Schlagwort-Archive: datenschutz

Man kann WhatsApp nicht entkommen

Bisher mache ich um WhatsApp einen Bogen. Ich möchte die Datenkrake nicht selbst noch weiter füttern und es stört mich nicht, dass ich meine knappe Zeit nicht auch noch auf/in WhatsApp verbringe.

Vor einigen Tagen wurde ich jedoch in Versuchung geführt, denn WhatsApp schien die einzige Möglichkeit zu sein, mit einem alten Bekannten in Kontakt treten zu können. Nach der Installation der App auf meinem Mobiltelefon, stellte ich fest, dass es keine sinnvolle Nutzungsmöglichkeit gibt, ohne der App Zugriff auf meine Kontakte zu geben, welche auf meinem Mobiltelefon gespeichert sind. Dies kommt für mich nicht in Frage, da ich die Telefonnummern meiner Kontakte, welche evtl. nicht bei WhatsApp sind, nicht in den Rachen dieser Datenkrake stopfen möchte. Das dies der Fall ist, bestätigen folgende Auszüge aus den WhatsApp Nutzungsbedingungen (Stand April 2019).

Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.

[…]

Deine Account-Informationen. Um einen WhatsApp Account zu erstellen, gibst du deine Mobiltelefonnummer und grundlegende Informationen (einschließlich eines Profilnamens) an. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten. Möglicherweise stellst du uns auch eine E-Mail-Adresse zur Verfügung. Du kannst auch andere Informationen zu deinem Account hinzufügen, wie beispielsweise ein Profilbild und eine Info.

https://www.whatsapp.com/legal/#privacy-policy-information-we-collect

Dass es auch anders geht, zeigt z.B. der Nachrichtendienst Threema. Dieser bietet die Möglichkeit Threema-IDs selektiv mit den Kontakten zu verknüpfen, die ebenfalls Threema nutzen. Hier wird nicht das komplette Adressbuch ausgelesen. Allerdings ist hier auch das Geschäftsmodell ein anderes. Die App ist kostenpflichtig und Datenschutz und Datensicherheit sind Produktmerkmale. Bei WhatsApp sind die eigenen Daten und die Daten anderer die Währung. Hier ist man selbst das Produkt.

Ich selbst habe mich entschieden, die Telefonnummern meiner Kontakte nicht ungefragt an WhatsApp weiterzugeben und habe die App wieder deinstalliert. Vielen Dank übrigens an all meine Kontakte, welche nicht so umsichtig waren und meine Telefonnummer frei Haus an WhatsApp geliefert haben. Das habt ihr großartig gemacht!

Backup, Backup, Backup – Von den Vorteilen einer Datensicherung

Das Thema ist so wichtig, dass man nicht oft genug darauf hinweisen kann. Denn noch immer haben viele Benutzer von Computern kein Backup ihrer wichtigsten Daten. Dieser Artikel möchte daher die Vorteile beleuchten, die ein gutes Backup mit sich bringt.

Um wen es in diesem Artikel gehen soll

Im Fokus dieses Artikels stehen die folgenden Anwender/Zielgruppen. Sollten Sie sich in einer der folgenden Beschreibungen wiedererkennen, so lohnt es sich in jedem Fall weiterzulesen. ;-)

Student

Alice ist Studentin. Ihr ständiger Begleiter im Studium ist ihr Notebook. Neben privaten Dingen wie den Fotos von Urlaubsreisen, dem Auslandssemester, etc. speichert Alice auf ihrem Notebook ihre Notizen zu Vorlesungen, Haus- und Abschlussarbeiten.

Während die Bilder für Alice vor allem einen ideellen Erinnerungswert haben, stecken viele Stunden Arbeit in der Erstellung ihrer Ausarbeitungen und vor allem in ihrer Abschlussarbeit. Schließlich hängt das Vorankommen und der erfolgreiche Abschluss ihres Studiums davon ab.

Heimanwender

Bob beschäftigt sich in seiner Freizeit gern mit seinem heimischen PC. Bob ist Hobbyfotograf. Auf seinem PC befinden sich neben den digitalen Fotoalben der Familie noch hunderte weitere Fotos von Reisen und Bobs Streifzügen durch die Natur. Bob bearbeitet viele dieser Fotos aufwendig mit Bildbearbeitungsprogrammen und speichert sie sortiert nach verschiedenen Kategorien. Darüber hinaus hat Bob seine Musiksammlung digitalisiert. Er hat dazu in mühevoller Arbeit hunderte von CDs eingelesen und mit Meta-Informationen zu Interpret, Album, Titel, etc. angereichert.

Kleinunternehmer

Frank führt einen kleinen Handwerksbetrieb. Sein Büro besteht aus zwei PC-Arbeitsplätzen, Netzwerkdrucker/-scanner und einem Netzwerkspeicher (NAS), auf welchem die Dateien gespeichert werden, auf die von beiden PC-Arbeitsplätzen aus zugegriffen wird. Darüber hinaus besitzt Frank noch ein Notebook, auf welchem ebenfalls Firmendaten gespeichert sind. Bob nimmt dieses Notebook häufig mit zu Kunden, um wichtige Informationen direkt im Zugriff zu haben. Zukünftig kann Frank sich auch vorstellen, hierfür ein Smartphone oder Tablet zu verwenden.

Zu den im Unternehmen verarbeiteten Daten zählen unter anderem Stammdaten von Lieferanten und Kunden, Marketing- und Projektunterlagen, Lieferscheine, Rechnungen, die Finanzbuchhaltung, etc.

Hier nicht Genannte

Wer sich in den oben genannten Personengruppen nicht wiederfindet, möge sich folgende Fragen stellen und diese nach gründlicher Überlegung für sich selbst beantworten.

  1. Welche Arten von Daten besitze ich?
  2. Welche Bedeutung haben diese für mich?
  3. Was ist, wenn diese Daten von heute auf morgen weg sind?

Gemeinsamkeiten und Risiken

Was haben die oben beschriebenen Personen/-gruppen gemeinsam? Sie sind im gleichen Maße vom Risiko eines Datenverlustes bedroht.

Eine weltweite Umfrage[1. Global Data Backup Survey Results {en}] unter 6149 Teilnehmern aus dem Jahr 2010 ergab, dass 89% der Befragten keine regelmäßige Datensicherung durchführen. Dabei erlitten von diesen bereits 76,6% einen Datenverlust.

Im Jahr 2013 besaßen laut Angaben des PC-Magazins[2. Vier von zehn Deutschen haben keine Sicherungskopie ihrer Daten] noch immer 38% der Befragten keine Datensicherung. Und diese Zahl sinkt nur langsam.

Die Zahlen vom „World Backup Day 2016″[3. World Backup Day 31.03.2016] belegen, dass noch immer 30% der Nutzer noch nie ein Backup gemacht haben.

Dabei ist die Wahrscheinlichkeit, dass ein Datenverlust eintritt, gar nicht so klein. Nach den Angabe der Seite „World Backup Day“:

  • Gehen pro Minute 113 Smartphones/Handies verloren oder werden gestohlen
  • Werden 1 von 10 Computern monatlich mit Viren infiziert

Hinzu kommen weitere Ursachen wie zum Beispiel Hardwaredefekte und Unfälle.

Gehen Notebook, Tablet oder Smartphone verloren bzw. werden gestohlen, sind damit auch die darauf gespeicherten Daten in der Regel unwiederbringlich verloren. Während das Risiko, einen PC oder ein NAS zu verlieren, sehr gering ist, besteht jedoch auch hier das Risiko, dass diese Geräte z.B. bei einem Einbruch entwendet werden. Auch in diesem Fall sind die (geschäftlichen) Daten schlagartig weg.

Die Bedrohung durch Viren[4. Computerviren – Wikipedia]/Ransomware[5. Ransomeware – Wikipedia] ist ebenfalls real. Dies belegen Berichte über den Kryptotrojaner „Locky“[6. Verschlüsselungstrojaner Locky – Wikipedia], welcher 2016 zehntausende PCs infizierte und darauf gespeicherte Daten verschlüsselte.

Darüber hinaus besteht auch noch das Risiko, dass ein Speichermedium durch einen Hardwaredefekt ausfällt[7. Gründe für einen Datenverlust – BSI für Bürger] oder darauf gespeicherte Daten (versehentlich) überschrieben[8. So können Daten verloren gehen] werden. Die darauf gespeicherten Daten sind in beiden Fällen verloren.

Auswirkungen

Doch welche Auswirkungen hat nun ein Datenverlust für die hier beschriebenen Personen?

Versetzen wir uns zuerst in die Rolle von Alice. Wie viele Studenten schreibt sie ihre Hausarbeiten immer erst auf den letzten Drücker. Dies ist auch bei ihrer Abschlussarbeit nicht anders. Was passiert nun, wenn ihr Werk von Heute auf Morgen verloren geht? Nun sind nicht nur viele Arbeitsstunden verloren, auch der Abgabetermin und damit das Bestehen der Prüfung/des Studiums sind in Gefahr. Die Folge: Noch mehr Stress, Zeitverlust und mindestens ein Fehlversuch.

Bob fällt durch keine Prüfung, wenn die Daten auf seinem PC plötzlich weg sind. Doch der Verlust mag für ihn genauso schwer, vielleicht sogar noch schwerer als für Alice wiegen. Denn mit den digitalen Fotoalben sind viele wertvolle Erinnerungen der Familie unwiederbringlich verloren. Darunter die Fotos der Hochzeit, der Taufe der Kinder und deren erste Jahre. Dagegen ist der Verlust der Musiksammlung noch eher zu verschmerzen. Bob hat ja noch die Original-CDs und kann die Sammlung in vielen mühevollen Stunden erneut einlesen.

Für Frank kann der Verlust der Daten noch ganz anderen Ärger bedeuten. Kann er doch die Vorschriften der GDPdU[9. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen – Wikipedia] nicht mehr einhalten. Und dies könnte noch das geringste Problem sein. Mit den Daten hat Frank auch den Überblick über laufende Projekte, Bestellungen, Aufträge, etc. verloren. Er kann sein Geschäft nicht mehr ordentlich weiterführen. Dies zieht verärgerte Kunden und entgangenen Gewinn nach sich und kann sogar sehr schnell die unternehmerische Existenz bedrohen.

Die Lösung

Zum Glück lässt sich all dieser Ärger vermeiden, wenn man mit einer regelmäßigen Datensicherung[10. Datensicherung – Wikipedia] für den Ernstfall vorgesorgt hat.

Alice, Bob und Frank bleibt viel Ärger erspart, wenn sie auf ein Backup zurückgreifen können, aus dem sie die verlorenen Daten wiederherstellen können.

So kann Alice den letzten gesicherten Bearbeitungsstand ihrer Arbeit auf einem anderen Gerät wiederherstellen und daran weiterarbeiten. So ist es ihr möglich, die Arbeit noch fristgerecht abgeben zu können.

Bob ist ebenfalls erleichtert, dass die Familienerinnerungen nicht verloren sind, da er sie aus der Datensicherung auf dem reparierten PC wiederherstellen kann.

Und auch Frank fällt ein Stein vom Herzen, dass er rechtzeitig in eine gute Datensicherung investiert hat, mit der es ihm möglich ist, nicht nur verlorene Daten wiederherzustellen, sondern auch die komplette Windows-Installation inkl. installierter Programme mit vollständiger Konfiguration auf einem neuen PC wiederherstellen zu können. Somit ist er bereits nach wenigen Tagen wieder voll arbeitsfähig, kann seinen Verlust minimieren und die Firmenpleite abwenden.

Es freut mich, wenn ich Sie mit diesem Artikel von den Vorteilen einer Datensicherung überzeugen konnte. Doch wie machen Sie von hier ab weiter? Sehen Sie unter den Quellen und weiterführenden Links am Ende dieses Artikels nach. Dort finden Sie Informationen, welche Daten man sichern sollte[11. Diese Daten sollten Sie sichern – BSI für Bürger] und nach welchen Methoden[12. Methoden der Datensicherung – BSI für Bürger] bzw. auf welche Arten[13. Sicherungsarten – Wikipedia] ein Backup durchgeführt werden kann. Das BSI für Bürger bietet online Leitfäden für eine Datensicherung unter Windows[14. Datensicherung unter Windows] und Linux[15. Datensicherung unter Linux].

Darüber hinaus befindet sich unter den Quellen auch ein Link zu einem Vergleich kommerzieller Backupsoftware[16. Backup-Software Die besten Datensicherungsprogramme im Vergleich – Netzsieger]. Dieser hilft, sich einen Überblick zu verschaffen und zu entscheiden, welches Produkt am besten zu den persönlichen Anforderungen passt.

Zum Schluss noch ein wichtiger Hinweis. Das Speichermedium, welches als Ziel der Datensicherung dient, sollte stets getrennt von dem System aufbewahrt werden, auf dem sich die zu sichernden Daten befinden. Durch die räumlich getrennte Lagerung soll verhindert werden, dass das Medium, welches das Backup enthält, zusammen mit dem System gestohlen bzw. zerstört wird, von dem das Backup erstellt wurde.

Quellen und weiterführende Links

Datenpanne im Internet – Bin ich betroffen?

Sie passieren ständig – Datenpannen[1. Wikipedia: Datenpanne] im Internet. Und die Abstände zwischen ihnen werden gefühlt immer kürzer. In diesem Artikel möchte ich euch einen Weg aufzeigen, wie ihr selbst schnell und einfach feststellen könnt, ob ihr selbst von einer Datenpanne betroffen seid. Im Gegensatz zu vielen anderen Artikeln auf diesem Blog versuche ich dabei auf technische Details so weit wie möglich zu verzichten, um den Artikel allgemeinverständlich zu gestalten.

Datenpannen sind Verstöße, gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. – Quelle: Deutschsprachige Wikipedia: Datenpanne

Und Datenpannen können überall passieren. Im Online-Shop, dem Online-Auktionsportal, im Online-Banking, in Tauschbörsen, in sozialen Netzwerken und auch im Cloud-Speicher-Dienst, dem wir unsere Dateien anvertrauen. Wikipedia listet einige bedeutende Vorfälle[2. Wikipedia: Bedeutende Datenpannen], die in den vergangenen Jahren bekannt wurden.

Doch wie kann man nun überprüfen, ob man selbst von einer solchen Panne betroffen ist? Eine erfreulich einfache Möglichkeit bietet die Webseite https://haveibeenpwned.com/.[3. ‚;–have i been pwned? {en}] [4. Wikipedia: Have I Been Pwned? {en}]

https://haveibeenpwned.com

https://haveibeenpwned.com – Prüfe, ob einer deiner Accounts durch eine Datenpanne kompromittiert wurde.

Die Bedienung der Seite ist, wie bereits erwähnt, erfreulich einfach. Man trägt den zu überprüfenden Benutzernamen bzw. E-Mail-Adresse in das Suchfeld ein und startet die Suche. Das Ergebnis gibt Auskunft darüber, ob der Benutzername bzw. die E-Mail-Adresse von einer Datenpanne betroffen ist und bei welchem Dienst die Informationen stammen. Die folgenden beiden Screenshots zeigen zwei Beispiele. Das erste Beispiel zeigt einen Fall, bei dem die Kompromittierung eines Benutzernamens bis heute nicht bekannt geworden ist. Das zweite Beispiel zeigt die Abfrage einer E-Mail-Adresse, die mit anderen Daten bei einem Datenleck beim Cloud-Speicheranbieter Dropbox abgegriffen wurden.

username-not-compromised

Keine Kompromittierung des Benutzernamens bekannt

compromised-mailaddress

Die kompromittierte E-Mail-Adresse stammt aus einem Datenleck bei Dropbox

Neben der manuellen Überprüfung bietet die Webseite auch die Möglichkeit, eine E-Mail-Adresse zu hinterlegen. Taucht diese E-Mail-Adresse in einem öffentlich bekannt gewordenen Datenbestand auf, erhält man hierüber eine Nachricht an die hinterlegte E-Mail-Adresse.

Jetzt auch als deutschsprachiges Angebot: Der E-Mail Leak Check

Janis von Bleichert wies mich via E-Mail auf den E-Mail Leak Check hin, welcher unter der URL https://www.experte.de/email-check erreichbar ist. Herr Bleichert hat hier ein Angebot für deutschsprachige Benutzer geschaffen. Dazu hat her Bleichert eigenen Angaben zufolge Informationen zu mehr als 300 Daten-Leaks auf Deutsch übersetzt und ein Tool programmiert, mit welchem Benutzer ebenfalls überprüfen können, ob ihre E-Mail-Adresse von einem Datenleck betroffen ist.

easy check of mail address

Quelle: https://www.experte.de/email-check

Funktion, Nutzung, Datenschutzhinweis und Antworten auf häufige Fragen, werden in einfachem und verständlichem Deutsch gegeben.

Ich möchte Herrn Bleichert an dieser Stelle für den Hinweis auf diesen Dienst danken.

Was tun, wenn ich betroffen bin?

Stellt man nun fest, dass die geprüften Benutzerdaten kompromittiert sind, sollte man umgehend handeln. Es ist dringend empfohlen, in diesem Fall

  1. die Zugangsdaten (Benutzername, E-Mail-Adressse, Passwort) beim betroffenen Dienst zu ändern.
  2. die Zugangsdaten (Benutzername, E-Mail-Adressse, Passwort) bei allen sonstigen Diensten zu ändern, bei denen die gleichen Zugangsdaten verwendet wurden.

Mit dem zweiten Schritt soll sichergestellt werden, dass mit den kompromittierten Benutzerinformationen noch weitere Benutzerkonten bei anderen Online-Diensten gekapert werden können.

Um den Umgang und die Verwaltung von Benutzernamen und Passwörtern so komfortabel wie möglich zu gestalten, empfehle ich die Verwendung eines Passwortmanagers wie z.B. KeePass.[5. Wikipedia: KeePass] [6. KeePass Password Safe] [7. The Official KeePassX Homepage]

How to shut Windows 10 up!

Microsoft Windows wird spätestens seit der Version XP vorgeworfen, dass es ohne Wissen des Anwenders nach Hause telefoniert. Häufig erfährt der Benutzer davon wenig bis gar nichts. Auch Windows 10 steht wieder in der Kritik, automatisiert Daten zu sammeln und diese an die Zentrale in Redmond zu senden. Um Windows dieses schlechte Benehmen abzugewöhnen, gibt es seit jeher Software-Tools, die den Anwender dabei unterstützen, all die Stellen zu finden, an denen man Windows das heimliche Ausplaudern von Nutzungsinformationen abgewöhnen kann.

In diesem Artikel werfe ich einen Blick auf die Freeware O&O ShutUp10. Die Software verspricht dem Anwender, die Kontrolle darüber zurückzugewinnen, welche Daten Windows sammelt und weitergibt. Diese Software ist für Privatanwender kostenlos erhältlich. Man muss sich dafür nicht einmal registrieren und seine persönlichen Daten preisgeben. Die Software muss auch nicht auf dem System installiert werden. Sie kann direkt ausgeführt werden, um Windows 10 eine zu freigiebige Plauderei abzugewöhnen. [1. O&O ShutUp10]

Als Nutzer von Windows 10 wird man in den meisten Fällen nicht wissen, welche Informationen das Betriebssystem sammelt und an wen es diese Informationen weitergibt. Das macht es jedoch auch schwierig zu kontrollieren, ob eine Software wie O&O ShutUp10 überhaupt etwas bewirkt. Um zu beurteilen, ob O&O ShutUp10 das Betriebssystem wirklich zur mehr Zurückhaltung zwingt, führe ich folgenden Test durch.

Ich installiere ein Windows 10 in einer virtuellen Umgebung und analysiere den Netzwerkverkehr mit Wireshark.[2. Wikipedia (de) – Wireshark] Dabei werde ich analysieren, zu welchen IP-Adressen sich Windows 10 nach der Installation verbindet und Daten austauscht. Der Theorie nach sollte sich das Betriebssystem mit weniger Ziel-IP-Adressen verbinden, nachdem es mit O&O ShutUp10 konfiguriert wurde. Daher werde ich den Netzwerkverkehr nach der erfolgten Konfiguration mit O&O ShutUp10 erneut analysieren. Anschließend werde ich einen kurzen Vergleich durchführen, ob die Anzahl der IP-Adressen, zu denen sich Windows 10 verbindet, verändert hat.

Installationsumgebung

Die Installation von Windows 10 erfolgt in einer virtuellen Umgebung. Dazu wird Windows 10 als Gast-Betriebssystem in VirtualBox 5.0 installiert. Der virtuellen Maschine wurden 2 vCPU, 2 GB RAM und 40 GB HDD zugewiesen. Zur Installation wurde Windows 10 Education N ausgewählt. Dabei handelt es sich um eine Edition, die vom Funktionsumfang Windows 10 Enterprise entspricht. Sie ist für Schulen und Universitäten gedacht und wird über das Academic Volume Licensing Programm ausgeliefert. Das „N“ bedeutet, dass diese Version nicht mit dem Windows Media Player ausgeliefert wird. [3. Wikipedia (en): Windows 10 Editions]

Die Installation kann ohne eine aktive Netzwerkverbindung durchgeführt werden. Da vermutlich die meisten Anwender keine Änderungen während der Installation vornehmen, wähle ich in diesem Fall die „Express-Einstellungen“. Nach Abschluss der Installation werden noch die VirtualBox Guest Additions[4. VirtualBox Guest Additions] installiert.

Untersuchung des Netzwerkverkehrs

Um den Netzwerkverkehr der virtuellen Maschine untersuchen zu können, wird VirtualBox verwendet.[5. VirtualBox VBoxManage Network Settings] [6. Network Lab – VirtualBox]

Windows 10 kurz nach der Installation

Nachdem die Installation von Windows 10 abgeschlossen war, habe ich das System neugestartet und für 15 Minuten den Netzwerkverkehr aufgezeichnet. Bei der anschließenden Analyse habe ich folgende IP-Adressen gefunden, zu denen sich Windows 10 verbindet:

  1. 131.253.61.80
  2. 134.170.58.190
  3. 184.31.86.159
  4. 191.232.139.253
  5. 191.232.139.254
  6. 191.232.80.60
  7. 191.237.208.126
  8. 204.79.197.200
  9. 207.46.101.29
  10. 207.46.7.252
  11. 212.201.100.135
  12. 23.57.28.45
  13. 65.55.252.43
  14. 65.55.54.41
  15. 65.55.54.43

Noch einmal zum Verständnis. Ich habe nicht mit dem System gearbeitet. Ich habe das System lediglich hochgefahren und mich angemeldet. Ohne weitere Aktion seitens des Benutzers hat sich Windows 10 zu insgesamt 15 IP-Adressen verbunden und Daten gesendet bzw. empfangen. Dabei war nicht durchgängig ersichtlich, um welche Daten es sich dabei handelt. Die Tabelle erhebt keinen Anspruch auf Vollständigkeit. Der Messzeitraum betrug nur 15 Minuten. Zum Vergleich, im gleichen Zeitraum baute ein Ubuntu 14.04 lediglich zu drei IP-Adressen Verbindungen auf, um die Uhrzeit zu synchronisieren.

Windows 10 mit ShutUp10!

O&O ShutUp10! kann ohne Registrierung einfach von der Website des Herstellers heruntergeladen werden. Es muss nicht installiert werden. Man entpackt lediglich das Zip-Archiv und startet die darin befindliche EXE-Datei als Administrator. Der Rest des Programms ist selbsterklärend. Bevor Änderungen am System vorgenommen werden, fragt das Programm nach, ob man einen Wiederherstellungspunkt erstellen möchte. Dies ist sehr zu empfehlen. So können die gemachten Einstellungen in jedem Fall rückgängig gemacht werden.

Der Einfachheit halber habe ich die vom Programm empfohlenen Änderungen vorgenommen. Anschließend habe ich erneut für 15 Minuten den Netzwerkverkehr mit Wireshark analysiert. Das Ergebnis ist etwas ernüchternd. Denn Windows 10 kommuniziert im Messzeitraum weiterhin mit immerhin 12 IP-Adressen. Ich habe doch mit deutlich weniger gerechnet.

  1. 137.117.235.16
  2. 184.31.86.159
  3. 191.232.139.253
  4. 204.79.197.200
  5. 207.46.101.29
  6. 207.46.7.252
  7. 212.201.100.135
  8. 23.57.28.45
  9. 64.4.54.22
  10. 65.52.108.33
  11. 65.55.163.222
  12. 65.55.54.43

Fazit

Zusammengefasst muss ich sagen, dass die angewendete Testmethode nicht geeignet ist, um belastbare Schlüsse ziehen zu können. Es kann nicht sichergestellt werden, dass sich das Betriebssystem im jeweiligen Messfenster gleich verhält. Die Ergebnisse sind daher mit Vorsicht zu genießen.

Dennoch kann von „ShutUp!“ nicht die Rede sein. Selbst nach Übernahme der empfohlenen Einstellungen der O&O Software quatscht Windows 10 munter weiter. Verbindungen zu 12 IP-Adressen und keinerlei Information, was das Betriebssystem dort eigentlich tut, sind in meinen Augen zu viel. Man könnte meinen, dass die Software wenig bis gar keine Auswirkung auf das Kommunikationsverhalten des Betriebssystems hat.

Was unternehmt ihr, um Windows 10 die Plauderei abzugewöhnen?

Meine Daten gehören mir

Hinweis: Der Artikel „Meine Daten gehören mir!“ erschien erstmals auf der Webseite der Bundeszentrale für politische Bildung.

Vorwort

Überwachung ist kein Problem, für das es eine technische Lösung gibt. Welches Maß an Überwachung eine Gesellschaft zulässt, welche Mittel Bürgerinnen und Bürger haben, um sich zu schützen, muss politisch verhandelt und bestimmt werden. Der Souverän bestimmt, welche finanziellen und juristischen Mittel den Geheimdiensten in die Hand gegeben werden, welcher Kontrolle sie unterworfen werden – oder eben nicht.

Der Souverän, das sind in der Demokratie wir alle. Technische Gegenwehr kann dabei maximal ein Teil der Antwort sein. Um diesen Teil soll es hier gehen. Wie wir aus den Dokumenten erfahren haben, die Edward Snowden den Medien übergeben hat [2], sind die Geheimdienste technisch extrem gut ausgerüstet. Zudem verfügen sie über derart weit reichende Befugnisse oder maßen sie sich an, dass es kaum einem Menschen, der in ihr Visier gerät und direkt ausgespäht werden soll, gelingen wird, seine Kommunikation vollständig vor ihren Augen und Ohren zu verbergen. Das liegt schon daran, dass Kommunikation nun einmal zwischen mindestens zwei Beteiligten stattfindet und sie über dasselbe Maß an Expertise verfügen müssen, um ihre Kommunikation zu schützen. Solange Kommunikationstechnologien nicht „ab Werk“ sicher und verschlüsselt sind, bleibt das eine Herausforderung.

Man kann jedoch noch immer davon ausgehen, dass die meisten Menschen keine Ziele direkter geheimdienstlicher Überwachung sind. Für sie geht es darum, ihre Kommunikation so zu schützen, dass so wenig Inhalte wie möglich im Schleppnetz der NSA, des britischen Geheimdiensts GCHQ oder des deutschen BND landen. Denn all die Milliarden Daten, die die Dienste absaugen, werden entweder nach bestimmten Signalbegriffen oder Mustern durchsucht und dann im Zweifel genauer geprüft. Oder sie werden für Jahrzehnte gespeichert und erst dann analysiert, wenn sie in Zusammenhängen auftauchen, die für die Geheimdienste interessant sind.

Das bedeutet: Jede normale Bürgerin, jeder normale Bürger kann heute zum Ausspäh-Ziel der Geheimdienste werden – und sei es nur durch den Kontakt zu bestimmten anderen Menschen. Um zu verstehen, wie man sich schützen kann, muss man zwei Arten von Daten unterscheiden:

Die eine Art sind die Inhalte der Kommunikation, also etwa der Text einer E-Mail, der Wortlaut eines Telefonats oder der Inhalt einer Datei auf einem USB-Stick. Diese Inhalte können geschützt werden, indem man E-Mails und Datenträger verschlüsselt.

Die andere Art der Daten sind so genannte Meta-Daten, also Daten über Daten: Mit wem hat man wann telefoniert, wer hat wem wann eine Mail geschickt, wer hat wann welche Website aufgerufen? Diese Daten mögen harmloser erscheinen, können aber ebenso weitreichende Schlüsse zulassen wie der Inhalt der Kommunikation. Meta-Daten fallen bei digitaler Kommunikation immer an, aber man kann sie in gewissen Maß verschleiern, etwa durch Werkzeuge für mehr Anonymität.

Keine dieser Techniken und Technologien kann Sicherheit garantieren. Im Gegenteil: zum Teil sind sie komplex und verleiten dazu, Fehler zu machen. Alle müssen ausprobiert, eingeübt und regelmäßig verwendet werden. Doch selbst wenn vor hochaufgerüsteten Geheimdiensten wie der NSA keine umfassende Sicherheit möglich ist, ist es keineswegs umsonst, für mehr Datensicherheit zu sorgen. So bieten gängige Vorkehrungen nicht zuletzt Schutz auch vor gewöhnlichen Kriminellen im Netz. Auch diese sind stets auf der Suche nach Sicherheitslücken und schlecht gesicherter Kommunikation, die sie etwa zum Identitätsdiebstahl nutzen können. Ebenso gilt umgekehrt: Werden Sicherheitslücken geheim gehalten, um sie zur Überwachung nutzen zu können, wirkt sich das negativ auf die Sicherheit aller Bürger aus.

