Daten sind der Rohstoff des Überwachungskapitalismus. Daten bringen Geld und Macht. Gleichzeitig gibt es wohl über jede Person Informationen, die sich in den falschen Händen nachteilig für sie auswirken können. Oder die sie einfach nicht mit allen teilen will.
Es geht nicht darum, ob man etwas zu verbergen hat. Das Recht auf Privatsphäre ist grundlegend für die Entwicklung von Persönlichkeit und auch für die Demokratie. Menschen sind anders unter Beobachtung. Konformer. Privatsphäre erlaubt Abweichung. Eine Welt ohne kann nur eine totalitäre sein.
Wer trotzdem noch meint, dass Datenschutz nicht wichtig ist, kann ja mal in einem Gedankenexperiment gesammelte Chats in einen Reddit-Post kopieren, Kontoauszüge in die Nachbars-Briefkästen werfen und Flyer mit Accounts und Passwörtern in der Innenstadt verteilen. Keine schöne Vorstellung?
Dann: Hallo, herzlich willkommen in der Gruppe von Menschen, denen es mindestens ein bisschen wichtig ist, wer was über sie weiß. Hier ist ein Leitfaden zur digitalen Selbstverteidigung.
Datenschutz und Datensicherheit
Es geht bei digitaler Selbstverteidigung sowohl um Datenschutz als auch um Datensicherheit, oft auch um eine Mischung aus beiden. Scharf sind die Begriffe nicht zu trennen, grob kann man sagen: Datensicherheit basiert auf Maßnahmen, die Daten im je persönlichen Besitz vor unbefugtem Zugriff und Verlust sichern – egal ob Tagebuch oder Musiksammlung. Beispiel: Festplatte verschlüsseln oder Backups machen.
Datenschutz hingegen sorgt dafür, dass personenbezogene Daten entweder nicht erhoben oder zumindest nicht unkontrolliert verbreitet werden. Er schützt also eigentlich nicht Daten, sondern vielmehr Menschen. Beispiel: Werbe-ID ausschalten oder Social-Media-Abstinenz.
Wir haben nach Lösungen gesucht, die selbst Staatstrojanern und physischem Zugriff mit Forensiksoftware widerstehen können. Die man braucht, wenn ein mächtiger Gegner jede Menge Ressourcen auf das Ziel setzt, an die Daten zu kommen. Die Recherche hat Tipps ergeben, mit denen sich Spitzenpolitiker*innen und Whistleblower*innen vor Angriffen auf ihre Daten schützen könnten, oder Aktivisti im Fokus staatlicher Behörden und Journalist*innen, die mit solchen zu tun haben.
Die meisten Tipps sind aber auch für Menschen mit einem eher alltäglichen Bedrohungsmodell geeignet. Welche Maßnahme jeweils zum Einsatz kommen sollte, ist immer eine persönliche Abwägung zwischen Aufwand und Risiko.
Eine Frage der Bequemlichkeit
Toni, Aktivist*in bei CryptoParty, einem Bildungsprojekt zu sicherem Umgang mit digitalen Werkzeugen, sagt: „Die meisten Menschen wollen nicht, dass ihr Haus abbrennt. Und während manche dafür vielleicht sogar auf offene Flammen wie Kerzen verzichten, können sich die wenigsten ein Leben ohne Herd und Elektrogeräte vorstellen. Ein Rohbau ist relativ brandsicher, aber halt unbequem zum Wohnen. Die Frage ist: Wie wichtig ist mir welche Bequemlichkeit und wie weit will ich gehen für die Sicherheit?“ Für eine begründete Antwort braucht es zunächst ein Threat-Modell, das die Bedrohung beschreibt: Welche Daten gilt es vor wem zu schützen?
Es gibt fünf Arten von Datenhungrigen: staatliche Akteure wie Ausländerbehörden und Polizeien; Firmen, darunter Werbetreibende und Datenhändler; kriminelle Organisationen wie Ransomware-Banden oder Phishing-Agenturen; soziale Gruppen, zum Beispiel religiöse oder rechtsradikale; und Privatpersonen, darunter kontrollierende Familienmitglieder und stalkende Ex-Partner*innen. Wer von wessen Datenhunger betroffen ist, können nur die Betroffenen einschätzen.
Je nachdem, vor wem man sich schützt, unterscheiden sich die Rahmenbedingungen: Während ein Familienmitglied häufig physischen Zugriff auf ein Gerät hat, bleibt das Geheimdiensten auf der anderen Seite des Ozeans meist verwehrt, dafür haben die mehr Geld und Ressourcen. Und während gewöhnliche Phishing-Angriffe auf unsere Unbedarftheit setzen und möglichst viele Leute ungezielt behelligen, nutzen Angreifende mit einem konkreten Ziel ganz andere Methoden – etwa ihr Wissen über unsere Gewohnheiten und Schwächen.
