absichernWiFi Router

Die drahtlose Verbindung ins Internet, WLAN, ist eine praktische Sache. Doch durch Softwarefehler, Komfortfunktionen und nachlässig konfigurierte Router kann das heimische WLAN schnell zum Einfallstor für Angreifer werden. Mit einfachen Tipps kann man sich allerdings davor schützen – und das ist auch dringend zu empfehlen. Denn begeht ein Eindringling über euer WLAN eine Straftat (bspw. Urheberrechtsverletzung), haftet ihr als Anschlussinhaber. Mit den folgenden fünf Maßnahmen könnt ihr euer WLAN effektiver vor ungebetenen Gästen schützen:

  • Langes WPA2-/WPA3-Passwort: Generiert euch mit Hilfe eines Passwort-Managers wie KeePassXC oder dem Diceware-Verfahren (6 Wörter oder mehr) ein mindestens 32 Zeichen langes Passwort bzw. eine Passphrase. Allein durch die Länge des Passwortes wird ein Angreifer vor eine schier unlösbare Aufgabe gestellt, wenn er versucht, euer Passwort per Brute-Force-Angriff zu knacken. Merke: Die Verschlüsselung ist nur so gut wie das verwendete Passwort.
  • Social-Engineering: Im Idealfall benutzt ihr nur WLANs, die ihr selbst eingerichtet habt oder denen ihr vertraut. Taucht in der Liste der verfügbaren WLANs plötzlich ein WLAN mit dem gleichen SSID-Namen wie euer WLAN auf, solltet ihr misstrauisch werden und euch dort nicht einloggen bzw. keine Passwörter herausgeben. Bricht die WLAN-Verbindung dann auch noch mehrmals hintereinander abrupt ab, handelt es sich mit hoher Wahrscheinlichkeit um einen Evil-Twin-Angriff.
  • Deaktivierung von Komfortfunktionen: Die Komfortfunktion Wi-Fi Protected Setup (WPS) sollte generell deaktiviert werden. Aufgrund diverser Implementierungsfehler ist WPS immer wieder Ziel von Angriffen wie Pixie-Dust. Auch Funktionen wie »Remote Access« und Ähnliches solltet ihr komplett deaktivieren. Das reduziert die Angriffsfläche eures WLANs erheblich.
  • Sicherheitsupdates einspielen: Regelmäßig prüfen, ob (Sicherheits-)Updates für den Access-Point bzw. Router verfügbar sind und diese zeitnah einspielen.
  • Sendeleistung reduzieren / ausschalten: Sendeleistung reduzieren / ausschalten: Häufig strahlen Funknetzwerke weit über die eigentlich benötigte Sende- bzw. Empfangsreichweite hinaus. Je stärker das WLAN-Signal ist, desto einfacher lassen sich bestimmte Angriffe durchführen. Viele Routerhersteller bieten die Möglichkeit, die Sendeleistung zu reduzieren. Wähle zunächst die niedrigste Sendeleistung und prüfe dann, ob alle Geräte im gewünschten Radius noch eine Verbindung herstellen können. Generell ist es ratsam, das WLAN über Nacht per Zeitplan oder Nachtschaltung komplett abzuschalten.

Fremde Geräte, die ihr nicht kontrolliert, sollten keinen Zugang zu eurem WLAN haben. Wenn ihr dennoch einen Gastzugang anbieten wollt, solltet ihr diesen von eurem geschützten bzw. privaten WLAN trennen:

  • Separater Router: Verwendet einen zweiten Router bzw. Access-Point, über den sich Gäste in ein separates Gast-WLAN einloggen können. Im Idealfall schließt ihr euch einer Freifunk-Initiative an und ermöglicht Gästen bzw. anderen Personen den freien Zugang zum Internet – dann seid ihr ebenfalls von der Störerhaftung befreit.
  • Gastzugang: Einige Router, wie bspw. die Fritz!Box, bieten einen Gastzugang an und ermöglichen Gästen den Internetzugang über ein zusätzliches Funknetzwerk. Die Gastgeräte sind dabei (logisch) vollständig vom Heimnetzwerk bzw. den eigenen Geräten getrennt.

