Digitale Selbstverteidigung

Seit ich mich privat mit dem Thema der digitalen Privatsphäre beschäftige, werde ich öfter gefragt, was das überhaupt bedeutet und wie ich dies bewerkstellige. Tatsächlich wurde mir auch schon gesagt, dass ich es übertreiben würde. Gott sei Dank ist das Wort „Aluhut" noch nicht gefallen. Und nein, Paranoia ist auch noch nicht aufgekommen :)

Ich werde hier natürlich keine völlig neuen Erkenntnisse des Datenschutzes veröffentlichen. Dieser Artikel beschreibt überwiegend bereits bekannte Punkte des Datenschutzes. Nur werde ich hier versuchen diese auf aus meiner Sicht zusammenzufassen und zukünftig, die eingangs erwähnte Frage, vielleicht mit Verweis auf diesen Artikel beantworten.



1. Ein schmaler Grat
2. Die grundsätzliche Problematik
3. Webbrowser
4. Suchmaschinen
5. Kartendienste
6. E-Mail
7. Social Media Netzwerke
8. Messenger
9. Cloud
10. Videokonferenzsysteme
11. Firewalls
12. Smartdevices
13. Öffentliche Netzwerke
14. Das Betriebssystem
15. VPN
16. Shoppen
17. Sonstiges
18. Grundregeln
19. Mehr davon?


1. Ein schmaler Grat

Tatsächlich aber ist allgemein bekannt, dass ich seit vielen Jahren Apple Nutzer bin. Da kommt natürlich ebenfalls sehr oft die Frage auf, wie ich das unter einen Hut bringe. Also kann von Übertreibung meinerseits nicht einmal im Ansatz die Rede sein. Denn auch Apple sammelt, entgegen dessen was der Konzern gerne behauptet, natürlich Daten seiner User. Vielleicht werden diese nicht breitflächig zur Verfügung gestellt oder verkauft, wie bspw. bei Facebook, Google, Microsoft, Amazon, Zalando, Paypal, Under Armour und vielen vielen anderen, aber auch Apple hat seinen Datentrog.

piHole Statistiken eines iPhonesGeblockte Google-URLs beim verwenden von iMessage

Mit einem iDevice werden bspw. in regelmäßigen Abständen mehrere Domains u.a. iCloud (sofern aktiv) und kurioserweise eigene DNS Server von Apple kontaktiert. Wenn man mit iMessage Bilder verschickt, werden Googleserver als Speicherort verwendet. Der Überwachungskapitalismus als Geschäftsmodell geht auch an Apple nicht spurlos vorbei, auch wenn Apple diesen eher intern für die eigenen Kunden nutzt und den Gewinn mit hohen Preisen für Hardware ausgleicht. Gerade die neue Anti-Tracking Funktion, welche in iOS und iPadOS 14 eingeführt wurde, macht sehr vieles richtig und bspw. Facebook sieht seine Felle wegschwimmen. Mit dieser Funktion müssen Benutzer zukünftig bestätigen, dass eine App tracken darf.

Seit einiger Zeit wird im Appstore in der Beschreibung einer App auch angezeigt, was für Daten verknüpft werden (eine andere Beschreibung dafür, welche Daten die App sammelt). Hier die Beispiele von Facebook und Google:

Anzeige im Appstore der erhobenen Daten bei der Facebook-AppAnzeige im Appstore der erhobenen Daten bei der Google-App

Und dennoch zunächst einmal: Wenn man die digitale Selbstverteidigung richtig angehen würde, dürfte man konsequenterweise auch keine Apple Geräte nutzen. Punkt. Man kann die digitale Selbstverteidigung aber auch in Stufen einteilen und sollte dies vielleicht auch so machen. Denn kein Extrem lässt sich für jeden individuell anwenden.

Ich gehe einen schmalen Grat - zwischen digitaler Privatsphäre und Bequemlichkeit (ja, einige Funktionen des Apple-Kosmos möchte ich nicht missen). Viele der oben genannten Firmen und Funktionen lassen sich aber auch bei einem Apple Gerät abschotten. Bevor ich aber auf einzelne Lösungen eingehe, vorab ein prinzipieller Punkt.



2. Die grundsätzliche Problematik

Das Hauptproblem bei der ganzen Sache ist ein ganz anderes und sehr einfach. Es sind nicht nur die Schwierigkeiten technisch seine Daten zu schützen. Es geht viel mehr in den sozialen und kulturellen Bereich. Gewisse Funktionen des Internets, oder genauer gesagt bestimmte Dienste, sind zu einer Selbstverständlichkeit in unserer Gesellschaft geworden, sodass es manchmal undenkbar ist, dass diese nicht nutzbar sein könnten, oder genutzt werden sollten. Nicht selten wird man im härtesten Fall sozial abgehängt, oder sogar ausgegrenzt wenn man nicht mitspielt.

Wir haben hier allerdings auch eine vollkommen neue und beispiellose Situation in der Geschichte, welche es so noch nie gegeben hat. Die Verschmelzung des analogen tagtäglichen Lebens mit der digitalen Technik und dem Internet, ist in einem rasanten Tempo entstanden. Man kann diese Situation durchaus als Wild-West-Dilemma bezeichnen. Die Technik hat sich schneller entwickelt als Regeln und Einschränkungen erstellt werden konnten. Max Schrems hat es in seinem Buch „Kämpf um deine Daten“ passend mit den Verkehrsregeln verglichen. Man stelle sich mal vor, wir hätten diese nicht, oder große Firmen würden für sich das Recht beanspruchen, sich mit ihren Fahrzeugen auf der Strasse verhalten zu können wie sie wollten.

Zurück zum sozialen bzw. gesellschaftlichen Aspekt: Nehmen wir also das Paradebeispiel WhatsApp. Diesen Messenger hat prinzipiell jeder. Auch wird es als absolut selbstverständlich angesehen, dass jeder diesen Messenger heutzutage hat. Wurden die Telefonnummern zweier Personen ausgetauscht, geht man automatisch davon aus, dass WhatsApp vorhanden ist und schreibt der anderen Person meist auch nur noch darüber. Die Überraschung ist groß wenn kein WhatsApp installiert ist.

