Empfehlungsecke ⋆ Kuketz IT-Security Blog

Die Empfehlungsecke enthält meine aktuellen Empfehlungen zu verschiedenen Themen – also bspw. Messenger, Browser-Add-ons und Suchmaschinen. Ziel ist es, die Empfehlungsecke so aktuell wie möglich zu halten, damit man sich bei Bedarf daran orientieren kann. Die Empfehlungen sind mit kurzen Texten versehen, ich verzichte jedoch auf eine ausführliche Darstellung bzw. verlinke dann auf weiterführende Informationen.

Sprungmarken zu den Themen

Hinweis

Die Empfehlungsecke steht unter der CC BY-SA 4.0-Lizenz. Wenn du Verbesserungsvorschläge, Korrekturen oder Anmerkungen hast, dann reiche diese bitte per Issue/Pull-Request über Codeberg ein. Alle Änderungen an der Empfehlungsecke sind transparent in einem Changelog nachvollziehbar.

Account-Diebstahl: Was tun?

Ein (online) Account-Diebstahl ist nicht nur ärgerlich, sondern kann auch unangenehme Folgen haben – insbesondere dann, wenn man nicht rechtzeitig reagiert. Womöglich ist bereits ein finanzieller Schaden entstanden, persönliche Daten (Adressen, Bankinformationen, Gesundheitsdaten etc.) wurden entwendet/missbraucht oder Aussagen in sozialen Netzwerken veröffentlicht, die man selbst so nicht sagen/schreiben würde. Leider bleibt oft unklar, wie es zu einem Account-Diebstahl kommen konnte, was nicht gerade zur Beruhigung der Betroffenen beiträgt. Häufige Ursachen für einen Account-Diebstahl sind:

Passwort: Wenig komplexe bzw. einfache Passwörter (bspw. 123456, monkey, passwort) sind ein häufiger Grund für einen Account-Diebstahl. Bei der Vergabe eines Passworts sollte man sich ein sicheres Passwort generieren lassen und für jeden Online-Account ein unterschiedliches Passwort verwenden. Für mehr Sicherheit: Zwei-Faktor-Authentifizierung aktivieren.
Phishing: Phishingist eine beliebte Betrugsmasche, bei der Benutzer durch gefälschte E-Mails oder andere Kommunikationswege dazu verleitet werden, Zugangsdaten zu Konten preiszugeben. Wie man Phishing-Angriffe erkennt bzw. wie man am besten damit umgeht, wird im Artikel »Phishing: Das Abfischen von Zugangsdaten vermeiden« näher erläutert.
Schadsoftware: Veraltete Software bzw. Systeme, die nicht aktuell gehalten werden, sind oftmals ein Einfallstor für Schadsoftware. Aber auch die Unachtsamkeit bzw. Gutgläubigkeit von Nutzern kann den Befall mit Schadsoftware begünstigen, indem bspw. Software aus unbekannten Quellen installiert wird.

Betroffene fühlen sich nach einem Accountdiebstahl oft hilflos. Die folgenden Tipps können helfen, die Kontrolle über den gestohlenen Account wiederzuerlangen:

Kontrolle zurückerlangen: Häufig wird bei einem Account-Diebstahl das Passwort geändert und der legitime Besitzer vom eigenen Konto ausgesperrt. In diesem Fall kann die Funktion Passwort-Reset bzw. Passwort vergessen helfen, mit der das Passwort zurückgesetzt werden kann. Sollte dies nicht möglich sein, führt ein weiterer Weg über den Dienstleister. Anbei ein paar Links, über die sich der Fremdzugriff bzw. eine Account-Übernahme bei bekannten Diensten melden lässt:
- Facebook: Kompromittiertes Konto melden
- Twitter/X: Ich habe Probleme mit dem Account-Zugriff
- Amazon: Telefonisch über die Nummer 0800 36 38 469 (Kostenlos aus Deutschland)
- eBay: Hilfe und Maßnahmen bei eBay-Kontodiebstahl
- Google: Gehacktes oder manipuliertes Google-Konto schützen
Passwort ändern: Sobald der Zugang bzw. die Kontrolle über das Konto wiederhergestellt ist, sollte das Passwort geändert werden. Sofern noch nicht geschehen, ist die Verwendung eines Passwort-Managers und (sofern möglich) die Aktivierung einer Zwei-Faktor-Authentifizierung sinnvoll.
Überprüfung des Accounts: Ein Account-Diebstahl geht oftmals mit der Manipulation bzw. dem Diebstahl von (personenbezogenen) Daten einher. Es ist daher empfehlenswert, alle hinterlegten Daten genau zu prüfen. Womöglich hat der Eindringling die E-Mail-Adresse verändert oder Nachrichten (in sozialen) Netzwerken abgesetzt, die nicht von einem selbst stammen.
Polizei benachrichtigen: Je nach Fall bzw. welcher Schaden entstanden ist, kann es sinnvoll sein, die Polizei zu benachrichtigen bzw. Anzeige zu erstatten. Insbesondere dann, wenn ein Identitätsdiebstahl stattgefunden hat oder ein Webshop Bestellungen bereits versendet hat. Bei finanziellen Schäden (Abbuchungen/Überweisungen) vom Bankkonto sollte zusätzlich die Betrugsabteilung der Bank informiert werden – diese ist in der Lage, das Geld womöglich zurückzuholen.
Kontakte informieren: Sind beim kompromittierten Account Kontaktinformationen von Freunden, Bekannten, Kollegen und/oder Geschäftspartnern hinterlegt, sollten diese über den Account-Diebstahl in Kenntnis gesetzt werden.
Zahlungsbewegungen: Sofern beim gekaperten Account Zahlungsinformationen hinterlegt waren, sollten die betroffenen Bankkonten über einen längeren Zeitraum auf unregelmäßige Zahlungsbewegungen kontrolliert werden.

Bildquellen:

Spyware: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Android-Apps

Im Android-Universum existieren beinahe so viele Apps wie Sterne am Firmament. Ein Großteil dieser Apps ist für den Anwender lediglich »verschwommen« wahrnehmbar und wir benötigen diverse Hilfsmittel, um sichtbar zu machen, was sich bei der App-Nutzung im Hintergrund abspielt – ähnlich einem Teleskop, um die Struktur der weit entfernten Sterne erkennen zu können. Bei genauerer Betrachtung wird dann schnell deutlich, dass insbesondere herkömmliche Apps aus dem Google Play Store häufig mit Trackern und Werbemodulen »zugepflastert« sind, was auch meine App-Rezensionen für mobilsicher.de immer wieder belegen.

Mit dem F-Droid Store hat sich erfreulicherweise ein alternativer App-Store etabliert, der sich insbesondere an kritische Anwender richtet, die Wert auf freie und quelloffene Anwendungen legen. Die folgende Auflistung nennt datenschutzfreundliche Apps aus dem F-Droid Store.

Kategorie / Anwendungszweck	App
Internet / Browser / E-Mail
Browser (privatsphäreorientiert)	Mull, Fennec, Tor Browser, Privacy Browser (nur mit aktueller WebView)
Browser (sicherheitsorientiert)	Mulch (DivestOS Repository)
E-Mail	K-9 Mail, FairEmail
RSS-Reader	Feeder, FreshRSS (Client für FreshRSS), Nextcloud News (Client für Nextcloud)
Büro
Kalender	etar
Kalender- und Kontakte-Synchronisation	DAVx5
Notizen	Notally (lokal), EteSync Notes (Cloud), Nextcloud Notes (Cloud), Joplin
Geburtstagshinweis	Birthday Calendar, BirthDay Droid
ToDo-Manager	Tasks (Tracker deaktivieren), jtx Board
(Kunden-)Karten digital verwalten	Catima, PassAndroid
Text-Editor	Editor, Markor
Barcode-Scanner	Binary Eye
Messenger
Messenger	Conversations, Element, Briar
Multimedia
Video- und Audioplayer	VLC, mpv, Just Player (nur Video), mucke (nur Audio)
eBook-Reader	Librera Reader
Audio-Books	Voice
Youtube-Player	NewPipe, LibreTube
Spotify Player	Spotube
Bildergalerie	Aves Libre, Fossify Gallery
PDF-Viewer	muPDF
Kamera	Open Camera
Fernseh-Streaming	Zapp
Radio	Transistor
Podcasts	AntennaPod
Screen-Mirror	ScreenStream
Webseiten-Änderungen	Change Detection
Gesundheit
Fitness-Tracker	OpenTracks, Gadgetbridge, FitoTrack
Zyklustracking	drip, Periodical
System
Dateimanager	Material Files
Tastatur	AnySoftKeyboard, Simple Keyboard
Netzwerk- bzw. App-Analyse	PCAPdroid
Terminal	Termux
WLAN optimieren	WiFiAnalyzer
Bluetooth Auto Off	Greentooth
SSH-Client	ConnectBot,
GPS / Smartphone-Sensoren	SatStat, GPSTest
Apps im Hintergrund ausführen	FakeStandby, Kaffee
Text-to-speech Engine	eSpeak
App Downloads
F-Droid-Clients	Neo Store, Droid-ify
Google-Play-Store Alternative	Aurora Store
Sicherheit / Datenschutz
Firewall	RethinkDNS, NetGuard, AFWall+
Ad- und Trackingblocker	AdAway
VPN	WG Tunnel (WireGuard), OpenVPN
Passwortmanager	KeePassDX
TOTP	FreeOTP+, Aegis Authenticator
OpenPGP	OpenKeychain
URL-Wandler (Twitter/X, YouTube etc.)	UntrackMe
URL-Cleaner	Léon – The URL Cleaner
Metadaten entfernen (Bilder)	Scrambled Exif
AirTag-Schutz	AirGuard
Navigation / Wetter / Warnungen
Offline-/Online-Navigation	OsmAnd, Organic Maps
Personennahverkehr	Transportr (aktuelle Version nur via GitHub/Google Play), Öffi Stations
Wetter	Kleine Wettervorschau Deutschland, RadarWeather
Notfallbenachrichtigungen	FOSS Warn
Benzinpreise	Spritpreise
Fediverse
Lemmy	Voyager, Jerboa
Mastodon	Tusky, Fedilab
Datei-Synchronisation/Austausch
Dezentral	Syncthing
Nextcloud	Nextcloud (Hosting-Anbieter)
ownCloud	ownCloud (Hosting-Anbieter)
Lokaler Dateiaustausch	LocalSend

Hinweis

Weitere Informationen über den F-Droid Store findet ihr im Beitrag »F-Droid und App-Alternativen« – Teil der Artikelserie Android unter Kontrolle.

Android: Captive-Portal

Jedes Mal, wenn sich ein Android-Gerät mit einem WLAN oder einem Mobilfunknetz verbindet, führt das System eine Captive-Portal-Check durch. Damit will Android sicherstellen, dass ein Gerät nicht nur eine IP-Adresse vom Access Point bzw. Internet Service Provider erhalten hat, sondern auch tatsächlich Ziele im Internet erreichen kann. Dies ist bspw. notwendig, um Portalseiten von WLAN-Hotspots (z.B. in Hotels) zu erkennen.

Um zu prüfen, ob eine Verbindung besteht, sendet Android eine Anfrage an die Adresse connectivitycheck.gstatic.com. Ist die Anfrage erfolgreich, besteht ein Zugang zum Internet. Mit dieser Anfrage übermittelt das System jedes Mal Informationen zur IP-Adresse des Anschlusses, den Zeitpunkt des Internetzugangs und den aktuell verwendeten Browser an Google. Gerade datenschutzsensible Nutzer möchten jedoch nicht bei jedem Besuch im Internet einen »Ping« an Google senden. Als Alternative biete ich einen Captive-Portal-Check unter der Adresse »captiveportal.kuketz.de« an. Sobald Android die folgende Rückmeldung erhält, ist sichergestellt, dass eine Verbindung zum Internet besteht:

HTTP/1.1 204 No Content

Captive-Portal einstellen [Einsteiger]

Am einfachsten lässt sich das Captive Portal mit der App Captive Portal Controller aus dem F-Droid Store anpassen. Nachfolgend noch eine Variante, die etwas mehr Aufwand erfordert.

Zunächst müsst ihr euer Android-Gerät über ein USB-Kabel mit eurem Rechner verbinden und ADB für diesen Vorgang aktiviert haben. Über ein Terminal am Rechner gebt ihr dann folgende Befehle ein:

adb shell 'settings put global captive_portal_http_url "http://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_https_url "https://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_fallback_url "http://captiveportal.kuketz.de"'
adb shell 'settings put global captive_portal_other_fallback_urls "http://captiveportal.kuketz.de"'

Mit folgendem Befehl kann überprüft werden, ob die URLs wie gewünscht angepasst wurden:

adb shell 'settings get global captive_portal_https_url'

Ausgabe:

https://captiveportal.kuketz.de

Um die Änderungen rückgängig zu machen, genügt folgender Befehl:

adb shell 'settings delete global captive_portal_http_url'
adb shell 'settings delete global captive_portal_https_url'

Hinweis

Die Anpassungen sind mit Android ab Version Nougat (7.x) bis einschließlich Android 14 kompatibel und erfordern keine Root-Rechte. Unter Windows kann es notwendig sein, die Befehle mit " statt mit einem Apostroph zu umschließen.

AFWall+ & Captive-Portal [Fortgeschrittene]

AFWall+ Nutzer kennen das Problem: Wird der Captive-Portal-Check in irgendeiner Form blockiert, erscheint ein kleines Kreuz neben dem WLAN-Symbol in der Android-Menüleiste. Je nach Android-Version erscheint zusätzlich die Meldung, dass keine Verbindung zum Internet besteht. Als Nutzer hat man zwei Möglichkeiten.

[1] In AFWall+ die entsprechenden Regeln bzw. IP-Adresse freigeben

Möchtet ihr die Freigabe über die GUI von AFWall+ vornehmen, müsst ihr die Regel [1000] Android-System, Erweiterte Einstellungen, Einrichtungsassistent, [...] freigeben. Das ist allerdings sehr grobkörnig und wenig empfehlenwert, da anschließend etliche Systemkomponenten ebenfalls ins Internet dürfen. Alternativ könnt ihr einfach euer Custom-Script mit folgender Zeile ergänzen:

# IPv4
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp -j ACCEPT
# IPv6
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp -j ACCEPT

Wer es etwas feingranularer mag:

# IPv4
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A "afwall" -d 46.38.242.112 -p tcp --dport 443 -j ACCEPT
# IPv6
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp --dport 80 -j ACCEPT
$IP6TABLES -A "afwall" -d 2a03:4000:7:33:94cf:91ff:fe6a:b3e0 -p tcp --dport 443 -j ACCEPT

[2] Den Captive-Portal-Check vollständig deaktivieren

Mit dem adb-Befehl kann der Captive-Portal-Check auch komplett deaktiviert werden. Android prüft dann nicht mehr, ob eine Verbindung zum Internet besteht. Je nach Android-Version müssen verschiedene Befehle über ein Terminal direkt auf dem Gerät eingegeben werden:

bis Android Nougat (7.x)

su
settings put global captive_portal_detection_enabled 0
settings put global captive_portal_server localhost
settings put global captive_portal_mode 0

ab Android Oreo (8.x) – bis einschließlich Android 14

adb shell 'settings put global captive_portal_detection_enabled 0'
adb shell 'settings put global captive_portal_server localhost'
adb shell 'settings put global captive_portal_mode 0'

Hinweis

Nach der Beantwortung der Anfrage durch den nginx-Webserver werden alle Informationen wie die IP-Adresse sofort verworfen und in keinem Logfile gespeichert. Weitere Informationen zur Nutzung des Dienstes können den Datenschutzhinweisen entnommen werden.

Android: Custom-ROM

Offiziell werden Android-Smartphones mit einem sog. Stock-ROM ausgeliefert, das von Werk ab vorinstalliert ist und meist unterschiedliche Modifizierungen und Erweiterungen der Gerätehersteller beinhaltet. Die meisten Android-Geräte bzw. Stock-ROMs werden insbesondere im Hinblick auf Sicherheitsupdates von vielen Herstellern nur stiefmütterlich behandelt und häufig aus Kostengründen nach wenigen Monaten nicht mehr mit Updates versorgt. Damit entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele oder die meisten Geräte anfällig für kritische Sicherheitslücken macht. Über solche Schwachstellen sind Angreifer unter anderem in der Lage, die Kontrolle über das Gerät zu erlangen, den Nutzer auszuspionieren oder unbemerkt Daten abfließen zu lassen.

Doch nicht nur ausbleibende Sicherheitsupdates sind ein Problem, sondern insbesondere Googles Datensammelwut. Letztendlich ist Android so konzipiert, dass Google möglichst viele Daten vom Gerät erhält. Unmittelbar nach dem ersten Einschalten wird der Nutzer aufgefordert bzw. geradezu bedrängt, sein Gerät mit einem bestehenden Google-Konto zu verknüpfen oder bei Bedarf gleich ein neues anzulegen. Selbst wenn ein Nutzer diese Verknüpfung nicht vornimmt, ist Android so eng mit Google verbandelt, dass ein Durchschnittsnutzer kaum eine Chance hat, dem Konzern und seiner Datensammelwut zu entkommen.

App-Kompatibilität

Mit dem Online-Tool Plexus lässt sich (vorab) prüfen, ob Apps auf googlefreien Geräten funktionieren oder eingeschränkt sind.

Doch in der Android-Welt existiert ein Ausweg aus diesem Sicherheits- und Datenschutzdilemma: Sogenannte Custom-ROMs. Diese ROMs werden meist von privaten Entwicklern ohne kommerzielles Interesse für die unterschiedlichsten (alten) Geräte bereitgestellt. Aktuell sind ca. 15 verschiedene Custom-ROMs verfügbar, von denen ich drei als empfehlenswert einstufe.

Bevor ihr allerdings mit dem Gedanken spielt, ein Custom-ROM zu installieren, solltet ihr die möglichen Nebenwirkungen kennen:

Verlust der Herstellergarantie
Unlösbare, technische Schwierigkeiten
Bricking des Geräts
Bestimmte Apps werden unter Umständen nicht lauffähig sein
Verminderung der Kamera-Qualität
Einschränkung der Funktionalität
Verlust jeglicher Daten
[…]

Sollte euer Gerät nicht von einem Custom-ROM unterstützt werden oder ihr eine Installation aus den oben genannten Gründen nicht wagt, aber dennoch mehr Kontrolle über eure Daten anstrebt, dann solltet ihr einen Blick auf die Artikelserie »Android unter Kontrolle« werfen. Dort wird euch ein alternativer Weg aufgezeigt, um die Datensammelwut von Google und den (System-)Apps zu begrenzen.

LineageOS [Fortgeschrittene]

Mit ca. 3,5 Millionen weltweiten Installationen zählt LineageOS zum meistverbreiteten Custom-ROM. Allerdings sollte man sich von der Liste der offiziell unterstützten Geräte nicht »blenden« lassen – nur ein Teil der ca. 150 dort gelisteten Geräte wird aktiv gepflegt. Ob euer Gerät nicht nur von LineageOS unterstützt, sondern auch aktiv von einem sog. Maintainer gepflegt wird, könnt ihr auf dem LineageOS-Wiki mit einem Klick auf das entsprechende Gerät herausfinden. Wenn ihr dort auf folgende Warnung in einem roten Kästchen trefft:

The <Device> is no longer maintained. A build guide is available for developers that would like to make private builds, or even restart official support.

ist die Installation nicht (unbedingt) empfehlenswert, da auch hier keine aktuellen Android-Sicherheitsupdates verfügbar sind. Generell herrscht über den Stand der Android-Sicherheitsupdates, bzw. wie aktuell ein System ist, regelmäßig Verwirrung. Etwas Hintergrundwissen dazu: Android: Aufklärung über den Stand der Sicherheitsupdates.

Wird euer Gerät offiziell von LineageOS unterstützt und auch aktiv betreut, steht einer Installation nichts im Wege. Eine Schritt-für-Schritt-Anleitung ist für jedes Gerät im LineageOS-Wiki hinterlegt. Wer Hilfestellung bei der Installation oder späteren Einrichtung benötigt, der findet diese in Foren wie dem Android-Hilfe-Forum, XDA-Forum oder auch dem Kuketz-Forum. Bei Bedarf können auch die Google-Apps installiert werden, die bspw. eine Nutzung des Play Stores ermöglichen. Möchte man sich von Google allerdings lossagen, ist die Installation der-Google-Apps nicht empfehlenswert, da die gewonnene Freiheit von Big Brother dann zunichtegemacht wird.

Installation und Wartung: Insbesondere aufgrund der breiten Verfügbarkeit für diverse Geräte ist LineageOS ein hervorragendes Custom-ROM. Die Installation und auch das Updaten des Systems ist je nach Gerät allerdings etwas frickelig und nicht für Einsteiger geeignet.

Hinweis

Auch wenn die achtteilige Artikelserie »Take back control!« nicht mehr auf aktuellem Stand ist, könnt ihr einen Eindruck davon gewinnen, wie der Wechsel zu LineageOS gelingen kann.

GrapheneOS [Fortgeschrittene / Profis]

GrapheneOS ist ein auf Sicherheit und Datenschutz ausgerichtetes Open-Source-Betriebssystem (MIT- und Apache License 2.0) mit Android-App-Kompatibilität. Es ist frei, vollständig quelloffen und als gemeinschaftliches Projekt aufgestellt, das irgendwann in eine gemeinnützige Stiftung überführt werden soll.

Der Fokus von GrapheneOS liegt auf der Verbesserung der Privatsphäre und Sicherheit von Android. Aus diesem Grund verzichtet das Projekt auf die Einbindung der Google Play Services oder alternativer Implementierungen wie microG. Alle Komponenten, die für die Android-Basiskompatibilität nicht erforderlich sind, werden nicht integriert. GrapheneOS basiert demnach auf dem Android Open Source Project (AOSP), erweitert dieses aber um Funktionen und Maßnahmen, die die Sicherheit und den Datenschutz verbessern. Durch den Verzicht jeglicher proprietärer Google-Dienste bzw. -Apps (inkl. Nachbildungen wie microG) ist GrapheneOS ein Android für Puristen bzw. solche, die ohne den Komfort des Play Stores auskommen und Apps vornehmlich über F-Droid beziehen.

Aktuell unterstützt GrapheneOS ausschließlich Google-Pixel-Geräte, die eine Attestierung für alternative Betriebssysteme haben und Verified Boot unterstützen. Angesichts der klaren Ausrichtung des Projekts auf Sicherheit und Datenschutz werden demnach nur Pixel-Geräte unterstützt, die von Google immerhin für mindestens fünf Jahre mit (Sicherheits-)Updates versorgt werden. Geräte werden also nur solange von GrapheneOS unterstützt, solange diese Firmware- und Kernel-Updates vom Hersteller erhalten. Nach fünf Jahren ist also Schluss – sofern man sich ein aktuelles Google-Pixel-Gerät zulegt.

Die »harten« Anforderungen von GrapheneOS an die Sicherheit der Geräte dürften der Knackpunkt sein, weshalb viele Geräte von vornherein nicht infrage kommen. Wer bereit ist, die »bittere Pille« zu schlucken und in ein Google-Pixel-Gerät zu investieren, der erhält mit GrapheneOS das wohl sicherste und datenschutzfreundlichste Android.

Installation und Wartung: Die Installation von GrapheneOS ist relativ simpel über ein Command Line Interface (CLI) oder (noch einfacher) den Web-Installer möglich. System-Updates werden anschließend automatisch im Hintergrund eingespielt – man muss lediglich einen Neustart durchführen.

Hinweis

GrapheneOS wird ausführlich im Beitrag »GrapheneOS: Das Android für Sicherheits- und Datenschutzfreaks« vorgestellt.

CalyxOS [Einsteiger / Fortgeschrittene]

CalyxOS ist vergleichbar mit GrapheneOS. Es unterstützt ebenfalls Verified Boot und setzt ausschließlich auf Google-Pixel-Geräte (ein Xiaomi Mi A2 bildet die Ausnahme). Ebenso wie GrapheneOS legt CalyxOS Wert auf eine Abkopplung von Google und damit auf Datenschutz.

Im Gegensatz zu GrapheneOS räumt CalyxOS dem Nutzer etwas mehr Freiheit ein. Nach der Installation hat der Nutzer direkt während der Einrichtung die Möglichkeit, weitere Apps wie K-9 Mail, den Messenger Signal oder auch die Google-Play-Services-Alternative microG zu installieren. Der alternative App-Store F-Droid ist sogar bereits fest im System integriert, was bspw. automatische App-Updates ermöglicht.