Hinweis

Das Eindringen bzw. Hacken von WLANs ist einfacher, als viele denken. Der Artikel »Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützen kann« zeigt einige Angriffstechniken auf.

Bildquellen:

WiFi: Alfredo Hernandez from www.flaticon.com is licensed by CC 3.0 BY


WLAN-SSID: Opt-OutWiFi Opt-Out

Spätestens seit dem Skandal um die Aufzeichnung von WLAN-Daten durch Googles Street-View-Autos ist bekannt, dass Google Funknetze erfasst, um die Ortung von Telefonen zu ermöglichen. Heute gilt: Ein Spaziergänger mit aktivierter WLAN-Schnittstelle in seinem Smartphone reicht aus, dass seine WLAN-SSID (Netzwerkkennung seines WLANs) beim Vorbeigehen erfasst und in einer Datenbank von Google gespeichert wird.

Große Technologiekonzerne wie Microsoft, Google und Co. können ihre Nutzer dann über diese »WLAN-Maps« nahezu überall orten – auch wenn GPS deaktiviert wurde. Das Dilemma: Niemand hat einen um Erlaubnis gefragt, die WLAN-SSID des heimischen Routers einfach für seine Location-Mapping-Dienste zu verwenden.

Wer sich dieser Erfassung widersetzen möchte, sollte seine WLAN-SSID wie folgt anpassen:

<SSID>_optout_nomap

Mit der Kennung _optout signalisiert ihr Microsoft, dass die SSID nicht verarbeitet werden soll. Google und andere Anbieter von Location-Mapping-Diensten respektieren hingegen den Bezeichner _nomap.

Hinweis

Die Kennung _nomap muss in jedem Fall am Ende stehen. Ansonsten wird sie von Google und Co. ignoriert.

Bildquellen:

No WiFi: Pixel Perfect from www.flaticon.com is licensed by CC 3.0 BY


WiFi-TrackingWiFi-Tracking

Ist bei einem Smartphone die WLAN-Funktion aktiviert, sucht es automatisch nach Netzwerken in der Umgebung und sendet dabei Funksignale aus. Diese Funksignale können empfangen und ausgewertet werden. Dazu muss das Smartphone nicht mit dem WLAN-Netz verbunden sein. Gleiches gilt für Bluetooth. Über diese Signale können die Geräte in Einkaufszentren, Straßen oder Kongresshallen identifiziert und verfolgt werden. So lassen sich detaillierte Bewegungsprofile der Nutzer erstellen, die beispielsweise einem Ladenbesitzer verraten, wie viele Menschen an einem Geschäft vorbeigehen und wie sich die Kunden im Laden bewegen. Diese Form der »Überwachung« kann durch einfache Maßnahmen unterbunden werden:

  • Manuell: Wenn ihr das Haus verlasst, solltet ihr eure WiFi-Schnittstelle manuell deaktivieren – das gilt auch für Bluetooth oder andere Schnittstellen, die ihr nicht benötigt.
  • Automatisch [Android]: Wer die manuelle Deaktivierung der WiFi-Schnittstelle gerne mal vergisst, der kann wie folgt vorgehen:
    • Je nach Android-Version: »Einstellungen -> Netzwerk & Internet -> Internet -> Netzwerkeinstellungen« öffnen. Je nach verwendeter Android-Version bzw. Custom-ROM findet ihr dort eine Option mit der Bezeichnung Turn off Wi-Fi automatically zu finden. Tippt diese an und wählt dort bspw. 1 Minute aus. Sobald euer Gerät 1 Minute lang mit keinem WiFi-Netzwerk verbunden ist, schaltet sich die WiFi-Schnittstelle ab.
    • WiFi Automatic [App]: Entfernt zunächst das Häkchen bei »Schalte WLAN aus… wenn kein Netzwerk in Reichweite« ist. Im Stadtzentrum sind immer WLAN-Netzwerke in Reichweite und eure WiFi-Schnittstelle würde sich nie ausschalten. Außerdem solltet ihr euch überlegen, ob das WLAN aktiviert werden soll, wenn ihr das Gerät entsperrt und nach wie vielen Minuten das WLAN deaktiviert werden soll, wenn das Display ausgeschaltet ist.
  • Automatisch [LineageOS]: Für LineageOS-Nutzer gibt es eine elegante Lösung, um die WiFi-Schnittstelle automatisch zu deaktivieren, sobald euer WLAN-Access-Point außer Reichweite ist. Öffnet dazu »Einstellungen -> Systemprofile -> Standard -> Klickt in der Zeile rechts auf das Systemicon«. Dort tippt ihr unter »Auslöser, die dieses Profil aktivieren« auf WLAN. Dort wählt ihr dann euer WLAN aus und stellt als Auslöser ein: Beim Trennen. Dann wechselt ihr zurück (1x) und wählt unter »Drahtlos & Netzwerke« WLAN und legt dort fest: Ausschalten. Was passiert jetzt? Ganz einfach: Sobald ihr euch vom definierten WLAN trennt oder einfach aus der Reichweite geht, wird die WiFi-Schnittstelle automatisch deaktiviert.

