Auch ohne an Paranoia zu leiden sollte man sich gegen die Ausspähung im WWW wehren. Privatsphäre und Datenschutz im Netz? Ja, sicher! Ich gebe hier Anleitungen, technische Maßnahmen und Verhaltensregeln zur digitalen Selbstverteidigung und Gegenwehr.
Digital Detox?
Ja, es gibt Möglichkeiten sich zu wehren. Ein kompletter Ausstieg aus der digitalen Datenerfassung ist nicht möglich, wie wir alle wissen. Aber man kann es den Datensammler schwerer machen. Der erste Schritt ist die Datensparsamkeit, man sollte wirklich nicht jeden Gedanken auf Facebook teilen, jeden geteilten Artikel liken und ganz sicher nicht Bilder mit biometrisch auswertbaren Inhalt hochladen. Erst recht nicht von fremden Personen und ganz sicher nicht von Kindern!
Das Betriebssystem
Der zweite Schritt ist die Verwendung von sichereren Betriebssystemen, Programmen, Apps und Add-ons. Meine erste Wahl für ein Betriebssystem ist dabei nicht Windows, welches durch sein grundlegendes, historisch gewachsenes Design nur mit sehr viel Aufwand halbwegs sicher zu bekommen ist. Ein Linux, Ubuntu zum Beispiel, ist vom Design her sicherer. Die Bedienung von Ubuntu ist dabei der von Windows 10 nachempfunden. Auch macOS ist sicherer als Windows. Alle Systeme haben natürlich Sicherheitslücken. Doch durch die weite Verbreitung von Windows ist dieses das mit Abstand beliebteste Angriffsziel.
Open Source, also die Veröffentlichung des Quellcodes des Betriebssystems, wie bei Linux üblich, ist zudem kein Garant dafür, dass Sicherheitslücken auch zeitnah entdeckt werden. Sicherheitslücken entstehen in der Regel durch Programmierfehler, aber manchmal werden sie auch absichtlich hinzugefügt. Niemand kann garantieren, dass nicht einer der freiwilligen Entwickler von Linux von einem Geheimdienst bezahlt wird oder eigene Absichten verfolgt. Ein Betriebssystem – aber auch die meisten Programme – sind schlicht zu komplex und der Code oft zu schwer zu lesen, als das jede Sicherheitslücke sofort auffallen würde. Sicherheitslücken kann man kaufen.
Es tut mir leid, absolute Sicherheit gibt es nicht und wenn es schon für Experten nicht leicht ist, eine Applikation als „sicher“ einzustufen, dann hat man als Otto Normaluser nun wirklich keine Chance – und muss den Entwicklern letztlich ein Stück weit vertrauen.
„Sicherheit ist niemals statisch!“
„Man kann Sicherheit nicht installieren!“
(Alte Sinnsprüche aus der IT)
Ein Virenscanner ist unter Windows Pflicht. Denke aber immer daran: Die Hersteller der Virenscanner können immer nur reagieren. Eine brandneue Schadsoftware hat immer einen Vorsprung. Eine Personal „Firewall“ ist auch okay, bietet aber nicht den Schutz, der suggeriert wird. Gehen wir aber nun davon aus, dass das Betriebssystem sauber ist und Du den (vor-)installierten Programmen halbwegs vertraust.
Ändere Dein Verhalten!
Überdenke Dein Verhalten! Nicht auf jeden Link klicken. Keine unbekannten Mailanhänge öffnen. Keine suspekten Apps installieren. Ja, FaceApp oder Prisma sind cool, aber die übertragen die Bilder (biometrische Daten!) auf Server im Ausland. Amazon bietet kostenlose „Underground“-Apps an – schau da doch mal in die AGB. Wie zuvor erwähnt: Ist eine App kostenlos, dann kostet sie uns in der Regel unsere Privatsphäre, das heißt, wir werden an unserem Content gemessen. Leider kann dies auch für kostenpflichtige Software gelten. Ausnahmen bestätigen wie immer die Regel – siehe Linux.