„Grundsätzlich ist es so, dass ein Gerät als abgesichert gilt, wenn ein Angriff so teuer ist, dass er vom Angreifer nicht mehr durchgeführt wird“, sagt Alexander Paul von resist.berlin. Die Gruppe berät Menschen, vor allem Aktivist*innen, zu sicherem Umgang mit datenverarbeitenden Systemen.
Quellen und Themen
Neben Alexander Paul und Toni haben für diese Artikelserie über Digitale Selbstverteidigung auch Aaron Wey, ebenfalls CryptoParty-Aktivist, Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sowie Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik Wissen beigesteuert. Zudem sind Surveillance Self-Defense, Security in a Box, Data Detox Kit, Digital First Aid, No Trace Project, The Holistic Security Manual, Mike Kuketz, mobilsicher.de und E-Learning von epicenter.academy ergiebige Quellen zum Thema.
Zum Thema Gesichtserkennung waren der Bildwissenschaftler Roland Meyer, Florian Berkowsky, Leiter einer Maskenbildnerschule, Benjamin Maus, Professor im Fachbereich New Media der Universität der Künste in Berlin, Naiara Bellio von AlgorithmWatch und Raul Vicente Garcia vom Fraunhofer-Institut für Produktionsanlagen und Konstruktionstechnik, Abteilung Maschinelles Sehen, hilfreiche Ansprechpartner.
Digitale Selbstverteidigung lässt sich in sieben Bereiche unterteilen.
- Geräte abhärten – wie man physische Zugriffe auf Datenspeicher vereitelt
- Sichere Kommunikation – so verschlüsselt man seine Unterhaltungen
- Sichere Passwörter – und wann der Fingerabdruck zum Entsperren ausreichend ist
- Funkdisziplin – wie man sich datensparsam durchs Internet bewegt
- Gesichtserkennung verhindern – wie man sich gegen biometrische Überwachung wehren kann
- Sicherheitsproblem Mensch – wie man Phishing und Scamming umgeht. Und wer schuld ist, wenn der Datenschutz versagt
- Freie Software – wie man sich von den Techkonzernen unabhängig macht
Ein bunter Strauß Verteidigungsmaßnahmen
Ein paar Tipps zur DIY-Datenverteidigung gibt es hier schon vorab: Moderne Telefone können heimliche Videoüberwachung mit Laufzeitmessung, Infrarotoptik oder Magnetometer aufspüren, es gibt zahlreiche Apps, die die Techniken dazu verwenden. Wie man Bluetooth-Tracker findet, hat die Electronic Frontier Foundation aufgeschrieben. Alufolie hilft übrigens tatsächlich – zumindest gegen heimliches Auslesen von RFID- und NFC-Chips wie denen im Personalausweis oder der Bankkarte.
Die Adresse eines jeden in Deutschland ansässigen Menschen bekommt jeder, der Namen und Geburtsdatum kennt, recht leicht vom Einwohnermeldeamt. Eine Sperre dessen ist nur zeitlich befristet und gut begründet möglich. Aber man kann sich zumindest gegen Adressabfragen durch Parteien, Adressbuchverlage, Presse und Rundfunk, Religionsgesellschaften und Bundeswehr wehren. Dazu gibt es bei der Verbraucherzentrale ein Widerspruchsformular. Wie man herausfindet, was Datenhändler über einen wissen, zeigen wir hier.
Anonyme Zahlungen sind nur mit Bargeld möglich, im elektronische Geldverkehr ist die SEPA-Überweisung immerhin datensparsamer als Paypal oder Kreditkarten.
Und wer gerne vermeiden möchte, dass jeder Arztbesuch, jede Krankheit und jedes Medikament digital vermerkt werden, sollte überlegen, ob sie oder er nicht der elektronischen Patientenakte widersprechen möchte, die 2025 für alle eingeführt wird. Wer die Vorteile der medizinischen Informationszusammenfassung wahrnehmen möchte, aber nicht allem zustimmen will: Einen Ratgeber, wie man die Informationen aus der elektronischen Patientenakte differenziert verteilen kann, hat die Aidshilfe geschrieben.
Beratung
Für Jedermensch: Cryptopartys
Für Aktivist*innen: resist.berlin, Signal: resistberlin.01, montags 16-20 Uhr und 1. Samstag des Monats 14-18 Uhr, Mahalle, Waldemarstr. 110, Berlin Kreuzberg
Für Journalist*innen: Digital Security Lab der Reporter ohne Grenzen
Bei Sicherheitsvorfällen: Cyber-Sicherheitsnetzwerk
Update, 12.8.2024, 8.40 Uhr: Link zu Datenabfrage aktualisiert.
Update, 12.8.2024, 12.20 Uhr: Link zu E-Learning von epicenter.academy hinzugefügt.
Update, 11.9.2024, 16.55 Uhr: Text und Expert*innen zur Verhinderung von Gesichtserkennung ergänzt.
Großen Dank, dass das Thema digitale Selbstverteidigung hier wieder Beachtung findet, denn es reicht nicht nur, berechtigte Forderungen an Politik und Wirtschaft zu richten, und auf Besserung in einem nächsten Leben zu hoffen.
Wer für sich selbst Handlungsbedarf im Digitalen feststellt, sollte/muss sich selbst verteidigen können. Das ist nicht bequem, aber möglich. Netz-Communities sind dafür da, dabei zu helfen und solche Kenntnisse und Fähigkeiten zu vermitteln. Zu dieser Kompetenz gehört auch, veraltete und nicht mehr gepflegte Tutorials zu aktualisieren, bzw. vom Netz zu nehmen.
Jeder fundierte Artikel ist hilfreich. Danke dafür.
Auf https://www.cryptoparty.in/location#germany habe nur in Berlin aktuelle Termine gefunden.
In wenigen Städten gab es 2023 noch Termine. Der überwiegende Rest hat schon vor Jahren aufgegeben.
Wer außer Berlin noch was findet, bitte hier posten.
Und die Michkannen auf dem Land haben von crypto noch nie was gehört und gesehen.
In Augsburg war letze am 31.07.2024 (Mi)
https://www.cryptoparty.in/augsburg <– Mit prima Folien zum runterladen
Vermutlich gehts nach der Sommerpause dort wieder monatlich weiter. Vorbildlich!
A hidden tracking tool in the website for Reform UK collected private browsing data about potentially millions of people, often without consent, and shared it with Facebook for use in targeted advertising.
An Observer investigation has found that people visiting the website for Nigel Farage’s anti-immigration party had details of their activity captured by a digital surveillance tool known as a Meta pixel.
https://www.theguardian.com/politics/article/2024/aug/10/reform-uk-tracked-private-user-information-without-consent
Was ist Meta Pixel?
https://instapage.com/blog/meta-pixel
Pixel Hunt:
„Companies may now be tracking in a way that’s completely undetectable by users and their devices.“
https://themarkup.org/pixel-hunt/2023/08/02/help-us-investigate-surveillance-marketing-using-facebook-data
Wer kennt sich aus im privacy-policy-Sprech?
Hier ist ein Leitfaden zum Verständnis sog. Code words für das “ad targeting”
https://themarkup.org/the-breakdown/2023/08/03/how-to-quickly-get-to-the-important-truth-inside-any-privacy-policy
Ein Thema auch für einen Artikel in deutscher Sprache?
Um den Artikel auf Deutsch lesen zu können, brauchst du ihn nur ins linke Fenster bei DeepL ( deepl.com ) einzufügen. DeepL ist zwar eine maschinelle Übersetzung, aber zumindest bei Übersetzungen zwischen Deutsch und Englisch deutlich besser als Google Translate (das sich seit der Schließung von „Babel Fish“ durch dessen damaligen Eigentümer Yahoo im Jahr 2012 zum inoffiziellem Nachfolger von Babel Fish entwickelt hat).
https://www.cryptoparty.in/tuebingen
(ca 80 Cryptoparties seit 2014)
Vielversprechender Ansatz. Ich freue mich darauf!
Ich würde mir wünschen, dass die alternativen Selbstverteidigungsangebote etwas eingeordnet würden. Dese postulieren zuweilen sehr konträre Meinungen und Strategien, was ohne sehr viel Backgroundwissen genau das Gegenteil von Aufklärung bewirkt.
Hallo Grüezi,
hast du dafür ein Beispiel? Das würde mich sehr interessieren.
Mit freundlichen Grüßen
Aaron
Ganz allgemein braucht es schon ein wenig Medienkompetenz. Wenn einem da jemand mit einem „alternativen“ Irgendwas daherkommt, dann ist höchste Vorsicht angesagt.
Kurzum „alternatives Wissen“ stellt sich oft als das Gegenteil von Wissen heraus.
„Alternative Fakten“ ist eine Umschreibung für Fiction.
Schau dir genau an, von wem du einen Rat annehmen willst. Fachliche Reputation ist zwar ein wenig aus der Mode gekommen, aber genau darum geht es.
Der erste und wichtigste Schritt wäre das Ersetzen von Windows durch Linux. Ein Betriebssystem, das selbst abhört und sendet, untergräbt alle weiteren Bemühungen.
Z.B.: Ich brauche meine E-Mails nicht mehr zu verschlüsseln, wenn sie bereits beim Tippen an MS, CIA und wer weiß wen noch verschickt wurden.
Enttäuschung,
mehrere Seiten Gelaber über das, was jeder schon weiß. Wenn es dann konkret wird, kommt direkt der Wink mit den €uros. Spenden werden erbeten, obwohl es noch keine bemerkenswerte Information gibt, was der Leser erwarten kann.
Mit freundlichen Grüßen