Festplatteninhalt, Standort, Kommunikation – alles, was ein Mensch an Informationen produziert oder speichert, kann anderen in die Hände fallen. Wir zeigen in einer Artikelserie, wie sich unerwünschte Zugriffe verhindern lassen.
Daten sind der Rohstoff des Überwachungskapitalismus. Daten bringen Geld und Macht. Gleichzeitig gibt es wohl über jede Person Informationen, die sich in den falschen Händen nachteilig für sie auswirken können. Oder die sie einfach nicht mit allen teilen will.
Es geht nicht darum, ob man etwas zu verbergen hat. Das Recht auf Privatsphäre ist grundlegend für die Entwicklung von Persönlichkeit und auch für die Demokratie. Menschen sind anders unter Beobachtung. Konformer. Privatsphäre erlaubt Abweichung. Eine Welt ohne kann nur eine totalitäre sein.
Wer trotzdem noch meint, dass Datenschutz nicht wichtig ist, kann ja mal in einem Gedankenexperiment gesammelte Chats in einen Reddit-Post kopieren, Kontoauszüge in die Nachbars-Briefkästen werfen und Flyer mit Accounts und Passwörtern in der Innenstadt verteilen. Keine schöne Vorstellung?
Dann: Hallo, herzlich willkommen in der Gruppe von Menschen, denen es mindestens ein bisschen wichtig ist, wer was über sie weiß. Hier ist ein Leitfaden zur digitalen Selbstverteidigung.
Datenschutz und Datensicherheit
Es geht bei digitaler Selbstverteidigung sowohl um Datenschutz als auch um Datensicherheit, oft auch um eine Mischung aus beiden. Scharf sind die Begriffe nicht zu trennen, grob kann man sagen: Datensicherheit basiert auf Maßnahmen, die Daten im je persönlichen Besitz vor unbefugtem Zugriff und Verlust sichern – egal ob Tagebuch oder Musiksammlung. Beispiel: Festplatte verschlüsseln oder Backups machen.
Datenschutz hingegen sorgt dafür, dass personenbezogene Daten entweder nicht erhoben oder zumindest nicht unkontrolliert verbreitet werden. Er schützt also eigentlich nicht Daten, sondern vielmehr Menschen. Beispiel: Werbe-ID ausschalten oder Social-Media-Abstinenz.
Wir haben nach Lösungen gesucht, die selbst Staatstrojanern und physischem Zugriff mit Forensiksoftware widerstehen können. Die man braucht, wenn ein mächtiger Gegner jede Menge Ressourcen auf das Ziel setzt, an die Daten zu kommen. Die Recherche hat Tipps ergeben, mit denen sich Spitzenpolitiker*innen und Whistleblower*innen vor Angriffen auf ihre Daten schützen könnten, oder Aktivisti im Fokus staatlicher Behörden und Journalist*innen, die mit solchen zu tun haben.
Die meisten Tipps sind aber auch für Menschen mit einem eher alltäglichen Bedrohungsmodell geeignet. Welche Maßnahme jeweils zum Einsatz kommen sollte, ist immer eine persönliche Abwägung zwischen Aufwand und Risiko.
Eine Frage der Bequemlichkeit
Toni, Aktivist*in bei CryptoParty, einem Bildungsprojekt zu sicherem Umgang mit digitalen Werkzeugen, sagt: „Die meisten Menschen wollen nicht, dass ihr Haus abbrennt. Und während manche dafür vielleicht sogar auf offene Flammen wie Kerzen verzichten, können sich die wenigsten ein Leben ohne Herd und Elektrogeräte vorstellen. Ein Rohbau ist relativ brandsicher, aber halt unbequem zum Wohnen. Die Frage ist: Wie wichtig ist mir welche Bequemlichkeit und wie weit will ich gehen für die Sicherheit?“ Für eine begründete Antwort braucht es zunächst ein Threat-Modell, das die Bedrohung beschreibt: Welche Daten gilt es vor wem zu schützen?
Es gibt fünf Arten von Datenhungrigen: staatliche Akteure wie Ausländerbehörden und Polizeien; Firmen, darunter Werbetreibende und Datenhändler; kriminelle Organisationen wie Ransomware-Banden oder Phishing-Agenturen; soziale Gruppen, zum Beispiel religiöse oder rechtsradikale; und Privatpersonen, darunter kontrollierende Familienmitglieder und stalkende Ex-Partner*innen. Wer von wessen Datenhunger betroffen ist, können nur die Betroffenen einschätzen.
Je nachdem, vor wem man sich schützt, unterscheiden sich die Rahmenbedingungen: Während ein Familienmitglied häufig physischen Zugriff auf ein Gerät hat, bleibt das Geheimdiensten auf der anderen Seite des Ozeans meist verwehrt, dafür haben die mehr Geld und Ressourcen. Und während gewöhnliche Phishing-Angriffe auf unsere Unbedarftheit setzen und möglichst viele Leute ungezielt behelligen, nutzen Angreifende mit einem konkreten Ziel ganz andere Methoden – etwa ihr Wissen über unsere Gewohnheiten und Schwächen.
„Grundsätzlich ist es so, dass ein Gerät als abgesichert gilt, wenn ein Angriff so teuer ist, dass er vom Angreifer nicht mehr durchgeführt wird“, sagt Alexander Paul von resist.berlin. Die Gruppe berät Menschen, vor allem Aktivist*innen, zu sicherem Umgang mit datenverarbeitenden Systemen.
Quellen und Themen
Neben Alexander Paul und Toni haben für diese Artikelserie über Digitale Selbstverteidigung auch Aaron Wey, ebenfalls CryptoParty-Aktivist, Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sowie Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik Wissen beigesteuert. Zudem sind Surveillance Self-Defense, Security in a Box, Data Detox Kit, Digital First Aid, No Trace Project, The Holistic Security Manual, Mike Kuketz, mobilsicher.de und E-Learning von epicenter.academy ergiebige Quellen zum Thema.
Digitale Selbstverteidigung lässt sich in sechs Bereiche unterteilen. Wir veröffentlichen etwa wöchentlich je einen Text zu einem Thema.
- Geräte abhärten – wie man physische Zugriffe auf Datenspeicher vereitelt
- Sichere Kommunikation – so verschlüsselt man seine Unterhaltungen
- Sichere Passwörter – und wann der Fingerabdruck zum Entsperren ausreichend ist
- Funkdisziplin – wie man sich datensparsam durchs Internet bewegt
- Sicherheitsproblem Mensch – wie man Phishing und Scamming umgeht. Und wer schuld ist, wenn der Datenschutz versagt
- Freie Software – wie man sich von den Techkonzernen unabhängig macht
Ein bunter Strauß Verteidigungsmaßnahmen
Ein paar Tipps zur DIY-Datenverteidigung gibt es hier schon vorab: Moderne Telefone können heimliche Videoüberwachung mit Laufzeitmessung, Infrarotoptik oder Magnetometer aufspüren, es gibt zahlreiche Apps, die die Techniken dazu verwenden. Wie man Bluetooth-Tracker findet, hat die Electronic Frontier Foundation aufgeschrieben. Alufolie hilft übrigens tatsächlich – zumindest gegen heimliches Auslesen von RFID- und NFC-Chips wie denen im Personalausweis oder der Bankkarte.
Die Adresse eines jeden in Deutschland ansässigen Menschen bekommt jeder, der Namen und Geburtsdatum kennt, recht leicht vom Einwohnermeldeamt. Eine Sperre dessen ist nur zeitlich befristet und gut begründet möglich. Aber man kann sich zumindest gegen Adressabfragen durch Parteien, Adressbuchverlage, Presse und Rundfunk, Religionsgesellschaften und Bundeswehr wehren. Dazu gibt es bei der Verbraucherzentrale ein Widerspruchsformular. Wie man herausfindet, was Datenhändler über einen wissen, zeigen wir hier.
Anonyme Zahlungen sind nur mit Bargeld möglich, im elektronische Geldverkehr ist die SEPA-Überweisung immerhin datensparsamer als Paypal oder Kreditkarten.
Und wer gerne vermeiden möchte, dass jeder Arztbesuch, jede Krankheit und jedes Medikament digital vermerkt werden, sollte überlegen, ob sie oder er nicht der elektronischen Patientenakte widersprechen möchte, die 2025 für alle eingeführt wird. Wer die Vorteile der medizinischen Informationszusammenfassung wahrnehmen möchte, aber nicht allem zustimmen will: Einen Ratgeber, wie man die Informationen aus der elektronischen Patientenakte differenziert verteilen kann, hat die Aidshilfe geschrieben.
Beratung
Für Jedermensch: Cryptopartys
Für Aktivist*innen: resist.berlin, Signal: resistberlin.01, montags 16-20 Uhr und 1. Samstag des Monats 14-18 Uhr, Mahalle, Waldemarstr. 110, Berlin Kreuzberg
Für Journalist*innen: Digital Security Lab der Reporter ohne Grenzen
Bei Sicherheitsvorfällen: Cyber-Sicherheitsnetzwerk
Update, 12.8.2024, 8.40 Uhr: Link zu Datenabfrage aktualisiert.
Update, 12.8.2024, 12.20 Uhr: Link zu E-Learning von epicenter.academy hinzugefügt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.