Abgesehen vom Xiaomi Mi A2 unterstützt CalyxOS ausschließlich Pixel-Geräte, die von Google immerhin für mindestens fünf Jahre mit (Sicherheits-)Updates versorgt werden. Geräte werden also nur solange von CalyxOS unterstützt, solange diese Firmware- und Kernel-Updates vom Hersteller erhalten. Nach fünf Jahren ist also Schluss – sofern man sich ein aktuelles Google-Pixel-Gerät zulegt.

Installation und Wartung: Die Installation von CalyxOS ist relativ simpel über ein Command Line Interface (CLI) möglich. System-Updates werden anschließend automatisch im Hintergrund eingespielt – man muss lediglich einen Neustart durchführen. Durch die optionale Installation der microG-Services sind zahlreiche Apps aus dem Google-Play-Store nutzbar, die ohne Google-Play-Dienste nicht auskommen. Nach der Installation kann ein Smartphone mit CalyxOS bedenkenlos den Eltern oder anderen weniger technikaffinen Personen in die Hand gedrückt werden. Es ist daher ebenfalls für Einsteiger empfehlenswert.

Hinweis

Im Beitrag »Ein komfortables Android mit einer Extraportion Privacy« wird CalyxOS ausführlich von Moritz Tremmel vorgestellt.

Bildquellen:

Android: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Android: UnifiedPush

Push-Benachrichtigungen (engl. Notifications) sind Meldungen, die auf dem Smartphone erscheinen und über neue App-Ereignisse informieren – die jeweilige App muss dazu nicht geöffnet sein. Solche Ereignisse können sein: Benachrichtigung über den Eingang einer neuen E-Mail oder Messenger-Nachricht. Bei herkömmlichen Android-Geräten werden diese Push-Benachrichtigungen über den Google-Dienst Firebase Cloud Messaging (FCM) zugestellt. Auf googlefreien Geräten wie GrapheneOS ist FCM allerdings nicht Bestandteil des Systems, weshalb Apps alternative Wege gehen müssen, um den Nutzer über neue Ereignisse mittels Push-Benachrichtigungen zu informieren.

Der Messenger Signal hat bspw. eine auf WebSocket basierende Push-Benachrichtigung implementiert, die gänzlich ohne Google-Dienste auskommt. Sobald eine neue Nachricht eingeht, wird das Mobilgerät »aufgeweckt« bzw. der Nutzer über das Vorhandensein einer neuen Nachricht informiert. Ähnliche Wege gehen auch andere Apps und behelfen sich dann bspw. über zeitbasiertes Polling, um den Server in regelmäßigen Abständen nach neuen Ereignissen zu fragen. Eleganter ist jedoch die Lösung UnifiedPush, die ähnlich wie FCM funktioniert und den Nutzer über eine zentrale Stelle (Server) über neue Ereignisse informiert. Im Folgenden werden zwei dieser UnifiedPush-Varianten vorgestellt.

Welche Apps unterstützen UnifiedPush?

Derzeit ist die Liste der Apps, die UnifiedPush unterstützen, noch überschaubar. Bekannte Vertreter sind Element (Matrix-Client) und Tusky (Mastodon-Client).

ntfy [Einsteiger]

ntfy ist eine UnifiedPush-Variante, die den Empfang von Ereignissen in »Echtzeit« ermöglicht und sich insbesondere für Einsteiger eignet. Nach der Installation über den F-Droid-Store melden sich kompatible Apps (nach einem Neustart) meist automatisch bei ntfy an – eine Nutzerinteraktion ist nicht erforderlich. Push-Nachrichten werden standardmäßig über den Server ntfy.sh ausgeliefert. Über die Einstellungen kann der Standardserver aber auch angepasst und bspw. ein anderer ntfy-Dienstleister (adminforge.de) hinterlegt werden. Fortgeschrittene Nutzer können den Dienst auch selbst hosten. Eine entsprechende Installationsanleitung ist verfügbar.

NextPush [Fortgeschrittene]

Wer bereits eine Nextcloud im Einsatz hat, kann Push-Benachrichtigungen über NextPush empfangen. Sofern der Nextcloud-Server mit einer Redis-Instanz verbunden ist, genügt die Installation der NextPush-Server-App und die Installation der NextPush-App aus dem F-Droid-Store. Nach der Installation melden sich kompatible Apps (nach einem Neustart) in der Regel automatisch bei NextPush an – eine Nutzerinteraktion ist nicht erforderlich.

App-Verkehr mitschneiden

Viele Apps geben private oder sensible Daten aus dem Leben der Smartphone-Nutzer preis. Schuld daran sind die App-Entwickler, die entweder selbst eine Vielzahl von Daten abgreifen oder Analysedienste und Werbefirmen in die Apps integrieren, die ebenfalls ungefragt Daten übermitteln. Welche Daten bei der Nutzung einer App übermittelt werden, sollte der Nutzer eigentlich der Datenschutzerklärung einer App entnehmen können – zumindest in der Theorie. In der Praxis stößt man immer wieder auf Datenschutzerklärungen, die entweder unvollständig sind oder gar nicht darüber informieren, welche Drittanbieter in eine App eingebunden sind oder wohin die eigenen Daten fließen. Anhand der Datenschutzerklärung ist es daher kaum möglich, sich ein Bild davon zu machen, welche Daten bei der Nutzung erhoben und weitergegeben werden.

Abhilfe schaffen App-Reviews, wie sie der Kuketz-Blog regelmäßig durchführt. Allerdings gibt es im Google- und Apple-Universum so viele Apps, dass es schlichtweg unmöglich ist, jede einzelne App zu testen. Für den interessierten Nutzer gibt es aber Möglichkeiten, Apps unter die Lupe zu nehmen. Sowohl für Android als auch für iOS gibt es Apps, die eine Analyse ohne externen Rechner ermöglichen.

App-Verkehr mit »Sniffer-Apps« mitschneiden [Einsteiger | Fortgeschrittene]

Android: Mit der quelloffenen App PCAPdroid kann der Datenverkehr von Apps einfach aufgezeichnet werden. PCAPdroid erzeugt ein lokales VPN, durch das der gesamte Netzwerkverkehr geschleust wird – es sind keine entfernten Server involviert. Um TLS-verschlüsselte Verbindungen zu knacken, muss zusätzlich eine Root-CA im Zertifikatsspeicher des Systems installiert werden – diese Modifikation erfordert Root-Rechte auf dem Gerät. Anschließend kann der App-Verkehr einer oder mehrerer Apps gezielt aufgezeichnet und analysiert werden. Dabei werden sowohl die Anfrage- als auch die Antwortpakete angezeigt. Für den Hobby-Analysten oder »Datenjäger« eine tolle App, um »schwarze« Schafe aufzuspüren. Matthias hat auf tracktor.it ausführlich beschrieben, wie man mit der Kombination PCAPdroid und mitmproxy das Datensendeverhalten von Apps analysieren kann.
iOS: Eine ähnliche Funktionalität bietet die kostenpflichtige App Charles Proxy für iOS. Auch diese App ermöglicht die Aufzeichnung des Datenverkehrs bzw. die Analyse von Metadaten, Request-Headern und -Bodys. Auch Charles Proxy erzeugt zunächst ein lokales VPN, durch das im Anschluss der gesamte Netzwerkverkehr geleitet wird – es sind keine entfernten Server involviert. Eine weitere Möglichkeit ist die Aktivierung des App-Datenschutzberichts in iOS. Damit erhält man einen Überblick über die Netzwerkaktivitäten von Apps und sieht, welche Domains von deinen Apps am häufigsten kontaktiert werden. Inhaltsdaten, also was übertragen wurde, sind damit allerdings nicht einsehbar.

Burp Suite | Magisk | Frida Framework & Objection [Profis]

Persönlich führe ich App-Analysen mit der Burp Suite/mitmproxy durch, die weit mehr bietet, als nur Datenpakete über den Proxy mitzuschneiden. In Kombination mit der Systemless-Root-Lösung Magisk, dem Frida-Framework und der Frida-Erweiterung Objection ist es sogar möglich, Certificate-Pinning zu umgehen. Details dazu findet ihr in den beiden folgenden Beiträgen:

Hinweis

Die korrekte Interpretation des Datenstroms bzw. der übermittelten Daten ist das A und O. Diese Erfahrung zu erlangen benötigt Zeit und Geduld – behaltet dies bitte stets im Hinterkopf.

Bildquellen:

Smartphone: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Bezahlen im Internet

Das Einkaufen im Internet ist bequem: Stöbern, kaufen und liefern lassen. Leider sind beim bargeldlosen Bezahlvorgang oftmals Akteure beteiligt, die dem Datenschutz keinen allzu großen Wert beimessen. Dazu zählen bspw. Dienstleister wie PayPal, Sofortüberweisung oder Klarna. Anbei möchte ich euch ein paar Tipps geben, was ihr beim Bezahlen im Internet beachten solltet. Ziel sollte es sein, so weit wie möglich auf Dienste von Drittanbietern zu verzichten. Folgende bargeldlose Zahlungsmethoden eignen sich dafür:

Vorkasse: Bei der Zahlung per Vorkasse erhaltet ihr in der Regel eine Bestellbestätigung per E-Mail mit den notwendigen Zahlungsinformationen wie bspw. der Bankverbindung. Nachdem ihr die Überweisung getätigt habt und der Händler euren Zahlungseingang verbucht hat, geht die bestellte Ware auf die Reise.
Lastschrift: Bei der Zahlung per (SEPA-)Lastschrift wird der Zahlungsvorgang nicht von euch selbst, sondern vom jeweiligen Online-Shop ausgelöst. Häufig wird bei dieser Zahlungsart allerdings eine Bonitätsprüfung durchgeführt, was zur Folge hat, dass eure Daten dann bspw. an Auskunfteien weitergegeben werden. Bevor ihr euch für den Kauf per Lastschrift entscheidet, solltet ihr daher die Allgemeinen Geschäftsbedingungen des Online-Shops daraufhin überprüfen.
Rechnung: Bei der Zahlung auf Rechnung erhaltet ihr gemeinsam mit eurer Ware eine Rechnung, die innerhalb einer Frist beglichen werden muss. Allerdings wird auch bei dieser Zahlungsart häufig eine Bonitätsprüfung durch Auskunfteien durchgeführt. Bevor ihr euch für den Kauf auf Rechnung entscheidet, solltet ihr daher die Allgemeinen Geschäftsbedingungen des Online-Shops daraufhin überprüfen.
SEPA Instant Payment: SEPA Instant Payment ermöglicht Überweisungen in Echtzeit. Darunter versteht man Geldtransaktionen (nahezu) in Echtzeit – das Geld wird dem Empfänger innerhalb von 10 bis 20 Sekunden gutgeschrieben.

Auch die Zahlung per Kreditkarte oder Gutscheinkarte ist eine Alternative – sollte aber wirklich die Ausnahme bleiben, denn auch Kreditkartenanbieter wie Mastercard verarbeiten bei der Zahlungsabwicklung eine ganze Reihe personenbezogener Daten. Lässt sich der sporadische Einsatz einer Kreditkarte jedoch nicht vermeiden, besteht bei den Anbietern Visa und Mastercard die Möglichkeit, der Datenauswertung zu widersprechen:

Opt-Out Mastercard
Opt-Out Visa
Hinweis: Der Opt-Out-Link funktioniert aktuell nicht. Man wird auf eine Webseite mit dem folgenden Hinweis weitergeleitet:
Visa Advertising Solutions is no longer in service. If you want more information about your privacy rights, please visit our Privacy Rights Portal.

Auf Bezahlvorgänge, die über Drittanbieter wie PayPal, Klarna etc. abgewickelt werden, sollte hingegen aus Datenschutzsicht gänzlich verzichtet werden.

Hinweis

Insbesondere bei der Zahlung per Vorkasse besteht natürlich immer das Risiko, dass eine per Vorkasse bezahlte Ware nicht geliefert und der bereits bezahlte Betrag nicht erstattet wird. Ihr solltet euch dieses Risikos bewusst sein, bevor ihr euch für den Kauf per Vorkasse entscheidet – ihr geht immer in Vorleistung. Aus diesem Grund solltet ihr eure Online-Shops sorgfältig auswählen. Allerdings ist diese Zahlungsvariante auch diejenige, bei der mit hoher Wahrscheinlichkeit keine Drittanbieter (außer eurer Bank) involviert sind, die personenbezogene Daten von euch erhalten.

Bildquellen:

Credit Card: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY

Cloudspeicher

Für die Ablage/Speicherung von Daten in der Cloud gibt es eigentlich nur zwei datenschutzfreundliche Lösungen: Die Daten vor dem Hochladen in die fremde Cloud zu verschlüsseln oder die Cloud selbst zu hosten. Alles andere kommt einem Kontrollverlust über die eigenen Daten gleich.

Vor dem Upload verschlüsseln

Mit dem plattformübergreifenden Tool Cryptomator werden die Daten zunächst lokal verschlüsselt, bevor sie in die Cloud hochgeladen werden. Das Prinzip funktioniert mit jeder Cloud, die mit einem Ordner im Dateisystem synchronisiert werden kann. Auf den Geräten (PC, mobiles Endgerät etc.) kann wie gewohnt auf die Daten zugegriffen werden. Der Cloud-Anbieter selbst sieht jedoch nur die verschlüsselten Dateien, die aufgrund der AES-256-Verschlüsselung für ihn nicht lesbar sind. Cryptomator ist für Windows, macOS, Linux, Android und iOS verfügbar – der Quellcode kann auf GitHub eingesehen werden.

Eine eigene Wolke betreiben

Nextcloud: Das Schweizer Allzweckmesser Nextcloud bietet einen großen Funktionsumfang, das auch die Datenspeicherung umfasst. Auf die Daten kann entweder über ein Webinterface oder über eine Client-Applikation (Desktop/Smartphone) zugegriffen werden. Neben der Möglichkeit, Nextcloud selbst zu hosten, gibt es auch Anbieter, die dies übernehmen. Auch Filesharing ist mit Nextcloud möglich.
Seafile: Mit Seafile können Daten auf einem eigenen Server gespeichert und zwischen Geräten synchronisiert werden. Ähnlich wie bei Nextcloud kann über ein Webinterface sowie über mobile Apps (Android, iOS) oder Desktop-Clients auf die Daten zugegriffen werden. Der Quellcode von Seafile ist für jeden auf GitHub einsehbar.

Daten synchron halten

Es muss nicht immer eine Cloud sein, um Daten zwischen verschiedenen Geräten auszutauschen oder zu synchronisieren. Syncthing ist eine Open-Source-Anwendung (MPL 2.0-Lizenz), mit der Dateien zwischen (mehreren) Geräten in einem lokalen oder entfernten Netzwerk synchronisiert werden können. Der Quellcode sowohl für den Client als auch für den Server ist vollständig auf GitHub verfügbar. Syncthing ist für Windows, macOS, Linux, FreeBSD und auch Android verfügbar. Für verschiedene Linux-Distributionen werden fertige Pakete zur einfachen Installation angeboten.

Bildquellen:

Cloud Storage: vectorsmarket15 from www.flaticon.com is licensed by CC 3.0 BY

Kollaborations-Plattformen

Das gemeinsame Arbeiten an Dokumenten (Texte, Tabelle, Präsentationen etc.) kann vieles erleichtern. Um die Kontrolle über die eigenen Daten zu behalten, sollten hierfür quelloffene Dienste bzw. Werkzeuge genutzt werden. Je nach Anspruch (Kompatibilität, Bedienbarkeit) gibt es hierfür unterschiedliche Lösungen, von denen nachfolgend einige vorgestellt werden.

CryptPad [Dokumente + erweiterte Funktionen]

CryptPad ist eine durchgängig verschlüsselte Collaboration-Suite, deren Quellcode für jeden auf GitHub einsehbar ist. Neben Grundfunktionen wie Textverarbeitung, Tabellenkalkulation wird ebenfalls ein Whiteboard und ein Editor für Eingabeformulare angeboten. Da alle Daten verschlüsselt sind, hat weder der Dienst noch seine Administratoren die Möglichkeit, die Inhalte einzusehen. Interessierte können alle Funktionen online nutzen oder bei Bedarf eine eigene CryptPad-Umgebung hosten.

OnlyOffice [vollständige Office-Suite]

OnlyOffice ist eine quelloffene Office-Suite, die sich in mehrere Module unterteilt. Das Modul Docs ermöglicht das gemeinsame Arbeiten an Texten, Tabellen und Präsentationen in Echtzeit. Eine Integration in Cloud-Lösungen wie NextCloud ist ebenfalls möglich. Daneben gibt es noch folgende Module:

Projekte: Verwaltung von Projektphasen wie Planung, Teamleitung, Überwachung und Berichterstattung.
CRM: Verwaltung einer Kundendatenbank, Erstellung von Verkaufschancen und Aufgaben.
E-Mail: Vereinigt den Mail-Server für die Erstellung eigener Domain-Mailboxen und den Mail-Aggregator für die zentrale Verwaltung von mehreren Mailboxen.
Kalender: Erstellen von persönlichen und firmeninternen Ereignissen, Abgabeterminen in Projekten etc.
Community: Durchführung von Umfragen und Abstimmungen. Aber auch Bereitstellung von Blogs und Foren, aktuellen Nachrichten, Lesezeichen und Messenger-Funktionalitäten.

Bildquellen:

Collaboration: smallsmiles from www.flaticon.com is licensed by CC 3.0 BY

Domain-Name-System (DNS)

Kaum jemand ist sich bewusst, wie viele Informationen man mit einer scheinbar harmlosen DNS-Anfrage preisgibt. Insbesondere die Provider-DNS-Server (Vodafone, Telekom und Co.) oder auch die DNS-Server von Google (8.8.8.8 / 8.8.4.4) loggen eure Anfragen oftmals (also welche Webseiten ihr aufruft) und werten diese Informationen aus. Schlimmer: Womöglich teilen die Provider diese Informationen mit Dritten oder zensieren Webseiten aufgrund rechtlicher Einwirkungen. Dabei gibt es zensurfreie Alternativen, die DNS-Anfragen nicht protokollieren und auf die jeder ausweichen kann.

Unzensiert, frei & keine Protokollierung [Einsteiger]

Digitalcourage | Serverstandort: Deutschland

[1] dns3.digitalcourage.de (unterstützt DNSSEC)
DNS over TLS:
   Host: dns3.digitalcourage.de
   Port: 853
   IPv4: 5.9.164.112
   IPv6: 2a01:4f8:251:554::2
Besonderheit: Keine Filter | Unterstützt ausschließlich DNS over TLS (DoT)

dismail.de | Serverstandort: Deutschland

[1] fdns1.dismail.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 116.203.32.217
   IPv6: 2a01:4f8:1c1b:44aa::1
DNS over TLS:
   Host: fdns1.dismail.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

[2] fdns2.dismail.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 159.69.114.157
   IPv6: 2a01:4f8:c17:739a::2
DNS over TLS:
   Host: fdns2.dismail.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

dnsforge.de | Serverstandort: Deutschland

[1] dnsforge.de (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 176.9.93.198 | 176.9.1.117
   IPv6: 2a01:4f8:151:34aa::198 | 2a01:4f8:141:316d::117
DNS over TLS:
   Host: dnsforge.de
   Port: 853
Besonderheit: Blockiert Werbung und Tracker

AdGuard | Serverstandort: Weltweit

[1] dns.adguard-dns.com (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.adguard-dns.com
   Port: 853
   IPv4: 94.140.14.14 | 94.140.15.15
   IPv6: 2a10:50c0::ad1:ff | 2a10:50c0::ad2:ff
DNS over HTTPS: 
   Host: https://dns.adguard-dns.com/dns-query
   Port: 443
Besonderheit: Blockiert Werbung und Tracker

[2] unfiltered.adguard-dns.com (unterstützt DNSSEC)
DNS over TLS:
   Host: unfiltered.adguard-dns.com
   Port: 853
   IPv4: 94.140.14.140 | 94.140.14.141
   IPv6: 2a10:50c0::1:ff | 2a10:50c0::2:ff
DNS over HTTPS: 
   Host: https://unfiltered.adguard-dns.com/dns-query
   Port: 443
Besonderheit: Keine Filter

Mullvad | Serverstandort: Weltweit

[1] adblock.dns.mullvad.net (unterstützt DNSSEC)
DNS over TLS:
   Host: adblock.dns.mullvad.net
   Port: 853
   IPv4: 194.242.2.3
   IPv6: 2a07:e340::3
DNS over HTTPS: 
   Host: https://adblock.dns.mullvad.net/dns-query
   Port: 443
Besonderheit: Blockiert Werbung und Tracker | Unterstützt ausschließlich DNS over TLS (DoT) und DNS over HTTPS (DoH)

[2] dns.mullvad.net (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.mullvad.net
   Port: 853
   IPv4: 194.242.2.2
   IPv6: 2a07:e340::2
DNS over HTTPS: 
   Host: https://dns.mullvad.net/dns-query
   Port: 443
Besonderheit: Keine Filter | Unterstützt ausschließlich DNS over TLS (DoT) und DNS over HTTPS (DoH)

ffmuc.net | Serverstandort: Deutschland

[1] dot.ffmuc.net (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 5.1.66.255
   IPv6: 2001:678:e68:f000::
   IPv4: 185.150.99.255
   IPv6: 2001:678:ed0:f000::
DNS over TLS:
   Host: dot.ffmuc.net
   Port: 853
DNS over HTTPS: 
   Host: https://doh.ffmuc.net/dns-query
   Port: 443
Besonderheit: Keine Filter

Digitale Gesellschaft | Serverstandort: Schweiz

[1] dns.digitale-gesellschaft.ch (unterstützt DNSSEC)
DNS over TLS:
   Host: dns.digitale-gesellschaft.ch
   Port: 853
DNS over HTTPS:
   Host: https://dns.digitale-gesellschaft.ch/dns-query
   Port: 443
Besonderheit: Keine Filter

UncensoredDNS | Serverstandort: Dänemark

[1] anycast.uncensoreddns.org (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 91.239.100.100
   IPv6: 2001:67c:28a4::
DNS over TLS: 
   Host: anycast.uncensoreddns.org 
   Port: 853
DNS over HTTPS: 
   Host: https://anycast.uncensoreddns.org/dns-query
   Port: 443
Besonderheit: Keine Filter

[2] unicast.uncensoreddns.org (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 89.233.43.71
   IPv6: 2a01:3a0:53:53::
DNS over TLS:
   Host: unicast.uncensoreddns.org
   Port: 853
DNS over HTTPS: 
   Host: https://unicast.uncensoreddns.org/dns-query 
   Port: 443
Besonderheit: Keine Filter

quad9 | Serverstandort: Weltweit [Hinweis: Teils lange Antwortzeiten)

[1] dns.quad9.net (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 9.9.9.9
   IPv4: 149.112.112.112
   IPv6: 2620:fe::fe
   IPv6: 2620:fe::9
DNS over TLS: 
   Host: dns.quad9.net 
   Port: 853
DNS over HTTPS: 
   Host: https://dns.quad9.net/dns-query
   Port: 443
Besonderheit: Blockiert Malware

[2] dns11.quad9.net (unterstützt DNSSEC)
Unverschlüsselt (Port 53)
   IPv4: 9.9.9.11
   IPv4: 149.112.112.11
   IPv6: 2620:fe::11
   IPv6: 2620:fe::fe:11
DNS over TLS:
   Host: dns11.quad9.net
   Port: 853
DNS over HTTPS: 
   Host: https://dns11.quad9.net/dns-query
   Port: 443
Besonderheit: Blockiert Malware | EDNS Client Subnet (ECS)

Vermutlich zensiert, frei & 24-Stunden Protokollierung [Einsteiger]

Cloudflare | Serverstandort: Weltweit

[1] one.one.one.one (unterstützt DNSSEC):
Unverschlüsselt (Port 53)
   IPv4: 1.1.1.1 | 1.0.0.1
   IPv6: 2606:4700:4700::1111 | 2606:4700:4700::1001
DNS over TLS: 
   Host: one.one.one.one 
   Port: 853
DNS over HTTPS: 
   Host: https://cloudflare-dns.com/dns-query
   Port: 443
Besonderheit: Keine Filter

Einstellung der DNS-Server

Ihr könnt die DNS-Server entweder direkt auf eurem System anpassen oder zentral auf eurem Router (bspw. Fritz!Box) konfigurieren. Empfehlenswert ist die zentrale Konfiguration direkt auf dem Router, da diese Einstellung dann im Normalfall für alle Geräte in eurem privaten Netzwerk gilt. Mit dnsleaktest.com | DNS-Leak-Test könnt ihr prüfen, ob der ausgewählte DNS-Server verwendet wird. Ruft die Seite auf und tippt auf Standard Test – habt ihr den dismail.de DNS-Server gewählt, sollte als Ergebnis erscheinen:

IP: 116.203.32.217
Hostname: dismail.de

Hinweis

Damit Internetseiten auch bei Ausfall des bevorzugten DNS-Servers aufgerufen werden können, solltet ihr immer einen zweiten / sekundären DNS-Server konfigurieren.