Das gipfelt manchmal in völligen Unverständnis. Der Datenschützer hat auf der anderen Seite allerdings auch kein Verständnis dafür, wie man sich so eine App, auf das persönlichste Gerät was man je besessen hat, installieren kann. Nicht sehr selten prallen also Welten aufeinander - und keiner hat Verständnis für den anderen. Es mangelt also allzu oft schlichtweg an der Bereitschaft, sich mit dem Thema zu beschäftigen, oder auf die Gegenseite einzugehen. Das schlimmste Beispiel was ich erlebt habe war, die konsequente und wissentliche Verweigerung von Informationen zu Datenschutzproblemen - frei nach dem Motto „was ich nicht weiß, macht mich nicht heiß“. Das andere Extrem sind Personen, die nicht einmal Signal oder Threema mit der Kneifzange anfassen würden.

Ich kann jeden durchaus verstehen, der sich einen alternativen Messenger installiert und dann ernüchternd feststellt, dass in seiner Kontaktliste vielleicht ein bis zwei Personen diesen ebenfalls installiert haben und dann die App wieder löscht. Tatsächlich hat die Person aber schon den ersten Schritt in die richtige Richtung gemacht - überhaupt eine Alternative parallel zu WhatsApp zu installieren. Ich kenne Personen, die dies nicht machen, weil sie keine zusätzliche Messenger-App auf ihrem Handy haben möchten. Das ist paradox. Auf der einen Seite werden private Daten im großen Stil an Fremdfirmen herausgegeben, aber ein sicherer zusätzlich Messenger, welcher keinen Platz wegnimmt und keine Daten sammelt, das geht nicht. Das andere Extrem sind Leute, welche glauben, dass nur ein Messenger auf dem Gerät installiert werden kann.

Wie soll man mit dieser Voraussetzung erklären, dass es eine Vielzahl an Messenger und Diensten gibt? Jeder mit seinen eigenen Vor- und Nachteilen, aber alle parallel nutzbar. Immerhin ging mit der neuen Datenschutzerklärung von WhatsApp ein Ruck durch die Gesellschaft und Messenger wie Signal haben einen enormen Zulauf erhalten - sogar so extrem, dass die Infrastruktur unter der Flut an Neuregistrierungen für ein paar Tage zusammenbrach. Aber auch das war wieder eine völlig verquere Situation: Durch die neue Datenschutzerklärung gingen die Leute plötzlich davon aus, dass erst ab diesem Zeitpunkt Daten zum Facebook-Konzern abfließen werden. Wer denkt, dass dies nicht bereits seit dem Kauf 2014 von WhatsApp geschehen ist, der glaubt wohl auch, dass die Erde eine Scheibe ist.

Das Einzige was man also entgegen der "Meinung der Masse" machen kann, ist Aufklärungsarbeit leisten und aufzeigen, dass Firmen wie Facebook mit ihrem WhatsApp Messenger, Google mit seiner Suchmaschine und Microsoft mit seinem Office keine Monopolstellung haben sollten, sondern einem eigentlich eher vorzeitig graue Haare bescheren müssten.

Es muss der Allgemeinheit klar sein was das Geschäftsmodell des Überwachungskapitalismus ist: Das unendliche Sammeln von Daten über Menschen, um anschließend diese Daten profitorientiert zu nutzen, oder weiterzuverkaufen. Sobald man dies begriffen hat, wird auch klar, dass im wahrsten Sinne des Wortes die eigene Privatsphäre das Ziel ist, welche vollends ausgehöhlt werden soll. Das erklärte Ziel ist es den Leuten sollen suggestiv Informationen und Produkte zu vermitteln und zu verkaufen. Hinter alldem stecken über Jahre entwicklete und ausgeklügelte Algorithmen, welche in immer mehr Bereichen außerhalb unserer Kontrolle Einfluss nehmen.

Wichtig ist zudem zu verstehen, dass es nicht völlig egal ist, seine Daten preiszugeben. Gerade die klassischen Antworten wie „die haben doch eh schon alle meine Daten“ oder „ich habe eh nichts zu verbergen“ sind in höchstem Maße gefährlich.

Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.“  - Edward Snowden


Man hinterlässt jeden Tag, sogar jede Stunde neue Daten im Internet. Es ist also nie zu spät, etwas sorgsamer damit umzugehen. Was habe ich also bisher unternommen um meine digitale Privatsphäre so gut es geht zu schützen?



3. Webbrowser

Ich habe es in einem anderen Artikel schon geschrieben: Das Internet ist eigentlich kaputt. Sobald man bekanntere Seiten aufruft (dazu gehören auch seriöse Nachrichtenseiten), werden unzählige Querverbindungen für Werbung Tracking uvm. hergestellt. Dabei ist oft die Rede von sogenannten Cookies, welche solche Daten zwischenspeichern. Allerdings ist diese Art des Trackings veraltet. Sogar Google "verbietet" mittlerweile Cookies. Die Trackingtechnologien werden immer ausgefeilter und passieren quasi on-the-fly unter anderem mit dem sogenannten Browser-Fingerprinting. Selbst der beliebte Inkognito-Modus ist eigentlich nur Zierde und hat keinen Effekt.

Möchte man also mit dem Webbrowser auf dem Desktop Rechner das Tracking einschränken, kommt man nicht um Firefox und das Addon uBlock Origin herum. Das ist die absolut erste Initiative für die praktische digitale Selbstverteidigung.
uBlock nutzt zentral gepflegte Filterlisten, welche permanent aktualisiert werden. Das Projekt ist zudem Open-Source und wird von einer Community gepflegt und weiterentwickelt.

Aber auch Firefox mit uBlock lässt einen aber nicht vollständig unter dem Radar im Internet bewegen. Durch unendlich viele Tracker, z.B. in Form von Schriftarten auf Webseiten, oder einzelnen nicht sichtbaren Pixeln, kann man trotzdem getrackt werden. Ganz weit vorne ist hierbei natürlich Google, welches seine Tracker, Tools, Schriftarten uvm, auf ca. 86% der Top 50.000 Webseiten im Internet zur Verfügung hat.

Aber auch Facebook hat nicht selten seinen „Gefällt mir“ Button irgendwo versteckt, welcher heimlich trackt. Sucht man also im Internet nach höchstprivaten Sachen wie bspw. gesundheitliche Dinge, möchte man vielleicht nicht unbedingt, dass Firmen wie Google, oder Facebook dies mitbekommen und „für weitere Zwecke speichern oder weitergeben“.

In diesem Fall empfiehlt es sich den sogenannten Tor-Browser zu verwenden. Das Problem an Tor ist, dass es mit dem sogenannten Darknet in Verbindung gebracht wird, welches absolut zu Recht, keinen guten Ruf inne hat. Ein komplettes Netzwerk bzw. eine Technologie in diesem Fall allerdings nur auf einen Teil-Bereich zu reduzieren, wäre als wenn man sagen würde, dass Twitter ein Netzwerk für Rechtsradikale ist. Tor wird auch von Menschen genutzt, welche nicht die Möglichkeit haben sich im Internet frei zu bewegen, oder zu äußern. Seien es Minderheiten, Journalisten oder Menschenrechtsaktivisten in totalitären Regimen. Edward Snowden war es nur mittels des Tor-Netzwerks möglich, die brisanten Daten weiterzugeben.

Der Tor-Browser ist also kein pauschales Werkzeug für illegale Aktivitäten, sondern ein Browser, welcher über ein separates Netzwerk läuft, in welchem nicht (oder nur sehr schwer) nachvollziehbar ist, wer sich dort bewegt. In unserer Hemisphäre eignet sich der Tor-Browser also eher um an Informationen im Internet wirklich anonym bzw. ohne Tracking durch Dritte bzw. Werbefirmen zu gelangen.

Meine Lösung:

Ich benutze auf dem Desktop, sowie mobil Firefox (Klar). Bei der Desktop-Variante ist natürlich uBlock installiert. Zusätzlich mache ich mir auf Webseiten tatsächlich die Mühe, nur notwendige Cookies zu akzeptieren und falls es zu bunt wird, fällt die Seite eben hinten runter. Zwar habe ich den Tor-Browser auch auf beiden Geräten installiert, komme aber nur sehr selten in eine Situation wo ich diesen nutzen würde - vielleicht sollte ich mir hier angewöhnen, dies durchaus öfter zu machen, auch nur für normales Surfen. Hier sei allerdings direkt gesagt: Einige Seiten (u.a. Google) lassen sich mit dem Tor-Browser überhaupt nicht nutzen. Anonymität ist bei einigen Firmen absolut unerwünscht.



4. Suchmaschinen

Nicht „googlen“ - sondern im Internet suchen.

Dass das Wort überhaupt im Duden aufgenommen wurde, lässt einen immer noch verwundert zurück. Immerhin geht das Wort nur auf die Nutzung einer einzigen Webseite im Internet zurück - beispiellos. Was viele nicht wissen, Google ist nur eine von vielen Suchmaschinen. Leider ist Google aber die größte und beste Suchmaschine. Jahrelanges sammeln der Daten hat dies natürlich ermöglicht (Hintergrundinfo: Der Überwachungskapitalismus entstand durch die Entwicklungen in den Geschäftsmodellen von Google).

Es gibt allerdings einige Suchmaschinen, die als sogenannter Proxy fungieren. Die Suchanfragen werden zwar an Google weitergegeben, aber werden verschleiert bzw. anonymisiert. Die bekanntesten Vertreter dieser Art sind Metager und Searx. Dabei werden die Anfragen nicht nur an Google weitergeleitet sondern an mehrere Suchmaschinen. Daher werden diese Suchmaschinen auch Metasuchmaschinen genannt, welche aus mehreren Suchmaschinen die Daten aufbereiten und ausgeben. Die Suchmaschine Startpage liefert hingegen Daten ausschließlich von Google und hatte in der Vergangenheit mit ihrer Glaubwürdigkeit zu kämpfen, was allerdings vehement bestritten worden ist.

Searx hingegen ist eine Software, welche sich selbst installieren und hosten lässt, so dass es mehrere freie Searx-Suchmaschinen bzw. Instanzen gibt. Da Google verständlicherweise versucht Anfragen von Searx Instanzen zu blockieren, ist es leider schwer Instanzen zu finden, welche permanent Google-Ergebnisse liefern können. Eine Liste an aktiven Instanzen, die sich auch filtern lässt, findet sich auf searx.space.

Suchmaschinen wie Bing, oder DuckDuckGo sind alleine sehr limitiert auf ihre Ergebnisse und zudem auch stellenweise negativ profitorentiert oder bieten doch nicht die volle Privatsphäre. Da Bing zu Microsoft gehört, dürfte ziemlich klar sein, dass hier ebenfalls ordentlich Daten abgeschöpft werden.

Meine Lösung:

Ich präferiere Searx und habe zu diesem Zweck auch ein kleines Script geschrieben, welches mir täglich die Top-Instanzen ausliest.



5. Kartendienste

Oder Navigationsdienste. Die meisten nutzen hier natürlich Maps von Google. Auch hier ist natürlich und leider, Google aufgrund seines Datenschatzes am besten aufgestellt. Aber: Mit jeder Navigation und Suche gibt man wieder Interessen preis und natürlich auch seinen Standort. Für euch mag es irrelevant sein. Aber einige Firmen finden es durchaus interessant wo du tanken fährst oder in welchem Restaurant du zuletzt warst.

Es gibt allerdings eine freie Alternative, welche ebenfalls stetig besser wird: OpenStreetMap (OSM). Die populärste App dürfte hier OsmAnd sein, welche es für Android und iOS gibt.



Auch Tracking-Apps (jetzt Tracking im Sinne von Wandern, Radfahren etc.) werden immer beliebter. Der bekannteste Vertreter hier ist Komoot. Allerdings ist dieser Dienst leider mit Trackern (jetzt wieder das gemeine Zeug) gespickt und telefoniert regelmäßig mit Daten zu Facebook.

Mein Lösung:

Ich nutze OsmAnd, Maps 3D und OutRun, wobei bei letzteren beiden Tracking-Apps natürlich keine Social-Media Funktion vorhanden ist.



6. E-Mail

Oder der digitale Brief. So hieß es zumindest einmal. Mittlerweile ist bekannt, dass große Mailprovider wie GMail (Google) oder GMX die Mails mitlesen. Natürlich alles im Sinne der Spambekämpfung. Auch hier gilt: Ist es kostenlos, sollte man genauer schauen. Empfehlenswerte Mailprovider sind mailbox.org, tutanota.com und posteo.de.

Alle drei bieten zudem die Möglichkeit der verschlüsselten Mail, wobei Tutanota dies sogar out-of-the-box kann, allerdings vollautomatisch nur intern (der Gegenübre benötigt auch ein Tutanota-Postfach). Bei mailbox.org muss dies manuell passieren, bspw. mit einem Client wie Thunderbird, welcher aber mittlerweile die Mailverschlüsselungstechnik PGP implementiert hat (früher über das Plugin Enigma).
mailbox.org und tutanota beschweren sich regelmäßig über eine hohe und vor allem illegale Anzahl an Anfragen zu Postfächern seitens der Justiz - irgendwas scheint also bei diesen beiden richtig zu laufen.

Wenn möglich sollte man zusätzlich zum entsprechenden Mailprovider natürlich auch einen vertrauenswürdigen Mailclient nutzen. Es bringt nichts ein mailbox.org Postfach einzurichten um es dann mit der Google Mail-App auf einem Android Handy zu betreiben. Eine weitere Ideallösung ist natürlich der eigene Mailserver, welcher aber für die meisten nicht in Frage kommt, oder zu schwer zu betreiben ist.

Meine Lösung:

Mein Hauptmailpostfach habe ich bei mailbox.org. Auf dem Desktop verwende ich Thunderbird, auf dem iPhone die Mailapp. Zu Letzterem ist man leider quasi gezwungen, da es keine ordentlichen reinen Mail-Apps für iOS gibt. Eine zeitlang habe ich hier OX Mail verwendet.



7. Social Media Netzwerke

Hand auf’s Herz: Wer braucht noch wirklich Facebook? Viele Mitmenschen haben übereinstimmend bestätigt, dass man dort eigentlich nur noch ein bis zwei Mal am Tag durchscrollt, um sich dann im schlimmsten Fall doch wieder nur aufzuregen. Übrigens werden die Facebook Feeds für jeden individuell angepasst - alles basierend auf den Daten, welche Facebook im Internet per Tracker über die Person finden kann (Empfehlung der Dokumentationen „The Great Hack“ und „The Social Dilemma“). Das passiert natürlich auch über mehrere Ecken hinweg (Person A, welche aus deinem Freundeskreis mit Person B befreundet ist passt in ein Schema).

Aber sein Facebook Account zu löschen ist nur das Eine. Facebook gehört auch Instagram. Und ja, Instagram hat einen noch höheren Suchtfaktor, da es viel simpler funktioniert. Aber auch hier passiert das Gleiche. Beim Durchscrollen ein paar Sekunden länger auf einem Post geblieben? Facebook merkt sich so etwas. Auch wenn der Facebook Account nicht mehr existiert. Facebook legt Schattenprofile von jedem an. Man geht davon aus, dass dies auch mit Personen passiert, die nie einen Facebook oder Instagram Account besaßen (spätestens wenn man ein WhatsApp Account hat). Auch hier gilt also, im besten Falle Facebook irgendwie zu blocken, wenn man auf die Nachrichtenseite seines Vertrauens geht. Und auch wenn es hierzulande nicht so populär ist, auch Twitter lebt vom Überwachungskapitalismus und besitzt viele Tracker auf Webseiten.

Eine Alternative zu den bekannten sozialen Netzwerken bietet das sogenannte Fediverse, welches auf einem einheitlichen Protokoll (ActivityPub) basiert bzw. damit arbeitet. Das Fediverse kann natürlich nicht mit Nutzerzahlen der Großen Netzwerke aufwarten, aber wächst stetig. Ein enormer Vorteil ist, dass zwischen den verschiedenen Plattformen interagiert werden kann. Als Vergleich wäre das so, als wenn jemand einen per Twitter bei Instagram markiert, oder sogar folgt. Ein weiterer Vorteil ist, dass diese Netzwerke nicht zentral an einer Stelle liegen, sondern verteilt und unabhängig sind und dabei dennoch untereinander kommunizieren können.

Mastodon (Pendant zu Twitter)
Pixelfed (Pendant zu Instagram)
Diaspora (Pendant zu Facebook)
Peertube (Pendant zu Youtube)

Zu Mastodon lassen sich übrigens sogenannte Brücken von und zu Twitter implementieren. So ist es bspw. möglich auf Mastodon zu schreiben und dies automatisch auf Twitter zu publizieren (und umgekehrt). Das ist natürlich für Personen ideal, welche sich aus bspw. beruflichen Gründen von Twitter nicht ohne Weiteres trennen können.

Meine Lösung:

Ich besitze kein Facebook, Instagram, oder Twitter Account. Diese habe ich vor einiger Zeit gelöscht. Ich bin nur noch im Fediverse zu finden, genauer gesagt auf Mastodon und Pixelfed.



8. Messenger

Das Hauptkommunikationsmittel.

Es gab Zeiten, da hat eine SMS 0,39€ gekostet. Eine einfache Textnachricht auf 160 Zeichen limitiert. Heute verschicken wir tagtäglich zahllose Nachrichten mit dem Messenger unserer Wahl, immerhin sind diese kostenlos. Die Kommunikation per Textnachricht hat sich komplett gewandelt. Hat man damals noch ganz genau überlegt wann man wem eine SMS schickt, gibt es heute die Möglichkeit Broadcast-Nachrichten dem kompletten Adressbuch zu schicken. Tatsächlich findet die meiste Kommunikation mit unseren Mitmenschen fast nur noch über Messenger statt. Die Telefon-Funktion des Handys ist oft nur noch zweitrangig - zumindest im privaten Bereich. Heute werden über Messenger Bilder, Videos und allgemein die privatesten Dinge übermittelt, was mit der klassischen SMS - und natürlich auch mit dem Telefon - völlig undenkbar war.

