Digitale SelbstverteidigungSo schützt man Daten vor Staaten, Konzernen und Kriminellen

Festplatteninhalt, Standort, Kommunikation – alles, was ein Mensch an Informationen produziert oder speichert, kann anderen in die Hände fallen. Wir zeigen in einer Artikelserie, wie sich unerwünschte Zugriffe verhindern lassen.

- - in Datenschutz - 3 Ergänzungen
Person am Laptop wird von einem Kreis aus Neugierigen beobachtet
Datenschutz: Do it yourself! – Public Domain Midjourney

Daten sind der Rohstoff des Überwachungskapitalismus. Daten bringen Geld und Macht. Gleichzeitig gibt es wohl über jede Person Informationen, die sich in den falschen Händen nachteilig für sie auswirken können. Oder die sie einfach nicht mit allen teilen will.

Es geht nicht darum, ob man etwas zu verbergen hat. Das Recht auf Privatsphäre ist grundlegend für die Entwicklung von Persönlichkeit und auch für die Demokratie. Menschen sind anders unter Beobachtung. Konformer. Privatsphäre erlaubt Abweichung. Eine Welt ohne kann nur eine totalitäre sein.

Wer trotzdem noch meint, dass Datenschutz nicht wichtig ist, kann ja mal in einem Gedankenexperiment gesammelte Chats in einen Reddit-Post kopieren, Kontoauszüge in die Nachbars-Briefkästen werfen und Flyer mit Accounts und Passwörtern in der Innenstadt verteilen. Keine schöne Vorstellung?

Dann: Hallo, herzlich willkommen in der Gruppe von Menschen, denen es mindestens ein bisschen wichtig ist, wer was über sie weiß. Hier ist ein Leitfaden zur digitalen Selbstverteidigung.

Datenschutz und Datensicherheit

Es geht bei digitaler Selbstverteidigung sowohl um Datenschutz als auch um Datensicherheit, oft auch um eine Mischung aus beiden. Scharf sind die Begriffe nicht zu trennen, grob kann man sagen: Datensicherheit basiert auf Maßnahmen, die Daten im je persönlichen Besitz vor unbefugtem Zugriff und Verlust sichern – egal ob Tagebuch oder Musiksammlung. Beispiel: Festplatte verschlüsseln oder Backups machen.

Datenschutz hingegen sorgt dafür, dass personenbezogene Daten entweder nicht erhoben oder zumindest nicht unkontrolliert verbreitet werden. Er schützt also eigentlich nicht Daten, sondern vielmehr Menschen. Beispiel: Werbe-ID ausschalten oder Social-Media-Abstinenz.

Wir haben nach Lösungen gesucht, die selbst Staatstrojanern und physischem Zugriff mit Forensiksoftware widerstehen können. Die man braucht, wenn ein mächtiger Gegner jede Menge Ressourcen auf das Ziel setzt, an die Daten zu kommen. Die Recherche hat Tipps ergeben, mit denen sich Spitzenpolitiker*innen und Whistleblower*innen vor Angriffen auf ihre Daten schützen könnten, oder Aktivisti im Fokus staatlicher Behörden und Journalist*innen, die mit solchen zu tun haben.

Die meisten Tipps sind aber auch für Menschen mit einem eher alltäglichen Bedrohungsmodell geeignet. Welche Maßnahme jeweils zum Einsatz kommen sollte, ist immer eine persönliche Abwägung zwischen Aufwand und Risiko.

Eine Frage der Bequemlichkeit

Toni, Aktivist*in bei CryptoParty, einem Bildungsprojekt zu sicherem Umgang mit digitalen Werkzeugen, sagt: „Die meisten Menschen wollen nicht, dass ihr Haus abbrennt. Und während manche dafür vielleicht sogar auf offene Flammen wie Kerzen verzichten, können sich die wenigsten ein Leben ohne Herd und Elektrogeräte vorstellen. Ein Rohbau ist relativ brandsicher, aber halt unbequem zum Wohnen. Die Frage ist: Wie wichtig ist mir welche Bequemlichkeit und wie weit will ich gehen für die Sicherheit?“ Für eine begründete Antwort braucht es zunächst ein Threat-Modell, das die Bedrohung beschreibt: Welche Daten gilt es vor wem zu schützen?

Es gibt fünf Arten von Datenhungrigen: staatliche Akteure wie Ausländerbehörden und Polizeien; Firmen, darunter Werbetreibende und Datenhändler; kriminelle Organisationen wie Ransomware-Banden oder Phishing-Agenturen; soziale Gruppen, zum Beispiel religiöse oder rechtsradikale; und Privatpersonen, darunter kontrollierende Familienmitglieder und stalkende Ex-Partner*innen. Wer von wessen Datenhunger betroffen ist, können nur die Betroffenen einschätzen.

Je nachdem, vor wem man sich schützt, unterscheiden sich die Rahmenbedingungen: Während ein Familienmitglied häufig physischen Zugriff auf ein Gerät hat, bleibt das Geheimdiensten auf der anderen Seite des Ozeans meist verwehrt, dafür haben die mehr Geld und Ressourcen. Und während gewöhnliche Phishing-Angriffe auf unsere Unbedarftheit setzen und möglichst viele Leute ungezielt behelligen, nutzen Angreifende mit einem konkreten Ziel ganz andere Methoden – etwa ihr Wissen über unsere Gewohnheiten und Schwächen.

„Grundsätzlich ist es so, dass ein Gerät als abgesichert gilt, wenn ein Angriff so teuer ist, dass er vom Angreifer nicht mehr durchgeführt wird“, sagt Alexander Paul von resist.berlin. Die Gruppe berät Menschen, vor allem Aktivist*innen, zu sicherem Umgang mit datenverarbeitenden Systemen.

