Leitfaden für den Einstieg: Mehr Sicherheit für die eigenen Daten

Bild von 3dman_eu via pixabay / Lizenz: CC0 Public Domain

Bild von 3dman_eu via pixabay / Lizenz: CC0 Public Domain

Häufig trägt man sich schon länger mit dem Thema Datensicherheit und Datenschutz herum. Die Flut der Informationen erschlägt einen jedoch und bei kritischer Selbstbetrachtung muss man festhalten, dass selbst auf [Mer]Curius inzwischen zahllos mehr oder minder gut verknüpfte Informationsstränge nebeneinander existieren. Hinzu kommen hunderte weitere Leitfäden und Hinweise im Internet und in Print-Publikationen.

Der folgende Leitfaden soll - ohne Anspruch auf Vollständigkeit - bei der ersten Orientierung helfen.

Bild von qimono via pixabay / Lizenz: CC0 Public Domain

Fragen die man sich zu Beginn stellt, können vielfältig sein und ganz unterschiedliche Bereiche betreffen. Dieser Artikel gibt keine konkreten Antworten für einzelne Punkte, sondern liefert Denkanstöße und Verweise zu weiteren Informationen.

  • Wie schütze ich meine Daten in einer zunehmend vernetzten Welt (Stichworte: Überwachung, Cloud, IoT)?
  • Welchen Diensten kann man vertrauen und welchen nicht?
  • Wie kommuniziere ich sicher?
  • Kann ich anonym im Internet surfen?

Im Laufe der Zeit ergeben sich dann viele Detailfragen von selbst. Die persönlichen Prioritäten variierten schließlich höchst individuell.

Grundsätzlich muss man abwägen wovor man sich schützen möchte. Zwei Themen stehen hier omnipräsent im Raum: Staatliche Überwachung und Datenabschöpfung durch IT-Unternehmen. Viele wollen nebenbei sich auch gegen ihr soziales Umfeld absichern. Das sagt niemand gerne, spielt aber bei Überlegungen zu Verschlüsselung oft eine Rolle. Die gute Nachricht: Bei den ersten Schritten macht es kaum einen Unterschied wogegen man sich genau schützen möchte. Zumal staatliche Überwachung und Datensammlung durch Unternehmen oftmals Hand in Hand geht (Stichwort: PRISM).

Je nach bisherigem Niveau können unterschiedliche Themenbereiche relevant sein. Ausgehend von der Annahme, dass bisher keinerlei relevante Maßnahmen zum Schutz der Privatsphäre im Internet unternommen wurden ergeben sich folgende Schritte. Jeder dieser Schritte ist für sich genommen bereits ein Fortschritt bzw. sinnvoll. Es ist daher nicht notwendig für eine Absicherung der digitalen Identität alle Schritte zu durchlaufen. Viele erweiterte Maßnahmen machen aber keinen Sinn ohne die vorangegangenen Schritte, weshalb diese Abstufung gewählt wurde.

  1. Einstieg: Ermittlung genutzter Dienste (Internetseiten, Kommunikationskanäle, Soziale Netzwerke etc. pp.) und Überprüfung auf potentielle Datenschutzrisiken. Anschließend ist zu überprüfen ob ein Verzicht möglich ist oder Alternativen in Frage kommen.
  2. Technische Basismaßnahmen: Wahl eines sicheren Browsers und sichere Konfiguration desselben. Absicherung der digitalen Identität durch sichere Passwörter, ggf. eine Passwortverwaltung und andere Maßnahmen auf Grundlage der bisher genutzten Betriebssysteme und Programme. Dazu gehört unter Umständen auf die Verschlüsselung der Kommunikation, dies kann aber auch erst im kommenden Schritt für sinnvoll erachtet werden.
  3. Erweiterte technische Maßnahmen: Wechsel auf ein sichereres Betriebssystem, sowie ggf. der Erwerb von neuer Hardware um ein solches optimal nutzen zu können. Einrichtung einer vollständigen Verschlüsselung der Systeme, sowie etwaiger vorhandener externer Datenträger.
  4. Aufbau eines anonymen Szenarios: Der Höhepunkt ist die Möglichkeit gänzlich anonym zu agieren. Dies setzt großes Wissen über die eingesetzten Dienste und Systeme voraus. Es ist normalerweise nicht auf dem normalen Alltagssystem heraus möglich, weshalb parallele Identitäten und Systeme zu pflegen sind.