Jetzt stellen wir uns einmal vor, wir nehmen einen Briefumschlag und packen dort ein paar private Bilder mit einem entsprechenden Text rein und versenden per Post das zu einer Person. Wie würde man reagieren, wenn der Inhalt dieses Briefes unterwegs geprüft und gespeichert werden würde? Vielleicht sogar noch im Rahmen des Überwachungskapitalismus, damit schon morgen das passende Werbeblättchen in unserem Briefkasten ist. An diesem extremen Punkt sind wir glücklicherweise noch nicht, obwohl sehr aktiv daran gearbeitet wird.

Was allerdings bereits passiert, ist die Erfassung sämtlicher Metadaten. Metadaten sind Daten, welche erfassen, wo man sich wann mit wem ausgetauscht hat bzw. wo das Handy verbunden war. Das beinhaltet zusätzlich exakte Orts- und Geräteinformationen. Auch wenn man mit seinem Gerät mit dem WLAN eines anderen Verbunden ist, fällt das unter Metadaten. Wenn ich also jemanden besuche, ist bekannt wen ich besuche und wie lang.

WhatsApp sammelt all diese Daten und noch mehr. Und wie bereits bekannt gehört dieser Dienst seit einigen Jahren zu Facebook. Diese Metadaten werden also mit ziemlicher Sicherheit verwendet. Zusätzlich wirbt WhatsApp damit, dass es eine sogenannte E2E-Verschlüsselung (End-To-End-Encryption) anbietet. Tatsächlich weiß aber kein Mensch, was auf dem Server von WhatsApp passiert. Die E2E-Verschlüsselung bezieht sich also nur bis zum Server von WhatsApp - und nicht von Handy zu Handy, was eine echte E2E-Verschlüsselung ausmacht.

Und hier haben wir auch wieder ein Paradoxon: Es gibt viele Menschen, die WhatsApp nutzen, aber niemals aktiv ein Facebook Konto betreiben oder anlegen würden.

Ich bin eingangs bereits darauf eingegangen und das aus guten Grund. Das Thema Messenger ist tatsächlich, seit ich mich mit dem Thema digitale Privatsphäre beschäftige, das schwierigste Thema. Das liegt daran, dass auch die allgemein besseren Messenger alle Mängel aufweisen.
Threema hat z.B. das Problem, dass der Quellcode des Servers nicht bekannt ist. Also auch hier weiß keiner, wie bei WhatsApp, was auf dem Server der Betreibers passiert. Signal benötigt zwingend eine Registrierung per Handynummer, betreibt Server in den USA und die letzte Veröffentlichung des Quellcodes für den Server liegt auch zu lange zurück.

Es gibt allerdings echte Alternativen, welche eine verschlüsselte anonyme Kommunikation per Messenger erlaubt. Die populärsten dieser Art sind Matrix und XMPP. Beide sind tatsächlich auch keine Messenger im herkömmlichen Sinne sondern Protokolle und es gibt für verschiedene Plattformen Clients. Beide Lösungen sind absolut quelloffen und lassen sich ebenfalls selber betreiben. Somit ist eine volle Kontrolle über die Daten möglich. Wie beim Fediverse können auch hier alle Instanzen (Server) untereinander kommunizieren. Als Identifier dient eine Art Adresse, ähnlich der Mail und nicht die Telefonnummer.

Mein Lösung:

Mein Hauptmessenger ist Signal. Ich würde natürlich gerne auf Messenger auf Basis von Matrix oder XMPP wechseln, aber aufgrund der bereits genannten Schwierigkeiten bezüglich der breiten Akzeptanz, ist dies mehr oder weniger nicht möglich (dennoch besitze ich für beide aktive Accounts). Tatsächlich bin ich trotzdem erstaunt, dass es möglich war den größten Teil meiner Kontakte zu Signal zu bewegen. Ein paar wenige Ausnahmen bleiben natürlich.



9. Cloud

Alles muss in die Cloud. Natürlich zu fremden Cloudsystemen wie die von Microsoft, Amazon, Google, oder auch Apple. Es wird dabei aber gerne eine Tatsache ignoriert: Eine Cloud ist auch nur ein fremder Rechner der irgendwo anders steht. Möchte ich also meine Kontakte, privaten Dokumente, Fotos, Passwörter usw. wirklich dort „sichern“? Möchte ich mich komplett von anderen Anbietern abhängig machen? Gerade als Unternehmen ist es eigentlich höchstunverantwortlich eine komplette IT Infrastruktur aus der Hand zu geben und z.B. in die Hand von Microsoft mit den Azure Diensten und Office 365 zu geben. Diese Systeme können zudem ausfallen, was nicht selten passiert.

Und man darf nicht vergessen: Alles was in der Cloud liegt, wird natürlich ebenfalls fleißig mitgelesen und ausgewertet. Als Unternehmen sollte man sich also überlegen, ob geschäftskritische Dokumente oder Mails unbedingt in der Cloud liegen sollten. Und als Schüler oder Student möchte ich meine Daten vielleicht auch nicht unbedingt einem überwachungskapitalistischen Unternehmen frei zur Verfügung stellen.

Daher ist es ratsam eine eigene Cloud zu verwenden (Beispiel Nextcloud), oder die Daten einfach lokal zu belassen.

Meine Lösung:

Ich betreibe seit einigen Jahren bereits eine eigene Nextcloud (früher Owncloud). über diese Cloud laufen Kontakte, Kalender, Notizen (Joplin) und die temporäre Datenablage. Mein iPhone sichere ich lokal vollverschlüsselt (übrigens mit einer der Gründe, warum ich immer noch ein iPhone nutze).



10. Videokonferenzsysteme

Spätestens seit der Pandemie sind Videokonferenzsysteme so gefragt wie nie und ebenso viele Abgründe haben sich in diesem Bereich aufgetan. Denn plötzlich florierten Anbieter wie Zoom, MS Teams und Skype, welche alle miteinander ein Datenschutzalbtraum sind und nicht selten wurden Arbeitnehmer, Lehrer und Schüler (sowie die Eltern), vor vollendete Tatsachen gestellt.

