Vorab: Unterschiedliche Gefahrensituationen erfordern unterschiedliche Massnahmen. Die hier gesammelten Anregungen können Menschen helfen, Datensammlern das Leben schwerer zu machen. Sie wären aber etwa für Aktivistinnen in autoritären Staaten nicht ausreichend, um ihre Spuren zu verwischen. Wichtig ist es deshalb, sich selbst Gedanken darüber zu machen, vor welchen Gefahren man sich eigentlich schützen möchte – und sich im Zweifelsfall professionelle Hilfe zu suchen. Eine Basissammlung wie diese hier ist immer fragmentarisch und kann nie vollkommene Sicherheit gewähren. Alltägliche Nutzerinnen sollten sich im Klaren sein, dass sie selbst ein bisschen Aufwand betreiben und mitdenken müssen, um sich selbst zu schützen. Nur weil ein Angebot von vielen Menschen genutzt wird, heisst es beispielsweise noch lange nicht, dass der Dienst sicher oder datenschutzfreundlich ist. Deshalb sollte man sich immer fragen, was eigentlich das Geschäftsmodell eines Dientes ist – gerade bei vermeintlich kostenlosen Angeboten.
Am schönsten wäre es natürlich, wenn alle zu Profis in Sachen digitaler Selbstverteidigung würden. Da das aber ein unrealistisches Szenario ist, sammeln wir hier zumindest ein paar Grundlagen für Internetnutzerinnen, die ihre Alltagskommunikation gegen Überwachung, kommerzielles Tracking und unbefugte Zugriffe schützen wollen. Allen, die sich noch tiefergehender mit Online-Schutz auseinandersetzen wollen, empfehlen wir zwei englischsprachige Leitfäden: Surveillance Self-Defense von der Electronic Frontier Foundation und Security in a Box von Tactical Tech und Front Line Defenders. Praktische Hilfe bieten die vielen Cryptoparties überall im Land.
Eigene Daten besser vor Facebook schützen
Zum Schutz der eigenen Privatsphäre wäre es besser, gar nicht erst auf Facebook zu sein. Wer es aber doch ist, sollte zumindest Schadensbegrenzung betreiben und den Umgang mit seinen Daten möglichst restriktiv einstellen. Dazu kann man einerseits in den Privatsphäre-Einstellungen einschränken, wer die eigene Kontaktliste sehen darf, ob man das eigene Profil über Suchmaschinen auffindbar ist oder ob man mit der eigenen Telefonnummer gefunden werden kann. Zudem sollte man mit den Daten seiner Freunde, Familie und Kollegen achtsam umgehen und – Stichwort Datenhöflichkeit – darauf verzichten, das eigene Adressbuch hochzuladen.In den Kontoeinstellungen lässt sich zudem eine Lücke schliessen, die Facebook aus monetären Gründen bewusst offen gelassen hat und beispielsweise Cambridge Analytica ausnutzen konnte.
Im Zuge der Einführung neuer Datenschutzeinstellungen hat Facebook nun auch in Europa seine umstrittene Gesichtserkennung gestartet. Das Verfahren basiert darauf, dass eine Software Fotos analysiert und für Gesichter individuelle Signaturen auf Basis ihrer Merkmale erstellt. Anhand dieser mathematischen Repräsentationen der Gesichter werden Personen dann auf beliebigen Fotos wiedererkannt. Da Facebook die Abfrage des Einverständnisse so gestaltet hat, dass das kaum jemand mitbekommt, sollte man dies in den Einstellungen prüfen. Der entsprechende Reiter heisst „Gesichtserkennung“.
Wichtig ist auch, sich nach der Nutzung von Facebook immer wieder auszuloggen, weil man es dem Unternehmen ansonsten sehr leicht macht, das komplette Surfverhalten mitzuschneiden. Das muss allerdings kein grosser Mehraufwand sein – mit einem Passwort-Manager kann man die Eingabe von Benutzernamen und Passwörter automatisieren.