Scannen von WLANs [Android]

Unter Android muss zusätzlich die Option Scannen von WLANs im Hintergrund deaktiviert werden, da das Gerät sonst weiterhin Signale sendet, mit denen es (über die MAC-Adresse) geortet werden kann. Ab Android 6.x ist diese Funktion unter »Standort« zu finden und heißt »WLAN-Suche«. Um sie zu deaktivieren, klickt einfach auf die drei Punkte, wählt »Suche« und entfernt das Häkchen bei »WLAN-Suche«.

WiFi-Randomzier

WiFi-Randomizer oder andere Schutzmechanismen gegen WLAN-Tracking sind leider nur bedingt geeignet, Schutz zu bieten. Besser ist es, die WiFi-Schnittstelle manuell oder automatisch zu deaktivieren. Dies gilt auch für iOS-Geräte.

Hinweis

Der WISO-Beitrag »WLAN-Tracking in Deutschland« (4:29 Minuten) erklärt anschaulich, wie WLAN-Tracking funktioniert und wie verbreitet es in Deutschland ist.

Bildquellen:

No WiFi: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY


Windows 10Windows 10

Bei Anwendern, die sich um ihre Privatsphäre sorgen, genießt Windows 10 keinen guten Ruf. Verschiedene Studien wie »SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10 (BSI)« belegen, dass die Datensammelwut des Systems nur schwer in den Griff zu bekommen ist. Nur mit (externen) Hilfsmitteln ist ein einigermaßen »datenschutzfreundlicher« Betrieb von Windows 10 möglich – für den durchschnittlichen Nutzer nur schwer zu erreichen.

Wer sich vor Augen führt, welche Daten Windows 10 in der Standardinstallation übermittelt, wird unweigerlich nach Möglichkeiten suchen, diese Datensammelwut zu minimieren. Dabei ist jedoch zu bedenken, dass Microsoft (wie auch Google, Facebook und Co.) Dark Patterns bzw. Nudging einsetzt, um Datenschutzeinstellungen zu verstecken, missverständlich darzustellen oder den Nutzer durch irreführende Formulierungen davon abzuhalten, seine Privatsphäre zu schützen.

Mein genereller Rat lautet daher: Langfristig sollten Anwender, denen die Privatsphäre ihrer Daten am Herzen liegt, auf ein System wie GNU/Linux oder ein BSD-Derivat umsteigen. Auch hier ist nicht alles Gold, was glänzt, aber ein datenschutzfreundlicher Betrieb ist im Vergleich zu Windows 10 ohne großen Aufwand möglich. Wer Microsoft dennoch nicht den Rücken kehren will oder kann, für den habe ich ein paar Tipps zusammengestellt.

