Adventskalender

Adventstürchen 19

Nach 18 spannenden Türchen folgt nun das 19. Türchen. Finden Sie heraus, was sich dahinter versteckt!

Adventstürchen 18

Noch sechs Tage dann steht Weihnachten vor der Tür und die Geschenke liegen unter dem Weihnachtsbaum. Auch heute können Sie sich eine kleine Freude machen und herausfinden, was sich hinter unserem 18. Türchen verbirgt.

Adventstürchen 17

Die Vorbereitungen des Weihnachtsmannes laufen auf Hochtouren, doch wir behalten einen Kühlen Kopf und haben auch hinter dem 17. Türchen hilfreiche Tipps zur digitalen Selbstverteidigung.

Adventstürchen 10

Weihnachten rückt immer näher und heute öffnet sich das 10. Türchen für Sie. Welches Schmankerl hält es wohl bereit?

Adventstürchen 15

Neugierig was sich hinter unserem 15. Türchen versteckt? – Heute lässt es sich öffnen und Sie können es herausfinden.

Adventstürchen 14

Noch zehn Tage bis Weihnachten. Was sich bis dahin wohl noch in unserem Adventskalender verbirgt? Finden Sie es heraus und öffnen das 14. Türchen.

Adventstürchen 13

Auch hinter unserem 13. Türchen verbergen sich nützliche Tipps für Sie.

Adventstürchen 12

Was verbirgt sich denn heute in unserem Adventskalender? Öffenen Sie das Türchen und finden Sie es heraus.

Adventstürchen 11

Das elfte Türchen öffnet sich und verbirgt einen neuen Tipp. Wer mehr wissen will, klickt drauf

Adventstürchen 16

Weihnachten nähert sich mit großen Schritten und heute öffnet sich schon das sechzehnte Adventstürchen für Sie!

Adventstürchen 9

In 16 Tagen ist Weihnachten und auch heute verbirgt sich eine neue Überraschung in unserem Adventskalender

Adventstürchen 8

Draußen wird es kälter, doch auch heute hält unser Adventskalender eine spannende Überraschung für Sie bereit.

Adventstürchen 7

Was verbirgt sich heute wohl hinter dem siebten Türchen? Klicken Sie drauf und lassen Sie sich überraschen.

Adventstürchen 6

Heute gibt es ein Geschenk vom Nikolaus. Neugierig?

Adventstürchen 5

Neugierig auf das fünfte Türchen? Heute können Sie es öffnen.

Adventstürchen 4

Heute öffnet sich das vierte Türchen. Was hält es wohl für Sie bereit?

Adventstürchen 3

Was verbirgt sich heute im dritten Türchen? Finden Sie es heraus.

Adventstürchen 2

Die Vorweihnachtszeit beginnt. Finden Sie heraus, was sich hinter dem zweiten Türchen unseres Adventskalenders verbirgt.

Adventstürchen 1

Was verbirgt sich wohl heute hinter dem ersten Türchen? Finden Sie es heraus!

Achtzehn

Achtzehn

Unsere Grundrechte gegen Überwachung

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Frohe Weihnachten! Das Beste haben wir uns für das große Türchen mit der 24 aufgehoben. Sie schützen unsere Privatspäre und brauchen unseren Schutz: unsere Grundrechte.

Die wichtigste Waffe gegen Überwachung sind unsere Grundrechte!

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Verschlüsselte E-Mails, sichere Verbindungen und Server, die unsere Aktivitäten im Netz anonymisieren, sind wirksame Mittel der digitalen Selbstverteidigung. Sie helfen, das Machtverhältnis zwischen der Bevölkerung, dem Staat und anderen Datenkraken zu korrigieren. Aber: Die wichtigste Waffe gegen Überwachung sind unsere Grundrechte, sie sind ein Werkzeugkasten, den wir gut kennen sollten. Das Gute an Grundrechten ist: Sie sind für alle da. Nutzen wir sie!

In Zeiten von alltäglichen Grundrechtsbrüchen durch Regierungen überall auf der Welt liegt es an uns, diese Grundrechte zu verteidigen. Dafür müssen wir sie aber erst einmal kennen. Unser heutiges Türchen ruft einige Grundrechte ins Gedächtnis.

Kostenlos und für alle: Die schönsten Artikel in der Weihnachtzeit

Diese Artikel stehen jeder und jedem zu, kommen nie aus der Mode und sind an Funktion kaum zu überbieten. Hier eine kleine Auswahl:

„Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“

  • Artikel 3: Gleichheitssatz, Gleichberechtigung (Szk: Art. 3 GG) sagt: „Alle Menschen sind vor dem Gesetz gleich“, und darum macht es keinen Unterschied, ob das Telefon von Frau Merkel überwacht wird oder die Telefone von Millionen von Menschen in Deutschland.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

  • Artikel 8: Versammlungsfreiheit (Szk: Art. 8 GG) ist schnell zusammengefasst, denn dieser Artikel ermöglicht Aktion: Geht auf Demos, vernetzt euch und organisiert Veranstaltungen, um andere Menschen zu informieren.

  • Artikel 10: Brief- und Postgeheimnis (Szk: Art. 10 GG) macht die Vorratsdatenspeicherung mit dem Grundgesetz unvereinbar. So lautet das Urteil des Bundesverfassungsgerichts von 2010.
    Dass wir um dieses Grundrecht kämpfen müssen und systematische staatliche Überwachung – insbesondere in Zusammenarbeit mit den USA – kein neues Phänomen in Deutschland ist, zeigt das Buch „Überwachtes Deutschland“ des Historikers Josef Foschepoth, in dem er die Überwachung in der BRD zwischen 1945 und 1990 analysiert.

  • Artikel 17: Petitionsrecht (Szk: Art. 17 GG) sagt vereinfacht: Beteiligt euch an Unterschriftenaktionen und nehmt Kontakt zu den Politiker.innen auf, die über die Bedingungen eures Lebens entscheiden!

GrundrechteAuszug
Transparent und klar, aber häufig übersehen und unbeachtet.

Das “Computer-Grundrecht“

Unser Liebling unter den Grundrechten ist das „Grundrecht der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, auch „Computer-Grundrecht“ genannt. Es wurde vom Bundesverfassungsgericht 2008 aus dem „allgemeinen Persönlichkeitsrecht“ (Szk: Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG) abgeleitet und richtete sich gegen den Einsatz von sogenannten Staatstrojanern. Vereinfacht gesagt stellt es klar, dass eine Nutzerin ein Anrecht darauf hat, dass Computer und elektronische Geräte nicht infiltriert und manipuliert werden.

Grundrechte sind mächtige Werkzeuge - Wir brauchen Anwendungen

Das Grundgesetz ist die Software des Staates - setzen wir sie sinnvoll ein! Überwachung kann nur aufgehalten werden, wenn technisch und politisch gegen sie angegangen wird. Digitale Selbstverteidigung heißt, auch an Ihre Familien, Freundinnen und Freunde zu denken und ihnen zu zeigen, was sie konkret tun können. Unterstützen Sie Aktionen und Initiativen, die sich für Grundrechte einsetzten. Der Widerstand gegen Lobbyisten, die im Gesundheitswesen, im Verkehr und im ganz normalen Alltag unsere Grundrechte gefährden, ist ein großer Kraftakt!

Es liegt in unserer Hand

Digitalcourage wirkt. Wirken Sie mit!

„Der Staat“ sind letztlich wir alle. Denn: „Gegen jeden, der es unternimmt, diese (d. h. die freiheitlich-demokratische) Ordnung zu beseitigen, haben alle Deutschen das Recht zum Widerstand, wenn andere Abhilfe nicht möglich ist.“ (Szk: Art. 20 Abs. 4 GG). Wenn die von uns gewählten Organe die Grundrechte nicht schützen, liegt es in unser aller Verantwortung, ihre Durchsetzung einzufordern.

Unsere Grundrechte sind keine Selbstverständlichkeit. Unsere Vorfahren haben für sie alles riskiert. Weltweit setzen noch immer viele Menschen ihr Leben aufs Spiel, um das zu erhalten, was uns gerade verloren zu gehen droht. Darum sollten wir auf die Barrikaden gehen, wenn versucht wird, Grundrechte einzuschränken. Wir müssen genau hinsehen und klug handeln, denn Grundrechte werden missachtet durch die politische Praxis von Folter, rechtswidrigen Drohnenangriffen und durch weltweite Überwachung.

Artikel von Digitalcourage zum Thema Grundrechte


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Auszug aus den Grundrechten / Türchenbild: Manele R. auf Flickr CC0 1.0

Festplatten verschlüsseln

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Daten verschlüsseln

Auf die Verschlüsselung digitaler Kommunikation sind wir in unserem Adventskalender bereits eingegangen. Dadurch sind aber noch nicht Ihre Daten auf dem eigenen Rechner geschützt. Zum Glück ist der Umgang mit Verschlüsselung heutzutage recht einfach, wie unser heutiges Türchen zeigt.

Warum verschlüsseln?

Neben der Erhöhung der Hürde für Zugriffe von Geheimdiensten, Einreise- und Ermittlungsbehören bietet Verschlüsselung der eigenen Festplatte bzw. der eigenen Daten zunächst den Schutz, dass diese nach einem Diebstahl den Dieben nicht im Klartext in die Hände fallen. Denn neben den eigenen Urlaubsfotos liegen auch Passwörter ungeschützt auf der Festplatte. Bedenken Sie: Immer wenn Sie Ihrem Browser sagen, dass die Zugangsdaten gespeichert werden sollen, liegen diese anschließend irgendwo auf der Festplatte. Das sind zum Beispiel die Zugangsdaten zu Ihrem Online-Banking-Portal, Ihrem liebgewonnenen Online-Shop oder Ihrem bevorzugten sozialen Netzwerk.

Auch die vermeintlich sicherste Datenverschlüsselung kann jedoch gebrochen werden. Neben einer Vielzahl von Angriffsmöglichkeiten auf Hard- und Softwareebene, sind schwache Passwörter und nachlässige Nutzung Gefahren, die verschlüsselten Daten drohen. Seien Sie deshalb sorgfältig im Umgang mit den vorgestellten Möglichkeiten und informieren Sie sich genau über die verwendete Software!

Encryption

Was soll verschlüsselt werden?

Die Daten auf Ihrer Festplatte und in Ihrem Benutzerverzeichnis werden standardmäßig nicht verschlüsselt. Durch das Login-Passwort für das Benutzerkonto wird lediglich der Zugang über das Betriebssystem verwaltet. Hängen Computerdiebe Ihre Festplatte als normales Speichermedium, also als externe Festplatte, ein oder benutzt eine Live-CD bzw. einen USB-Stick mit einem eigenen Betriebssystem, umgehen sie die Passwortabfrage und können sich leicht Zugriff zu den Daten verschaffen. Deshalb sollten Sie mindestens Ihr Benutzerverzeichnis, besser noch die gesamte Festplatte verschlüsseln.

Digitalcourage wirkt. Wirken Sie mit!

Wenn Sie die gesamte Festplatte verschlüsseln, wird damit auch das Betriebssystem verschlüsselt, das heißt: Ohne das richtige Passwort kann Ihr Rechner nicht hochfahren.

Teilen Sie den Computer mit mehreren Nutzer.innen, kann es deshalb Sinn ergeben, stattdessen die einzelnen Benutzerverzeichnisse (engl.: home directory) mit den darin enthaltenen Nutzerdaten (Passwörter, Browsereinstellungen, E-Mails, etc.) zu verschlüsseln. Damit bekommt jede Nutzerin und jeder Nutzer ein eigenes Passwort, und die Daten sind gegenseitig (und nach einem Diebstahl) nicht einsehbar.

Festplatten verschlüsseln

Bei heutigen Betriebssystemen gehört die Möglichkeit, einzelne Partitionen oder die gesamte Festplatte zu verschlüsseln, zum Standard. Die verschiedenen Betriebssysteme nutzen dabei unterschiedliche Lösungen:

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

  • Für ältere Windows-Versionen (zum Beispiel XP) besteht die Möglichkeit, mit EFS (engl.: Encrypting File System, dt.: verschlüsselndes Dateisystem) Dateien und Ordner zu verschlüsseln. Dieses Verfahren ist allerdings nur auf NTFS-Festplatten (bei Windows-Installation Standard) und an den Benutzer gebunden möglich. Das Bundesministerium für Sicherheit in der Informationstechnik und Windows bieten Anleitungen.

  • Linux verwendet für die Verschlüsselung dm-crypt bzw. LUKS. So kann beispielsweise bei einer Installation von Ubuntu, einer weitverbreiteten kostenlosen Linux-Distribution, die Verschlüsselung der Festplatte mit einem einfachen Klick eingestellt werden. Im deutschsprachigen Ubuntu-Wiki gibt es zudem sehr ausführliche Anleitungen, wie man mit Linux Daten und Festplatten verschlüsseln kann.

Bei der Verschlüsselung unter Windows und OS X sollten Sie sich klarmachen, dass es sich um proprietäre Software handelt. Das heißt, der Quellcode ist nicht offen und kann nicht auf Hintertüren (engl.: Backdoors) geprüft werden, mit denen zum Beispiel Geheimdienste die Verschlüsselung aushebeln können. Auch wenn der Schutz gegenüber Geheimdiensten - die in der Vergangenheit immer wieder Hintertüren in Software eingebaut und durchgesetzt haben - damit nicht zu 100% sichergestellt werden kann, lässt sich mit wenigen Klicks und einem sicheren Passwort Computerdieben das Leben schwer machen.