Ab Android 9 (Pie) [Einsteiger]

Android unterstützt ab der Version 9.x (Pie) das Protokoll DNS over TLS (DoT). Das bedeutet: Alle DNS-Anfragen und Antworten werden über eine TLS gesicherte Verbindung übertragen, die zwischen eurem Android und einem DNS-Server aufgebaut wird. Im Gegensatz zur ungesicherten Abfrage von DNS-Anfragen über den UDP-Port 53, schützt DoT unter anderem vor dem Ausspähen der DNS-Anfragen und Man-in-the-Middle-Angriffen. DoT verbessert also sowohl die Privatsphäre als auch die Sicherheit.

Aktivierung von DoT unter Android 9:

Ruft die Systemeinstellungen auf und navigiert zu »Netzwerk & Internet« -> »Erweitert« -> »Privates DNS«
Selektiert dort Hostname des privaten DNS-Anbieters
Im Feld darunter tragt ihr dann die Adresse des DNS-Servers ein, der DoT unterstützt
- Beispiel dismail.de: fdns1.dismail.de

Anschließend werden alle DNS-Anfragen, die von eurem System abgesetzt werden, via TLS-verschlüsselter Verbindung zum gewählten DNS-Server übermittelt und beantwortet. Empfehlenswert in diesem Zusammenhang ist der Beitrag »Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen«.

Mit dnsleaktest.com | DNS-Leak-Test könnt ihr prüfen, ob der ausgewählte DoT-Server verwendet wird. Ruft die Seite auf und tippt auf Standard Test – habt ihr den dismail.de DoT-Server gewählt, sollte als Ergebnis erscheinen:

IP: 116.203.32.217
Hostname: dismail.de

Hinweis

Dies ist eine globale Einstellung und gilt für alle Netzwerk-Interfaces (WLAN, Mobil, VPN etc.). Seid ihr also bspw. im mobilen Netz eures Providers unterwegs, bekommt ihr von diesem im Normalfall DNS-Server zugeteilt, die anschließend die DNS-Anfragen beantworten. Aktiviert ihr allerdings DoT werden die DNS-Anfragen über den von euch gewählten DNS-Server abgewickelt – die Provider-DNS-Server werden sozusagen überschrieben.

Zusätzliche Privatsphäre & Sicherheit [Fortgeschrittene]

Anfragen zu DNS-Servern werden im Normalfall unverschlüsselt über den Port 53 (TCP|UDP) versendet. Das bedeutet: Selbst wenn ihr einen unzensierten und freien DNS-Server gewählt habt, besteht die Möglichkeit, dass jemand eure DNS-Anfragen mitliest und auswertet. Aktuell gibt es unterschiedliche Lösungsansätze, dies zu verbessern bzw. die DNS-Anfragen zwischen Client und DNS-Server zu verschlüsseln.

Dazu gibt es unterschiedliche Ansätze – durchgesetzt haben sich allerdings nur folgende zwei Lösungen:

DNS over TLS (DoT): Auf der Seite des DNS-Privacy-Projects findet ihr Informationen zum aktuellen Stand von DNS over TLS Client-Implementierungen. Vielversprechend ist das Projekt Stubby. Damit DNS over TLS dann auch funktioniert, benötigt ihr neben einem Client auch einen geeigneten Resolver bzw. DNS-Server, der die verschlüsselten Anfragen auf Port 853 entgegennimmt.
DNS over HTTPS (DoH): Das IETF untersucht innerhalb der DoH-Arbeitsgruppe, wie DNS-Nachrichten über eine bestehende HTTP/2-Verbindung gesendet werden können.

Bildquellen:

Server: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Drittanbietersperre beim Mobilfunkbetreiber einrichten

Dem ein oder anderen ist es sicherlich schon passiert: Einmal nicht aufgepasst und man hat ein kostenpflichtiges Abo abgeschlossen, das plötzlich auf der nächsten Mobilfunkrechnung auftaucht. Vor diesen Abofallen schützen am besten Drittanbietersperren, um die Zahlung über die Mobilfunkrechnung an Dritte zu unterbinden.

Obwohl die Abrechnung über den Mobilfunkanbieter durchaus praktisch sein kann, da man relativ einfach und ohne die Angabe einer Bankverbindung bspw. Testberichte der Stiftung Warentest erwerben kann, ist die Gefahr groß, in eine Abofalle zu geraten. Windige Geschäftemacher und dubiose Unternehmen nutzen Direct Carrier Billing, um ihren »Kunden« bspw. über einen Werbebanner (In-App oder Webseiten) ein Abo unterzujubeln. Kosten und Kündigungsmöglichkeiten werden dabei oftmals geschickt verschleiert und so kann ein Abo dann auch mal 9,90 € pro Woche kosten. Gegen diese Abzocke kann mein bei seinem Mobilfunkanbieter einfach eine Drittanbietersperre einrichten.

Drittanbietersperre bei Netzbetreiber einrichten

Telekom:
- Online: Kundenkonto (Telekom Kundencenter Mobilfunk) unter Meine Mobilfunk-Nummer -> Button: Drittanbietersperren verwalten
- Telefonisch: 0800 330 2202 oder 2202 (Kurzwahl aus dem Telekom-Netz)
Telefonica (o2):
- Online: Kunden-Konto (o2-Kundencenter)
- Telefonisch: 0176 88855222 oder 55222 (Kurzwahl aus dem o2-Netz)
Vodafone:
- Online: Kunden-Konto (Mein Vodafone) unter Ihre Rechnungen -> Mobiles Bezahlen -> Mobiles Bezahlen deaktivieren
- Telefonisch: 1212 (Kurzwahl aus dem Vodafone-Netz)
- App: Über die Vodafone-App unter Menü -> Mein Vertrag -> Optionen -> Drittanbieter Abos sperren

Drittanbietersperre bei Anbietern/Resellern einrichten

Congstar:
- Online: Kunden-Konto (Mein Congstar) unter Meine Produkte -> Details -> SIM- & Vertragsdetails -> Drittanbietersperre -> Drittanbieterdienste
- Telefonisch: 0221 79 700 700
- Chat: Über den Service-Chat
Simyo:
- E-Mail: E-Mail an die Adresse service@simyo.de mit der Bitte um Einrichtung einer Drittanbietersperre für eure Rufnummer
Blau:
- Online: Kunden-Konto (Mein Blau)
Aldi Talk:
- Online: Kunden-Konto unter Konto -> Account -> Drittanbieterdienste
- Telefonisch: 0177 177 1157 oder 1157 (Kurzwahl aus dem Aldi-Talk-Netz)
- E-Mail: E-Mail an die Adresse partnerservice@eplus.de mit der Bitte um Einrichtung einer Drittanbietersperre für eure Rufnummer
Klarmobil:
- Online: Kunden-Konto (Mein Onlineservice) unter Tarifoptionen
- Telefonisch: 040 34 8585 300

Drittanbietersperre nicht notwendig

Bei folgenden Anbietern ist die Drittanbietersperre bereits standardmäßig aktiviert:

Lidl Connect
WEtell

Bildquellen:

Stickers: Freepik from www.flaticon.com is licensed by CC 3.0 BY

E-Mail-Anbieter

Auch wenn sich die Kommunikation insbesondere im privaten Umfeld zunehmend auf Messenger verlagert, so ist und bleibt die E-Mail ein beliebtes Kommunikationsmedium. Grund genug, einen Anbieter zu wählen, der sowohl hohe Sicherheitsstandards erfüllt, als auch die Privatsphäre schützt. Leider tummeln sich auf dem Markt viele Anbieter, die wenig Wert auf diese Anforderungen legen und mehr Interesse daran haben, vermarktbare Erkenntnisse über den Nutzer zu gewinnen. Anbieter wie Google scannen ungeniert die ein- und ausgehenden E-Mails ihrer Nutzer, mit dem Ziel, das Datenprofil weiter zu verfeinern. Damit verletzt Google nicht nur die Privatsphäre der Gmail-Nutzer, sondern auch derjenigen, die in Korrespondenz stehen. Doch es gibt Alternativen, bei denen der Nutzer nicht mit seinen Daten bezahlt und die Privatsphäre respektiert wird.

Professionelle Anbieter [Einsteiger | Fortgeschrittene]

Sowohl mailbox.org als auch Posteo sind zwei deutsche E-Mail-Anbieter, die schon einige Jahre auf dem Markt sind und ihre Dienstleistung gegen einen geringen Monatsbeitrag anbieten. Beide Anbieter werben mit sicheren und datenschutzfreundlichen Postfächern, die bestmöglich gegen Spam geschützt sein sollen. Beide Anbieter veröffentlichen Transparenzberichte – also wie oft Behörden Auskunft zu Kundendaten ersuchen.

mailbox.org

Ab 1,- € pro Monat bietet mailbox.org E-Mail-Postfächer für Privat- und auch Geschäftskunden an. Der Serverstandort ist in Berlin und alle wichtigen Sicherheitserweiterungen wie DANE, SPF, DKIM etc. werden unterstützt – mit einer Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Darüber hinaus bietet mailbox.org Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner, die sich ebenfalls über das CardDAV- bzw. CalDAV-Protokoll geräteübergreifend synchronisieren lassen. Die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> mailbox.org bzw. mailbox.org <-> E-Mail-Server anderer Anbieter, entsprechen und entsprachen stets hohen Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen. Auf Wunsch bietet mailbox.org ein Postfach mit eigener Domain als E-Mail-Adresse. Als Captcha-Dienst setzt mailbox.org mittlerweile konsequent auf Friendly Captcha.

Posteo

Posteo bietet einen ähnlichen Leistungsumfang wie mailbox.org. Ebenfalls ab 1,- € pro Monat erhält der Nutzer ein eigenes Postfach mit Funktionen wie Kalender- und Adressbuchsynchronisation über das CardDAV- bzw. CalDAV-Protokoll. Via Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Auf Kritik reagierte Posteo in der Vergangenheit leider nicht immer so professionell, wie man es sich wünschen würde. Unter anderem wurde gegen den Betreiber des Privacy-Handbuchs eine Take-Down-Notiz angestrengt, nachdem dieser Kritik an der Verwendung diverser Cipher-Suiten seitens Posteo geäußert hatte. Trotz dieses harschen Umgangs mit Kritik, ist Posteo nach meiner Auffassung ein empfehlenswerter E-Mail-Dienst, der mit viel Herzblut betrieben wird, um dem Nutzer ein hohes Sicherheits- und Datenschutzniveau zu bieten.

Spendenfinanzierte Anbieter [Fortgeschrittene]

Neben Anbietern, die ihre Dienstleistung gegen einen festen Monatsbeitrag anbieten, gibt es ebenfalls Projekte, wie dismail.de oder disroot.org, die auf spendenfinanzierter Basis operieren. Rein von den angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM stehen sie professionellen Anbietern in nichts nach – beide bieten über das Webinterface sogar eine Zwei-Faktor-Authentifizierung an. Aufgrund der spendenfinanzierten Basis schätze ich das Risiko für eine (abrupte) Einstellung des Dienstes höher ein als bei professionellen Anbietern wie mailbox.org.

dismail.de [keine Registrierung mehr möglich]

dismail.de ist eine One-Man-Show. Das soll den Gesamteindruck allerdings in keiner Weise schmälern. Die angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM entsprechen dem Stand der Technik – und auch die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> dismail.de bzw. dismail.de <-> E-Mail-Server anderer Anbieter, entsprechen hohen Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen.

disroot.org

Die Server von disroot.org stehen in den Niederlanden und werden von einem kleinen Kreis von Freiwilligen betrieben, denen Dezentralität, Open-Source und ein respektvoller Umgang mit Freiheit und Datenschutz am Herzen liegt. Auch die von disroot.org angebotenen Sicherheitserweiterungen wie DANE, SPF, DKIM entsprechen dem Stand der Technik – ebenso die angebotenen Cipher-Suiten (TLS-Verschlüsselung). Positiv: Ein disroot.org-Konto kann neben E-Mail für unterschiedliche Dienste wie ein Nextcloud-Zugang etc. genutzt werden.

Bildquellen:

Windows: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY

Fake News: Desinformation und Medienmanipulation erkennen

Insbesondere soziale Medien wie Facebook oder Twitter/X eignen sich für die Verbreitung von Fake News – also der Verbreitung von Falschmeldungen, meist mit dem Ziel, eine politische Debatte zu emotionalisieren. Das wirft die Frage auf: Wie kann man erkennen, ob eine Quelle vertrauenswürdig ist bzw. ob verbreitete Informationen der Wahrheit entsprechen? Gerade demonstriert die COVID-19-Pandemie, wie schwierig es Nutzern offenbar fällt, eine Antwort auf diese Frage zu finden. Wenn sich Fake News weiter so erfolgreich verbreiten wie bisher, gehen damit ungeahnte Risiken für das Informations-Ökosystem und damit der Demokratie einher. Aus meiner Sicht ist es daher essentiell, Wissen zu vermitteln, mit dem Nutzer in die Lage versetzt werden, Fake News zu erkennen bzw. zu entlarven.

Hinweis

Wer selbst einmal testen möchte, wie es um die eigene Medienkompetenz steht, der kann den digitalen Nachrichtentest absolvieren.

Sieben Typen der Informationsstörung

Nach der Vorstellung von Claire Wardle gibt es unterschiedliche Arten von problematischen Inhalten im Informations-Ökosystem. In einem Entwurf vom März 2017 benennt Wardle sieben Typen der »Informationsstörung«:

Desinformation

Wer erstellt diese Inhalte überhaupt und welches Ziel wird damit verfolgt? Die Beweggründe sind laut Wardle unterschiedlich und lassen sich in folgende Kategorien einteilen:

Desinformation-Checklist

Verification Handbook

Das Verfication Handbook – das Handbuch zur Überprüfung von Desinformation und Medienmanipulation – bündelt alles Wissenswerte zum Thema Fake News auf 144 Seiten. Es wurde von der Landesanstalt für Medien NRW ins Deutsche übersetzt. Jeder, der sich im Internet bewegt, sollte dieses Handbuch im Grunde einmal gelesen haben – klare Leseempfehlung!

Bildquellen:

News: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Fediverse

Ein Netzwerk, das den Anspruch hat, »allen zu gehören«? Angesichts der Monopolposition und kommerziellen Ausrichtung von Plattformen wie Twitter/X, Facebook, YouTube und Co. wirkt das befremdlich – wie aus einem anderen Universum. Und so ähnlich kann man sich das Fediverse tatsächlich auch vorstellen. Es ist ein »vereinigtes Universum«, in dem föderierte, voneinander unabhängige soziale Netzwerke, Mikroblogging-Dienste und Webseiten ein gemeinsames Netzwerk bilden, das die Freiheit, Autonomie und Inhalte der Nutzer in den Vordergrund stellt. Also Social Media für alle.

Weitere Infos

Das Fediverse wird im Beitrag »Social Media losgelöst von den Fesseln kommerzieller Interessen« im Detail vorgestellt. Im Beitrag werden ebenfalls die Probleme klassischer sozialer Medien wie Facebook und Twitter/X beleuchtet.

Das Fediverse selbst ist kein Dienst/Plattform, sondern gibt nur eine Struktur bzw. Idee vor, an dem sich Entwickler orientieren können. Das Konzept scheint aufzugehen, denn das Fediverse wächst beständig und immer neue Dienste kommen hinzu und vergrößern das Universum. Der Vorteil für (bestehende) Nutzer: Durch das Registrieren auf einer Instanz erhält man Zugang zum (kompletten) Fediverse. Es ist also nicht notwendig, für jeden Dienst eine separate Anmeldung/Registrierung vorzunehmen. Als Teilnehmer des Fediverse kann man sich mit jedem anderen Nutzer austauschen und folgen. Es steht dem Nutzer also völlig frei, für welchen Dienst er sich entscheidet.

Nachfolgend eine Auswahl an verschiedenen Diensten aus dem Fediverse. In Klammern stehen jeweils die nicht freien, bekannten Dienste, welche am ehesten mit dem Dienst im Fediverse vergleichbar sind:

Mastodon (Twitter/X): Ähnlich wie Twitter/X ist Mastodon ein Microblogging-Dienst, über den sich Nutzer direkt über Kurznachrichten (Toots) bis zu einer Länge von 500 Zeichen miteinander austauschen können. Das Teilen/Verbreiten von anderen Toots nennt sich »Boost«.
Pleroma (Twitter/X): Pleroma ist ebenfalls ein Microblogging-Dienst und vergleichbar mit Mastodon. Auf vielen Pleroma-Instanzen kann man Beiträge verfassen, die länger als die bei Mastodon üblichen 500 Zeichen sind.
PeerTube (YouTube): Die Videoplattform PeerTube ist eine Alternative zu geschlossenen Plattformen wie YouTube oder Vimeo. Auf PeerTube können Videos hochgeladen, angesehen und kommentiert werden. Ähnlich wie bei YouTube werden auch Kanäle unterstützt, die Nutzer abonnieren können.
Funkwhale (Spotify, Soundcloud): Funkwhale ist das Pendant zu PeerTube, auf dem Audio/Musik hochgeladen, angehört und kommentiert werden kann. Für Musiker, Hörbuch- oder Podcasthörer eine Alternative zu nicht freien Diensten wie Spotify oder Soundcloud.
Pixelfed (Instagram): Ähnlich wie Instagram ist Pixelfed ein Dienst zum Teilen, Verbreiten und Kommentieren von Fotos. Nutzer können eigene Fotoalben anlegen, andere Fotos entdecken und in einer Timeline anderen Nutzern/Fotografen folgen.
Friendica (Facebook): Friendica ist ein soziales Netzwerk bzw. ein Macroblogging-Dienst, der mit Facebook vergleichbar ist. Es besteht unter anderem die Möglichkeit, sich mit anderen Nutzern zu vernetzen, diesen zu folgen, sich in Gruppen zu organisieren, Fotoalben zu führen, Kommentare abzugeben und Inhalte mit »Likes« bzw. »Dislikes« zu versehen.
Hubzilla (Facebook): Auch Hubzilla ist charakteristisch ein soziales Netzwerk, das ähnlich wie Friendica funktioniert und mit Facebook vergleichbar ist. Wie bei einem sozialen Netzwerk üblich können sich Nutzer untereinander vernetzen, Inhalte austauschen und diese kommentieren.
Mobilizon (Facebook-Events): Mobilizon ist eine freie Alternative zu Facebook-Events, mit dem sich Veranstaltungen organisieren und bewerben lassen. Neben dem Veranstaltungsort umfasst ein Event auf Mobilizon ein Datum/Zeit und optional eine Beschreibung.
Plume (WordPress): Plume ist ein föderierter Blogging-Dienst, mit dem sich größere Beiträge/Inhalte im Fediverse veröffentlichen lassen. Nutzer können gemeinsam an einem Beitrag arbeiten und sich untereinander austauschen.
WriteFreely (WordPress): Genauso wie Plume ist WriteFreely ein föderierter Blogging-Dienst zum Verbreiten von Beiträgen/Inhalten.

Ein weiterer bekannter Dienst (Diaspora) ist in der Aufzählung nicht genannt, weil er das ActivityPub-Protokoll bis dato nicht unterstützt und dies auch nicht plant. Nach meiner Einschätzung wird der Dienst langfristig gesehen keine Zukunft haben.

Das nachfolgende Schaubild stellt die oben genannten Dienste/Plattformen des Fediverse grafisch dar und skizziert mit verschiedenen Verbindungslinien, ob die jeweiligen Dienste untereinander kommunizieren können:

Nachfolgend eine vereinfachte Variante, die nur Plattformen darstellt, die das verbreitete
ActivityPub unterstützen und darüber ein großes (Interaktions-/Kommunikations-)Netzwerk bilden:

Bildquellen:

Networking: Becris from www.flaticon.com is licensed by CC 3.0 BY

Filesharing

Manchmal ist es notwendig Dateien (Dokumente, Bilder etc.) mit anderen Personen auszutauschen. Üblicherweise wird dazu einfach ein Anhang an eine E-Mail beigefügt oder ein Messenger genutzt. Hierbei stößt man allerdings schnell an Grenzen, da Dateianhänge meist nur bis zu einer gewissen Größe zulässig sind. Abhilfe schaffen Upload- bzw. Filesharing-Dienste, die den Austausch von Dateien mit bis zu 4 GB Größe (und mehr) erlauben.

Filesharing-Dienste [Einsteiger]

Diverse Vereine und freie Projekte bieten Filesharing-Dienste, die jeder zum Austausch von großen Dateien nutzen kann. Die Anbieter freuen sich über Spenden, da die Bereitstellung von Speicherkapazität und Administration Kosten verursacht. Anbei ein paar Dienste:

Anoxinon Share (50 MB): Bei Anoxinon Share könnt ihr Dateien mit einer Größe von bis zu 50 MB hochladen – der Dienst basiert auf Jirafeau. Die Dateien werden serverseitig verschlüsselt und nach 24 Stunden automatisch wieder gelöscht. Mit einem Passwort lässt sich der Download zusätzlich absichern. Gehostet wird der Dienst von Anoxinon e.V.
Disroot Upload (2 GB): Der Disroot-Uploader ermöglicht den Upload von bis zu 2 GB großen Dateien und basiert auf Lufi, das die Dateien noch vor dem Upload im Browser verschlüsselt und anschließend eine URL ausgibt, die vom Server nicht eingesehen werden kann. Damit ist eine Ende-zu-Ende-Verschlüsselung von Dateien bzw. zwischen den Teilnehmern möglich. Die Verfallsdauer (wann die Downloadmöglichkeit erlischt) einer Datei lässt sich auf 24 Stunden, 7 oder 30 Tage festlegen – oder ebenfalls nach dem ersten Download. Der Upload lässt sich zusätzlich mit einem Passwort schützen. Gehostet wird der Dienst von Disroot.
NowTransfer (2 GB): Der Dienst NowTransfer basiert auf linx und ermöglicht den Austausch von bis zu 2 GB großen Dateien. Neben der Verfallsdauer (wann die Downloadmöglichkeit erlischt) kann der Dienst den Dateinamen randomisieren und die Datei zusätzlich mit einem Passwort schützen. Gehostet wird der Dienst von adminforge.de.

Selbstgehostete Dienste [Fortgeschrittene]

Wer mehr Kontrolle benötigt bzw. den frei angebotenen Filesharing-Diensten nicht vertraut, der hat die Möglichkeit, selbst zu hosten:

Nextcloud: Das Schweizer Allzweckmesser Nextcloud bietet einen großen Funktionsumfang, zu dem ebenfalls das Teilen von Dateien über URLs gehört. Eine Beschränkung der Dateigröße liegt nicht vor, bzw. liegt in der Verantwortung des Nextcloud-Administrators. Man kann Dateien mit einem Ablaufdatum versehen und diese zusätzlich mit einem Passwort schützen.
Lufi: Bevor Dateien auf eine Lufi-Instanz hochgeladen werden, erfolgt browserseitig eine Verschlüsselung. Nach erfolgtem Upload wird die Download-URL mit einem Anker (#) clientseitig berechnet und ausgegeben. Das bedeutet: Der Anker-Teil der URL beinhaltet den Schlüsselteil, den der Server nicht einsehen kann und vom Browser des Empfängers anschließend genutzt wird, um die Datei wieder zu entschlüsseln. Damit ist eine Ende-zu-Ende-Verschlüsselung von Dateien bzw. zwischen den Teilnehmern möglich.
OnionShare: Mit OnionShare lassen sich Dateien (bei korrekter Handhabung) anonym über das Tor-Netzwerk teilen. Dazu wird lokal auf dem Rechner eine temporäre, passwortgeschützte Webseite mit einer Onion-Adresse erzeugt. Mit dem Tor-Browser kann diese Onion-Adresse anschließend aufgerufen werden, um die Dateien herunterzuladen. Der Austausch erfolgt also Peer-to-Peer und verzichtet auf einen Mittelsmann. Es gilt zu beachten: Der Rechner, der die Dateien teilt, muss online sein, damit diese heruntergeladen werden können.

Bildquellen:

Computer: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Firefox

Ein Browser ist der »Schlüssel« zum Internet bzw. zum World Wide Web, mit dem wir sowohl private als auch berufliche Aufgaben erledigen. Wir benötigen daher einen Browser, der in der Lage ist, unsere Privatsphäre und Sicherheit im Internet bestmöglich zu schützen. Nach meiner Auffassung kann das kein Browser so gut wie Firefox (inklusive Add-ons) von Mozilla.

Browser-Check-Serie

Im Rahmen der Artikelserie »Browser-Check« wurden diverse Browser auf ihr Datensendeverhalten geprüft. Es wurde geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.

Empfehlenswerte Add-ons [Einsteiger]

Die nachfolgenden Add-ons eignen sich für Einsteiger. Über 99% der Webseiten sollten problemlos funktionieren. Gelegentlich kann es notwendig sein, Skip Redirect temporär zu deaktivieren – bspw. wenn man sich in WiFi-Hotspots bei Hotels/Kaffees etc. anmeldet.

uBlock Origin: Der beliebte Tracking- und Werbeblocker ist ein »Must-have«. Einstellungstipps zum Add-on findet ihr hier. Weitere Einstellungen/Empfehlungen:
- Medium-Mode: Nach einer Eingewöhngszeit mit dem Add-on solltet ihr zum Medium-Mode wechseln. Im Medium-Mode wird das Add-on NoScript überflüssig.
- Zusätzliche Filterlisten:
  - Aktiviert Zusätzlich alle Filter unter Ads/Werbung und Privacy/Privatsphäre
  - Über die Import-Funktion die Filterliste »Actually Legitimate URL Shortener Tool« hinzufügen.
Skip Redirect: Umgeht nach Möglichkeit die nervigen und nutzerverfolgenden Redirects, die bspw. Google und andere Unternehmen einsetzen.
LibRedirect: Anfragen zu Twitter/X, YouTube, Instagram, Google Maps und Co. werden zu den datenschutzfreundlichen Alternativen (Nitter, Invidious etc.) weitergeleitet.

Empfehlenswerte Add-ons [Fortgeschrittene]

LocalCDN (Decentraleyes Fork): Stellt Ressourcen, die Webseiten gerne von Drittseiten (ajax.googleapis.com, code.jquery.com) einbinden, lokal zur Verfügung.
CanvasBlocker: Kann das Canvas-Fingerprinting durch das Zurückgeben modifizierter JavaScript-API-Werte (Canvas, Screen, SVG etc.) verhindern.

Empfehlenswerte Einstellungen / user.js [Fortgeschrittene]

Mozilla schafft es immer wieder Funktionen in den Firefox zu integrieren, die sich negativ auf die Privatsphäre auswirken können. Für eine Verbesserung der Sicherheit und Privatsphäre beim Surfen solltet ihr daher über die »about:config« einige Parameter anpassen. Am einfachsten funktioniert das über eine vorgefertigte user.js, die euch eine Menge Arbeit abnimmt:

Privacy-Handbuch: Das Privacy-Handbuch bietet diverse user.js-Konfigurationen an.
Arkenfox user.js: Das Projekt Arkenfox user.js bietet eine umfangreich dokumentierte user.js an.

Alternativ könnt ihr auch den Firefox Profilemaker nutzen, der euch dabei hilft, eure ganz individuelle user.js zu erstellen.

Firefox-Fork: LibreWolf

Wer keine Lust hat Mozilla immer »hinterherzurennen« bzw. die Einstellungen und Umstellungen im Blick zu behalten, die sich negativ auf die Privatsphäre auswirken können, sollte einen Blick auf LibreWolf werfen. LibreWolf basiert auf Firefox. Im Gegensatz zum Firefox wurden proprietäre Bestandteile und die Telemetrie bzw. Übermittlung von Diagnosedaten/Absturzmeldungen an Mozilla entfernt. In der Artikelserie »Browser-Check« schneidet der Browser im Check einwandfrei ab.

Das Add-on uBlock Origin ist bereits standardmäßig in LibreWolf integriert. Es ist empfehlenswert, auch die anderen Add-ons zu installieren, die für Firefox empfohlen werden. Die Installation des CanvasBlockers ist optional, sofern der Fingerprinting-Schutz in LibreWolf aktiviert ist (Einstellungen -> LibreWolf -> Fingerprinting).

Bei LibreWolf ist es nicht nötig, Anpassungen über die about:config oder user.js vorzunehmen. Falls gewünscht, können einige spezielle Werte/Einstellungen über die Einstellungen -> LibreWolf angepasst werden. Ein Blick in die Dokumentation bzw. FAQ von LibreWolf ist empfehlenswert.

Hinweis

Wer möglichst spurenarm im Internet surfen möchte, der sollte einen Blick auf die vierteilige Artikelserie »Not my data!« werfen. Dort wird anhand eines 3-Browser-Modells erklärt, wie ihr eure Privatsphäre besser schützen könnt. Gerade wenn euer Bedrohungsmodell Anonymität und einen erweiterten Schutz vor Fingerabdrücken erfordert, sollten ihr den Tor-Browser verwenden.

Bildquellen:

Firefox: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY

Frank geht ran

Bei vielen Online-Bestellungen, Reservierungsformularen oder anderweitig ist die Angabe einer Telefonnummer ein Pflichtfeld. Im Normalfall wird diese jedoch nicht wirklich benötigt, da die Kommunikation meist per E-Mail erfolgt. Wer also nicht gerade etwas per Spedition bestellt, der wird kaum telefonisch kontaktiert.

Es ist für einige daher ärgerlich, Informationen angeben zu müssen, die zur eigentlichen Diensterbringung nicht erforderlich sind. Für die Telefonnummer gibt es da eine einfache Lösung: Frank geht ran. Ein Dienst, der automatisch Anrufe entgegennimmt und »abwimmelt« bzw. darauf hinweist, dass eine telefonische Kontaktaufnahme nicht gewünscht ist.

Franks Nummer lautet:

01631737743

Die Nutzung erfolgt selbstverständlich auf eigene Gefahr.

Bildquellen:

Call: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Google-Alternativen

Googles Strategie, mit benutzerfreundlichen Produkten und Diensten den Markt zu erobern, ist aufgegangen. Der Erfolg gibt ihnen Recht. Doch bei dieser Erfolgsgeschichte gilt es, sich stets vor Augen zu führen, welcher Preis dafür von den eigentlichen Nutzern (bzw. eigentlich »Produkten«) gezahlt wurde. Diese bezahlten und bezahlen nämlich mit den von ihnen »produzierten« Daten. In einem Interview mit James Bennet hat Aufsichtsratschef Eric Schmidt gesagt:

With your permission you give us more information about you, about your friends, and we can improve the quality of our searches. We don’t need you to type at all. We know where you are. We know where you’ve been. We can more or less know what you’re thinking about.

Diese bereits im Jahr 2010 getätigte Bemerkung ist heute aktueller denn je. Und je öfter man sie liest, desto gruseliger wird die Vorstellung, dass ein US-Konzern »mehr oder weniger weiß, woran man denkt«. Und was Google über einen weiß, kann man selbst relativ einfach herausfinden – sofern man noch ein Google-Konto hat.

Wer sich gelegentlich Gedanken um seine Privatsphäre macht, der wird feststellen: Gerade Unternehmen wie Google, Microsoft und Co. zählen heute zu den größten Datensammlern. Die nachfolgenden Dienste bzw. Anbieter stellen eine datenschutzfreundliche Alternative zu Google-Diensten dar.

[1] Nutzer (Desktop, Smartphone)

Dienst / Software	Alternative
Google Chrome	Firefox (Artikelserie: Firefox-Kompendium)
	Ungoogled Chromium
Google Suche	Startpage
	SearXNG
	MetaGer
	Weitere Empfehlungen
Google Hangouts	Nextcloud Talk
	Signal
	Jitsi
Gmail	mailbox.org
	Posteo
	dismail.de
	Weitere Empfehlungen
Google Docs / Sheets / Slides	Collabora + Nextcloud
	Framacalc
	Etherpad
	EtherCalc
YouTube	PeerTube
	Keine Alternative, erlaubt aber eine datenschutzfreundliche Nutzung: Invidio.us
	Weitere Empfehlungen
Google Calendar	Nextcloud
	Baikal
	Radicale
	mailbox.org
	Posteo
Google Maps	Maps Metager
	OpenStreetMap
	OSMAnd
Google DNS	Liste mit freien DNS-Servern, die nicht zensieren bzw. loggen
Google Play Store	F-Droid (inkl. Android-Empfehlungen)
	Keine Alternative, erlaubt aber eine datenschutzfreundliche Nutzung: Aurora Store
Google Drive	Nextcloud
	Syncthing
	Seafile
Google Android	LineageOS (Artikelserie: Take back control!)
	CalyxOS
	GrapheneOS
Google Translate	DeepL
	Lingva
Doodle	nuudel
	dudle

[2] Webseitenbetreiber

Dienst / Software	Alternative
Google Analytics	Matomo
	Open Web Analytics
	GoAccess
Google reCAPTCHA	TextCaptcha
	Friendly Captcha
Google Maps für Webseiten	Leaflet
Google Fonts	Google-Webfonts Helper (Schriftart runterladen, lokal per CSS einbinden)
	Font Squirrel

[3] Android Entwickler

Dienst / Software	Alternative
Google Crashlytics	Sentry (Self-Hosted)
Google Firebase	Kuzzle
	appwrite

Bildquellen:

Google: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Identitätsdiebstahl

Identitätsdiebstahl ist der Missbrauch der Identität einer natürlichen Person durch Dritte. Der Diebstahl kann physisch erfolgen, wenn bspw. Ausweispapiere/Personalausweis entwendet werden. Oder der Betrüger hackt sich in das Konto des Betroffenen und gibt sich als diesen aus. Was dann folgt, kann sehr unterschiedlich sein, hat aber in der Regel schwerwiegende Folgen für den Betroffenen. Meist werden die gestohlenen Daten im Netz für allerlei Einkäufe und den Abschluss von (Mobilfunk-)Verträgen missbraucht. In besonders schweren Fällen werden mit dem gestohlenen Ausweis neue Bankkonten eröffnet oder Kredite aufgenommen.

Hinweis

Nachfolgend werden Tipps und Maßnahmen zur Prävention des Verlusts/Diebstahls von Ausweisdokumenten gegeben. Eine Anleitung zum Schutz und zur Reaktion auf Online-Kontohacking finden findet ihr unter »Account-Diebstahl: Was tun?«

Schutzmaßnahmen

In Deutschland besteht zwar eine Ausweispflicht, aber keine allgemeine Mitführungspflicht. Wer also seinen Ausweis nicht dabei hat und zum Beispiel in eine Polizeikontrolle gerät, kann von den Beamten zur Identitätsfeststellung mit auf die Wache genommen werden. Das kann ärgerlich sein und unnötig Zeit kosten, ein Bußgeld droht aber nicht. Trotzdem ist es in der Regel sinnvoll, den Ausweis mitzuführen, vor allem in Grenznähe, an Flughäfen oder Bahnhöfen, wo häufiger Personenkontrollen stattfinden. Letztendlich muss man immer abwägen, ob man den Ausweis zur nächsten Großveranstaltung mitnimmt oder ihn auch mal zu Hause lässt.

Wenn der Personalausweis mitgeführt wird, sollte er gut geschützt sein. Die Brieftasche sollte nicht in der Gesäßtasche, sondern bspw. in der Innentasche der Jacke am Körper getragen werden. Rucksäcke sollten bei großen Veranstaltungen mit viel Gedränge besser vorne als hinten getragen werden.

Tipp: Sperr-Notrufnummer

Für den Notfall sollte man sich die Sperr-Notrufnummer seiner Bank merken/speichern.

Ernstfall: Was tun?

Im Falle eines Diebstahls von Portemonnaie und Ausweispapieren sollte man schnell handeln. Folgende Schritte können helfen, die Auswirkungen eines professionellen Identitätsdiebstahls zu minimieren:

Bank/Kreditkarteninstitut: Benachrichtigung der Bank, um betroffene Karten und Konten zu sperren
Polizei: Stellen einer Strafanzeige bei der Polizei – schnell erledigt via Online-Strafanzeige
Auskunfteien: Berichtigung von möglichen falschen Einträgen in Auskunfteien. Bei der Schufa (Eilmeldung Identitätsbetrug) und anderen Auskunfteien kann der Identitätsdiebstahl gemeldet werden.
Zahlungsbewegungen: Betroffene Bankkonten sollten über einen längeren Zeitraum auf unregelmäßige Zahlungsbewegungen überprüft werden
Rat einholen: Im Zweifel Beratung bei der Verbraucherzentrale einholen

Sollten die (Ausweis-)Daten bereits für den illegalen Kauf von Waren etc. verwendet worden sein, sind folgende Maßnahmen empfehlenswert:

Widerspruch: Falls ein Mahnbescheid eingeht, muss innerhalb von 2 Wochen Widerspruch eingelegt werden. Eine Kopie der Strafanzeige kann als Nachweis verwendet werden, um mögliche Zahlungsaufforderungen abzulehnen.
Geld zurück: Zurückbuchung unberechtigt abgebuchter Beträge von der Bank/Kreditkarteninstitut
Verbraucherzentrale: Die Verbraucherzentrale bietet einen Musterbrief zur Abwehr von (Gläubiger-)Forderungen an

Kollaborations-Plattformen

CryptPad [Dokumente + erweiterte Funktionen]

OnlyOffice [vollständige Office-Suite]

Projekte: Verwaltung von Projektphasen wie Planung, Teamleitung, Überwachung und Berichterstattung.
CRM: Verwaltung einer Kundendatenbank, Erstellung von Verkaufschancen und Aufgaben.
E-Mail: Vereinigt den Mail-Server für die Erstellung eigener Domain-Mailboxen und den Mail-Aggregator für die zentrale Verwaltung von mehreren Mailboxen.
Kalender: Erstellen von persönlichen und firmeninternen Ereignissen, Abgabeterminen in Projekten etc.
Community: Durchführung von Umfragen und Abstimmungen. Aber auch Bereitstellung von Blogs und Foren, aktuellen Nachrichten, Lesezeichen und Messenger-Funktionalitäten.

Bildquellen:

Collaboration: smallsmiles from www.flaticon.com is licensed by CC 3.0 BY

Linux

Lange Zeit hat GNU/Linux ein Nischendasein gefristet. Diese Zeiten sind allerdings längst vorbei: Heute ist GNU/Linux auf Augenhöhe mit anderen Betriebssystemen wie Windows oder macOS angekommen und überflügelt diese in einigen zentralen Merkmalen sogar. Insbesondere Anwender, die Wert auf Datenschutz bzw. Privatsphäre legen, ist ein Wechsel auf Linux anzuraten. Dieses insbesondere deshalb, weil sich Windows 10 oder macOS für den Privatanwender nicht datenschutzfreundlich einrichten lassen – auch mit viel Aufwand lässt sich die Datenübermittlung an den Hersteller bestenfalls minimieren.

Empfehlenswerte Distributionen [Einsteiger]

Gerade für Anfänger kann der Wechsel zu Linux zunächst verwirrend sein, da es nicht »das Eine« Linux gibt. Vielmehr existieren unterschiedliche Distributionen, die sich je nach Kenntnisstand mal mehr, mal weniger für Anfänger eignen. Anbei ein paar Empfehlungen für Wechselwillige und Einsteiger, die meist ohne weitere Anpassungen (Out of the box) funktionieren.

Linux Mint

Linux Mint basiert auf Ubuntu, schlägt aber einen etwas anderen Weg ein. Nach einer kurzen Eingewöhnungszeit sollten sich Windows- wie auch macOS-Nutzer auf dem neuen Desktop zurechtfinden. Das System ist so konzipiert, dass bspw. proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs gleich mitgeliefert werden. Verfechtern von freier- und quelloffener Software ist dies natürlich ein Dorn im Auge, wohingegen Einsteiger von dieser Entscheidung profitieren dürften. Gelegentlich ist Linux Mint etwas träge bei der zeitnahen Bereitstellung von Sicherheitsupdates. Das LinuxMintUsers-Forum bietet eine gute Anlaufstelle bei Fragen rund um Linux Mint.

Ubuntu

Ubuntu ist ebenfalls für Anfänger geeignet. Aufgrund von fragwürdigen Entscheidungen wie Apport oder Desktop-Suchanfragen, die sich negativ auf die Privatsphäre auswirken können, ist Ubuntu in der Standardauslieferung leider nicht optimal voreingestellt. Das bedeutet: Datenschutzsensible Anwender sollten einer anderen Distribution den Vorzug geben. Auch Ubuntu beinhaltet standardmäßig proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs oder Treiber, um den Einstieg in die Linux-Welt zu erleichtern. Wer bei der Einrichtung oder dem Betrieb auf Probleme stößt, der findet im Ubuntuusers-Forum meist schnell kompetente Hilfe.

Hinweis

Du bist noch immer unschlüssig, welches Linux am besten zu dir passt? Vielleicht kann dir der Distrochooser bei deiner Wahl weiterhelfen.

Empfehlenswerte Distributionen [Einsteiger | Fortgeschrittene]

MX Linux

MX Linux basiert auf Debian GNU/Linux (Stable) und antiX-Komponenten. Erklärtes Ziel der Distribution ist die Bereitstellung eines eleganten und effizienten Desktops, mit Fokus auf Stabilität, einfacher Konfiguration und Geschwindigkeit – was dem Projekt auch mühelos gelingt. Da ein Nutzer während der Installation allerdings ein paar Entscheidungen zu treffen hat, ist es nicht für jeden Anfänger geeignet. Ist die Installation geschafft, dürften sich insbesondere Windows-Nutzer mühelos auf dem neuen Desktop zurechtfinden. Anders als Linux Mint oder Ubuntu arbeitet MX Linux (größtenteils) direkt mit den unveränderten (Software-)Paketen von Debian GNU/Linux. Dies wirkt sich insgesamt positiv auf die Stabilität und insbesondere die Sicherheit des Systems aus. Wer bei der Einrichtung oder dem Betrieb Hilfe benötigt, der findet im MX Linux Forum, der Anleitung oder dem Wiki meist den passenden Ratschlag. Tipp: MX Linux ist mein persönlicher Favorit für all jene, die ein stabiles, schnelles und benutzerfreundliches Linux suchen.

Manjaro Linux

Manjaro Linux basiert auf Arch Linux und ist ebenso wie Linux Mint auf Benutzerfreundlichkeit bzw. einen einfachen Einstieg ausgelegt. Nach meiner Auffassung eignet sich Manjaro allerdings nur eingeschränkt für Anfänger. Ein klein wenig Hintergrundwissen bzw. IT-Affinität sollte man mitbringen, um mit Manjaro in die Linux-Welt einzusteigen. Wie auch Mint und Ubuntu beinhaltet Manjaro standardmäßig proprietäre (nicht quelloffene) Elemente wie Multimedia-Codecs oder Treiber. Sowohl das Manjaro-Wiki als auch das offizielle Forum sind eine gute Anlaufstelle bei Fragen oder Problemen.

Empfehlenswerte Distributionen [Fortgeschrittene]

Als fortgeschrittener Nutzer hat man in der Linux-Welt »die Qual der Wahl«. Es gibt einfach so viele tolle Distributionen und Derivate, dass eine Entscheidung manchmal schwerfallen kann. Wer sich einen Überblick verschaffen möchte, der sollte Distrowatch besuchen. Distrowatch bietet Informationen, Neuigkeiten und ein Beliebtheitsranking zu verschiedenen Linux-Distributionen. Anbei meine Empfehlungen für Fortgeschrittene:

Debian GNU/Linux

Debian GNU/Linux zählt zu den ältesten, konservativsten und am weitesten verbreiteten Distributionen. In der Standardauslieferung besteht ein Debian-System vollständig aus freier Software, bietet allerdings die Möglichkeit, auch »unfreie« Software zu installieren. Von Debian werden jederzeit drei Varianten (Releases) parallel angeboten: Stable, Testing und Unstable. Insbesondere Stable-Releases eignen sich aufgrund ihrer hohen Stabilität und Zuverlässigkeit für Server-Systeme. Wer nicht immer auf aktuelle Programmversionen angewiesen ist, der kann Debian GNU/Linux auch bedenkenlos auf einem Desktop-System einsetzen. Insgesamt zeichnet sich das Debian-GNU/Linux-Projekt durch seinen offenen und transparenten Umgang mit Sicherheitslücken aus. Bei Fragen und Problemen hilft meist ein Blick ins Debian-Wiki oder ein Besuch im deutschsprachigen Debian-Forum.

Arch Linux

Arch Linux ist ein sogenanntes Rolling-Release-System. Anders als bei Debian GNU/Linux gibt es also keine unterschiedlichen Versionen, bei denen bei einem Versions-Upgrade eine große Menge an Software aktualisiert wird. Die Philosophie von Arch Linux basiert auf dem KISS-Prinzip – das bedeutet: Einfachheit wird bevorzugt und unnötiges einfach weggelassen. Dies macht sich insbesondere dadurch bemerkbar, dass Arch Linux über keinen grafischen Installer verfügt und keine GUI-Werkzeuge zur Konfiguration bereitstellt. Wer aktuelle Programmversionen bevorzugt und den Blick in das Arch-Wiki bzw. das Arch-Forum nicht scheut, der dürfte mit Arch Linux seine Freude haben.

Medien für Kinder

Kinder und Jugendliche kommen schon in jungen Jahren mit Smartphones und Tablets in Berührung, werden mit diesen fotografiert oder nutzen sie selbst. Es ist daher essenziell, unseren Nachwuchs für die damit einhergehenden Risiken (aber auch Chancen) zu sensibilisieren. Was bedeutet eigentlich Privatsphäre? Was sind soziale Netzwerke und wie lassen sich die eigenen Daten schützen? Nachfolgend eine Reihe von Büchern bzw. Medien, die wissenswerte Informationen vermitteln:

Bücher

Das ist privat!: Das Pixi Buch erklärt, was Privatsphäre bedeutet und was schon die Jüngsten tun können, um sie zu schützen.
- Altersempfehlung: Kindergartenalter bis Grundschüler (2. Klasse)
- Bezugsquelle: BfDI Pixi Bücher
- Zusatzhinweis: Ebenfalls als Video verfügbar
Was ist Datenschutz?: Anhand alltäglicher Beispiele werden Datenschutzprobleme erläutert und Lösungen aufgezeigt. Unter anderem werden Themen wie »soziale Netzwerke« oder »Wer schützt meine Daten?« beleuchtet.
- Altersempfehlung: 3. bis 7. Klassenstufe
- Bezugsquelle: BfDI Pixi Bücher
Ada und Zangemann: Ein Märchen über Software, Skateboards und Himbeereis: Ein modernes Märchen, das die Freude am Tüfteln vermittelt und zum selbstbestimmten Umgang mit Software aufruft.
- Altersempfehlung: Ab 6 Jahren
- Bezugsquelle: Buchhandel [ISBN-10: 3960091907 / ISBN-13: 978-3960091905]

Videos

Datenschutz geht zur Schule: Die vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ins Leben gerufene Initiative »Datenschutz geht zur Schule« sensibilisiert Schüler in ganz Deutschland dafür, mit eigenen Daten und den Daten anderer im Internet und in den sozialen Medien sicherer und bewusster umzugehen.
- Altersempfehlung: Ab der 5. Klassenstufe
- Bezugsquelle: Datenschutz leicht erklärt
Das ist privat!: Die Daten-Füchse gibt es auch in Bild und Ton. Die Geschichte zu »Das ist privat!« steht ebenfalls als Video zur Verfügung.
- Altersempfehlung: Kindergartenalter bis Grundschüler (2. Klasse)
- Bezugsquelle: BfDI-Website

Websites

Data-Kids: Auf der Website Data-Kids können Kinder die Abenteuer der Roboterfamilie »Data-Robs« erleben oder sich mit den tierischen Freunden auf Datenspurensuche begeben.
- Altersempfehlung: Ab der 4. Klassenstufe
Youngdata: Youngdata ist das Jugendportal der unabhängigen Datenschutzbehörden des Bundes und der Länder, auf dem Informationen zum Thema Datenschutz und Informationsfreiheit zu finden sind.
- Altersempfehlung: Ab 12 Jahren
#Kids #Digital #Genial: Auf dem Blog sind Tipps und Tricks im Umgang mit Medien und Datenschutz zu finden.

Bildquellen:

Read: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Messenger

Gefühlt wird jede Woche ein neuer Messenger angekündigt oder veröffentlicht. In Anbetracht dieses »Messenger-Dschungels« hat der Durchschnittsnutzer längst resigniert und bleibt bei WhatsApp. Dabei gibt es mindestens drei Alternativen, die ich guten Gewissens empfehlen kann – auch wenn die nachfolgenden Messenger meine strengen Kriterien an Sicherheit und Datenschutz nicht vollständig erfüllen. Zwei sind aber zumindest nahe dran.

Wenn ihr eine gute Gesamtübersicht über Messenger sucht, die insbesondere IT-Sicherheit- und Datenschutzaspekte beleuchtet, solltet ihr einen Blick auf die Artikelserie »die verrückte Welt der Messenger« werfen.

Threema / Signal: Android & iOS [Einsteiger | Wechselwillige]

Threema

Threema ist ein auf Datenschutz und Sicherheit bedachter Messenger – regelmäßige Audits bestätigen dies. Gerade datenschutzsensible Nutzer, die Wert auf die Vermeidung von Metadaten legen und ihre Telefonnummer nicht als Identifier nutzen möchte, ist Threema eine prima Wahl. Zur Vermeidung von Metadaten zählt ebenfalls, dass Threema vollständig losgelöst von Google betrieben werden kann. Über einen Webshop lässt sich Threema unabhängig vom Google Play Store beziehen. Die komplett googlefreie-Version Threema Libre lässt sich über F-Droid installieren.

Leider ist bisher lediglich der Quellcodes des Clients unter der AGPLv3-Lizenz einsehbar. Aufgrund des proprietären Serverparts lassen sich leider nicht alle Aussagen der Threema GmbH verifizieren. Mit dieser Einschränkung geht eine gewisse Intransparenz der Datenverarbeitung einher, die ein bekannter Pferdefuß von proprietärer Software ist.

Erfreulich: Ein vernünftiges Finanzierungsmodell sorgt für Vertrauen und die stetige Weiterentwicklung des Messengers.

Signal

Mir sind die Nachteile von Signal wohlbekannt (Telefonnummer-Upload, zentraler Dienst, Amazon- und Google-Server etc.). Trotz der berechtigten Kritik muss man klarstellen: Die Signal-Foundation verfolgt nicht den Ansatz, den sichersten und datenschutzfreundlichsten Messenger zu bauen. Das Ziel der Signal-Foundation ist, verschlüsselte Kommunikation der Allgemeinheit zugänglich zu machen und gleichzeitig eine hohe Benutzerfreundlichkeit und Datensparsamkeit zu bieten. Ein Drahtseilakt, der bisher ausgezeichnet gelingt.

Bei der Nutzung fallen kaum Meta-Daten an und es werden neue, innovative Technologien (Private Contact Discovery, Sealed Sender) zum Schutz der Privatsphäre umgesetzt. Die standardmäßig aktivierte Ende-zu-Ende-Verschlüsselung garantiert eine vertrauliche Kommunikation und wird regelmäßig auditiert.

Gerade für Wechselwillige, die WhatsApp (endlich) hinter sich lassen möchten, ist Signal aufgrund der nahezu identischen Bedienbarkeit eine empfehlenswerte Alternative.

Hinweis

Signal funktioniert unter Android mittlerweile ohne die Google Play Services bzw. Firebase Cloud Messaging (FCM), weshalb der Messenger nun auch für all jene empfehlenswert ist, die auf die Datenkrake Google auf dem Smartphone gerne verzichten. Für Fortgeschrittene: Ihr könnt die Signal-App direkt als APK herunterladen und den Google Play Store damit vermeiden. Signal prüft automatisch, ob Updates bereitstehen.

XMPP & Matrix: Android & iOS [Fortgeschrittene]

Sowohl XMPP als auch Matrix sind Protokolle, die es Menschen gestatten, miteinander in den Austausch zu treten bzw. ein Kommunikationsnetzwerk zu betreiben, ohne von zentralen Anbietern in irgendeiner Form abhängig zu sein. Insbesondere für Personen oder Institutionen mit hohem Autonomiebedürfnis kommt nach meiner Auffassung lediglich XMPP oder Matrix in Betracht. Welches dieser beiden Protokolle ihr nun persönlich bevorzugt, hat sicherlich ganz unterschiedliche Gründe – jedes hat seine individuellen Stärken, aber auch Schwächen.

XMPP

Fortgeschrittene Anwender oder jene, die die Telefonnummer nicht als Identifier nutzen möchten, greifen auf das XMPP-Protokoll via Conversations (Android) und Siskin (iOS) zurück. Seit Conversations 2.x ist die OMEMO-Verschlüsselung standardmäßig aktiviert und bietet zu anderen OMEMO-fähigen XMPP-Clients eine Ende-zu-Ende-Verschlüsselung, die eine vertrauliche Kommunikation sicherstellt. Für Anfänger ist der Einstieg in die XMPP-Welt etwas gewöhnungsbedürftig – das liegt insbesondere an der verteilten Serverinfrastruktur (Föderation), wie wir sie aus der E-Mail-Welt kennen. Wie bei einem E-Mail-Provider benötigt ihr zunächst ein neues (XMPP-)Konto bei einem Anbieter. Anbei ein paar XMPP-Server-Anbieter für Unentschlossene:

Hinweis: Um den Einstieg in Conversations / XMPP etwas zu erleichtern, gibt es eine hervorragende Anleitung. Etwas ausführlicher: Das Conversations Kompendium.

Matrix

Obwohl sehr viel jünger als XMPP lassen sich für Matrix in konzeptioneller Hinsicht die gleichen Vorzüge anführen. Aktuell einem eher zentralisierten Entwicklungsansatz folgend werden mit Synapse serverseitig und mit Element clientseitig »Referenz-Systeme« für das Matrix-Protokoll bereitgestellt, die im Vergleich zu XMPP eine gewisse Homogenität erzeugen, in der Vor- und Nachteile zugleich gesehen werden können. Ein konkreter Erfahrungsbericht aus Admin-Perspektive bietet der Beitrag »Matrix – Das XMPP für Hobby-Admins?«. Unterm Strich bekommen Nutzer mit Matrix/Element für alle gängigen Systeme eine freie, föderale Alternative zu WhatsApp, aber auch zu unfreien Kollaborations-Messengern wie Slack, inkl. Web-Client und Audio/Video-Telefonie.

Hinweis

Mit einem Matrix-kompatiblen Client könnt ihr dann auch gerne im Chat für Kuketz-Blog-Leser vorbeischauen und euch über Themen rund um den Blog austauschen.

Briar: Android [Profis | Investigative Journalisten | Aktivisten]

Dezentrale Kommunikation (Peer-to-Peer), Verschleierung jeglicher Metadaten, Ende-zu-Ende-Verschlüsselung und gefeit gegen (Internet-)Zensur – das ist Briar. Ein Messenger für all jene, die wissen, was sie tun.

Mobilfunkanbieter: Widerspruch gegen Erhebung von Bewegungsdaten

Alle Netzbetreiber in Deutschland sammeln und analysieren die Bewegungs-, Verkehrs- oder GEO-Daten genannten Informationen über die Bewegungen der eigenen Kunden. Eines der Ziele: Die Vermeidung von Überlastungen und Störungen durch die individuelle Anpassung / Ausbau in frequentierten Zonen.

Was viele Kunden allerdings nicht wissen: Zu sogenannten Marketingzwecken verkaufen Telefónica und die Telekom die (Kunden-)Daten in »anonymisierter« Form an Drittunternehmen weiter. Zu diesen Daten zählen unter anderem Alter, Aufenthaltsort und Geschlecht der Kunden.

Widerspruch bei Netzbetreibern

Telefónica (O2, Blau, Fonic, Simyo & Co.): Selbst entscheiden – Sie behalten die Kontrolle über Ihre Daten
Telekom (Congstar, Klarmobil & Co.): Opt-Out-Service

Widerspruch bei Anbietern/Resellern einrichten

Aldi Talk (Telefónica-Netz): Aldi-Talk-Kunden können der Erhebung von Bewegungsdaten über die Telefónica-Anleitung widersprechen.
simplytel (Telefónica-Netz): simplytel-Kunden sind vom Widerspruch ausgenommen, da ihre Daten nicht verwendet werden.

Hinweis

Vodafone sammelt ebenfalls Verkehrsdaten, nutzt diese aktuell wohl nur intern. Ein Opt-Out ist daher nicht möglich.

Bildquellen:

Map Location: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Nichts zu verbergen?

Oftmals hört man im Zusammenhang mit dem Thema Datenschutz / Privatsphäre bzw. (staatlicher) Überwachung das abgedroschene Argument »Ich habe doch nichts zu verbergen!«. Diese Aussage ist nicht nur relativ kurzsichtig, sondern auch gefährlich. Schon geschichtlich betrachtet sollte es eigentlich nicht notwendig sein, diese Aussage ständig widerlegen zu müssen. Wer diesen Satz von jemandem hört, der sollte dieser Meinung entschieden widersprechen und argumentieren, weshalb Privatsphäre ein Menschenrecht ist.

Edward Snowden ist ein Privatsphäre-Fürsprecher und sagt:

Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.

Es gibt weitere Argumente, die die Aussage »Ich habe doch nichts zu verbergen!« entlarven:

Wer nichts zu verbergen hat, braucht auch kein Bankgeheimnis
Wer nichts zu verbergen hat, braucht auch kein Anwaltsgeheimnis
Wer nichts zu verbergen hat, braucht auch kein Briefgeheimnis
Wer nichts zu verbergen hat, braucht auch kein Wahlgeheimnis
Wer nichts zu verbergen hat, braucht auch kein Beichtgeheimnis
Wer nichts zu verbergen hat, braucht auch keine ärztliche Schweigepflicht
Wer nichts zu verbergen hat, braucht auch keine Vorhänge
[…]

Und wer dann noch immer meint, er hätte »nichts zu verbergen«, den fragt ihr einfach mal nach seinem Smartphone, ob ihr darin mal ein paar Minuten herumstöbern dürft. Alternativ bietet sich auch ein kleiner Videoabend mit den folgenden Dokus an:

Made to Measure (August 2021)
US-Wahl 2020: Dunkle Machenschaften – Wie mit Daten die US-Wahlen beeinflusst werden (September 2020)
The Social Dilemma: Wie Google & Co. uns verkaufen (September 2020)
Unter Beobachtung: Wenn die Daten dich verraten (Juni 2019)
Überwacht – Sieben Milliarden im Visier (2019)
Der Fall Cambridge Analytica (26.02.2019)
Das überwachte Volk – Chinas Sozialkredit-System (2019)
Nothing to hide (2017)
Datenkrake Facebook: Das Milliardengeschäft mit der Privatsphäre [Video aktuell nicht verfügbar] (September 2017)
Berechenbar: Wie mächtig sind unsere digitalen Schatten? (Oktober 2016)
Democracy – Im Rausch der Daten (Oktober 2015)
Why privacy matters (Oktober 2014)

Bildquellen:

Security camera: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Weltweit nutzen Unternehmen, Nachrichtenseiten oder Blogs Newsletter, um ihre Kunden/Leser über aktuelle Entwicklungen auf dem Laufenden zu halten. Oftmals kommt hierbei der Anbieter Mailchimp zum Einsatz, obwohl die Vereinbarkeit mit der DSGVO höchst fragwürdig ist. Wer diese Rechtsunsicherheit gerne vermeiden möchte, der kann auf einen Anbieter aus Deutschland oder dem Europäischen Wirtschaftsraum (EWR) setzen, der die Voraussetzung mitbringt, einen datenschutzkonformen Betrieb (nach DSGVO) zu ermöglichen.

Versand über Dienstleister [Einsteiger]

JPBerlin: Das Schwesterunternehmen von mailbox.org bietet DSGVO-konforme Mailinglisten, die sich ebenfalls zum Versand von Newslettern eignen. JPBerlin hat seinen Sitz in Berlin (Deutschland) und ist schon seit Jahrzehnten ein zuverlässiger Dienstleister.
rapidmail: Der Anbieter rapidmail hat seinen Sitz in Freiburg (Deutschland) und konzentriert sich rein auf den Versand von E-Mail-Newslettern. Auch die Server zum Versand der Newsletter stehen in Deutschland. Insgesamt macht die Website von rapidmail, unter den vorgestellten Anbietern, den datenschutzfreundlichsten Eindruck – aber auch hier ist noch (eine Menge) Luft nach oben.
Cleverreach: Auch Cleverreach hat seinen Sitz in Deutschland und wirbt unter anderem mit einem datenschutzkonformen Newsletter-Versand. Wie auch die Mitbewerber bietet Cleverreach eine Möglichkeit, das Angebot bzw. die Dienstleistung kostenlos zu testen.
Inxmail: Nicht nur rapidmail hat seinen Sitz in Freiburg, sondern auch der Anbieter Inxmail ist dort ansässig. Laut Anbieter lässt sich die Software mit spezialisierten Systemen wie CRM-, Online-Shop- und Kampagnenmanagement-Tools vernetzen.

Neben den genannten Anbietern gibt es weitere aus Deutschland wie Mailjet oder Steady. Aber auch im EWR werden wir fündig: GetResponse (Polen), Moosend (Dänemark) und Brevo (Frankreich).

Self-Hosting [Fortgeschrittene]

Es muss nicht immer ein Dienstleister sein, der stellvertretend die E-Mail-Newsletter versendet. Für technisch versierte mag auch das Hosting eines Newsletter-Tools infrage kommen.

listmonk: Die quelloffene Lösung listmonk ermöglicht das Einsehen und Verbessern des Quellcodes auf der GitHub-Projektseite. Eigene Infrastruktur vorausgesetzt, lässt sich das Newsletter-Tool selbst hosten. Mehr Kontrolle über die Datenverarbeitung (bspw. E-Mail-Adressen) ist kaum erreichbar. Insgesamt die wohl datenschutzfreundlichste Lösung – die korrekte Administration und (Server-)Absicherung vorausgesetzt.

Newsletter: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Online-Bewertungstools

Viele Webseitenbetreiber oder auch Besucher fragen sich, wie »sicher« bzw. datenschutzfreundlich ein Internetauftritt ist. Das hängt natürlich von unterschiedlichen Faktoren ab. Erste Anhaltspunkte liefern Online-Bewertungstools, mit denen sich die Webserver oder auch E-Mail-Server auf Schwächen und Konfigurationsfehler prüfen lassen. Diese Tools eignen sich hervorragend, um einen ersten Eindruck von der Sicherheit bzw. dem Datenschutzniveau eines Dienstes zu erhalten – unter der Voraussetzung, die Ergebnisse auch richtig beurteilen zu können.

Keines der nachfolgenden Werkzeuge bietet allerdings eine ganzheitliche Sicht auf das Sicherheitsniveau eines Servers. Viele Aspekte können nur dann getestet werden, wenn ein direkter Zugriff auf den Server besteht, um bspw. die Konfigurationsdateien einzusehen. Insgesamt sind die Möglichkeiten, die Sicherheit bzw. das Datenschutzniveau einer Webseite und insbesondere eines Webservers zu beurteilen, auf öffentlich einsehbare Informationen beschränkt.

Sicherheit

Observatory by Mozilla: Observatory von Mozilla überprüft unter anderem, ob Inhalte mittels Transport Layer Security (TLS) ausgeliefert werden und ob HTTP Public Key Pinning konfiguriert ist. Weitere Tests prüfen die Content Security Policy (CSP), Referrer-Policy und ob die Integrität von extern eingebunden JavaScripten via Subresource Integrity sichergestellt wird.
Qualys SSL Labs: SSL Lab prüft die TLS-Konfiguration und das ausgelieferte Zertifikat eines Webservers auf Herz und Nieren. Der Scanner überprüft unter anderem die unterstützten Cipher-Suiten (PFS, AEAD), führt eine Handshake-Simulation durch und prüft auf (aktuelle) Bedrohungen wie Ticketbleed, Heartbleed oder BEAST.
Hardenize: Hardenize prüft nicht nur Webserver auf sicherheitsrelevante Einstellungen, sondern auch die Konfiguration von E-Mail-Servern und die DNS-Records (DNS, DNSSEC, CAA). Bei E-Mail-Servern prüft Hardenize unter anderem auf Sicherheitsfunktionen wie DANE, SPF, DMARC und MTA-STS. Ähnlich wie Observatory umfasst der Prüfkatalog ebenfalls sicherheitsrelevante Einstellungen des Webservers (TLS, Cookies, HSTS, CSP etc.).
TaSK: vom BSI ist ein konfigurierbares Testwerkzeug zur Durchführung von TLS-Konformitätstests auf Basis der technischen Richtlinie TR-03116-TS. Der Quellcode ist auf GitHub verfügbar. Online ist das Tool auf der Website TLS Checklist Inspector verfügbar.
Security Headers: Security Headers beschränkt sich auf die Prüfung von Security-Headern, wie Strict-Transport-Security (HSTS), X-Frame-Options, Expect-CT, Report-To oder Content Security Policy (CSP).
CryptCheck: CryptCheck prüft die TLS-Einstellungen und die angebotenen Cipher-Suiten von Web-, E-Mail- und XMPP-Servern.
My Email Communications Security Assessment (MECSA): MECSA bewertet die Sicherheit der E-Mail-Kommunikation bzw. des eigenen Anbieters. Es werden Sicherheitsmechanismen wie SPF, DKIM, DMARC, DANE etc. geprüft.

Datenschutz

Webbkoll: Webbkoll simuliert, was im »Hintergrund« passiert, wenn ihr eine Webseite in eurem Browser aufruft. Die Stärke von Webbkoll liegt in der transparenten Darstellung, welche Ressourcen wie JavaScript, Cookies und/oder Schriftarten von Drittquellen (Google, Facebook etc.) in den Kontext einer Webseite eingebunden werden. Darüber hinaus prüft Webbkoll den Webserver unter anderem auf Security-Header wie HSTS, Content Security Policy (CSP) und Referrer-Policy.
PrivacyScore: PrivacyScore prüft nicht nur sicherheitsrelevante Parameter, sondern auch, wie datenschutzfreundlich eine Webseite ist. PrivacyScore erkennt Analyse- und Werbedienste, eingebettete Ressourcen von Drittseiten und die Verwendung von Content Distribution Networks (CDN), die ebenfalls eine Gefahr für die Sicherheit und Privatheit darstellen können.

List: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

OSINT-Tools

Unter dem Begriff Open Source Intelligence (OSINT) versteht man die Gewinnung von Informationen aus frei verfügbaren/offenen Quellen. Mithilfe von OSINT-Tools lässt sich die Informationsgewinnung automatisieren, indem unterschiedliche Datenquellen abgefragt und aufbereitet werden. Damit lassen sich bspw. verdächtige IP-Adressen analysieren, schädliche E-Mail-Anhänge überprüfen oder Daten im Darknet aufspüren. Die Tools lassen sich aber auch für persönliche Zwecke nutzen: Man kann sich damit einen Eindruck davon verschaffen, wie groß der eigene digitale Fußabdruck ist bzw. welche (öffentlichen) Spuren man im Internet hinterlässt.

Malware-Analyse

FileScan.IO: Bis zu 100 MByte große Dateien können bei FileScan.IO hochgeladen werden. Anschließend wird eine automatisierte Analyse durchgeführt, die eine Einschätzung liefert, ob schädliches Verhalten vorliegt. Zusätzlich zur Analyse kontaktiert der Dienst den Meta-Virenscanner VirusTotal, an den über 60 Virenscanner angeschlossen sind. Zu VirusTotal sollte man wissen: Bei der Nutzung gibt man die Vertraulichkeit der hochgeladenen Dateien auf und macht diese praktisch öffentlich verfügbar. Dieser Datenweitergabe an Dritte (bspw. Antivirus-Unternehmen) stimmt man mit den Nutzungsbedingungen auch explizit zu.
any.run: Während die meisten Online-Services die (hochgeladene) Schadsoftware automatisiert prüfen, hat man bei any.run Zugriff auf eine virtuelle Maschine und kann damit nicht nur den Netzwerkverkehr analysieren, sondern ebenfalls Dateizugriffe (bspw. Systemdateien) protokollieren. Nach der Registrierung hat man mit einem Free-Account 60 Sekunden Zugriff auf eine virtuelle Maschine – das ist sehr kurz, aber könnte bereits wichtige Anhaltspunkte liefern. Für weitere Funktionen und ein größeres Analysezeitfenster werden unterschiedliche kostenpflichtige Upgrades angeboten.

Domain- und IP-Info

ipinfo.io: Über ipinfo.io können allgemeinere Informationen zu einer IP-Adresse abfragt werden. Neben whois-Informationen wird auch der ungefähre (Geo-)Standort ausgegeben oder Domains aufgelistet, die über die IP-Adresse erreichbar sind bzw. dort gehostet werden. Außerdem verrät ipinfo.io, ob eine IP-Adresse zu einem VPN-Provider, dem Tor-Netzwerk oder einem Hoster gehört.
DNSViz: Mit DNSViz lässt sich der Status einer DNS-Zone visualisieren. Es bietet eine visuelle Analyse der DNSSEC-Authentifizierungskette für eine Domain und seinen Auflösungspfad im DNS-Namensraum. Ferner listet das Tool erkannte Konfigurationsfehler auf.
AbuseIPDB: AbuseIPDB ist eine gigantische (Online-)Datenbank, über die man Informationen zu IP-Adressen oder Domains abfragen kann. Angezeigt wird bspw., ob eine Domain aktuell oder in der Vergangenheit Schadsoftware verbreitet hat oder zum Spamming missbraucht wurde. Über die Kommentare kann jeder einsehen, woher die jeweiligen Meldungen stammen, die größtenteils von den Nutzern des Dienstes eingesendet werden.
X-Force Exchange (IBM): Der Online-Dienst X-Force Exchange von IBM bietet Informationen und eine Risikoeinschätzung zu Domains, IP-Adressen und Web-URLs. Unter anderem kann man herausfinden, ob eine Domain/IP-Adresse in der Vergangenheit als Absender für Spam- oder schädliche E-Mails aufgefallen ist.

E-Mail

MXToolBox: Die Website MXToolBox ermöglicht die Analyse von E-Mail-Servern bzw. Domains. Unter anderem können DMARC- oder SPF-Richtlinien für eine E-Mail-Domain geprüft werden. Ferner kann festgestellt werden, ob die (eigene) E-Mail-Domain auf einer (Spam-)Blacklist vertreten ist bzw. war.

Schwachstellen-Suchmaschine

Shodan: Shodan ist eine Suchmaschine bzw. riesige Datenbank, mit der sich alle möglichen Geräte/Systeme aufspüren lassen, die mit dem Internet verbunden sind. Angefangen beim heimischen Router über Webcams bis hin zu Ampelsteuerungen oder SCADA-Systemen lässt sich so ziemlich alles finden, was eine Netzwerkadresse besitzt. Das funktioniert so: Shodan scannt regelmäßig das komplette Internet und überprüft dabei, ob IP-Adressen/Systeme auf gängigen Ports antworten. Alle Ergebnisse werden dann in einer Datenbank festgehalten, die man durchsuchen kann. Im Beitrag »Shodan: Suchmaschine für das »Internet of Shit«« wird die Nutzung/Anwendung des Online-Dienstes erklärt.
Censys: Censys funktioniert ähnlich wie Shodan und kann ebenso dazu verwendet werden, (verwundbare) Systeme im Internet aufzuspüren. Censys bietet allerdings eine interessante Funktion: Geräte/Systeme können nach spezifischen Sicherheitsschwachstellen (bspw. Heartbleed) aufgelistet werden.

Informationsgewinnung (Lokale Tools)

Neben reinen Online-Diensten gibt es auch OSINT-Tools, die lokal über einen Rechner ausgeführt werden müssen. Für solche Zwecke eignet sich insbesondere die Linux-Distribution Kali, die viele OSINT-Tools bereits mitbringt.

Spiderfoot: Mit Spiderfoot lässt sich die Informationsgewinnung automatisieren, indem unterschiedliche Datenquellen abgefragt und aufbereitet werden. SpiderFoot kann aus über 200 Quellen (Module) Informationen extrahieren. Zu den Quellen zählen bspw. Archive.org, BGPView, Google, Open Bug Bounty, Shodan und Whois. Im Beitrag »Spiderfoot: OSINT-Tool (Open Source Intelligence) zur Analyse und Aufklärung« wird die Nutzung/Anwendung des Tools erklärt.
Maltego: Ein quelloffenes grafisches Link-Analyse-Tool zum Sammeln und Verbinden von OSINT.
theHarvester: Einfach zu bedienendes, aber dennoch leistungsstarkes und effektives Tool, das für die frühe Phase eines Penetrationstests eingesetzt wird.
Maryam: Ein modulares Open-Source-Framework, das auf OSINT und Datenerfassung basiert.
OWASP Amass: Hilft bei der Kartierung von Angriffsflächen im Netzwerk und bei der Erkennung externer Ressourcen mithilfe von frei verfügbaren Informationsquellen.

Schwachstellen-Infos

CVE Details: CVE Details liefert nicht nur Informationen zu Schwachstellen, sondern auch über dazu passende Exploits bzw. Angriffscode, der bereits im Internet kursiert. Auf Basis des Common Vulnerability Scoring Systems (CVSS) werden Schwachstellen nach ihrem Schweregrad bewertet und lassen sich nach verschiedenen Kriterien (Aktualität, Risikobewertung etc.) anzeigen. Über die Suchmaske kann man entweder direkt nach CVE-Nummern oder einer Software/Produkt/Hersteller suchen.
Vulmon: Die Online-Datenbank Vulmon liefert umfassende und übersichtlich aufbereitete Informationen über Sicherheitslücken, die sich nach Aktualität, Risikobewertung oder Relevanz sortieren lassen. Weitere bzw. tiefergehende Informationen zu den Schwachstellen sind entsprechend verlinkt. In der Ansicht Trends werden Schwachstellen bzw. ihre aktuelle Relevanz in einem Diagramm dargestellt.

Weitere OSINT-Tools

Die Websiten OSINT Tools und OSINT Framework bieten eine Übersicht mit verschiedenen weiteren Diensten/Tools.

Bildquellen:

Detective: max icons from www.flaticon.com is licensed by CC 3.0 BY

Passwort-Manager

Unsichere oder mehrfach verwendete Passwörter sind oftmals ein Einfallstor für Datenmissbrauch und -diebstahl. Daher ist es ratsam, für jeden Online-Dienst ein unterschiedliches Passwort zu verwenden. Gleichzeitig gilt allerdings auch, dass Passwörter komplex, ausreichend lang und insbesondere zufällig sein sollten, um einen Schutz zu bieten. In der Praxis stoßen wir hier unweigerlich auf ein Problem: Wer soll sich diese Passwörter alle merken? Bei durchschnittlich über 20 Online-Accounts, die jeder von uns besitzt, ist das nicht zu schaffen. Daher ist es sinnvoll, einen Passwort-Manager zu verwenden, der uns diese Aufgabe abnimmt.

Passwort-Manager verwalten bzw. speichern die verschiedenen Passwörter zu den Online-Accounts in einer verschlüsselten Datenbank. Über ein sogenanntes Master-Passwort wird der Zugang zu dieser Datenbank geschützt. Nach der Eingabe des korrekten Master-Passworts hat man Zugriff auf alle gespeicherten Passwörter – vor diesem Hintergrund ist es essentiell, ein Master-Passwort zu wählen, das wirklich »sicher« ist. Mit dem Diceware-Verfahren (erklärt ab Ziffer 5.) könnt ihr euch ein solches Passwort bzw. Passphrase »würfeln«. Der Vorteil dieses Verfahrens liegt auf der Hand: Ihr erhaltet nicht nur ein sicheres Passwort, sondern auch eines, das ihr euch merken könnt.

Hinweis

Ein Passwort-Manager sollte nach meiner Auffassung quelloffen sein, die Passwörter lokal speichern und aktiv weiterentwickelt werden. Von Lösungen, die eure Passwörter in irgendwelchen Clouds ablegen bzw. deren Quellcode nicht einsehbar ist, solltet ihr Abstand nehmen. Sensible Passwörter gehören nicht in fremde Hände, wie uns schwerwiegende Sicherheitslücken bei bekannten Anbietern (LastPass Hack, LastPass Security Incident, OneLogin Hack, 1Password Datenleak) immer wieder vor Augen führen. So viele sensible Daten an einem Ort locken unweigerlich böswillige Angreifer an, die sich darauf Zugang verschaffen wollen.

Passwörter verwalten [Einsteiger]

KeePassXC ist ein quelloffener Passwort-Manager, der für alle gängigen Desktop-Systeme angeboten wird. Das hat den Vorteil, dass ihr eure Passwort-Datenbank auf ein anderes System übertragen und dort wie gewohnt mit KeePassXC arbeiten könnt. Nach der Installation von KeePassXC solltet ihr folgende Schritte befolgen:

Master-Passwort: Erstellt euch mit dem Diceware-Verfahren ein »sicheres« Master-Passwort, mit dem ihr den Zugang zu euren Passwörtern bzw. der Datenbank absichert.
Accounts einpflegen: Für jeden eurer Online-Accounts erstellt ihr innerhalb KeePassXC einen neuen Eintrag. Nutzt dabei den integrierten Passwort-Generator, um euch zufällige und möglichst lange Passwörter zu erstellen. Als Faustregel gilt: Als Länge für euer Passwort nehmt ihr immer die maximal erlaubte Zeichenzahl, die ein Online-Dienst zulässt.
Backup anlegen: Legt euch regelmäßig ein Backup von eurer Passwort-Datenbank an. Sollte euch die Datenbank verloren gehen, müsst ihr alle eure Passwörter zurücksetzen – je nach Anzahl eurer Accounts ist dies mit einem erheblichen Aufwand verbunden.

Mit KeePass DX für Android oder KeePassium für iOS könnt ihr eure KeePassXC-Datenbank ebenfalls auf euren mobilen Endgeräten benutzen. Ihr solltet euch allerdings gut überlegen, ob ihr all eure Passwörter ständig mit dabei haben müsst / wollt. Gerade mobile Endgeräte eignen sich nicht unbedingt für die Ablage sensibler Informationen.

Mein Tipp: Speichert in der mobilen Passwort-Datenbank nur jene Passwörter, die ihr auch unterwegs benötigt. Alle anderen lasst ihr einfach weg bzw. speichert diese nur auf eurem Rechner zu Hause. Zusätzlich solltet ihr ein zweites Diceware-Passwort anlegen, mit dem ihr eure mobile Datenbank vor unautorisiertem Zugriff schützt.

Hinweis

Insbesondere Anwender, die wenig technikaffin sind, tun sich mit dem Umstieg auf einen Passwort-Manager oft schwer. Wer damit partout nicht zurechtkommt, der nimmt sich ein Notizbuch und verwaltet darüber seine Online-Zugänge inkl. Passwörter. Diese Lösung ist natürlich mit diversen Nachteilen verbunden – insgesamt ist das allerdings allemal besser als ein einfaches Passwort, das bei jedem Account zum Einsatz kommt.

Passwörter synchronisieren [Fortgeschrittene]

Zur Verwaltung von Passwörtern, PINs und anderen sensiblen Informationen ist KeePassXC ein praktisches Tool. Allerdings fehlt einigen Anwendern eine Funktion, die gespeicherten Daten zwischen mehreren Systemen abzugleichen. Abhilfe schaffen hier Lösungen wie NextCloud, WebDAV, Syncthing und vergleichbare Anwendungen bzw. Dienstleister. Wer seine Passwort-Datenbank unbedingt zwischen unterschiedlichen Geräten synchronisieren möchte, der sollte allerdings durch die Verwendung einer Schlüsseldatei für mehr Sicherheit sorgen.

Eine solche Schlüsseldatei (engl. Keyfile) kann entweder bei der Erstellung einer neuen Passwort-Datenbank oder auch nachträglich in KeePassXC angelegt werden. Diese Schlüsseldatei verbleibt lokal auf jenen Geräten, die die Passwort-Datenbank öffnen dürfen und wird nicht in einer »Cloud« abgelegt. Sollte ein Angreifer irgendwie an eure Passwort-Datenbank herankommen, dann muss er nicht nur das korrekte Master-Passwort kennen, um all eure Passwörter einsehen zu können, sondern er müsste zusätzlich in den Besitz der Schlüsseldatei gelangen. Nur die Kombination aus dem korrekten Master-Passwort und der dazu passenden Schlüsseldatei ermöglicht letztendlich den Zugriff auf eure Passwörter.

Für Teams [Profis]

Wer an einem gemeinsamen Projekt arbeitet, der teilt sich Zugangsdaten zu bestimmten Online-Konten auch mal mit seinen Kollegen. Für diesen Zweck bietet Bitwarden eine Open-Source-Lösung an, die in der eigenen Infrastruktur gehostet werden kann. Der Betrieb einer solchen Online-Lösung, auf die mehrere Anwender Zugriff haben, erfordert allerdings ein hohes Maß an Verantwortung vom Betreiber. Bevor ihr also in Erwägung zieht, einen eigenen Bitwarden-Server für euch oder ein Team bereitzustellen, solltet ihr euch Gedanken machen, ob ihr die dafür notwendigen Voraussetzungen, wie grundlegende Kenntnisse in der Härtung eines Server-Systems, mitbringt.

Wer Bitwarden selbst hostet, der sollte übrigens auch unbedingt die »Schwächen« der Lösung beachten. Mit einer angepassten Content-Security-Policy für das Web-Interface und deaktiviertem Tracking in den mobilen Apps ist Bitwarden für die Passwort-Verwaltung von Teams tragbar. Übrigens: Datenschutzsensible Nutzer können die Android-App auch über F-Droid beziehen – in einem GitHub-Beitrag sind zwei Quellen angegeben.

Bildquellen:

Key: Pixel Buddha from www.flaticon.com is licensed by CC 3.0 BY

Petition einreichen

In Deutschland hat jeder das Recht, sein Anliegen in Form einer Bitte, Beschwerde oder eines Vorschlages bei einer zuständigen Stelle bzw. Volksvertretung einzureichen. Jemand, der von diesem Recht Gebrauch macht, wird als Petent bezeichnet. Deshalb wird eine eingereichte Bitte bzw. Beschwerde auch Petition genannt. Das Wort Petition hat seinen Ursprung im Lateinischen, »petere« bedeutet verlangen, (er)bitten.

Für das Einreichen von Petitionen solltet ihr die Plattform des jeweiligen Bundeslandes oder des Bundes nutzen. Wer bspw. auf privaten Petitionsplattformen wie change.org veröffentlicht, der erzielt höchstens mediales Echo. Im Landtag oder Bund findet eine solche Petition allerdings kaum/keine Beachtung. Auch hinsichtlich des Datenschutzes ist von Plattformen wie change.org (dringend) abzuraten, da die Websites oftmals nicht datenschutzkonform gestaltet sind und den Nutzer bspw. tracken bzw. Daten ungefragt an Dritte übermitteln. Ebenso bedenklich ist die Speicherung/Auswertung politischer Meinungsdaten Millionen deutscher Nutzer auf US-Servern.

Die korrekten Adressaten für Petitionen sind:

Bundestag: Meine Petition einreichen
Baden-Württemberg (Landtag): Petitionen | Online-Petition
Bayern (Landtag): Petition einreichen | Online-Petition
Hessen (Landtag): Was ist beim Online-Formular zu beachten? | Online-Petition
usw.

Einreichung per Brief

Wer es lieber analog mag: Petitionen können auch per Brief bei der zuständigen Stelle/Behörde eingereicht werden.

Petition: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Remote-Control

Mit Fernwartungstools wie TeamViewer oder AnyDesk können Admins/ITler über Distanz auf PCs zugreifen und Anwendern bei Problemen/Fragen helfen. Insbesondere im Familien- oder Freundeskreis sind diese Tools weit verbreitet und kommen häufig zum Einsatz, um Reparatur- oder Wartungsarbeiten durchzuführen. Mit der Verwendung dieser Tools geht allerdings ein großes Vertrauen einher, das man dem Hersteller/Dienstleister entgegenbringen muss – insbesondere bei proprietären Lösungen wie TeamViewer. Es gibt allerdings auch Lösungen, die datenschutzfreundlich, transparent und mindestens genauso benutzerfreundlich sind.

Screen-Sharing [Einsteiger]

Die Nutzung eines Fernwartungstools erfordert meist die Installation/Ausführung einer Software. Oftmals genügt es allerdings, die Screen-Sharing-Funktion einer Videokonferenzlösung wie Jitsi Meet oder BigBlueButton zu verwenden. Das hat den Vorteil, dass der Hilfesuchende selbst klicken/tippen muss und dabei im Idealfall noch etwas lernt. Man kann ihm dann als Ratgeber zu Seite stehen und die erforderlichen Schritte gemeinsam umsetzen.

Remote-Control [Fortgeschrittene]

Wenn die Screen-Sharing-Funktion an ihre Grenzen stößt und bspw. größere Reparatur- oder Wartungsarbeiten anstehen, dann ist eine Remote-Control-Software meist sinnvoller. Das quelloffene Tool Remotely funktioniert in Kombination mit Windows und diversen Linux-Derivaten. Der Hilfesuchende muss lediglich die für sein Betriebssystem passende Client-Software herunterladen, starten und eine neunstellige Session-ID an den Helfer übermitteln. Dieser kann sich anschließend über ein Web-Frontend mit dem Rechner verbinden und die Steuerung/Kontrolle übernehmen. Remotely bzw. das Web-Frontend kann auf einem eigenen Server (Windows / Ubuntu) installiert werden.

Bildquellen:

Remote Control: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Soziale Netzwerke: Datenschutzfreundliche Web-Frontends/Apps

Soziale Netzwerke wie Twitter/X, Instagram, Facebook, YouTube und Co. sollte man eigentlich meiden. Jedenfalls dann, wenn einem Datenschutz und ein freies/offenes Internet am Herzen liegt. Wer auf die Inhalte dieser Plattformen gelegentlich dennoch zugreifen möchte, der kann dies zumindest datenschutzfreundlich tun. Für einige der Plattformen existieren Web-Frontends bzw. Apps, die einen möglichst datensparsamen Besuch ermöglichen.

Wer auf soziale Netzwerke nicht verzichten möchte und seine Privatsphäre und Selbstbestimmung behalten möchte, der kommt ins Fediverse. Das Fediverse ist ein dezentrales Kommunikationsnetz, ähnlich aufgebaut wie die E-Mail-Infrastruktur. Ein Teil dieses Fediverse ist Mastodon, auf dem auch der Kuketz-Blog aktiv ist.

Web-Frontends für den Browser

Die nachfolgenden Web-Frontends sind nicht für die Interaktion bzw. aktive Teilnahme auf den Plattformen konzipiert. Sie sind lediglich eine Art Notfalllösung, um möglichst datenschutzfreundlich die Inhalte dieser geschlossen und proprietären Plattformen abzurufen:

Twitter/X -> Nitter: Mit Nitter lassen sich Twitter/X-Posts bzw. Diskussionen sogar mit deaktiviertem JavaScript verfolgen. Wählt einfach eine Nitter-Instanz aus und legt los.
Reddit -> Teddit/Libreddit: Die Plattform Reddit lässt sich auch über Teddit oder Libreddit verfolgen. Einfach loslegen: Teddit-Instanzen / Libreddit-Instanzen.
YouTube -> Piped/Invidious: YouTube-Videos kann man datenschutzfreundlich über Piped oder Invidious konsumieren. Eine ausführliche Anleitung und mehr Hintergrundwissen dazu gibt es hier in der Empfehlungsecke.
TikTok -> ProxiTok: Über ProxiTok lassen sich TikTok-Videos auch ohne Anmeldung/Konto anschauen. Wählt einfach eine ProxiTok-Instanz aus und legt los.
Google Translate -> Lingva: Lingva ist ein quelloffenes, alternatives Frontend für Google Translate. Einfach loslegen: Lingva-Instanzen.
Medium -> Scribe: Scribe ist ein quelloffenes, alternatives Frontend für die Publisher-Plattform Medium.com. Einfach loslegen:

To view a Medium post simply replace medium.com with scribe.rip

If the URL is: medium.com/@user/my-post-09a6af907a2 change it to scribe.rip/@user/my-post-09a6af907a2

Apps für Android

LibreTube/NewPipe (YouTube): Die Pendants zu Piped bzw. Invidious auf der Android-Plattform nennen sich LibreTube und NewPipe. Im Gegensatz zur originalen You-Tube-App kommen beide Apps mit einer Handvoll Berechtigungen aus und sind unter anderem auch in der Lage, Werbung zu filtern.
Barinsta (Instagram): Ein Instagram-Client, der ebenfalls eine Nutzung des Dienstes ermöglicht. Über F-Droid lässt sich Barinsta herunterladen und installieren. Wie bei F-Droid üblich ist der Quellcode der verfügbaren Apps einsehbar – so auch bei Barinsta auf GitHub.
Stealth (Reddit): Mit Stealth aus dem F-Droid-Store kann man Diskussionen ohne Reddit-Account verfolgen und auch abonnieren.
SlimSocial (Facebook): Die Android-App SlimSocial ermöglicht die Nutzung von Facebook. Im Gegensatz zur originalen Facebook-App verzichtet die App auf invasive Berechtigungen, die eine dauerhafte Überwachung des Nutzers über sein Smartphone ermöglicht.

Automatische Weiterleitung

Die Weiterleitung auf die datenschutzfreundlichen Web-Frontends lässt sich über entsprechende Browser-Add-ons/Apps ebenfalls automatisieren:

Browser-Add-on: Das Add-on LibRedirect leitet automatisch zu Nitter, Invidious, FreeTube etc. um. Es steht für Firefox und Chrome zur Verfügung.
Android: Über den F-Droid-Store können Android-Nutzer die App UntrackMe installieren. Es wandelt Links zu Twitter/X, YouTube und Instagram automatisch um und leitet euch zu den datenschutzfreundlichen Varianten der Dienste.

Bildquellen:

Social Networks: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Suchmaschinen

Als Alternative zur Suchmaschine Google wird häufig DuckDuckGo genannt. Doch wieso soll man plötzlich einem Anbieter vertrauen, dessen Sitz in den USA ist und wie alle dort ansässigen Unternehmen dem Patriot Act unterliegen? DuckDuckGo ist generell verpflichtet, mit Behörden wie dem FBI, NSA und CIA zusammenzuarbeiten. Es gibt genügend Alternativen, denen ihr vermutlich eher vertrauen könnt als DuckDuckGo.

Neben meinen nachfolgenden Empfehlungen existieren noch weitere Suchmaschinen, die Wert auf Privatsphäre legen. Doch trotz allem sollten wir eines nicht vergessen: Wie gut die Suchergebnisse tatsächlich sind, lässt sich schwierig messen. Wir können zwar immer Google als Maßstab nehmen, doch wer sagt uns eigentlich, dass die Suchergebnisse von Google »gut« sind? Letztendlich ist es eine subjektive Entscheidung, welcher Suchmaschine ihr den Vorzug gebt. Genügend Auswahl an datenschutzfreundlichen Suchmaschinen ist jedenfalls vorhanden.

Standard [Einsteiger | Wechselwillige]

MetaGer: Hinter der Suchmaschine steckt der gemeinnützige Verein SUMA-EV. Euer Suchwort wird gleichzeitig an ca. 20 – 30 Suchmaschinen weitergereicht und die Ergebnisse anschließend dargestellt. Ebenso wie Startpage und Qwant verzichtet MetaGer nach eigenen Angaben auf die Sammlung und Speicherung von personenbeziehbaren Daten. Bonus: MetaGer ist direkt als Hidden Service aus dem Tor-Netzwerk erreichbar. Insgesamt die wohl datenschutzfreundlichste (Meta-)Suchmaschine.
Startpage: Die Suchmaschine leitet eure Suchanfragen an Google weiter und spielt sozusagen den Vermittler – mit dem Vorteil, dass ihr gegenüber Google »anonym« bleibt. Sobald ihr beginnt, mit Startpage zu suchen, sind eure Suchergebnisse nicht mehr durch Google personalisiert. Stellt euch also auf Ergebnisse ein, die »neutral« sind. Ihr entkommt damit also auch ein Stück weit eurer eigenen Filterblase.
Qwant: Ähnlich wie Startpage liefert auch Qwant keine personalisierten Suchergebnisse – die Suchergebnisse sind für alle gleich. Im Gegensatz zu Startpage und MetaGer basieren die Suchergebnisse meist auf den Qwant-Datensätzen und werden noch mit den Ergebnissen von Bing verknüpft. Die Server befinden sich in der Europäischen Union.

SearXNG [Fortgeschrittene | Profis]

SearXNG: Die Meta-Suchmaschine (GNU Affero General Public License) eignet sich zum Selbsthosten und ist damit garantiert tracking- und werbefrei. Alternativ könnt ihr auch eine bestehende Instanz wählen, die Vereine oder Privatpersonen bereitstellen – zum Teil auch als Hidden Service via Tor. SearXNG kann bis zu 70 unterschiedliche Suchmaschinen bzw. Informationsquellen »anzapfen«. Zu den bekanntesten zählen Bing, Google, Reddit, DuckDuckGo, Startpage, Wikipedia, Yahoo und Yandex. Empfehlenswert ist die SearXNG-Instanz Gruble.

Suchmaschine für Kinder

Suchmaschinen für Kinder sollen Kindern die Gelegenheit geben, eine eigene Medienkompetenz aufzubauen und dabei helfen, das Internet »sicher« zu erkunden. Für Kinder ungeeignete Inhalte wie Pornografie, Gewalt und Glücksspiel werden von Suchmaschinen für Kinder in der Regel gefiltert. Natürlich bieten diese Suchmaschinen keinen Komplettschutz – daher sollte stets ein Erwachsener dabei sein. Aus Datenschutzsicht sollten Suchmaschinen gemieden werden, die Kinder durch Drittanbieter tracken lassen oder die Suchanfragen bspw. direkt an Google übermitteln. Suchmaschinen wie fragFINN.de oder Helles Köpfchen sind für Kinder daher nicht empfehlenswert. Leider bindet fragFINN.de zusätzlich einen Consent-Banner ein. Nach einer Einwilligung werden Kinder mit Google Analytics getrackt, das von diversen Aufsichtsbehörden als rechtswidrig eingestuft wird.

Blinde Kuh: Blinde-Kuh.de durchsucht, sammelt und verlinkt Seiten, die für Kinder geeignet sind. Zusätzlich sind die Suchergebnisse redaktionell aufbereitet. Kinder werden weder getrackt noch werden die Suchanfragen an Drittunternehmen weitergeleitet. Laut Datenschutzerklärung werden Suchanfragen protokolliert bzw. gespeichert – die Informationen sollen allerdings nicht auf einzelne Personen zurückzuführen sein. Die Suchmaschine richtet sich an Kinder im Alter von 6 bis 14 Jahren.

Bildquellen:

Search: Vectors Market from www.flaticon.com is licensed by CC 3.0 BY

Thunderbird

Die Verwaltung der E-Mail-Kommunikation ist über einen lokalen Client nicht nur komfortabler, sondern auch sicherer als der Zugriff über das Webinterface beim Anbieter. Für den E-Mail-Client Thunderbird von Mozilla gibt es Add-ons und Einstellungen, mit denen sich die Sicherheit und Privatsphäre weiter verbessern lässt. Seit der Version 78 von Thunderbird ist Enigmail (Verschlüsseln / Signieren von E-Mails) als auch Lightning (Verwaltung von Kalender und Aufgaben) fester Bestandteil des E-Mail-Clients und müssen nicht separat installiert werden.

Empfehlenswerte Add-ons [Einsteiger]

Allow HTML Temp: E-Mails lassen sich mit einem Klick als »Original- oder Simple-HTML« anzeigen. Ihr solltet das Add-on auf die Darstellung von »Simple HTML« einstellen. Nachdem ihr die E-Mail gelesen habt, wird wieder in den ursprünglich gewählten Anzeigemodus gewechselt – dieser sollte bei Thunderbird idealerweise »Plain Text« sein.
CardBook: Ermöglicht die Verwaltung von Kontakten, die anschließend via CardDAV-Protokoll mit anderen Geräten synchronisiert werden können. Seit Version 102 unterstützt Thunderbird ebenfalls die Synchronisation von Kontakten – das Add-on ist in diesem Fall nicht mehr notwendig.
Lightning (ab Version 78 fest integriert): Verwaltung von (externen) Kalendern, Aufgaben und Terminen. Über das CalDAV-Protokoll lassen sich Kalender etc. mit weiteren Geräten synchronisieren.

Hinweis

Zur Synchronisation von Kontakten, Kalendereinträgen etc. stehen euch zwei Möglichkeiten offen:

Dienstleister: Sofern bspw. euer E-Mail-Anbieter das Card- bzw. CalDAV-Protokoll unterstützt, könnt ihr Kalender, Kontakte etc. über Geräte hinweg synchronisieren.
Self-Hosting: In Kombination mit Radicale, Nextcloud oder einer vergleichbaren Lösung könnt ihr eure Daten ebenfalls über mehrere Geräte synchronisieren, behaltet dabei allerdings die Hoheit und Kontrolle über euer Adressbuch bzw. Kalender.

Empfehlenswerte Add-ons [Fortgeschrittene]

DKIM Verifier: Überprüft die DKIM-Signaturen von E-Mails und zeigt das Ergebnis in der Kopfzeile von Thunderbird an.
Enigmail (ab Version 78 fest integriert): Verschlüsseln und Signieren von E-Mails mit OpenPGP auf Basis von GnuPG (ab Thunderbird 78 mit RNP-Bibliothek). Hinweis: Web Key Directory: Enigmail verrät IP-Adresse an Empfänger

Empfehlenswerte Einstellungen [Anfänger]

Standardmäßig stellt Thunderbird E-Mails im HTML-Format dar. Grundsätzlich halte ich es für empfehlenswert, E-Mails lediglich als Text bzw. »Plain Text« anzuzeigen. In HTML-E-Mails lauern oftmals Tracking-Wanzen oder Phishing-Links, auf die man schnell unüberlegt draufklickt. Sollte eine HTML-E-Mail in reiner Textform überhaupt nicht lesbar sein, habt ihr die Möglichkeit diese temporär mit dem Add-on »Allow HTML Temp« anzuzeigen.

Damit E-Mails ausschließlich in Textform dargestellt werden, öffnet ihr den Menüpunkt Ansicht -> Nachrichteninhalt und stellt die Auswahl auf Reiner Text (engl. Plain Text).

Empfehlenswerte Einstellungen [Fortgeschrittene]

Weitere Einstellungen zur Verbesserung der Sicherheit und Privatsphäre von Thunderbird hat bereits das Privacy-Handbuch zusammengetragen.

Übermittlungssperre beim Melderegister

Das Melderegister ist ein amtliches Verzeichnis, in dem der ständige bzw. vorübergehende Aufenthalt einer Person erfasst ist. Unter anderem sind in diesem Register folgende Daten von euch gespeichert:

Name und Vorname
Geburtstag und Geschlecht
Staatsangehörigkeit
Zugehörigkeit zu einer Religionsgemeinschaft
aktuelle Anschrift
Familienstand
Eltern von minderjährigen Kindern
[…]

Was viele nicht wissen: Gewisse Zielgruppen wie Parteien, Religionsgesellschaften, Bundeswehr aber auch Adressbuchverlage haben das Recht diese Daten beim Melderegister anzufragen. Gegen diese Anfragen könnt ihr gemäß § 50 Abs. 5 und § 36 Bundesmeldegesetz eine Übermittlungssperre beim zuständigen Melderegister beantragen. Ist diese Übermittlungssperre einmal eingerichtet, gilt diese in der Regel unbefristet.

Einrichtung einer Übermittlungssperre

Für die Einrichtung einer Übermittlungssperre existiert kein einheitliches Vorgehen bzw. Musterschreiben der Städte bzw. Gemeinden – jeder kocht da sein eigenes Süppchen. Am Beispiel der Stadt Mannheim werde ich nachfolgend den Vorgang kurz erläutern:

Zunächst gebt ihr in eine Suchmaschine den folgenden Suchstring an Übermittlungssperre Melderegister Mannheim
Danach findet ihr die folgende Webseite: Widerspruchsrechte für Melderegisterdaten
Nach allgemeinen Erklärungen findet ihr dann auf der Seite (ganz unten) ein Antragsformular
Im Antragsformular müsst ihr auswählen, für welche Zielgruppen (Parteien, Bundeswehr etc.) die Übermittlungssperre gelten soll
Für den Antrag ist ebenfalls eine Kopie eures Personalausweises erforderlich – dem würde ich allerdings nicht nachkommen, sondern erst nach Aufforderung
Idealerweise gebt ihr die ausgefüllten Unterlagen direkt beim zuständigen Amt/Bürgerbüro/Stelle ab (Briefkasten genügt)

Hinweis

Wohnt ihr in einer anderen Stadt/Gemeinde ersetzt ihr bei der Suche Mannheim einfach mit eurem Wohnort.

Alternative: Formular der Piratenpartei

Sollte eure Stadt/Gemeinde kein Formular bzw. Möglichkeit anbieten, eine Übermittlungssperre zu beantragen, könnt ihr auch einfach eine Vorlage der Piratenpartei nutzen:

Lade dir unser Formular herunter und fülle es aus. Wähle aus, gegen welche Verwendungszwecke du Widerspruch einlegen möchtest. Adressiere es an deine Meldebehörde (in der Regel das Rathaus) und drucke es aus. Vergiss nicht, das Formular zu unterschreiben. Dann ab damit in einen Briefumschlag, frankieren und in die Post – oder direkt beim Rathaus abgeben.

Übermittlungssperre oder Auskunftssperre?

Eine Übermittlungssperre ist nicht mit einer Auskunftssperre gleichzusetzen. Bei der Übermittlungssperre geht es gemäß § 50 Abs. 5 und § 36 Bundesmeldegesetz darum, der Weitergabe der eigenen Meldedaten an Parteien, Bundeswehr etc. zu widersprechen. Bei einer Auskunftssperre (§ 51 Bundesmeldegesetz) hingegen wird im Melderegister ein Vermerk hinterlegt, der sich auf alle Arten von Anfragen einer Melderegisterauskunft bezieht. Eine solche Auskunftssperre muss vom Antragsteller stets glaubhaft begründet werden und dient dem Schutz der betroffenen Person vor Bedrohungen, Beleidigungen etc. Eine Auskunftssperre ist in der Regel befristet – üblich ist eine Dauer von zwei Jahren. Genaue Angaben könnt ihr beim zuständigen Amt erfragen.

Bildquellen:

Cloud: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Infografiken: Verhalten im Netz

Der respektvolle Umgang mit seinen Mitmenschen sollte eigentlich eine Selbstverständlichkeit sein. Wie wir alle wissen, sieht die Realität leider oft anders aus – gerade im Internet. Verhaltensempfehlungen wie die Netiquette sollen helfen, einen angemessen und respektvollen Umgang bzw. Benehmen bei der technischen Kommunikation im Internet zu (be)wahren.

Die nachfolgenden Infografiken von Imke Senst und FrauTux ergänzen die Netiquette um konkrete Handlungsempfehlungen bei den Aktivitäten

Bilder posten
Text veröffentlichen
und Inhalte teilen

Bild im Internet posten

Text veröffentlichen

Etwas mit anderen teilen

Bildquellen:

Timeline: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Videokonferenz

In Zeiten von Covid-19 sind Videokonferenzen unabdingbar, da sie es ermöglichen, die Gesprächspartner zu sehen – sowohl im geschäftlichen als auch privaten Umfeld. Beliebte Video-Chat-Anbieter wie Zoom, MS Teams, Cisco Webex und Co. sind dabei nicht unbedingt die beste Wahl, wenn die Teilnehmer Wert auf Datenschutz legen. Kommerzielle Anbieter erheben und verarbeiten oftmals eine breite Palette an (personenbezogenen) Daten wie die Namen, Städte, Gesprächsdauer sowie Einstellungen und eindeutige Geräte-IDs aller Teilnehmer für jedes einzelne Meeting.

Doch es geht auch datenschutzfreundlich, wie einige Alternativen aus der Open-Source-Welt beweisen. Die bessere Bilanz bei Privatsphäre und Sicherheit geht übrigens nicht zu Lasten der Benutzerfreundlichkeit – im Gegenteil, die Einstiegshürde in die Welt der Videokonferenz ist bei der Alternative Jitsi Meet wohl am geringsten.

Grundsätzlich ist es empfehlenswert Video- bzw. Webkonferenz-Systeme auf eigenen Servern zu betreiben, die die Einhaltung des Datenschutzes (nachprüfbar) ermöglichen.

Jitsi Meet [Einsteiger | Eignet sich für Besprechungen in Kleingruppen]

Jitsi Meet ist ein quelloffenes Open-Source-Videokonferenzsystem, das den Austausch mit einem oder mehreren Teilnehmern ermöglicht. Sowohl der Betrieb als auch die Nutzung sind unkompliziert und ermöglichen anonyme, werbe- und trackingfreie Videokonferenzen. Für die Nutzung ist kein Konto notwendig, sondern lediglich ein Webbrowser (der WebRTC unterstützt) oder die App für Android bzw. iOS. Datenschutzsensible Nutzer finden die Jitsi-Meet-App ebenfalls im F-Droid-Store.

Anwender: Eine Kurzanleitung ermöglicht den Schnelleinstieg in eine Videokonferenz mit Jitsi Meet. Innerhalb von 10 Minuten kann praktisch jeder mit dem entsprechenden Equipment (Webcam, Headset etc.) eine Videokonferenz über einen Browser initiieren und weitere Teilnehmer einladen. Wenn du direkt loslegen möchtest, benötigst du eine Jitsi-Meet-Instanz. Öffentlich verfügbare Instanzen findest du hier: Public Jitsi Meet instances.
Betreiber: Selbst wenn Jitsi Meet quelloffen ist, bedeutet das nicht automatisch, dass es im Auslieferungszustand datenschutzfreundlich genutzt werden kann. Hierfür sind ein paar Nachbesserungen notwendig, die ich im Beitrag »Server-Einstellungen für einen datenschutzfreundlichen Betrieb« zusammengefasst habe.

BigBlueButton [Einsteiger | Eignet sich für Besprechungen, Schulen, Seminare, Vorlesungen etc.]

BigBlueButton ist eine Open-Source-Videokonferenzlösung, die sich insbesondere für das Vermitteln von Lerninhalten an Schulen, Universitäten etc. eignet. BigBlueButton wurde speziell für den E-Learning-Bereich entwickelt und bietet unter anderem diverse Werkzeuge wie Whiteboard, Bildschirm freigeben, Feedback-Funktion etc., die den virtuellen Unterricht erleichtern.

Unter anderem stellt das Land Baden-Württemberg den Schulen eine Moodle-/BigBlueButton-Infrastruktur zur Verfügung, über die Lehrerinnen und Lehrer den Kontakt mit ihren Schülern aufrechterhalten können bzw. Lerninhalte datenschutzfreundlich vermitteln können.

Tipp: Senfcall.de bietet jedem die Möglichkeit, Meetings über BigBlueButton zu initiieren.

OpenTalk [Einsteiger | Eignet sich für Besprechungen, Schulen, Seminare, Vorlesungen etc.]

OpenTalk, entwickelt vom Berliner Linux- und Mailbox-Experten Heinlein Support, ist eine Open-Source-Videokonferenzlösung, die sowohl als Community Edition als auch als Enterprise Edition verfügbar ist. Die Lösung eignet sich insbesonders für den Einsatz in Politik und Verwaltung sowie in Universitäten und Schulen.

Die Videokonferenzplattform wird in deutschen Rechenzentren gehostet und berücksichtigt die Vorgaben der Datenschutzgrundverordnung (DSGVO). Mit seiner einfachen Handhabung und Skalierbarkeit bietet OpenTalk eine Alternative zu amerikanischen Anbietern wie Zoom oder WebEx.

OpenTalk bietet die Flexibilität, je nach Bedarf lokal auf eigenen Servern (On-Premise) oder als Software-as-a-Service (SaaS) betrieben zu werden. Beim SaaS-Modell übernimmt OpenTalk den kompletten Betrieb.

Bildquellen:

Videoconference: Freepik from www.flaticon.com is licensed by CC 3.0 BY

VPN-Anbieter

VPN steht für Virtual Private Network. Ursprünglich wurde die Technik entwickelt, um von praktisch jedem Ort der Welt sicher auf die Ressourcen eines privaten bzw. geschützten Netzwerks zuzugreifen. Insbesondere im Unternehmensumfeld werden VPNs genutzt – so können Mitarbeiter, die von unterwegs oder von zu Hause aus arbeiten, auf das Firmennetzwerk zugreifen. Sie können dann so arbeiten, als würden sie am Rechner im Büro sitzen.

Private Anwender hingegen haben meist ihre Privatsphäre im Sinn, wenn sie ein VPN nutzen. Sie möchten beim Surfen im Internet nicht erkannt werden. In der Praxis funktioniert das allerdings mehr schlecht als recht, weil die heutigen Tracking-Methoden so fortgeschritten sind, dass es nicht mehr ausreicht, die IP-Adresse über ein VPN zu verbergen. Dennoch werben viele unseriöse VPN-Anbieter mit Werbeversprechen wie

Werden Sie unsichtbar und surfen Sie anonym im Web, ohne Spuren Ihrer Aktivitäten zu hinterlassen.

oder

Ohne ein VPN sind Ihre IP-Adresse, Standort, Browseraktivitäten und Online-Kommunikation gefährdet.

Leider fallen viele Anwender auf diese haltlosen Werbeversprechen rein und wiegen sich in falscher Sicherheit. Daneben fallen VPN-Anbieter auch immer mal wieder durch fahrlässige Sicherheitsmaßnahmen auf. Ganz zu schweigen von den angebotenen VPN-Apps für mobile Endgeräte, die mit Trackern geradezu vollgestopft sind – in einem solch sensiblen Umfeld sollte es eigentlich eine Selbstverständlichkeit sein, darauf zu verzichten. Um es daher ganz klar zu sagen: VPNs wurden ursprünglich nicht als Anonymisierungsdienste entwickelt – darauf weist ebenfalls das Tor-Project hin.

Brauchst du wirklich ein VPN?

Nachfolgend ein paar Kriterien, was ein VPN vermag und was nicht.

Für folgende Zwecke ist ein VPN nutzlos:

Erzielen von Anonymität
Schutz vor Hacking, Cyber-Bedrohungen und/oder Identitätsdiebstahl
Verschleierung des GPS-Standorts (bspw. Mobilgerät)
Schutz von Passwörtern
Verhindern, dass Microsoft, Google oder Facebook private Daten sammelt
Verhinderung unerwünschter Profilerstellung/Tracking durch soziale Netzwerke, Suchmaschinen oder andere Dienstleister
Vermeidung von Daten-Leaks, bei der Nutzung von Online-Diensten

Ein vertrauenswürdiges VPN kann für folgende Fälle sinnvoll sein:

Verbesserung der Sicherheit in unsicheren/nicht vertrauenswürdigen öffentlichen Netzwerken (Cafés, Zügen usw.) durch Prävention vor Man-in-the-Middle-Angriffen
Umgehung von Zensur oder geografischen Sperren (Geoblocking) von Websites und Inhalten
Verschlüsselung der Kommunikation, damit dein Internetanbieter oder Mobilfunkbetreiber die Online-Aktivitäten nicht überwachen oder aufzeichnen kann
Verschlüsselung der DNS-Anfragen, sodass der Internetanbieter oder Mobilfunkanbieter die besuchte Domains nicht protokollieren kann
Verbergen/Maskieren der IP-Adresse vor den Websites und Servern, die du besuchst
Getunnelte Verbindung nach Hause und/oder zum Arbeitgeber, um auf Dienste zuzugreifen, die nicht direkt aus dem Internet erreichbar sind

Hinweis

Übrigens: Lasst die Finger von VPN-Vergleichsportalen. Das sind meist dubiose Anbieter, die gutgläubige Nutzer mit Affiliate-Links abzocken. Mehr dazu im Beitrag: VPN-Vergleichsportale: Finger weg von diesen Seiten.

VPN-Anbieter [Einsteiger]

Die Wahl eines VPN-Anbieters ist eine echte Vertrauensfrage. Immerhin übersendet ihr euren gesamten Datenverkehr über diesen Anbieter. Die meisten VPN-Anbieter machen jedoch keinen seriösen bzw. vertrauenswürdigen Eindruck. Oftmals sind die Webseiten übersät mit haltlosen Werbeversprechen oder Trackern, die gerade in diesem sensiblen Umfeld eigentlich nichts verloren haben. Der schwedische Anbieter Mullvad hebt sich in dem hart umkämpften Markt positiv von der Konkurrenz ab. Zur Nutzung des Dienstes ist bspw. keine Angabe von personenbezogenen Daten notwendig. Zum Aufbau einer VPN-Verbindung können freie, quelloffene Programme / Apps wie OpenVPN oder WireGuard verwendet werden. Wie viele weitere Anbieter auch, gibt Mullvad an, keine Log-Files zu speichern – überprüfbar ist das allerdings nicht.

VPN-Hosting [Fortgeschrittene]

Idealerweise hostet man das VPN-Gateway selbst. Dazu stehen dem technisch versierten Anwender unterschiedliche Varianten zur Verfügung:

FRITZ!Box: Die (Kabel-)Router von AVM sind in vielen Haushalten anzutreffen und bieten mehr Funktionen als die bloße Bereitstellung einer Internetanbindung. Unter anderem lässt sich bspw. auch ein VPN-Dienst auf der FRITZ!Box einrichten. Technisch unterstützt die Box dabei VPN-Verbindungen nach dem WireGuard- oder IPSec-Standard. Bevor ihr ein VPN auf der FRITZ!Box in Betrieb nehmt, solltet ihr aus Sicherheitsgründen allerdings prüfen, ob die aktuelle FRITZ!OS-Version installiert ist.
OpenVPN: Mit dem Projekt PiVPN ist der Betrieb eines VPNs auf Basis des OpenVPN-Protokolls einfach möglich. Leider ist das Projekt derzeit ohne Maintainer und sucht einen Nachfolger. Unabhängig davon existieren diverse Anleitungen (bspw. Set up a Hardened OpenVPN Server on Debian 9) zum Aufbau eines OpenVPN-Servers.
WireGuard: WireGuard ist eine VPN-Lösung, welche als Alternative zu bekannten Vertretern wie OpenVPN und IPsec entwickelt wird. Aktuell befindet sich WireGuard noch im Entwicklungsstadium – für sicherheitskritische Umgebungen ist der Einsatz daher noch nicht empfehlenswert. Im Vergleich zu OpenVPN ist die Inbetriebnahme deutlich einfacher und beschränkt sich auf das Wesentliche. Es existieren diverse Anleitungen (bspw. Set Up WireGuard VPN on Ubuntu), um einen WireGuard-Server zu installieren.

Bildquellen:

Shield: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Werbe- und Trackingblocker

Ein Werbe- bzw. Trackingblocker zählt mittlerweile zur Grundausstattung der digitalen Selbstverteidigung. Denn die heile Welt der Online-Werbung hat schon lange ein großes Problem: Malvertising – also die Auslieferung von Werbung, die Schadcode beinhaltet und damit ein Risiko für den Nutzer bzw. seine Daten darstellt.

Aber nicht nur Malvertising ist ein Ärgernis, sondern auch Trackingunternehmen, die die Aktivitäten von Nutzern auf Webseiten und innerhalb Apps ungefragt aufzeichnen, auswerten und die Daten gewinnbringend vermarkten. Man könnte sie auch als »digitale Parasiten« bezeichnen, die niemand wirklich braucht, das parasitäre Verhalten allerdings von den meisten Nutzern nicht bemerkt wird, weil ihr Vorgehen äußerst subtil und nahezu unsichtbar erfolgt. Aufgeklärte Nutzer müssen diese Privatsphäre missachtenden Protagonisten allerdings nicht einfach schulterzuckend hinnehmen, sondern können technisch aufrüsten und ihnen den Datenhahn zudrehen.

Werbe- bzw. Trackingblocker gibt es in unterschiedlichen Ausprägungen. Einige davon arbeiten als Erweiterung im Browser, andere wiederum sind als App für das Smartphone verfügbar und andere Lösungen arbeiten als eigenständiges Gerät, mit dem Ziel, mehrere Rechner bzw. Smartphones zu schützen.

DNS-Blocking [Anfänger/Bequeme]

Ein einfacher Weg, um auf Android bzw. iOS Werbung und Tracker systemweit (in allen Apps) auf Eis zu legen, ist das Blockieren über einen DNS-Anbieter. Im Beitrag »Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen« wird die Umsetzung ausführlich beschrieben.

Empfehlenswerte Tools [Anfänger bis Fortgeschrittene]

uBlock Origin: Das Browser-Add-on uBlock Origin ist der derzeit effektivste Werbe- und Trackingblocker. Bereits im Auslieferungszustand beinhaltet uBlock Origin diverse Filterlisten, die Tausende Domains blockieren, die für die Auslieferung von Werbung, Trackern und anderen unerwünschten Inhalten bekannt sind. Das Add-on ist für Firefox, Chromium, Microsoft Edge und Safari verfügbar. Der Beitrag »Firefox: uBlock Origin – Firefox-Kompendium Teil2« gibt einen Einblick in die Konfiguration – das Add-on eignet sich nicht nur für Anfänger, sondern auch für fortgeschrittene Nutzer und Profis und gehört zur Grundausstattung eines jeden Browsers. uBlock Origin solltet ihr übrigens immer installieren, auch dann, wenn ihr eine Lösung wie AdAway oder Pi-hole nutzt. Die in uBlock Origin integrierten (kosmetischen) Filter erfassen auch jene Werbung, die direkt in die Webseite einer Seite eingebunden ist und nicht von Drittquellen nachgeladen wird.
AdAway [Android]: Wie auch alle anderen Werbe- und Trackingblocker arbeitet AdAway auf Basis von Filterlisten, um Tracking- und Werbedomains zu blockieren. Im Gegensatz zu NetGuard oder RethinkDNS bietet AdAway zwei Modi: Einen für gerootete Geräte und für nicht gerootete Geräte. Letzteres benötigt ein lokales VPN, durch das im Anschluss jeglicher App-Verkehr fließt und die Filterung erfolgt. AdAway ist direkt über F-Droid erhältlich. Der Beitrag »AdAway: Werbe- und trackingfrei im Android-Universum« beschreibt die Arbeitsweise von AdAway und gibt Tipps zur Konfiguration.
AdGuard Pro [iOS]: Die iOS-App AdGuard Pro blockiert ebenfalls wie AdAway Werbung und Tracker bereits auf DNS-Ebene. Dazu initiiert die App ein lokales VPN, durch das im Anschluss jeglicher App-Verkehr fließen muss. Eine Alternative zu AdGuard Pro ist bspw. die App DNSCloak – diese ist allerdings komplexer in der Bedienung und damit eher weniger für Einsteiger geeignet. Der Beitrag »AdGuard Pro: Tracking und Werbung unter iOS unterbinden« gibt einen Einblick in die Funktionsweise von AdGuard Pro.

Weitere Apps für Android

Insbesondere für Android gibt es noch weitere Werbe- und Trackingblocker. Dazu zählen unter anderem RethinkDNS, personalDNSfilter oder TrackerControl. Oftmals ist es reine Geschmackssache bzw. eine besondere Funktion, die entscheidet, welche dieser Apps man im Alltag benutzt. Die Funktionsweise ist bei allen ähnlich.

Mehr Kontrolle – höhere Blockraten [Fortgeschrittene]

Pi-hole [geräteübergreifend]: Mit dem Pi-hole lassen sich Tracker und Werbung bereits auf DNS-Ebene filtern. DNS-Anfragen an Werbe- und Trackingdomains werden dann nicht wie üblich in die dazu passende IP-Adresse übersetzt und nachgeladen, sondern die Anfragen laufen praktisch »ins Leere«. Positiv: Mit einem Pi-hole lassen sich Werbeeinblendungen und Datensammler auf allen Geräten filtern, die den Pi-hole zur Namensauflösung nutzen. Um auch unterwegs bzw. im mobilen Netzwerk von der Filterfunktion des Pi-holes zu profitieren, kann es sinnvoll sein, einen VPN-Tunnel in das (private) Netzwerk aufzubauen, in dem der Pi-hole erreichbar ist. Einen solchen VPN-Tunnel könnt ihr bspw. über eure FRITZ!Box oder den PiVPN realisieren.
OpenWrt – Adblock-Addon [geräteübergreifend]: Wer einen OpenWrt-Router einsetzt, der kann sich das Adblock-Addon installieren. Damit werden Werbung und Tracker bereits auf DNS-Ebene gefiltert – wie beim Pi-Hole für alle Geräte in einem Netzwerk.
RethinkDNS [Android]: RethinkDNS ist ein leistungsstarkes Tool, das mehrere Funktionen in sich vereint. Es ist nicht nur eine Firewall, mit der man feingranular steuern kann, zu welchen Domains/IP-Adressen sich eine App verbinden darf, sondern kann auch Werbe- und Tracking-Domains filtern. Die Kombination Firewall + Filterlisten ist äußerst mächtig, erfordert aber auch ein hohes Maß an Disziplin und Einarbeitungszeit. Wie AdAway, NetGuard und Co. nutzt auch RethinkDNS die lokale VPN-Schnittstelle von Android, um den Datenverkehr von Apps einsehen zu können.

Weitere Filterlisten

Mit DNS-basierten Werbe- und Trackingblockern wie Pi-hole, AdAway, NetGuard, AdGuard Pro, Adblock (OpenWrt) etc. lassen sich unliebsame Verbindungen unterbinden. Im Normalfall werden diese Tools mit vordefinierten Filterlisten ausgeliefert, die Werbung und Co. aussortieren, bevor diese nachgeladen werden. Meist besteht zusätzlich die Möglichkeit, weitere Filterlisten einzubinden. Zwei davon finde ich empfehlenswert:

Kontrollfetischisten [Profis]

IPFire: Ähnlich zum Pi-hole existiert für die IPFire Firewall-Lösung ein DNS-Blocker-Skript, mit dem sich ein ähnliches Ergebnis erzielen lässt. Auch hier laufen DNS-Anfragen an Server, die bekannt für Tracking und Werbung sind, anschließend ins Leere bzw. werden von unbound mit der IP-Adresse »0.0.0.0« beantwortet. Kombiniert man diese Methode noch mit dem ASN-Skript, mit dem sich IP-basierte Blocking-Regeln für die IPFire erzeugen lassen, haben Datensammler wortwörtlich »ausgesammelt«.

Bildquellen:

Windows: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Widerspruch nach Art. 21 DSGVO

Egal bei welchem Dienstleister, Versicherer, Bank, Online-Shop etc. ihr einen Vertrag / Geschäftsbeziehung habt, fast alle nutzen eure Daten für Direktwerbung, Profiling und Meinungsforschung. Dank der Datenschutzgrundverordnung (DSGVO) kann man dem widersprechen. Das verhindert die Verarbeitung eurer Daten für Werbezwecke und erspart euch Werbemüll im E-Mail-Postfach bzw. dem Briefkasten.

Folgendermaßen solltet ihr bei einem Widerspruch vorgehen:

Ruft die Webseite der Bank, Versicherung, Dienstleister, Online-Shop etc. auf
Navigiert zur Datenschutzerklärung
Sucht dort nach dem Verantwortlichen im Sinne der DSGVO
Kopiert die E-Mail-Adresse (meist ist diese dort hinterlegt)

Anschließend setzt ihr eine E-Mail mit dem Titel »Widerspruchsrecht – Art. 21 DSGVO« auf:

Sehr geehrte Damen und Herren,

hiermit lege ich Widerspruch gegen die Verarbeitung meiner personenbezogenen Daten für Direktwerbung gemäß Art. 21 Abs. 2 DSGVO ein. Der Widerspruch betrifft auch Profiling, soweit es mit Direktwerbung in Verbindung steht.

Sollte ich eine Einwilligung zur Verarbeitung meiner Daten für Direktwerbung (bspw. nach Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) erteilt haben, widerrufe ich diese hiermit.

Meine Anfrage schließt explizit auch sämtliche weiteren Angebote und Unternehmen ein, für die Sie Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind.

Nach Art. 12 Abs. 3 DSGVO haben Sie mir meinen Widerspruch unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, zu bestätigen.

Zur Identifikation meiner Person habe ich folgende Daten beigefügt:
[Vorname Nachname]
[Straße Hausnummer]
[PLZ Ort]
[Vertragsnummer / Kundennummer]

Hinweis: Sollte mein Widerspruch zu einer Kontolöschung nach Art. 17 Abs. 1 lit. c DSGVO führen, dann teilen Sie mir dies bitte mit. Ich werde dann im Einzelfall entscheiden, ob dies durchgeführt werden soll.

Mit freundlichen Grüßen
[Vorname Nachname]

Auf »Drohungen« solltet ihr in der ersten E-Mail zunächst verzichten, da die meisten Verantwortlichen innerhalb der Frist antworten und euch die Sperre bestätigen.

Ihr könnt das bei fast jedem Vertrag bzw. Anbieter durchführen. Es kostest euch nichts, ist schnell erledigt und wirkt sich positiv auf den Schutz eurer Daten aus. Also: Machen!

Bildquellen:

Protest: Freepik from www.flaticon.com is licensed by CC 3.0 BY

WLAN absichern

Die drahtlose Verbindung ins Internet, WLAN, ist eine praktische Sache. Doch durch Softwarefehler, Komfortfunktionen und nachlässig konfigurierte Router kann das heimische WLAN schnell zum Einfallstor für Angreifer werden. Mit einfachen Tipps kann man sich allerdings davor schützen – und das ist auch dringend anzuraten. Denn wenn ein Eindringling über euer WLAN eine Straftat begeht (bspw. Urheberrechtsverletzung), haftet ihr als Anschlussinhaber. Folgende fünf Maßnahmen tragen dazu bei, euer WLAN effektiver vor ungebetenen Gästen zu schützen:

Langes WPA2-/WPA3-Passwort: Generiert euch mit Hilfe von einem Passwort-Manager wie KeePassXC oder dem Diceware-Verfahren (6 Wörter oder mehr) ein mindestens 32-stelliges Passwort bzw. Passphrase. Allein aufgrund der Länge des Passworts steht ein Angreifer vor einer schier unlösbaren Aufgabe, wenn er versucht euer Passwort per Brute-Force-Angriff zu knacken. Merke: Die Verschlüsselung ist nur so gut wie das verwendete Passwort.
Social-Engineering: Idealerweise nutzt ihr nur solche WLANs, die ihr persönlich aufgesetzt habt bzw. denen ihr vertraut. Taucht in der Liste von verfügbaren WLANs plötzlich ein WLAN mit dem gleichen SSID-Namen wie euer WLAN auf, solltet ihr misstrauisch werden und euch dort nicht einloggen bzw. irgendwelche Passwörter preisgeben. Bricht eure WLAN-Verbindung dann auch noch mehrmals abrupt hintereinander ab, handelt es sich mit hoher Wahrscheinlichkeit um einen Evil-Twin-Angriff.
Deaktivierung von Komfortfunktionen: Die Komfortfunktion Wi-Fi Protected Setup (WPS) solltet ihr generell abschalten. Aufgrund diverser Implementierungsfehler ist WPS immer wieder Ziel von Angriffen wie Pixie-Dust. Weiterhin ist es ratsam, Funktionen wie »Fernzugriff« und ähnliches vollständig zu deaktivieren. Das reduziert die Angriffsfläche eures WLANs erheblich.
Sicherheitsupdates einspielen: Prüft regelmäßig, ob für euren Access-Point bzw. Router (Sicherheits-)Updates bereitstehen und spielt diese zeitnah ein.
Sendeleistung reduzieren / abschalten: Oftmals strahlen drahtlose Netzwerke ihr Signal weit über die eigentlich notwendige Sende- bzw. Empfangsreichweite aus. Je stärker das WLAN-Signal ist, umso einfacher sind einige der Angriffe durchzuführen. Viele Router-Hersteller ermöglichen, die Sendeleistung zu reduzieren. Wählt zunächst die niedrigste Sendeleistung aus und prüft anschließend, ob alle Geräte im gewünschten Radius noch eine Verbindung herstellen können. Per Zeitplan- oder Nachtschaltfunktion ist es generell ratsam, das WLAN über Nacht vollständig zu deaktivieren.

Fremden Geräte, die ihr nicht kontrolliert, solltet ihr keinen Zugang zu eurem WLAN gestatten. Möchtet ihr dennoch einen Gast-Zugang anbieten, solltet ihr diesen vom geschützten bzw. privaten WLAN trennen:

Separater Router: Verwendet einen zweiten Router bzw. Access-Point, über den sich Gäste in ein separates Gast-WLAN einloggen dürfen. Idealerweise schließt ihr euch einer Freifunk-Initiative an und ermöglicht Gästen bzw. auch weiteren Personen den freien Zugang zum Internet – dann seid ihr ebenfalls von der Störerhaftung befreit.
Gastzugang: Einige Router, wie die Fritz!Box, bieten einen Gastzugang an und ermöglicht Gästen über ein zusätzliches Funknetzwerk den Zugang zum Internet. Damit sind die Gastgeräte (logisch) vollständig vom Heimnetzwerk bzw. euren Geräten getrennt.

Hinweis

Das Eindringen bzw. Hacken von WLANs ist einfacher, als viele glauben. Im Beitrag »Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt« werden einige WLAN-Angriffstechniken aufgezeigt.

Bildquellen:

WiFi: Alfredo Hernandez from www.flaticon.com is licensed by CC 3.0 BY

WLAN-SSID: Opt-Out

Spätestens seit dem Skandal um die Aufzeichnung von WLAN-Daten durch Googles Street-View-Autos ist bekannt, dass Google drahtlose Netze erfasst, um damit die Ortsbestimmung von Telefonen zu ermöglichen. Heute gilt: Ein Spaziergänger mit aktiver WLAN-Schnittstelle in seinem Smartphone genügt bereits, dass eure WLAN-SSID (Netzkennung eures WLANs) beim Vorbeigehen bspw. in einer Datenbank von Google erfasst und gespeichert wird.

Große Technologieunternehmen wie Microsoft, Google und Co. können ihre Nutzer über diese »WLAN-Maps« dann nahezu überall orten – auch wenn GPS deaktiviert wurde. Das Dilemma: Niemand hat euch um Erlaubnis gefragt, die WLAN-SSID von eurem Heimrouter einfach für seine Location-Mapping-Dienste verwenden zu dürfen.

Wer dieser Erfassung widersprechen möchte, der sollte seine WLAN-SSID wie folgt anpassen:

<SSID>_optout_nomap

Mit der Kennung _optout signalisiert ihr Microsoft, dass die SSID nicht verarbeitet werden darf. Google und weitere Anbieter solcher Location-Mapping-Dienste respektieren dagegen die Kennung _nomap.

Hinweis

Die Kennung _nomap muss in jedem Fall am Ende stehen. Ansonsten wird sie von Google und Co. ignoriert.

Bildquellen:

No WiFi: Pixel Perfect from www.flaticon.com is licensed by CC 3.0 BY

WiFi-Tracking

Wenn bei einem Smartphone die WLAN-Funktion aktiviert ist, sucht es automatisch nach Netzen in der Umgebung und sendet dabei Funksignale aus. Diese Funksignale können aufgefangen und ausgewertet werden. Dazu muss das Smartphone nicht in das WLAN-Netz eingeloggt sein. Dasselbe gilt auch für Bluetooth. Über diese Signale kann man die Geräte in Einkaufszentren, Straßen oder Kongresshallen identifizieren und verfolgen. Dadurch können detaillierte Bewegungsprofile von Nutzern erstellen werden, die bspw. einem Ladenbesitzer verraten, wie viele Personen an einem Geschäft vorbeigehen und wie sich Kunden im Geschäft bewegen. Diese Form der »Überwachung« könnt ihr durch einfache Maßnahmen unterbinden:

Manuell: Wenn ihr außer Haus geht, solltet ihr eure WiFi-Schnittstelle manuell deaktivieren – das gilt auch für Bluetooth oder andere Schnittstellen, die ihr nicht benötigt.
Automatisch [Android]: Wer die manuelle Deaktivierung der WiFi-Schnittstelle gerne mal vergisst, der kann wie folgt vorgehen:
- Je nach Android-Version: Öffnet die »Einstellungen -> Netzwerk & Internet -> Internet -> Netzwerkeinstellungen«. Je nach der verwendeten Android-Version bzw. Custom-ROM ist dort eine Option mit der Bezeichnung Turn off Wi-Fi automatically zu finden. Tippt diese an und wählt dort bspw. 1 minute. Sobald euer Gerät 1 Minute lang mit keinem WiFi-Netzwerk verbunden ist, schaltet sich die WiFi-Schnittstelle ab.
- WiFi Automatic [App]: Entfernt zunächst das Häkchen bei »Schalte WLAN aus… wenn kein Netzwerk in Reichweite«. Im Stadtzentrum sind immer WLAN-Netzwerke in Reichweite und eure WiFi-Schnittstelle würde nie abgeschaltet werden. Weiterhin solltet ihr euch überlegen, ob das WLAN aktiviert wird, wenn ihr das Gerät entsperrt und auch nach wie vielen Minuten das WLAN deaktiviert wird, sobald das Display aus ist.
Automatisch [LineageOS]: Für LineageOS-Nutzer gibt es eine elegante Lösung, um die WiFi-Schnittstelle automatisch zu deaktivieren, sobald euer WLAN-Access-Point außer Reichweite ist. Öffnet dazu »Einstellungen -> Systemprofile -> Standard -> Klickt in der Zeile rechts auf das Systemicon«. Dort tippt ihr unter »Auslöser, die dieses Profil aktivieren« auf WLAN. Wählt dort anschließend euer WLAN aus und legt als Auslöser fest: Beim Trennen. Dann wechselt ihr zurück (1x) und selektiert unter »Drahtlos & Netzwerke« WLAN und legt dort fest: Ausschalten. Was passiert nun? Ganz einfach: Sobald ihr euch vom definierten WLAN trennt oder einfach außer Reichweite gelangt, wird sich die WiFi-Schnittstelle automatisch deaktivieren.

Scannen von WLANs [Android]

Unter Android solltet ihr zusätzlich die Option Scannen von WLANs im Hintergrund deaktivieren, ansonsten sendet euer Gerät auch weiterhin Signale aus, mit dem sich euer Gerät (über die MAC-Adresse) tracken lässt. Ab Android 6.x ist die Funktion unter »Standort« zu finden und nennt sich »WLAN-Suche«. Zum Deaktivieren klickt ihr einfach auf die 3 Punkte, selektiert dort »Suche« und entfernt anschließend das Häkchen bei »WLAN-Suche«.

WiFi-Randomzier

WiFi-Randomzier oder andere Schutzmechanismen gegen das WLAN-Tracking sind leider nur bedingt dazu geeignet, um Schutz zu bieten. Besser ist es noch immer, die WiFi-Schnittstelle manuell bzw. automatisch zu deaktivieren. Das gilt auch für iOS-Geräte.

Hinweis

Im WISO-Beitrag »WLAN-Tracking in Deutschland« (4:29 Minuten) wird anschaulich erklärt, wie WLAN-Tracking funktioniert und welche Verbreitung es in Deutschland bereits hat.

Bildquellen:

No WiFi: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY

Windows 10

Unter Anwendern, die sich Sorgen um ihre Privatsphäre machen, genießt Windows 10 keinen allzu guten Ruf. Diverse Studien wie »SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10 (BSI)« belegen, dass sich die Datensammelwut des Systems nur schwer in den Griff bekommen lässt. Erst (externe) Hilfsmittel ermöglichen einen einigermaßen »datenschutzfreundlichen« Betrieb von Windows 10 – für einen Durchschnittsanwender nur mit Mühe zu erreichen.

Wer sich einmal vor Augen führt, welche Daten Windows 10 in der Standardinstallation übermittelt, der wird unweigerlich nach Möglichkeiten suchen, die Datensammelwut zu minimieren. Dabei sollte man allerdings im Hinterkopf behalten, dass Microsoft (wie auch Google, Facebook und Co.) Dark Patterns bzw. Nudging anwendet, um Datenschutz-Einstellungen zu verstecken, diese missverständlich darzustellen oder den Nutzer mit irreführenden Formulierungen vom Schutz seiner Privatsphäre abzuhalten.

Mein allgemeiner Rat lautet daher: Langfristig sollten sich Anwender, denen die Privatheit ihrer Daten am Herzen liegt, zu einem System wie GNU/Linux oder BSD-Derivat wechseln. Auch hier ist nicht alles Gold, was glänzt, ein datenschutzfreundlicher Betrieb ist verglichen mit Windows 10 allerdings, ohne größere Anstrengung zu erreichen. Wer Microsoft dennoch nicht den Rücken kehren möchte oder kann, für den habe ich ein paar Tipps zusammengestellt.

Datenschutz-Einstellungen [Einsteiger]

Die Verbraucherzentrale gibt einen Überblick über Einstellungen, die einen datensparsameren Betrieb von Windows 10 ermöglichen. Gerade Anfänger finden dort wertvolle Tipps, um die Datensammelwut zu begrenzen – vollständig deaktivieren lässt sie sich über die in Windows mitgelieferten Optionen und Einstellungen allerdings nicht.

Telemetrie-Übermittlung abstellen [Einsteiger | Fortgeschrittene]

Die BSI-Studie beschreibt unterschiedliche Wege, um die Übermittlung von Telemetrie-Daten an Microsoft zu unterbinden. Eine relativ einfache Variante möchte ich nachfolgend vorstellen:

Windows 10 sammelt Telemetrie-Daten über sog. ETW-Provider. Um diese ETW-Sessions bzw. die Übertragung von Telemetrie-Daten zu deaktivieren, sind folgende zwei Registry-Eingriffe erforderlich:

Deaktivierung DiagTrack-Listener:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack\Start = 4

Deaktivierung Autologger-DiagTrack-Listener:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\Diagtrack-Listener\Start = 0

Neben der Reduzierung der Telemetrie bietet das BSI auch Gruppenrichtlinien, mit denen sich Windows 10 (Enterprise) härten bzw. absichern lässt.

Hinweis

Neben Telemetrie-Daten erhebt bzw. sammelt Microsoft noch weitere Daten vom System. Mit Tools wie WindowsSpyBlocker oder einem Pi-hole lässt sich auch diese Datenübermittlung reduzieren bzw. deaktiveren.

Privacy is sexy [Fortgeschrittene]

Das Projekt privacy is sexy stellt verschiedene Skripte zur Verfügung, mit denen nicht nur die Datensammlung des Systems reduziert, sondern auch unnötige Bloatware oder nicht genutzte Dienste deaktiviert werden können. Die Befehle werden kopiert/heruntergeladen und dann über das Windows-Terminal ausgeführt. Bei Bedarf können die Änderungen auch wieder rückgängig gemacht werden.

WindowsSpyBlocker [Fortgeschrittene]

Das Projekt WindowsSpyBlocker bietet die Möglichkeit, DNS-Namen bzw. IP-Adressen von Microsoft zu sperren, an die Windows 10 (Telemetrie-)Daten übermittelt. Fortgeschrittene Nutzer sollten das Tool anwenden, um die Daten-Übermittlung ins Leere laufen zu lassen – über die Windows-10-eigenen Datenschutz-Optionen lässt sich bspw. die Sammlung von Telemetrie-Daten lediglich minimieren.

Pi-hole [Fortgeschrittene]

Der Pi-hole ist eigentlich eine Lösung zum Blockieren von Werbung und Trackern für Geräte, die sich im selben Netzwerk befinden. Mittlerweile integriert das Projekt auch Filterlisten, mit denen sich die Datensammelwut von Windows 10 eindämmen lässt. Die Lösung ist im Grunde vergleichbar mit dem WindowsSpyBlocker, greift allerdings für alle Geräte bzw. Windows-10-Systeme, die sich innerhalb eines Netzwerks befinden.

Externe Firewall [Profis]

Wer die vollständige Kontrolle über die ausgehenden Datenverbindungen von Windows 10 haben möchte, der muss zwangsläufig eine externe Firewall nutzen. Mittels des Whitelist-Ansatzes kann dann explizit erlaubt werden, welche Verbindungen Windows 10 nach »außen« initiieren darf. Im Beitrag »Windows unter Kontrolle – IPFire Teil4« habe ich diesen Ansatz näher beschrieben.

Bildquellen:

Windows: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

YouTube: Datenschutzfreundlich & ohne Werbung

YouTube ist eine gigantische Video-Plattform, die leider dem größten Datensammler der Welt gehört: Google. Aufgrund des Angebots kommt ein Verzicht für die meisten Nutzer allerdings nicht in Frage. Alternativen wie PeerTube haben im Vergleich zu YouTube leider nur ein äußerst begrenztes Angebot. Die Frage lautet daher: Wie kann ein möglichst datenschutzfreundlicher Zugang zu den Videos auf YouTube realisiert werden? Werfen wir einen Blick auf eine Lösung für den Desktop, mobile Endgeräte und Streaming-Media-Adapter.

Auf dem Desktop [Windows, macOS, Linux]

Piped: Piped ist ein YouTube-Frontend für den Browser, dessen Quellcode auf GitHub für jeden einsehbar ist. Über Piped lässt sich praktisch jedes YouTube-Video anschauen – allerdings unter anderen Voraussetzungen:

Keine Werbung oder Tracking
Keine Verbindung mit Google bzw. Google-Servern
Leichtgewichtiges und schnelles Interface
Weitere Funktionen auf einen Blick

Invidious: Ebenso wie Piped ist Invidious ein YouTube-Frontend für den Browser, dessen Quellcode auf GitHub für jeden einsehbar ist. Insgesamt ist Invidious ähnlich zu Piped, mit dem Unterschied, dass Invidious Videos standardmäßig direkt von Google einbindet. Das bedeutet: Euer Browser lädt das Video über Google-Server, was systembedingt mit der Übermittlung eurer IP-Adresse an Google einhergeht. Wer das nicht möchte, der sollte Piped nutzen oder auf der Invidious-Instanz die Funktion Proxy videos aktivieren.

FreeTube: Auf dem Desktop-PC ist FreeTube eine Alternative zum Browser. Der Client ist für Windows, macOS und diverse Linux-Derivate (Ubuntu/Debian, RedHat usw.) verfügbar. Der Quellcode ist auf GitHub einsehbar. Werbung wird ausgefiltert und das Tracking durch Google entfällt.

Mobiles Endgeräte [Android, iOS]

Android

NewPipe & LibreTube: Die Pendants zu Piped bzw. Invidious auf der Android-Plattform nennen sich LibreTube und NewPipe. Im Gegensatz zur originalen You-Tube-App kommen beide Apps mit einer Handvoll Berechtigungen aus und sind unter anderem auch in der Lage, Werbung zu filtern. Datenschutzsensible Nutzer sollten die Apps der YouTube-App in jedem Fall vorziehen – beide funktionieren auf Google-freien Smartphones. Wer YouTube-Videos schauen möchte, aber jede direkte Verbindung mit Google(-Servern) vermeiden möchte, der sollte LibreTube nutzen. Dort wird der gesamte Datenverkehr über Piped-Instanzen abgewickelt.

iOS

Vinegar: Für iOS-Geräte existiert die kostenpflichtige Erweiterung Vinegar – Tube Cleaner, die in Kombination mit dem Safari-Browser funktioniert. Sobald das Add-on auf einer Website eine Videoquelle von YouTube identifiziert, wird diese durch ein (Vinegar-)HTML-Tag ersetzt, das nicht nur eine werbefreie Wiedergabe ermöglicht, sondern auch eine Bild-in-Bild-Funktion bietet.

Streaming-Media-Adapter [Fire TV, Android TV, Chromecast, NVIDIA Shield]

SmartTube: SmartTube wurde speziell für Streaming-Media-Adapter entwickelt. Die quelloffene Software kann direkt auf der GitHub-Seite herunterladen werden – mit der Installationsanleitung sollte die Inbetriebnahme schnell gelingen. Werbung, Sponsoren etc. werden herausgefiltert.

NewPipe & LibreTube: Viele Streaming-Media-Adapter basieren auf Android. Daher ist die Installation von Android-Apps meist (über Umwege) möglich. Als Alternative zu SmartTube empfiehlt sich bspw. die Installation von LibreTube oder NewPipe. Die Installation erfolgt entweder direkt per APK-Download oder bspw. über den F-Droid Store, der natürlich vorher installiert werden muss.

Bildquellen:

YouTube: Dave Gandy from www.flaticon.com is licensed by CC 3.0 BY