Datenschutz-Einstellungen [Einsteiger]

Die Verbraucherzentrale gibt einen Überblick über Einstellungen, die einen datensparsameren Betrieb von Windows 10 ermöglichen. Gerade Einsteiger finden hier wertvolle Tipps, um die Datensammelwut einzudämmen – ganz abschalten lässt sie sich über die von Windows mitgelieferten Optionen und Einstellungen allerdings nicht.

Telemetrie-Übermittlung abstellen [Einsteiger | Fortgeschrittene]

Die BSI-Studie beschreibt verschiedene Möglichkeiten, die Übertragung von Telemetriedaten an Microsoft zu unterbinden. Eine relativ einfache Variante möchte ich im Folgenden vorstellen:

Windows 10 sammelt Telemetriedaten über sogenannte ETW-Provider. Um diese ETW-Sitzungen bzw. die Übertragung der Telemetriedaten zu deaktivieren, sind folgende zwei Registry-Eingriffe notwendig:

  • Deaktivierung DiagTrack-Listener:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack\Start = 4
  • Deaktivierung Autologger-DiagTrack-Listener:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Diagtrack-Listener\Start = 0

Neben der Reduzierung der Telemetrie stellt das BSI auch Gruppenrichtlinien zur Verfügung, mit denen Windows 10 (Enterprise) gehärtet bzw. abgesichert werden kann.

Hinweis

Neben den Telemetriedaten sammelt Microsoft noch weitere Daten vom System. Mit Tools wie dem WindowsSpyBlocker oder einem Pi-hole kann auch diese Datenübertragung reduziert bzw. deaktiviert werden.

Privacy is sexy [Fortgeschrittene]

Das Projekt privacy is sexy stellt verschiedene Skripte zur Verfügung, mit denen nicht nur die Datensammlung des Systems reduziert, sondern auch unnötige Bloatware oder nicht genutzte Dienste deaktiviert werden können. Die Befehle werden kopiert/heruntergeladen und dann über das Windows-Terminal ausgeführt. Bei Bedarf können die Änderungen auch wieder rückgängig gemacht werden.

WindowsSpyBlocker [Fortgeschrittene]

Das Projekt WindowsSpyBlocker bietet die Möglichkeit, DNS-Namen bzw. IP-Adressen von Microsoft zu blockieren, an die Windows 10 (Telemetrie-)Daten übermittelt. Fortgeschrittene Nutzer sollten das Tool verwenden, um die Datenübertragung ins Leere laufen zu lassen – über die Windows 10-eigenen Datenschutzoptionen lässt sich die Sammlung von Telemetriedaten lediglich minimieren.

Pi-hole [Fortgeschrittene]

Der Pi-hole ist eigentlich eine Lösung zum Blockieren von Werbung und Trackern auf Geräten, die sich im selben Netzwerk befinden. Mittlerweile integriert das Projekt auch Filterlisten, um die Datensammelwut von Windows 10 einzudämmen. Die Lösung ist grundsätzlich mit dem WindowsSpyBlocker vergleichbar, gilt aber für alle Geräte bzw. Windows 10 Systeme, die sich in einem Netzwerk befinden.

Portmaster [Fortgeschrittene/Profis]

Portmaster ist eine Art Firewall, die eine feingranulare Filterung des ausgehenden Windows-Datenverkehrs ermöglicht. Der Quellcode ist für jedermann vollständig auf GitHub einsehbar und steht unter AGPLv3. Derzeit ist Portmaster für Windows und Linux (Debian, Ubuntu, Fedora, Arch) verfügbar.

Externe Firewall [Profis]

Wer die volle Kontrolle über die ausgehenden Datenverbindungen von Windows 10 haben möchte, kommt um den Einsatz einer externen Firewall nicht herum. Mit Hilfe des Whitelist-Ansatzes kann dann explizit erlaubt werden, welche Verbindungen Windows 10 nach »außen« initiieren darf. Im Beitrag »Windows unter Kontrolle – IPFire Teil4« habe ich diesen Ansatz näher beschrieben.