Bild von TeroVesalainen via pixabay / Lizenz: CC0 Public Domain

1. Einstieg

Die meisten Menschen nutzen eine Vielzahl von digitalen Diensten. Diese lassen sich grob in verschiedene Kategorien einteilen: Nachrichten-/Medienkonsum, Onlineshopping, soziale Netzwerke, Kommunikationsdienste, s.g. Internetcommunitys, Bankgeschäfte und vieles mehr. Grundsätzlich muss man davon ausgehen, dass alle diese Dienste Nutzerprofile erstellen und ggf. sogar mit Dritten teilen.

Es ist deshalb wichtig in einem ersten Schritt die genutzten Dienste zu inventarisieren. Man sollte sich dazu im übertragenen Sinne mehrere Tage selbst über die Schulter schauen und einfach mal auflisten, was man so nutzt. Grundsätzlich ist kein kein Dienst alternativlos.

Zuerst sollte man sich fragen, auf welche Dienste man eigentlich verzichten kann. Ein digitaler Frühjahrsputz beseitigt über viele Jahre angefallene Datenbestände. Die Löschung von Accounts kann man rechtlich einfordern. Das Telemediengesetz sieht - vorbehaltlich besonderer Gründe - unter §13 unter anderem vor, dass "der Nutzer die Nutzung des Dienstes jederzeit beenden kann".

Anschließend ist zu überprüfen, ob man einige Dienste durch datenschutzfreundlichere Alternativen oder zumindest Alternativanbieter ersetzen kann. Ein klassisches Beispiel sind hier z.B. E-Mail und Cloudanbieter. Schwieriger bleiben Messenger- und Videotelefonielösungen, da hier beide Kommunikationspartner wechseln müssen.

Dienste auf die man nicht verzichten kann, sollte man bestmöglich absichern, dies führt dann zum nächsten Punkt.

Weiterführende Informationen:

Bild von freeGraphicToday via pixabay / Lizenz: CC0 Public Domain

2. Technische Basismaßnahmen

Im Bereich der Internetaktivitäten sind vor allem zwei Bereiche relevant: Tracking des Surfverhaltens durch Seiten/Werbedienstleister, sowie der Schutz der eigenen digitalen Identität.

Ersteres erreicht man am besten durch einen vertrauenswürdigen Browser, gepaart mit einigen Addons. Trotz einiger kritischer Entwicklungen ist das noch immer Firefox, der für alle gängigen Betriebssysteme zur Verfügung steht.

Die digitale Identität ist hingegen vor allem durch die Accountübernahme durch Dritte bedroht. Passwörter sind kein optimales System, aber das sicherste was wir gegenwärtig haben. Hier sollte man den kompletten Rahmen ausschöpfen. D.h. möglichst lange, zufällig generierte Passwörter mit vielen Zeichen. Individuell erzeugt für jeden Dienst. Da diese Passwörter schwierig zu merken sind, erfreuen sich Passwortverwaltungen großer Beliebtheit. Zwei-Faktor-Authentifizierung ist ebenfalls ein probates Mittel der Absicherung. Hierfür wird ein Zufallscode per entsprechender App erzeugt oder per SMS an eine Mobilfunknummer verschickt. Problematisch ist hierbei, dass man dazu die Mobilfunknummer dem Dienstanbieter mitteilen muss. Dadurch ist diese Zusatzsicherung nur auf Kosten der Datensparsamkeit möglich.

Man kann sich auch bereits auf Basis der bisherigen genutzten Systeme bereits mit Kommunikations- bzw. E-Mail Verschlüsselung auseinander setzen.

Weiterführende Informationen:

Bild von Pexels via pixabay / Lizenz: CC0 Public Domain

3. Erweiterte technische Maßnahmen

1. Sicheres Betriebssystem

Zu den bekannten Betriebssystemen Windows, macOS und Linux gesellen sich seit einigen Jahren noch die mobilen Systeme Android und iOS. Diese Betriebssysteme unterscheiden sich in ihrer Sicherheit und vor allem in ihrer Gewichtung des Datenschutzes. Eindeutige Empfehlungen kann man jedoch nicht abgegeben, da mit dem Betriebssystem sich meist auch das gesamte Anwendungsökosystem unterscheidet. Es kann daher schlicht nicht jeder auf das - hinsichtlich Datenschutz und Sicherheit - optimale System wechseln.

Wer schon mal mit dem Gedanken geliebäugelt hat auf Linux umzusteigen, sollte dies wirklich näher in Erwägung ziehen. Linux ist nicht per Definition sicherer als andere Betriebssysteme, aber die Kombination aus dem offenen Entwicklungsmodell, der Sicherheitsarchitektur und der geringen Verbreitung im Desktopbereich resultieren bisher in einem ziemlich geringen Schadsoftwaredruck. Anders gesagt: Die Wahrscheinlichkeit sich Schadsoftware wie Trojaner oder Keylogger "aus versehen" einzufangen sind sehr gering.

Das exakte Gegenteil von Linux stellt faktisch Windows dar. Durch den großen Marktanteil und langjährige strukturelle Schwächen im System ist der Schadsoftwaredruck enorm. Jede Zeroday-Lücke kann da zu einem unkalkulierbaren Risiko werden. Hinzu kommen Veränderungen bei Microsoft, wo Cloudservice und datenbasierte Dienste enorm an Bedeutung gewonnen haben. Windows 10 bemisst dem Datenschutz keine hohe Priorität ein. Polemische Äußerungen - die deshalb nicht unbedingt unzutreffend sind - von Sicherheitsexperten gehen nicht grundlos in die Richtung Windows 10 selbst zur Spyware zu erklären.

Im Mittelfeld ist macOS angesiedelt. Richtig massive Schadsoftwarewellen waren in der Vergangenheit nicht zu verzeichnen, das System hat aber auch nicht den Ruf besonders sicher zu sein - wobei Apple hier in der Vergangenheit massiv nachgebessert hat. Ähnlich wie Microsoft entwickelt man sich zunehmend hin zu Clouddiensten, möchte aber trotzdem die datenschutz-affine Zielgruppe halten, weshalb man mit differential privacy versucht beides zu vereinbaren.

Weiterführende Informationen:

2. Verschlüsselung

Gleichgültig welches Betriebssystem man einsetzt. Man sollte sich intensiv mit Verschlüsselung auseinander setzen. Die Passwortsicherung via Benutzerpasswort aller drei Betriebssysteme lässt sich ohne Verschlüsselung schnell umgehen. Nur eine starke Verschlüsselung verhindert, dass Unbefugte sich Zugang zu privaten Daten verschaffen können.

Hierbei muss man keinesfalls den für die meisten doch recht abstrakten Schutz vor staatlichen Stellen heranziehen. Wohnungseinbrüche und Diebstähle sind ein wachsendes Problem in Deutschland und man möchte den finanziell schmerzlichen Hardwareverlust ja nicht noch potenzieren durch die Preisgabe sensibler Daten.

Es gibt zahlreiche Verschlüsselungslösungen. Jedes Betriebssystem hat eine native eigene Lösung. Bei Microsoft ist dies BitLocker, welches aber nur bei professionellen Versionen verfügbar ist, Apple nennt seine Lösung FileVault und bei Linux gibt es konkurrierende Angebote, verbreitet ist jedoch LUKS.

Weiterführende Informationen:

3. Hardware

Eine neue Betriebssystemstrategie führt mittelfristig zwingend zu Veränderungen bei der Hardware. Insbesondere im Mobilbereich kann man nicht einfach das Betriebssystem wechseln, sondern muss sich unter Umständen ein neues Gerät kaufen. Sollte man vorhaben von Windows hin zu macOS zu wechseln, benötigt man auch zwingend Apple Hardware. Etwas besser sieht das bei Linux aus, da die Hardwareunterstützung des Linux-Kernels unübertroffen ist. Allerdings kann es auch hier problematische Geräte geben, vor allem in der so genannten Peripherie, d.h. Scanner, Drucker und ähnliches. Hier muss dann möglicherweise Ersatz beschafft werden.

In diesem Zusammenhang sei auch darauf verwiesen, dass in moderner Hardware immer mehr Bestandteile stecken, die einem Betriebssystem ähneln - oft einfach Firmware genannte. Ein besonders bekanntes Beispiel ist die Intel Management Engine. Diese Bestandteile entziehen sich der Kontrolle durch den Anwender bzw. Besitzer der Hardware. Wirklich freie Hardware ist aber immer noch Mangelware.

Bild von geralt via pixabay / Lizenz: CC0 Public Domain

3. Anonymität

Viele dieser Punkte dürften neu sein. Wenn man alle diese Schritte absolviert hat, d.h. seine Dienste bewusster nutzt, eventuell das Betriebssystem gewechselt hat, Datenträger nur noch verschlüsselt benutzt und sich weitgehend gegen Tracking abschirmt, erliegt man leicht dem Glauben nun sei alles getan. Man sollte sich aber immer vergegenwärtigen, dass trotz all dieser Maßnahmen keine Anonymität hergestellt wird. Man verringert zwar den eigenen digitalen Fußabdruck und entgeht den gröbsten Spionageversuchen aber erweiterte Trackingmethoden oder gar den Sicherheitsbehörden entgeht man so sicher nicht!

Um nahezu vollständig anonym unterwegs zu sein, benötigt man Zusatzwerkzeuge wie Tor und faktisch auch parallele Betriebssysteme wie Tails um einen vor der eigenen Dummheit zu bewahren.

Weiterführende Informationen:

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top