Dabei gibt es einige freie und sichere Anbieter, welche sich je nachdem sogar auch selbst betreiben lassen. Dienste wie Jitsi, BigBlueButton oder Senfcall sind frei und datenschutzkonform.

Meine Lösung:

Ich setze voll und ganz auf Jitsi und nutze hier überwiegen die Instanz von mailxbox.org. Auf dieser Seite findet sich jedoch eine lange Liste aktiver Instanzen.



11. Firewalls

Tatsächlich empfehle ich statt des allseits beliebten Virenscanner, eher zusätzliche Firewall-Software auf seinem Rechner zu installieren. Sofern also irgendeine Anwendung versucht auf das Internet zuzugreifen, bekommt man dies vorher mit und kann selber entscheiden, ob dies gewollt ist, nur einmalig, oder dauerhaft zugelassen wird. Leider ist es heutzutage nämlich üblich, dass Anwendungen nicht mit allem benötigten installiert werden, sondern sich aus dem Internet Teile der Software nachladen. Ein sehr guten Beispiel ist hier Software, welche Electron nutzt.
 Solches Nachladen ist damit natürlich ein enormes Sicherheitsrisiko.


Meine Lösung:



Auf meinem MacBook läuft die zusätzliche Softwarefirewall LuLu. Mein Heimnetzwerk wird von zwei separaten Firewalls durch eine Fritzbox und OpenWRT abgesichert.



12. Smartdevices

Auch wenn ich Apple Nutzer bin, eine Apple Watch besitze ich nicht mehr. Diese habe ich vor längerer Zeit verständlicherweise aus datenschutztechnischen Gründen verkauft. Auch wenn es möglich ist, dass diese Daten niemals das iPhone verlassen, so werden diese Daten trotzdem gesammelt und es gibt keine Garantie, dass diese nicht auch abfließen und anderweitig genutzt werden. Das Sammeln von Daten darüber wie ich mich im Internet bewege ist das Eine, aber Informationen die meinen Körper direkt betreffen, haben erstrecht bei keiner Firma etwas verloren. Von Geräten wie Fitbit werde ich erst gar anfangen zu reden, da diese Firma von Google 2020 aufgekauft wurde. Hier werden definitiv Daten gesammelt und weitergegeben, oder verkauft.

Das Gleiche gilt für den zukünftigen Trend der smarten Brillen. Was diese Geräte können werden und was dies für den Datenschutz bedeutet, kann man nur erahnen.
Das Thema Gesundheitsdaten ist im Allgemeinen leider ein sehr erschreckender Trend, da hier ein neuer Markt erschlossen wird. Dieser Markt bzw. die Datentröge, welche hier entstehen, sind nicht nur für Krankenkassen interessant. Dank der digitalen Patientenakte kann immerhin auf die gesamten gesundheitlichen Informationen einer Person zugegriffen werden. Betriebsärzte fordern bereits Zugriff auf diese Daten.


Auch Lautsprecher sind mittlerweile „smart“. Hierzu denke ich braucht man eigentlich nicht viel zu sagen. Wer sich Smartspeaker mit Mikrofonen wie Alexa bzw. Echo von Amazon, oder das Pendant von Google ins Haus holt, dürfte sich vollends im klaren darüber sein, dass hier nochmals massiv Daten abgeschöpft werden. Befinden sich zusätzlich noch Kinder im Haus, so wird damit unterstützt, dass vorab digitale Profile der Kleinsten erstellt werden können. Ich rede hier nicht davon, dass die Kindern anschließend Werbung im Briefkasten haben. Aber die Werbung wird natürlich für die Eltern zugeschnitten und die Firmen haben im besten Falle bereits das Profil eines Menschen mit den Daten, die im Kindesalter begannen anzufallen.

Und auch der klassische Fernseher ist heute mehr als nur nur ein simples Gerät zum Empfang üblicher Fernsehprogramme und wird mittlerweile mit dem Wort „smart“ versehen - der Smart-TV. Wer nun glaub, dass sich hier die Funktionen auf die Netflix, oder Prime Video App beschränken, der irrt. Auch hier wird alles was nur geht an Daten gesammelt und geht postwendend zurück an den Hersteller.

Aber nicht nur Fernseher und Boxen müssen heute ans Internet angeschlossen werden, sondern sogar Kühlschränke. So teilen wir den entsprechenden Unternehmen auch noch detailgetreu und regelmäßig mit, was wir zu uns nehmen. Auch der Trend der Saugroboter profitiert hiervon. Es gibt Hersteller deren Saugroboter nur mit einer Internetverbindung betrieben werden können. Einige dieser Geräte kartografieren die komplette Wohnung und diese Daten landen dann wieder beim Hersteller.


Über den Sinn und Unsinn dieses Hypes (ich schreibe bewusst nicht neuen Hypes) alles mit dem Internet zu verbinden, lässt sich diskutieren. Als Faustregel kann man wohl leider sagen: Wird ein Gerät wie Spielzeug als „smart“ bezeichnet, sollte man sowieso schon die Finger davon lassen, oder sehr viel genauer drauf schauen. Aber es gibt natürlich auch sinnvolle IoT-Geräte Das klassische Beispiel sind hier Webcams, oder Überwachungskameras. Diese sind durchaus praktisch, falls man sein Haus unterwegs im Blick haben möchte. Allerdings sollte man dann auch dafür sorgen, dass diese Kamera gesichert und nicht frei am Internet hängen. Nicht allzu oft werden diese Geräte nämlich installiert ohne die Zugangsdaten zu ändern. Somit sind diese anschließend frei zugänglich. Es gibt eine eigenständige Suchmaschine, welche nach solchen IoT-Geräten im Internet sucht.

Auch der klassische Heimserver, sogenannte fertige NAS Systeme werden gerne einfach ans Netz angeschlossen, ohne zu schauen, ob diese anschließend auch abgesichert sind.
Also sollte man genau überlegen: Muss das Gerät wirklich direkt am Internet sein? Falls ja, sollte man das Gerät auch genügend absichern und vor Fremdzugriffen schützen. Zusätzliche ist zu prüfen, ob das Abfließen von Daten eingeschränkt, oder besten Falls sogar komplett unterbunden werden kann.

Meine Lösung:

Ich persönlich habe bei meinem Fernseher das Internet vollständig abgeklemmt, nutze allerdings ein Apple TV. Ich besitze einen HomePod Mini, bei welchem jedoch die Smart-Funktionen (Siri & Mikrofon) deaktiviert sind. Eine Smartwatch würde ich mir nicht noch einmal holen - geschweige denn die kommenden AR Brillen. Ich habe tatsächlich eine Überwachungskamera, welche aber über einen Pi Zero läuft und bei Bedarf (außer Haus) aktiviert werden kann. Die Kamera bzw. der Pi Zero befinden sich aber nicht frei am Internet.



13. Öffentliche Netzwerke

Kurz und knapp: Nutzt sie nicht, sofern es nicht unumgänglich ist. Und wenn ja, nutzt erstrecht keine Banking Apps o.Ä. (wobei ich grundsätzlich von mobile Banking abrate).
Der gesamte Datenverkehr eures Endgerätes geht hier immerhin über ein euch fremdes Netzwerk. Es ist nichtnachvollziehbar, ob und in welchem Maße Daten abgeschöpft werden. Auch hier kommen wieder die bereits erwähnten Metadaten zum tragen: Wenn ich mich regelmäßig in einem bestimmten Netzwerk aufhalte, erkennt bspw. WhatsApp wo ich, wie lange, mit wem war.
Übrigens muss man leider für diese Erfassung nicht einmal mit dem Netzwerk verbunden sein.

Es genügt wenn ich mich nur in dessen Nähe befinde und der Zugangspunkt des Netzwerks (AccessPoint) mein Gerät gescannt hat. Wenn ich mich also mit meinem Handy durch die Innenstadt bewege, kann somit durchaus alleine nur mit dieser Technik ein Bewegungsprofil erstellt werden. Interessanter wird es dann natürlich, wenn dies regelmäßig passiert und man somit individuelle Statistiken erstellen kann. All diese Informationen werden wieder gesammelt, verkauft und zu Profilen weiterverarbeitet.

Nicht wenige Datenschützer empfehlen daher die WLAN und Bluetooth Funktionalität außer Haus zu deaktivieren. Natürlich geht das vollständig auf Kosten des praktischen Nutzens: Das automatische Verbinden meines Handy mit dem Auto, Kopfhörern, bekannten Netzwerken usw.

Meine Lösung:

Öffentliche Netzwerke nutze ich nach Möglichkeit überhaupt nicht, auch nicht in Hotels. Aufgrund der genannten Bequemlichkeit, schalte ich allerdings WLAN und Bluetooth außer Haus nicht ab (zumal ich Bluetooth Kopfhörer nutze, auch zum telefonieren für die Arbeit).



14. Das Betriebssystem

Jedes Betriebssystem hat seine individuellen Vor- und Nachteile und letztlich kann man keines zu 100% empfehlen. Vielen denken mit Linux sei man auf der sicheren Seite, auch gegenüber dem Überwachungskapitalismus. Das ist natürlich quatsch. Wenn ich mit einem Linux System und einem nackten Firefox alles und jeden „ansurfe“, werden meine Daten genauso gesammelt. Andere Betriebssysteme wie Windows hingegen haben mittlerweile leider das Tracking mit an Bord. Bei Windows werden sogenannte Telemetriedaten erhoben und diese an Microsoft gesendet. So etwas lässt sich natürlich nur mittels Firewalls verhindern. Manchmal sogar nur mit externen außerhalb des Windows Rechners, da Windows es unterbindet wenn hauseigene URLs in einer Firewall geblockt werden.

Im mobilen Bereich ist es das Gleiche, auch wenn es hier im Endeffekt nur noch zwei Platzhirsche gibt. Auf die Probleme die auch ein iDevice mit sich bringt, bin ich bereits eingegangen. Bei Android kann man es eigentlich nicht oft genug erwähnen:
Ein klassisches Android Gerät, welches es von unzähligen Herstellern gibt, sollte man out-of-the-box nicht nutzen. Auf diesen Geräten sind sämtliche Google-Dienste vorinstalliert und eine Nutzung ohne diese ist unmöglich. Was Google alles über einen sammelt, ist mittlerweile bekannt. Man muss sich also vollständig im Klaren darüber sein, dass bei einem Gerät z.B von Samsung, LG, Xiaomi, Nokia, was nur geht bis zum Anschlag gesammelt und übertragen wird.

Sofern man aber auf Android nicht verzichten möchte, oder dieses als sein favorisiertes mobiles OS betrachtet, empfehle ich hier zu einem sogenannten Custom ROM zu wechseln. Das bekannteste und populärste ist Lineage OS, welches es für fast jedes Gerät gibt. Als Alternative zum Playstore, empfiehlt es sich dann den F-Droid Store zu verwenden. Mittlerweile gibt es bereits Anbieter, welche z.B. Fairphones mit /e/ OS verkaufen.

Auf dem Vormarsch sind auch (endlich) Linux Smartphones, wobei sich diese auf jeden Fall nur versierten Nutzern empfehlen lassen, oder experimentierfreudigen Leuten (Beispiel PinePhone und Librem 5)

Ich persönlich würde daher derzeit wenn es ein linuxbasiertes Handy sein soll, Sailfish OS empfehlen.

Meine Lösung:

Liegt ja derzeit auf der Hand - ich nutze Apple Geräte. Würde ich mich von Apple abwenden, so würde ich voll auf Linux als Desktop setzen und mobil auf Sailfish OS.



15. VPN

Das Thema richtet sich (leider) an versiertere Nutzer. Der normale Endanwender wird nicht in der Lage sein in diesem Bereich tätig zu werden. Denn wenn man möglichst weitgehend seinen Datenverkehr filtern und sichern möchte, kommt man nicht herum einen VPN als Proxy zu nutzen.

Hierbei ist definitiv nicht die Rede von sogenannten kommerziellen VPN-Anbietern, welche seit einiger Zeit in aller Munde sind und die Lösung aller Probleme versprechen. Denn hier gilt anschließend das „einer weiß alles Problem“. Zudem ist es auch möglich, dass die VPN-Anbieter die Daten zur Verfügung stellen. Ihr übertragt somit euren gesamten Datenverkehr einem einzigen Unternehmen.

Es gibt allerdings Zwischenlösungen wie die App Blokada, oder AdGuard, welche einen relativ guten Ruf haben und immerhin auf Basis des DNS Verkehrs Werbung und Tracker filtern können. Leider ist es bei Blokada nicht möglich den DNS Anbieter selber zu bestimmen, sondern es werden ausschließlich eigene Server genutzt. AdGuard ist da flexibler, lässt allerdings keine größeren eigenen Domain-Listen zu.

Meine Lösung:

Ich persönlich nutze, wie in diesem Artikel beschrieben, einen VPN mittels Wireguard in mein Heimnetzwerk, in welchem ein piHole zusammen mit DNS Verschlüsselung läuft und meinen gesamten Datenverkehr filtert und sichert. Mittlerweile bietet AdGuard ein piHole Pendant an, welches die Verschlüsselung des DNS Verkehrs direkt mitbringt.



16. Shoppen

Konzentriert das Einkaufen nicht auf einen einzigen Anbieter wie Amazon, sondern nutzt durchaus mehrere. Das klingt widersprüchlich, da somit natürlich auch Daten verteilt werden. Bis zu einem gewissen Grad stimmt das natürlich und wenn ich den 10er Packen Socken statt bei Amazon bei Zalando kaufe, habe ich damit eigentlich gar nichts erreicht.

Es gibt aber durchaus kleinere Anbieter oder Shops, die nicht so extrem datenorientiert arbeiten. Allgemein sollte man das Einkaufsverhalten, sofern möglich, wieder etwas „analogisieren“. Auch hier gilt: Das eine oder andere Extrem ist der falsche Weg. Die Mischung macht’s.

Übrigens werden wir nicht nur durch unser Smartphone in der Fußgängerzone der Innenstädte getrackt. Wer eine Payback Karte besitzt und fleißig Punkte sammelt, bedient den Urvater der personenbezogenen Datensammelei. Ich kann hier nur dringend raten, dies einzustellen.

Meine Lösung:

Ich für meinen Teil nutze Amazon bspw. gar nicht mehr. Um zwei Beispiele zu nennen: Meine Raspberry Pis bestelle ich bei BerryBase und meine Bücher kaufe ich bei meinem kleinen lokalen Buchhändler - welcher übrigens bestellte Bücher ebenfalls bereits am nächsten Tag hat. Payback habe ich schon vor sehr vielen Jahren gekündigt.



17. Sonstiges

Passwörter

Verwendet nicht für alle Dienste das gleiche Passwort. Wird ein Anbieter kompromittiert, sind alle anderen ebenfalls betroffen. Ich empfehle Passwort-Safes, allerdings nicht solche, die dann wieder mit der Cloud eines Anbieters arbeiten, oder sogar Tracker in der App haben (bspw. LastPass). Meine Lösung ist KeePassXC, welches für alle Plattformen verfügbar ist und offline arbeitet. Nachteil ist natürlich, dass die Synchronisierung auf das Handy manuell erfolgt - sofern man keine eigene Cloud verwendet. Aber sogar hiervon rate ich ab.

Banking

Nutzt keine Banking-Apps, auch keine Authentifizierung für Überweisungen über das Handy. Eigentlich braucht man hier nicht viel zu sagen. Es tauchen immer wieder enorme Sicherheitslücken in Betriebssystemen auf, die Apps sind Trackerverseucht uvm. Meine Lösung ist ein separates photoTAN Gerät (nicht per App) und Banking findet halt nicht unterwegs statt.

Einen großen Bogen sollte man auch um Paypal machen. Paypal verkauft die Daten seiner Nutzer an ca. 600 verschiendene Unternehmen.



18. Grundregeln

Es gibt einige Grundregeln, oder Faustregeln, an welche man sich halten kann.

  • Ist etwas kostenlos, sollte man genauer darauf schauen.
  • Wer steckt hinter der Software oder dem Dienst (wie wird Gewinn erwirtschaftet)?
  • Die „Packungsbeilage“ lesen. Ihr werft schließlich auch nicht jedes Medikament einfach ein.
  • Brauche ich Software oder Dienst XY wirklich (ggf. noch zusätzlich)?
  • Gibt es OpenSource Alternativen?



19. Mehr davon?

Wer jetzt hoffentlich noch nicht in Paranoia verfallen ist oder der Aluhut glüht, dem kann ich noch folgende Seiten empfehlen:

  • digitalcourage.de
    Setzt sich für Grundrechte und Datenschutz ein. Ich bin dort selbst Fördermitglied.

  • kuketz-blog.de
    Der hier bereits mehrfach verlinkte Mike Kuketz, welcher sich (auch beruflich) mit sicherheits- und datenschutzrelevanten Themen auseinandersetzt.

  • netzpolitik.org
    Eine Plattform für digitale Freiheitsrechte


  • mobilsicher.de
    Ein Infoportal für sichere Handynutzung

Die Liste lässt sich natürlich deutlich fortführen, richtet sich jetzt hier aber erst einmal an Leute, welche vielleicht nun Interesse daran haben mehr zu erfahren.

Zusätzlich kann ich folgende Bücher empfehlen:

  • Max Schrems - Kämpf um deine Daten
  • Katharina Nocun - Die Daten die ich rief
  • Klaudia Zotzmann-Koch - Dann haben die halt meine Daten. Na und?
  • Shoshana Zuboff - Das Zeitalter des Überwachungskapitalismus
  • Edward Snowden - Permanent Record (auch wenn es eher autobiografisch ist)



Diskussionen, Anmerkungen usw. zu diesem Artikel findet ihr auf Mastodon




Datum Änderung
19.03.2021 Veröffentlichung
22.03.2021 - Typos korrigiert
- Tracking Schutz hinzugefügt (Punkt 1)
- Anzeige Datenerhebung bei Apps hinzugefügt (Punkt 1)
- PayPal hinzugefügt (Punkt 17)
- Posteo hinzugefügt (Punkt 6)