Auch die meisten Mobilgeräte (Android, iOS) unterstützen mittlerweile Datenträger-Verschlüsselung. Hier ist es besonders wichtig, diese zu aktivieren!

Verschlüsselung von einzelnen Dateien und Ordnern

Mit den betriebssysteminternen Verschlüsselungsverfahren lassen sich teilweise auch einzelne Dateien und Ordner verschlüsseln. Darüber hinaus gibt es weitere Programme, die teilweise plattformübergreifend sind und mit unterschiedlichen Betriebssystemen verwendet werden können.

Im Mai 2014 wurde die Weiterentwicklung des plattformübergreifenden und quelloffenen TrueCrypt unter merkwürdigen Umständen eingestellt, das bis zu diesem Zeitpunkt durch Audits überprüft wurde und eines der weitverbreitetsten Programme für die Verschlüsselung von Dateien war. Es entstanden mehrere Forks, um die Arbeit an TrueCrypt weiterzuführen. Als im September 2015 zwei Sicherheitslücken in TrueCrypt entdeckt wurden, war der Fork VeraCrypt der erste, der diese beseitigte. TrueCrypt/VeraCrypt ist unter Mac OS, Windows und Linux einsetzbar.

Mit EncFS lassen sich ebenfalls einzelne Dateien verschlüsseln. Ursprünglich für Unix-Systeme entwickelt, ist es im Prinzip mit unterschiedlichen Plattformen nutzbar: Windows. EncFC ist quelloffen und wurde ebenfalls einem Audit unterzogen, das allerdings einige Schwachstellen zutage förderte.

Für Linux-Nutzer.innen gibt es zudem das quelloffene ECryptfs, zu dem es ein Audit gibt.

Darüber hinaus lassen sich auch mit PGP, dem Programm, das auch zur E-Mail-Verschlüsselung eingesetzt wird, Dateien verschlüsseln. Für Windows gibt es eine Anleitung vom BSI, für Mac OS, Linux und Android gibt es den Download und kurze Anleitungen auf der Projektseite.

Fazit

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Gegen das Erpressen Ihres Passwortes durch physisches Gewalt, die Verweigerung der Einreise oder Strafandrohungen helfen auch die besten Kryptoalgorithmen nicht. Trotzdem sollten Sie Ihre Daten durch Verschlüsselung vor Diebstahl und einfachem Auslesen schützen, denn sensible Daten, Zugangsdaten und Passwörter sind sonst leicht erreichbar.

Heutige Betriebssysteme liefern bereits die nötigen Werkzeuge dafür, und auch darüber hinaus finden sich viele hilfreiche Programme für die unterschiedlichen Plattformen. Nutzen Sie die Möglichkeiten zur Verschlüsselung!


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Sicherheitslücke in TrueCrypt gefunden, die im Fork VeraCrypt gestopft wurde

  • Full disk encryption auch bei Android und iOS möglich und ratsam

  • Links zum BSI repariert

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 04.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns bitte Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Encryption / Türchenbild: Yuri Samoilov auf Flickr CC BY 2.0

Spurenlos durch das Internet: Tails

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Anonym und spurenlos mit Tails

Wie leicht Spuren entstehen, können Sie bei einem winterlichen Spaziergang durch den Schnee beobachten. (Zugegeben: Nicht so sehr in diesem Winter.) Und auch wenn die eigenen Spurenlesefähigkeiten zu schlecht ausgebildet sein mögen, um das Wirrwarr aus Spuren einer Fährte bis zu ihrem Ursprung verfolgen zu können, gibt es doch Menschen (im Internet unterstützt durch Programme), die genau diese Fertigkeit besitzen.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Während im analogen Leben ein dunkler Mantel und ein befestigter Weg, auf dem sich die eigene Spur verliert, schon einiges zur Anonymisierung und Nicht-Verfolgbarkeit leisten, müssen die eigenen Spuren im Internet durch technische Maßnahmen verwischt werden. Dazu stellen wir heute ein Werkzeug vor, das, unter anderem, der Mann nutzte, der den Umfang der weltweiten Überwachungsmaßnahmen ans Licht der Öffentlichkeit zerrte: Edward Snowden. Klint Finley hat für wired.com in dem Artikel Out in the Open: Inside the Operating System Edward Snowden Used to Evade the NSA berichtet, wie Snowden mit Tails arbeitete.

Tails: auf jedem Gerät, vergessend, incognito

Tails ist ein Betriebssystem, das entwickelt wurde, damit sich Menschen möglichst anonym und unbeschattet im Internet bewegen können. Edward Snowden hat Tails genutzt, um den Fängen der NSA zu entgehen. Aber auch zur Wahrung des Grundrechts auf Privatsphäre ist Tails gut geeignet. Aktivist.innen, denen Verfolgung und Bestrafung in ihren Staaten droht, bietet Tails ein Mindestmaß an Schutz, ohne dass sie weniger handlungsfähig wären.

Tails Logo

Der Name Tails steht für „The Amnesic Incognito Live System“. „Live System“ bedeutet, dass Tails von DVD, SD-Karte oder USB-Stick von jedem beliebigen Recher unabhängig von dem installierten Betriebssystem gestartet werden kann, sofern die Möglichkeit besteht, den Rechner herunterzufahren und das System auf dem eingesteckten Datenträger für den Neustart auszuwählen. Das ist clever, denn dadurch wird das Ablegen von Schadsoftware im Betriebssystem enorm erschwert.

Vergessend (engl.: Amnesic) ist Tails, da nach jedem Start die auf DVD, SD-Karte und USB-Stick installierte, unveränderte Arbeitsumgebung geladen wird und auf dem verwendeten Rechner keine Datenspuren hinterlassen werden. Daten werden nämlich nicht auf der Festplatte, sondern lediglich im Arbeitsspeicher des verwendeten Rechners abgelegt, der nach dem Herunterfahren des Geräts gelöscht wird.

Incognito“ ist Tails nicht nur wegen der fehlenden Spuren auf dem Rechner, sondern auch, weil es bei Nutzung des Internets die Adresse des benutzten Rechners verschleiert.

Tails ist gut gerüstet

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Tails hat das Ziel, die Privatsphäre und Anonymität von Nutzer.innen zu schützen, und ist dafür mit Programmen zur Kryptographie und anonymisierten Internetnutzung ausgestattet. Alle nötigen Programme für verschlüsselte Kommunikation über E-Mail und Chat sind vorinstalliert. Tails legt keinerlei Daten auf der Festplatte ab, sondern verwendet im Betrieb ausschließlich den Arbeitsspeicher, so dass die Arbeit mit den mitgelieferten Bild-, Audio- oder Office-Programmen keine Spuren hinterlässt. Daneben anonymisiert Tails jede Verbindung ins Internet über einen vorkonfigurierten Browser, der das Tor-Netzwerk nutzt.

Weihnachtliches Basteln: Tails herunterladen

Die jeweils aktuelle Version können Sie auf der Projektseite herunterladen. Dort finden Sie auch eine sehr gute Dokumentation des Projekts mit weiteren Erklärungen, einer Installationsanleitung und wichtigen Hinweisen zu Benutzung. Insbesondere die Nutzungshinweise und die Verwendung einer aktuellen Version von Tails sind wichtig, wenn Sie wirklich darauf angewiesen sind, nicht erkannt zu werden!


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 04.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns bitte Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Tails Logo / Türchenbild: Allan Aguilar auf Wikimedia Commons CC BY 4.0

E-Mails verschlüsseln wird immer einfacher

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

E-Mails verschlüsseln

E-Mail-Verschlüsselung ist nicht mehr so kompliziert wie früher. Was sich dahinter verbirgt und wie Sie Ihre Mails verschlüsseln, zeigen wir in unserem heutigen Adventskalendertürchen.

Wozu dient E-Mail-Verschlüsselung?

Die naheliegenste Antwort auf diese Frage ist, dass Verschlüsselung dem Schutz der Vertraulichkeit dient. Das heißt, die Nachricht ist nur für diejenigen lesbar, für die sie bestimmt ist. Dies ist bei weitem nicht selbstverständlich, denn der Inhalt unverschlüsselter E-Mails wird im Klartext versendet und ist somit grundsätzlich für alle lesbar.

Daneben hat die Verschlüsselung unserer digitalen Kommunikation das Ziel, sicherzustellen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Durch die Verschlüsselung wird auch garantiert, dass der Inhalt der Nachricht auf dem Weg von Absender zu Empfänger nicht verändert wird (Schutz der Integrität).

Wie verschlüsseln?

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Der erste Schritt ist, dass Sie Ihre Mails nicht im Browser verwalten, sondern auf Ihrem Rechner ein E-Mail-Programm wie zum Beispiel Thunderbird, Outlook oder AppleMail installieren. Dadurch schreiben Sie Ihre E-Mails zunächst einmal nur auf Ihrem eigenen Computer, ohne dass der Text Zeichen für Zeichen ins Internet übertragen wird. Erst durch das Abschicken (oder Zwischenspeichern) verlässt die Nachricht Ihren Computer und geht ins Internet. Im besten Fall ist sie dann verschlüsselt, und niemand außer dem Empfänger kann sie lesen.

Verschlüsseln Sie deshalb Ihre E-Mails, zum Beispiel mit PGP. PGP steht für "Pretty Good Privacy" (zu deutsch: „ziemlich gute Privatsphäre“), und wurde Anfang der 1990er Jahre von Phil Zimmermann entwickelt. Früher brauchte man für die Nutzung ein ganzes Handbuch, das wir schon in den 1990er Jahren herausgebracht haben.

In der Zwischenzeit ist es mit der Thunderbird-Erweiterung Enigmail, die auf GnuPG aufbaut, richtig einfach geworden. GnuPG gibt es für verschiedene Betriebssysteme, so gibt es beispielsweise unter Mac OS X ein AppleMail-Plugin. Für Windows gibt es Gpg4win.

GnuPG

Detaillierte Anleitungen gibt es unter anderem von der Free Software Foundation, dem Verbraucher-sicher-online-Projekt der TU Berlin oder als Video-Tutorial. Am meisten Spaß macht das Einrichten von GnuPG bei einer Cryptoparty, und dabei können alle ihre Schlüssel gegenseitig beglaubigen, um ein Web of Trust zu weben.

Aber bedenken Sie: Bei der Verschlüsselung von E-Mails werden nur die Inhalte verschlüsselt. (Um auch Anhänge zu verschlüsseln, achten Sie darauf, das Übertragungsformat PGP/MIME und nicht PGP/inline zu verwenden!) Absender und Empfänger sind trotzdem sehr leicht einsehbar. Auch der Betreff (engl.: Subject) der E-Mail wird nicht verschlüsselt. Diese Informationen werden Metadaten genannt und sind von der Verschlüsselung ausgenommen. Das wird erst mit p≡p anders.

Verschlüsselte Kommunikation leicht gemacht: p≡p

Aktuell ist es immer noch der Normalfall, dass E-Mails nicht Ende-zu-Ende-verschlüsselt übertragen werden, sondern allenfalls streckenweise. Auch wenn E-Mail-Verschlüsselung einfach erlernbar und leicht handhabbar ist, ist Einarbeitung in das Thema erforderlich.

Digitalcourage wirkt. Wirken Sie mit!

Volker Birk hat es sich mit seinem Projekt p≡p ("pretty Easy privacy") zum Ziel gesetzt, diesen Zustand umzukehren: Wo immer möglich, sollen E-Mails und andere digitale Nachrichten verschlüsselt werden. Verschlüsselung soll ziemlich einfach („easy“) statt nur ziemlich gut („good“) werden. Im Interview mit Digitalcourage und im Deutschlandfunk erklärt er, warum ungeprüfte Verschlüsselung besser ist als gar keine Verschlüsselung, und dass „p≡p ein Kostenoptimierungssystem für die Massenüberwachung ist, da diese optimal teuer wird“.

Die Grundidee von p≡p betonte Volker Birk Ende November nochmals auf der Public Domain im Bielefelder Bunker Ulmenwall. Dazu gibt es eine zehnminütige Zusammenfassung mit dem wichtigsten bei Vimeo.

P=P Vorstellung Bunker

Ist p≡p einmal installiert, sucht es automatisch nach vorhanden PGP-Schlüsseln oder anderen Kryptostandards, um diese zu nutzen. Ist kein PGP installiert, erstellt es automatisch selbst Schlüssel zur Verwendung – sollte absolut keine Verschlüsselung möglich sein, etwa weil der Gesprächspartner keine Möglichkeit bietet, wird die Nachricht unverschlüsselt verschickt.

Das Projekt ist dabei nicht der nächste Kryptomessenger im ohnehin schon unübersichtlichem Messenger-Dschungel, sondern als p≡p-Engine eine Programmbibliothek, die sich durch „Adapter“ in vorhandene Programme einbetten lässt, sich somit einfach verbreiten kann und eine Ein-Klick-Lösung zur Verschlüsselung sein wird.

Mit p≡p wird Verschlüsselung nicht nur einfacher, sondern auch sicherer: Als Transportschicht wird es das anonyme GnuNet einsetzen, wodurch auch Metadaten verschlüsselt sind.

P=P Screenshot

Einen ersten Vorgeschmack für Outlook-Benutzer.innen gibt es bereits auf der Projekt-Seite. Die Preview funktioniert mit Windows 7 und 8 und 32bit Microsoft Outlook 2010 oder 2013, weitere Plugins für andere Versionen, Betriebssysteme und Programme sind in Arbeit!

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Im September 2015 gaben Enigmail und p≡p bekannt, dass sie gemeinsam den p≡p-Adapter für Enigmail entwickeln. Sollte Mozilla sich entschließen, Thunderbird nicht mehr zu pflegen, wird das p≡p-Projekt das gemeinsam mit der Thunderbird-Community übernehmen.

2015 wurde nicht nur die Software weiterentwickelt (z.B. Adapter für Android und iOS), sondern auch – zum Teil über CrowdfundingInvestoren gewonnen, neue Entwickler.innen eingestellt und dem Projekt eine Stiftung zur Seite gestellt, um dafür zu sorgen, dass p≡p unabhängig und frei bleibt und nie seine Ziele verrät. Digitalcourage ist mit Rena Tangens und padeluun im Rat der Stiftung vertreten.

Wenn Sie die den offiziellen Start von p≡p auf keinen Fall verpassen wollen, dann abonnieren Sie am besten den Digitalcourage-Newsletter.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Neuigkeiten vom pEp-Projekt

  • Link auf BSI repariert

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links
BSI: Grundlagenwissen Verschlüsselung
BSI: Mailverschlüsselung

Links zum p≡p Vortrag auf unserem youtube-Kanal
PD167: p≡p mit Volker Birk - 10 Minuten Kurzversion
Langversion 1. von 3. Teil
Langversion 2. von 3. Teil
Langversion 3. von 3. Teil

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
GnuPG Logo: GnuPG CC BY-SA 3.0
Screenshot: Aus dem Vimeo Video von Digitalcourage unter CC BY-SA 3.0

Instant-Messenger-Alternativen zu WhatsApp und Threema

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Messenger für das SmartPhone (und darüber hinaus...)

Nicht nur in der Weihnachtszeit wollen wir uns mit unseren Freund.innen austauschen, ihnen mitteilen, was uns bewegt, oder ihnen Tipps wie den Adventskalender schicken. Und während Weihnachtsmann und Christkind noch darüber staunen, gehört neben E-Mail, SMS und Telefonanrufen ein Messenger bei den meisten Smartphones zur Grundausstattung. Darüber lassen sich schnell und bequem Textnachrichten, Audio-, Video- und Bilddateien austauschen. Wir stellen im heutigen Türchen verschiedene Messenger vor und erläutern ausführlich Vor- und Nachteile.

Weg vom WhatsApp-Monopol

WhatsApp gehört zu Facebook Inc., einem privaten Unternehmen, das mit unbescheidenen Gewinnabsichten ein Monopol auf zwischenmenschliche Kommunikation im Internet anstrebt. Viele Menschen haben das inzwischen erkannt und sich bei alternativen Diensten angemeldet.

Digitalcourage wirkt. Wirken Sie mit!

Das Vertrauen in proprietäre, also undurchsichtige, Software in den Händen großer Unternehmen schwindet immer mehr. Besonders, da diese Unternehmen von Werbung und Datenhandel leben und auch die Zusammenarbeit mit Geheimdiensten nicht scheuen. Die Ankündigung vom November 2014, WhatsApp eine Ende-zu-Ende-Verschlüsselung zu spendieren, wurde einem Test der Zeitschrift c't zufolge nur lückenhaft umgesetzt und betrifft z.B. nicht die Telefonnummern der Kommunikationspartner.innen – diese wandern nach wie vor im Klartext durchs Internet. Wie die c't weiter berichtet, kommt Ende-zu-Ende-Verschlüsselung für den Inhalt der Nachricht – wenn überhaupt – nur dann zum Einsatz, wenn beide Chat-Partner.innen Android verwenden. Aber auch das ist nicht sicher, da die App nicht quelloffen ist und über den App-Store jederzeit verändert werden kann. WhatsApp/Facebook und staatliche Stellen können wohl bei Bedarf mitlesen.

Einen Monopolisten oder Marktführer abzulösen, scheint oft schwierig, ist aber nicht unmöglich. Oder erinnert sich noch jemand an ICQ?

Kriterien für Messenger

Inzwischen gibt es einige Alternativen zu WhatsApp. Welche kann was, welche ist empfehlenswert und welche nicht? Was sind überhaupt die Ansprüche an eine Alternative? Das sind nach Auffassung von Digitalcourage vor allem folgende Punkte:

  • Offene Schnittstellen: Das Kommunikationsprotokoll („wie kommt eine Nachricht von A nach B“) soll vollständig dokumentiert oder anderweitig verfügbar sein. Zudem muss das Protokoll für andere Softwareentwickler ohne Zahlung eines Entgelts verwendbar sein. Wie bei der E-Mail sollte Kommunikation auch unterhalb verschiedener Anbieter problemlos funktionieren. Wir halten diesen Punkt für besonders wichtig, denn nur dadurch kann sichergestellt werden, dass sich eine Alternative langfristig nicht zu einem „zweiten WhatsApp“ entwickelt.

  • Freie Software: Der Quellcode der Software soll verfügbar und unter einer freien Lizenz stehen (z.B. der GPL), nicht nur für die App, sondern auch für die Serversoftware. Nur so ist die Software von unabhängigen Dritten überprüfbar.

  • Ende-zu-Ende-Verschlüsselung: Wenn Sie eine Nachricht senden, sollte diese auf Ihrem Smartphone verschlüsselt und erst wieder auf dem Smartphone der Empfänger.innen entschlüsselt werden. Damit haben weder der Internetanbieter, noch die Betreiberin des Dienstes oder der Server Zugriff auf Ihre Kommunikationsinhalte.

  • Sicherheit (Kryptografie): Die App sollte nach aktuellem Stand sichere und nachvollziehbare Kryptografie verwenden.

  • Unabhängiges Audit: Unabhängige Dritte sollten die Software auf Sicherheitslücken geprüft haben und auch weiterhin regelmäßig Prüfungen durchführen.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

  • Metadatensparsamkeit: Unnötige Zugriffe auf Server (z.B. zum Nachladen von Bildern, Schriftarten, CSS-Stilen oder Javascript-Bibliotheken) sollten vermieden werden, damit nicht noch mehr (Meta-)Daten der Vorratsdatenspeicherung anheimfallen oder zur Profilbildung missbraucht werden. Dezentrale Dienste mit vielen Servern haben hier einen Vorteil, weil die Sammlung von Metadaten erschwert wird.

  • Adressbuch-Synchronisation: Die meisten Messaging-Apps benutzen die Handy-Nummern der Nutzer.innen zur Identifikation, und bieten eine automatische Erkennung von Kontakten, die den gleichen Messenger benutzen. Diese Komfort-Funktion wird damit erkauft, dass alle Telefonnummern aus dem eigenen Adressbuch (meist automatisch und regelmäßig) an die Server des Anbieters übertragen werden. Das stellt einen Eingriff in die Privatsphäre der Nutzerinnen und Nutzer und all ihrer Kontakte dar, und sollte nur mit expliziter Zustimmung erfolgen.

  • Nicknames: Gelegentlich möchte man mit Leuten chatten, denen man die eigene Handynummer nicht unbedingt geben möchte. Es ist wünschenswert, einen Messenger zu haben, der die Nutzer.innen gar nicht anhand ihrer Handynummer unterscheidet und verwaltet, sondern mittels Nicknames.

  • Betriebssysteme: Wir möchten mindestens Android und das iOS (iPhone/iPad) unterstützt sehen, da diese mehr als 90% des Marktes ausmachen. Der Anbieter sollte jedoch auch andere Betriebssysteme nicht außer acht lassen.

  • Ohne Playstore: Der Messenger darf zwar gerne im Google Play Store angeboten werden, aber es sollte auch eine alternative Downloadmöglichkeit geben, so dass die App auch ohne Google-Account nutzbar ist. Denkbar sind direkte Downloadmöglichkeiten oder F-Droid, ein alternativer „Store“, in dem ausschließlich freie und quelloffene Software angeboten wird.

Manche dieser Kriterien wiegen schwerer als andere – welche, kann von Person zu Person verschieden sein. Als Grundlage für unsere Einschätzung haben wir eine Tabelle angelegt, die Sie gern im CSV- oder Excel-Format herunterladen können. (Warnung: Jede.r kann hier editieren.)

Signal (ehemals TextSecure)

Signal bietet vertrauliche Kommunikation dank Ende-zu-Ende Verschlüsselung. Die Verschlüsselung wurde von unabhängigen Dritten geprüft (ein so genanntes Software Audit) und, abgesehen von kleineren Fehlern, als gut angesehen (Quelle 1, Quelle 2). Signal ist eine quelloffene, freie Software (GPLv3) und unterstützt alle gängigen Funktionen wie etwa Gruppen-Chat oder den Versand von Dateien (Foto, Video und Audio). Die App ist übersichtlich und intuitiv bedienbar.

Signal Logo

Leider gibt es noch einige Punkte, bei denen Signal nachbessern sollte:

  1. Signal lädt Ihr Adressbuch auf Server hoch, um Ihnen anzeigen zu können, wer ebenfalls Signal hat. Das ist bequem, aber eine Datenschutzverletzung, denn obwohl die Kontakte nicht im Klartext auf den Server gelangen, könnten sie dort leicht identifiziert werden.
  2. Um Benachrichtigungen zuzustellen, benutzt Signal den proprietären Dienst Google Cloud Messaging (GCM). So geraten Metadaten zu Google. Die Server von Signal unterstützen schon eine alternative Benachrichtigunsmethode über Websockets, aber der offizielle Client noch nicht.
  3. Der Desktop-Client steht bisher nur als Chrome-Browser-Addon zur Verfügung, und die Nutzung setzt eine GMail-Adresse voraus.

Die offizielle Android-Version der App ist derzeit ausschließlich im Google Play Store erhätlich. Den Fork LibreSignal kann man über F-Droid installieren, wenn man eine zusätzliche Paketquelle aktiviert. Eine inoffizielle experimentelle Version, die WebSockets statt GCM verwendet, gibt es dort auch. Eine offizielle iOS-Version existiert seit 2014.

Die größten Nachteile von Signal sind, dass es auf die zentrale Infrastruktur von WhisperSystems angewiesen ist, dass Ihr Adressbuch nicht ausreichend geschützt ist und dass ein Signal-Konto zwangsweise an die Handy-Nummer des Nutzers gebunden ist.

Links
Signal-Homepage
Signal bei Wikipedia
Signal im Google Play Store
Signal bei iTunes
LibreSignal

Threema

Weil Threema nicht quelloffen ist, lassen sich Threemas Aussagen über die verwendete Verschlüsselung nicht nachprüfen. Somit ist der einzige Vorteil von Threema gegenüber WhatsApp/Facebook, dass der Dienst weniger Marktmacht hat. Doch so etwas kann sich auch schnell ändern. Weil es inzwischen gute quelloffene Alternativen gibt, empfehlen wir Threema nicht mehr.

Surespot

Surespot ist ein eigenständiger Messenger und ermöglicht die Kommunikation mit anderen Surespot-Nutzer.innen. Geboten wird vertrauliche Kommunikation mit Ende-zu-Ende-Verschlüsselung. Aus Datenschutzgründen bietet die App allerdings keine automatische Synchronisation mit Kontakten aus dem Adressbuch. Sie müssen also jeden Kontakt einzeln manuell hinzufügen, indem sie die Surespot-Nicknamen Ihrer Kontakte in Erfahrung bringen. Daraus ergibt sich zwar eine Komforteinbuße, aus Datenschutzsicht jedoch gleichzeitig ein erheblicher Vorteil, da Ihre Kontaktdatenbank nicht auf einen externen Server übertragen wird. Leider ist diese App vergleichsweise schlecht bedienbar und auch schlecht ins Deutsche übersetzt.

Surespot Logo

Surespot ist eine quelloffene, freie Software (GPLv3) und daher unabhängig überprüfbar und weiterentwickelbar. Ärgerlich für viele Nutzer.innen dürfte sein, dass die App nur 1000 Nachrichten speichert. Ältere Nachrichten werden einfach gelöscht. Surespot ist derzeit für Android-Geräte im Google Play Store und für iOS-Geräte im Apple iTunes Store verfügbar, ist jedoch weder als direkter Download noch in F-Droid verfügbar. Daher ist die App unter Android bei vollständigem Verzicht auf den Play Store nicht nutzbar.

Links
Surespot-Homepage
Surespot bei Wikipedia
Surespot im Google Play Store
Surespot im Apple iTunes Store

Telegram

Telegram ist ein eigenständiger Messenger und ermöglicht die Kommunikation mit anderen Telegram-Nutzer.innen. Die Software bietet vertrauliche Kommunikation mit Ende-zu-Ende-Verschlüsselung jedoch nur als optionale Funktion, die man jeweils selbst anwählen muss. Die Kryptografie („Verschlüsselung“) wird von Expert.innen als anfällig bewertet und wurde bereits einmal gebrochen.

Telegram Logo

Die App(s) sind freie Software, nicht jedoch die auf dem (zentralen) Server laufenden Komponenten, deren Quellcode nicht einsehbar ist. Telegram unterstützt alle gängigen Funktionen wie etwa Gruppen-Chat oder den Versand von Dateien (Foto, Video und Audio). Nach Upload einer Kontaktdatenbank werden Kontakte mit Telegram automatisch erkannt. WhatsApp-Nutzer.innen dürften sich mit Telegram besonders wohl fühlen, da die Benutzeroberfläche stark an WhatsApp angelehnt ist. Für Android-Geräte empfehlen wir die bereinigte, unabhängig gebaute Version aus dem alternativen F-Droid-App-Store. Es gibt die Software auch im Google Play Store, für iOS-Geräte im Apple iTunes Store und für Windows Phone im Windows Phone Store) verfügbar.

Links
Telegram-Homepage
Telegram bei Wikipedia
Telegram bei F-Droid
Telegram im Google Play Store
Telegram im iTunes Store
Telegram im Windows Phone Store

Alternative XMPP/Jabber

XMPP (auch als "Jabber" bekannt) ist ein offenes Protokoll, das ursprünglich für das Chatten auf Desktop-PCs entwickelt wurde. Einige mögen noch ICQ, AIM, MSN und Co. kennen – XMPP ist im Prinzip die freie Alternative hierzu. Darum gibt es auch zahlreiche Desktop Clients für XMPP. Ein empfehlenswerter Client ist beispielsweise Pidgin für Windows, Linux, BSD und Solaris. Pidgin ist nicht nur Open Source und Freie Software (GPL Lizenz), sondern unterstützt mit Hilfe eines Plugins auch Ende-zu-Ende-Verschlüsselung. Die Code-Qualität von Pidgin wird mitunter kritisiert. Darum setzen viele ihre Hoffnung auf den im November 2015 als Betaversion erschienenen Tor Messenger, der nicht nur XMPP und andere Chat-Protokolle immer (außer in Gruppen-Chats) mit OTR verschüsselt, sondern auch automatisch für Anonymisierung über das Tor-Netzwerk sorgt.

XMPP Logo

Wie Sie XMPP/Jabber einrichten, erfahren Sie z.B. auf Jabber.de. Während die Einrichtung etwas aufwändiger sein mag, ist die Verfügbarkeit von Desktop-Anwendungen zugleich ein Vorteil gegenüber allen weiter oben genannten Alternativen. Neben zahlreichen existierenden Jabber-Servern kann man den Dienst auch selbst ohne großen Aufwand für Freunde und Familie betreiben, z.B. auf einem Raspberry Pi.

Nach Anlegen eines XMPP-Accounts kann man XMPP auch mobil nutzen. Es gibt keine automatische Adressbuch-Synchronisation, man kann seine Adresse (die Jabber-ID oder JID, aufgebaut wie eine E-Mail-Adresse) jedoch an Freund.innen weitergeben, z.B. via E-Mail oder SMS. Dies ist zwar eine Komforteinbuße, aus Datenschutzsicht jedoch sogar ein Vorteil, denn man kann mit Kontakten chatten, ohne die eigene Telefonnummer herauszugeben. Der Onlinestatus der Nutzer.innen ist sichtbar, d.h. man sieht jederzeit, wer gerade „online“ oder „offline“ ist. Diese Funktion kann sowohl als Vorteil als auch als Nachteil aufgefasst werden - abstellen lässt sie sich bei den meisten Programmen leider nicht.

Da das XMPP-Protokoll schon vor der allgemeinen Verbreitung der mobilen Endgeräte entwickelt wurde, haben einige XMPP-Clients für Smartphones Probleme bei schlechten Funkverhältnissen. Mögliche Folge: Unter Umständen gehen Nachrichten verloren, ohne dass beide Seiten dies angezeigt bekommen. *Derzeit ist XMPP die beste „Brücke“ zu Chat-Programmen auf Windows, Mac OS X oder Linux. Für diejenigen, die bereit sind, Einbußen bei Komfort und Funktionalität für die völlige Unabhängigkeit von zentralen Diensten in Kauf zu nehmen, ist XMPP derzeit noch immer die beste Alternative.

Als XMPP-Client empfehlen wir ChatSecure (Android/iOS). Es handelt sich um freie Software (GPLv3) mit Ende-zu-Ende-Verschlüsselung von Haus aus. Hervorzuheben ist, dass die App ohne Google Play Store bezogen werden kann, nämlich über das F-Droid-Repository von GuardianProject. ChatSecure kann außer Text-Nachrichten auch Audio-Nachrichten, Fotos und andere Dateien OTR-verschlüsselt übertragen.

Für Android gibt es außerdem Conversations, welches GPLv3-lizensiert ist, aktiv entwickelt wird und mit OMEMO einen XMPP-Port der starken Ende-zu-Ende-Verschlüsselung von Signal eingeführt hat. Leider versucht Conversations nicht automatisch, Chats zu verschlüsseln – man muss die entsprechenden Einstellungen selbst vornehmen. Positiv ist die Verfügbarkeit auf F-Droid. Conversations wird die technische Grundlage der nächsten ChatSecure-Version für Android stellen, die dann die Vorzüge beider Apps in sich vereinen dürfte.

Links
Jabber.de: Hilfe beim Einrichten von Jabber/XMPP
Pidgin: Ein freier XMPP-Desktop-Client für Windows, Linux, BSD und Solaris
Tor Messenger: Ein anonymisierender XMPP-Desktop-Client für Windows, Linux und Mac OS X mit Ende-zu-Ende-Verschlüsselung
ChatSecure: Ein XMPP-Client für das iPhone, andere iOS-Geräte und Android
ChatSecure-Paketquelle für F-Droid

Fazit

Signal hat das Potenzial zum WhatsApp- und Threema-Killer. Die App ist eine bequeme Lösung, muss aber noch in wichtigen Punkten nachbessern. Die experimentelle Version von LibreSignal macht vor, wie's besser geht. Wer nur SMSen verschlüsseln möchte, findet neuerdings die von einer früheren Version von Signal (damals: TextSecure) abgeleitete quelloffene Software SMSSecure auch im alternativen App-Store FDroid. Sie verzichtet auch auf die bei Signal kritisierte Anbindung an Google-Push-Dienste.

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Wer Kontakte bei Telegram, Kontalk oder Surespot hat, wird wohl auch diese Apps behalten. Unter Android sollten Sie die um problematische Bestandteile bereinigte Telegram-Version aus dem alternativen App-Store FDroid nehmen (wobei die Server-Software natürlich weiterhin proprietär ist). Kontalk basiert auf XMPP, vereinfacht aber die Benutzung. Wir würden es empfehlen, wenn es auch für iOS verfügbar wäre.

Die auf lange Sicht vielversprechendste Chat-Technologie ist das freie und offene XMPP-Protokoll (Jabber). Es ist dezentral, und alle Programme, die es beherrschen, können untereinander kommunizieren. In letzter Zeit funktioniert das auch mobil immer besser – zumindest auf Android-Geräten. Verschlüsselung ist dank OTR und Apps wie ChatSecure auch kein Problem mehr. Die Einrichtung wird auf Jabber.de auch für Anfänger.innen verständlich erklärt.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Metadatensparsamkeit als weiteres Kriterium

  • Signal ersetzt Redphone + Textsecure

  • Tor Messenger könnte in Zukunft Pidgin und Adium ersetzen

  • LibreSignal und SMSSecure – Signal/TextSecure ohne zwangsweise Google-Anbindung

  • Threema raus – es gibt genug gute quelloffene Alternativen

  • ChatSecure als empfohlener XMPP-Client für Mobilgeräte (Xabber ist nur für Android, kann keine Dateitransfers)

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links
Signal
LibreSignal
SMSSecure
Surespot
Telegram
Jabber.de
Pidgin
ChatSecure

Weiterführende Links
Secure Messaging Scorecard: Große tabellarische Übersicht über so gut wie alle WhatsApp-Alternativen von der EFF (englisch)
Android: Signal ohne Google Cloud Messaging
Mehr Informationen über mobile Instant Messenger (englisch)
Mehr Informationen über mobiles XMPP (englisch)

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Textsecure Logo: Kulandru mor auf Wikimedia Commons
Surespot Logo: Surespot
Telegram Logo: w:en:Javitomad auf Wikimedia Commons
XMPP Logo: Tsuruya auf Wikimedia Commons

Anonym im Internet mit Tor und unserem Privacy Dongle

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Nutzen Sie das Anonymisierungsnetzwerk Tor, um gezielt anonym zu surfen

Heute stellen wir in unserem Adventskalender das Anonymisierungsnetzwerk Tor vor. Denn genauso, wie niemand am Kiosk notiert, welche Zeitung Sie kaufen oder welches Obst Sie bei Ihrem Gemüsehändler anschauen, braucht niemand zu wissen, welche Seiten Sie im Internet besuchen.

Wenn Sie das Anonymisierungsnetzwerk Tor nutzen, verschleiern Sie, wer Sie sind. Auch Ihr Provider kann nicht mehr feststellen, was Sie anklicken. Das funktioniert natürlich nicht, wenn Sie dabei eine unverschlüsselte Verbindung nutzen und Informationen übertragen, die Rückschlüsse auf Sie zulassen.

Wie funktioniert Tor? – das Zwiebelsystem

Wenn Sie im Alltag eine Webseite ansurfen, können alle, die im Netz an der „richtigen Stelle“ sitzen, sehen, dass Sie zum Beispiel die Digitalcourage-Website aufgerufen haben. Die „richtige Stelle“ ist auf jeden Fall Ihre Internet-Anbieterin, denn Ihre DSL-Leitung geht zu ihr und sie kann potentiell alles sehen, was Sie im Internet machen. Geheimdienste haben noch ein paar weitere Stellen, an denen sie lauschen können.

Digitalcourage wirkt. Wirken Sie mit!

Tor anonymisiert, indem es Ihre Anfragen über eine Kette mehrerer – meist ehrenamtlich betriebener – Server im Internet weiterreicht. Dieses „Zwiebelsystem“ von Tor funktioniert mit drei Schichten (Tor-Relay-Servern). Ihr Computer baut eine verschlüsselte Verbindung zum ersten Server A auf. Durch diese verschlüsselte Verbindung baut Ihr Computer dann eine weitere verschlüsselte Verbindung zu einen zweiten Server B auf, dann nochmal das gleiche zu einem dritten Server C, dem sogenannten Exit-Node (Ausgangknoten). Die Server werden relativ zufällig aus der Menge aller Torserver ausgewählt. In dieser Verbindung kennt jeder der Server nur den Vorgänger und Nachfolger. Server A weiß, dass Ihr Computer mit B spricht, aber nicht wer C ist. Und schon B weiß nicht, von wo die Anfrage ursprünglich kam, denn er sieht nur A und C.

Durch diese Dreier-Konstruktion ist die Kommunikation so gut wie nicht zurückzuverfolgen und innerhalb des Tor-Netzes von außen nicht einsehbar – aber auch etwas langsamer.

Die vom Tor-Projekt entwickelte Software ist gut erforscht, und viele Forschungsergebnisse finden Eingang in die Weiterentwicklung der Software. Wer wirklich verstehen will, wie anonym das Anonymisierungsnetzwerk Tor ist und wie gut es gegen Angriffe abgesichert ist, sollte sich näher damit auseinandersetzen.

Auf die richtige Nutzung kommt es an!

Manchmal steckt der Teufel im Detail. Sie sollten sich nie zu sicher fühlen, auch wenn Sie über Tor surfen. Sobald Sie sich zum Beispiel in einem Forum mit Ihrem Benutzernamen einloggen oder einen anderen Dienst nutzen, der Ihnen zuzuordnen ist, ist die Anonymität aufgehoben. Zudem lässt auch der verwendete Browser über den Browserfingerabdruck Rückschlüsse auf Sie zu. Der auf Firefox basierende Tor Browser unternimmt einiges, um diese Risiken zu minimieren. Nutzen Sie ihn!

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Eine weitere Schwachstelle sind die Exit-Nodes, denn dort kommt Ihr gesamter Datenstrom heraus. Damit ein Exit-Node nicht alles mitlesen kann, müssen Sie darauf achten, die eigentliche Verbindung zum Zielserver ebenfalls zu verschlüsseln (zum Beispiel mit HTTPS). Das beim Tor-Browser mitgelieferte Add-on HTTPS Everywhere hilft dabei, aber wenn eine Webseite nur unverschlüsseltes HTTP anbietet, ist es machtlos.

Zusätzliche Add-ons oder gar Plugins sollten Sie im Tor-Browser nicht installieren, weil Ihr Browserfingerabdruck sonst eindeutiger würde. Aus diesem Grund sollten Sie auch die Fenstergröße nicht verändern und Javascript immer deaktiviert lassen. Flash und das Java-Plugin haben Sie hoffentlich ohnehin schon lange von Ihrem Computer verbannt.

Tor ist die beste uns bekannte Anonymisierungstechnologie (sagen auch Edward Snowden und seine Helfer), aber Ihren Computer müssen Sie selbst absichern, z.B. indem Sie Sicherheitsaktualisierungen zügig einspielen. Lassen Sie sich also nicht verführen, sich sicher zu fühlen, nur weil Sie „Sicherheitssoftware“ installiert haben!

Tor Onion Logo

Wo bekomme ich Tor?

Sie können sich die benötigte Software kostenlos beim Tor-Projekt herunterladen. Ist Ihnen die Installation zu umständlich, können Sie bei uns einen PrivacyDongle kaufen, auf dem die Software bereits installiert ist. Digitalcourage betreibt übrigens auch einen Tor-Exit für das Tor-Netzwerk.

Für Android-Nutzer gibt es eine speziell angepasste Version von Tor: Orbot. Hierbei sollten Sie bedenken, dass kein Programm sicherer sein kann als das Betriebssystem, auf dem es läuft. Vertrauliche Daten haben auf Telefonen und proprietären Systemen wie MS Windows einfach nichts zu suchen.

Es ist immer gut, sich mehr als nur ein bisschen auszukennen. Beim Thema „Sicherheit bei digitalen Systemen“ kann eine Lösung schnell zu neuen unerwarteten Problemen führen. Mehr über die Nutzung von Tor und die damit verbundenen Risiken finden Sie unter anderem bei heise.de.

Tor unterstützen

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Das Tor-Netzwerk wird umso sicherer, je mehr Menschen sich daran beteiligen. Wer nur den Tor-Browser einsetzt, beteiligt sich passiv. Wer aktiv teilnehmen möchte, kann risikoarm ein Tor-Relay (Eingangs- oder Mittelknoten) zuhause betreiben – am besten auf einem energiesparenden Kleinstcomputer, der immer online ist. Einen Exit-Knoten sollte man aus rechtlichen Gründen nicht zuhause betreiben, sondern in einem Rechenzentrum. Digitalcourage tut das als kleiner Beitrag für mehr Sicherheit und Geschwindigkeit im Tor-Netzwerk. Unser aktueller Tor-Exit-Knoten hat den Fingerabdruck 39659458160887CC8A46FAE627EE01EEDAAED07F 9EAD5B2D3DBD96DBC80DCE423B0C345E920A758D.

Auf der Tor-Projekt-Seite erfahren Sie weitere Möglichkeiten, das Tor-Projekt technisch zu unterstützen. Natürlich können Sie die Entwicklung von Tor auch finanziell unterstützen.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • neuer Tor-Exit von Digitalcourage

  • detaillierte Verhaltensregeln

  • Micah Lee bei Edward Snowden: „How to reclaim your privacy“ verlinkt

  • weitere Möglichkeiten, das Tor-Netzwerk zu unterstützen

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Tor onion Logo / Türchenbild: Tor Project CC BY 3.0 US

Digitale Dienste auch mal bezahlen

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Auch digitale Dienste haben einen Wert, den wir vor lauter Umsonstkultur häufig vergessen. Doch die vielen kostenlosen Dienste sind oft der Speck, mit dem man Ihre Daten-Mäuse zu fangen versucht. Zu digitaler Mündigkeit gehört auch die Bereitschaft, für geleistete Arbeit zu bezahlen. Zahlen Sie für den Service, den Sie nutzen und spenden Sie öfter mal an Ihre Lieblingsprojekte!

Messen Sie ihren digitalen Diensten Wert bei

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Sauber programmierte Tools machen Arbeit und kosten Geld. Mit politischer Arbeit ist es genauso. Kostenlose Dienste, die sich über Werbung finanzieren (und damit das Ausschnüffeln unserer Gewohnheiten zum Geschäft gemacht haben) haben uns verwöhnt. Nur wenige Menschen sind bereit, für digitale Dienste Geld zu bezahlen. Für ein gutes Brettspiel oder einen Kinobesuch legen wir bereitwillig einen entsprechenden Betrag auf den Tisch. Doch von Handyspielen, E-Mail-Postfächern und anderen digitalen Diensten wird erwartet, dass sie kostenlos sind. Fundierte, langfristige und funktionale Projekte brauchen Geld. Vereine wie Digitalcourage auch.

Freeware kommt nicht „for free“

Es gibt einen entscheidenden Unterschied zwischen „Freeware“ und „Free Software“, der vielen Menschen gar nicht bewusst ist:

  • Bei Freeware handelt es sich um Dienste, die kostenlos sind. Der Quellcode ist nicht offen, die Motivation hinter solch einem Dienst ist Profit. In den allermeisten Fällen geschieht das direkt über Werbung oder Datensammlung. Manche Freeware ist nur zur Marktfestigung oder zum eingeschränkten Ausprobieren der Software gedacht. Wichtig ist jedoch, sich klar zu machen: Hiervon möchte jemand anderes profitieren. Wenn nicht kommuniziert wird, wie, sollte Ihnen das zu denken geben.

  • Free Software -- (zu Deutsch: Freie Software): ist nicht unbedingt (aber meistens) kostenlos. Doch sie ist quelloffen und sie kann für alle Zwecke eingesetzt werden. Wer Freie Software erstellt, tut dies meist mit einem altruistischen, freiheitlichen Gedanken. Ausnahmen wie das Android von Google bestätigen auch hier die Regel. Bekannte Beispiele für Freie Software sind der Browser Firefox und das E-Mail-Programm Thunderbird.

GeldAuch kleine Spenden sind für die Arbeit gemeinnütziger Projekte eine große Unterstützung.

Seien sie Kundin, nicht das Produkt

Stellen Sie sich regelmäßig die Frage, weshalb ein digitaler Dienst kostenlos ist. Handelt es sich um Freeware oder um Freie Software? Und wie könnten Sie etwas dafür bezahlen? Denn wenn Sie für einen Dienst bezahlen, stellen Sie sicher, dass Sie Kunde sind, nicht das Produkt, das verkauft wird.

Erkundigen Sie sich, ob der gleiche Dienst auch mit einem anderen Geschäftsmodell angeboten wird. Einem, bei dem Sie für die Leistung, die Sie beziehen, mit Geld bezahlen können, statt mit Ihren Daten. In diesem Adventskalender haben wir auch schon welche vorgestellt.

Freie Software ist wertvoll

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Freie Software ist wertvoll, weil Sie transparent ist und von allen Menschen genutzt und gestaltet werden kann. Viele dieser Projekte funktionieren nur durch Ehrenamt. Doch Server verursachen auch Unterhaltskosten. Ziehen Sie in Betracht für einen Service wie Openstreetmap, Tor oder Open Office einen Betrag Ihrer Wahl zu spenden.

Politische Arbeit ist teuer

Auch Vereine und Organisationen leben meist nur von Spenden. Gerade politische Aktionen und Advocacy (Lobbyarbeit im Sinne der Allgemeinheit) verschlingen aber sehr viel Geld. Wenn Ihnen die Arbeit einer Organisation gefällt, honorieren Sie das mit Spenden, statt mit einem Tweet. Denn das sichert die weitere Arbeit. Digitalcourage ist von diesen Spenden abhängig. Ohne sie gäbe es auch diesen Adventskalender nicht.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Türchenbild: Metropolico.org auf flickr CC BY-SA 2.0

Befreien Sie Ihr Smartphone

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Es weiß besser über uns Bescheid als unsere Freund.innen und unser Tagebuch zusammen: Unser Smartphone kennt unsere Vorlieben und Schwächen bis ins letzte Detail. Kontrollieren Sie, wer Zugriff auf Ihr Smartphone hat.

Das Handy hat man fast immer dabei, und Apps wie Facebook und WhatsApp von Facebook senden alle paar Minuten den aktuellen Standort an ihre Herren. Denn wir sind zwar Besitzer.innen unserer Smartphones, ihre „Herren und Meister“ sitzen aber ganz woanders. Viele Apps greifen unnötig auf Daten zu. Die Erlaubnis erteilt man ihnen bei der Installation. Will man das nicht, kann man nur auf die App verzichten (es sei denn, Sie haben ein Android mit Privacy Guard – siehe unten). Sie sollten sich fragen: Will ich eine Taschenlampen-App, die Zugriff auf mein Telefonbuch verlangt?

Auch die Hersteller des Geräts, des Betriebssystems und der Telefonanbieter zapfen Daten ab. Beispielsweise kopiert sich Google regelmäßig alle Daten – inklusive Ihrer Passwörter, der WLAN-Passwörter Ihrer Freunde, Ihre Adressbücher, wann Sie wo sind, welche WLANs es dort gibt, und und und.

Dagegen kann man etwas tun. Abhängig davon, wie viel Energie Sie hineinstecken wollen und wie gut Sie sich auskennen. Aber die ersten Dinge kann jede.r machen:

Gewohnheiten anpassen

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

  • Sichern Sie Ihr Gerät mit einem Sperrcode. Wählen Sie dafür kein Muster, sondern eine Zahlenkombination, in der sich manche Zahlen wiederholen. Man erkennt Spuren vom Wischen nämlich sehr einfach auf der Oberfläche des Touchpads, wenn man es etwas schräg gegen das Licht hält.

  • Überdecken Sie die Linsen der Kameras bei Ihrem Smartphone. Meistens gibt es eine Linse nach vorne, die permanent auf Sie gerichtet ist, und eine nach hinten, die Sie auf andere Menschen richten. Diese haben keine Möglichkeit, zu erkennen, ob Sie sie vielleicht gerade heimlich fotografieren. Eine elegante Lösung dafür finden Sie in unserem Shop.

  • Sichern Sie regelmäßig die Daten Ihres Geräts. Löschen Sie z.B. Fotos, die Sie nicht mehr auf dem Handy brauchen. Diese können bei Verlust nicht mehr in die falschen Hände geraten.

Alle „Synchronisation“ ausschalten und alle unbenutzten Konten löschen

Wer ein Samsung-Handy mit Android über Vodafone hat, bei dem klauen gleich alle drei die Daten: Google sowieso, Samsung über die Sachen, die sie in Android eingebaut haben, und Vodafone über Apps, die sie standardmäßig installieren. Bei anderen Anbietern ist das vergleichbar.

Darum als ersten Schritt alle Konten löschen, die man nicht braucht. Wir empfehlen, auch das Google-Konto komplett zu löschen. Dann kann man zwar nicht mehr im Google App-Store einkaufen, aber es gibt auch hierfür Alternativen (siehe unten bei F-Droid).

Wer dennoch seine Kontakte und Termine zwischen Geräten synchronisieren will: Manche Mail-Provider (wir wissen von posteo und mailbox.org) bieten auch das an. Dazu kann man z.B. DAVdroid (kostenlos erhältlich im F-Droid, Spenden erwünscht) installieren und einrichten. Wer seinen eigenen Server betreibt, kann auch dorthin synchronisieren – siehe DAVdroid-Website.

Alle Apps löschen, von denen unklar ist, was sie tun, oder die man nicht braucht.

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Wer ein iPhone hat, hat ab hier eigentlich schon verloren und ist entmündigt. Apple lässt keine alternativen Appstores zu, alternative Firmware gibt es auch nicht und die Herrschaft wiedererlangen ist ungleich schwieriger als mit Android.

Eine App will sich nicht löschen lassen? Werden Sie ruhig etwas unwillig und bockig. Denn: Ja, es ist eine Frechheit, dass Sie nicht die Kontrolle über Ihr eigenes Gerät haben. Pflegen Sie diesen Unmut, denn er ist eine wichtige Motivationsquelle, sich die Mühe zu machen, Ihr Gerät zu befreien.

Play-Store raus, F-Droid rein

Um an gute Apps zu kommen, brauchen Sie keinen Play-Store (der ja nur mit Google-Account funktioniert). Denn es gibt einen alternativen App-Store mit dem Namen „F-Droid“, in dem ausschließlich Freie Software vertrieben wird. Dieser liefert Apps für die wichtigsten Funktionen und führt auch Spiele und viele Spielereien.

Schmeißen Sie den Play-Store aus Ihrem Gerät und nutzen Sie F-Droid! In der Broschüre der FSFE wird einfach beschrieben, wie das geht. Dort finden Sie auch eine erste Auswahl an nützlichen Apps (z.B. K9-Mail für E-Mail, OsmAnd für die Navigation und Transportr (früherer Name: Liberario) für den ÖPNV).

Android warnt, wenn man Apps aus „unbekannter Quelle“ installieren möchte. Darunter fällt auch der F-Droid. Das soll davor schützen, dass man versehentlich Schadsoftware installiert. Es fesselt einen aber auch an den Google App-Store und vermittelt den Eindruck, dass alle andere Quellen nicht vertrauenswürdig sind. Prinzipiell sollte man sich allerdings immer die Frage stellen, welche Software man sich installiert. Auch im Play-Store findet man versteckte Malware und Spionage-Apps.

Der F-Droid Client kann auch andere App-Quellen, sogenannte „Repositories“, verwalten und die Software von dort aktualisieren. Beispielsweise die des Guardian-Projekts, das u.a. Orbot und ChatSecure entwickelt. Auf unsere Anregung hin ist das Repository des Guardian-Projekts sogar schon im F-Droid-Client vorbereitet und muss nur noch eingeschaltet werden. Dazu im Menü (zu erreichen über die Menü-Taste des Handys) „Paketquellen verwalten“ wählen und dort „Guardian Project Official Releases“ einschalten. Auch bei F-Droid findet man mitunter Software mit problematischen Eigenschaften wie Tracking und Werbung. Das F-Droid-Team warnt aber in der Beschreibung jeweils deutlich vor diesen „Anti-Features“, damit Sie selbst eine informierte Entscheidung fällen können.

Die Herrschaft über das Gerät wiedererlangen – „rooten“

Rooten Sie Ihr Smartphone. Das bedeutet, dass Sie Administrator.in Ihres Handys werden. Mit allen Freiheiten und damit verbundener Verantwortung. Gehen Sie also umsichtig mit dieser Macht um. Aber keine Sorge: Auch hier werden Sie bei gefährlichen Aktionen gefragt, ob Sie das nun wirklich tun wollen. Wenn eine App plötzlich Adminstrator-Rechte haben will (bei Android nennt sich das „Superuser-Rechte“), sollten Sie z.B. hellhörig werden.

Wenn Sie Ihr Handy gerootet haben, können Sie auch Programme entfernen oder deaktivieren, bei denen das sonst nicht geht (z.B. die vielgehasste, meist überflüssige „Bloatware“ der Hardware-Hersteller). Vor allem können Sie dann aber sehr nützliche Programme installieren, die ohne Root-Rechte nicht oder nur eingeschränkt funktionieren. Wie z.B. vollständige Backups, einen systemweiten Werbeblocker, oder XPrivacy, womit Sie volle Kontrolle über Ihre Apps erlangen können.

Wie Sie Ihr Handy rooten können, ist von Hersteller zu Hersteller verschieden. Suchen Sie einfach mit ihrer Lieblingssuchmaschine nach der Bezeichnung Ihres Smartphones und „rooten“. Oder sehen Sie bei CyanogenMod nach.

Alternatives Betriebssystem installieren

Wenn Sie noch mehr Kontrolle über Ihr Gerät erhalten möchten, können Sie eine alternative Firmware installieren. Solche alternativen Smartphone-Betriebssysteme nennt man auch „Custom ROM“. Dafür brauchen Sie ebenfalls Root-Rechte auf Ihrem Gerät.

FreeYourAndroidGross

Mit dieser Kontrolle können Sie verschiedene Betriebssysteme installieren. Wir empfehlen Custom ROMs mit „Privacy Guard“, einer ursprünglich von CyanogenMod entwickelten Erweiterung, die es möglich macht, Apps jederzeit einzelne Rechte zu entziehen:

  • Replicant ist das vertrauenswürdigste Android, weil es den größten Anteil an quelloffener Software hat. Leider werden nur wenige Geräte unterstützt; das neuste davon ist das Samsung Galaxy S3.
  • Paranoid Android unterstützt etwas mehr Geräte, aber auch nicht sonderlich viele. Leider enthält es proprietären Google-Code.
  • SlimRom ist ein schlankes ROM, das ebenfalls Privacy Guard enthält.

Am einfachsten zu installieren ist derzeit CyanogenMod. Es wird auch durch die meisten Geräte unterstützt. Die Free Software Foundation Europe hat in der von uns unterstützten Kampagne „Free your Android“ alle wichtigen Informationen dafür zusammengetragen. Mike Kuketz und andere haben in der Artikelserie „Android ohne Google“ weitere exzellente Anleitungen in diesem Sinne geschrieben.

Achtung: Seit CyanogenMod kommerzialisiert wurde, hat es viel Vertrauen eingebüßt. Nicht ohne Grund: Z.B. sind auch hier Google-Dienste standardmäßig eingestellt, und Google Analytics ist eingebaut. Sie lassen sich allerdings problemlos entfernen. Ehemalige CyanogenMod-Entwickler arbeiten jetzt an der nichtkommerziellen Alternative OmniROM weiter. CyanogenMod und alle anderen Custom ROMs vertragen sich übrigens hervorragend mit dem App-Store F-Droid.

... oder schneller und einfacher

Digitalcourage wirkt. Wirken Sie mit!

Der einfachste Weg, an ein freiheitsliebendes Replicant-Telefon zu kommen, besteht darin, sich das Tehnoetic S2 aus Rumänien schicken zu lassen. Es handelt sich um generalüberholte Samsung Galaxy S2, auf denen Replicant OS installiert wurde. Bald soll es auch Modelle auf der Grundlage des Samsung Galaxy S3 geben.

Wenn Sie lieber ein fabrikneues Gerät möchten, können Sie sich mittlerweile Smartphones kaufen, auf denen CyanogenOS ab Werk installiert ist. CyanogenOS kommt von den selben Entwicklern wie CyanogenMod, ergänzt die freie Software allerdings um ein paar unfreie Anteile. Eine uneingeschränkte Empfehlung können wir dafür also nicht aussprechen.

Interessant sind auch die leistungsstarken, aber bezahlbaren Geräte des chinesischen Herstellers OnePlus: Das mitgelieferte OxygenOS ist ein schlankes Android, das beim Installieren von Apps warnt, wenn diese zu viele Rechte verlangen.

Beim Fairphone 2 stehen zwar faire Produktionsbedingungen und Nachhaltigkeit im Vordergrund, aber auch das vorinstallierte Betriebssystem kann sich sehen lassen: Auf Basis eines aktuellen Android-Systems wurden recht sinnvolle Erweiterungen eingebaut, z.B. Privacy Impact: Wenn Sie eine App zu ersten Mal benutzen, werden Sie darüber informiert, welche Rechte diese hat und wie sich das auf Ihre Privatsphäre auswirkt. Dass hier die Facebook-App nur bei „mittel“ eingeordnet wird, halten wir allerdings für eine gefährliche Verharmlosung.

Wenn Sie Android nicht mögen, aber Linux schon, gibt es seit dem angekündigten Ende des Handy-Betriebssystems Firefox OS nicht mehr viele Open-Source-Alternativen. Seit Februar 2015 können Sie Telefone mit Ubuntu Touch kaufen. Berichten Sie uns bitte Ihre Erfahrungen.

Ein weites Feld

Smartphones sind komplex und die Software entwickelt sich rapide weiter. Über Smartphones allein hätten wir einen ganzen Adventskalender füllen können. Es gibt z.B. noch die Möglichkeit, den Play-Store zu nutzen, ohne ihm überflüssige Rechte zu erteilen. Es gibt viele gute Apps, die wir empfehlen könnten. Oder wie man Grundeinstellungen in Smartphones richtig setzen kann. Wir arbeiten derzeit daran, all das zusammenzutragen. Für den Adventskalender wollten wir es aber nicht zu umfassend machen. Wenn Sie allein die hier genannten Tipps befolgen, sind Sie schon einen großen Schritt weiter.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 04.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns bitte Bescheid.

Links
Free your Android von der FSFE
F-Droid

Bilder
FreeYourAndroid CC-BY 3.0
Türchengrafik: Fabian Kurz CC BY SA 4.0

Anti-Tracking-Tools: Weniger Spuren im Netz hinterlassen

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Spuren im Netz

Dass man beim Browsen Spuren im Netz hinterlässt, ist kaum zu verhindern. Man kann sie aber beeinflussen und minimieren. Ganz kurz die Grundlagen: Fast alle Webserver speichern Logdateien, in denen eine ganze Menge steht. Üblicherweise werden bei jedem Zugriff folgende Daten gespeichert: IP-Adresse, Datum und Uhrzeit, HTTP-Anfrage, HTTP-Statuscode, Größe der Antwort, Referer (URL der Seite, von der verlinkt wird), User-Agent (Browser mit Versionsnummer).

Radikales Spurenverwischen mit Tor

Digitalcourage wirkt. Wirken Sie mit!

Besonders IP-Adresse und User-Agent lassen Rückschlüsse auf Ihre Identität zu. Um beides zu verschleiern, könnten Sie den Tor-Browser benutzen, z.B. mit unserem PrivacyDongle. Aber in diesem Türchen gehen wir davon aus, dass Sie den Betreibern der Websites, die Sie ansteuern, vertrauen.

So funktioniert Tracking

Leider sind aber die meisten Websites heute mit Trackern verseucht. Das sind winzige, transparente Bildchen (Zählpixel, Beacons, Webbugs) oder JavaScript-Schnipsel. Zählpixel sorgen dafür, dass ein Webserver-Logeintrag auf einem weiteren Server anfällt, z.B. bei der VG Wort. Ungleich neugieriger sind JavaScript-Tracker: Die im Browser eingebaute Programmiersprache kann noch viel mehr Informationen ermitteln – so viele, dass Sie damit oft eindeutig identifiziert werden können. Webstatistik-Dienste wie das allgegenwärtige Google Analytics sammeln Daten mittels solcher Tracker.

Tracking: Sie werden verfolgt

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Richtig problematisch wird es, wenn derselbe Datensammeldienst von vielen Websites eingebunden wird, denn dann werden Sie wirklich auf Schritt und Tritt verfolgt. Neben Google Analytics setzen auch die Werbeeinblender Tracker ein. Um Sie auch ganz sicher wiederzuerkennen, setzen diese zusätzlich Cookies auf Ihrem Rechner ab. Den Online-Werbemarkt teilen sich zur Zeit vor allem DoubeClick (gehört Google) und Facebook Exchange (FBX), die untereinander schon mal Daten austauschen. Twitter hat auf diesem Markt steigende Bedeutung.

Facebook? Google? Twitter? Ausgerechnet die Betreiber der größten „sozialen Netzwerke“ sind auch die größten Werbefirmen, Datensammler und -händler. Selbst wenn Sie „Social Media“-Schaltflächen nicht aktiv benutzen, werden Daten an Facebook, Google, Twitter und andere versendet, die Ihre Surfgewohnheiten zu einem Profil verknüpfen können. Und falls Sie bei diesen Firmen selbst ein Social-Media-Profil pflegen, wird das natürlich alles zusammengeführt.

Analysetools sind nicht prinzipiell schlecht

Nicht alle Analysetools sind prinzipiell schlecht. Wir halten es aber für zumutbar, dass Websitebetreiber die Daten auswerten, die sie ohnehin in ihren – hoffentlich anonymisierten – Logfiles haben. Vielleicht möchten Sie aber einzelne Tracker zulassen, etwa das dezentral installierbare Open-Source-Analysetool Piwik oder die VG Wort. Die vorgestellten Add-Ons bieten die Möglichkeit, einzelne Inhalte und Analysetools freizuschalten – welche, das entscheiden Sie!

PrivacyBadgerMedium

Unterbinden Sie Tracking!

  • Schritt 1: Installieren Sie einen Werbeblocker wie uBlock Origin und aktivieren Sie darin auch Anti-Tracking-Filterlisten (z.B. EasyPrivacy), wie wir es im 12. Türchen beschrieben haben.
  • Schritt 2: Installieren Sie ein Anti-Tracking-Add-on. In der Vergangenheit haben wir Ghostery empfohlen, aber mit Bauchschmerzen, weil es nicht quelloffen ist. Inzwischen gibt es ausgezeichnete Open-Source-Alternativen.
  • Schalten Sie im Firefox den Tracking-Schutz ein, indem Sie auf about:config den Wert privacy.trackingprotection.enabled auf true schalten. Hier eine ausführliche Anleitung. Dadurch werden bekannte Tracker blockiert. Die Liste von Trackern stammt aus dem Disconnect.me-Projekt.
  • Installieren Sie PrivacyBadger. Dieses Add-on erkennt Tracker daran, dass sie auf mehreren Websites vorkommen, und bietet Ihnen an, sie zu blockieren. Sie behalten die Kontrolle.

NoScriptMedium

Aber ich will die volle Kontrolle!

Sehr gut! Für fortgeschrittene User eignen sich die Browser-Add-ons NoScript und RequestPolicy. Wer sie nutzen will, sollte sich mit den Grundlagen von HTML und HTTP auskennen.

Das Add-On NoScript kontrolliert das Ausführen von JavaScript, Java, Flash und anderen Inhalten auf Webseiten – insbesondere dann, wenn diese Ressourcen von einem Drittanbieter eingebunden werden sollen. Dadurch wird unter anderem das Auslesen der auf Ihrem Rechner installierten Schriftarten unterbunden, die eine wichtige Rolle für den Browserfingerabdruck spielen.

Nach dem Installieren von NoScript werden diese Inhalte grundsätzlich blockiert, können aber mit einem Klick für einzelne Webauftritte, denen Sie vertrauen (z.B. beim Onlinebanking), wieder zugelassen werden. Sie können entscheiden, ob die Inhalte lediglich einmalig erlaubt werden, oder ob Sie die Seite zu einer sogenannten Whitelist hinzufügen; das bedeutet, dass Inhalte dauerhaft angezeigt werden, ohne dass Sie es bei jedem Besuch bestätigen müssen.

Umleitungen verhindern

RequestPolicy ist eine Erweiterung, die sich gegen Umleitungen auf andere Webseiten und damit verbundene Angriffe richtet und diese unterbindet.

RequestPolicyFlagge

Wenn eine Webseite versucht, eine Umleitung auf eine andere Seite vorzunehmen, kann dies durchaus berechtigt sein: Wenn Sie beispielsweise versuchen den FoeBuD zu erreichen, wird RequestPolicy Ihnen anzeigen, dass versucht wird, auf Digitalcourage umzuleiten. Wir kriegen davon natürlich nichts mit, doch Werbefirmen verwenden diese Umleitungen häufig, um damit das Surfverhalten zu analysieren und zu ermitteln, welche Seiten besucht wurden. Hier greift RequestPolicy ein und ermöglicht die Auswahl, welche Weiterleitungen tatsächlich durchgeführt werden sollen.

Durch das Unterbinden der automatischen Weiterleitung werden außerdem sogenannte Cross-Site-Request-Angriffe verhindert. Ist man bei einem Webdienst angemeldet, kann eine präparierte Seite durch eine Umleitung im Namen des Nutzers dort eine Aktion ausführen. Auch hier hilft RequestPolicy Schaden abzuwenden.

Die Entscheidung zu Freiheit nervt nur anfangs

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Mit der Installation der vorgestellten Add-Ons gehen zunächst einige Einschränkungen einher. Bei Seiten, auf denen zuvor alles "reibungslos" funktionierte, müssen Sie nach und nach die einzelnen Inhalte freigeben. Das kann manchmal nerven. Wenn Sie einmal nicht wissen, welche Inhalte wirklich notwendig sind: Probieren Sie es aus! Sie können Freigaben jederzeit zurücksetzen. Schon nach kurzer Zeit werden Sie besser einschätzen können, welche Inhalte wirklich gebraucht werden und welche sie getrost unterdrücken können.

Auch wenn dies zu Beginn sehr anstrengend und manchmal auch nervenaufreibend sein kann, erlaubt es einen weiteren Blick hinter die Kulissen. Sie werden erstaunt sein, wie viele Inhalte im Hintergrund einer Webseite laufen, und wie wenige davon für die eigentliche Funktion der Seite nötig sind. So wird die Entscheidung zu mehr digitaler Freiheit von Tag zu Tag leichter.

Aber mein Browser hat schon einen privaten Modus!

Der private Modus von Firefox und der Inkognito-Modus von Chromium/Chrome sind in erster Linie dafür gedacht, auf Ihrem eigenen Computer so wenige Spuren wie möglich zu hinterlassen. Diese Funktion zu nutzen, ist also vor allem dann sinnvoll, wenn auch andere Personen Ihren Computer benutzen. Im Netz hinterlassen Sie auch in diesem Modus reichlich Spuren. Aber wer weiß – vielleicht wird das ja irgendwann besser.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:
komplett neu geschrieben

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder
Türchengrafik: Fabian Kurz CC BY SA 4.0
Türchenbild: EFF CC BY 3.0 US
Flagge: RequestPolicy CC BY-SA 4.0
NoScript Logo: AThing

Lightbeam – Wer schnüffelt mit?

