Digitale Selbstverteidigung

Ich will Sicherheit und Datenschutz voranbringen. Das wollen andere auch, und unter dem Stichwort Digitale Selbstverteidigung findet man unter anderem Anleitungen von:

Auch bei NOYB None Of Your Business – European Center for Digital Rights habe ich nachgesehen, die nehmen aber eine Sonderrolle ein, denn NOYB engagiert sich nur für unsere Rechte entlang der DSGVO und erwartet nichts vom Betroffenen außer sich zu beschweren.

Zwischen den Themen, Erläuterungen und Anleitungen gibt es viele Überschneidungen, aber auch gravierende Unterschiede, die ich im folgenden unter die Lupe nehmen will. Bestimmt habe ich auch einige Artikel und Stellen übersehen, denn natürlich hat jeder seine eigene Strukturierung und Historie. Ich unterscheide zwischen Fehlstelle, wenn mir wesentlich erscheinende Information fehlt, und Kritik, wenn ich etwas ergänzen oder widersprechen will. Und ganz am Ende eine Zusammenfassung und Manöverkritik.

Überblick

Fehlstelle: Wem kann ich vertrauen?

Dieser Abschnitt wurde am 30.08.2022 hinzugefügt.

Vertrauen entsteht oder verdient man sich im realen Leben. Im Internet kann jeder eine falsche Identität aufbauen oder benutzen und mir irgendetwas vormachen – als Unternehmen oder als Individuum. Daran ändern auch die Verifikationen unten nichts. Wirklich ändern würde sich daran etwas, wenn im Internet überall eine starke Authentifizierung vorgeschrieben wäre, wie das tatsächlich in China aufgrund des chinesischen Cyber-Security-Laws von Behörden angeordnet werden kann. Und im realen Leben ergänzt durch Videoüberwachung im öffentlichen Raum. China ist halt ein Überwachungsstaat. Wollen wir das auch in Europa? Ich denke wir wollen das nicht, und bisher haben auch unsere Gerichte immer gegen anlasslose Überwachung aka Vorratsdatenspeicherung entschieden. Damit bleibt aber immer ein Risiko, dass uns jemand etwas vormacht – egal ob an der Haustür oder im Internet. Vertrauen entsteht dann, wenn das im Internet bestellte Paket tatsächlich geliefert wird und es dann vielleicht auch noch mit Rückgabe oder Gewährleistung klappt.

Fehlstelle: Die wichtigsten Mechanismen, Authentifizierung und Verschlüsselung

Jeder sollte verstanden haben, dass Verschlüsselung wichtig ist. Bei Kommunikation kann sonst jeder an der langen Leitung mitlesen, beim Speichern jeder lesen sobald er den Datenträger in die Finger bekommt. Authentifizierung ist aber genauso wichtig, denn sonst vertraue ich bei der Kommunikation möglicherweise vertrauliche Daten einem Unbekannten an oder bekomme Daten von einem Betrüger. Die verbreitetsten Authentifizierungsverfahren sind Zertifikate für Dienste, z.B. Webangebote, und Passwörter für Benutzer. Passwörter haben leider Ihre Probleme, aber Zertifikate für Personen haben sich leider nur in Nischen etabliert. In der Praxis wird also das Webangebot meist per Zertifikat authentifiziert, der Benutzer an seinem Passwort, meist ergänzt mit anderen Zutaten wie Mehrfaktor- oder Mehrschrittauthentifizierung oder Session-Cookies auf die hier nicht weiter eingegangen werden muss.

Ein fundamentaler Unterschied der beiden Authentifizierungsverfahren ist, dass bei einer Authentifizierung mit Zertifikat der private Schlüssel nie übertragen wird, sondern man nur mittels kryptographischer Verfahren beweist, dass man ihn kennt. Anders beim Passwort: das wird heute zwar fast immer verschlüsselt übertragen, aber das Webangebot liest es mit, und könnte es auch missbrauchen. Daher sollte man nie das gleiche Passwort für verschiedene Anbieter verwenden. Hätte jeder Benutzer auch ein Zertifikat, könnte er das auch überall verwenden, ohne seine Sicherheit einzuschränken, aber weil dann alle Angebote genau die gleiche Identität sehen würden, will man das dann auch nicht.

Wird bei einem Webangebot https verwendet, dann authentifiziert sich der Server über sein Zertifikat beim Browser. Geht dabei etwas schief, oder wird nur mit http, also ohne Verschlüsselung kommuniziert, dann melden moderne Browser das. Wird bei einem Webangebot kein Passwort verlangt, dann sind die dargestellten Informationen wohl öffentlich – wie z.B. die Wettervorhersage. Anders bei Email, da ist Authentifizierung leider noch nicht selbstverständlich – siehe Email-Verschlüsselung und Email Sicherheit – der Test.

Wie man das ganze realisiert und kombiniert muss der Benutzer in der Regel nicht vollständig verstehen. Nur dass es diese beiden Zutaten braucht – das sollte jeder verstehen.

Fehlstelle: Multiple Identitäten und Pseudonyme (Schizophrenie)

Jetzt haben wir ja schon verstanden, dass wir uns an vielen Stellen identifizieren und authentifizieren müssen, aber es gibt überhaupt keinen Grund dabei überall die gleiche Identität zu verwenden. Genau, die Datenschutzgrundverordnung erlaubt und wünscht Pseudonymisierung und jeder sollte das auch nutzen. Das erschwert – abgesehen von Tracking, auf das noch weiter unten eingegangen wird – den Datensammlern die Zusammenführung von Informationen. Klingt nach Schizophrenie? Genau. Wir sollten unsere Rollen auseinanderhalten, wie ich das auch schon in Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation geschrieben habe – nur im privaten Bereich noch viel, viel extremer. Immer wenn wir irgendwo einen Benutzer anlegen, meist in dem wir bei einer Registrierung Emailadresse und Passwort eingeben, sollten wir überlegen, ob es nicht eine andere Identität sein kann und sollte. Wenn man keine Emails erwartet, dann tut es eine Wegwerf-Emailadresse, ansonsten gibt es genügend Anbieter kostenloser Emailadressen. Es muss ja nicht unbedingt Google oder ein werbefinanzierter Dienst sein – auch dazu mehr weiter unten. Notfalls tut es auch ein Alias oder eine Subadresse nach RFC 5233, die gerne auch als Tagged Email bezeichnet wird. Bei Zertifikaten könnte man leicht mehrere verwenden.