„Das Problem sitzt zwischen der Sitzlehne und der Tastatur!“
(IT-Weisheit)
Lese die AGB!
Niemand liest sich die Nutzungsbedingungen durch, die vor der Installation von Software angezeigt werden (und sie sind laut Alexander Sander, dem Geschäftsführer der NGO Digitale Gesellschaft, auch darauf angelegt, dass es zeitlich gar nicht möglich ist, sie zu lesen). Jeder klickt auf „Akzeptieren„. Dabei nehmen sich viele Firmen das Recht heraus, alle auf dem Rechner installierten Programme inkl. Versionsnummern zu scannen und die gewonnenen Daten an den Firmenserver und Dritte zu übermitteln. Explizit auch zur Fahndung nach illegal kopierter Software. Gleiches Spiel auf den Ebook-Readern. Auch diese nehmen sich das Recht heraus, die Bibliothek zu scannen und deren Inhalt an den Anbieter zu übermitteln. Damit kann man ein wunderbares Persönlichkeitsprofil erstellen.
Benutze nicht Google.
Jedenfalls nicht direkt. Benutze als Suchmaschine künftig DuckDuckGo oder Startpage. Diese Suchmaschinen zeigen ebenfalls Suchergebnisse von Google an, auch wenn die etwas anders ausfallen als bei Google direkt. Das liegt vermutlich daran, dass z. B. die Startpageserver vornehmlich in den Niederlanden stehen. Ferner erkennt Google ja nicht mehr, wer man bist, so dass personalisierte Suchergebnisse nicht mehr angezeigt werden können. Man kann Startpage oder DuckDuckGo als Standard-Suchmaschine für das Suchfeld der meisten Browser anheften.
Sicherheitstools
Neben Virenscannern gibt es auf der Betriebssystemebene weitere Schutzmöglichkeiten für Dich. Die angesprochenen „Personal Firewalls“ sind ein Beispiel dafür. Ob ZoneAlarm, LeopardFlower, Little Snitch, HandsOff oder die im Betriebssystem verankerte „Firewall“, alle haben gemeinsam, dass sie sich in den Netzwerkverkehr einklinken und ausgehende (teils auch eingehende) Verbindungen blockieren. Klingt kompliziert? Nein, das ist ganz einfach. Lädt zum Beispiel im Email-Programm ein Newsletter Grafiken nach, so macht er dies oftmals von Drittanbietern, die sich auf die Auswertung von E-Mail-Werbung spezialisiert haben. Die erstgenannten Tools schützen vor solchen Ausspähattacken. Außerdem verhindern sie, dass ein Programm „nach Hause telefoniert“ und Nutzerdaten übermittelt. Einige Programme umgehen aber bereits die gängigen „Personal Firewalls“.
Glimmerblocker, Privoxy, oder Squid sind lokale, transparente Proxys. Diese blockieren die Adressen von Werbenetzwerken auf der Betriebssystemebene. Dadurch wird schon ein Großteil der Werbung für alle Anwendungen herausfiltert, die auf dem Rechner Internetzugang haben.
Ändere Deine Software!
Deinstalliere das unsägliche Flash! Flash benötigt man heute nicht mehr. Dies ist kein Verlust, ist doch HTML5 die deutlich modernere und schlankere Alternative. Webseiten, die immer noch auf Flash setzen, sollte man (leider) tunlichst meiden.
Benutze alternative, auf Sicherheit ausgerichtete Browser! Klar oder Cliqz zum Beispiel. Cliqz wird noch kontrovers diskutiert, ist aber sicher ein richtiger und wichtiger Schritt in der Browserentwicklung. Sogar die Mozilla Foundation, der Hersteller von Firefox, hat sich bei der Cliqz GmbH aus München eingekauft. Am Rande: Es gibt bereits Gerüchte, dass Firefox komplett neu geschrieben werden soll, damit er sicherer wird.
Auch der bekannte TOR-Browser, welcher es dem Benutzer ermöglicht, seine IP-Adresse zu verschleiern, soll nicht unerwähnt bleiben. Letztlich kann man ihn aber nicht mehr guten Gewissens zum anonymen Surfen empfehlen. Seine Nutzung könnte den Nutzern sogar einen Eintrag in einer Liste für Extremisten bei der NSA bescheren. Nutze lieber einen (kostenpflichtigen) VPN-Dienst, wenn Du Deine IP-Adresse verschleiern willst. Dieser baut einen verschlüsselten „Tunnel“ zu einem „Ausstiegspunkt“ (Router) im Ausland auf, sodass Du gewissermaßen mit der IP-Adresse dieses weit entfernten Routers im Internet unterwegs bist. Da die Verbindung von Deinem Rechner bis zu dem Ausstiegspunkt verschlüsselt ist, kannst Du auf diese Weise auch in fremden oder öffentlichen WLAN-Netzen sicher surfen. Jedenfalls so weit wie Du dem VPN-Anbieter traust. Ich würde mein Leben oder meine Freiheit aber nicht einem VPN-Anbieter anvertrauen.
Ändere Deine Privatsphären-Einstellungen von Facebook! Ich gehe hier nicht auf die Einstellungen im Einzelnen ein. Diese ändern sich alle paar Wochen, so dass man sie mit einer älteren Anleitung meist nicht mehr wiederfindet. Daher nur generelle Tipps für Facebook:
- Alles so restriktiv einstellen wie nur möglich
- Zum Anmelden keine E-Mail-Adresse nehmen, die man auch sonst verwendet!
- Nicht den echten Namen angeben! Dich finden Deine Freunde meist auch so – neuen Kontakten gibst Du Dein Pseudonym.
- Nie das eigene Bild posten!
- Nie die „richtige“ Telefonnummer angeben. Hast Du noch eine alte, anonyme SIM-Karte in der Schublade? Benutze diese!
- Nie das richtige Geburtsdatum angeben!
- Ortungsdienste abschalten (für die App)!
- Wenig öffentlich sichtbare Likes platzieren!
- Keine Bilder Deiner Kinder, Enkel oder dritter Personen posten!
- Keine Namenstags zulassen!
- Niemanden erlauben auf Deiner Chronik zu posten!
- Keine Spiele und Anwendungen auf Facebook benutzen!
- Nicht die FacebookApp benutzen, die ist ein Datenstaubsauger.
Ein Widerspruch der Facebook-AGB ist sinnlos. Facebook hat nun einmal ein Hausrecht. Nein, es hilft nicht, ein irgendwo gefundenes Bild mit einem Widerspruchstext in Deiner Timeline zu veröffentlichen. Absurd? Ja, aber man sieht das immer wieder. Ein solches Bild hilft in etwa so viel wie ein Aufkleber an einem Auto: „Hiermit erkläre ich: Die StVO gilt für mich nicht!“.
Benutzt Du ein Notebook, ein Smartphone oder externe Festplatten, so solltest Du diese entsprechend mit den Mitteln des Betriebssystems verschlüsseln. Verlierst Du so ein Gerät, kann niemand auf Deine Daten (auf Dein Leben!) zugreifen. Bei der Kommunikation über Mail ist eine Verschlüsselung ebenfalls ratsam. Diese sollte durch GPG/PGP erfolgen. Für die gängigen Mailprogramme gibt es komfortable Erweiterungen dafür. Einmal installiert und konfiguriert, merkst Du gar nichts mehr von deren Existenz, sie funktionieren vollautomatisch.
Wie funktioniert so eine Verschlüsselung? Stelle sie Dir analog zu der mpk-Ausstellung „Ohne Schlüssel und Schloss“ vor, Du hättest unendlich viele identische Vorhängeschlösser. Die hast Du alle selber hergestellt und nur Du hast den passenden Schlüssel für diese Schlösser. Diese Schlösser gibst Du nun alle einer Stelle im Internet, die diese für Dich aufbewahrt und an jeden weitergibt, der Dir eine verschlüsselte Mail zukommen lassen will.
Ebenso ist es umgekehrt: Willst Du jemandem eine verschlüsselte Mail zukommen lassen, so schaut Dein E-Mail-Programm bei der Stelle nach, die die Schlösser aufbewahrt, ob der Empfänger dort ein Schloss hinterlegt hat. Mit diesem Schloss schließt Du nun die zusendende Mail ab. Nur jemand, der den richtigen Schlüssel hat, kann die E-Mail dann noch lesen. Für alle anderen sieht sie aus wie eine Buchstabensuppe. Verliert der Empfänger seinen Schlüssel, so kann er die bereits empfangenen und auch zukünftigen Mails nicht mehr lesen, wenn sie verschlüsselt wurden. Nach aktuellem Stand der Technik ist eine verschlüsselte E-Mail nur extrem schwer und mühselig zu knacken. Wieder ein Beispiel zum Verständnis: Stelle Dir vor, Dein Fahrrad wäre mit hundert Millionen Schlössern der höchsten Sicherheitsklasse abgeschlossen. Das Fahrrad zu stehlen würde sehr, sehr lange dauern. Deswegen sollte man diesen Schlüssel sehr gut aufbewahren.
Man spricht eigentlich statt von „Schlössern“ und „Schlüssel“ von „Schlüsselpaaren“. Es gibt einen „öffentlichen Schlüssel“ (ein Schloss) und den ‚privaten Schlüssel‘, den Schlüssel. Die Analogie mit Schloss und Schlüssel dürfte aber für einen normalen Benutzer verständlicher sein.
Browser absichern
Gehen wir also davon aus, dass der Rechner nur so einigermaßen abgesichert ist und uns niemand in den Rücken fällt. Bleibt jetzt nur noch das Haupteinfallstor: der Browser. Die hier besprochenen Browser-Add-ons sind fast allesamt für den Firefox und funktionieren auf allen Betriebssystemen. Andere Browser haben ähnliche Plug-ins, die ich aber hier nicht vorstelle. Es gibt auch sicher eine Unzahl von anderen Erweiterungen, die gleiches oder besseres leisten. Die Zeit und die Entwicklung bleiben eben nicht stehen. Meine Tipps, die ich Ihnen hier gebe, machen Dein „Surferlebnis“ nicht einfacher. Man hat schon kleinere (überschaubare) Einschränkungen, gerade zu Beginn, an die man sich aber schnell gewöhnt. Sicher ist es die ersten Tage etwas unkomfortabel, bis man die Einstellungen – wie vorher bei einem anderen Browser auch – an seine Bedürfnisse angepasst hat. Die meisten Add-ons bieten Ausnahmen für Webseiten, denen man vertrauen kann. Auch auf neuen Websites muss man erst einige Ausnahmen hinzufügen, bevor sie im vollen Umfang funktionieren. Aber der Schutz Deiner persönlichen Daten ist es wirklich wert.
F.B. Purity
Facebook ohne F.B. Purity kann man sich gar nicht mehr vorstellen, wenn man es einmal benutzt hat. Neben der absoluten Werbefreiheit, die kein anderes Add-on bietet, kann man z. B. die Seitenleisten nach seinen Bedürfnissen anpassen. Ferner bekommt man Benachrichtigungen, wenn „Freunde“ von der Freundesliste verschwinden. F.B. Purity ist freilich nur für Nutzer von Facebook interessant.
Nachteile: keine
Vorteile: Erscheinungsbild anpassbar, komplette Werbefreiheit, Meldungen bei verschwundenen „Freunden“
uBlock Origin
Statt AdBlock Plus/Edge benutze ich uBlock Origin gegen Werbung und Malware. Es ist wesentlich ressourcenfreundlicher als ABE.
Nachteile: Keine
Vorteile: kaum noch Werbung
NoScript
NoScript verbietet grundsätzlich auf allen Websites alle Scripte. Man tut gut daran, die Scripte von Drittanbietern nur bei Bedarf zu erlauben. Bist Du Dir nicht sicher, welche „fremden“ Scripte Du erlauben sollten, dann besuche die Seite der Anbieter oder schaue auf Wikipedia, was dieser Anbieter eigentlich macht. Oft kommt man aber nicht um Scripte von z. B. Akamai oder cloudfront herum. Die der besuchten Website sollte man i. d. R. erlauben. Das Add-on bietet die Möglichkeit temporär einige oder gar alle Scripte auf der besuchten Seite zu erlauben.
Nachteile: Scripte müssen generell erst erlaubt werden. Facebook in einer Sandbox (Priv8) lädt nicht.
Vorteile: mehr Sicherheit.
Priv8
Priv8 ist eine Sandbox für Webseiten. Diese können wortwörtlich nur in ihrem eigenen Sandkasten spielen und haben keinerlei Zugriff auf die Cookies anderer besuchter Webseiten (und umgekehrt). Dies ist meiner Meinung eine Funktion, die in das Grundkonzept eines Browsers gehören sollte. Man sperrt in eine Sandbox Websites ein, die sensible Daten verarbeiten oder als Datenkraken bekannt sind. Ich benutze Priv8 u. a. für Facebook, Amazon, Onlinebanking, YouTube und GoogleMail. Links und eingebettete Inhalte aus diesen „Sandkästen“ heraus funktionieren aber nicht, denn so ein Link beinhaltet immer auch den Referrer, die Herkunftswebsite. Man kann aber den Link mit der Maus markieren und ihn mit der rechten Maustaste in einem neuen Tab/Fenster öffnen lassen. Um Facebook oder andere Datensammler (z. B. alle zum Google-Konzern gehörenden Seiten wie YouTube u. a.) „einzuschließen“, könnte man für jede dieser Seiten je einen eigenen Browser oder je ein privates Fenster benutzen. Das ist natürlich etwas unübersichtlich. Mitunter hat man sich verklickt und damit seine Daten doch anderen Sites zugänglich gemacht. Eine virtuelle Maschine (VM) bietet Sicherheit? Leider nein, auch daraus ist ein Zugriff auf das Wirtssystem möglich. Priv8 ist also immer noch die erste Wahl.
Nachteile: keine Links nach „draußen“ möglich
Vorteile: Website kann nicht auf Daten anderer besuchter Webseiten zugreifen, um Daten zu sammeln
Self-Destructing Cookies
Self-Destructing Cookies löscht automatisch und fortwährend Cookies, sodass diese nicht von Dritten ausgewertet werden können. „Cookie“ heißt übersetzt „Keks“. Jeder mag Kekse und freut sich, wenn er einen bekommt. Surfen wir im Netz, bekommen wir von jeder Seite mindestens einen eindeutig identifizierbaren Keks. Ähnlich wie Hänsel und Gretel hinterlassen wir so eine Spur aus Kekskrümeln auf unserem Rechner, die jede andere Webseite auslesen kann. Ohne Cookies ist ein automatisches Einloggen aber auch nicht mehr möglich, da die Website den wiederkehrenden Besuch nicht erkennt. Man wird automatisch nach einiger Zeit abgemeldet. Das ist Vorteil wie Nachteil zugleich.
Nachteile: kein Auto-Log-in und automatischen Abmelden nach einiger Zeit
Vorteil: Man wird automatisch ausgeloggt, Datenschutz vor Dritten
Ghostery
Ghostery bietet einen guten Grundschutz der Privatsphäre, den man aber erst in den Einstellungen aktivieren muss. Meines Wissens hat auch Ghostery keine Möglichkeit um „unlöschbare“ Langzeitcookies (LSOs) löschen zu können. Unter den Einstellungen sollte man keine Haken unter „Ghostery unterstützen“ setzen, sonst übermittelt das Add-on alle besuchten Webseiten an den Betreiber. Die Browsererweiterung wurde von Cliqz aufgekauft. Vermutlich, um sie in deren neuen und sicheren Browser zu integrieren.
Nachteile: vermutlich keine LSO (Langzeitcookies) löschbar. Nach der Installation muss man die Filter erst aktivieren. Erweiterung sammelt ggf. Daten
Vorteile: guter Grundschutz.
BetterPrivacy
BetterPrivacy kann auch Langzeitcookies (LSO) löschen. Hat aber keine Zeitsteuerung für das Löschen normaler Cookies wie Self-Destructing-Cookies (s. o.).
Nachteile: schlechte Benutzerführung
Vorteile: löscht auch Langzeitcookies (LSO)
Wiederkehrende Fragen zu den Erweiterungen:
„Werbeblocker schaden Websitebetreibern!“
Ja, das ist vollkommen richtig. Werbung ist eine Einnahmequelle für Websitenbetreiber. Auch ich überlege immer wieder, ob ich auf Werbeblocker verzichte, damit die (guten) Websites unterstütze und etwas weniger Privatsphäre akzeptiere. Aber spätestens, wenn ich Spiegel Online besuche und dort riesige, flackernde Werbebanner, teils mit Sound sehe, ist zehn Sekunden später der Werbeblocker wieder installiert. Die Werbetreibenden schaden sich damit nur selber. Weniger wäre meistens mehr. Aber das lernen die Verantwortlichen wohl nicht mehr. Viel wichtigere Gründe sind aber, dass Schadprogramme bereits über Werbebanner verteilt wurden und ein Benutzer durch die Werbebanner – auch über mehrere Webseiten hinweg – verfolgt werden kann. Sie haben doch sicher bereits auf Facebook Werbung für ein Produkt angezeigt bekommen, nach dem sie vorher über Google oder Amazon gesucht hatten?
„Die Erweiterungen sind doch nicht wirklich sicher, oder?“
Ja, richtig. Man weiß nicht so genau, was die Add-ons und die Scripte wirklich machen. Es kann sein, dass ein Add-on, welches mit mehr Datenschutz und Sicherheit wirbt, leider in Wirklichkeit seine Benutzer ausspäht. Die Erweiterung „Web-Of-Trust“ (WOT) war so unrühmliches Beispiel, bei dem sogar Bundespolitiker ausgespäht wurden. Ein wenig Gottvertrauen braucht man also schon, selbst wenn man sich die von mir besprochenen Add-ons in das Haus holt.
„All das hilft doch nicht gegen den digitalen Fingerprint!“
Jein. Unter digitalen Fingerprint versteht man die Kombination aus Merkmalen eines Systems wie den verwendeten Browser, installierte Erweiterungen, Betriebssystem, Patchlevel, Monitorauflösung, gesetzte Cookies, installierte Schriftarten. Alle diese kleinen Unterschiede machen ein System relativ einzigartig. Man könnte einen Useragent Switcher verwenden, der einer Website vorgaukelt, dass man unter Ubuntu mit Midori surft, obwohl man in Wirklichkeit den Firefox unter Windows nutzt. Ich konnte bisher kein solches Tool finden, das automatisch für jede neu besuchte Website nach dem Zufallsprinzip einen neuen UserAgent erstellt. Aber das ändert letztlich nichts an den anderen Merkmalen, wie z. B. der Bildschirmauflösung, des Systems.
„Das ist doch alles doppelt gemoppelt!“
Einige der hier vorgestellten Add-ons scheinen den gleichen Funktionsumfang zu haben, das ist mir bewusst. Es sind aber meist nur Schnittmengen. Alle Erweiterungen laufen problemlos miteinander auf meinen Rechnern. Ich empfehle, alles über einen Add-on-Manager (Extras, Add-Ons) zu installieren. Dadurch lassen sich auch alle Erweiterungen via Firefox Sync in einem Rutsch auf alle benutzen Rechner installieren.