Bildquellen:

Windows: Smashicons from www.flaticon.com is licensed by CC 3.0 BY


YouTube: Datenschutzfreundlich & ohne WerbungYouTube

YouTube ist eine gigantische Videoplattform, die leider dem größten Datensammler der Welt gehört: Google. Aufgrund des Angebots kommt ein Verzicht für die meisten Nutzer jedoch nicht in Frage. Alternativen wie PeerTube haben im Vergleich zu YouTube leider nur ein sehr eingeschränktes Angebot. Die Frage ist also: Wie kann ein möglichst datenschutzfreundlicher Zugang zu den Videos auf YouTube realisiert werden? Schauen wir uns eine Lösung für Desktop, mobile Endgeräte und Streaming-Media-Adapter an.

Auf dem Desktop [Windows, macOS, Linux]

Piped: Piped ist ein YouTube-Frontend für den Browser, dessen Quellcode auf GitHub für jeden einsehbar ist. Mit Piped kann praktisch jedes YouTube-Video angeschaut werden – allerdings unter anderen Bedingungen:

Invidious: Wie Piped ist Invidious ein YouTube-Frontend für den Browser, dessen Quellcode auf GitHub für jedermann einsehbar ist. Insgesamt ist Invidious ähnlich wie Piped, mit dem Unterschied, dass Invidious standardmäßig Videos direkt von Google einbindet. Das bedeutet, dass der Browser das Video über Google-Server lädt, was systembedingt mit der Übermittlung der IP-Adresse an Google einhergeht. Wer das nicht möchte, sollte Piped verwenden oder auf der Invidious-Instanz die Funktion Proxy videos aktivieren.

FreeTube: Auf dem Desktop-PC ist FreeTube eine Alternative zum Browser. Der Client ist für Windows, macOS und diverse Linux-Derivate (Ubuntu/Debian, RedHat usw.) verfügbar. Der Quellcode ist auf GitHub einsehbar. Werbung wird ausgefiltert und das Tracking durch Google entfällt.

Mobiles Endgeräte [Android, iOS]

Android

NewPipe & LibreTube: Die Gegenstücke zu Piped und Invidious auf der Android-Plattform heißen LibreTube und NewPipe. Im Gegensatz zur Original-App von YouTube kommen beide Apps mit einer Handvoll Berechtigungen aus und sind unter anderem auch in der Lage, Werbung zu filtern. Datenschutzsensible Nutzer sollten die Apps auf jeden Fall der YouTube-App vorziehen – beide funktionieren auf Google-freien Smartphones. Wer YouTube-Videos anschauen, aber keine direkte Verbindung zu den Google-Servern herstellen möchte, sollte LibreTube nutzen. Dort wird der gesamte Datenverkehr über Piped-Instanzen abgewickelt.

iOS

Vinegar: Für iOS-Geräte existiert die kostenpflichtige Erweiterung Vinegar – Tube Cleaner, die in Kombination mit dem Safari-Browser funktioniert. Sobald das Add-on auf einer Webseite eine Videoquelle von YouTube erkennt, wird diese durch einen (Vinegar-)HTML-Tag ersetzt, der nicht nur eine werbefreie Wiedergabe ermöglicht, sondern auch eine Bild-in-Bild-Funktion bietet.

Streaming-Media-Adapter [Fire TV, Android TV, Chromecast, NVIDIA Shield]

SmartTube: SmartTube wurde speziell für Streaming-Media-Adapter entwickelt. Die quelloffene Software kann direkt auf der GitHub-Seite heruntergeladen werden – mit der Installationsanleitung sollte die Inbetriebnahme schnell gelingen. Werbung, Sponsoren etc. werden herausgefiltert.

NewPipe & LibreTube: Viele Streaming-Media-Adapter basieren auf Android. Die Installation von Android-Apps ist daher meist (über Umwege) möglich. Als Alternative zu SmartTube empfiehlt sich bspw. die Installation von LibreTube oder NewPipe. Die Installation erfolgt entweder direkt per APK-Download oder bspw. über den F-Droid Store, der natürlich vorher installiert werden muss.

Bildquellen:

YouTube: Dave Gandy from www.flaticon.com is licensed by CC 3.0 BY