Kritik: Ein Login für viele Dienste: bequem oder gefährlich?, Tracking durch Identitätsprovider

digitalcourage: ein wirklich guter Artikel. Nur fehlt der Hinweis darauf, dass mit Single-Sign-On nicht nur Sicherheit und Datenaustausch ein Problem ist, sondern eben auch ein sehr umfangreiches Tracking ermöglicht wird, weil man immer mit einer Identität unterwegs ist. Das beschreibt Kuketz sehr deutlich in seinem Artikel. Pseudonyme – siehe oben – sind nicht vorgesehen, aber was anderes haben wir bei Google und Facebook auch nicht erwartet, oder? Die anderen Anbieter sind halt auch nicht besser. Also besser lassen, da sind wir uns einig.

Kritik: Sicherheit beginnt mit starken Passwörtern, Passwörter und Passwort-Manager, Sicheres Passwort wählen: Der Zufall entscheidet

Richtig sind bei digitalcourage die ersten beiden Punkte mit drei Empfehlungen (!) zu lang/komplex, nirgendwo doppelt verwendet, und zum Passwortmanager. Danach würde ich unterscheiden: ich brauche um mich am PC anzumelden oder den Passwortmanager zu öffnen ein Passwort das ich mir merken und zuverlässig eingeben kann und beim Zusehen auch keiner alles mitbekommt. Dazu passt die Empfehlung lange Wörterreihe gut, und ja bitte auch Sonderzeichen, aber nicht unbedingt solche die je nach eingestellter Sprache auf der Tastatur wandern.

Für die Passwörter die ich im Passwortmanager verwalte, gilt das nicht, die muss ich mir nicht merken sondern kopiere ich nur noch. Da kann ich genauso gut generierte Zeichenketten verwenden, z.B. 20 Zeichen bunt gemischt aus Buchstaben, Ziffern und optional Sonderzeichen. Ob man den Generator mit oder ohne Sonderzeichen konfiguriert ist fast egal, denn es gibt leider immer noch Angebote, die keine Sonderzeichen akzeptieren, und andere die welche erfordern. Also klemmt es immer Mal, manchmal auch an der Anzahl Zeichen die gefordert oder maximal erlaubt sind. Also im Zweifelsfall austesten und dann erst speichern.

Eine Regel fehlt leider. Wenn ein Passwort kompromittiert wurde, sei es weil der Anbieter eine Datenpanne hatte oder weil man das Passwort ins falsche Feld eingegeben/kopiert hat und jemand anderes zugesehen hat, dann unbedingt ändern.

Eine oft gesehene Regel fehlt und darf fehlen. Man sollte Passwörter nicht ändern, nur weil drei oder sechs Monate vergangen sind. Das bringt bei den Passwörtern die komplex genug sind gar nichts, und die Erzwingung von Änderungen führt dann meist dazu, dass man nur Kleinigkeiten ändert – zumindest wenn man es sich merken und eingeben muss. Passwörter ändern ist also veraltet und wird allenfalls dann praktiziert, wenn ich nicht darauf vertrauen kann, dass die anderen Regeln eingehalten werden.

Der Artikel bei Kuketz ist eindeutig der mit dem besten warum und der besten Anleitung, aber mir fehlen die klaren Regeln, die sind in der Anleitung versteckt.

digitalcourage und Kuketz empfehlen KeePassXC, ich habe bisher immer KeePass empfohlen. Vergleiche wie KeePass vs KeePassXC existieren, da muss wohl jeder selbst entscheiden was einem wichtiger ist. Ärgerlich ist nur wenn der Arbeitgeber ein anderes kostenpflichtiges Tool einsetzt – dann muss man zwei lernen.

Kritik: Phishing: Das Abfischen von Zugangsdaten vermeiden

Leider nur bei Kuketz und nicht bei den anderen. Ist das wirklich schon Allgemeingut? Auf Phishing-Mails sollte niemand mehr hereinfallen sollte und auch keine Anhänge öffnen, die aus zweifelhafter Quelle oder ohne dass man damit rechnet in der Inbox auftauchen. Aber bewusster Umgang damit ist halt leider unentbehrlich. Gute Emailanbieter reduzieren den Aufwand deutlich.

Kritik: Zwei-Faktor-Authentifizierung: zusätzliche Sicherheit neben dem Passwort

Wenn Sie bis hierher alles richtig gemacht haben und auch noch die nächsten Abschnitte ernst nehmen, dann brauchen Sie FIDO, U2F, oder andere Mehrfaktor- oder oft nur Mehrschrittauthentifizierungsverfahren nicht wirklich. Die verbessern die Sicherheit vor allem dann, wenn Passwörter bei mehreren Anbietern wiederverwendet und kompromittiert werden. Wenn Sie Passwörter nicht wiederverwenden und nicht auf Phishing hereinfallen, dann erhöht das Ihre Sicherheit nicht wirklich. Warum die Industrie das nicht zugibt? Vielleicht weil zu wenige Menschen verstehen wie Sicherheit geht und niemand das ändern will?

Auch die Anbieter verstehen oft nicht was sie tun, nur zu oft wird der zweite Faktor nicht gleichzeitig sondern erst danach abgeprüft – ein Angreifer erhält also schon eine Rückmeldung ob er das Passwort geknackt hat. Das ist in der strengen PCI-DSS-Terminologie dann nur eine Mehrschritt-, keine Mehrfaktorauthentifizierung. Und bei den typischen Einmalkennwörtern basiert das ganze in aller Regel auf einem geteilten Geheimnis und das ist strenggenommen im Vergleich zum Passwort kein anderer Faktor – oder nur dann wenn Sie Passwort und Geheimnis auf verschiedenen Geräten aufbewahren und die bitte nicht gemeinsam verlieren.

Die absichtlich fehlende Möglichkeit ein Backup anzufertigen ist für mich der Grund, FIDO nicht zu verwenden. Immerhin gibt es Leute die versuchen das aufzuweichen oder zu umgehen. Ansonsten könnte man mit FIDO Passwörter sogar ganz loswerden, aber auch da gibt es keinen Konsens. Auch bei den typischen Einmalkennwörtern müssen Sie darauf achten, den QR-Code oder das Geheimnis aufzubewahren für den Fall, dass Sie Ihr Gerät verlieren.

Kritik: Festplattenverschlüsselung, dm-crypt / LUKS: Daten unter Linux sicher verschlüsseln

Das klang oben schon an, aber sollte elementarer Bestandteil eines Sicherheitskonzepts sein. Ist es leider auch im professionellen Bereich nicht überall, aber im professionellen Bereich vertraut man oft auf Beton, Pförtner, und Netzwerk. Aber wo finde ich das im Privathaushalt? Also verschlüsseln. Es reicht auch nicht, nur USB-Datenträger zu verschlüsseln wenn die Hausdurchsuchung droht – die Staatsanwaltschaft nimmt bestimmt auch Festplatten oder ganze Computer mit. Bei Windows Home ein Problem, denn das kann Bitlocker nicht (oder nur mit Tricks). Linux kann es, aber mir ist außer Clevis und Tang nichts brauchbares bekannt um ohne Eingabe einer Passphrase zu booten. MacOS und die meisten Mobiltelefone können es, wobei teilweise unklar ist, was genau und wie verschlüsselt wird und wie eine Recovery aussieht – also sollte es von allem wesentlichen zumindest ein unabhängiges Backup geben, dazu mehr weiter unten.

Ob man Pre-Boot-Authentication will oder die Schlüssel dem Trusted-Platform-Module (TPM) anvertraut, darf jeder nach seinem Anspruch von Sicherheit entscheiden. Natürlich ist Pre-Boot-Authentifizierung besser, aber immer noch nicht perfekt, und schon mit Verschlüsselung mit TPM sind Sie viel, viel, viel besser als der Normalbürger. Auf die Daten eines Computers ohne Verschlüsselung greifen Sie trivial zu, die Anleitungen dafür finden Sie im Internet. Schon mit TPM sind Sie da deutlich besser. Mehr Details in meiner Beschreibung von Bitlocker Network Unlock unter Restrisiko.

Der Anleitung von digitalcourage fehlt der Hinweis zu Windows Home, auch der Hinweis auf die Notwendigkeit einer Datensicherung – oder nur bei Android. Von Dateiverschlüsselung auf Windows mit EFS würde ich abraten außer man hat ein aktuelles, vollständiges und getestetes Backup des ganzen Systems. Generell hat die Verschlüsselung von Dateien – auch bei ZIPs – das Problem, dass Metadaten wie Dateinamen nicht verschlüsselt werden, und auch nur bestimmte Ordner oder Bereiche verschlüsselt werden – da kann man leicht den Überblick verlieren.

Festplattenverschlüsselung vs. andere Verschlüsselungen darf man auch seine Cloud-Anbieter aka Auftragsverarbeiter fragen, insbesondere wenn man Nextcloud-Hosting empfiehlt. Einen Überblick über die wichtigsten Varianten oder einen Hinweis auf Server-side Encryption Whitepaper vermisse ich dort allerdings. Stark vereinfacht: wer als Auftragsverarbeiter keine Festplattenverschlüsselung verwendet, nimmt Sicherheit nicht wirklich ernst, aber – oben schon angedeutet – da ist Deutschland Entwicklungsland, nicht nur beim Breitbandinternet.

Fehlstelle: Backup/Datensicherung ist zwingend, Kritik: Backup bei Android – so geht´s

Apropos Backup oder Datensicherung. Absolut notwendig. Für Schlüssel oder Passwörter genauso wie für andere Ihnen wichtige Daten. Einen Hinweis darauf findet man verstreut, z.B. in Ein Login für viele Dienste: bequem oder gefährlich? oder auch Datenträger verschlüsseln bei Android, aber nicht als eigenständige Grundsicherungsmaßnahme. Alle wichtigen Daten gehören gesichert und die Sicherung auch verschlüsselt, und idealerweise liegt die Sicherung auch außer Haus falls es mal richtig brennt. Ob oder welcher Cloud man vertraut muss jeder selbst für sich beantworten – ich tue es nicht. Sie haben ein Backup des Computers? Super, aber dann sind Sie schon Teil einer Minderheit. Ist das Backup außer Haus und verschlüsselt, oder kommt jeder ran? Haben Sie auch getestet ob und wie ein Restore funktioniert? Sie wollen ggfs. Ihre Schlüssel separat sichern? Auch da stellen sich die gleichen Fragen: ist der Speicher verschlüsselt und haben Sie den erneuten Import getestet? Das klingt jetzt vielleicht hypothetisch, aber spätestens wenn Sie einen neuen Computer kaufen stellen sich die gleichen Fragen sowieso, und was Sie nicht mal spielerisch ausprobiert haben erzeugt im Ernstfall richtig Adrenalin. Sie sichern den Schlüssel in der Cloud? ich rate nicht dazu, aber ich muss zumindest feststellen, dass die Cloudanbieter meist besser verstehen worauf es ankommt als der Durchschnittsbürger.

Das Privacy-Handbuch hat einen Abschnitt zu Daten Backups, leider nur für Linux-Anwender, und, Sorry, Schnell mal auf den USB-Stick, ist keine überzeugende Lösung. Backups sollten regelmäßig gemacht werden, am besten automatisch, nicht nur sporadisch, sollten möglichst das ganze System sichern, und getrennt, am besten außer Haus aufbewahrt werden. Cloud macht das einfach, aber man sollte wählerisch beim Anbieter sein. Kuketz hat in 5 praxisnahe Tipps für mehr IT-Sicherheit: Echt jetzt! den Abschnitt 4. Backups für den Fall der Fälle [Tipp 3]. Dagegen bin ich wirklich paranoid: mit meiner eigenen Backup Software sichere ich teilweise mehrfach täglich inkrementell das ganze System auf verteilte Server.

Das gleiche gilt natürlich nicht nur für Computer sondern auch für Mobiltelefone oder Tablets, nur dass ich da selbst manchmal ratlos bin, wie ich das konsequent sichern soll. Die Empfehlung Handydaten sichern mit der App Sichere Dein Handy – Backup überzeugt mich nicht, SMS und Browserverlauf sind mir nicht wichtig. Auch Backup bei Android – so geht´s enthält nur einen mauen Hinweis was alles nicht gesichert wird. Immerhin fallen mir keine wirklich essentiellen Daten ein, die bei mir nur auf dem Mobiltelefon gespeichert sind. Emails, Kontakte und Kalender liegen auf meinem eigenen Emailserver, WhatsApp ist nach Vorsicht! WhatsApp-Backup standardmäßig unverschlüsselt verschlüsselt gesichert, Fotos werden jede Nacht auf meinen WebDAV-Server kopiert.

Konsequentes Backup von Mobilgeräten bei gleichzeitiger Wahrung von Sicherheit und Datenschutz würde eigentlich erfordern, dass Google und Apple es in ihren Betriebssystemen ermöglichen, einen beliebigen Server z.B. über WebDAV einzubinden, statt dabei Ihre Clouddienste zu erzwingen. Aber ist wohl klar, die wollen auch Geld mit unserer Bequemlichkeit verdienen.

Kritik: Selbstverteidigung für Eilige, Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE

Alles richtige und valide Maßnahmen. Aber in meinen Augen nicht die allerwichtigsten Maßnahmen, das sind gute Passwörter und die Verschlüsselung meiner gespeicherten Daten. Verschlüsselung der Kommunikation wäre auch dabei, wenn man das so leicht beeinflussen könnte. Bei Kommunikation braucht es immer zwei, und meist sind Anwender da in der schlechteren Position.

Hier stellt sich die Frage, vor wem oder was will ich mich verteidigen. Wenn ich den großen Datenkraken nicht vertraue, dann muss ich nicht nur das fraglos illegale Tracking eindämmen, sondern ihnen auch nicht über andere Dienste meine Daten anvertrauen. Also entweder mehr Daten selber speichern, oder sie kleineren, vertrauenswürdigen Anbietern anvertrauen.

Bei allen Maßnahmen gegen Tracking stellt sich auch die Frage, ob Beschwerden bei der Aufsicht oder Klagen wie DB Schnüffel-Navigator: Wir klagen gegen die Bahn! nicht sinnvoller sind um das Problem an der Wurzel zu packen. Daher auch der Link auf die Anleitung von Kuketz. Meine Beschwerde über die ZEIT Audio App liegt leider noch ohne Ergebnis bei der Aufsicht in Hamburg.

Kritik: Alternativen zu WhatsApp – Instant Messenger, Interoperabilität für WhatsApp: Was passiert mit der Ende-zu-Ende-Verschlüsselung?, Conversations: Sicherer Android Messenger

Warum Signal wirklich so viel besser sein soll als WhatsApp erschließt sich mir nicht wirklich. Privacy Shield ist bei beiden tot, und auch Signal zwingt mich eine reale Mobilnummer anzugeben und greift auf mein Adressbuch zu. Auch netzpolitik.org empfiehlt Signal in Messenger, aber die Aussage die App sammelt keine persönlichen Daten kommt mit Sicherheit von jemandem der den Begriff persönliche Daten nicht vollständig verstanden hat. Hier fehlt also mindestens eine Liste von Kriterien auf der die Auswahl beruht. Und das wichtigste Kriterium auch für mich ist, wo sind denn meine Kommunikationspartner unterwegs. Grob geschätzt 200:4 für WhatsApp:Signal. Ja, das ist Ausdruck des Monopols. Aber wir brauchen bessere Argumente um die breite Masse zum Umsteigen zu bringen. Dafür ist Interoperabilität vielleicht der erste Schritt, denn dann müssen nicht gleich alle wechseln sondern können das einer nach dem anderen. Und vieles von den Argumenten, die angeblich dagegen sprechen, sehe ich eher als Ausreden.

Kuketz hat mehrere Artikel und Diskussionen zu Messengern, ich habe den Link rausgepickt, der beim ersten Lesen die meisten Hintergrundinformationen liefert.

Kritik: E-Mails verschlüsseln mit OpenPGP, Mail-Verschlüsselung, Verschlüsselte E-Mails mit GnuPG als Supergrundrecht, Überblick: E-Mails verschlüsseln bei Android und iPhone, OpenPGP und S/MIME

Immer wenn Verschlüsselung von Kommunikation vorgeschlagen wird, muss man auch über das Schlüsselmanagement nachdenken. Zum einen über das Management des eigenen privaten Schlüssels, zum anderen über den der öffentlichen Schlüssel von einem selbst und der anderen Kommunikationsteilnehmer. Und da krankt es bei PGP gewaltig wie mein Vergleich RFC 7672 vs PGP / S/MIME zeigt, es gibt einfach keinen allgemein akzeptierten Standard.

fremde Schlüssel: immerhin propagieren digitalcourage, Kuketz, und auch der CCC den Schlüsselserver https://keys.openpgp.org/, aber das ist halt auch kein wirklich etablierter Standard. 2019 feierte man 100.000 Adressen, 2022 liegt man knapp über 300.000 Adressen, und meint ziemlich sicher weltweit. Wie viele Milliarden Emailadressen gibt es? 99firms.com schätzt ca. 4 Milliarden Emailnutzer, und das würde ich noch mit zwei Multiplizieren, denn man hat meist eine private Emailadresse und eine von der oder den Organisationen für die man tätig ist, Joelle Alcaidinho empfiehlt (mindestens) vier, und manche Enthusiasten wie ich verwenden sogar für jeden Zweck eine andere. Mit anderen Worten, 300.000 Adressen sind noch nicht einmal im Promillebereich. Oder auch: nur etwas für Enthusiasten, nicht für Normalbürger. So sieht das auch DHL im Rahmen meiner Beschwerde, und ich gebe ihnen in diesem Punkt Recht.
eigener Schlüssel: das Sichern des eigenen Schlüssel ist bei digitalcourage optional. Natürlich ist es nicht optional, denn wenn der Computer runterfällt oder gestohlen wird, ist der Schlüssel weg, es sei denn Sie haben ein vollständiges Backup des Computers – siehe oben. Wenn der Schlüssel verloren geht, brauchen Sie einen neuen und müssen den verteilen – wenn alle Kommunikationspartner den Schlüsselserver https://keys.openpgp.org/ verwenden, dann haben Sie eine reelle Chance, sonst eigentlich nicht.

Die weiteren Fragen, wie kann ich einen Schlüssel widerrufen, einen mir zugesandten Schlüssel prüfen, was ist beim Ablauf – den viele daher vermeiden – alles Fragen die nicht gut geklärt und nicht gut erklärt sind. Dass ohne spezielle Software die Suche in verschlüsselten Mails nicht funktioniert bzw. nur auf den unverschlüsselten Metadaten – keine Anleitungen erklärt das. Es gibt meines Wissens auch keinen Standard, wie mit dem Betreff umgegangen werden soll, Klartext, verschlüsseln, Unsinn eintragen, oder weglassen? RFC 4880: OpenPGP Message Format schweigt dazu. Dass zumindest Sender und Empfänger zwingend ohne den Schutz von PGP übertragen werden ist klar.

Mit meiner Skepsis bin ich nicht alleine: Das Privacy-Handbuch schreibt auf OpenPGP und S/MIME: OpenPGP und S/MIME haben es in den letzten 20 Jahren nicht geschafft, eine massentaugliche Usability zu entwickeln. Wenn man erst 10 Seiten Anleitung lesen muss, zusätzliche Software installieren muss, die Schlüssel selbst erstellen oder beglaubigen lassen muss, sich um die Verteilung der Schlüssel kümmern muss... und es danach noch jedem Partner erklären muss, dann ist diese Krypto einfach nicht massentauglich.

Bei den typischen Messengern ist das Schlüsselmanagement einfach, denn es handelt sich bisher jeweils um ein geschlossenes System. Da gibt es Wünsche das zu ändern und dann stellen sich strukturell genau die gleichen Fragen auch bei Interoperabilität für WhatsApp: Was passiert mit der Ende-zu-Ende-Verschlüsselung? relevant. Wir haben es bei PGP rund dreißig Jahre nicht geschafft und bei Messengern soll es funktionieren? Leider denkbar, denn bei Messengern gibt es nur wenige große Anbieter, während Email jeder selbst betreiben kann. Aber wollen wir diese Zentralisierung? Eher nicht.

Kritik: Vertrauenswürdige E-Mail-Anbieter, E-Mail-Anbieter

In die Kritik von United Internet (web.de, gmx, andere) und Google stimme ich voll mit ein, und auch ich glaube dass mailbox.org ein besseres Angebot als andere hat. Aber Datenschutz – meine Emails werden nicht vom Anbieter ausgewertet und ich bekomme keine nervige Werbung – und Sicherheit der Kommunikation – z.B. mit BSI TR 03801 oder RFC 7672 – muss man trennen. Wie schon oben angedeutet, Sicherheit der Kommunikation müssen auch immer beide Seiten unterstützen, hier fehlt also der Appell an die Bundesnetzagentur, endlich den Katalog der Sicherheitsmaßnahmen so zu definieren, dass das Fernmeldegeheimnis gewahrt wird – siehe Aufsicht ohne Orientierung. Den eigenen Emailanbieter testen kann man auf Email Sicherheit – der Test.

Darüber wie sicher das jeweilige Rechenzentrum und der Betrieb ist schweigen sich leider alle Anbieter aus, und auch der BfDI meint, das sei aufgrund der Verpflichtung im Telekommunikationsgesetz klar geregelt. Leider falsch, siehe oben, und auch Auftragsverarbeitung bei Email. Wenn man dem Anbieter nicht vertraut, bleiben zwei Möglichkeiten: 1. wechseln, ggfs. zu einem Anbieter der eingangsseitig PGP unterstützt, mit allen Nachteilen die oben beschrieben sind, 2. selbst betreiben. Klingt beides nicht wirklich nach Lösungen für einen Normalanwender. Aber positiv: seit ich einen eigenen Emailserver betreibe habe ich viel dazugelernt.

Fehlstelle: Modernes DNS, Kritik: Zensurfreier DNS-Server

Das Domain Name System (DNS) ist einer der wichtigsten und ältesten Dienste im Internet, er ist rund 40 Jahre alt. Damals hat niemand über Sicherheit und Datenschutz nachgedacht, denn der Zugang zum Internet war sehr eingeschränkt. Ohne moderne Varianten fehlen genau die oben erwähnten Mechanismen Authentifizierung und Verschlüsselung. Weil es bei DNS ganz extrem auf die dezentrale Zwischenspeicherung ankommt, hat man für Authentifizierung und Verschlüsselung unterschiedliche Standards entwickelt.

Um sicherzustellen, dass die Informationen nicht verfälscht werden, wird DNSSEC verwendet. Dabei kommen digitale Signaturen zum Einsatz, die dem Verwender erlauben, die Authentizität der Information zu überprüfen. Die Information wird aber meist unverschlüsselt übertragen. Weil heute fast alle Kommunikation zu Webseiten verschlüsselt stattfindet und dabei der Webserver anhand seines Zertifikats authentifiziert wird, ist DNSSEC bei Webseiten nicht so wichtig – wohl aber bei Emailkommunikation und anderen Informationen die über DNS abgefragt werden können.

Verschlüsselung wird mit den Protokollen DNS over TLS (DoT) oder DNS over https (DoH) realisiert, zukünftig dann auch mit DNS over QUIC. Manchmal direkt im Browser, das ist eher fragwürdig, aber auch eine Fritzbox kann inzwischen DoT. Ohne DoT oder DoH kann jeder entlang des Netzwerks mitlesen, welche Seiten aufgerufen werden. Daher klare Empfehlung, DoT oder DoH verwenden. Wirklich praktikabel ist dabei leider nur der Einsatz zwischen einem eigenen DNS-Server oder einer Fritzbox und einem DNS-Anbieter. Jeden Computer oder jedes Mobiltelefon zu konfigurieren und das evtl. in jedem Netzwerk anders – das ist lästig.

