Datenschutz & Schutz der Privatsphäre

[ambee]

Obwohl man es irgendwo geahnt haben, dürften wir mittlerweile Gewissheit haben, das große Teile unserer digitalen Kommunikation mitgelesen werden. Da die Politik wiedermal nicht oder viel zu spät und zögerlich reagiert, gilt es sich selbst zu wehren.

Dies soll keine Diskussion über den Sinn und Unsinn solcher Maßnahmen werden. 100% Anonymität und Sicherheit gibt es nicht. Ich möchte an dieser Stelle Möglichkeiten zusammentragen, wie man dies als Privatperson realisieren kann. Für Korrekturen bin ich sehr dankbar, ich bin kein IT-ler und habe keinen tieferen Einblick in die Materie.



Um seine Spuren beim Surfen zu verwischen gibt es ja mittlerweile viele einfache und gute Möglichkeiten.
Um die Spuren gegenüber Privatunternehmen beim Surfen zu verschleiern gibt es eine Pallette nützlicher Tools:




Browser-Addons

NoScript, mit dem nur Skripte auf vertrauenswürdigen Seiten zugelassen werden können (hilft auch gegen Angriffe durch Seiten)

BetterPrivacy, löscht die eigentlich unlöschbaren Flashcookies

Ghostery, blockt Tracker, Widgets, Zählpixel, etc...

RefControl, verschleiert von welcher Seite man kommt

TrackMeNot, verschleiert Suchmaschinenanfragen und verhindert Nutzerprofilbildung durch zufällig generierte Suchanfragen

Clean Links, entfernt und bereinigt Redirect Links, mit denen versucht wird Klicks nachzuverfolgen und Interessen auszuspähen

zudem sollten Cookies nur gezielt über eine Whitelist zugelassen und regelmäßig wieder gelöscht werden mit
Prefbar kann auf diese funktionen sehr schnell und komfortabel zugegriffen werden.

bei mir sieht Prefbar folgendermaßen aus:

• im Bereich von 1. kann ich bei Bedarf Cookies und DOM-Storage-Objekte (Flashcookies) zulassen oder nicht. Letzere Checkbox hab ich mir selbst gebastelt. Seiten wie Musikerboard, denen ich vertraue, häufig besuche und die zur Anmeldung Cookies benötigen, sind in den Firefox-Einstellungen sowieso auf meiner Cookies-Whitelist, daher benötige ich das nur, falls zB. irgendein Videoportal mit nur Videos zeigen will, wenn sie ein Cookies bei mir setzen dürfen.
• im Bereich von 2. kann ich Cache, Cookies sowie Flashcookies löschen, letzteres wiederum selbst gemacht. Sobald ich mich also irgendwo ausgeloggt habe, einmal draufgeklickt, alle Cookies wieder weg. Darf man natürlich nicht machen, während man irgendwo angemeldet ist, sonst wirft das einen raus. Spielt man gerne Browsergames, sollte man zudem in Betterprivacy den Ordner der Spielstände schützen, da diese über Flashcookies gespeichert werden und sonst damit auch verloren gehen würden.
• im Bereich von 3. befindet sich der Referrer-Spoof. Damit kann man verschleiern woher man kommt. Klicke ich hier im Musikerboard auf einen Link, weiß also die Seite auf die der Link verweist nicht, dass ich vom Musikerboard komme.

Der Rest der Prefbar erleichter das Surfen, hat aber für die Browser-Sicherheit und -Anonymität keine Relevanz.





Anonymes / verschlüsseltes Surfen

Das hilft aber wie gesagt nur gegenüber privaten Unternehmen, zudem kann man als Nutzer über IP-Adresse und die Browserkonfiguration noch identifiziert werden.

Wie man von einzelnen Firmen über viele Seiten hinweg verfolgt wird, zeigt das Addon Collusion sehr schön.

Um auch diese zu verschleiern muss ein Proxy verwendet werden, am bekanntesten dürfte hier wohl das Tor-Projekt sein. Hier wird der komplette Datenverkehr verschlüsselt über mindestens drei hintereinander geschaltete Server umgeleitet, zudem wird dieses Routing alle zehn Minuten gewechselt.

Auch wenn man so weit nicht gehen will, sollte man zumindest aber konsequent möglichst überall auf verschlüsselte Übertragung setzen, da man hier zumindest die Gefahr des Mitlesens verringert (außer es geht über amerikanische, britische oder französische Dienste...).




verschlüsselter Mailverkehr

Was Mailverkehr angeht sollte die Mailübertragung unbedingt über verschlüsselte Verbindungen geschehen. Fast alle Mail-Dienstleister bieten eine SSL-Verbindung zu ihren Servern. Das bringt selbstverständlich nichts, wenn man Mailanbieter nutzt, die außerhalb Deutschlands liegen. Zudem weiß man nicht, wer bei den Mailprovidern Zugriff auf die Daten hat. Zudem liegen die Mails auf den Servern soweit ich weiß im Klartext vor.
Aus diesem Grund ist nur eine PGP-Verschlüsselung der Mail-Inhalte wirklich sicher. Seit ein paar Tagen geistert eine schön Anleitung durchs Web, zudem gibt es hier ein schönes Video-Tutorial.

Das ganze funktioniert natürlich nur mit entsprechender Software, die eine Verschlüsselungs-Funktion unterstützt. Webmailer, sowie das komfortable Mailing auf dem Smartphone bleiben so außen vor. Demnächst soll es an dieser Stelle jedoch einen Mailanbieter geben, der Postfächer extra für Verschlüsselung ausgelgt anbietet: https://www.startmail.com/
Man weiß noch nichts genaues, ich vermute aber, dass mit diesem Projekt versucht wird, PGP-Verschlüsselung möglichst einfach handhabbar zu machen, so dass man sich in der Nutzung weniger einschränken muss als bisher.




Googlen ohne Google

Von den selben Machern dieses Mailservice gibt es übrigens eine großartige Alternativ zu Google: https://startpage.com/
Diese Suchmaschine verknüpft den Datenschutz von ixquick mit den Suchalgorithmen von Google. Man erhält exakt die Google-Suchergebnisse nur ohne Tracking durch Google. Großartige Sache, bei mir hat sie Google komplett ersetzt.




Welche Erfahrung habt ihr gemacht? Welche Maßnahmen setzt ihr ein, um eure Privatsphäre zu schützen?




PS: Ich habe vorhin einen günstigen Rasberry Pi erstanden und überlege nun, mir einen Tor-Router zu basteln, mal schauen wie praktikabel das ist...

 

[LeonSon]

Zu deinem Postscriptum: Das klingt durchaus interessant, falls sich bei dir was rührt, wäre eine Mitteilung hier an dieser Stelle nett.

Persönliche nutze ich in erster Linie Firewalls, die nur das durchlassen, was ich möchte. Bringt natürlich NICHTS bei Inhalten, die man selber ins Internet stellt. Mails mit PGP zu verschlüsseln ist keine Kunst (OPENpgp).
Cookies nur gezielt zuzulassen ist auch eine einfache Maßnahme, relativ gut geht das mit Browsern, die auch Chromium basieren (das man dann aber nicht Chrome nimmt, sollte klar sein).

Wichtigster Punkt ist aber meiner Meinung nach: Aktiv darauf achten, was man ins Internet stellt. Keine Facebook zu haben ist in der heutigen Zeit wohl die beste Maßnahme.

 

[peter55]

Da es hier nicht um ein spezielles Computerproblem geht, sondern eher um eine allgemeine Diskussion über die Sicherheit von privaten Daten im Netz, habe ich diesen Thread mal ins Media-Center verschoben

 

[LeonSon]

Das ist Interesse scheint nicht besonders groß zu sein - wie lange es wohl dauert, bis die Sensibilität für Online-Sicherheit bei der breiten Maße angekommen ist?

Was für mich bei verschlüsselten Mails immer ein Problem war: Mobiles Abrufen per Smartphone war nicht möglich.
Jetzt habe ich allerdings entdeckt, das der K-9 Mail Client eine gpg-Erweiterung zu untersützen scheint - da werde ich mal nachforschen!

 

[saxof]

Danke für den link zu startpage.com. Das scheint mir ein sehr nützlicher Service zu sein, vor allem wenn man den mal per Suche auf eine Website kommt, die man noch nicht kennt. Da ist doch der direkte Proxy sehr geschickt.
startpage.com ist jetzt auf jeden Fall meine "Startpage".