Quellen und Themen

Neben Alexander Paul und Toni haben für diese Artikelserie über Digitale Selbstverteidigung auch Aaron Wey, ebenfalls CryptoParty-Aktivist, Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sowie Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik Wissen beigesteuert. Zudem sind Surveillance Self-Defense, Security in a Box, Data Detox Kit, Digital First Aid, No Trace Project, The Holistic Security Manual, Mike Kuketz und mobilsicher.de ergiebige Quellen zum Thema.

Digitale Selbstverteidigung lässt sich in sechs Bereiche unterteilen. Wir veröffentlichen etwa wöchentlich je einen Text zu einem Thema.

  • Geräte abhärten – wie man physische Zugriffe auf Datenspeicher vereitelt
  • Sichere Kommunikation – so verschlüsselt man seine Unterhaltungen
  • Sichere Passwörter – und wann der Fingerabdruck zum Entsperren ausreichend ist
  • Funkdisziplin – wie man sich datensparsam durchs Internet bewegt
  • Sicherheitsproblem Mensch – wie man Phishing und Scamming umgeht. Und wer schuld ist, wenn der Datenschutz versagt
  • Freie Software – wie man sich von den Techkonzernen unabhängig macht

Ein bunter Strauß Verteidigungsmaßnahmen

Ein paar Tipps zur DIY-Datenverteidigung gibt es hier schon vorab: Moderne Telefone können heimliche Videoüberwachung mit Laufzeitmessung, Infrarotoptik oder Magnetometer aufspüren, es gibt zahlreiche Apps, die die Techniken dazu verwenden. Wie man Bluetooth-Tracker findet, hat die Electronic Frontier Foundation aufgeschrieben. Alufolie hilft übrigens tatsächlich – zumindest gegen heimliches Auslesen von RFID- und NFC-Chips wie denen im Personalausweis oder der Bankkarte.

Die Adresse eines jeden in Deutschland ansässigen Menschen bekommt jeder, der Namen und Geburtsdatum kennt, recht leicht vom Einwohnermeldeamt. Eine Sperre dessen ist nur zeitlich befristet und gut begründet möglich. Aber man kann sich zumindest gegen Adressabfragen durch Parteien, Adressbuchverlage, Presse und Rundfunk, Religionsgesellschaften und Bundeswehr wehren. Dazu gibt es bei der Verbraucherzentrale ein Widerspruchsformular. Wie man herausfindet, was Firmen und Behörden über einen wissen, zeigen wir hier.

Anonyme Zahlungen sind nur mit Bargeld möglich, im elektronische Geldverkehr ist die SEPA-Überweisung immerhin datensparsamer als Paypal oder Kreditkarten.

Und wer gerne vermeiden möchte, dass jeder Arztbesuch, jede Krankheit und jedes Medikament digital vermerkt werden, sollte überlegen, ob sie oder er nicht der elektronischen Patientenakte widersprechen möchte, die 2025 für alle eingeführt wird. Wer die Vorteile der medizinischen Informationszusammenfassung wahrnehmen möchte, aber nicht allem zustimmen will: Einen Ratgeber, wie man die Informationen aus der elektronischen Patientenakte differenziert verteilen kann, hat die Aidshilfe geschrieben.

Beratung

Für Jedermensch: Cryptopartys
Für Aktivist*innen: resist.berlin, Signal: resistberlin.01, montags 16-20 Uhr und 1. Samstag des Monats 14-18 Uhr, Mahalle, Waldemarstr. 110, Berlin Kreuzberg
Für Journalist*innen: Digital Security Lab der Reporter ohne Grenzen
Bei Sicherheitsvorfällen: Cyber-Sicherheitsnetzwerk

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Martin ist seit 2024 Redakteur bei netzpolitik.org. Er hat Soziologie studiert, als Journalist für zahlreiche Medien gearbeitet, von ARD bis taz, und war zuletzt lange Redakteur bei Berliner Stadtmagazinen, wo er oft Digitalthemen aufgegriffen hat. Martin interessiert sich für Machtstrukturen und die Beziehungen zwischen Menschen und Staaten und Menschen und Konzernen. Ein Fokus dabei sind Techniken und Systeme der Überwachung, egal ob von Staatsorganen oder Unternehmen.

Kontakt: E-Mail (OpenPGP), Mastodon

Veröffentlicht 09.08.2024 um 11:00
Kategorie
Schlagworte
Weitere Artikel

3 Ergänzungen

  1. Großen Dank, dass das Thema digitale Selbstverteidigung hier wieder Beachtung findet, denn es reicht nicht nur, berechtigte Forderungen an Politik und Wirtschaft zu richten, und auf Besserung in einem nächsten Leben zu hoffen.

    Wer für sich selbst Handlungsbedarf im Digitalen feststellt, sollte/muss sich selbst verteidigen können. Das ist nicht bequem, aber möglich. Netz-Communities sind dafür da, dabei zu helfen und solche Kenntnisse und Fähigkeiten zu vermitteln. Zu dieser Kompetenz gehört auch, veraltete und nicht mehr gepflegte Tutorials zu aktualisieren, bzw. vom Netz zu nehmen.

    Jeder fundierte Artikel ist hilfreich. Danke dafür.

    Antworten

  2. Auf https://www.cryptoparty.in/location#germany habe nur in Berlin aktuelle Termine gefunden.
    In wenigen Städten gab es 2023 noch Termine. Der überwiegende Rest hat schon vor Jahren aufgegeben.

    Wer außer Berlin noch was findet, bitte hier posten.

    Und die Michkannen auf dem Land haben von crypto noch nie was gehört und gesehen.

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.