Google unter Kontrolle halten
Der Internet-Gigant speichert über seine Suchmaschine, Kartendienste und zahlreiche andere Apps standardmässig eine erschreckend grosse Datensammlung über uns. Das gilt insbesondere für diejenige Nutzer, die über ihr Android-Handy ständig bei Google eingeloggt sind. Der digitale Fussabdruck lässt sich hier aber ein wenig einschränken.Als erster Schritt lässt sich die Personalisierung von Werbung über das Google-Netzwerk deaktivieren. Damit kann der Internet-Konzern nicht mehr die vielen persönlichen Daten, die er durch unsere Suchen und andere Aktivitäten erhält, für auf uns zugeschnittene Anzeigen seiner datenhungrigen Kunden verwenden. Auch bei Google sollte man sich möglichst zügig wieder ausloggen, wenn alles notwendige erledigt ist. Das muss allerdings kein grosser Mehraufwand sein – mit einem Passwort-Manager kann man die Eingabe von Benutzernamen und Passwörter automatisieren.
Die Nachrichtenseite Wired zählt weitere Schritte auf, um die Datenverwendung durch Google einzuschränken: Dazu zählt das Löschen aller alten Suchanfragen, die man selbst gestellt hat, sowie das Löschen aller gespeicherten Standortdaten. Das Standort-Tracking lässt sich zudem ganz ausschalten. Zudem sollte man als Google-Nutzer unbedingt die Liste der Apps von Drittanbietern durchgehen, denen man im Laufe der Jahre Zugriff auf das eigene Konto gewährt hat: Viele davon hat man längst vergessen, sie sollten wirklich nicht mehr auf die eigenen Daten zugreifen dürfen.
Für alle, die noch weiter gehen wollen, hat systemli.org gerade einen Leitfaden veröffentlicht, wie man Android-Smartphones von Google befreit.
Alternativen zu Facebook und Google
Viele Dienste von Facebook und Google lassen sich einfach durch andere Anbieter ersetzen, die nicht-kommerziell und offen sind und die Privatsphäre ihrer Nutzer besser wahren. Das gilt für E-Mail- und Messenger-Dienste ebenso wie Suchmaschinen – Hinweise dazu findet ihr weiter unten. Auch bei Sozialen Netzwerken gibt es dezentrale Alternativen zu Facebook, etwa Mastodon und Diaspora als bekannteste Vertreter.Es gibt zwar keine einzelne Plattform, die alle Funktionen von Facebook bietet. Wired hat jedoch eine Liste von Anbietern zusammengetragen, die datenschutzkonform einzelne Dienste für die meisten dieser Funktionen anbieten: Für den Newsfeed, Messenger-Dienste (mehr dazu unten), aber auch für Event- und Geburtstagserinnerungen, Gruppen und Logins bei Drittanbietern gibt es bessere Alternativen.
Google ist inzwischen praktisch ein Synonym für Online-Suche. Trotzdem gibt es gute Alternativen zum grossen Daten-Staubsauger. Die Privatsphäre der Nutzer schützt etwa Duckduckgo. Ein Angebot aus Deutschland ist die datenschutzfreundliche Meta-Suchmaschine MetaGer. Sie wurde an der Universität Hannover entwickelt und wird von einem gemeinnützigen Verein betreut. Eine weitere nicht-kommerzielle Alternative ist Searx. The Verge hat die Vorzüge der kleinen, feinen Suchmaschinen zusammengefasst:
«Die Möglichkeiten, das Tracking von Werbe-Netzwerken zu blockieren, ist dabei wahrscheinlich das wichtigste Feature. Diese Netzwerke werden von Firmen wie Google und Facebook dazu genutzt, Nutzern durch das Netz zu folgen und aus ihren Browser-Verläufen ein genaueres Profil für zielgerichtete Werbung zu basteln. Duckduckgo sagt, die eigene Software könne solche Tracker „entlarven und blockieren“. Wobei, im Katz-und-Maus-Spiel der Werbeindustrie gegen Privatsphäre-Technologie wird es nicht immer möglich sein, alle zu erwischen.» [Eigene Übersetzung]
Eine Möglichkeit zum Schutz der Daten ohne Verzicht auf Googles fortschrittliche Suchtechnologie bietet Startpage.com. Der Dienst erlaubt anonymisierte Suchen über Google.
