Arbeitnehmer Aufklärung Bürgerrechte Datenschutz Privatsphäre Protest Sicherheit Überwachung
Über den Autor
Datenschutz und Datensicherheit
Vom anonymen Surfen bis zur verschlüsselten Festplatte
«Es ist bedenklich, dass kaum jemand weiß, welche Daten über ihn gespeichert sind. Es ist äußerst bedenklich, dass kaum jemand weiß, wer diese Daten gerade besitzt. Bedenklich ist es hingegen nicht, dass sich nur eine Minderheit dagegen wehrt. Das ist dramatisch.»
Hamann/Rohwetter
Die eigenen Daten zu schützen heißt, die Daten und Dokumente, die am eigenen Rechner gespeichert werden, unbefugten Zugriffen zu entziehen. Die eigenen Daten zu schützen heißt weiters, die in Wort und Bild übertragen werden, unbefugten Zugriffen zu entziehen. Und es heißt auch, sich gegen das ausufernde Datensammeln im Netz zu wehren, das nur für einige wenige Monopole lukrative Betätigungsfelder bietet. Kommunikation gegen unbefugten Zugriff zu schützen, Daten- und Dokumentenschutz sind weit weniger kompliziert als oft vermutet wird. Praktischer Datenschutz im Alltag ist nicht «Geeks und Nerds» mit hochspeziellem Fachwissen vorbehalten. Daher soll gezeigt werden, dass sorgsamer Datenschutz und sicheres Kommunizieren keinesfalls ein 24 Stunden Fulltime-Job ist, sondern dass wir alle selbst tätig werden können, ohne uns deswegen zu Fachleuten für IT-Sicherheit weiterbilden zu müssen. Die eigenen Daten zu schützen heißt letztlich, nicht nur für uns selbst auf Datensicherheit zu achten, sondern auch für andere Personen und Gersonengruppen, deren Daten uns anvertraut sind.
Von gläsernen Surfern und “Datenkraken”
Ein Ergebnis unserer Internet-Ausflüge ist viel zu oft ein prall gefüllter Akt an gesammelten Daten. Diese Akten machen uns zu “gläsernen Surfer_innen”, mit all den im Akt erfassten Informationen pro Internetausflug. Es werden Daten darüber gespeichert, in welchem Land wir wohnen und welche Spracheeinstellungen wir haben. Gespeichert werden Angaben über unsere Internet-Provider, welches Betriebssystem verwendet und welcher Browser benutzt wird. Außerdem kann nachvollzogen werden, welche Webseiten wir aufgerufen haben und damit ist auch auswertbar, welche Seiten von besonderem Interesse sind, da wir sie häufiger besuchen. Hinzu kommen Informationen, die nicht automatisch und unbemerkt erfasst sondern von uns freiwillig und bewusst eingegeben werden. Auf diese Weise kommen etliche Daten zusammen, die auf verschiedene Weise verwendet werden. So stellt der Datenhandel und Verkauf von Benutzer_innendaten ein lukratives Geschäft für findige Unternehmer_innen dar. Zu ihren Standardkunden gehören beispielsweise die Betreiber von Werbeunternehmen. Mit den gekauften Daten ist es ihnen möglich, uns mit gezielter Briefwerbung oder dem Einblenden “passender” Werbebanner im Netz zu belästigen. Deshalb dauert der erste Grundsatz für den Schutz freiwillig preisgegebener Daten: freiwillige Datensparsamkeit. Je weniger individuelle Informationen Internetanwender_innen von Beginn an im Netz preisgiben, desto geringer ist auch die Menge an Daten, die von Dritten (wie den genannten Werbeunternehmen) erfasst und ausgewertet werden können.
DIE ABWEHR DER DATENSAMMELWUT
➊ Ein Video aus der Reihe Quarks & Co des WDR gibt «Fünf goldene Regeln zur Datensicherheit». YouTube ist allgemein eine gute Adresse, um Empfehlungen und Tutorials für Datenschutzaspekte zu suchen.
➋ Der FoeBuD e.V. setzt sich seit 1987 für Bürgerrechte und Datenschutz ein. Hier sind die Aktivist_innen nach einer «Freiheit statt Angst»-Demo des Jahres 2008 zu sehen, die der FoeBud seit 2006 in Kooperation mit anderen Organisationen organisiert. (Bildrechte: FoeBuD e.V., Peter Ehrentraut)
➌ Prof. Peter Wedde bei der Verleitung der «Big Brother Awards 2011». Der Experte für Datenschutz und Arbeitsrecht verleiht die “Auszeichnung” in der Kategorie «Arbeitswelt» an die Daimler AG stellvertretend für alle Unternehmen, die Bluttests von ihren Mitarbeiter_innen verlangen. (Foto: Matthias Hornung, Freigegeben unter Creative-Commons-Lizenz BY-SA)
Im beruflichen Alltag gibt es eine ganze Reihe von Punkten, die es zu beachten gilt, sollen Daten vor unabsichtlicher Weitergabe an Dritte geschützt werden. Tatsächlich sind Fälle bekannt, in denen Angestellte durch so genannte Keylogger überwacht wurden. Dabei handelt es sich um spezielle Software, die alle Tastatureingaben aufzeichnet. Auch wenn diese Programme in der Regel nur von Kriminellen verwendet werden, bietet dieses Vorgehen auch den Arbeitgeber_innen eine effektive Möglichkeit, Mitarbeiter_innen auszuspionieren. Daher ist es empfehlenswert, auf Internet-Nutzung für private Zwecke am Arbeitsplatz ganz zu verzichten, und das nicht nur aus Angst vor der eventuellen Kündigung, sondern auch und vor allem zum Schutz der eigenen privaten oder anderer vertraulicher Daten. Für Angehörige eines Betriebsrats ist es ratsam, gewisse Dokumente und Daten nur außerhalb des Betriebs und unabhängig von E-Mail-Accounts des Unternehmens auszutauschen. Selbst wenn Arbeitgeber die Privatnutzung von Firmenrechnern ausdrücklich gestatten und Betriebsvereinbarungen das Recht auf private Nutzung absichern, sollten Mitarbeiter_innen aufgrund der Netzwerkprotokollierung zweimal überlegen, welche E-Mails sie im Betrieb versenden.
Die Frage «Warum Datenschutz im Internet?» wird heute immer öfter in Frage gestellt. Die «Post-Privacy-Bewegung» stellt die provokante These in den virtuellen Raum, dass Datenschutz in der Informations- und Netzwerkgesellschaft nicht mehr zeitgemäß ist. Darauf ist mit dem Recht auf Privatsphäre zu antworten: niemand sollte mehr über eine Person erfahren als diese es selbst ausdrücklich erlaubt. Mensch spricht von «informationeller Selbstbestimmung». Doch auch hier argumentieren Anhänger der Post-Privacy-Idee: Statt des Versuchs um jeden Preis persönliche Daten geheim halten zu wollen, wird der Grundsatz des Informationsmanagements angeführt: Es sei sinnvoller seine Daten bewusst und kontrolliert im Netz zu präsentieren, um so einem Missbrauch (etwa durch Anmeldungen unter falschem Namen) zu begegnen. Ein Aspekt des Datenschutzes kann jedoch auch durch diese provokative Ansicht nicht relativiert werden – zur Privatsphäre zählt die Möglichkeit, sich pseudonym oder gar anonym im Netz zu bewegen.
Informationell selbstbestimmt im Netz
Eine wichtige Rolle beim Surfen im Internet spielt der Faktor Browser-Sicherheit, da er für die meisten Menschen gewissermaßen das Tor zum Internet darstellt. Dazu gehören die Frage, welchen Browser du verwendest, die Anpassung der Grundeinstellungen und die Installation und Nutzung von Erweiterungen (Add-Ons), das Surfen über sichere, mit SSL verschlüsselten Verbindungen, sowie die Wahl der Suchmaschine. Optional bietet der Gebrauch von Feeds eine einfache Möglichkeit sich über datenschutzrelevante Neuigkeiten zu informieren. Eine sinnvolle Anpassung der Grundeinstellungen eines Browers umfasst einige Punkte. Leg zum Beispiel eine Startseite fest und verzichte hier auf google. Verzichte auf die Toolbars von Anbietern, die in Browser integriert werden können. Empfehlungen für Datenschutz- und die Sicherheitseinstellungen des Browsers Firefox findest du auf der Seite «Kontrollausschluss». Für weitere Anpassungen kann auf Erweiterungen zurückgegriffen werden. Im Fall einer Adblocker-Erweiterung werden etwa Werbebanner unterdrückt und du bekommst die benutzerdefinierte Möglichkeit, Inhalte von Werbeseiten auszublenden. Das ist nicht nur Nerven schonend, sondern schützt auch davor, dass Online-Werbung von externen Servern geladen wird und Cookies von Werbenetzwerken gesetzt werden, um User_innen-Profile zu erstellen und zu verwalten. Das AddOn «RefControl» dagegen, verhindert durch so genanntes Referrer-Spoofing, dass die Betreiber einer Webseite erfahren, von welcher Website Besucher_innen kommen.
Wer nicht jedes Mal, wenn eine Webseite besucht wird, mitteilen möchte, welcher Webbrowser, welches Betriebssystem und welche Version davon verwendet werden, kann ebenfall entsprechende Erweiterungen nutzen. Um zu überprüfen, wie wiedererkennbar der benutzte Browser mit allen vorgenommenen Einstellungen jetzt ist, kann auf der Website panopticlick.eff.org der «Electronic Frontier Foundation» (EFF), der weltweit wichtigesten zivilgesellschaftlichen Organisation für Bürgerrechte in der digitalen Welt, den “Fingerabdruck” des eigenen Browsers ansehen und mit anderen vergleichen. Die EFF hat auch ein Firefox-AddOn mit dem Namen «HTTPS Everywhere» herausgeben, mit dem auf verschiedenen populären Webseiten wie der Wikipedia, Twitter oder Facebook die Verbindung nur noch als verschlüsselte SSL-Verbindung hergestellt wird. Eine Website wird dann verschlüsselt aufgerufen, wenn vorne nicht «http://» sondern «https://» steht. Diese Vorgehensweise ist bei allen Webseiten die ein Login erfordern sinnvoll, weil auch Passwörter verschlüsselt gesendet werden. So werden so genannte «Man-in-the-Middle-Attacken», bei denen Zugangsdaten von Unbefugten abgegriffen werden könnten, deutlich erschwert. Daher werden für Online-Banking, Internetversandhäuser oder auch Webmail-Dienste nur diese verschlüsselten https-Verbindungen genutzt.
Und wenn Du in einem öffentlichen Wlan hängst, solltest du sowieso nach Möglichkeiten nur über https surfen, um das Mitlesen ungeschützter Datenübertragung durch andere Nutzer des WLAN zu verhindern. Da eine kabellose Internetverbindung besonders im Bereich der Mobilgeräte relevant ist, gelten für Nutzer von Smartphones weitere Regeln zu beachten. Unabhängig von der Art des Internetzugangs wird durch die https-Verschlüsselung nicht nur die Sicherheit der Verbindung gegenüber unbefugten Zugriffen und der Überwachung von dritter Stelle erhöht, die Benutzer_innen können außerdem relativ sicher sein, dass die aufgerufene Webseite auch die Seite ist, die sie zu sein vorgibt, da sie sich korrekt, das heißt anhand eines digitalen Zertifikats, authentifizieren muss. Zertifikate werden von vertrauenswürdigen Organisationen ausgestellt, Behörden oder spezialisierte Firmen, die Zertifizierungen gegen Gebühr ausstellen. Daneben gibt es allerdings auch Anbieter, die kostenlos zertifizieren. Da kostenlose Certificate Authorities keine feststehenden Verträge mit den Herstellern der Browser haben, sind ihre Zertifikate standardmäßig nicht enthalten und müssen beim Besuch einer entsprechend zertifizierten Webseite, als Ausnahme hinzugefügt und speichert werden.
Ab durchs TOR und anonym surfen
Eine der wirksamsten Maßnahmen für hohe Anonymität im Netz, wenn es um das Verbergen der eigenen IP anhand derer ein Rechner andernfalls identifiziert werden kann geht, bietet wohl das TOR-Netzwerk, und das ganz ohne teure Software. Beim TOR-Projekt handelt es sich um kostenlose, freie Software und ein offenes Netzwerk verschiedener, weltweit verteilter Rechner, über das die Internetverbindung geleitet wird. Der Name «TOR» leitet sich von der Abkürzung für «the onion routing» ab, was auf die “schichtweise” Struktur von Servern wie bei einer Zwiebel anspielt, über die der Datenverkehr nach dem Zufallsprinzip von Server zu Server weitergeleitet wird. Dank dieses Systems ist es zu keinem Zeitpunkt möglich, den Ausgangspunkt und den Weg der Datenpakete einzelner Nutzer_innen anhand ihrer IP nachvollziehen zu können. Die Nutzung des Anonymisierungsnetzwerkes TOR ist für alle empfehlenswert, die sich vor irgendeiner Überwachung schützen wollen. Nach Abschluss der Installation ist TOR lauffähig. Nun gilt es die Einstellungen der Programme anzupassen, deren Verbindungen durch das Anonymisierungsnetzwerk verschleiert werden sollen. In der Regel wird es sich dabei um den Browser zum Aufruf von Internetseiten handeln. TOR wird dann zum Beispiel im Firefox integriert und lässt sich mit einem Klick an- und abstellen. Darüber hinaus kann TOR aber auch zur Anonymisierung des E-Mail-Versands oder für Instant Messaging konfiguriert werden. Und selbst für Smartphones gibt es bereits TOR Software. Besonders praktisch ist der TOR “PrivacyDongle”, ein USB-Stick mit vorkonfiguriertem Firefox Browser. Dieser USB-Stick kann überall mitgeführt werden und sei es im Internet-Cafe oder am Arbeitsplatz eingesteckt und über den dort installierten Browser sofort anonymisiert gesurft werden. Wie du zu einem solchen PrivacyDongle kommst, findest du nirgends so gut beschrieben wie beim Verein «FoeBuD», der alles für den Download und die Bauanleitung liefert. Wichtiger Hinweis: Die Verwendung des Tor-Netzwerks verbirgt lediglich die IP des Rechners, alle übrigen Identifikationsmerkmale müssen nach wie vor selbst geändert werden. Anders als so manches mal zu hören, handelt es sich also keineswegs um ein “Rundum-Sorglos-Paket”.
Alternative Suchmaschinen bemühen sich um den Schutz der Privatssphäre und verzichten auf das exzessive und lukrative Datensammeln à la Google und Co. eu.ixquick.com löscht IP-Adressen und andere personenbezogenen Daten nach 48 Stunden und gibt diese nicht weiter. Metager2 ist ein Projekt, das von einem gemeinnützigen Verein betrieben wird. Und der Dienst Scroogle, mit dem du zwar die Suchmaschine von Google nutzt, der allerdings deine Suchanfrage zuerst anonymisiert, bevor sie an Google weitergeleitet wird. Auch hier gilt jedoch: Man vertraut auf die Vertrauenswürdigkeit eines Dritten.
Elektronische Post auf sicheren Wegen
Die Sicherheit des E-Mail-Verkehrs kann mit einfachen Strategien erheblich verbessert werden. In jedem Fall ist die Verwendung mehrerer E-Mail-Accounts mit unterschiedlichen Passwörtern empfehlenswert. So etwas wie die perfekte “Datenschutz Mail” gibt es nicht. Aber wir können sorgsam mit dem Versenden von Daten und Dateien umgehen, E-Mails verschlüsseln und mehrere E-Mail Adressen mit unterschiedlichen Passwörtern für klar abgegrenzte Zwecke verwenden; zum Beispiel eine eigene für Behördenverkehr, unsere “privateste” für den engeren Kreis uns persönlich bekannter Menschen und eine dritte für die Anmeldung zu Newslettern und für das Anlegen von Benutzerkonten bei anderen Diensten und Social Media Plattformen. Zur Erstellung mehrerer E-Mail-Adressen bieten sich gratis Webmail-Dienste an. Auch hier ist der Grundsatz der Datensparsamkeit zu berücksichtigen: Meistens werden bei der Anmeldung persönliche Daten wie Name und Anschrift, sowie die Nennung einiger Interessengebiete verlangt, um entsprechend Werbung machen zu können. Die AGB von Webmail-Anbieter_innen mögen die Verwendung fiktiver Daten verbieten, viele Benutzer_innen verwenden aber Fake Name Generatoren, mit denen sich durch einen Mausklick fiktive Identitäten erstellen lassen. E-Mails sollten nicht zu lange in Postfächern von Webmail-Anbietern verbleiben, sondern, sofern möglich umgehend gelöscht werden. Je kürzer die Speicherdauer von Daten im Internet ist und je weniger Informationen generell online gelangen, umso besser. Neben dem Datenschutz sollte keinesfalls der zusätzliche Sicherheits-Aspekt bei der Verwendung mehrerer E-Mail-Accounts unterschätzt werden: Die Benutzung lediglich einer einzigen E-Mail-Adresse für alle Aufgaben im Internet ist ausgesprochen riskant und alles andere als empfehlenswert.
Um Dateien möglichst datenschutzfreundlich weitergeben zu können, sind im wesentlichen zwei Punkte von Bedeutung: das Programm, mit dem das Dokument erstellt wurde, und das verwendete Format. Text- oder Bilddateien enthalten immer mehr Daten als jene, die an der Oberfläche liegen und bewusst erstellt worden sind. Sie bergen das Risiko, unbeabsichtigt Informationen weiterzugeben, die sogar uns selbst verborgen sind. Diese so genannten Metadaten sollten daher vor dem Versenden von Dateien per E-Mail oder Skype entfernt werden. Wie die Metadaten in Text-, Bild und Grafikdateien gelöscht werden können, findest du in der Anleitung des «Kontrollschausschluss» beschrieben.
Das Entfernen von Metadaten aus Textdateien ist besonders wichtig, bevor Dateien auf einer Website veröffentlicht werden. Dazu gibt es einen berühmten Fall, der das eindrücklich unterstreicht: Im Februar 2003 stellt die britische Regierung unter Tony Blair ein Dossier des Secret Service auf die Homepage der Downing Street. Das Dossier soll beweisen, dass der Irak im Besitz von “Massenvernichtungswaffen” ist und wird von Colin Powell in seiner berühmten Rede vor den Vereinigten Nationen zitiert. Das Dossier kann als Word *.doc heruntergeladen werden. Nun können in Microsoft Word Dateien die gespeicherten Metadaten manchmal den Textinhalt der Datei übertrumpfen. Es lassen sich nämlich auch gelöschte Passagen und Absätze wiederherstellen und die Metadaten aller Arbeitsschritte auslesen, was im Fall des angeblichen Geheimdienst Dossiers zur Legitimierung des Irakkriegs eine seltsame Geschichte erzählt. Als Grundlage des Dossiers stellt sich die Seminararbeit eines jungen aus dem Irak stammenden Studenten heraus. Seine Seminararbeit ist online abrufbar und wirde von den “Geheimdienst-Expert_innen”, die eilig ein Dossier vorzulegen haben, gefunden, heruntergeladen und umgebaut. Die Geschichte wird bekannt, weil es natürlich Leute gibt, die Metadaten aus Worddateien auslesen können. Schritt für Schritt und Bearbeiter_in für Bearbeiter_in nachvollziehbar, wie auf der Grundlage des Seminararbeit-Dokuments ein Geheimdienst Dossier für die Presse gezimmert wurde.
Den höchsten Grad an Schutz für Informationen im elektronischen Postverkehr bietet die E-Mail-Verschlüsselung. Dazu sind allerdings einige, teils aufwändig erscheinende Vorarbeiten zu leisten, bevor das Senden und Empfangen verschlüsselter Emails dann ganz einfach funktioniert. Als Standard zum Verschlüsseln hat sich OpenPGP etabliert. Unter den meisten Betriebssystemen gibt es die freie Software Gnu Privacy Guard (GPG), die diesen Standard implementiert. Welche Schritte sind notwendig:
1. muss die Software heruntergeladen und installiert werden, wobei es Versionen für alle gängigen Betriebssysteme gibt.
2. braucht es ein E-Mail Programm, das jetzt um die Funktionen des Verschlüsselns mit dem PGP Standard erweitert werden muss. Besonders leicht und angnehm funktioniert das beim E-Mail-Programm Thunderbird mit der Erweiterung (Add-On) «Enigmail».
3. muss ein Schlüsselpaar generiert werden, mit dem du in Zukunft E-Mails ver- und entschlüsseln kannst. Das Generieren des Schlüsselpaares kann eine Erweiterung wie «Enigmail» oder kann die installierte PGP Schlüsselbund Software machen. Von einem “Paar” sprechen wird, weil es aus einem “öffentlichen” Schlüssel (public) und einem “deinem” sicheren Schlüssel (secret) besteht. Ein Schlüssel ist in diesem Zusammenhang übrigens nichts anderes als eine Datei mit einer langen Buchstaben- und Zahlenkombination.
4. müssen die öffentlichen Schlüssel zwischen den Personen ausgetauscht werden, die untereinander ihre E-Mails verschlüsselt senden wollen. Der öffentliche Schlüssel ist zum Verschlüsseln von Daten. Er kann und soll weitergegeben werden, was oft auch in der Signatur von E-Mails oder bei den Kontaktdaten einer Website gemacht wird.
Sind PGP Schlüssel einmal ausgetauscht, das heißt importiert und in den Schlüsselbund aufgenommen, sind alle Hürden eigentlich genommen. Das Senden von E-Mails funktioniert nun normal wie immer, lediglich mit der zusätzlichen Option, E-Mails verschlüsselt senden zu können. Der jeweils eigene und geheime Schlüssel dient zum Entschlüsseln. Wenn Daten mit dem öffentlichen Schlüssel verschlüsselt werden, können sie nur noch mit dem geheimen gelesen werden. Da es mühsam ist, immer wieder Personen anzufragen, ob sie einen PGP-Schlüssel haben, können Keyserver, also Schlüsselserver, eingerichtet werden. Auf diese Keyserver können Mitglieder von Organisationen und Gruppen die öffentlichen Schlüssel hochladen, damit sie andere herunterladen können. Verschiedene Kollektive bieten auch verschlüsselte Mailinglisten an, so genannte «Schleuderlisten».
Von Passwörtern und anderen Verschlüsselungen
Die Wahl eines sicheren Passworts trägt maßgeblich zum Schutz der Daten bei. Namen von Personen und Orten oder einfache Begriffe sollten nicht als Passwörter verwendet werden. Ein sicheres Passwort ergibt sich aus Länge und Aufbau. Je nach Verwendungszweck sind Passwörter unterschiedlich lang. So wird etwa für effektive Verschlüsselung von Festplatten eine Mindestlänge von zwanzig Zeichen empfohlen. Im Alltag, etwa für E-Mails und Instant Messaging, sind diese meist deutlich kürzer. Dennoch gibt es auch hier einiges zu beachten und es gilt die Regel, dass ein Passwort für den täglichen Gebrauch mindestens achtstellig sein soll und aus einer Kombination von Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen bestehen soll. Und wie lassen sich sichere Passwörter merken? Eine der einfachsten und zugleich sichersten Methoden ist die Bildung von Sätzen und deren Abkürzung. Die Eselsbrücke «Hey! Drei eng befreundete Kollegen üben in 2er Gruppen an 5 öffentlichen Plätzen» ergibt “H!3ebKüi2Ga5öP”. Ebenso wichtig wie die sichere Erstellung ist der sichere Gebrauch von Passwörtern. Auch wenn es praktisch und bequem ist, sollten Passwörter etwa zum automatischen Start von Anwendungen nicht gespeichert wrden. Eine Möglichkeit das halbwegs sicher doch zu tun, ist die Master-Passwort Funktion. Dabei handelt es sich um eine Art Hauptpasswort, das es einzugeben gilt, bevor die eigentlichen Passwörter etwa für Foren-Logins aufgerufen werden. Haben die Benutzer_innen viele verschiedene Passwörter, die sie sich merken müssen, gibt es für diesen Zweck entsprechende Programme zur Verwaltung von Passwörtern.
Eine sehr einfache Methode, Rechner am Arbeitsplatz vor unbefugten Zugriffen zu schützen, besteht in der Verwendung von passwortgeschützten Bildschirmschonern. Wird einige Zeit lang nicht aktiv am Rechner gearbeitet, schaltet sich der Bildschirmschoner ein. Wenn dieser nun passwortgeschützt ist, kann er ohne Passwort nicht beendet werden kann. Eine relativ einfache Möglichkeit spezielle Dateien zu schützen, die zumindest Manipulationen verhindert ist der Passwortschutz zusammengepackter, “gezippter” Dateien. Das Programm 7zip ist sogar in der Lage die Datei zu verschlüsseln. Das Entpacken der Datei ist anschließend nur nach Eingabe des Passworts möglich.
Besondere Sicherung aller Daten vor unbefugten Zugriffen bietet die Verschlüsselung von Festplatten. Allerdings: Festplattenverschlüsselung wirkt nur, wenn der Computer ausgeschalten ist, wenn er läuft, kann jede_r auf die Daten zugreifen! Zusätzlichen Schutz bietet daher die Verschlüsselung einzelner Verzeichnisse oder Ordner. Das Verschlüsseln von Festplatten ist heute nicht mehr allzu aufwendig, aber von Betriebssystem zu Betriebsystem verschieden. Je nach Betriebssystem gibt es einige kostenlose Software-Optionen, wobei freier Software sicher der Vorrang zu geben wäre. Meistens ist es so, dass die Festplatte beim Start des Systems mit einem entsprechend komplexen Passwort freigeschaltet wird. Bei jedem Schreibvorgang wird dann verschlüsselt, bei jedem Lesevorgang entschlüsselt. Während des Arbeitens am Rechner ist nichts von der Verschlüsselung zu bemerken, außer vielleicht, dass die Schreib- und Lesezugriffe etwas langsamer sind.
Kurz angebunden: Instant Messenger
Die Kommunikation über Chatprogramme beziehungsweise Instant Messaging (Sofortnachrichten) ist schnell, unkompliziert und insofern für einen regen und unmittelbaren Austausch brauchbar und beliebt. Auch dabei gilt prinzipiell der Grundsatz der Datensparsamkeit. Um nicht die gesamte Chat-Kommunikation in die Hände einer Firma zu legen, empfiehlt es sich, offene Systeme wie Jabber zu verwenden und auf “proprietäre” Netzwerken wie AIM, ICQ, MSN oder Skype zu verzichten. Das bedeutet im Fall der Jabber-Nutzung, es gehört keinem einzelnen Unternehmen und hat daher auch keinen zentralen Hauptserver, auf dem Benutzer_innendaten gespeichert, verwaltet und ausgewertet werden können. Eine praktische Anleitung zum sicheren und datenschutzfreundlichen Gebrauch von Multi-Messengern mit offenen Protokollen findet sich auf der Seite Kontrollausschluss. Auch die Kommunikation über Instant Messenger kann verschlüsselt werden.
Zusammenfassung
Am Ende dieses Kapitels haben Leser_innen nun eine große Menge an Informationen gesammelt, die es nun gilt umzusetzen. Datenschutz ist keine Theorie die mensch mit einem Diplom abschließen kann, sondern setzt ein gewisses Engagment der einzelnen Anwender_innen voraus. Damit sind wir jedoch mitnichten Einzelkämpfer_innen – Vereine wie der FoeBuD, die Privacy Foundation oder der Chaos Computer Club bieten neben aktuellen Informationen auch Plattformen für Gleichgesinnte.
- Denken kommt vor klicken: Eine kluge Überlegung ersetzt hundert technische Schutzmaßnahmen.
- Datensparsamkeit: je weniger persönliche Daten im im Netz preis gegeben werden, umso besser.
- Grundeinstellungen ändern! Ein gläsernes Surfer_innen-Dasein ist kein Schicksal – wenige und sehr einfache Handgriffe genügen, um die Browser-Einstellungen so zu ändern, dass mensch sich weniger transparent und einsehbar im Netz bewegen kann!
- E-Mails sichern: mehrere E-Mail Adressen ohne Hinweis auf die Person verwenden.
- Daten und Dateien vor unbefugten Zugriffen zu schützen, ist ein gutes Recht und kein krimineller Akt!
- Keine Daten auf einem Fremdrechner: Büro, Freunde, Internetcafe – persönliche Daten und Passwörter haben hier nichts verloren.
- Keine Kommunikation über Fremdrechner: Über Firmen-Rechner lässt es sich nicht “einfach so” privat kommunizieren.
- Kein Datenmüll im Netz: Das Internet vergisst nichts – auch die peinlichen Partyfotos nicht.
- “Einfach” gelöscht wird gar nichts! Selbst aus dem Papierkorb gelöschte Dateien können rekonstruiert werden. Daher: Verschlüsseln statt Löschen!
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
Ich bin gerade bei Facebook über diese Seite gestolpert und finde sie sehr interessant. Einigermaßen erschreckend wie wenig man als normaler Internetnutzer darüber weiß. Eine Frage hätte ich allerdings: Wie viel bringen Virenscanner?
Hallo Maria, danke für Deinen Kommentar.
Über Sinn- und Unsinn von Sicherheitssoftware im Allgemeinen streiten sich die Experten (und solche die sich dafür halten).
Meiner Meinung nach kann gesunder Menschenverstand durch kein Programm ersetzt werden, diese Software suggeriert einen “Schutz” den sie in Wirklichkeit gar nicht bieten kann.
Mein rein persönliches Fazit: Überflüssig und sogar potentiell gefährlich.
PS: Mehr dazu findest Du auf meiner Webseite, dem Kontrollausschluss.de.
Virenscanner greifen bei den meisten hier angesprochen Punkten gar nicht an. Sie helfen dir höchstens dabei Schadsoftware zu entdecken, die im schlimmsten Fall deine Festplatte schädigt, so dass dir deine Daten verloren gehen, oder Software, die Daten von dir aus unbemerkt an andere sendet.
Die Punkte im ersten Drittel des Beitrags, die die Einstellungen deines Browsers betreffen und Erweiterungen zu AdBlockern, zum Blockieren von “Skripten” empfehlen und zum Surfen auf sicheren SSL-Leitungen verhelfen, das alles hilft noch vor dem Virenscanner, damit du dir gar nichts einfängst.
Vielen Dank für die schnellen Antworten, ich bin beeindruckt und habe die Seite gleich weiterempfohlen. Auch auf das SBSM-Buch warte ich schon gespannt. Übrigens, der Tipp mit dem Kontrollausschluss ist klasse, genau sowas hab ich eigentlich immer gesucht. Viel Erfolg euch weiterhin.
[...] innerhalb der Regelwerke der Gesetze und Vereinbarungen bewegen, müssen uns ebenso abgrenzen und [...]
Seit ein paar Jahren sind Mobiltelefone unerlässliche Begleiter_innen im täglichen Leben, im Beruf, “privat” und auch bei politischem Aktivismus. Sei es zur simplen Verabredung, Informationsaustausch, Koordination von Aktionen oder Ketten-SMS, die Einsatzmöglichkeiten sind vielfältig. Seit kurzem finden auch Smartphones – also Telefone mit Internetzugang und großem Angebot an Anwendungen von Drittanbieter_innen – zunehmend Verwendung bei Aktivist_innen. Worauf ist aber zu achten? Welche Möglichkeiten und Fallstricke bieten sie?
Allen Handys gemein ist, dass sie auf Technologien basieren, die relativ wenig Sicherheitsvorkehrungen aufweisen (oder teils schlampig umgesetzte). Das heißt zB, dass SMS relativ einfach abgefangen und mitgelesen oder Gespräche relativ leicht mitgeschnitten werden können. Dabei kann dies (seitens der staatlichen Behörden aber auch von anderen Bastelfreudigen) einerseits per IMSI-Catcher bei allen Mobiltelefonen in einer gewissen räumlichen Nähe und andererseits über den Mobilfunkanbieter geschehen. Ein IMSI-Catcher gibt sich dabei quasi als Handymast aus, was dazu führt, dass sich die Handys zum IMSI-Catcher verbinden – und er alle Gespräche und SMS abhören kann. IMSI steht für International Mobile Subscriber Identity und ist eine Nummer die jede SIM-Karte eindeutig identifizierbar macht – somit ist gezieltes Abhören einzelner Handynummern möglich. Außerdem wird auch eine IMEI-Nummer des Handys mitgesendet, die auch nach wechseln der SIM-Karte gleich bleibt. Somit können einzelne Geräte egal mit welcher SIM-Karte identifiziert werden.
Neben dem Inhalt von Gesprächen und SMS werden beim Gebrauch von Handys weitere Daten erzeugt: Die sogenannten Rufdaten werden beim Mobilfunkprovider gespeichert und geben Auskunft darüber, wer wann mit wem wie lange telefoniert bzw. wer wem wann eine SMS geschickt hat. Je nach Telefonat-Frequenz und -Dauer können damit vermeintliche Gruppierungen und Netzwerke konstruiert werden. Da sich Mobiltelefone zu Handymasten verbinden, ist Mobilfunkanbietern bekannt, wo sich ein Handy befindet, da sie wissen, wo die Masten stehen. Damit kommen sie und Behörden an Standortdaten von Handys. Gerade in Städten ist die Handymastendichte (wegen der starken Verbauung und vielen Handys) relativ hoch und damit die relativ genaue Standortbestimmung möglich. Dass massive Handyüberwachung nicht nur Stoff dystopischer Fantasien ist oder nur in totalitären Staaten praktiziert wird, zeigt der Skandal rund um die Handyüberwachung während der antifaschistischen Proteste im Februar 2011 in Dresden, wo Millionen an Datensätzen gesammelt wurden und tausende Gespräche und SMS im Raum Dresden überwacht wurden. Besonders brisant bei Ruf- und Standortdaten: Diese können derzeit bis zu 6 Monate rückwirkend von der Polizei angefordert werden (so geschehen bei den unibrennt-Aktivist_innen, die im Juli 2010 verhaftet wurden und denen eine terroristische Vereinigung vorgeworfen wird).
Die obigen beschriebenen Problematiken von Mobiltelefonie treffen auch auf Smartphones zu. Da dies aber mehr können und vom Funktionsumfang zunehmend vollwertigen PCs gleichen, haben sie ein paar Vor- aber auch Nachteile. Ein großes Problem bei Smartphones ist, dass mit ihnen üblicherweise große Datenmengen mitgeschleppt werden: Umfangreiche Telefonbücher mit nicht nur Telefonnummern sondern auch e-mail-, Instant Messaging- und Postadressen, Kalender mit Terminen, Zugriff auf e-mails, Favoriten im Browser, teilweise gespeicherte Ortsdaten, TODO-Listen und mehr. Sollte daher das Telefon in die Hände von unliebigen Dritten geraten, sind diese Daten relativ leicht zugänglich – und sie erlauben tiefe Einblicke in unsere Leben, unsere tägliche Routine und unsere Kontakte. Nachdem viele Smartphone-Betriebssysteme zumindest bis dato schwache Sicherheitsvorkehrungen für den Fall eines Verlusts oder Diebstahls haben, ist es grundlegend anzuraten, sich genau zu überlegen, auf welche Daten über das Mobiltelefon zugegriffen wird. Gerade vor Demonstrationen und Aktionen ist es ratsam, die nicht dringend notwendigen Accounts zu deaktivieren und Daten zu löschen.
Andererseits schaffen die umfangreichen Fähigkeiten von Smartphones auch neue Einsatzmöglichkeiten: Echtzeit-Berichterstattung über Twitter oder Identi.ca, Bilder vom Geschehen direkt online stellen und mehr, das alles ist nun nicht mehr Presse-Profis vorbehalten. Außerdem ermöglichen es Smartphones, schneller an aktuelle Infos verschiedener Quellen zu kommen – um etwa bei dezentralen Aktionen besser reagieren zu können. Doch auch hier gilt: Was passiert, falls das Handy in die falschen Hände gerät und was kann dann passieren? Vor- und Nachteile sollten sorgfältig abgewägt werden und Pläne für den “Fall, dass…” überlegt werden. Der einfache Zugriff auf Programme und Internet wie bei einem klassischen PC bringt auch ähnliche Probleme mit sich wie sie oben geschildert werden: Sicheres surfen per SSL/https ist ebenso wichtig wie auf einem anderen Computer, e-mails sind ebenso einfach lesbar wie sonst üblich und Programme können möglicherweise Schadsoftware enthalten bzw. bestehen mehr Möglichkeiten, Schadprogramme wie Trojaner zu installieren. Dabei ist die grundlegende Architektur der meisten Smartphone-Betriebssysteme sicherer aufgebaut als etwa Windows. Unter der Vielzahl an verfügbaren Anwendungen für Smartphones gibt es glücklicherweise auch immer mehr Programme, die helfen, die eigenen Daten und Kommunikation sicher zu gestalten: PGP/GnuPG-verschlüsselte e-mails, verschlüsselte SMS (zu anderen Telefonen mit der gleichen Software), verschlüsselte Chats, sichere Passwortmanager sind Beispiele für hilfreiche Programme, die zumindest unter Android verfügbar sind – und sowohl den sicheren Austausch zwischen (Android-)Telefonen als auch mit PCs ermöglichen. Das “Guardian Project” ist diesbezüglich eine gute Anlaufstelle.
Aber auch hier gilt: Nichts ist absolut sicher, und gute Passwörter sind auch für Smartphones ein muss ;-)
So wie es aussieht, lässt sich z.B. http://fpoe.at aber leider nicht mehr per TOR ansurfen … oder ich hatte nur immer Pech die letzten Male … immer TYPO3 Bad Request. Naja, auf die Effen-Page werd ich halt so überhaupt verzichten (nie kriegen DIE meine IP), aber wenn das Schule macht …
Super Projekt übrigens, eures!!
danke :)
“Daher werden für Online-Banking, Internetversandhäuser oder auch Webmail-Dienste nur diese verschlüsselten https-Verbindungen genutzt.”
Das stimmt so halt eben leider nicht: Viele Webseiten, die eigentlich https verwenden sollten, verwenden noch immer (standardmaessig) http – und auch diverse webmail-anbieter_innen verwenden nicht durchgehend https. Insofern ist’s immer ratsam, auf das s in der adresse zu gucken.
Vielleicht ist das auch nur missverständlich formuliert worden:
“Daher werden (von cleveren Zeitgenossen) für Online-Banking, Internetversandhäuser oder auch Webmail-Dienste nur diese verschlüsselten https-Verbindungen genutzt.”
Noch ein paar Ergänzungen: Informationalle Selbstbestimmung ist ein Diskurs in der BRD – in Österreich gibt es diesen Diskurs so eigentlich kaum – und die rechtliche Grundlage dafür auch nicht.
Zu den Passwörtern: Ähnlich wichtig wie die Stärke eines Passworts ist, ein Passwort wenn möglich nicht mehrmals zu verwenden: Wie gerade die Hacks von LulzSec, Anonymous & Co. gezeigt haben: Keine_r ist vor Hack-Angriffen geschützt und mit Pech können durch hacks username/email + passwort Kombinationen öffentlich werden. Wenn nun das passwort öfters verwendet wird, kann einiges schief gehen.
Bzgl PGP/GnuPG sollte vielleicht erwähnt werden, dass der public key idealerweise über einen anderen Übertragungskanal (also: nicht per Email) ausgetauscht wird. Z.B. Website, per USB-Stick oder Keyserver. Als Attachment in einer E-Mail ist nicht so optimal. Zumindest der Fingerprint sollte über einen anderen kanal überprüft werden (das geht dann auch z.B. per SMS).
Gerade bei sicherheitsrelevanter Software (Verschlüsselung) ist es anzuraten, quelloffene Software zu verwenden: Ist der quellcode nicht offen zugänglich kann nur “blind” auf die Kompetenz des_der Anbieter_in vertraut werden – und, dass sie keine Kooperationen mit Repressionsorganen (Polizei, Geheimdienste) eingehen und backdoors einbauen.
[...] padeluun und Rena Tangens in Bielefeld gegründet, setzt sich der Verein FoeBuD e.V. für ungehinderte [...]
Zum Thema “Herr/Dame seiner eigenen Daten sein” würde ich gerne noch zwei Projekte einwerfen:
ThinkUp (thinkupapp.com) & Locker Project (lockerproject.org)
Beide nehmen sich zur Aufgabe, mit Online-Diensten (Twitter/Facebook/Mail/…) verbunden zu werden und die Daten von dort auf den eigenen Server zu kopieren; so wird zumindest gesichert, dass die selbst publizierten Daten (Facebook Posts/Likes/Notes/.., Twitter Tweets/Retweets/Favourites/Follower/.., Kontakte, Mails, etc.) auch am eigenen Server gesichert werden.
Sehr empfehlenswert das mal auszuprobieren! (Ist beides noch in Entwicklungs, ThinkUp ist schon f. den Advanced-Web-User ausprobierbar, Locker Project ist ohne zumindest Beginner-Developer-Hintergrund nicht schaffbar)
Gerade die sozialen Netzwerke, die von den sozialen Bewegungen so gerne genutzt werden, bekleckern sich datenschutzmäßig nicht gerade mit Ruhm. Wer Mal spielerisch in die Rolle eines Datendealers schlüpfen möchte: Das gerade entstehende Online-Spiel unter datadealer.net ist die beste Adresse dafür.
Sobald fetig, soll es unter Open Source und Creative-Commons-Lizenzen veröffentlicht werden.
Viel Spass damit!