Und hier setzt der Artikel von digitalcourage natürlich richtig an: wenn ich DoT oder DoH konfiguriere, dann wähle ich einen Anbieter dem ich vertraue. Aber zensurfrei ist nur ein Aspekt, absichtliches Blocken von Werbenetzwerken, Telemetriediensten, Virenschleudern oder – wer will – Kinderpornographie aber auch sinnvolle Optionen – nur von der Regierung will auch ich da nicht gegängelt werden sondern selbst entscheiden. Auch nicht vom Zugangsanbieter, denn einige haben insbesondere bei Tippfehlern schon Werbung geschaltet. Fakt ist aber auch, dass es völlig normal ist, dass Zugangsanbieter Virenschleudern rausfiltern und damit unbedarfte Anwender schützen, und Unternehmen auch viele Angebote die nicht am Arbeitsplatz genutzt werden sollen. Zumindest zuhause sollte jeder selbst entscheiden können, welche Filter er möchte und welchem Anbieter er vertraut. Die volle Kontrolle hat man leider nur, wenn man einen eigenen DNS-Server wie Pi-Hole ggfs. kombiniert mit Stubby für DoT oder DoH betreibt. Damit kann man dann gezielt Sperren, und es gibt vorgefertigte Listen gegen Ad-Netzwerke, Microsoft-Telemetrie und ähnliches. Man kann auch Google-APIs sperren, dann geht weder ein Update, noch Maps, noch ZEIT Audio, aber die meisten Apps laufen endlich still und ohne Werbung 😄, manchmal gar nicht mehr 😈. Leider ist das eher nichts für den Normalanwender sondern nur für Enthusiasten.

Will man doch jedes Gerät konfigurieren und ist als Privatperson nicht auf Active-Directory oder Split-Horizon angewiesen, dann gibt es Möglichkeiten: Unter Android 9 oder neuer kann man direkt in der Netzwerkkonfiguration einen DNS-Server mit DoT angeben, der dann immer verwendet wird (How to enable DNS over TLS in Android Pie). Für iOS gibt es anscheinend keine Konfiguration, man muss Profile importieren wie z.B. DNS over TLS and/or DNS over HTTPS Configuration for iOS. Für Windows kommt Yoga DNS in Frage, allerdings nicht geeignet für Active-Directory-Domänen. Solange man keinen DNS-Server mit Split-Horizon braucht vermutlich die beste Lösung, es braucht nur noch einen öffentlichen DNS-Server mit einem geeigneter Filter. Leider enthält Öffentliche DNS-Server keinen Server der Werbung und Tracking blockiert. Ohne dass ich die kenne oder als vertrauenswürdig einstufen würde: Beispiele wären AdGuard DNS oder NextDNS. Fehlt eigentlich nur ein Anbieter meines Vertrauens...

Leider eine Sackgasse ist, einen eigenen rekursiven Resolver zu betreiben, um keinem DNS-Anbieter vertrauen zu müssen. Dann gehen Anfragen unverschlüsselt durchs Internet und mindestens der Zugangsanbieter kann alles mitlesen. Theoretisch kann er auch beim Verbindungsaufbau von https und anderen Protokollen mitlesen, denn ESNI oder ECH hat sich noch nicht durchgesetzt, aber dazu müsste er dann deutlich mehr Aufwand treiben.

Kuketz hat Anleitungen für Pi-hole: Schwarzes Loch für Werbung und uBlock Origin: Schutz gegen Tracker und Werbung, und auch zu DoT.

Kritik: Virtuelle Private Netzwerke (VPN), VPN: Mehr Privatsphäre beim Surfen, Befreien Sie Ihr Smartphone!

Virtuelle Private Netzwerke werden gerne mal empfohlen um mehr Sicherheit oder mehr Privatsphäre zu bekommen. Ich würde das so allgemein nicht stehen lassen. Heute sind die allermeisten Kommunikationsverbindungen schon mit https bzw. Transport Layer Security (TLS) verschlüsselt, und doppelt verschlüsseln bringt nicht wirklich etwas. Auch mehr Privatsphäre stimmt nicht immer, richtig ist vielmehr, dass nicht der lokale Internetanbieter sondern der Anbieter des VPNs tracken kann. Dabei geht es dann primär um Metadaten wie DNS und IP-Adressen. Ein VPN löst zunächst einmal ein Netzwerkadressierungsproblem – ich bekomme damit eine andere Netzwerkadresse. Wenn ich wirklich ein mehr an Sicherheit oder Privatsphäre haben will, dann muss ich zumindest einen anderen oder eigenen DNS-Server angeben oder das ganze VPN selbst betreiben. Die Haupteinsatzfälle für Normalanwender sind daher der Zugang zu einem Unternehmensnetzwerk ("bin ich drinnen oder draußen") oder die Umgehung von Geoblocking.

Bei Digitalcourage gibt es hier nur den Hinweis auf Blokada und den Zensurfreien DNS-Server. Apropos Blokada – verwenden Sie bitte Blokada Libre, nicht Blokada Cloud oder Blokada VPN – denn bei beiden kann dann Blokada tracken. Blokada Libre ist im Prinzip nichts anderes als ein lokaler DNS-Server der DNS-Anfragen anhand einer Blacklist filtert, und um das zu tun wird die VPN-Schnittstelle verwendet – das erklärt auch den beschriebenen Konflikt von Blokada mit anderen VPN-Anwendungen. Und Sie ahnen es schon: dann könnte man statt Blokada auch einen anderen VPN-Client verwenden und einen filternden DNS-Server eintragen. Genau das ist meine Lösung: ich verwende den Wireguard-Client und trage in der Konfiguration meinen eigenen DNS-Server ein. Der ist nicht öffentlich, sonst bräuchte es das VPN gar nicht.

Netzpolitik auch vage aber richtig mit Am sichersten ist aber immer noch, den VPN über einen eigenen Server zu betreiben, leider kein Hinweis darauf, dass man einen anderen DNS-Server eintragen könnte. PrivacyTutor hier klar werbefinanziert und gewinnorientiert.

Kritik: Fremde WLANs nutzen

Da höre und lese ich seit rund zwei Jahrzehnten, seid vorsichtig, unbedingt VPN, und mach nie was wirklich kritisches wie Online-Banking. Lasst mal die Kirche im Dorf. Inzwischen sind – siehe oben – die meisten Verbindungen von Seiten des Clients verschlüsselt, da braucht es nicht unbedingt das VPN. Einen vertrauenswürdigen DNS-Anbieter mit DoT oder DoH zu wählen ergibt deutlich mehr Sinn, aber das wiederrum ist unabhängig vom Netzwerktyp, auch in anderen Netzwerken läuft sonst DNS gerne unverschlüsselt und mit oder ohne Filtern die mir nicht gefallen. VPN in offenen WLANs mit Vorschaltseite hat auch einen klaren Haken: ich muss mein VPN immer erst ausmachen, um zuzustimmen, dann erst kann ich es wieder anschalten. Das gleiche kann mir aber auch mit einem anderem DNS-Server passieren, je nachdem welche Technik die Vorschaltseite verwendet. Klar, diese Vorschaltseiten nerven.

Diese Vorschaltseiten sind ein Relikt aus der Diskussion um die Störerhaftung. Was steht in diesen Vorschaltseiten drin: meist ein Hinweis auf die Nutzungsbedingungen (mach nichts kriminelles) und welche Daten erfasst werden. Beides super-idiotisch, denn zum einen interessieren solche Aussagen keinen kriminellen, zum anderen ist die Datenerfassung durch den Anbieter weitgehend unsinnig oder illegal, zumindest wenn sie länger aufbewahrt werden als die Nutzung. Wäre doch super, wenn man diese Vorschaltseiten loswerden könnte. Wenn man Keine Speicherpflicht für Freifunk-Netze hat, dann sollte die Vorschaltseite auch entbehrlich sein.

Gegenbeispiel Aldi-Süd: erfasst werden laut Nutzungsbedingungen Endgerätename, MAC-Adresse, IP-Adresse, Betriebssystem, genutzte Bandbreiten, An- und Abmeldezeiten im WLAN, und als Rechtsgrundlage wird Art. 6 Abs. 1 lit. b DSGVO, also Vertrag angegeben. Vertrag erscheint mir unsinnig, denn dann müsste man ihn auch kündigen können. Ein Hinweis auf das TTDSG und dass man das Fernmeldegeheimnis respektiere fehlt leider. Die ersten vier Informationen sind technisch erforderlich bzw. "Beifang" im Dynamic Host Configuration Protocol. Genutzte Bandbreite und Zeiten sind in meinen Augen für den Dienst nicht erforderlich. denn es wird nicht abgerechnet. Die personenbezogenen Daten werden gelöscht, wenn sie für den beschriebenen Zweck nicht mehr benötigt werden. – das ist sehr unbestimmt. Soll das heißen sofort wenn ich den Laden verlasse? Oder in zwei Monaten? Ich habe Auskunft angefordert...

Zurück zu den ersten vier: aktuelle Betriebssysteme verwenden MAC-Randomization, d.h. die eindeutige MAC-Adresse der Hardware wird oft nicht mehr verwendet. Nach meiner Kurzrecherche ist MAC-Randomization bei Android ab Version 10 voreingestellt, Windows hat einen Schalter mit dem man es einschalten kann, bei Linux gibt es den bestimmt auch, nur Apple hinkt hinterher und bietet es bisher nicht. Betriebssystem ist nicht so wirklich eindeutig, der Endgerätename, wenn sie ihn geändert haben manchmal schon. Tragen Sie da am besten Anonymous Device ein, das erschwert Hotspot-Betreibern sie wiederzuerkennen.

Bleibt zusammenfassend nur das Mantra: meine Internetanbieter können mich überwachen. Ich kann das in bestimmten Grenzen beeinflussen und jemand anderes bevollmächtigen oder auf das Fernmeldegeheimnis hoffen.

Kritik: Weniger Spuren im Netz hinterlassen – Anti-Tracking-Tools

Auch hier steht viel richtiges, aber es dreht sich vor allem um Alternativen im Browser. Dummerweise gilt das gleiche auf Mobilgeräten in fast jeder App, egal ob werbefinanziert, kostenlos, oder Teil eines sonstigen Angebots. Ich halte eine Lösung über VPN und DNS für deutlich überlegen. Oder eben – wie oben geschrieben – bei der Aufsicht beschweren.

Vom Vorschlag im Abschnitt NoScript: Aber ich will die volle Kontrolle! Javascript abzuschalten muss ich abraten – da geht dann kaum noch eine aktuelle Webseite oder nur noch mit Einschränkungen, auch meine nicht.

Fehlstelle: Tracking im Backend

Heute findet das Tracking überwiegend im Browser bzw. den Apps statt, indem diese die unterschiedlichsten Dienste direkt ansprechen. Dadurch kann man im Netzwerktrace des Browsers nachvollziehen, mit wem kommuniziert wird. Leider gibt es in meiner Wahrnehmung schon Anbieter die das in Cloud-Dienste oder das Backend verschieben wollen, darunter confection und auch Cloudflare Zaraz. Wenn dann auch noch die URLs kryptisch gewählt werden, dann kann man im Netzwerktrace nichts mehr erkennen, oder es wird zumindest deutlich schwerer. Auch auf die Datenschutzerklärungen kann man schon heute leider oft nichts geben.

Dieses Thema hab ich bei NOYB per Email angesprochen, aber man geht nicht potentiellen zukünftigen Datenschutzverstößen nach, sondern nur bereits eingetretenen.

Kritik: Nutzen Sie Ihre Auskunftsrechte!, Hol dir deine Daten zurück, Receiving information about your data, DSGVO: Anleitung zur Datenauskunft bzw. Löschung

Richtig, die Auskunft nach Artikel 15 DSGVO. Nutze ich sehr gerne, aber dass eine Anfrage nicht oder unvollständig und selten formgerecht beantwortet wird ist leider die Regel und nicht die Ausnahme. Ein Online-Formular habe ich nur selten gesehen, ich stelle die meisten Anfragen per Email. Dann gilt wie auch bei Online-Formularen Artikel 15 Absatz 3 Satz 3 – die Antwort muss elektronisch kommen. Das klappt fast nie, und wenn war die Auskunft trotzdem nicht korrekt. Andere Fehler oder Unterlassungen sind schwieriger zu finden, aber an der Tagesordnung. Es hilft auf jeden Fall, in Gesetze, den Vertrag und die bisherige Kommunikation zu sehen, um ein Gefühl dafür zu entwickeln, was der Verantwortliche an Daten haben könnte. Spannend ist auch, dass die Informationen nach Absatz 1 und die Datenkopie nach Absatz 3 fast nie zusammenpassen. Eine Checkliste nach Unternehmenstyp wäre bestimmt hilfreich. Ich hab da mal eine Sammlung angefangen – Auskunft – selten korrekt. Wer hilft mit das zu vervollständigen? Und dann muss man das auch durchsetzen können – nur die Aufsicht ist leider keine große Hilfe und Anwälte die Betroffene vertreten leider rar.