Bei Passwörten kann man viel falsch machen. Ein einziges Passwort für alle Dienste nutzen, beispielsweise. Weil Unternehmen wie Dropbox oder Yahoo regelmässig Passwörter an Kriminelle verloren gehen, sollte man das auf keinen Fall tun. Schwache Passwörter, die nur aus einem Wort bestehen oder sehr kurz sind, können zudem leicht geknackt werden. Um ein halbwegs sicheres Passwort zu finden, gibt es mehrere Varianten. Die Electronic Frontier Foundation hat dazu eine Anleitung veröffentlicht, hier ein Auszug:
«Eine der vielen Schwierigkeiten, die Leute beim Aussuchen von Passwörtern haben, ist, dass die Leute nicht sehr gut dabei sind, eine zufällige und unvorhersagbare Auswahl zu treffen. Eine effektive Art zur Erstellung eines starken und leicht zu merkenden Passworts ist es, einen Würfel und eine Wortliste zu verwenden, um zufällig Worte auszuwählen. Zusammen bilden diese Wörter eine „Passphrase“. Diese Passphrase ist ein Typ Passwort, das länger und damit sicherer ist. Für Festplatten-Verschlüsselung und Passwortmanager empfehlen wir eine Auswahl von mindestens sechs Worten.» [Eigene Übersetzung]
Die einfache Handhabung besonders starker Passwörter ermöglichen Passwort-Manager. Damit lässt sich für jedes einzelne Benutzerkonto ein eigenes, langes und komplexes Passwort vergeben. Die Passwörter braucht man sich allerdings nicht mehr zu merken, das Programm füllt es jedes Mal automatisch aus. So ist der Mehraufwand, den man betreiben muss, um bei Diensten wie Facebook oder Google nicht immer eingeloggt zu bleiben, minimal. Mit einem Master-Passwort kann man viele Konten einfach sichern. Als besten Passwort-Manager des Jahres 2018 kürte die Seite Techradar kürzlich LastPass. Tactical Tech rät hingegen zu KeePassX.
Passwort-Manager sind sicherer, als für alle Seiten das selbe Passwort zu verwenden. Dennoch ist auch bei Passwort-Managern eine gewisse Vorsicht anzuraten: Sind sie freie Software, können zwar viele Augenpaare einen Blick auf die Qualität der Software werfen. Aber eine Sicherheitslücke in einem Passwort-Manager bedeutet eben auch, dass sich solch ein Fehler gleich auf alle darin gespeicherten Passwörter auswirken kann. Auch das von Techradar jetzt als Gewinner gekürte LastPass kam 2016 bereits in die Kritik, und es war auch nicht das erste Mal. Es empfiehlt sich in jedem Fall, aufmerksam zu sein und sich regelmässig über Sicherheitsschwankungen in jeder Software zu informieren, die wichtige Daten bewacht.
Messenger
Gewöhnliche SMS liegen de facto im Klartext beim Telefonanbietern vor und werde auch gespeichert. Beim Transport über die Mobilfunknetze werden sie verschlüsselt, allerdings ist der Verschlüsselungsstandard veraltet und gebrochen. Im Rahmen der Vorratsdatenspeicherung sollen SMS von vielen Anbietern komplett vorgehalten werden. Sie stellen also alles andere als die Privatsphäre der Nutzer sicher.Auch das vielgenutzte WhatsApp sendet zwar verschlüsselt und ist damit sicherer als SMS, doch der Dienst gehört Facebook und der Konzern erntet die Metadaten der Nutzer für kommerzielle Zwecke. Darum rät inzwischen sogar WhatsApp-Gründer Brian Acton dazu, auf Facebook und seine Produkte zu verzichten. Doch zum Glück gibt es gute Alternativen unter den Messenger-Diensten.
Die Signal-App
Beliebt in der Welt der Überwachungsvermeider ist etwa der Messaging-Dienst Signal. Er wird unter anderem vom NSA-Whistleblower Edward Snowden empfohlen. Wired schreibt, dass Signal zwar im Unterschied zu WhatsApp oder Telegram keine coolen Sticker oder Bonus-Emojis bietet, aber einfach auf dem Handy und auch dem Desktop zu verwenden ist:«Signal hat auch einige zusätzliche Sicherheits-Features, die praktisch sind, wenn man Überwachung vermeiden möchte. Dazu gehört die Möglichkeit, Nachrichten nach einer gewissen Zeit automatisch zu löschen. Auch kann Signal für Sprach- und Videoanrufe verwendet werden, gleich wie beim Messenger [von Facebook]. Es gibt absolut keine Werbung, und die App sammelt keine persönlichen Daten.» [Eigene Übersetzung]
Noch mehr Anonymität verspricht die Schweizer Messenger-App Threema. Diese lässt sich ohne Registrierung oder Verbindung mit Telefonnummer oder Mailadresse nutzen. Alle Daten werden verschlüsselt auf dem lokalen Gerät gespeichert und am Server sofort nach Zustellung gelöscht. Allerdings ist die Software nicht durchgängig Open Source, es bleibt also die Vertrauensfrage in den Anbieter.
Eine weitere Alternative ist der offene Standard XMPP, auch als Jabber bekannt. XMPP setzt wie E-Mail auf ein föderiertes Netzwerk und stellt somit einen Kompromiss zwischen komplett zentralen und reinen Peer-to-Peer-Netzwerken dar. Unserer Leserinnen und Leser empfehlen zudem Wire, Briar Riot und das XMPP-basierte Conversations.
Browser und Plug-Ins
Den perfekten Privatsphäre-sensiblen, aber massentauglichen und betriebssystemübergreifenden Browser gibt es leider nicht. Erst mit den richtigen Einstellungen und Erweiterungen schützen manche Browser die Privatsphäre ihrer Nutzer besser. Ohne eine endgültige Empfehlung abgeben zu wollen, finden sich viele solcher Add-Ons, etwa uBlock Origin, für die Marktführer Firefox und Chrome. Für letzteren lässt sich Hersteller Google jedoch seit einiger Zeit das Recht einräumen, die über den Browser gesammelte Daten inklusive Surfhistorie mit anderen Informationen, die das Unternehmen über seine Nutzerinnen speichert, zusammenzuführen und auszuwerten. Guten Schutz beim Surfen gewähren auch httpseverywhere und uMatrix (für Fortgeschrittene). Auf jeden Fall sollte man es vermeiden, andauernd in Dienste aller Art eingeloggt unterwegs zu sein.In unserem How-To „So schützt du dich und deinen Browser“ bieten wir einen umfassenderen Überblick, wie man im eigenen Browser halbwegs die eigene Privatsphäre sichern kann. Auch für Mobilgeräte gibt es Browser, die die eigene Privatsphäre besser wahren als etwa der bei Android vorinstallierte Google-eigene Browser Chrome. So gibt es Chrome-Klone, die auf problematische Bestandteile des Originals verzichten, etwa die Linux-Variante Chromium. Wir empfehlen für Android und iOS Firefox Focus (hierzulande auch als Firefox Klar bekannt) als datenfreundlichsten Browser. Apple-Nutzer können zudem auch den mitgelieferten Safari mit einem Content-Blocker verwenden oder gleich den Browser Brave, den es mittlerweile auch für den Apple-Desktop gibt.
Ein machtvolles Werkzeug zum Schutz der eigenen Privatsphäre ist der Tor Browser. Die Software leitet den eigenen Internetverkehr verschlüsselt durch ein zwiebelartiges Netzwerk an Servern und verhindert damit, dass irgendwer die eigenen Schritte nachverfolgen kann. Die Webseite Lifehacker schreibt dazu:
«Tor ist nützlich für jeden, der seine Aktivität im Internet vor der Werbeindustrie, Internetprovidern und Webseitenbetreibern schützen möchte. Gleiches gilt für jene, die Zensurbestimmungen in ihrem Land umgehen möchten, […] und jeden, der nicht möchte, dass sein Surf-Verhalten mit ihm in Verbindung gebracht wird.» [Eigene Übersetzung]
Der Nachteil des Tor-Browsers: Mit ihm surft man etwas langsamer, da jedes Stück Information nur über Umwege verschickt werden kann. Dafür ist man damit relativ anonym im Internet unterwegs, selbst wenn auch dieser keine absolute Sicherheit gewährleisten kann und noch einige Angriffs-Vektoren übrig bleiben. Anders als noch vor einigen Jahren ist aber die Verlangsamung nicht mehr so auffällig, sofern man nicht seine gesamte Zeit auf Videoportalen verbringt.
Mit Orbot und Orfox gibt es inzwischen auch eine Möglichkeit, Tor auf Android-Geräten mobil zu nutzen.
VPN für mehr Schutz in offenen Netzen
VPN steht für Virtual Private Network. Mit einem VPN-Client lässt sich nicht nur weitgehend anonym surfen, sondern auch bei anderen Online-Aktivitäten die eigene Identität verschleiern. Das ist vor allem wichtig, wenn man in offenen WLANs unterwegs ist, wo der Betreiber den Datenverkehr mitüberwachen kann. VPN-Software leitet sämtlichen Verkehr zunächst vom eigenen Gerät verschlüsselt zum Server des Anbieters und von dort ins Netz. Auch kann man durch VPN-Server vorgeben, aus einem bestimmten Land zu sein, und dadurch Geoblocking umgehen.Manche VPN-Anbieter versprechen ihren Nutzern, ihre Zugriffsdaten nicht zu speichern und dadurch ihre Anonymität zu wahren. Aber Obacht: Wenn der gesamte Internetverkehr durch einen VPN-Anbieter getunnelt wird, versetzt das diesen in eine besonders wichtige Lage und macht ihn zu einem attraktiven Ziel. Das Anbieter von VPN-diensten selbst nicht mitlesen, gilt bei weitem nicht für alle VPN-Anbieter, etwa den entsprechenden Dienst von Facebook. Auf keinen Fall sollte man daher Gratis-Lösungen nutzen. Im Umfeld von netzpolitik.org werden beispielsweise IPredator oder F-Secure verwendet. Am sichersten ist aber immer noch, den VPN über einen eigenen Server zu betreiben.
Staaten wie China, Russland und der Iran schränken die Nutzung von VPN-Diensten stark ein. Das sollte man vor einem Reiseantritt bedenken. Auch gilt es bei der Verwendung von VPN-Diensten und Tor-Browsern zu bedenken: Sobald man sich im Browser irgendwo einloggt, ist es – zumindest gegenüber dem verwendeten Dienst – vorbei mit der Anonymität.
Mail-Verschlüsselung
Der sichere Standard für den E-Mail-Verkehr ist Ende-zu-Ende-Verschlüsselung mit OpenPGP. Die Software erlaubt seit mehr als zwei Jahrzehnten den Austausch von praktisch nicht knackbaren Mails mittels öffentlicher und privater Schlüssel. Die Handhabung der privaten Schlüssel will jedoch bedacht sein, denn die Sicherheit steht und fällt damit, wie sicher diese Schlüssel aufbewahrt sind. Das gilt unabhängig von Mail-Verschlüsselung für alle kryptographischen Schlüssel. Werden einem beispielsweise das Mobiltelefon oder der Laptop geklaut und man hat keine Festplattenverschlüsselung, dann sind auch private kryptographische Schlüssel kompromittiert.In den vergangenen Jahren hat frei verfügbare Software wie Enigmail für das Mail-Programm Thunderbird den Zugang zur E-Mail-Verschlüsselung selbst für technische Laien erleichtert. Eine Anleitung zum Aufsetzen von OpenPGP an einem Windows-PC findet man hier.
Für Macs gibt es das Open-Source-Tool GPG, ein Plugin für das mitgelieferte Apple Mail. Allerdings kann die Geschwindigkeit der Updates für GPG nicht immer mit der des Apple-Konzerns mithalten, darum sollte vor einem Betriebssystem-Update immer geprüft werden, ob schon eine kompatible Version der Verschlüsselungssoftware dafür existiert.
Datenminimierung
Das Prinzip der Datenminimierung bedeutet, dass ein Dienst nur so viele Daten speichert, wie nötig. Es schützt Nutzer vor dem wahllosen und unkontrollierbaren Verarbeiten von personenbezogenen Daten ohne bestimmten Zweck. Das Prinzip ist durch die Datenschutz-Grundverordnung der EU und deutsche Datenschutzgesetze festgelegt. Als Nutzer kann man jedoch zusätzlich dafür sorgen, nicht mehr über sich preiszugeben als unbedingt notwendig.Etwa muss man nicht überall seine richtigen Daten angeben. Das kennt man schon aus Alltagssituationen: Wer beim Takeaway-Laden einen Kaffee oder eine Pizza bestellt, darf für die Lieferung ruhig einen Namen erfinden. Selbes gilt im Web – auch dort kann man häufig ein Pseudonym seiner Wahl verwenden. Anbieter von kostenlosen E-Mail-Diensten möchten oft, dass neue Nutzer seitenweise Angaben über sich selbst ausfüllen. Dabei gibt es aber keine rechtliche Verpflichtung, wahrheitsgemäss zu antworten. In manchen Fällen können solche Antworten sogar dabei helfen, Klickfallen zu vermeiden.
Sicherheitsupdates zügig einspielen
Generell sollte man Sicherheitsupdates so schnell wie möglich einspielen, um möglichst auf der sicheren Seite zu bleiben. Das gilt sowohl für einzelne Software-Pakete als auch für das Betriebssystem an sich, auch auf dem Mobiltelefon. Doch während das auf dem Desktop relativ einfach fällt, macht sich bei mobilen Plattformen eine ärgerliche Fragmentierung bemerkbar.Apple macht Sicherheitsupdates für alle halbwegs aktuellen Geräte gleichzeitig verfügbar. Das ist lobenswert, hat allerdings seinen wortwörtlichen Preis. Für Handys mit dem Android-Betriebssystem des Marktführers Google ist die Lage etwas weniger überschaubar: Hunderte verschiedene Hersteller statten ihre Geräte mit angepassten Versionen von Android aus. Viele dieser Betreiber geben die neuesten Updates nur für eine gewisse Zeit weiter, danach werden Sicherheitslücken nicht mehr geschlossen. In den Niederlanden läuft deswegen sogar eine Klage gegen Samsung.
Als Kunde sollte man darauf achten, welche Telefone regelmässige Updates erhalten. Das ist schon allein deshalb wichtig, weil manche Händler in Deutschland und Österreich noch Geräte verkaufen, für die es überhaupt keinen Support mehr gibt. Ein Handy ohne aktuelle Sicherheitsupdates ist anfälliger für Angriffe.
Hol dir deine Daten zurück
Facebook, Tinder, WhatsApp, Onlinebanking, Lieferservice – die eigenen Datenspuren im Blick zu behalten, ist heute kaum noch möglich. Helfen kann eine Datenauskunft bei Unternehmen, die Informationen über uns gespeichert haben. Denn wir alle haben das Recht, eine solche Auskunft anzufordern.Einfacher wird die Datenauskunft durch die Ende Mai in Kraft tretende Datenschutz-Grundverordnung der EU: Sie verpflichtet Unternehmen dazu, ihren Nutzern Online-Formulare zur Verfügung zu stellen und die Daten in einem maschinenlesbaren Format zu liefern, etwa in Form von csv-Dateien.