Wir haben ein 2-Jahre-Snowden-Special erstellt und die wichtigsten Tools und Links zum Nachschauen zusammengefasst. An Material mangelt es nicht, aber es beinahe unmöglich, einen Überblick zu behalten. Daher: Wenn ihr denkt, dass wir etwas Wichtiges vergessen haben oder einen Aspekt übersehen, ab in die Kommentare!
Kategorie I: Nachrichten schützen
Wenn es um E-Mail-Verschlüsselung geht, ist der erste Anlaufpunkt GnuPG bzw. GPG4Win. GnuPG ist eine freie Implementierung des OpenPGP-Standards und ermöglicht die Verschlüsselung und Signierung von Daten mithilfe öffentlicher und privater Schlüssel. Das Prinzip beruht darauf, dass bei der Kommunikation zwischen unseren KryptofreundenAlice und Bob ein Teilnehmer eine Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und dieser dann mithilfe seines privaten Schlüssels diese entschlüsseln kann. Will Bob Alice demonstrieren, dass er wirklich Bob ist, kann er eine Nachricht mit seinem privaten Schlüssel signieren und Alice kann mit seinem öffentlichen Schlüssel testen, ob das Ergebnis stimmt.Um GnuPG im Mailclient der Wahl zu benutzen, gibt es verschiedene Plugins. Das bekannteste für Thunderbird und Co. ist Enigmail, dessen Konfiguration bei der EFF für Linux und Windows ausführlich und Schritt für Schritt erläutert wird. Mac-Nutzer können für AppleMailGPG for Mail mit der GPG Suite benutzen.
Zusätzliche Infos zu Mailverschlüsselung gibt es auch bei der Free Software Foundation, Best Practices sind bei riseup.net zu finden.
Will man verschlüsselt per Instant Messeger kommunizieren, beispielsweise über das XMPP-Protokoll, ist die bekannteste Lösung OTR (Off the Record). OTR sorgt neben Verschlüsselung und Authentifizierung der Nachrichten auch dafür, dass Dritte die Urheberschaft einer Nachricht im Nachhinein nicht beweisen können und vormals verschlüsselte Nachrichten auch dann nicht entschlüsselt werden können, wenn der private Schlüssel des Nutzers in die falschen Hände gerät – anders als bei verschlüsseltem Mailverkehr, bei dem immer derselbe private Schlüssel genutzt wird.
Um OTR auf Windows und Linux zu nutzen, ist der Client Pidgin mit OTR-Plugin geeignet, Mac-Nutzer greifen oft auf den Messenger Adium zurück. Gute Anleitungen für Mac und Windows gibt es wieder bei der EFF. Die Pidgin-Alternative Jitsi wirdvon Security-in-a-Box empfohlen, da sie auch verschlüsselte Voice-over-IP-Kommunikation ermöglicht.
Kategorie II: Daten verschlüsseln
Für das Verschlüsseln von Daten auf Festplatten u.ä. gab es im letzten Jahr eine Vertrauenskrise. Die Software Truecrypt war für die Festplattenverschlüsselung weit verbreitet, stand aber schon seit jeher in Kritik für seine Lizenz, da es keine freie Softwarelizenz nutzt, sondern seine eigene, einzigartige „TrueCrypt License“. Dazu kam, dass die Entwickler Ende Mai 2014 das Ende der Entwicklung von Truecrypt bekanntgaben und zu verstehen gaben, dass Truecrypt besser nicht weiterentwickelt werden sollte, Backdoors waren der vermutete Grund.Alternativen sind zahlreich und Wikipedia gibteine detaillierte Übersicht über bekannte Software. Für Windows wird oftmals DiskCryptor empfohlen, bei vielen Linux-Distributionen kann bereits im Installationsprozess eine volle Festplattenverschlüsselung gewählt werden, Mac-Nutzer stossen oft zuerst auf FileVault 2. Eine Übersicht mit Hintergrundinfos, die fast keine Fragen offen lässt, hat Micah Flee von The Intercept verfasst.
Ähnlich wichtig, wie die Daten während ihrer Lebensdauer zu verschlüsseln ist es auch, sie sicher zu löschen – eine Auflistung über mögliche Programme findet sich bei Security in a Box.
Kategorie III: Anonym im Netz
Auch abgesehen von Mail- und Nachrichteninhalten hinterlassen wir Metadaten im Netz. Um zu verbergen, welche IP-Adresse auf eine Seite zugreift, gibt es Anonymisierungssoftware, Tor zum Beispiel. Das hilft auch, Zensur zu umgehen, beispielsweise wenn ein Land den Besuch von bestimmten Webseiten blockieren will. Tor gibt es sowohl für Linux, Mac, Windows und Android undder Installationsprozess besteht im Wesentlichen aus dem Entpacken eines Archivs, der Browser ist also auch via externes Speichermedium transportabel.Einkurzer Animationsfilm der Tor-Machererklärt die wesentlichen Eigenschaften für neue Nutzer. Aber auch Tor kann einen nicht vor eigenen Nutzungsfehlern bewahren. Plugins wie Flash bringen Identifizierbarkeit mit sich und wenn kein HTTPS verwendet wird, gehen Daten immer noch im Klartext vom letzten Knoten zum Empfänger. Einen Überblick,welche Daten wann sichtbar sind, hat die EFF angefertigt, Sicherheitshinweise gibt das Tor Project.
Ein ähnliches Ziel wie Tor verfolgt I2P, im Gegensatz zu Tor wird hier jedoch nicht mit einem Verzeichnis an Servern gearbeitet, sondern mit einem dezentralen, selbstorganisierenden Netz. I2P ist weniger verbreitet, aber auch für eine Vielzahl an Betriebssystemen verfügbar.
Kategorie IV: Browser-Plugins
Wenn wir uns mit einem „normalen“ Browser im Netz bewegen, hinterlassen wir jede Menge Datenspuren, aber simple Browser-Plugins können helfen, ein wenig Kontrolle zurück zu erlangen. HTTPS Everywhere, das es für Firefox, Chrome und Opera gibt, sorgt dafür, dass ausschliesslich HTTPS-Verbindungen aufgebaut werden, wo immer es möglich ist, damit eine Ende-zu-Ende-Verschlüsselung zwischen Sender und Empfänger zustande kommt.NoScript deaktiviert JavaScript auf Webseiten, es sei denn der Nutzer erlaubt dies explizit. Es verhindert damit, dass Sicherheitslücken ausgenutzt werden, etwa durch Cross-Site-Scripting.
Gegen Cookies, Trackingpixel und Co., die unser Browsing-Verhalten über verschiedene Webseiten hinweg tracken können, gibt es beispielsweise die Browsererweiterung Ghostery, die jedoch wegen Datenverkäufen in der Kritik war. Eine Alternative wäre beispielsweise disconnect.me.
Wenn man sich ansehen möchte, welche Seiten welche Cookies nutzen und welche Cookies davon einen über mehrere Seiten verfolgen, kann man das Firefox-Plugin Lightbeam nutzen, das Zusammenhänge über mehrere Seiten hinweg visualisiert. PrivacyBadger, wieder ein Projekt der EFF, will mehrere Funktionen in sich vereinen. Das Plugin unterbindet den Verbindungsaufbau zu Sendern, die bereits auf einer vorigen Seite in Erscheinung getreten sind und damit in Verdacht stehen, den Nutzer über mehrere Seiten zu verfolgen.
Eine Hauptquelle von Tracking-Cookies sind Werbeanzeigen, die noch dazu nervig sind. Das Blocken ist leicht, beispielsweise mit AdBlock Plus. Relativ neu ist uBlock. Es verspricht, weniger Systemressourcen zu benötigen.
Kategorie V: Harden your Smartphone
Wenn es um Smartphone-Sicherheit geht, wird es kompliziert. Denn es gibt eine Menge schöner Apps, die unsere Privatsphäre und Daten schützen sollen, aber Smartphones haben das inhärente Problem, dem Nutzer wenig Einblick und Kontrolle darüber zu geben, was hinter den Kulissen passiert. Einen guten Einblick in das Problem und was man tun muss, um sich bestmöglich abzusichern, gibt ein Artikel auf dem Blog des Tor Project mit dem bezeichnenden Titel: Mission Impossible: Hardening Android for Security and Privacy.Davon abgesehen ist es immer sinnvoll, sich mit Open-Source-Alternativen zu üblichen proprietären Apps auseinanderzusetzen. Ein guter Anlaufpunkt, zumindest für Android-Geräte, ist F-Droid, ein Verzeichnis für freie und offene Android-Apps. Um verschlüsselte Telefongespräche und SMS zu nutzen, kann man RedPhone beziehungsweiseTextSecure nutzen. Um OTR-verschlüsselte Instant Messages per Smartphone versenden zu können, lässt sich ChatSecure verwenden. Orbot mit Orweb bietet eine Tor-Variante für Mobilgeräte.
Kategorie VI: Freie und offene Software wählen
Proprietäre Systeme sind ihrem Wesen nach intransparent. Nur wenn es möglich ist, den Code einzusehen, können Backdoors erkannt werden – eine notwendige, wenn auch keine hinreichende Bedingung. Davon abgesehen ist bekannt, dass Apple und Microsoft Teil des PRISM-Programms der NSA sind. Daher ist es elementar, dass das Betriebssystem, auf dem ein Programm läuft, auf offener und freier Software basiert. Für neue Nutzer ist eine Linux-Distribution vermutlich am praktikabelsten. Ubuntu hat den Ruf, recht nutzerfreundlich zu sein und den Einstieg in die Linux-Welt leicht zu machen.Tails, The Amnesic Incognito Live System, ist eine spezielle Debian-Variante, die extra mit dem Ziel des grösstmöglichen Schutzes von Privatsphäre und Anonymität entwickelt wird. Eine Menge Programme, die wir oben aufgezählt haben, sind darin bereits enthalten. Es benutzt automatisch den Tor-Browser und OTR-Nachrichten. Eine weitere Besonderheit an Tails ist seine Live-System-Eigenschaft, das heisst bei jedem Neustart erscheint das System wieder so, wie es ursprünglich war. Nutzerspezifische Einstellungen und Eigenschaften gehen so – geplanterweise – verloren.
In Punkto allgemeine Software stösst man auf prism-break.org auf eine ausführliche Sammlung zu freien und offenen Alternativen proprietärer Programme, ähnlich beimElectronic Privacy Information Center.
Natürlich ist ein freies und offenes System kein hinreichender Garant dafür, dass es keine Sicherheitslücken oder Backdoors gibt und es soll hier keine Illusion aufgebaut werden, man sei per se sicher, wenn man mit einer beliebigen Linuxdistribution und nicht mit einem Windows-PC arbeitet. Aber Freie und Offene Software ist eine notwendige Bedingung für Vertrauen. Denn nur so kann Code nachvollziehbar und transparent auditiert werden, auch wenn das in der heutigen Praxis zweifelsohne noch nicht in ausreichendem Mass geschieht.
Kategorie VII: Alternative, dezentrale Strukturen nutzen
Ein grosses Problem in der Datenlandschaft des Internets in die Zentralisierung von Anwendungen und Dienste auf Internetriesen wie Facebook, Google und Co. Durch die immense Menge an Daten, die dort anfallen, entsteht ein grosses Missbrauchspotential. Abhilfe verschaffen Alternativen, die weniger Daten sammeln und keine Marktgiganten sind. Als Alternativsuchmaschinen zu Google gibt es unter anderem DuckDuckGo, ixquick und searx.me. Ein soziales Netzwerk abseits von Facebook ist Diaspora.Kategorie VIII: Best Practices
Die beste Software hilft nichts, wenn man nicht ein paar Best Practices beachtet. Dass „123“ kein sicheres Passwort ist, dürfte mittlerweile jedem klar sein. Wichtig ist aber auch der gute Umgang mit Passwörtern. Das heisst, keine identischen Passwörter für mehrere Accounts benutzen, Passwortmanager wie Keepass verwenden und fleissig Backups machen. Wer mehr über Passwörter und ihre Verwendung wissen will, kann sich auch die entsprechende Folge Chaosradio anhören. Wie man gute Passwörter auswählt, erfährt man zum Beispiel bei The Intercept.Sinnvoll ist auch, sich die Privatsphäre-Einstellungen und -Eigenschaften von Diensten und Produkten anzusehen, die man benutzen will. Meist muss man im Nachhinein einstellen, wenn man der Verwendung von Daten widersprechen will, wie etwa bei Facebook oder Google. Ob man den Anbietern vertrauen will, dass sie diese Einstellungen berücksichtigen, oder ob man einen Dienst wirklich benötigt, muss selbst entschieden werden.
Genauso selbst entscheiden sollte man, ob man eine App installieren will, wenn sie weitreichende Berechtigungen haben will, die nicht plausibel erscheinen – Stichwort Taschenlampen-App mit Standortdaten-Sammlung. Oft gibt es datensparsamere und freie Alternativen.
So much more…
Diese Aufzählung hat in keiner Weise den Anspruch auf Vollständigkeit. Auch sind die Empfehlungen, die wir geben, nicht absolut, sondern lediglich erste Anhalts- und Anlaufpunkte. Also: Informiert euch am besten selbst weiter! Ressourcen fürs Weiterlesen sind:- Security in a Box und Me and My Shadow von Tactical Tech
- Surveillance Self-Defense der EFF
- Prism Break für Alternativen zu proprietären Programmen
- Eine ausführliche Auseinandersetzung mit verschiedenen Sicherheitsaspekten von riseup.net
- Privacy Handbuch, eine deutschsprachige Ressource
- Was kann man mit einem VPN machen?, eine deutschsprachige Erklärung rund um das Thema VPN (Virtuelles Privates Netzwerk)
_c.webp)
