Wer das Internet nutzt, verrät ständig Details aus seinem Leben. Den Standort oder mit wem man kommuniziert oder wofür man sich interessiert zum Beispiel. Viele dieser Dauerdatenlecks lassen sich versiegeln. Wie man sich datensparsam durchs Netz bewegt, steht hier.
Das Wichtigste zuerst: Daten, die nicht anfallen, können auch nicht missbraucht werden. Datensparsamkeit ist die höchste Form von Datenschutz und umfasst zahlreiche Maßnahmen. Eine wäre: Nur das Nötigste übers Netz kommunizieren. Eine andere: Die Apps auf seinem Telefon radikal aussortieren. Denn Apps können Datenschleudern und mögliche Einfallstore für Angriffe sein.
Aaron Wey, Veranstalter von CryptoPartys, sagt: „Die einzigen Daten, die sicher sind, sind Daten, die gar nicht erhoben werden. Sobald Daten irgendwo rumliegen, hat sich in Vergangenheit leider sehr häufig gezeigt, dass die dann doch irgendwann für irgendwen interessant werden.“
Ein weiterer zentraler Aspekt der digitalen Funkdisziplin betrifft den persönlichen Standort. Denn es gibt zahlreiche Wege, auf denen ein Mobiltelefon den in die Welt hinauskräht. Einer davon ist die Mobile Advertising ID (MAID). Zahlreiche Apps verkaufen diese mit den dazugehörigen Standortdaten an allerlei Werbetreibende. Doch auch Sicherheitsbehörden und andere können die Daten in die Hände bekommen.
Wer wann wo war
Eine MAID ist noch kein Klarname, aber oft lässt sich der rekonstruieren, etwa wenn die zugehörigen Standortdaten Bewegungsprofile offenbaren. Wohnort und Arbeitsstelle werden so zum Beispiel relativ schnell offensichtlich. Die MAID lässt sich aber löschen (Android) oder ID-basiertes Tracking verbieten (iOS).
Zusätzlich sollte man allen Apps, die ihn nicht benötigen, den Zugriff auf den Standort entziehen. Dem Berechtigungssystem der modernen mobilen Betriebssysteme lasse sich dabei durchaus trauen, sagt Alexander Paul von resist.berlin, einer IT-Sicherheitsberatung vor allem für Aktivist*innen. „Wer den Standort eh nicht braucht, kann ihn auch einfach für das gesamte Profil deaktivieren, dann hat keine App Zugriff darauf“, sagt er.
Nicht nur Handy-Apps übermitteln Standorte, sondern auch die SIM-Karte. Über eine Funkzellenabfrage lässt sich für staatliche Stellen einsehen, welche Geräte zu einem bestimmten Zeitpunkt in einer bestimmten Funkzelle angemeldet waren. Alexander Paul von der Digitalberatung resist.berlin sagt: „Wenn man mit einer SIM-Karte ein Handy benutzt, weiß der Mobilfunkanbieter, wo man ist, und diese Information ist über ein vereinheitlichtes Portal relativ leicht von Behörden abfragbar.“
Die Information, welche Geräte sich an einem gegebenen Ort befinden, liefert auch ein IMSI-Catcher – eine Art Fake-Funkmast. Manche dieser IMSI-Catcher können auch Gespräche und Datenverkehr über das Mobilfunknetz mitschneiden. Bei modernen Übertragungsstandards wie 4G sind solche Angriffe aufwändiger. Moderne Telefone haben deshalb eine Option, 2G komplett zu deaktivieren.
So sicher ist der Flugmodus
Alexander Paul sagt: „Die Mobilfunkkomponente des Handys kann leicht getrackt werden, der Flugzeugmodus ist aber eine gute Waffe dagegen. Dann kann man im Alltag sein Handy als Handy benutzen. Man kann aber dann, wenn man im Flugzeug-Modus ist, auch an Orte gehen, an denen man nicht so gerne gesehen werden möchte.“
Das Telefon verrät seinen Standort auch, wenn es mit einem W-LAN oder einem Bluetooth-Gerät kommuniziert. Die MAC-Adresse, die in diesem Fall weitergegeben wird, ändert sich bei modernen Geräten jedoch häufig regelmäßig. Das erschwert das Tracking. Mit einem Google-Pixel-Telefon sei es auf jeden Fall möglich, über öffentliche W-LAN-Netze anonymisiert und ohne Angabe des Standorts zu kommunizieren, sagt Alexander Paul. Allerdings müsse man dabei ein Virtual Private Network (VPN) oder das Tor-Netzwerk nutzen.
Datenschutz per VPN
Ein VPN-Service schaltet zwischen Anfragendem und Angefragtem einen Rechner zwischen. Die gesamte Kommunikation vom persönlichen Gerät zum VPN-Server wird verschlüsselt. Wer eine Seite der Kommunikation beobachtet, bekommt nur mit, dass ein Gerät diesen VPN-Server anfragt oder von ihm angefragt wird.
Bei der Nutzung von VPN über mobile Daten fallen allerdings über die Funkmasten weiter Standortdaten an. Dazu kommt der kleine Nachteil, „dass man, je nachdem wo das VPN ins Internet geht, Webseiten vielleicht in einer anderen Sprache sieht“, sagt Alexander Paul von resist.berlin.
Wichtig bei der Nutzung von VPN ist, einen seriösen Anbieter zu wählen. Denn der hat ja letztlich Zugriff auf den gesamten Datenverkehr. Alexander Paul und resist.berlin empfehlen ProtonVPN. Das sei in einer eingeschränkten Version kostenlos, wodurch über die Zahlungsmethode keine Rückschlüsse auf die Nutzer*innen getroffen werden könnten. Außerdem sei es ohne Account nutzbar, ausreichend schnell und logge keine IP-Adressen. Das Unternehmen dahinter habe Sicherheitsprüfungen erfolgreich bestanden und wandele sich gerade zu einer Non-Profit-Organisation.
Eine Auswahlhilfe, welche Faktoren man bei der VPN-Anbieterwahl beachten sollte, bietet die EFF.
Das VPN-Prinzip schützt den Datenverkehr nicht nur im öffentlichen W-LAN sondern auch vor dem persönlichen Mobilfunk- oder Festnetzanbieter. Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Es gibt ja Gesetze, die sagen, dass die Provider auf gerichtliche Anordnung Daten herausgegeben müssen. Und das machen die auch alle. Sonst müssten sie so hohe Strafzahlungen zahlen, dass sie irgendwann bankrott gehen würden.“
Tor zur Anonymität
Das Tor-Netzwerk macht im Prinzip das Gleiche wie ein VPN, nur dass es standardmäßig drei Rechner zwischenschaltet. Allerdings gibt es laut Alexander Paul von resist.berlin aktuell keinen zuverlässigen Tor-Client für Android. Der Client Orbot schicke, wenn er abstürze, die Daten unter Umständen offen durchs Internet. „Und solche Vorfälle kann man sich zum Beispiel im aktivistischen Bereich halt einfach nicht erlauben. Dann lieber ein etabliertes, qualitatives VPN benutzen. Dann kann man ja immer noch den Tor-Browser in einem Profil mit VPN benutzen. Aber der Basisschutz sollte durch den VPN erfolgen“, sagt er.
Es ist allerdings ein offizieller Tor-Client für Android in Arbeit. „Der wird vermutlich besser als Orbot“, sagt Alexander Paul.
Der Tor-Browser für Laptop- oder Desktopcomputer kann die Datensicherheit auf jeden Fall deutlich verbessern. Um einen Account, der über Tor bedient wird, mit dem oder der Nutzer*in zu verknüpfen braucht es aufwändige Überwachung, die dann per zeitlicher Korrelation zu belegen versucht, dass sich beispielsweise ein bestimmter Account immer dann einloggte, wenn sich eine Person an ihren Rechner setzte.
Aaron Wey von der CryptoParty-Bewegung sagt: „Das ist ein Szenario, das den Tor-Leuten bekannt ist und das die für die große Schwäche von Tor halten. Wenn jemand die Ressourcen dafür motivieren kann, dann kann auch Tor nichts machen.“
Daten sicher löschen
Wer sich datensparsam durchs Netz bewegen möchte, sollte außerdem keine Fotos von sich im Netz veröffentlichen, dann kann mensch auch nicht mit PimEyes und ähnlichen Suchmaschinen gefunden werden – so lange auch niemand anderes ein Foto hochlädt.
Wie man Google möglichst datensparsam verwendet, kann man hier lernen. Ein nützliches Werkzeug der Datensparsamkeit sind auch verschwindende Nachrichten. Denn wenn irgendwer irgendwann Zugriff auf das Gerät erhalten sollte, fällt so zumindest nicht gleich auch die komplette über Jahre gesammelte Kommunikation in fremde Hände.
Andere Daten, die nicht mehr benötigt werden, sollte man als datensparsame Person ebenfalls löschen. Und zwar am besten so, dass sie sich nicht wiederherstellen lassen. Das bedeutet, sie etwa auf Festplatten und USB-Sticks zu überschreiben, was einige Zeit in Anspruch nehmen kann. Falls das nicht möglich ist, bleibt noch die physische Zerstörung des Datenträgers. Auch deshalb empfiehlt es sich, die Daten zu verschlüsseln, so dass auch mutmaßlich gelöschte Daten unzugänglich bleiben.
Datenschutzfreundliche E-Mail-Anbieter
Wer seine Geräte an der wilden Verbreitung persönlicher informationen hindern will, sollte keine unbekannten USB-Sticks einstöpseln, denn es gibt Schadsoftware, die dann ohne weiteres Zutun übertragen wird.
Wichtig für die Themen Datenschutz und Datensicherheit ist auch die Wahl des E-Mail-Anbieters. Die Dienste unterliegen zwar ähnlichen Gesetzen wie die Internetserviceprovider, müssen also auf gerichtlich bestätigte Anfragen von Sicherheitsbehörden mit der Herausgabe von Nutzer*innendaten reagieren. „Allerdings gibt es einige, die immerhin veröffentlichen, wie viele Anfragen sie bekommen, wie viele dieser Anfragen rechtmäßig waren, wie viele sie beantwortet haben. Und die auch darüber berichten. wenn sie zum Beispiel vor Gericht sich über diese Anordnungen auseinandersetzen. Das wären zum Beispiel Posteo, Mailbox.org und Tuta, die mir da einfallen“, sagt Janik Besendorf.
Es gibt auch einige Möglichkeiten, den Datenausstoß beim Browsen zu verkleinern. Das Deaktivieren von Drittanbieter-Cookies zum Beispiel. Oder bei sehr hohem Sicherheitsinteresse das Deaktivieren von JavaScript. „JavaScript im Browser erhöht die Angriffsoberfläche und ermöglicht weitreichendes Fingerprinting“, sagt Alexander Paul von resist.berlin. Ohne JavaScript könne aber nur noch ein Bruchteil der Webseiten normal funktionieren.
Für die allermeisten Menschen sei diese Sicherheitsvorkehrung deshalb vermutlich nicht praktikabel, aber „wer supervorsichtig unterwegs sein will, kann natürlich JavaScript pauschal deaktivieren und dann bei vertrauenswürdigen Seiten per-site wieder aktivieren. Darüber könnte man zum Beispiel als Journalist*in nachdenken, die/der regelmäßig Links von Quellen bekommt und die sicher sichten möchte“, sagt er.
Datensparsam surfen
Allen Notebook- und Desktop-PC-Nutzer*innen empfiehlt Alexander Paul den Einsatz von uBlock Origin, einem Addon, das nicht nur Werbung und Schadsoftware blockiert, sondern auch Online-Tracker.
Das Add-on Privacy Badger von der Electronic Frontier Foundation sorgt selbstlernend für Datenschutz. Außerdem kann auch schon die Wahl des Browsers beeinflussen, wie viele Daten vom Gerät abfließen. Die Firefox-Variante Firefox Klar etwa gilt als besonders datenschutzfreundlich.
Für Mobilgeräte rät Alexander Paul von Firefox-basierten Browsern ab, da diese gegenüber Chrome Sicherheitsnachteile hätten. Dabei geht es vor allem darum, wie die sogenannten Sandboxes bei den Browsern implementiert sind. Vereinfacht gesagt: Wie einfach ist es für eine bösartige Website, aus dem Browserfenster auszubrechen und dem restlichen Betriebssystem zu schaden?
Steht Datenschutz im Vordergrund, macht Firefox es den Nutzer*innen leichter. Bei Chrome auf Mobilgeräten empfiehlt Paul daher, AdGuard als privates DNS einzutragen. Dabei ist interessant zu wissen, dass man je nachverfolgbarer wird, je mehr Einstellungen man am Browser verändert. Die Logik dahinter nennt sich Fingerprinting. Damit werden Nutzer*innen anhand ihrer Browsereinstellungen identifiziert.
CryptoParty-Veranstalter Aaron Wey sagt: „Die meisten Browser schicken im Hintergrund sehr viele Metadaten mit. Bildschirmgröße, Sprache, Auflösung, unterstützte Grafikkarte. Da gibt es Studien, dass sehr wenige Merkmale des Browsers dich schon relativ einzigartig machen.“ Der Tor-Browser versuche das zu vermeiden, indem er auf allen Geräten gleich aussieht. „Aber da muss man als Endnutzer verantwortungsvoll mit umgehen, und zum Beispiel möglichst keine Einstellungen ändern. Weil jede veränderte Einstellung dich einzigartiger macht.“
Unkontrolliertes Datenverschleudern droht übrigens besonders bei der Nutzung von Social Media. Front Line Defenders und New York Times haben gute Anleitungen, wie man Social Media datensparsamer nutzen kann. Die viel nettere Variante ist allerdings das Fediverse mit dem Projekt Mastodon, wo es gar keinen zentralen, datenhungrigen Betreiber gibt. Außerdem findet man dort viele netzpolitik.org-Redakteur*innen :)
Mehr Tipps zur digitalen Selbstverteidigung gibt es hier und unter netzpolitik.org/digitale-selbstverteidigung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.