von U. Selva & J. Selzer
Digitale Selbstverteidigung
Sicherer Umgang mit Daten und digitaler Technik
Lizenz: Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen
Bild: 8photo/Freepik
1. Motivation
Überwachungskapitalismus
Buch: Shoshana Zuboff: Überwachungskapitalismus Wikipedia-Artikel zum Buch: APuZ-Essay von Zuboff
Zuboff hat den Begriff „Überwachungskapitalismus“ geprägt. Darunter versteht sie:
- Unser Verhalten wird (auch gegen unseren Willen) möglichst umfassend überwacht und aufgezeichnet mit dem Ziel, es zu monetarisieren.
- Dazu werden unsere Daten (auch gegen unseren Willen) verkauft und weitergegeben.
- Ziel: Nicht nur Vorhersage unseres Verhaltens, um daraus möglichst große monetäre Gewinne zu ziehen, sondern auch dessen Steuerung und Manipulation.
- Der Überwachungskapitalismus erzeugt gleichzeitig neue Daten und neue Abhängigkeiten.
Aber Zuboff konstatiert auch:
„Überwachungskapitalismus ist Menschenwerk“, also auch durch Menschen gestaltbar (wenn der gesellschaftliche Wille dazu vorhanden ist).
Digitale Selbstverteidigung
Die Konzerne des Überwachungskapitalismus bewegen sich so schnell und geschickt in rechtlichen Grauzonen und leider oft auch durch bewusste Übertretung von Gesetzen, Moral und Anstand, dass die Gesellschaft mit politischen Regelungen und langsamen juristischen Entscheidungen nicht Schritt halten kann. Daher bleibt den einzelnen Menschen nichts übrig, als selbst aktiv zu werden, um die Selbstbestimmung über ihre Daten zumindest ein stückweit wieder zurück zu erlangen.
2. Freie Software / Freie Lizenzen
Freie Software
Freie Software ist Software, die ihren Nutzer:innen die folgenden vier Freiheiten gewährt:
- Verwenden
Die Freiheit, die Software uneingeschränkt und für jeden Zweck einzusetzen. - Verstehen
Die Freiheit, die Funktionsweise der Software untersuchen und verstehen zu können. - Verbreiten
Die Freiheit, Kopien der Software zu verbreiten, um damit seinen Mitmenschen zu helfen. - Verbessern
Die Freiheit, die Software zu verbessern und die Verbesserungen an die Öffentlichkeit weiterzugeben, sodass die gesamte Gesellschaft davon profitieren kann.
Missverständnisse Freie Software
Das Wort frei ist sowohl im Deutschen als auch im Englischen missverständlich. Hier wird es im Sinne von Freiheit verwendet, nicht im Sinne von kostenlos: Free as in free speech, not as in free beer!
Um diese Ambiguität zu vermeiden wird synonym für Freie Software auch der Begriff FLOSS verwendet (Free/Libre Open-Source Software). Das französiche Wort libre (Freiheit) kann nicht mit dem Wort gratuit (kostenlos) verwendet werden.
Es sei jedoch erwähnt, dass freie Software in aller Regel auch kostenlos ist. Aber das ist nur ein Nebeneffekt und nicht die zentrale Eigenschaft.
Freie Software-Lizenzen
Freie Software ist nicht Software ohne jegliche Lizenz! Sie unterliegt z.B. dem so genannten Copyleft. Das Wort Copyleft ist zwar einerseits ein Wortspiel, aber durch die Lizenz andererseits auch juristisch bindend!
Eine der bekanntesten Freie Software Lizenzen ist die GPL (GNU Public Lizenz), weitere sind die BSD-Lizenz, die MIT-Lizenz, die Mozilla Public Licence, die Apache-Lizenz u.v.m.
Proprietäre Software
Nicht freie Software wird Proprietäre Software genannt. Synonyme Bezeichnungen sind:
Freie Software | Proprietäre Software |
---|---|
Free Software | Freeware |
FLOSS | Shareware |
Open-Source Software ist Software, deren Quelltext veröffentlicht wird. Dies ist zwar nötig für die o.g. Freiheiten, aber nicht hinreichend.
CC-Lizenzen
Creative-Commons (CC)-Lizenzen sind den Freien-Software-Lizenzen nachempfunden und angepasst auf allgemeinere Werke wie Musikstücke, Videos, Photos usw. CC-Lizenzen lassen sich optional einschränken auf die folgenden Bedingungen:
- CC0: No rights reserved
- BY: Namensnennung
- SA: Share Alike
- NC: Non Commercial
- ND: No Derivative
Beispiele für CC- und Freie-Kultur-Lizenzen
- Wikipedia
- Open Street Map (OSM)
- OER (Open Educational Ressources)
- inf-schule.de
Freie Datenformate
Da der Quelltext freier Software veröffentlicht ist, hat diese den Vorteil, dass die zugehörigen Dateiformate automatisch auch frei sind. Damit steigen die Chancen, dass Dateien und Daten auch in der Zukunft noch lesbar sein werden. So genannte Lock-in-Effekte, durch die Nutzer:innen von einer bestimmten Software abhängig gemacht werden, werden auf diese Art vermieden.