Fehlstelle: was unterscheidet Organisationen (Unternehmen)?

Ich empfehle so gut ich kann immer Maßnahmen, die sowohl privat als auch für Organisationen sinnvoll sind – denn wenn ich verschiedenen Ratschlägen oder Anweisungen folgen muss, dann geht das nie ohne Nachdenken. Zumindest muss ich nachvollziehen können wo die Unterschiede sind. Fragen Sie Ihre Organisation nach dem warum! Auch welche Art von Privatnutzung erlaubt ist – siehe Nutzung privater Mittel durch die Organisation vs. private Nutzung von Mitteln der Organisation.

Solange ich für eine Organisation tätig bin, werde ich bei dieser im Idealfall nur eine Identität haben und die Organisation für alle ihre Systeme ein Single-Sign-On wie Kerberos, SAML, oder OAuth verwenden. Das reduziert den Aufwand für Passwörter und die Möglichkeiten Passwörter abzugreifen gewaltig. Manche Organisationen verwenden auch Security-Tokens oder Mehrfaktorauthentifizierung – selbst die besten Schulungen erreichen nicht jeden Mitarbeiter. Daher gibt es auch immer noch Organisationen die Passwortänderungen alle paar Monate vorschreiben.

Festplattenverschlüsselung ist für mobile Geräte zwingend, wer das nicht umsetzt hat seine Hausaufgaben nicht gemacht. Backups von Endgeräten werden heute immer seltener gemacht, stattdessen werden Dokumente meist auf zentralen Servern, in Dokumentenmanagementsystemen oder der Cloud gespeichert. Vereinzelt gibt es immer noch unverschlüsselte Kommunikation – ich mache dann konsequent Sicherheitsmeldungen auf.

Sichere Email mit DANE-SMTP, RFC 7672 oder BSI TR 03108 ist bei den meisten Organisationen noch nicht angekommen. Manche verwenden stattdessen PGP oder S/MIME, aber wenn nicht nur signiert sondern auch verschlüsselt wird, dann mit zentral hinterlegten Schlüsseln – begrenzt sinnvoll. Viele Organisationen überwachen und filtern den Internetverkehr über Proxies oder DNS, wobei Proxies langsam weniger werden und der Einsatz von DNS zunimmt – Werbung oder Tracking zu blockieren ist leider nicht üblich. VPN ist für mobiles Arbeiten üblich, außer wenn überwiegend Cloud-Dienste oder Remote-Desktop-Gateways eingesetzt werden.

Zusammenfassung und Manöverkritik

In meinen Augen unschön: jeder greift andere Themen auf und empfiehlt etwas anderes, manche sogar innerhalb der Webseite. Das stiftet mehr Verwirrung als Orientierung. Ich bin mir bewusst, dass ich mit dieser Seite die Kakophonie noch vergrößere – immerhin bin bei digitalcourage und NOYB Fördermitglied und würde mich da gerne engagieren um das zu ändern. Also: können wir das nicht besser hinbekommen? Und dann: was kann man von einem Normalbenutzer wirklich erwarten?

Wenn man weiß, dass der Normalanwender schon bei verschiedenen Passwörtern und beim Ad-Blocker, die besseren beim Verschlüsseln der Festplatte und beim Backup scheitern, dann muss man wirklich fragen, machen die anderen Empfehlungen wirklich einen Sinn? In einem meiner letzten Sicherheitskurse habe ich die Teilnehmer – Auszubildende um die 20 – gefragt, wer einen Passwortmanager benutzt – alle -, einen Adblocker – auch alle – und wer seine Festplatten verschlüsselt – nur die Firmenrechner und Macs, die privaten Windows- oder Linux-PCs keiner. Das ist schon eine aufgeschlossene Teilnehmergruppe, denn Sicherheit ist Teil ihrer Ausbildung, so einen Kurs bekommt der Normalanwender gar nicht. Soll also der Normalanwender sich um Sicherheit kümmern oder müssen wir nicht wo immer möglich die Anbieter in die Verantwortung nehmen? Hier bin ich einer Meinung mit NOYB. Die Datenschutzkonferenz hat zudem auch völlig richtig erklärt, Artikel 32 DSGVO ist nicht dispositiv. Das heißt auch, wir dürfen von den Verantwortlichen erwarten, dass sie ein angemessenes Schutzniveau realisieren, ohne dass wir selbst aktiv werden.

Es ist reichlich absurd anzunehmen, dass Normalanwender PGP richtig verwenden können, wenn sie schon an Festplattenverschlüsselung und Backup scheitern. Ich denke, wir sollten damit aufhören, Normalanwendern PGP zu empfehlen, sondern stattdessen bei den Anbietern das Fernmeldegeheimnis einfordern, ja einklagen. Analog auch beim Ad-Blocking und Tracking: da sollten wir uns konsequent beschweren statt auf Selbsthilfe zu setzen und Normalanwender darauf hinweisen, dass das die Kür, nicht die Pflicht ist. Pflicht ist in meinen Augen alles bis zum Backup, und dann noch die Auswahl eines vertrauenswürdigen Anbieters für Email und – wenn es denn gäbe für DNS mit Filterregeln. Meine Meinung – lasst uns das offen diskutieren und auch Normalanwender fragen und Anleitungen mit denen gemeinsam testen, ob sie von Laien umgesetzt und beibehalten werden können. Dann wird vermutlich auch klar, dass selbst Normalanwender ein Sicherheitskonzept oder zumindest klare Checklisten bräuchten. Und dass wir für solche Erkenntnisse auch einen Lehrplan in den Schulen bräuchten.