 

[.s]

Von TOR selbst würde ich gern abraten. Zum kurzen einlesen: http://theanonymousinternet.tumblr.com/toranonymity (für mehr einfach mal TOR und FBI googeln )
Es ist seit knapp 3 (?) Jahren bekannt, dass div. Organisationen (zb. FBI/CIA/...) eigene TOR Server besitzen und dem TOR Netzwerk zur Verfügung stellen, um so (angeblich) der wirklich schlimmen Internetnutzung wie Verbreitung von illegaler Pornographie (Kinder/Snuff/Sodomie) vorzubeugen. Ob der Vorwand wahr ist, weiß man nicht. TOR ist eigentlich eine ganz gute Möglichkeit sich abzusichern, aber einerseits echt langsam und anscheinend auch nicht so sicher.
Ansonsten gibt es mehr Infos für Tornutzer im HiddenWiki: kpvz7ki2v5agwt35.onion - besonders die Matrix Artikel lohnen sich mMn

Es gab mal ein sehr gutes Tool für Linux, in dem man sich sein eigenes Onion-Netzwerk aus x-beliebig-vielen Proxys zusammenstellen konnte, mir fällt einfach der Name nicht mehr ein. Es war auf jeden Fall auf GNU Basis.

Verschlüsselt ihr eigentlich E-Mails?

 

[Tonfilter]

TOR ist schon in Ordnung, man verliert nur an Übertragungsgeschwindigkeit.
Im übrigen geht es bei TOR nicht darum , keine Daten mehr abfangen zu können, sondern nicht mehr zu wissen von wo der Zugriff kam.

Das liegt daran, weil die Anfrage nicht direkt zum Server geht sondern erst über vorgeschaltete Server quer durch die Welt geschickt werden
und somit der Absender nicht mehr identifizierbar ist bzw. durch Verfremdung gefaked wird. Die Reihenfolge dieser Server ist immer zufällig, und stehen auf der gesamten Welt.
Wer beim surfen anonym bleiben möchte, und mit langsamer Übertragung leben kann, ist damit gut bedient.

Ansonsten gilt, Internetseiten über http meiden, dies hält aber nur Attacken davon ab, den Klartext lesen zu können.

Wer sensible Daten hat und emails schreibt sollte grundsätzlich Verschlüsselungsprogramme nutzen, sind aber aufwendiger und erfordert das der Empfänger sie entschlüsseln kann.

Ansonsten gilt, Facebook meiden, und für Google Account Besitzer gilt, alle Ortungs und Data Mining (tracking) features abstellen.
Wer google nicht traut, für den gilt das gleiche wie für Facebook.

Wem es nur darum geht, Virenfrei zu surfen , der kann das über Boot CDs wie Knoppix machen, eine Bootfähige CD mit einem RAM fähigen Betriebssystem und Browser zum surfen.

 

[.s]

Wer sensible Daten hat und emails schreibt sollte grundsätzlich Verschlüsselungsprogramme nutzen, sind aber aufwendiger und erfordert das der Empfänger sie entschlüsseln kann.

Kennst du verbreitete Programme?
Eine Zertifizierung allein reicht mir da nicht.

Ich hab übrigens die Google Suche mit Startpage.com ersetzt, Google Maps mit Open Maps und seit circa einem Jahr habe ich alle Cloud-Daten, bei denen es möglich war wie zB Dropbox, Google Drive, Ubuntu One, in je einem Boxcryptor gesichert und nur den verschlüsselten Ordner drin. Kann ich jedem empfehlen.

 

[ambee]

Von TOR selbst würde ich gern abraten. Zum kurzen einlesen: http://theanonymousinternet.tumblr.com/toranonymity (für mehr einfach mal TOR und FBI googeln )
Es ist seit knapp 3 (?) Jahren bekannt, dass div. Organisationen (zb. FBI/CIA/...) eigene TOR Server besitzen und dem TOR Netzwerk zur Verfügung stellen, um so (angeblich) der wirklich schlimmen Internetnutzung wie Verbreitung von illegaler Pornographie (Kinder/Snuff/Sodomie) vorzubeugen. Ob der Vorwand wahr ist, weiß man nicht. TOR ist eigentlich eine ganz gute Möglichkeit sich abzusichern, aber einerseits echt langsam und anscheinend auch nicht so sicher.
Ansonsten gibt es mehr Infos für Tornutzer im HiddenWiki: kpvz7ki2v5agwt35.onion - besonders die Matrix Artikel lohnen sich mMn

guter einwand, danke, wusste ich noch nicht. ich denke wenn der bedarf steigt, wird es kommerzielle services wie TOR geben, die zwar ne stange geld kosten aber dafür performance und garantiert unabhängige server-strukturen bieten.

Verschlüsselt ihr eigentlich E-Mails?

noch nicht, aktuell hab ich auch keinen großen bedarf, da ich emails kaum mit leuten austausche die das mitmachen wollen/können bzw wo es gar keinen sinn macht

aber ich bin wie oben erwähnt sehr gespannt auf den mailservice der startpage-macher: https://www.startmail.com/



der Raspberry Pi ist mittlerweile angekommen, bisher zwar nur über SSH und VCN im netzwerk genutzt, aber das funktioniert gut, auch wenn ich kommandozeilen-bedienung nicht wirklich gewohnt bin. mal schauen wann ich dazu komme, die TOR-sache auszuprobieren.

 

[.s]

aber ich bin wie oben erwähnt sehr gespannt auf den mailservice der startpage-macher: https://www.startmail.com/

Oha, das klingt gut. Ich hab mich mal für den Betatest/Newsletter angemeldet.

der Raspberry Pi ist mittlerweile angekommen, bisher zwar nur über SSH und VCN im netzwerk genutzt, aber das funktioniert gut, auch wenn ich kommandozeilen-bedienung nicht wirklich gewohnt bin. mal schauen wann ich dazu komme, die TOR-sache auszuprobieren.

Hat der PI nicht auch eine X-Gui?
Versuch mal startx einzutippen.

 

[LeonSon]

Standard für Verschlüsselung ist GPG. In den meisten Linuxen schon vorhanden, für Mac nachrüstbar (sogar mit grafischer Oberfläche), für Windows als "GPG4WIN".
Unter Android als AGP vorhanden.

Nützlich um verschlüsselte e-Mails zu überprüfen (siehe Eröffnungspost, das Video erklärt die Methodik ziemlich gut), um die Echtheit von heruntergeladenen Programmen zu überprüfen (erfordert die Benutzung der Kommandozeile) oder um selber verschlüsselte Dateien abzulegen.
GPG kann noch so einiges mehr, das ist dann aber für die Fortgeschrittenen Benutzer.

Zum Thema TOR: Ob meine Daten zwischendurch über einen CIA-Server geleitet werden, ist ja relativ egal. Jeder Node kennt nur den unmittelbaren Nachbarn, sie wissen dann zwar, dass ich von Server A komme und zu Server C will, mehr aber auch nicht. Die Anonymität bleibt also erhalten.
Das Prinzip von TOR ist ja NICHT, Man-in-the-middle Atacken abzufangen.

Die Bandbreite wird immer ein Problem sein, da muss man halt abwägen. Mir persönlich ist es relativ egal, ob ich jetzt 10 Sekunden auf die Seite warten muss oder eine.
Kommerzielle Lösungen sehe ich als schwierig an. Es wäre ja eine sehr große Anzahl verteilter Server mit ausreichend großer Bandbreite erforderlich. Damit sich das für einen Betreiber lohnt, müssten die Gebühren schon recht hoch sein.

EDIT: Thunderbird hat auch ein TOR-Plugin.

 

[ambee]

Zum Thema TOR: Ob meine Daten zwischendurch über einen CIA-Server geleitet werden, ist ja relativ egal. Jeder Node kennt nur den unmittelbaren Nachbarn, sie wissen dann zwar, dass ich von Server A komme und zu Server C will, mehr aber auch nicht. Die Anonymität bleibt also erhalten.
Das Prinzip von TOR ist ja NICHT, Man-in-the-middle Atacken abzufangen.

das heißt, die start- und end-server werden von TOR kontrolliert? die server in der mitte ist das ja kein problem, die leiten wie ich das verstanden habe die verschlüsselten daten nur weiter. aber wenn angriffe an den start- oder endknoten passieren, dann wissen die angreifer ja zumindest wo es herkommt oder wo es hingeht.

 

[.s]

Jein, das Pakettracing its recht schwer auf TOR Routen, aber ansich kein Problem.
Das System ist ja, stark vereinfacht: A <-> B <-> C <-> D <-> E.
E weiß nur von D.
D weiß von C und E etc.

Am Ende ist es egal wo die Überwachungsserver sitzen.
Genauso haben die Gesellschaften Torrentserver wo sie Daten sammeln.

 

[Tonfilter]

guter einwand, danke, wusste ich noch nicht. ich denke wenn der bedarf steigt, wird es kommerzielle services wie TOR geben, die zwar ne stange geld kosten aber dafür performance und garantiert unabhängige server-strukturen bieten.

Solche Proxy Kaskaden oder VPN Dienste gibt es, kosten aber sehr viel Geld und jemand muss die Betreiber überprüfen.
Im Gegensatz zu TOR gibt es dann mehr Kontrolle, weil sich die unabhängigen Betreiber zertifizieren müssen.

Und was man nicht vergessen darf, auch Proxy Rückverfolgung geht immer, sie wird nur durch das ganze multi routing schwieriger.

Das es auch Dienste gibt, wo sich die Justiz einklinken kann, wird immer so sein, denn es gibt auch Kriminelle im Netz, und keine Technologie wird denen offiziell Narrenfreiheit gewähren. Ein Staat wird immer Sicherheitsexperten und Hacker aus genau solchen Gründen beschäftigen.
Es gibt aus techinscher Sicht keine Anonymität bei Knotenpunkten und IPs, und eine Providerfreie Leitung gibt es auch nicht.

Daher halte ich es für wichtiger sich auf die Verschlüsselung seiner Daten zu konzentrieren.
Das braucht noch ein wenig bis sich das durchsetzt, aber der Kryptomarkt boomt nicht mehr nur in Unternehmen, hier wird einiges passieren.

 

[.s]

OT: Kennt eigl jemand ein seriöses, großes IT-Forum, also nicht so Gulli-Kiddo Style?

 

[Tonfilter]

Nur mit Schwerpunkt Softwareentwicklung, Netzwerke und Sicherheit.
Was seriös und beruflich sinnvoll sein kann, sind Gruppen in xing.

 

[LeonSon]

das heißt, die start- und end-server werden von TOR kontrolliert? die server in der mitte ist das ja kein problem, die leiten wie ich das verstanden habe die verschlüsselten daten nur weiter. aber wenn angriffe an den start- oder endknoten passieren, dann wissen die angreifer ja zumindest wo es herkommt oder wo es hingeht.

Zumindest in der Android-Version kannst du einen festen Start- und Endserver vorgeben, falls es da einen gäbe, dem du vertraust. Bei der Desktop-Version geht das sicherlich ähnlich.

 

[ambee]

allmählich setzt sich die sache in bewegung:

Alternative Internetunternehmen
Profiteure der Enthüllungen

Die Enthüllungen rund um die Datenspäh-Programme haben für Internet-Anbieter
sichererer Lösungen positive Folgen: Alternative E-Mail-Dienste und Suchmaschinen
verzeichnen einen Zulauf.

http://www.faz.net/aktuell/wirtscha...en-profiteure-der-enthuellungen-12280219.html

beschämend für die politik, dass man als bürger dazu gezwungen wird zu solchen maßnahmen zu greifen.



über posteo bin ich auch schon gestolpert, aber die setzen offenbar auf verschlüsselung auf ihren servern und übertragung per SSL. bei startmail hoffe ich ja auf eine komplette integration von PGP. in diesem artikel wird das zumindest beiläufig erwähnt.

auf ihrer seite haben sie einige interessante medienbeiträge zum thema zusammengetragen: https://posteo.de/site/andere_ueber_uns#ansturm-auf-sichere-e-mailkonten

 

[.s]

Dein FAZ Link geht leider nicht.
Ich bin auch gespannt auf Startmail, glaube aber kaum, dass es standardmäßig eine PGP mitbringt.

 

[ambee]

zum thema TOR und NSA passt die erste frage in der neuen Jung&Naiv-Folge: