Leitfaden für den Einstieg

Häufig trägt man sich schon länger mit dem Thema Datensicherheit und Datenschutz herum. Die Flut der Informationen kann einen jedoch erschlagen. Der folgende Leitfaden soll – ohne Anspruch auf Vollständigkeit – bei der ersten Orientierung helfen.

Die Schritte wirken erst mal unermesslich viele. Macht es überhaupt Sinn anzufangen? Hier sollte man sich vergegenwärtigen, dass auch beim Datenschutz das „Paretoprinzip“ gilt: Mit 20 % des Aufwands lässt sich die Situation zu 80 % verbessern. Um den Aufwand und den Ertrag eines jeden Schrittes abzuschätzen, orientiere dich an den Fortschrittsbalken.

Fragen, die du dir zu Beginn stellst, können vielfältig sein und ganz unterschiedliche Bereiche betreffen. Dieser Artikel gibt keine konkreten Antworten für einzelne Punkte, sondern liefert Denkanstöße und Verweise zu weiteren Informationen.

  • Wie schütze ich meine Daten in einer zunehmend vernetzten Welt (Stichworte: Überwachung, Cloud, IoT)?
  • Welchen Diensten kann man vertrauen und welchen nicht?
  • Wie kommuniziere ich sicher?
  • Kann ich anonym im Internet surfen?

Im Laufe der Zeit ergeben sich dann viele Detailfragen von selbst. Das hängt von deinen Prioritäten ab.

Es geht vor allem um zwei Themen: Staatliche Überwachung und Datenabschöpfung durch IT-Unternehmen. Viele wollen nebenbei sich auch gegen ihr soziales Umfeld absichern. Das sagt niemand gerne, spielt aber bei Überlegungen zu Verschlüsselung oft eine Rolle. Die gute Nachricht: Bei den ersten Schritten macht es kaum einen Unterschied, wogegen man sich genau schützen möchte. Zumal staatliche Überwachung und Datensammlung durch Unternehmen oftmals Hand in Hand gehen.

Je nach deinen Kenntnissen können unterschiedliche Themenbereiche relevant sein. Ausgehend von der Annahme, dass bisher keinerlei relevante Maßnahmen zum Schutz der Privatsphäre im Internet unternommen wurden, ergeben sich folgende Schritte. Jeder dieser Schritte ist für sich genommen bereits ein Fortschritt bzw. sinnvoll. Es ist daher nicht notwendig, für eine Absicherung der digitalen Identität alle Schritte zu durchlaufen.

  1. Einstieg: Ermittlung genutzter Dienste (Internetseiten, Kommunikationskanäle, Soziale Netzwerke etc. pp.) und Überprüfung auf potentielle Datenschutzrisiken. Anschließend ist zu überprüfen ob ein Verzicht möglich ist oder Alternativen in Frage kommen.
  2. Technische Basismaßnahmen: Wahl eines sicheren Browsers und sichere Konfiguration desselben. Absicherung der digitalen Identität durch sichere Passwörter, ggf. eine Passwortverwaltung und andere Maßnahmen auf Grundlage der bisher genutzten Betriebssysteme und Programme. Dazu gehört unter Umständen auf die Verschlüsselung der Kommunikation, dies kann aber auch erst im kommenden Schritt für sinnvoll erachtet werden.
  3. Erweiterte technische Maßnahmen: Wechsel auf ein sichereres Betriebssystem, sowie ggf. der Erwerb von neuer Hardware um ein solches optimal nutzen zu können. Einrichtung einer vollständigen Verschlüsselung der Systeme, sowie etwaiger vorhandener externer Datenträger.
  4. Aufbau eines anonymen Szenarios: Der Höhepunkt ist die Möglichkeit gänzlich anonym zu agieren. Dies setzt großes Wissen über die eingesetzten Dienste und Systeme voraus. Es ist normalerweise nicht auf dem normalen Alltagssystem heraus möglich, weshalb parallele Identitäten und Systeme zu pflegen sind.

1. Einstieg

10%
Aufwand
20%
Schutz

Die meisten Menschen nutzen eine Vielzahl von digitalen Diensten. Bestimmt hast du 50 bis 100 Konten bei ganz unterschiedlichen Plattformen. Diese lassen sich grob in verschiedene Kategorien einteilen: Nachrichten-/Medienkonsum, Onlineshopping, soziale Netzwerke, Kommunikationsdienste, sogenannte Internetcommunitys und Bankgeschäfte. Grundsätzlich muss man davon ausgehen, dass alle diese Dienste Daten sammeln, Nutzerprofile erstellen und diese vielleicht sogar verkaufen.

Zuerst solltest du die genutzten Dienste inventarisieren. Dazu solltest du dir im übertragenen Sinne mehrere Tage selbst über die Schulter schauen und einfach mal auflisten, was du so nutzt.

Danach solltest du dich fragen, auf welche Dienste du eigentlich verzichten kannst. Ein digitaler Frühjahrsputz beseitigt über viele Jahre angefallene Datenbestände. Die Löschung von Accounts kann man rechtlich einfordern. Das Telemediengesetz sieht – vorbehaltlich besonderer Gründe – unter §13 unter anderem vor, dass „der Nutzer die Nutzung des Dienstes jederzeit beenden kann“.

Anschließend ist zu überprüfen, ob du einige Dienste durch datenschutzfreundlichere Alternativen ersetzen kann. Ein klassisches Beispiel sind hier z. B. E-Mail-Konten und Cloud-Anbieter. Schwieriger bleiben Messenger- und Videotelefonielösungen, da hier alle deine Kommunikationspartner wechseln müssen.

Dienste auf die man nicht verzichten kann, sollte man bestmöglich absichern, dies führt dann bereits zum nächsten Punkt.

E-Mail

Datenschutz-sensible
E-Mail Dienstleister

Sichere Messenger

Verschlüsselte
Messenger

2. Technische Basismaßnahmen

20%
Aufwand
80%
Schutz

Im Bereich der Internetaktivitäten sind vor allem zwei Bereiche relevant: Tracking des Surfverhaltens durch Seiten/Werbedienstleister, sowie der Schutz deiner eigenen digitalen Identität.

Ersteres erreichst du am besten durch einen vertrauenswürdigen Browser, gepaart mit einigen Addons. Trotz einiger kritischer Entwicklungen ist das noch immer Firefox, der für alle gängigen Betriebssysteme zur Verfügung steht.

Deine digitale Identität ist vor allem durch die Accountübernahme durch Dritte bedroht. Passwörter sind kein optimales System, aber das sicherste, was wir gegenwärtig haben. Hier solltest du den kompletten Rahmen ausschöpfen. Das heißt, möglichst lange zufällig generierte Passwörter mit vielen Zeichen – individuell erzeugt für jeden Dienst. Da diese Passwörter schwierig zu merken sind, erfreuen sich Passwortverwaltungen großer Beliebtheit. Zwei-Faktor-Authentifizierung ist ebenfalls ein gutes Mittel der Absicherung. Hierfür wird ein Zufallscode per entsprechender App erzeugt oder per SMS an eine Mobilfunknummer verschickt. Problematisch ist hierbei, dass man dazu die Mobilfunknummer dem Dienstanbieter mitteilen muss. Dadurch ist diese Zusatzsicherung nur auf Kosten der Datensparsamkeit möglich.

Man kann sich auch bereits auf Basis der bisherigen genutzten Systeme mit Kommunikations- bzw. E-Mail Verschlüsselung auseinandersetzen. Das ist aber kein Muss!

Tracking

Vor Verfolgung
im Internet schützen

Tracking

Passwortmanager
für sichere Kennwörter

3. Erweiterte technische Maßnahmen

70%
Aufwand
90%
Schutz

3.1. Sicheres Betriebssystem

Zu den bekannten Betriebssystemen Windows, macOS und Linux gesellen sich seit einigen Jahren noch Smartphone-Systeme Android und iOS. Diese Betriebssysteme unterscheiden sich in ihrer Sicherheit und wie sie zu Datenschutz stehen. Eindeutige Empfehlungen kann man jedoch nicht abgegeben, da mit dem Betriebssystem sich meist auch das gesamte Anwendungsökosystem unterscheidet. Es kann daher schlicht nicht jeder auf das optimale System wechseln.

Wer sich schon mal mit dem Gedanken getragen hat, auf Linux umzusteigen, sollte dies wirklich näher in Erwägung ziehen. Linux ist nicht per Definition sicherer als andere Betriebssysteme, aber die Kombination aus dem offenen Entwicklungsmodell, der Sicherheitsarchitektur und der geringen Verbreitung im Desktopbereich resultieren bisher in einem ziemlich geringen Schadsoftwaredruck. Anders gesagt: Die Wahrscheinlichkeit, sich Schadsoftware wie Trojaner oder Keylogger „aus versehen“ einzufangen, ist sehr gering.

Das exakte Gegenteil von Linux ist Windows. Durch den großen Marktanteil und langjährige strukturelle Schwächen im System ist der Schadsoftwaredruck enorm. Jede Zeroday-Lücke kann da zu einem unkalkulierbaren Risiko werden. Hinzu kommen Veränderungen bei Microsoft, wo Cloud-Service und datenbasierte Dienste enorm an Bedeutung gewonnen haben. Windows 10 bemisst dem Datenschutz keine hohe Priorität bei. Polemische Äußerungen – die deshalb nicht unbedingt unzutreffend sind – von Sicherheitsexperten gehen nicht grundlos in die Richtung Windows 10 selbst zur Spyware zu erklären.

Im Mittelfeld ist macOS angesiedelt. Richtig massive Schadsoftwarewellen waren in der Vergangenheit nicht zu verzeichnen, das System hat aber auch nicht den Ruf, besonders sicher zu sein – wobei Apple hier in der Vergangenheit massiv nachgebessert hat. Ähnlich wie Microsoft entwickelt man sich zunehmend hin zu Clouddiensten, möchte aber trotzdem die datenschutzaffine Zielgruppe halten, weshalb man mit differential privacy versucht beides zu vereinbaren.

3.2. Verschlüsselung

Egal welches Betriebssystem du einsetzt. Schau dir mal das Thema Verschlüsselung an. Die normale Absicherung mit Benutzername und Passwort kann bei allen Betriebssystemen schnell geknackt werden.

Dabei geht es nicht darum, dich vor staatlicher Überwachung zu schützen, sondern Wohnungseinbrüche und Diebstähle sind ein wachsendes Problem in Deutschland und man möchte den finanziell schmerzlichen Hardwareverlust ja nicht noch potenzieren durch die Preisgabe sensibler Daten. Notebooks und Smartphones können außerdem auch einfach so verloren werden.

Es gibt zahlreiche Verschlüsselungslösungen. Jedes Betriebssystem hat eine integrierte Lösung. Bei Microsoft ist dies BitLocker, Apple nennt seine Lösung FileVault und bei Linux gibt es verschiedene Angebote, verbreitet ist jedoch LUKS.

3.3. Hardware

Am Anfang kannst du sicherlich noch oft mit deinen bisherigen Geräten weiter arbeiten. Aber das gilt nicht für jeden Bereich. Insbesondere im Smartphone-Bereich kann man nicht einfach das Betriebssystem wechseln, sondern muss sich unter Umständen ein neues Gerät kaufen. Sollte man vorhaben, von Windows hin zu macOS zu wechseln, benötigt man auch zwingend Apple-Hardware. Etwas besser sieht das bei Linux aus, da die Hardwareunterstützung des Linux-Kernels unübertroffen ist. Allerdings kann es auch hier problematische Geräte geben, vor allem in der sogenannten Peripherie, d.h. Scanner, Drucker und Ähnliches. Hier muss dann möglicherweise Ersatz beschafft werden.

In diesem Zusammenhang sei auch darauf verwiesen, dass in moderner Hardware immer mehr Bestandteile stecken, die einem Betriebssystem ähneln – oft einfach Firmware genannte. Ein besonders bekanntes Beispiel ist die Intel Management Engine. Diese Bestandteile entziehen sich der Kontrolle durch den Anwender bzw. Besitzer der Hardware. Wirklich freie Hardware ist aber immer noch Mangelware.

Betriebssysteme

Sichere
Betriebssysteme

Verschlüsselung

Daten schützen
durch Verschlüsselung

4. Anonymität

100%
Aufwand
90%
Schutz

Viele dieser Punkte dürften neu sein. Wenn du alle diese Schritte absolviert hast, das heißt deine Dienste bewusster nutzt, eventuell das Betriebssystem gewechselt hat, Datenträger nur noch verschlüsselt benutzt und sich weitgehend gegen Tracking abschirmt, erliegst du vielleicht dem Glauben, nun sei alles getan. Du solltest dir aber immer vergegenwärtigen, dass trotz all dieser Maßnahmen keine Anonymität hergestellt wird. Man verringert zwar den eigenen digitalen Fußabdruck und entgeht den gröbsten Spionageversuchen aber erweiterte Trackingmethoden oder gar den Sicherheitsbehörden entgeht man so sicher nicht!

Um nahezu vollständig anonym unterwegs zu sein, benötigst du Zusatzwerkzeuge wie Tor und faktisch auch parallele Betriebssysteme wie Tails, um dich vor deiner eigenen Dummheit zu bewahren.

TOR

Anonymität mit dem
Tor Browser Bundle

Tails

Anonymität mit
Tails