3. Grundsätzliche Computersicherheit
Um eine grundsätzliche Computersicherheit zu erlangen, sollten die folgenden Punkte unbedingt berücksichtigt werden:
- Das Betriebssystem durch regelmäßige Updates aktuell halten.
- Ebenso Anwendungsprogramme aktuell halten.
- eine vertrauenswürdige Emailanbieterin wählen.
- Keine Virenscanner verwenden. (Außer es besteht eine rechtliche Verpflichtung dazu…)
- Das Threadmodel beachten.
- Backups, Backups, Backups…
4. Passwörter / Passwortverwaltung
Passwörter / Passphrasen
Passwörter sind auch heute noch oft der entscheidende Schutz für Dienste im Internet und private Endgeräte. Dabei sollte beachtet werden:
- auf ausreichende Komplexität achten (mindestens 75 Bit Entropie bei exponierten Diensten und Geräten)
- überall unterschiedliche Passwörter
- Passphrasen in Erwägung ziehen, wie z.B. das Diceware-Verfahren
- 2FA für exponierte Dienste verwenden
- Emailkonten sind exponierte Dienste, da dort oft die Fäden zusammenlaufen
- Fallstricke beachten
- gute Passwörter/Passphrasen nicht unbedingt regelmäßig ändern
Passwort-Manager
Zur Erzeugung und Verwaltung von Passwörtern können Passwortmanager verwendet werden. Als vertrauenswürdig gelten die folgenden Programme der Keepass-Familie (die ein untereinander kompatibles Datenformat verwenden):
- KeepassXC (FLOSS): Infos, Download (für Linux, Mac, Windows)
- KeepassDX / Magic Keyboard (für Android)
- KeePassium (für iOS)
Der Heise-Verlag hat in der c’t 5/2021 S.24 25 Passwortmanager auf Tracker und Datenschutz untersucht. Der Artikel ist leider hinter einer Paywall, aber Spoiler: Überraschend viele der untersuchten Passwortmanager enthalten Tracker und missachten grundsätzlichen Datenschutz.
Where to go
Wer sich vertieft mit Passwörtern beschäftigen möchte, wird z.B. hier fündig.
5. Verschlüsseln von Daten
Container-Verschlüsselung
Veracrypt (FLOSS): Infos, Download
Veracrypt ist ein Fork des nicht mehr weiterentwickelten und unter mysteriösen Umständen eingestellten Truecrypt. Truecrypt daher nicht mehr verwenden!
Festplattenverschlüsselung
Alle Betriebssysteme bieten inzwischen, die Möglichkeit, die gesamte Festplatte zu verschlüsseln:
- LUKS (Linux)
- BitLocker (Windows)
- FileVault (Mac)
Bei Verkauf/Entsorgung von Datenträgern wird einfach das Passwort neu und sehr komplex gesetzt, et voilá!
Cryptomator
There is no cloud, just other people’s computers.
Werden Daten über eine Cloud (also anderer Leute Computer!) synchronisiert, so kann die Verschlüsselungs-Software Cryptomator (Infos, Download) verwendet werden.
Cryptomator ist FLOSS und plattformübergreifend (Windows, macOS, Linux, Android, iOS).
7zip
7zip ist ein Programm, mit dem Dateien oder ganze Ordner komprimiert werden können. Dabei kann ein Passwort gesetzt werden, um den Inhalt des zip-Archives zu schützen.
6. Surfen
Browser
Internetbrowser sind äußerst komplexe Software, die zusätzlich auch natürlich äußerst exponiert gegenüber dem Intenet ist. Deshalb sollten Browser unbedingt durch regelmäßige Updates aktuell gehalten werden.
Empfehlungen für Browser (FLOSS, plattformübergreifend):
- Firefox
- Chromium (ein von Google befreiter Chrome)
Der Feind von Sicherheit ist Komplexität, deshalb zumindest für sensible Passwörter lieber ein dedizierten Passwortmanager wie KeepassXC verwenden als den Passwortmanager des Internetbrowsers.
Plugins
Grundsätzliche Empfehlung: Nicht zu viele Plugins verwenden! Denn wie bereits erwähnt, ist Komplexität der Feind von Sicherheit und zu viele Plugins erleichtern auch das Tracking über Browser-Fingerprinting.
Empfehlenswert sind aber u.a. die folgenden Plugins:
- Werbeblocker: uBlock Origin
- Javascript-Blocker: Noscript
Ein Werbeblocker wie uBlock Origin ist nicht nur deshalb empfehlenswert, weil Werbung nervig ist. Der eigentliche Grund ist, dass Werbung im Internet so genannte Werbetracker enthält, über die das Verhalten einer Nutzerin auch über unterschiedliche Webseiten verfolgt werden kann.
Anonymes Surfen mit dem Torbrowser
Der Torbrowser ist ein speziell konfigurierter Browser zum Zugriff auf das Tornetzwerk.
Der Torbrowser kann verwendet werden um:
- über drei anonymisierende Zwischenstationen auf herkömmliche Webseiten zuzugreifen.
- auf Webseiten zuzugreifen, deren URL auf .onion endet, also so genannte Hidden Services.
Aber Achtung: Die Verwendung des Torbrowsers schützt nicht automatisch vor Viren und Trojanern.
7. Fediverse
Fediverse ist ein Kofferwort aus Federation und Universe.
Das Fediverse ist dezentral organisiert, so dass man sich eine passende Instanz aussuchen kann. Es gibt keinen zentralen Serverbetreiber, der den Dienst zentral abschalten könnte.
Die eigenen Daten inklusive der eigenen Follower:innen kann man jeweils leicht exportieren, so dass man problemlos zu einer anderen Instanz wechseln kann, sollte man mit der eigenen einmal unzufrieden sein oder sollte die eigene Instanz abgeschaltet werden.
Eine Übersicht über ähnliche Dienst bietet die folgende Tabelle:
Fediverse | zentraler Anbieter |
---|---|
Mastodon, GNU Social | |
Diaspora, Friendica | |
Peertube | Youtube |
PixelFed | |
Nextcloud | Dropbox |
Über das Protokoll Activity Pub können auch unterschiedliche Dienste im Fediverse miteinander kommunizieren.
Beispiel für einen Mastodon-Account
Der Mastodon-Account der Autorin Katharina Nocun lautet
https://chaos.social/web/@kattascha.
Mastodon ist eine Microblogging-Platform ähnlich wie Twitter, aber mit scheinbar subtilen Unterschieden, die für einen deutlich freundlicheren und konstruktiveren Umgangsweise untereinander sorgen:
- 500 Zeichen
- keine Suche in Profilen
- keine kuratierte Timeline (die polarisierende Posts bevorzugen würde)
8. Instant Messenger
Signal
- FLOSS
- sehr einfach zu installieren
- an die Telefonnummer gebunden
- zentraler Server
Signal wird ausführlich z.B. hier auf dem Kuketz-Blog für Internetsicherheit besprochen.
Matrix
Matrix ist lediglich ein Protokoll (genau wie Email). Daher ist genau wie bei Email nötig, sich zunächst bei einer (dezentralen) Instanz seiner Wahl, einen Account zu erstellen.
Hier findet sich eine Liste von Matrix-Servern (Auswahl). Der deutsche Anbieter Tchnics ist recht beliebt (nach eigenen Angaben betieben von einer Privatperson).
Auf dieses Konto kann man dann mit verschiedenen Client-Programmenzugreifen. Bliebte Client sind z.B.
– Element
– SchildiChat
– FluffyChat
Eine ausführliche Anleitung zur Verwendung von Matrix findet sich z.B. auf dem Kuketz-Blog für Internetsicherheit.
Tipp
Die Einrichtung der Schlüsselsicherung nicht überspringen. Wenn man die Schlüssel verliert, kommt man seine eigenen Nachrichten wegen der Ende-zu-Ende-Verschlüsselung sonst nicht mehr lesen.
XMPP
Ebenso wie bei Matrix ist XMPP lediglich ein Protokoll (der alte Name dafür war übrigens Jabber). Daher ist auch hier nötig, sich zunächst bei einer (dezentralen) Instanz seiner Wahl, einen Account zu erstellen.
Auch hier bietet der deutsche Anbieter Tchncs einen XMPP-Zugang an (nach eigenen Angaben betieben von einer Privatperson). Hier findet sich die .onion-Adresse der XAMPP-Instanz von Tchncs.
Beliebte Clients für XMPP sind z.B.
– Gajim
– blabber.im
– Conversations
Eine ausführliche Anleitung zur Installation und Verwendung von Conversations findet sich z.B. auf dem Kuketz-Blog für Internetsicherheit.
Hier gibt es für einige Server eine analyse, welche features sie unterstützen.
Weitere Messenger
Weitere Instant-Messenger (Threema, Telegram, Wire, Delta Chat, Briar) werden z.B. in der Artikelserie über Messenger des Kuketz-Blog besprochen.
9. Where to go / Sonstiges
The Amnesic Incognito Live System (Tails)
Das Betriebssystem als Rundum-Paket zur Verschlüsselung zum Starten von einem USB-Stick.
Kuketz-Blog on IT-Security
Viele weitere Tipps rund um das Thema Sicherheit im Internet finden sich auf dem Blog von Mike Kuketz zur Internetsicherheit.
Cryptoparties
Cryptoparties sind eine Graswurzelinitiative und werden in vielen Städten als ehrenamtliche Veranstaltungen rund um das Thema Datensicherheit und Verschlüsselung durchgeführt.
Weitere Infos, Ort und Termine finden sich auf cryptoparty.in#
Präsentation zum downlaod: