16. April 2019 aktualisiert, 2017 erstellt.
In meinem Beitrag „Vom Nepp und Schlepp im Netz“ habe ich meinem Unbehagen in Sachen Spurenhinterlassen und Datenklau Ausdruck verliehen. Heißt das jetzt in der Konsequenz, dass alle kritischen Geister ihre Netzaktivitäten einstellen müssten? Keine E-Mail-Kommunikation, keine Internet-Recherche, keine Aktivitäten auf Facebook und Co.?
Jaaeeeiin, man hat (wenige) Möglichkeiten der Sammelwut von Datenspionen zu entkommen, aber ein paar Sicherheitsmaßnahmen, sozusagen Selbstdatenschutz, kann und sollte jeder im Netz treffen.
1. Mehr als 123456 – rund ums Passwort
Aktualisiert am 16. April 2019
Die altbekannten Regeln für sichere Passwörter wurden Mitte 2017 vom National Institute of Standards and Technologie (NIST) über Bord geworfen. (Die US-Behörde legt technische Standards für öffentliche Einrichtungen in den USA fest). NIST empfiehlt jetzt lange und kreative Phrasen zu verwenden, die nicht in Wörterbüchern auftauchen.
Ideale Passwörter bestehen aus mehreren Worten, Sonderzeichen schaden nicht und Leerzeichen könnten Hacker zum Verzweifeln bringen. Außerdem sollen Passwörter nur geändert werden, wenn ein konkreter Verdacht auf einen Angriff besteht.
Und wer erst gar keine Idee hat, kann auch einfach die Anfangsbuchstaben eines Merksatzes verwenden, um ein gutes Passwort zu erzeugen: UwegkIh, kaedAeMv,uegPze ;-).
2. Holt raus das Klebeband – Webcam abdecken
„Die abgeklebte Linse ist der Datenschutz des kleinen Menschen“, schrieb kürzlich Eike Kühl, in der „Zeit“. Scharfe Augen erkannten auf Mark Zuckerbergs Instagram-Schnappschuss, dass er die Webcam und das Mikrofon seines Laptops verklebt hatte.
Ich halte die Angst Zuckerbergs für begründet, verantwortet er doch die Aktivitäten des größten Digitalparasiten unseres Planeten und weiß daher bestens Bescheid. Der Facebook-Gründer ist sicher ein beliebtes Objekt von Hacker-Angriffen. Aber nicht nur er. In den vergangenen Jahren kam es immer wieder zu Trojaner-Attacken, bei denen die Webcams von privaten Computern aus der Ferne aktiviert wurden. Und ich gebe es zu: Auch bei meinem Laptop sorgt ein kleines Schiebetürchen über der Kameralinse für gefühlt mehr Privatsphäre (siehe Foto).
3. Es muss nicht immer Google sein
Google ist die Suchmaschine schlechthin, aber bei jeder Suchanfrage speichert der Betreiberkonzern die IP-Adressen der Nutzer und validiert und ergänzt deren digitale Fingerabdrücke mit allen möglichen Rückschlüssen aus Suchaktivitäten, Browser-Daten, Infos zu PC und Betriebssystem, Zeitzonen, Bildschirmeinstellungen, installierte Plugins und Schrifttypen etc.
Eine alternative Suchmaschine, die sich seit der Snowden-Enthüllungen großer Beliebtheit erfreut, ist beispielsweise DuckDuckGo. Das amerikanische Unternehmen verschlüsselt die Datenübertragung via SSL, verspricht keine persönlichen Nutzerdaten zu sammeln, keine Cookies zu verwenden und Suchanfragen nicht zu tracken. Kann man glauben oder auch nicht, aber ein Versuch schadet nicht.
Eine Alternative, die aus Deutschland kommt, könnte der kostenlose Browser Cliqz werden. Er ist erst seit Frühjahr 2016 auf dem Markt, kommt aus dem Verlagshaus Hubert Burda und enthält eine Suchmaschine mit „Anti-Tracking“-Funktion.
Eine ebenfalls deutsche Suchmaschine, die die IP-Adressen allerdings nur anonymisiert, ist MetaGer. Diese Adresse gibt es seit zehn Jahren. Betrieben wird MetaGer vom Institut für Suchmaschinen-Technologie SUMA in Kooperation mit der Universität Hannover.
Aktualisierung am 5. April 2017:
Kürzlich vermerkte IT-Sicherheitsexperte Mike Kuketz, dass er DuckDuckGo nicht als Alternativsuchmaschine zu Google akzeptieren könne, da DuckDuckGo generell verpflichtet sei, mit Behörden wie dem FBI, NSA und CIA zusammenzuarbeiten. Ich finde den Einwand berechtigt, insbesondere nachdem der US-Kongress jüngst die Vorschriften zum Datenschutz von Internet-Nutzern gekippt hat.
Am 13. Juli 2017 hinzugefügt:
Das franzische Start-up Qwant, in das auch der Axel-Springer-Verlag investiert hat, startet jetzt eine deutsche Version der nicht personalisierten Suchmaschine. Nach eigenen Angaben verwendet Qwant keine Cookies und zeigt allen Nutzern die gleichen Ergebnisse.
4. Mein Schlüssel, dein Schlüssel und ab geht die E-Mail
Seit 25 Jahren gibt es die Verschlüsselungssoftware Pretty Good Privacy (kurz PGP und übersetzt in etwa „ziemlich gute Privatsphäre“), um sicher per E-Mail zu kommunizieren:
Das System funktioniert nach dem Prinzip der asymmetrischen Verschlüsselung: Sowohl der Sender als auch der Empfänger besitzen jeweils ein Schlüsselpaar, bestehend aus einem geheimen und einem öffentlichen Schlüssel. Mit dem öffentlichen Schlüssel des Empfängers wird die E-Mail vom Absender chiffriert und verschickt. Der Adressat der Nachricht benötigt dann seinen passwortgeschützten privaten Schlüssel, um den Inhalt wieder lesbar zu machen.
5. Open und verschlüsselt -VeraCrypt
Um meine Daten effektiv vor Fremdeingriffen auf meinem Rechner oder in der Cloud zu schützen, sorgte bisher die plattformübergreifende Software TrueCrypt. Leider wird die quelloffene Lösung seit 2014 nicht mehr weiterentwickelt.
Jetzt gibt es möglicherweise Ersatz: VeraCrypt, dessen Code zum Teil auf TrueCrypt basiert. Möglich ist die Verschlüsselung der Software unter Windows, Linux und Mac OS X. Bisher sind keine negativen Bewertungen bekannt, aber man muss die Entwicklung kritisch im Auge behalten. Eine Anleitung zu VeraCrypt gibt es beispielsweise beim Heise-Verlag.
6. Nicht süß, sondern bitter: Cookies
Ob Sie Cookies akzeptieren oder verweigern ist eine Frage von Komfort versus Mehraufwand beim Surfen. Und viele Websites verweigern jegliche Kooperation, sollten sie keine Kekse verteilen dürfen. Ich empfehle Ihnen Cookies regelmäßig zu löschen und nur ausgewählten Websites deren Speicherung zu gestatten (Einstellung: keine Drittanbieter-Cookies). Wo Sie die Einstellungen im Browser Safari, Firefox oder Internet Explorer vornehmen, erfahren Sie hier.
Mehr dazu: Schutz vor lästigen Cookies
7. Unschuldig in der Ecke stehend und hochgefährlich – der Drucker
Extern: Kopiergeräte sind mittlerweile Multifunktionsgeräte – sie drucken, scannen, faxen und kopieren. Ist der Drucker erst einmal installiert, wird die Sicherheit meist nicht mehr beachtet. Das macht die Geräte zu beliebten Angriffszielen für Hacker und ist ein beliebtes Einfallstor in Firmennetzwerke. 2017 brachte der Schüler und Hacker Stackoverflowin 150.000 Geräte unter seine Kontrolle – einfach so zum Spaß.
Tipp: Drucker sollten in einem Unternehmen in einen Patch- und Update-Zyklus eingebunden werden. Und die Standard-Einstellung sollte durch eigene Zugangsdaten ersetzt werden.
Intern: Aber nicht nur von außen ist der Drucker ein Angriffsziel. Im Büro stehen Drucker meist an einem zentralen Ort. Diese Geräte haben einen großen Speicherplatz mit flüchtigen und nichtflüchtigen Arbeitsspeichern. Erstgenannte werden beim Ausschalten gelöscht, während die nichtflüchtigen Daten so lange gespeichert werden, bis der Auftrag erledigt ist, egal, ob zwischenzeitlich einmal der Strom abgeschaltet wurde. Auf jeden Fall bleiben Datenspuren auf der Festplatte erhalten, die leicht wieder herzustellen sind.
Der Bremer Landesbeauftragte für den Datenschutz hat eine nützliche Handlungsanweisung für Fotokopierer erstellt.
- Zum eher trockenen Thema Selbstdatenschutz gibt es übrigens eine sehenswerte Website: Me and my Shadow.
Und was tun Sie für Ihre Sicherheit im Netz? Ich freue mich auf Ihren Kommentar!
Eine weitere Möglichkeit zum Selbstdatenschutz ist eine genaue Prüfung der Einstellungen verwendeter Geräte und Dienste: Android sendet beispielsweise WLAN-Passwörter an Google, wenn man die entsprechende Funktion in den Einstellungen nicht deaktiviert und speichert Kalender und Kontakte in der Google-Cloud, wenn nicht explizit ein anderer Dienst gewählt wird. Eine Prüfung der Einstellungen aller verwendeten Apps und Webdienste kann ohne größeren Aufwand einige Datenlecks schließen.
Sie liefert außerdem eine Übersicht über einfach erreichbare Stellschrauben: so können z.B. Kalender und Kontakte mit einem unabhängigen Synchronisationsdienst auch ohne Google verwendet werden. Hierzu entwickele ich derzeit mit „GeneralSync“ eine dezentrale Option ganz ohne Cloud oder Server (derzeit in einer kostenlosen Betaphase für Android und Mozilla Thunderbird), von anderen Entwicklern gibt es auch Optionen für selbst betriebene Server und europäische Clouds.
Für Nutzer gibt es also oftmals Einstellungen, die im Alltag nur wenig Veränderung bedeuten und den Datenschutz dennoch spürbar verbessern können.