Nützliche Links

  • Das Privacy-Handbuch: Wesentlich ausführlicher, als es hier möglich wäre, beschreibt dieses Handbuch auf mehr als 300 Seiten, was man als Nutzer unternehmen kann, um seine Privatsphäre zu schützen. Es ist ein kollaboratives, von Datenschutz-Aktivisten gepflegtes Handbuch und in verschiedenen Versionen im Netz verfügbar. Eine aktuelle Version findet sich unter privacy-handbuch.de [3].
  • Die US-Bürgerrechtsorganisation Electronic Frontier Foundation [4] betreibt die fortlaufend auf aktuellem Stand gehaltene Ratgeberwebsite „Surveillance Self-Defense“ [5] mit vielen Anleitungen und einfachen Erklärungen zu grundlegenden Konzepten der Datensicherheit. Die Beiträge sind auf Englisch, Spanisch und Arabisch verfügbar.

E-Mail-Verschlüsselung

Wer E-Mails unverschlüsselt verschickt, verschickt das elektronische Äquivalent von Postkarten. Das ist schon oft gesagt und geschrieben worden, dennoch sind viele überrascht, wenn sie erfahren, dass E-Mails praktisch ungeschützt durchs Netz wandern. E-Mails werden auf ihrem Weg vom Absender zum Empfänger mehrfach gespeichert, etwa bei den Internet-Providern bei Absender und Empfänger, aber auch weitere Male dazwischen. Unterwegs können daher diejenigen die E-Mails lesen, die Zugriff aufs Netz haben. Die Snowden-Enthüllungen zeigen, dass massenhaft E-Mails im „Schleppnetz-Verfahren“ überwacht und ausgewertet werden. Sie werden automatisiert auf bestimmte Schlagwörter untersucht, um herauszufinden, ob sie für Geheimdienste interessant sein könnten. Sollte das der Fall sein, werden sie genauer angeschaut. Aber auch, wenn es keinen aktuellen Anlass gibt, ist zu vermuten, dass E-Mails zumindest von der NSA einfach abgespeichert werden, sodass sie auch in Zukunft untersucht werden können.

Wer vermeiden möchte, dass seine E-Mails derart unter die Lupe genommen werden, muss eine so genannte Ende-zu-Ende-Verschlüsselung verwenden. Das bedeutet, dass die E-Mail beim Absender – an einem Ende – verschlüsselt wird, und beim Empfänger – am anderen Ende – wieder entschlüsselt. So wandern die Inhalte niemals unverschlüsselt durch Netze, auf die andere Zugriff haben.

PGP: Geniale Idee, aber zunächst nicht leicht zu verstehen

Eine gängige Lösung, die sich für normale Nutzer – also solche, die keine Unterstützung von Spezialisten haben – zu diesem Zweck eignet, ist PGP [6]. Die Abkürzung steht für „pretty good privacy“, also „ganz gute Privatsphäre“. Der leicht scherzhafte, sprechende Name weist darauf hin, dass PGP-Erfinder Phil Zimmermann nicht davon ausgeht, dass das Verfahren vollständige Sicherheit bieten kann, aber eben doch ziemlich gute. Und obwohl Zimmermann PGP bereits in den 1990er Jahren entwickelt hat, gilt diese Einschätzung bis heute: PGP ist noch immer die sicherste Mailverschlüsselungsmethode.

Um PGP einzusetzen, gibt es unterschiedliche Wege. Üblicherweise benötigt man eine Erweiterung für einen E-Mail-Client – also das Programm, mit dem man E-Mails liest und schreibt. Wenn man E-Mails hingegen nur über den Webbrowser verwendet, gibt es zwar ebenfalls Erweiterungen, aber die meisten Experten halten diese noch nicht für reif. Etwas verwirren kann die Vielzahl unterschiedlicher Abkürzungen: „Open PGP“ ist der Name des zugrunde liegenden Verschlüsselungsstandards, der von verschiedenen Programmen unterstützt wird. Dazu gehören das heute kommerzielle Programm PGP ebenso wie die kostenlose, freie Variante namens „GNU Privacy Guard“ [7], GnuPG oder GPG abgekürzt. Der Einfachheit halber werden all diese Entwicklungen häufig unter dem Begriff PGP zusammengefasst, so auch in diesem Artikel.

Das Verfahren, auf dem PGP beruht, wird „public-key cryptography“ genannt und auf Deutsch mit „asymmetrisches Kryptosystem“ übersetzt – leichter verständlich wäre die Übersetzung „Verschlüsselung mit öffentlichem Schlüssel“. Die Idee dahinter ist genial, aber zunächst nicht leicht zu verstehen. Bei einem symmetrischen Verfahren teilen zwei Menschen sich einen gemeinsamen Schlüssel. Das Problem daran: Wie kann der Schlüssel sicher ausgetauscht werden? Man kann ihn nicht der Nachricht beifügen, weil sie dann auch von einem Angreifer entschlüsselt werden könnte, der die Nachricht abfängt. Man kann den Schlüssel getrennt von der Nachricht übermitteln, aber auch dann könnte er abgefangen werden. Wer ihn hat, kann die Nachrichten dann entschlüsseln. Um sicher zu gehen, müssten sie den Schlüssel daher direkt austauschen, etwa indem sie sich treffen.

Bei der asymmetrischen Verschlüsselung hingegen hat jeder Nutzer einen öffentlichen und einen privaten Schlüssel. Zusammen bilden beide ein Schlüsselpaar. Wie der Name sagt, ist der eine Teil öffentlich und kann sorglos weiter gegeben werden: per E-Mail, über eine Website, auf einem USB-Stick oder in einem Chat. Wenn eine Nachricht mit diesem öffentlichen Schlüssel verschlüsselt wird, kann sie aber nur noch mit dem privaten Schlüssel wieder entschlüsselt werden. Ein Angreifer, der die Nachricht abfängt, kann sie nicht entschlüsseln, da er den privaten Schlüssel nicht kennt. Auch der Sender kann die Nachricht beim Empfänger nicht wieder entschlüsseln, denn auch er kennt nur den öffentlichen Schlüssel, nicht den privaten. Aus dem – jedem bekannten – öffentlichen Schlüssel den privaten Schlüssel zu berechnen, ist so schwierig und aufwändig, dass Experten das System unter bestimmten Voraussetzungen (langer Schlüssel und sicheres Passwort) derzeit für sicher halten.

Geeignetes Programm auswählen, Schlüsselpaar anlegen

Um PGP selbst zu nutzen, braucht man die entsprechende Software. Die Programme sind vielfältig und werden mittlerweile für nahezu alle Betriebssysteme angeboten, auch für Smartphones. Da sie alle etwas unterschiedlich funktionieren und eingerichtet werden, wird unten in den Links auf die entsprechenden Anleitungen verwiesen. Was in jedem Fall zu tun ist: Man muss ein Schlüsselpaar anlegen. Extrem wichtig hierbei ist, dass der private Schlüssel eine Schlüssellänge von mindestens 2.048 Bit hat und mit einem sehr guten Passwort geschützt ist. Die Schlüssellänge kann man festlegen, wenn man den Schlüssel erzeugt. Vereinfacht gesagt, wirkt sie sich darauf aus, wie viele mögliche Schlüssel ein Angreifer durchprobieren müsste, um zufällig den richtigen zu erwischen, wenn er jeden denkbaren Schlüssel ausprobieren würde. 1.024-Bit-Schlüssel gelten inzwischen als unsicher; wer auf der sicheren Seite sein möchte, wählt besser gleich einen 4.096-Bit-Schlüssel. Damit kann das Verschlüsseln großer Mails, zum Beispiel mit angehängten Dateien, auch auf schnellen Rechnern allerdings eher lange dauern.

Der öffentliche Schlüssel sollte auf einen so genannten Key-Server hochgeladen werden. Da er einer E-Mail-Adresse zugeordnet ist, können ihn andere somit auch dann finden, wenn sie noch nie Kontakt mit dem Inhaber der E-Mail-Adresse hatten. Viele Programme bieten an, den Schlüssel direkt auf einen solchen Server hochzuladen.

Nützliche Links

  • Anleitungen, wie man E-Mail-Verschlüsselung einrichtet, hat die Website „Verbraucher sicher online“ für verschiedene Betriebssysteme und Programme zusammengestellt. Dazu gehören die Erweiterung Enigmail und der GNU Privacy Guard [8], die Verschlüsselung mit Mozilla Thunderbird unter Windows, Mac OS sowie Linux & Co. ermöglichen. Für Mac-Systeme gibt es zudem eine Anleitung für das Paket „GPG Suite/GPG Tools“ für Apples Mailprogramm [9]. Bei Windows lässt sich auch GnuPG und Claws Mail einrichten [10], GpgOE für Outlook Express [11] oder GnuPG/WinPT für das Mailprogramm The Bat [12].
  • Eine Anleitung, wie man öffentliche Schlüssel austauscht und auf einen Schlüsselserver lädt, findet sich am Beispiel der GPG Suite ebenfalls bei „Verbraucher sicher online“ [13].
  • Hinweise zu sicheren Passwörtern gibt es beim Bundesamt für Sicherheit in der Informationstechnik bei der Versicherung CosmosDirekt [14]. Wer noch sicherer gehen möchte, beachtet die Tipps von Jürgen Schmidt im Heise-Artikel „Passwort-Schutz für jeden“ [15].

Übung macht den Meister

Oft wird zur E-Mail-Verschlüsselung gesagt, dass es leicht sei, sie zu verwenden. Das stimmt so nicht, denn in der Praxis lauern viele Fallstricke, weshalb die ersten Versuche auch für Erfahrene frustrierend sein können. Wie bei allen komplexen Verfahren gilt: Übung macht den Meister. Am Besten sucht man sich ein Gegenüber, mit dem man die Programme ausprobieren und testen kann.

Einige bekannte Probleme aus der Praxis:

  • Man verschlüsselt die Mails, die man an andere verschickt, empfängt verschlüsselte Mails von anderen, legt die Mails aber unverschlüsselt auf dem eigenen Rechner ab. Wird zum Beispiel der Laptop gestohlen und ein Fremder kann sich Zugang verschaffen, kann er die Mails lesen.
  • Man vergisst sein Passwort und hat kein sogenanntes Sperrzertifikat (revocation certificate) angelegt, mit dem man den Schlüssel für ungültig erklären kann. Dann kann man sich zwar einen neuen Schlüssel mit neuem Passwort anlegen, doch der alte Schlüssel ist weiter erhältlich. Andere schicken dann möglicherweise verschlüsselte Mails, die man nicht entschlüsseln kann, und man muss sie auffordern, einen neuen Schlüssel zu verwenden.
  • Die Festplatte geht kaputt, und es gibt keine Sicherungskopie des privaten Schlüssels. Alle Mails, die verschlüsselt abgelegt wurden, sind unlesbar.
  • Verschlüsselte E-Mails können je nach Programm und gewählter Einstellung nicht mehr einfach durchsucht werden, und sie können auch in der Regel nicht per Webmail-Dienst angesehen werden.

Festplatten und mobile Datenträger verschlüsseln

Auf einem unverschlüsselten Datenträger liegen alle Daten offen zutage. Bei einem tragbaren Gerät wie einer externen Festplatte oder einem USB-Speicherstick ist es auch sofort einleuchtend, warum das ein Problem sein kann: Sie können verloren gehen oder gestohlen werden. Gleiches gilt für Laptops. Aber auch ein Desktop-Rechner kann in falsche Hände geraten, durch einen Einbruch oder weil ein missliebiger Kollege zu neugierig ist.

Passwortschutz ist keine Verschlüsselung: Sind die Computer mit einem Zugangspasswort geschützt, ist das zwar prinzipiell gut, hilft aber nichts, wenn ein Angreifer das Gerät in seinem Besitz hat. Ein solches Passwort hindert ihn zwar daran, das System zu starten und zu nutzen, aber wenn er die Festplatte ausbauen kann, kann er dennoch auf die Daten darauf zugreifen. Bei einem USB-Stick oder einem anderen tragbaren Datenträger ist das ohnehin der Fall.

Verschlüsselung dagegen bedeutet, dass sämtliche Daten, die geschützt werden sollen, in eine Form umgewandelt werden, die für denjenigen, der den Schlüssel nicht kennt, nur Datensalat darstellt, also eine sinnlose Ansammlung von Zeichen. Heißt: Nur wenn die Daten sicher verschlüsselt sind, sind sie vor dem Zugriff eines Angreifers geschützt.

Bordmittel praktisch, aber quelloffene Programme empfehlenswerter

Wie aber geht das? Viele Betriebssysteme bieten Bordmittel an, um Dateien, den Benutzerordner oder ganze Festplatten zu verschlüsseln. Sie haben zwei entscheidende Nachteile: Zum einen liegt durch die Snowden-Enthüllungen der Verdacht nahe, dass sehr viele Unternehmen den Geheimdiensten so genannte Hintertüren offenhalten. Das bedeutet, dass die Verschlüsselungstechnik möglicherweise absichtlich Schwachstellen aufweist, die von NSA und Co. genutzt werden können, um an die Daten heranzukommen.

Zum anderen gibt es das Problem, dass etwa ein USB-Stick, der mit einer Apple-Software verschlüsselt wurde, nicht mit einem Windows-Programm entschlüsselt werden kann. Für mehr Kompatibilität empfiehlt sich ein Programm, das erstens auf möglichst vielen Betriebssystemen eingesetzt werden kann, und dessen Programmcode zweitens transparent ist, sodass zumindest geprüft werden kann, ob Sicherheitslücken und Hintertüren bestehen. Bei den von Microsoft und Apple angebotenen Bordmitteln „Bitlocker“ bzw. „Geräteverschlüsselung“ sowie „File Vault/File Vault 2“ ist das nicht der Fall. Die auf Linux-Systemen häufig eingesetzten Bordwerkzeuge wie LUKS und DM-Crypt können zwar öffentlich überprüft werden, aber auch sie sind nicht ohne weiteres mit anderen Betriebssystemen kompatibel.

Allzweckwerkzeug Truecrypt eingestellt, Alternativen nur teilweise verfügbar

Viele Jahre lang war das Programm Truecrypt hier die erste Wahl, da es beide Anforderungen erfüllte und vielfältig einsetzbar ist: Um verschlüsselte Ordner (Container genannt) anzulegen, die wie ein Laufwerk genutzt werden; aber auch, um komplette Datenträger oder die System-Festplatte zu verschlüsseln. Die verschlüsselten Teile lassen sich zudem so verstecken, dass ihre Existenz unerkannt bleibt. Die anonymen Entwickler haben ihre Arbeit an dem Projekt jedoch im Mai 2014 eingestellt. Da sie zu den Gründen dafür keine wirklich klaren Angaben machten, gibt es unterschiedliche Einschätzungen, ob das Programm weiter eingesetzt werden sollte.

Organisationen wie das amerikanische „Committee to Protect Journalists“ meinen, dass zumindest bestehende Installationen der letzten Vollversion 7.1a weiterhin sicher verwendet werden können [16]. Sie verweisen auf den Umstand, dass Sicherheitsforscher in einer unabhängigen Untersuchung des Programmcodes von Truecrypt [17] bis jetzt keine gravierenden Sicherheitslücken entdeckt haben. Die letzte Vollversion wird an verschiedenen Stellen im Netz weiterhin kostenlos angeboten, etwa auf der Website Security in a box [18], einem Projekt der NGOs „Tactical Tech“ und „Front Line Defenders“. Eine Anleitung für alle verschiedenen Funktionen [19] hat Marco Kratzenberg erstellt.

Andere haben ihre Empfehlungen für Truecrypt mittlerweile zurückgezogen, so etwa auch das Bundesamt für Sicherheit in der Informationstechnik; auch die Entwickler des sicheren Betriebssystems „Tails“ haben das Programm entfernt. Eines der Kernprobleme liegt darin, dass keine Sicherheitsaktualisierungen mehr verfügbar sein werden.

Die Situation ist daher bis auf weiteres unbefriedigend: Während es für Profis einige quelloffene Werkzeuge wie etwa „EncFS“ gibt, sieht es für den Normalanwender schlechter aus. Wer Windows verwendet, kann etwa mit dem „Diskcryptor“ immerhin einzelne Partitionen verschlüsseln. Wer lediglich einzelne Dateien verschlüsseln will, kann das übrigens auch mit den oben erwähnten PGP-Werkzeugen größtenteils tun. Letztlich muss jeder selbst abwägen: Bordmittel und kommerzielle Programme für Windows- und Mac-Systeme sind relativ leicht zu bedienen, aber man muss den Herstellern mehr oder weniger blind vertrauen. Wem das nicht behagt, der muss sich die derzeit angebotenen Alternativen ansehen und entscheiden, welche noch am ehesten die eigenen Ansprüche abdeckt. Eine Übersicht über Werkzeuge bietet die Website prism-break.org [20], kommerzielle ebenso wie quelloffene Programme stellt auch Heise Online [21] vor. Die wohl umfangreichste Vergleichsliste [22] haben die Autoren der englischsprachigen Wikipedia zusammengetragen.

Um Sicherheit zu bieten, müssen auch solche Verschlüsselungsprogramme natürlich richtig eingesetzt werden und ihre Grenzen sollten bekannt sein.

Einige bekannte Probleme aus der Praxis:

  • Ein verschlüsselter, aber geöffneter Ordner ist ungeschützt. Wer in die Kaffeepause geht und ihn offen lässt, unterläuft seine eigenen guten Absichten.
  • Manche Programme legen automatisch Versionen von Dateien an Orten ab, die nicht verschlüsselt sind, etwa in temporären Ordnern. Stürzt zum Beispiel der Rechner ab, bleiben sie unter Umständen erhalten.
  • Ist das Passwort verloren, sind die Daten weg. Alle. Für immer.
  • Sollte ein Angreifer über die Mittel verfügen, das Passwort auszuspähen, kann er an alle Daten heran kommen. Das erlauben etwa Programme, die Tastatureingaben protokollieren (Keylogger). Wenn man gar keine Verschlüsselung verwendet, kommen Angreifer natürlich leichter an Daten, doch es kann auch die Situation entstehen, dass man sich zu sehr in Sicherheit wiegt.

Anonymer Surfen mit Browser-Erweiterungen und Tor

Wer im Web surft, hinterlässt Datenspuren. Websites protokollieren etwa die IP-Adresse des Rechners, von der aus man auf sie zugreift. Wenn man sich mit echter Identität bei einem Web-Dienst anmeldet, sei es Facebook, Google-Drive oder GMX, kann diese IP-Adresse dann einer Person zugeordnet werden; Strafverfolgungsbehörden können ohnehin über eine Anfrage beim Provider feststellen, wer hinter einer bestimmten IP-Adresse steckt. Das ist eigentlich dafür gedacht, dass bestimmte, genau definierte Straftaten verfolgt werden können, doch muss man inzwischen leider davon ausgehen, dass auch in anderen Fällen diese Verknüpfungen angefragt und hergestellt werden.

Mit den Mitteln des Trackings versuchen Anbieter von Websites nachzuspüren, welche Wege im Netz ihre Besucher zurücklegen, um sie mit maßgeschneiderter Werbung zu versorgen. Das kennt man, wenn man zum Beispiel nach „Wetter Mallorca“ sucht und später Flüge und Hotels in der Werbung auftauchen. Ein klassisches Mittel dafür sind Cookies, also kleine Dateien auf der Festplatte, aber die Techniken werden ständig weiterentwickelt. Viele dieser Datenschatten lassen sich dennoch vermeiden. Der alte Grundsatz der Datensparsamkeit dient letztlich auch der Datensicherheit, denn Daten, die gar nicht erst anfallen, können auch nicht missbraucht werden.

Nützliche Links

Mit Browser-Erweiterungen wie HTTPS everywhere, Adblock Edge, Disconnect, Do Not Track Plus oder Noscript lassen sich die Datenspuren bereits verringern. Natürlich registriert ein Website-Betreiber, wenn seine Website aufgerufen wird, aber man kann verhindern, dass einem beim Aufruf dutzende Dritte über die Schulter schauen können, etwa Werbenetzwerke. Eine einfache Anleitung für gängige Browser-Erweiterungen für Firefox [23] hat der Journalist Boris Kartheuser erstellt.

Wer seine Spuren im Netz umfassender verwischen will, sollte sich mit dem Werkzeug Tor beschäftigen. Tor besteht aus einer Software, die man auf dem eigenen Rechner installiert, und einem Netz von Servern, über die die Daten geleitet werden. Der grundlegende Ansatz basiert darauf, den Datenverkehr über mehrere Ecken umzuleiten, sodass der Ausgangspunkt verschleiert wird. Die Abkürzung TOR stand ursprünglich für „The Onion Router“ – gemeint ist damit das Prinzip, den Datenverkehr wie bei einer Zwiebelhülle in mehreren Schichten zu verschlüsseln. Auf jedem Wegpunkt wird gerade soviel davon entfernt, wie nötig ist, um die Daten weiterzureichen, ohne dass die restlichen Informationen bekannt werden. Die Knotenpunkte werden von Freiwilligen – Individuen, Organisationen, Unternehmen – ehrenamtlich betrieben. Forscher, Geheimdienste und Behörden haben bereits versucht, Tor-Nutzer zu de-anonymisieren; dies ist in Einzelfällen auch gelungen. Dennoch sieht es so aus, als hätten die Tor-Entwickler im Katz-und-Maus-Rennen bislang die Nase vorn. Doch gerade bei Tor gilt es, einige Fallstricke zu meiden, die dazu führen können, die eigene Anonymität auszuhebeln, selbst wenn das Tor-Prinzip als solches bislang als sicher gilt. Dazu gehören etwa folgende:

  • Wer über Tor auf einen Webdienst wie Facebook oder Gmail zugreift, für den eine Anmeldung erforderlich ist, unterläuft natürlich die Anonymisierung.
  • Andere Programme, die auf dem Rechner laufen, verwenden nur dann Tor, wenn sie speziell dafür eingerichtet sind. Wer zum Beispiel über Tor surft, aber nebenher ein Chat- oder Mail-Programm verwendet, das nicht auf Tor zurückgreift, ist dabei nicht anonym.
  • Programme im Browser wie Flash oder Java sollten deaktiviert sein. Ebenso können etliche Browser-Erweiterungen Informationen weitergeben, die eine Identifizierung ermöglichen.
  • Tor ersetzt keine verschlüsselten Verbindungen etwa über „HTTPS“. Verlässt der Datenverkehr das Tor-Netzwerk, ist er wieder unverschlüsselt und kann dort mitgeschnitten werden, wenn keine anderen Vorkehrungen getroffen werden.
  • Das bloße Installieren und Aktivieren von Tor bringt nicht mehr Sicherheit. Um tatsächlich Anonymität zu gewinnen, werden die meisten einige typische Verhaltensweisen am Rechner ändern und sich mit der Einrichtung ihres gesamten Systems beschäftigen müssen. Unbedacht verwendet, erhöht man unter Umständen sogar das Sicherheitsrisiko. Berichten zufolge interessieren sich Geheimdienste wie die NSA nicht nur für die Betreiber des Tor-Netzes, sondern für jeden, der das Programm herunterlädt [24], etwa indem sie versuchen, dessen Downloads zu protokollieren.

Nützliche Links

Es ist ratsam, den Tor Browser [25] zu verwenden. In diesem Paket sind bereits alle Programme zusammengefasst, die benötigt werden, inklusive einem Firefox-Browser, in dem häufige problematische Einstellungen bereits korrigiert sind. Dieses Paket kann auch von einem USB-Stick aus gestartet werden, sodass es sich zum Beispiel auch in Internet-Cafés oder bei der Arbeit verwenden lässt.

Eine allgemeine deutschsprachige Installationsanleitung [26] gibt es etwa beim Portal „Verbraucher sicher online“; eventuell ist es zusätzlich notwendig, aktuellere Anleitungen für das eigene Betriebssystem zu konsultieren. Die Tor-Software wird für Windows, Mac OS, Linux & Co. sowie Android angeboten, nicht jedoch für Apples mobile Geräte.

Besonders die Hinweise der Tor-Entwickler selbst [27] zu verbleibenden Risiken und den Grenzen der durch Tor ermöglichten Anonymität und Sicherheit sollte jeder zu Rate ziehen, der auf Anonymität angewiesen ist.

Wie am Anfang des Artikels bereits angemerkt: Datensicherheit ist ein Prozess, der gelernt und geübt sein will. Das kann mit Sicherheit mühsam sein. Doch zum einen hat es noch nie drängendere Gründe gegeben, damit zu beginnen. Und zum anderen ist nun dank Edward Snowden eine Dynamik entstanden, die vielleicht dafür sorgen könnte, das viele Hilfsmittel besser werden oder überhaupt erst entwickelt werden. Jetzt untätig zu bleiben aus dem – durchaus begründeten – Gefühl der Hilflosigkeit darüber, nicht für seinen eigenen, perfekten Schutz sorgen zu können, wäre der größte Gefallen, den man dem Überwachungsstaat tun könnte.

Links
[1] http://www.bpb.de/gesellschaft/medien/datenschutz/203238/meine-daten-gehoeren-mir
[2] http://www.zeit.de/digital/datenschutz/2013-10/hintergrund-nsa-skandal/komplettansicht
[3] https://privacy-handbuch.de/
[4] https://eff.org/
[5] https://ssd.eff.org/en/index
[6] https://de.wikipedia.org/wiki/Pretty_Good_Privacy
[7] https://gnupg.org/
[8] https://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-mozilla-thunderbird-mit-enigmail-und-gnu-privacy-guard
[9] https://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-apple-mail-unter-mac-os-x
[10] http://www.verbraucher-sicher-online.de/anleitung/e-mail-verschluesselung-mit-gnupg-und-claws-mail-unter-windows
[11] http://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-outlook-express-mit-gpgoe
[12] http://www.verbraucher-sicher-online.de/anleitung/windows-vista-e-mail-verschluesselung-mit-the-bat-und-gnupgwinpt
[13] https://www.verbraucher-sicher-online.de/anleitung/e-mails-verschluesseln-in-apple-mail-unter-mac-os-x?page=0,3
[14] https://www.cosmosdirekt.de/sicherheit-im-internet/sicheres-passwort/
[15] http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html
[16] https://www.cpj.org/blog/2014/06/journalists-can-safely-use-truecrypt-for-now.php
[17] http://istruecryptauditedyet.com/
[18] https://securityinabox.org/en
[19] http://www.giga.de/software/sicherheit-utilities/die-ultimative-truecrypt-anleitung-alles-was-du-wissen-musst/
[20] https://prism-break.org/en/
[21] http://www.heise.de/download/special-sichere-alternativen-zu-truecrypt-151561.html?hg=1&hgi=16&hgf=false
[22] https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software
[23] http://www.investigativerecherche.de/mehr-datenschutz-beim-surfen-im-internet-eine-anleitung/
[24] https://www.tagesschau.de/inland/nsa-xkeyscore-100.html
[25] https://www.torproject.org/projects/torbrowser.html.en
[26] https://www.verbraucher-sicher-online.de/anleitung/den-anonymisierungsdienst-tor-verwenden
[27] https://www.torproject.org/docs/faq.html.en#AmITotallyAnonymous

Autoreninformationen: Matthias Spielkamp und David Pachali (Webseite) arbeiten bei iRights.info. Matthias Spielkamp ist dort Redaktionsleiter und Vorstandsmitglied von Reporter ohne Grenzen Deutschland. David Pachali ist als Journalist und Redakteur tätig.  Dieser Artikel erschien erstmals auf der Webseite der Bundeszentrale für politische Bildung und wurde in „freiesMagazin“ Ausgabe 06/2015 veröffentlicht. Der Artikel wurde an dieser Stelle in der Fassung aus „freiesMagazin“ wiedergegeben.

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by/3.0/
Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by/3.0/ Autor: David Pachali Matthias Spielkamp für bpb.de

Ganz einfach: Widerspruch zur Datenweitergabe durch Meldebehörden

Erst gestern verkündete ein heise-Artikel:

Laut Meldegesetz kann jeder Bürger Meldeämtern die Weitergabe seiner Daten untersagen. Doch kaum jemand nimmt sein Recht in Anspruch.

Doch wussten Sie überhaupt, dass die Meldeämter Ihre Daten ohne Ihr Einverständnis weitergeben dürfen? Nun, jetzt wissen Sie es und ich erkläre Ihnen was Sie dagegen tun können.

In einigen Fällen können die Bürger der Weitergabe widersprechen, zum Beispiel an Parteien, Bürgerinitiativen, Adressbuchverlage oder zur Direktwerbung. Dies geht ganz einfach mit einem Musterbrief (DOC-Datei für Word), welcher vom Bundesverband der Verbraucherzentralen zum Download angeboten wird.

Das Ausfüllen des Musterbriefs dauert keine 5 Minuten. Den ausgefüllten Musterbrief schicken Sie anschließend an Ihr zuständiges Einwohnermeldeamt. Fertig.

2 Klicks für mehr Datenschutz

Dem Heise-Artikel folgend habe ich neue Like-Buttons auf My-IT-Brain aktiviert. Diese sollen den Datenschutz stärken und müssen durch den ersten „Klick“ erst aktiviert werden, bevor man einen Artikel „liken“ kann.

Das Problem der alten Buttons war, dass sie schon beim Laden der Seite Daten an die Betreiber der Netzwerkplattformen übermittelten. Diese Daten enthalten unter anderem die URL, der aufgerufenen Seite, und eine Kennung, die einem Nutzer direkt zugeordnet werden kann, wenn er zeitgleich bei einer der Netzwerkplattformen angemeldet bzw. eingelogged ist. Details dazu erklärt der Heise Artikel Das Like-Problem.

Dieses Problem wird durch die neuen Like-Buttons vermieden. Durch den ersten Klick bestätigt ihr das ihr der Übertragung von Daten an das entsprechende Netzwerk zustimmt. Der zweite Klick führt dann die bekannte Like-Funktion aus.