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Licht ins Dunkel bringen

Nicht nur die Winterzeit ist durch ihr undurchdringliches Dunkel gekennzeichnet, auch die Verbindungen der Seiten, die wir im Internet besuchen, stellen sich für uns als dunkle Weite dar. Deshalb stellen wir heute eine Möglichkeit vor, Licht in dieses Dunkel zu bringen.

Lightbeam – durchleutet das Internetdickicht

Digitalcourage wirkt. Wirken Sie mit!

Ein Großteil der heutigen Webseiten bindet Inhalte wie Schriftarten, Werbung, Webstatistik-Tracker, Bilder, Videos und andere Ressourcen von Drittanbietern wie Google, Facebook, Twitter und einigen großen Content Distribution Networks (CDN) ein. Die Erweiterung Lightbeam (ehemals Collusion) stellt die Verbindungen zwischen einzelnen Webseiten graphisch dar und erlaubt so einen Blick hinter die Kulissen. Verschaffen Sie sich einen Überblick darüber, wie die Webseiten, die Sie besuchen, miteinander in Verbindung stehen.

LightbeamLogo

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Nach der Installation gelangen Sie mit einem Klick auf das Lightbeam-Logo rechts oben in Ihrem Browser auf die Lightbeam-Übersicht. Neben dem Aufzeichnungszeitraum und den direkt angesurften Seiten werden auch die Seiten von Drittanbietern aufgelistet und die Verbindungen in einem Netzwerk-Graphen dargestellt. Besonders wenn Sie Cookies und Skripte von Drittanbietern nicht deaktiviert haben, werden Sie über die Verknüpfung von vermeintlich unabhängigen Webseiten erstaunt sein. In unserem Adventskalender werden wir auch dazu noch einige Gegenmaßnahmen vorstellen. Bleiben Sie dran.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Mehr Beispiele für oft eingebundene Ressourcen werden angeführt.

  • Ein Hinweis auf CDN wurde eingefügt.

  • Der ZDF-Artikel ist leider depubliziert – er wurde durch einen Spiegel-Artikel ersetzt.

  • In der ersten Version des Artikels wurde beschrieben, dass die Daten optional an eine Datenbank von Mozilla gesendet werden können. Mit der Version 1.1.0. wurde die Option die Daten zu Teilen entfernt, da die Datenbank eingestellt wurde.

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links
Lightbeam
Wikipedia: Collusion/Lightbeam

Bilder
Lightbeam-Logo / Türchenbild: mozilla.org CC BY-SA 3.0
Türchengrafik: Fabian Kurz CC BY SA 4.0

Gemeinsam aktiv sein: Lesungen und CryptoParties

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Man kann ja eh nix machen? In bisher 12 Türchen haben wir Ihnen gezeigt, dass das nicht stimmt. Doch mit der Privatheit ist es ähnlich, wie mit der Freiheit: Ich habe sie nur, wenn mein Nachbar sie auch hat. (Denn wenn keiner außer mir etwas zu verbergen haben, werde ich allein dadurch verdächtig.) Deshalb ist der Selbstschutz nicht das einzige, was Sie tun können und sollten. Mindestens genau so wichtig ist es, in die Gesellschaft hinein zu wirken: Mitmenschen für Datenschutz zu sensibilisieren.

Digitalcourage wirkt. Wirken Sie mit!

Dafür müssen Sie nicht gleich eine Demo oder einen Infostand organisieren. Sie können auch klein anfangen. Mit einer „Lesung gegen Überwachung“ mit Freund.innen in Ihrem Wohnzimmer. Oder mit einer Cryptoparty, bei der Sie gemeinsam lernen, wie man eigene Geräte sicher macht.

Lesen gegen Überwachung

Beruht auf einem ganz simplen Prinzip – egal wie groß die Gruppe ist: Es ist immer machbar und funktioniert immer. Wir laden einfach ein paar Leute ein, gemeinsam Texte gegen Überwachung zu lesen.

  • das geht super im eigenen Wohnzimmer - oder im Lieblingscafé

  • einfach starten und in zwei Wochen mal ein paar Freunde dazu einladen

  • die Lokalredaktionen der örtlichen Zeitungen anrufen und auf die Veranstaltung aufmerksam machen

  • Texte und Tipps finden sich auf lesen-gegen-ueberwachung.de

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Es ist ein riesiger Unterschied, ob man einen Text von Heribert Prantl alleine oder gemeinsam mit anderen liest und darüber diskutieren kann. Und egal ob drei Leute zusammen kommen oder dreißig, es wird immer eine gute Gelegenheit sein, neue Verbündete zu finden.

Und das Konzept geht auf. Über unsere erste Lesung sagte padeluun:

Die Veranstaltung an sich war bezaubernd. Nicht nur, weil eine über 80-jährige Dame spontan aufstand und aus dem Kopf heraus Goethe zitierte, sondern weil sich zu dieser Vor-Lesung eine ganze Handvoll Menschen eingefunden hatten, die sich wirklich mit dem Kopf und dem Herzen mit dem Thema Überwachung beschäftigen wollten.

Cryptoparty

Schon mal von „Cryptoparties“ gehört? Die Idee ist: Leute mit einiger Ahnung laden zu einem offenen Treff in beliebige Räume ein (Hinterzimmer einer Kneipe, Wohnzimmer etc.) und zeigen allen, die mit ihren Laptops vorbeikommen, wie man verschlüsselt kommuniziert, seine Festplatte zur Festung ausbaut und seinen Browser absichert. Diese Leute können ihr Wissen auf der nächsten Cryptoparty weitergeben. So kann sich das Wissen um Selbstverteidigung im Netz exponentiell verbreiten. Übrigens: Auch Edward Snowden hat vor drei Jahren auf Hawaii eine Cryptoparty veranstaltet.

Cryptopartylogo

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

  • Fast jeder kennt jemanden, der jemanden kennt, der sich auskennt. Diese Person muss man gewinnen, die erste Cryptoparty als Expert.in zu gestalten.

  • Am besten sagt man auch hier der Lokalpresse Bescheid; die sich meistens voller Begeisterung zeigt und das Ereignis gerne ankündigt.

  • Bei der Veranstaltung selbst macht man dann gemeinsam die eigenen Geräte sicher

  • Und dann geht's darum, das neu erworbene Wissen zu teilen: Jetzt müssen Besucher.innen unserer Cryptoparties ihrerseits eine Cryptoparty veranstalten und ihr Wissen weiter geben.

  • Zur besseren Planung gibt es eine Übersicht der Termine für Cryptoparties weltweit.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 04.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns bitte Bescheid.

Bilder
CryptoParty-Logo / Türchenbild: CryptoParty.in CC0 1.0
Türchengrafik: Fabian Kurz CC BY SA 4.0

Werbeblocker

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

An Briefkästen ist der „Bitte keine Werbung“-Aufkleber mittlerweile häufig zu sehen, denn weniger Werbung bedeutet weniger Müll und Ärger. Auch im Internet ist man lästiger Werbung nicht schutzlos ausgeliefert, in unserem heutigen Türchen stellen wir das Gegenstück für den Browser vor.

Selbstbestimmt im Web: Werbung blockieren!

Aufgepasst! Nur noch für kurze Zeit: Dezemberfördermitglied werden.
(Dieses Textfeld respektiert Ihre Privatsphäre.)

Werbeanzeigen können nicht nur nerven, häufig werden über Werbebanner auch Cookies abgelegt und damit Daten über das Surfverhalten gesammelt. Mit der Browsererweiterung uBlock Origin für Firefox (auch Firefox for Android), Chromium (hier noch unter dem Namen µBlock) und Safari wird Werbung und andere unerwünschte Inhalte blockiert, so dass Sie ungestört surfen können. Möchten Sie auf einer Website trotzdem Werbung angezeigt bekommen, können Sie diese per Knopfdruck aktivieren. Wichtig ist, dass Sie das selbst entscheiden. Und lassen Sie sich kein schlechtes Gewissen einreden. Klicken Sie lieber in den uBlock-Einstellungen auf den Reiter „Vorgegebene Filter“ und aktivieren Sie zusätzliche Filterlisten (z.B. alles, was in den Abschnitten „Werbung“ und „Privatsphäre“ steht), um alles rauszufiltern, was Sie stört. Danach klicken Sie noch auf „Änderungen anwenden“ und „Jetzt Aktualisieren“.

AddblockerKlein

Keine Empfehlung für „Adblock“ oder „AdBlock Plus“

Viele Nutzer.innen verwenden „Adblock“ oder „AdBlock Plus“, Browsererweiterungen, die ähnlich wie uBlock arbeiten, jedoch in Kritik geraten sind. Auch wir haben im letzten Jahr AdBlock Plus noch empfohlen. (WIchtige Regel für die Digitale Selbstverteidigung: Keine Empfehlung gilt ewig.) Berichten zufolge haben Google, Amazon, United Internet und andere insgesamt 30 Millionen US-Dollar an „AdBlock Plus“ gezahlt, damit ihre Werbeanzeigen trotz Werbeblocker den Nutzer.innen doch angezeigt wurden. Später ging auch Adblock diesen Weg. Haben Sie noch „Adblock“ oder „AdBlock Plus“ installiert, raten wir daher dazu, dieses Add-on (und andere mit „AdBlock'“ im Namen) durch uBlock Origin zu ersetzen. uBlock ist ohnehin schneller und ressourcenschonender (weshalb eine weitere Alternative, Adblock Edge, nicht mehr weiterentwickelt wird). Die zur Zeit am weitesten entwickelte Variante von uBlock ist uBlock Origin.

Werbung im E-Mail-Postfach

Garantiert kein Spam: Unser Newsletter mit 100% Gehalt.
(Dieses Textfeld respektiert Ihre Privatsphäre.)

Doch auch der digitale Briefkasten, das E-Mail-Postfach, wird häufig durch Werbung überschwemmt. Neben sogenannten Spam-Nachrichten, die in der Regel von den Mailanbietern zuverlässig ausgefiltert werden, blenden Anbieter, wie GMX, web.de oder Gmail Werbeanzeigen in Postfächer ein, wenn man Mails über den Browser abruft. Dies können Sie durch Nutzung eines E-Mail-Programms oder durch die Wahl Ihres Anbieters vermeiden. Der Anbieterwechsel kann weitere Vorteile haben, wie verschlüsselte Speicherung auf dem Server, Betrieb der Server mit Ökostrom und anonyme Nutzung des Postfachs.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Adblock, Adblock Plus und Adblock Edge ersetzt durch uBlock Origin

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 01.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links
uBlock Origin

Bilder
Bild / Türchenbild: Raymond Hill
Türchengrafik: Fabian Kurz CC BY SA 4.0

Auskunftsrechte

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Ach wie gut, dass niemand weiß… Oder doch?

Sie haben ja sowieso nichts zu verbergen? Und das Internet nutzen Sie auch nicht so häufig? Leider ist das Internet nicht der einzige Ort dieser Welt, an dem personenbezogenen Daten gesammelt, gespeichert und verarbeitet werden. Auch in der Alltagswelt werden zu Hauf Daten gesammelt; hier heißen die Sammler beispielsweise Bertelsmann, PayBack, Schufa, Deutsche Bahn, Deutsche Post und Meldebehörde.

Was macht ihr mit meinen Daten?

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Wie detailliert das Bild über den Einzelnen dabei werden kann, wie lange Daten gespeichert werden und wie schwierig es ist Auskunft über die gespeicherten Daten zu erhalten, hat der Grünen-Politiker Malte Spitz in dem Buch „Was macht ihr mit meinen Daten?“ anhand seiner eigenen Person zusammengestellt. Für einen ersten Eindruck gibt es eine Visualisierung der erfragten Daten auf seiner Website. Die Odyssee, die hinter der Recherche zu den eigenen Daten stand, ist lesenswert und unterhaltsam.

Auskunftsrechte – so können Sie Auskunft über gespeicherte Daten erlangen

Es gibt ein gesetzliches Auskunftsrecht, dessen Grundlage das Bundesdatenschutzgesetz ist. Die Bundesdatenschutzbeauftragte und das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein haben Musteranschreiben zusammengestellt, mit denen Auskünfte beantragt werden können.

Infoschild
Informieren Sie sich, was andere über Sie wissen!

Um eine Selbstauskunft bei deutschen Behörden einzuholen gibt es einen Auskunftsgenerator, der sich primär an Journalist.innen richtet: Frag-den-Dienst.

Bei international agierenden Unternehmen ist die Auskunft unter Umständen nicht nach dem deutschen Datenschutzgesetz einholbar, sondern nach dem jeweiligen Recht des Geschäftssitzes. Da zum Beispiel Facebook bei einem Auskunftsgesuch die Daten nur unvollständig übermittelt, kann man sich daher an die irische Datenschutzbehörde wenden, um die Herausgabe der gesammten Daten durchzusetzen.

Auskunfteien

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Auch gegenüber Auskunfteien wie der Schufa gibt es seit einigen Jahren die Möglichkeit, einmal im Jahr eine kostenlosen Selbstauskunft einzuholen. Machen Sie Gebrauch von diesem Auskunftsrecht, denn je mehr Menschen ihre Daten einfordern, um so teurer wird das Daten-Sammeln für die Datenkraken! Sollten Sie auf Ihre Anfrage keine oder eine abschlägige Antwort erhalten, senden sie eine zweite Anfrage mit einer Kopie an den zuständigen Beauftragten für Datenschutz und Informationssicherheit ihres Bundeslandes. Um Auskünfte bei den großen Auskunfteien (Schufa, Creditreform, Deltavista Schufa, arvato Infoscore) einzuholen, gibt es den Auskunftsgenerator von Datenschmutz, der Ihnen die mühsame Handarbeit abnimmt. Zudem werden Anfragen an deutsche und europäische Ermittlungsbehörden unterstützt.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • Auskunftsgenerator von Datenschmutz hinzugefügt

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 02.12.2015. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bilder:
Infoschild / Türchenbild: Magnus Akselvoll auf Flickr CC BY 2.0
Türchengrafik: Fabian Kurz CC BY SA 4.0

Sicherheit beginnt mit „P”: Sichere Passwörter

Dieser Artikel stammt aus dem Jahr 2015 und ist daher potentiell veraltet. Schauen Sie doch mal in unseren aktuelleren Adventskalender oder bei der digitalen Selbstverteidigung.

Gerade keine Zeit?

Für Eilige empfehlen wir das Video und den XKCD-Comic zum Thema.

Alle Jahre wieder... Passwortsicherheit

Verlässlich wie der Weihnachtsmann tauchen alle Jahre wieder die Fragen auf, wie man es schafft, sich ein sicheres Passwort auszudenken und es sich auch zu merken. Und überhaupt: Wie sieht ein sicheres Passwort aus? Wir geben in unserem heutigen Türchen einige Tipps und Denkanstöße, wie man Passwörter erstellt und verwaltet.

Was ist ein sicheres Passwort?

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Im November 2013 wurden aus einer Kundendatenbank der Firma Adobe Systems Inc. (zu deren Produkten der bekannte PDF-Reader Acrobat, der Flash Player und viele weitere Programme gehören) mindestens 38 Millionen Passwörter gestohlen und anschließend eine Liste der 100 beliebtesten Passwörter veröffentlicht. Beliebte Passwörter waren: „123456“ (Platz 1), „123456789“ (Platz 2), „password“ (Platz 3) und der Fingerschwenk „asdfghjkl“ (Platz 56). Solche Passwörter werden von Millionen Nutzer.innen verwendet.

Angriffe mit dem Wörterbuch

Diese Passwörter sind nicht sicher, da sie mit sogenannten Wörterbuchangriffen in kürzester Zeit geknackt werden können. Im Gegensatz zur Brute-Force-Methode, bei der ein Angreifer „mit roher Gewalt“ (engl.: brute force) einfach alle möglichen Passwörter nacheinander durchprobiert, benutzen die Angreifer bei Wörterbuchangriffen eine Liste häufig benutzter Wörter und Passwörter. Die Zeiten, die ein Angreifer mit einer Brute-Force-Attacke benötigt, sind hier übersichtlich und mit Erklärungen dargestellt.

Gute Passwörter helfen

Gegen diese beiden Angriffe kann man sich durch die Wahl eines geeigneten Passwortes relativ gut absichern: Es sollte möglichst zufällig gewählte Kombinationen aus Buchstaben und Sonderzeichen beinhalten (gegen Wörterbuchangriffe) und möglichst lang sein (gegen Brute-Force-Angriffe).

Eigenschaften und Umgang mit sicheren Passwörtern

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Hinweise und Anleitungen, wie ein sicheres Passwort auszusehen hat, geistern zu tausenden durch das Internet. Für die meisten Anwendungen und Benutzerkonten sind die folgenden, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Punkte weitestgehend unstrittig:

Passwörter sollten...

  • mindestens 12 Zeichen lang sein.

  • wenn möglich Ziffern (0...9) und Sonderzeichen (?!%+…) enthalten. Bei Passwörtern ab etwa 14 Zeichen Länge sind aber selbst eine Mischung aus Groß- und Kleinbuchstaben schon äußerst sicher (Stand: Dezember 2015)

  • nicht bestehen aus: Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter

  • möglichst nicht in Wörterbüchern vorkommen und nicht die Anfängssätze von Büchern sein oder abkürzen

  • nicht bestehen aus: gängigen Varianten und Wiederholungs- oder Tastaturmustern (also nicht qwertz oder 1234abcd und so weiter).

  • einfache Ziffern und Zeichen angehängt bekommen. Ein simples Passwort mit Zeichen am Anfang oder Ende zu ergänzen (beliebt sind: $, !, ?, #) ist nicht empfehlenswert.

Richtig mit Passwörtern umgehen

Auch zum Umgang mit Passwörtern gibt es Regeln, die für die Sicherheit von grundlegender Wichtigkeit sind:

  • Für verschiedene Zugänge nicht das gleiche oder ähnliche Passwort verwenden. Damit wird verhindert, dass ein.e Angreifer.in ein erbeutetes Passwort bei einem anderen Zugang wieder nutzen kann.

  • Verschieden sichere Passwörter für verschiedene Zwecke: Für Zugänge, die absolut unkritisch sind, kann „passwort83“ ausreichend sicher sein. Für wichtige Zugänge wie denen zum Mail-Postfach, zum Online-Banking oder zum Sozialen Netzwerk, sollten die Passwörter unbedingt den Regeln oben entsprechen – oder noch länger sein. Bedenken Sie, dass wer das Passwort zum Mail-Postfach hat, auch fast alle anderen Passwörter bekommen kann, wenn er oder sie jeweils die "Passwort vergessen"-Funktion benutzt.

  • Passwörter regelmäßig ändern. Das Änderungsintervall je nach Sensibilität des Zugangs wählen und eine Erinnerung z.B. in den Kalender (oder einem Passwortverwaltungsprogram, siehe weiter unten) eintragen. Hilfreich kann auch sein, die Jahreszahl der Erstellung ins Passwort einzuarbeiten.

  • Passwörter niemals weitergeben oder im Klartext (unverschlüsselt) versenden!

  • Passwörter nicht notieren und (noch schlimmer) direkt neben dem Gerät lagern. Aber: Es ist besser, ein sicheres Passwort zu verwenden und aufzuschreiben, als ein unsicheres Passwort. Denn letzteres kann eine.e Angreifer.in erraten. Um an ersteres zu kommen braucht er/sie den Zettel. Und der ist im Portemonnaie passabel sicher verstaut – wenn nicht dabei steht, für welchen Zugang es ist.

EnterPassword„123456“?

Wie generiert man ein sicheres Passwort?

Passwortgeneratoren erstellen die besten Passwörter. Punkt. Denn Passwortgeneratoren wählen und kombinieren zufällig eine ausreichende Anzahl an Zahlen, Buchstaben und Sonderzeichen. Der Nachteil ist: Ein solches Passwort ist sehr schwer zu merken und verleitet dazu, nach fünf falschen Eingaben entnervt auf den Namen des Haustiers zu wechseln. Deshalb zeigen wir zwei Alternativen, ein längeres, nicht gänzlich zufälliges Passwort zu erstellen, dass besser zu merken ist und trotzdem nicht unsicherer sein muss.

Merksätze und Eselsbrücken

Eine Methode ist eine Eselsbrücke durch einen langen Satz zu bilden und die jeweiligen Anfangsbuchstaben der Wörter als Passwort zu benutzen. Zum Beispiel „Digitalcourage kämpft für Datenschutz und Grundrechte, uns findet man in der Bielefelder Innenstadt.“ = DkfDuG,ufmidBI. Zusätzlich kann man dann noch einzelne Buchstaben durch Zahlen ersetzen, z.B. I=1, S=5, B=8, etc.: DkfDuG,ufmid81.

Der Effekt einer solchen Merkregel ist umstritten, denn natürlich wissen auch Passwortdiebe von solchen Methoden. Durch die Verwendung der Anfangsbuchstaben sind die Zeichen nicht mehr gleichwahrscheinlich und Ersetzungen sind ebenfalls leicht reproduzierbar. Dies erleichtert das Knacken von Passwörtern. Und darum sollten die Merksätze auch nicht die Anfänge bekannter Bücher sein.

„Diceware“ und Passphrases – bekannte Wörter verwenden, aber richtig!

Digitalcourage wirkt. Wirken Sie mit!

Wählen Sie beliebige Wörter! Der Vorteil dieser interessanten Alternative wird in diesem Comic erklärt: Anstatt ein Passwort mit beispielsweise zwölf beliebigen Zeichen zu benutzen, das schwer zu merken ist, ist eine Passphrase oder ein Passsatz aus sechs oder mehr beliebigen Wörtern sogar sicherer und deutlich einfacher zu merken.

Bei Wikipedia gibt es eine Anleitung inklusive deutscher Wortliste, wie man mit einem Würfel ein solches Passwort generieren kann. Da in der Wortliste einige sehr kurze Wörter gelistet sind, sollte ein Passwort nur verwendet werden, wenn es mehr als 17 Zeichen lang ist.

Ein Problem bleibt: Viele Onlineformulare begrenzen die Passwortlänge. Zudem soll mindestens ein Groß-, ein Kleinbuchstabe und ein Sonderzeichen plus Zahl vorhanden sein. Wie man dieses Problem lösen kann, zeigen wir weiter unten.

Smartphones sichern

Natürlich sollten Sie auch Ihr Smartphone mit einem Passwort vor unbefugtem Zugriff schützen. Bedenken Sie, dass ein Smartphone mehr Informationen über Sie enthält, als ein Tagebuch. Viele benutzen die „Swype“-Funktion, bei der man ein Muster auf einem Karosystem zieht. Das ist allerdings unsicher, da man ein Muster bei der Eingabe durch einen Blick über die Schulter sehr leicht erfassen kann. Außerdem ist es hinterher perfekt auf dem Display zu sehen, da Ihr Finger eine Fettspur hinterlässt. Besser ist, sie wählen eine Zahlenkombination bei der manche Zahlen mehrfach vorkommen. Dann sind die Spuren auf dem Display schwerer zu deuten.

Wie bewahrt man Passwörter auf?

Digitalcourage arbeitet gemeinnützig und auf Basis von Spenden. Ihre Fördermitglied-schaft gibt uns Kraft und macht unabhängige Arbeit erst möglich. Werden Sie jetzt Fördermitglied bei Digitalcourage

Wie oben geschrieben, ist ein Zettel selten das geeignete Aufbewahrungsmittel. Aber nur etwa ein Viertel der deutschen Nutzer.innen benutzt ein Passwort-Verwaltungsprogramm. Dabei ist dies eine gute Methode die Zugangsdaten zum Beispiel für verschiedene Webdienste zu verwalten. Die Passwörter für verschiedene Zugänge werden durch ein einziges Masterpasswort geschützt und verschlüsselt auf der Festplatte gespeichert. Die Passwörter für die einzelnen Zugänge können dann vom Passwort-Verwaltungsprogramm zufällig generiert werden, da man sie sich ja nicht merken braucht. Das animiert dazu, auch wirklich für jeden Zugang ein anderes Passwort anzulegen.

Ein Beispiel ist KeePassX, das auch auf Deutsch installierbar ist. Eine kompatible Android-App ist über den freien App-Store F-Droid erhältlich, und auch für iOS-Geräte gibt es kompatible Apps. Mit einer Synchronisierung können also auf mehreren Geräten die gleichen Passwörter genutzt werden. Bedenken Sie jedoch, dass ihre Passwortdatenbank bei Verlust des Mobilgeräts potentiell beeinträchtigt ist.

Der Nachteil eines Passwort-Schlüsselbunds liegt auf der Hand: Ist das Masterpasswort nicht stark genug und es gerät in die falschen Hände, sind all Ihre Passwörter ungeschützt. Hier hilft nur, eine sehr starke, lange Passphrase zu benutzen, wie weiter oben gezeigt. Aber wenn Sie sich einen Trojaner und andere Schadsoftware eingefangen haben, hilft auch das nicht mehr. Darum: weiterhin Vorsicht beim Surfen! Auf einem fremden Gerät sollten Sie Ihren Passwort-Schlüsselbund nicht einsetzen, vielleicht ist das Gerät infiziert. Beachten Sie an fremden Geräten auch, dass Passwörter oft automatisch vom Browser gespeichert werden.

Sie können Passwörter auch im Browser verwalten. Da Sie sich dabei die Passwörter aber immer noch selbst überlegen müssen und nur innerhalb des Browsers sinnvoll verwenden können, empfehlen wir Ihnen, besser ein eigenständiges Passwort-Verwaltungsprogramm zu verwenden. Sie können aber auch zweigleisig fahren: unkritischere Passwörter wie die für Foren speichern Sie im Browser, andere im Passwort-Verwaltungsprogramm.

Sie müssen sich selbst die Frage beantworten, ob Ihnen der Zuwachs an Sicherheit diese kleinen Komforteinbußen ausgleicht.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Änderungen seit 2014:

  • 06.06.2016: KeePass2 (ohne X) empfehlen wir nicht mehr, weil unsicher.

  • 01.12.2015: Video hinzugefügt.

  • 01.12.2015: Link zum BSI aktualisiert.

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 06.06.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links:
Wikipedia: Passwort
Bundesamt für Sicherheit in der Informationstechnik (BSI): Passwörter
KeePassX deutsche Anleitung für KeePassX
Brute-force-Attacken auf Passwörter

Bilder
Passwort: marc falardeau auf Flickr CC BY-2.0
Türchengrafik: Fabian Kurz CC BY SA 4.0

Video
Animation: Alexander Lehmann,
Illustration: Lena Schall,
Stimme: Florian Maerlender unter CC BY SA 3.0

Subscribe to Adventskalender

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld