Digitale SelbstverteidigungFunkdisziplin wahren

Wer das Internet nutzt, verrät ständig Details aus seinem Leben. Den Standort oder mit wem man kommuniziert oder wofür man sich interessiert zum Beispiel. Viele dieser Dauerdatenlecks lassen sich versiegeln. Wie man sich datensparsam durchs Netz bewegt, steht hier.

Ein Mobiltelefon mit W-Lan-Symbol
Wenn man es lässt, kräht das Mobiltelefon ziemlich viel in der Gegend herum. – Public Domain Midjourney

Das Wichtigste zuerst: Daten, die nicht anfallen, können auch nicht missbraucht werden. Datensparsamkeit ist die höchste Form von Datenschutz und umfasst zahlreiche Maßnahmen. Eine wäre: Nur das Nötigste übers Netz kommunizieren. Eine andere: Die Apps auf seinem Telefon radikal aussortieren. Denn Apps können Datenschleudern und mögliche Einfallstore für Angriffe sein.

Aaron Wey, Veranstalter von CryptoPartys, sagt: „Die einzigen Daten, die sicher sind, sind Daten, die gar nicht erhoben werden. Sobald Daten irgendwo rumliegen, hat sich in Vergangenheit leider sehr häufig gezeigt, dass die dann doch irgendwann für irgendwen interessant werden.“

Ein weiterer zentraler Aspekt der digitalen Funkdisziplin betrifft den persönlichen Standort. Denn es gibt zahlreiche Wege, auf denen ein Mobiltelefon den in die Welt hinauskräht. Einer davon ist die Mobile Advertising ID (MAID). Zahlreiche Apps verkaufen diese mit den dazugehörigen Standortdaten an allerlei Werbetreibende. Doch auch Sicherheitsbehörden und andere können die Daten in die Hände bekommen.

Wer wann wo war

Eine MAID ist noch kein Klarname, aber oft lässt sich der rekonstruieren, etwa wenn die zugehörigen Standortdaten Bewegungsprofile offenbaren. Wohnort und Arbeitsstelle werden so zum Beispiel relativ schnell offensichtlich. Die MAID lässt sich aber löschen (Android) oder ID-basiertes Tracking verbieten (iOS).

Zusätzlich sollte man allen Apps, die ihn nicht benötigen, den Zugriff auf den Standort entziehen. Dem Berechtigungssystem der modernen mobilen Betriebssysteme lasse sich dabei durchaus trauen, sagt Alexander Paul von resist.berlin, einer IT-Sicherheitsberatung vor allem für Aktivist*innen. „Wer den Standort eh nicht braucht, kann ihn auch einfach für das gesamte Profil deaktivieren, dann hat keine App Zugriff darauf“, sagt er.

Nicht nur Handy-Apps übermitteln Standorte, sondern auch die SIM-Karte. Über eine Funkzellenabfrage lässt sich für staatliche Stellen einsehen, welche Geräte zu einem bestimmten Zeitpunkt in einer bestimmten Funkzelle angemeldet waren. Alexander Paul von der Digitalberatung resist.berlin sagt: „Wenn man mit einer SIM-Karte ein Handy benutzt, weiß der Mobilfunkanbieter, wo man ist, und diese Information ist über ein vereinheitlichtes Portal relativ leicht von Behörden abfragbar.“

Die Information, welche Geräte sich an einem gegebenen Ort befinden, liefert auch ein IMSI-Catcher – eine Art Fake-Funkmast. Manche dieser IMSI-Catcher können auch Gespräche und Datenverkehr über das Mobilfunknetz mitschneiden. Bei modernen Übertragungsstandards wie 4G sind solche Angriffe aufwändiger. Moderne Telefone haben deshalb eine Option, 2G komplett zu deaktivieren.

So sicher ist der Flugmodus

Alexander Paul sagt: „Die Mobilfunkkomponente des Handys kann leicht getrackt werden, der Flugzeugmodus ist aber eine gute Waffe dagegen. Dann kann man im Alltag sein Handy als Handy benutzen. Man kann aber dann, wenn man im Flugzeug-Modus ist, auch an Orte gehen, an denen man nicht so gerne gesehen werden möchte.“

Das Telefon verrät seinen Standort auch, wenn es mit einem W-LAN oder einem Bluetooth-Gerät kommuniziert. Die MAC-Adresse, die in diesem Fall weitergegeben wird, ändert sich bei modernen Geräten jedoch häufig regelmäßig. Das erschwert das Tracking. Mit einem Google-Pixel-Telefon sei es auf jeden Fall möglich, über öffentliche W-LAN-Netze anonymisiert und ohne Angabe des Standorts zu kommunizieren, sagt Alexander Paul. Allerdings müsse man dabei ein Virtual Private Network (VPN) oder das Tor-Netzwerk nutzen.

Datenschutz per VPN

Ein VPN-Service schaltet zwischen Anfragendem und Angefragtem einen Rechner zwischen. Die gesamte Kommunikation vom persönlichen Gerät zum VPN-Server wird verschlüsselt. Wer eine Seite der Kommunikation beobachtet, bekommt nur mit, dass ein Gerät diesen VPN-Server anfragt oder von ihm angefragt wird.

Bei der Nutzung von VPN über mobile Daten fallen allerdings über die Funkmasten weiter Standortdaten an. Dazu kommt der kleine Nachteil, „dass man, je nachdem wo das VPN ins Internet geht, Webseiten vielleicht in einer anderen Sprache sieht“, sagt Alexander Paul von resist.berlin.

Wichtig bei der Nutzung von VPN ist, einen seriösen Anbieter zu wählen. Denn der hat ja letztlich Zugriff auf den gesamten Datenverkehr. Alexander Paul und resist.berlin empfehlen ProtonVPN. Das sei in einer eingeschränkten Version kostenlos, wodurch über die Zahlungsmethode keine Rückschlüsse auf die Nutzer*innen getroffen werden könnten. Außerdem sei es ohne Account nutzbar, ausreichend schnell und logge keine IP-Adressen. Das Unternehmen dahinter habe Sicherheitsprüfungen erfolgreich bestanden und wandele sich gerade zu einer Non-Profit-Organisation.

Eine Auswahlhilfe, welche Faktoren man bei der VPN-Anbieterwahl beachten sollte, bietet die EFF.

Das VPN-Prinzip schützt den Datenverkehr nicht nur im öffentlichen W-LAN sondern auch vor dem persönlichen Mobilfunk- oder Festnetzanbieter. Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Es gibt ja Gesetze, die sagen, dass die Provider auf gerichtliche Anordnung Daten herausgegeben müssen. Und das machen die auch alle. Sonst müssten sie so hohe Strafzahlungen zahlen, dass sie irgendwann bankrott gehen würden.“

Tor zur Anonymität

Das Tor-Netzwerk macht im Prinzip das Gleiche wie ein VPN, nur dass es standardmäßig drei Rechner zwischenschaltet. Die Nachrichten gehen dabei über zufällige andere Rechner ins Internet, werden aber vorher mehrmals verschlüsselt. Das hat zur Folge dass kein*e Rechnerbetreiber*in weiß, von wo nach wo das Datenpaket geht.

Allerdings gibt es laut Alexander Paul von resist.berlin aktuell keinen zuverlässigen Tor-Client für Android. Der Client Orbot schicke, wenn er abstürze, die Daten unter Umständen offen durchs Internet. „Und solche Vorfälle kann man sich zum Beispiel im aktivistischen Bereich halt einfach nicht erlauben. Dann lieber ein etabliertes, qualitatives VPN benutzen. Dann kann man ja immer noch den Tor-Browser in einem Profil mit VPN benutzen. Aber der Basisschutz sollte durch den VPN erfolgen“, sagt er.

Es ist allerdings ein offizieller Tor-Client für Android in Arbeit. „Der wird vermutlich besser als Orbot“, sagt Alexander Paul.

Der Tor-Browser für Laptop- oder Desktopcomputer kann die Datensicherheit auf jeden Fall deutlich verbessern. Um einen Account, der über Tor bedient wird, mit dem oder der Nutzer*in zu verknüpfen braucht es aufwändige Überwachung, die dann per zeitlicher Korrelation zu belegen versucht, dass sich beispielsweise ein bestimmter Account immer dann einloggte, wenn sich eine Person an ihren Rechner setzte.

Aaron Wey von der CryptoParty-Bewegung sagt: „Das ist ein Szenario, das den Tor-Leuten bekannt ist und das die für die große Schwäche von Tor halten. Wenn jemand die Ressourcen dafür motivieren kann, dann kann auch Tor nichts machen.“

Daten sicher löschen

Wer sich datensparsam durchs Netz bewegen möchte, sollte außerdem keine Fotos von sich im Netz veröffentlichen, dann kann mensch auch nicht mit PimEyes und ähnlichen Suchmaschinen gefunden werden – so lange auch niemand anderes ein Foto hochlädt.

Wie man Google möglichst datensparsam verwendet, kann man hier lernen. Ein nützliches Werkzeug der Datensparsamkeit sind auch verschwindende Nachrichten. Denn wenn irgendwer irgendwann Zugriff auf das Gerät erhalten sollte, fällt so zumindest nicht gleich auch die komplette über Jahre gesammelte Kommunikation in fremde Hände.

Andere Daten, die nicht mehr benötigt werden, sollte man als datensparsame Person ebenfalls löschen. Und zwar am besten so, dass sie sich nicht wiederherstellen lassen. Das bedeutet, sie etwa auf Festplatten und USB-Sticks zu überschreiben, was einige Zeit in Anspruch nehmen kann. Falls das nicht möglich ist, bleibt noch die physische Zerstörung des Datenträgers. Auch deshalb empfiehlt es sich, die Daten zu verschlüsseln, so dass auch mutmaßlich gelöschte Daten unzugänglich bleiben.

Datenschutzfreundliche E-Mail-Anbieter

Wer seine Geräte an der wilden Verbreitung persönlicher informationen hindern will, sollte keine unbekannten USB-Sticks einstöpseln, denn es gibt Schadsoftware, die dann ohne weiteres Zutun übertragen wird.

Wichtig für die Themen Datenschutz und Datensicherheit ist auch die Wahl des E-Mail-Anbieters. Die Dienste unterliegen zwar ähnlichen Gesetzen wie die Internetserviceprovider, müssen also auf gerichtlich bestätigte Anfragen von Sicherheitsbehörden mit der Herausgabe von Nutzer*innendaten reagieren. „Allerdings gibt es einige, die immerhin veröffentlichen, wie viele Anfragen sie bekommen, wie viele dieser Anfragen rechtmäßig waren, wie viele sie beantwortet haben. Und die auch darüber berichten. wenn sie zum Beispiel vor Gericht sich über diese Anordnungen auseinandersetzen. Das wären zum Beispiel Posteo, Mailbox.org und Tuta, die mir da einfallen“, sagt Janik Besendorf.

Es gibt auch einige Möglichkeiten, den Datenausstoß beim Browsen zu verkleinern. Das Deaktivieren von Drittanbieter-Cookies zum Beispiel. Oder bei sehr hohem Sicherheitsinteresse das Deaktivieren von JavaScript. „JavaScript im Browser erhöht die Angriffsoberfläche und ermöglicht weitreichendes Fingerprinting“, sagt Alexander Paul von resist.berlin. Ohne JavaScript könne aber nur noch ein Bruchteil der Webseiten normal funktionieren.

Für die allermeisten Menschen sei diese Sicherheitsvorkehrung deshalb vermutlich nicht praktikabel, aber „wer supervorsichtig unterwegs sein will, kann natürlich JavaScript pauschal deaktivieren und dann bei vertrauenswürdigen Seiten per-site wieder aktivieren. Darüber könnte man zum Beispiel als Journalist*in nachdenken, die/der regelmäßig Links von Quellen bekommt und die sicher sichten möchte“, sagt er.

Datensparsam surfen

Allen Notebook- und Desktop-PC-Nutzer*innen empfiehlt Alexander Paul den Einsatz von uBlock Origin, einem Addon, das nicht nur Werbung und Schadsoftware blockiert, sondern auch Online-Tracker.

Das Add-on Privacy Badger von der Electronic Frontier Foundation sorgt selbstlernend für Datenschutz. Außerdem kann auch schon die Wahl des Browsers beeinflussen, wie viele Daten vom Gerät abfließen. Die Firefox-Variante Firefox Klar etwa gilt als besonders datenschutzfreundlich.

Für Mobilgeräte rät Alexander Paul von Firefox-basierten Browsern ab, da diese gegenüber Chrome Sicherheitsnachteile hätten. Dabei geht es vor allem darum, wie die sogenannten Sandboxes bei den Browsern implementiert sind. Vereinfacht gesagt: Wie einfach ist es für eine bösartige Website, aus dem Browserfenster auszubrechen und dem restlichen Betriebssystem zu schaden?

Steht Datenschutz im Vordergrund, macht Firefox es den Nutzer*innen leichter. Bei Chrome auf Mobilgeräten empfiehlt Paul daher, AdGuard als privates DNS einzutragen. Dabei ist interessant zu wissen, dass man je nachverfolgbarer wird, je mehr Einstellungen man am Browser verändert. Die Logik dahinter nennt sich Fingerprinting. Damit werden Nutzer*innen anhand ihrer Browsereinstellungen identifiziert.

CryptoParty-Veranstalter Aaron Wey sagt: „Die meisten Browser schicken im Hintergrund sehr viele Metadaten mit. Bildschirmgröße, Sprache, Auflösung, unterstützte Grafikkarte. Da gibt es Studien, dass sehr wenige Merkmale des Browsers dich schon relativ einzigartig machen.“ Der Tor-Browser versuche das zu vermeiden, indem er auf allen Geräten gleich aussieht. „Aber da muss man als Endnutzer verantwortungsvoll mit umgehen, und zum Beispiel möglichst keine Einstellungen ändern. Weil jede veränderte Einstellung dich einzigartiger macht.“

Unkontrolliertes Datenverschleudern droht übrigens besonders bei der Nutzung von Social Media. Front Line Defenders und New York Times haben gute Anleitungen, wie man Social Media datensparsamer nutzen kann. Die viel nettere Variante ist allerdings das Fediverse mit dem Projekt Mastodon, wo es gar keinen zentralen, datenhungrigen Betreiber gibt. Außerdem findet man dort viele netzpolitik.org-Redakteur*innen :)

Mehr Tipps zur digitalen Selbstverteidigung gibt es hier und unter netzpolitik.org/digitale-selbstverteidigung.

Update, 10.9.2024, 11.25 Uhr: Erklärung Tor präzisiert.

16 Ergänzungen

  1. >> Das Tor-Netzwerk macht im Prinzip das Gleiche wie ein VPN, nur dass es standardmäßig drei Rechner zwischenschaltet.

    https://www.ndss-symposium.org/wp-content/uploads/2024-337-paper.pdf

    Flow Correlation Attacks on Tor Onion Service Sessions with Sliding Subset Sum

    Tor is one of the most popular anonymity networks in use today. Its ability to defend against flow correlation attacks is essential for providing strong anonymity guarantees. However, the feasibility of flow correlation attacks against Tor onion services (formerly known as „hidden services“) has remained an open challenge. In this paper, we present an effective flow correlation attack that can deanonymize onion service sessions in the Tor network. Our attack is based on a novel distributed technique named Sliding Subset Sum (SUMo), which can be deployed by a group of colluding ISPs worldwide in a federated fashion. These ISPs collect Tor traffic at multiple vantage points in the network, and analyze it through a pipelined architecture based on machine learning classifiers and a novel similarity function based on the classic subset sum decision problem. These classifiers enable SUMo to deanonymize onion service sessions effectively and efficiently. We also analyze possible countermeasures that the Tor community can adopt to hinder the efficacy of these attacks.

    1. Ich befürchte wenn es dein Threat Model ist, dass mehrere internationale ISPs sich gegen dich verbünden um deinen Circuit zu deanonymisieren, hast du vllt noch deutlich andere Probleme.

      Es gibt ja noch andere Angriffsvektoren und man müsste bei einem solchen Level noch viel mehr Aufwand betreiben wie Schreibstilobfuskierung damit verschiedene Accounts nicht korreliert werden können, ebenso Onlinetime obfuskation, TEMPEST und normale WLAN Abstrahlungen abschirmen, Hausdurchsuchung und Verwanzung haben allesamt schon Leute in den Knast gebracht.

      Mein Hauptsächliches Threat Model: Die Werbemafia

      Bitte gern korrigieren, aber ich traue der Werbemafia dieses Level an technischem Trickery nicht zu. Vermutlich jedoch der NSA, aber die interessiert sich wahrscheinlich nicht **so sehr** für mich.

      Tor ist kein Allheilmittel, aber es ist das beste und effektivste was wir momentan an Low-Latency-Networks haben.

      IMO richtet sich der Artikel an „den normalo“ und keine OPSEC Spezialisten. Und das macht er auch echt gut.

      1. „Vermutlich jedoch der NSA, aber die interessiert sich wahrscheinlich nicht **so sehr** für mich.“

        Das hatte vor ca. zehn Jahren Stefan Hahn, damals Betreiber eines Tor-Directory-Authority-Servers, auch gedacht, als dessen IP auf XKeyScore der NSA gefunden wurde.

        Man kann davon ausgehen: Sobald man irgendetwas im Netz macht, was nicht dem gängigen Mainstream („ich habe nichts zu verbergen“, ich bin ein unkritischer Bürger, ich bin kein Journalist oder Aktivist usw.),entspricht, läuft man Gefahr, als verdächtig zu gelten. Man muss zwar nicht gleich mit einem Tempest-Angriff rechnen, aber die Hemmschwelle des Staates, massive Geschütze aufzufahren, sinkt bekanntlich immer weiter. Es ist deshalb immer besser, das Bedrohungsmodell im Zweifelsfall eine Stufe höher anzusetzen als umgekehrt.

        Bezüglich der Werbewirtschaft liegt das Problem vor allem in der Weiterleitung der durch Werbung gewonnenen Daten an Dienste (s. patriot act).

        Das Tor-Netzwerk selbst ist – bei allem durchaus vorhandenen unbestreitbaren Nutzen – durchaus gefährdet.
        Die zeitliche und mengenbezogene Korrelationsanalyse ist dabei nur ein Aspekt, neuere Attacken sind z. B. Lahmlegen der Directories und dadurch erzwungene Neuwahl der Circuits, Übernehmen der Directories sowie DDoS- oder Overflow-Attacken usw.
        Ein großes Problem ist mittlerweile Cloudflare, das Webseitenbetreiber immer häufiger verwenden und das Circuits mit Random-Adressen bombardiert. Dadurch werden die Auswahlmöglichkeiten für Hops begrenzt, was wiederum denjenigen nützt, die diese korrelieren oder per DPI zu attackieren versuchen.
        Um Tor wirklich wirksam zu nutzen, muss man Anonymität und Sicherheit als Gesamtkonzept sehen und verstanden haben, was Anonymität ist – und was nicht. Gekoppelt mit einer (am besten VM-basierten) Informationsseparation oder nicht persistenten Systemen auf Linux-Basis kann man dann eine Menge erreichen.

        1. Ich finde es immer ganz großartig, wenn Konzepte und Tools die die Anonymität MASSIV erhöhen direkt mal mit einem „DA KANN MAN ABER NIE GANZ SICHER SEIN!!11!1“ gekontert werden.

          Nein, 100% sicher ist man nie.
          Und doch, es hilft schon sehr, sehr viel wenn man auf 80, 90, oder in diesem Fall möchte ich behaupten 99% oder höher kommt.

          Also bitte den TOR-Browser im Dorf lassen.
          Amen.

          1. „Also bitte den TOR-Browser im Dorf lassen.“

            Warum die Aufregung? Niemand will den Tor-Browser aus „dem Dorf“ werfen.

            Aber um auf die 99% zu kommen, muss man mehr tun als ihn nur zu bedienen. Dabei werden oft viele Fehler gemacht, entweder aus Nichtwissen, fehlender Selbstdisziplin oder einer „Ach lass mal, wird schon reichen“-Mentalität.

            And don´t forget: Genau die, die ihn „aus dem Dorf“ haben möchten, schlafen nicht, weder technisch noch taktisch. Deshalb: Nicht naiv, sondern wachsam sein und mitdenken!

      2. >> Ich befürchte wenn es dein Threat Model ist, dass mehrere internationale ISPs sich gegen dich verbünden um deinen Circuit zu deanonymisieren, hast du vllt noch deutlich andere Probleme.

        https://www.tagesschau.de/investigativ/panorama/tor-netzwerk-100.html
        Strafverfolgungsbehörden in Deutschland lassen Server im Tor-Netzwerk teils monatelang überwachen, um Tor-Nutzerinnen und -Nutzer zu deanonymisieren. Besonders betroffen sind Seiten im sogenannten Darknet. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (funk/NDR).

        Tor Status >> http://t3qi4hdmvqo752lhyglhyb5ysoutggsdocmkxhuojfn62ntpcyydwmqd.onion
        Tor Knoten >> chooThaineha 80112 14 d 23 h lucaswerkmeister.de [46.4.66.178] OrPort >> 9001
        https://search.censys.io/hosts/46.4.66.178
        Routing 46.4.0.0/16 via HETZNER-AS, DE (AS24940)
        OS Debian Linux Services (11) 25/SMTP, 80/HTTP, 143/IMAP, 443/HTTP, 587/SMTP, 993/IMAP, 4190/PIGEONHOLE,
        >> 9001/UNKNOWN, 9030/HTTP, 22222/SSH, 25565/MINECRAFT
        >> UNKNOWN 9001/TCP 09/18/2024 02:35 UTC
        TLS Handshake Version Selected TLSv1_3 Cipher Selected TLS_AES_256_GCM_SHA384
        Certificate Fingerprint 90f7b8a78e21c4d8e020cf280a34cceffb2c688e22ce388eab6e6bf5436ac070
        Subject CN=www.houdtz4pnckpg5.net
        Issuer CN=www.5koptscriutq3hmqff.com
        Names http://www.houdtz4pnckpg5.net
        Fingerprint JARM 2ad2ad16d2ad2ad00042d42d000000332dc9cd7d90589195193c8bb05d84fa
        JA3S 15af977ce25de452b96affa2addb1036
        JA4S t130200_1302_a56c5b993250

        …..

  2. Der erwähnte PrivacyBadger blockiert übrigens auf dieser Seite ein Cookie zu slb-vgwort-de-pool03.vgwort-de.2cnt.net

    Und uBlock Origin blockiert den Zugriff auf fingerprint.min.js

  3. Also AdGuard zu empfehlen finde ich schwierig.
    Ich bevorzuge NextDNS gegenüber AdGuard als DNS-Filter-Anbieter. Meine Gründe dafür sind die folgenden.

    – Ich habe mehr Vertrauen in NextDNS. Die Gründer sind öffentlich sichtbar und ich weiß, wer das Unternehmen leitet. Es handelt sich um seriöse Leute, die sich in diesem Bereich stark engagiert haben und ihre Gründe für den Dienst transparent darlegen.
    – Ein Premium-Geschäftsmodell erklärt die Finanzierung der Ressourcen.
    – AdGuard ist ein russisches Unternehmen, das nach Zypern verlagert wurde, aber seine Infrastruktur bleibt in Russland. Ein russischer CEO hat eine minimale Präsenz im Internet, aber es gibt keine Informationen über andere Eigentümer.
    – Der Support von NextDNS war hervorragend. Als ich beide Unternehmen mit Fragen zum Produkt kontaktiert habe, hat nur NextDNS geantwortet. Einer der Besitzer hat mir alle Einzelheiten mitgeteilt.
    – NextDNS filtert abseits vom Gerät. Das Umgehen von Apple und Google von Apps wie AdGuard ist damit kein Thema mehr. Und AdGuard als DNS Anbieter ohne App beinhaltet wieder die zuvor beschriebenen Probleme.
    Auf Android könnte man netguard, adaway etc. nutzen.

    1. NextDNS erfordert eine Reghistrierung und vergibt dabei für jeden Nutzer eine individuelle ID, die bei jedem Request mitgesendet wird. Alternativ ist IP Linking möglich, so dass NextDNS immer die IP Adresse des Nutzers kennt. In beiden Fällen kann der NextDNS die DNS Abfragen und somit Dein Nutzungsverhalten im Internet verfolgen. Das wiederspricht ausdrücklich der Intention des Beitrags, die Daten zu minimieren.

    2. Erfordert NextDNS auch keine Beschäftigung mit dem Themenkomplex Rooten/Jailbreaken?

      Falls die Antwort „Nein“ lautet, wäre AdGuard „normiefreundlicher“. Denn 90 % der Leute, die einen Werbeblocker nötig hätten, hätten bei der Erklärung des Themenkomplexes eine sehr kurze Aufmerksamkeitsspanne und würden einfach weitermachen wie vorher.

  4. If you want to be safe, do not use any electronic device. ALL above articles suggestions are outdated and do not work like that. Seems the author do not understand technology.

  5. Wie schaut’s mit PiHole vs. NextDNS aus? Was ist mit dem Thema „Fritte“ zu Hause? Für mich einer der größten Vektoren überhaupt (einmal kompromittiert, millionen Benutzer „am Haken“)

  6. Part 1:

    Real_skydiver und Green:

    Berufsgeheimnisträger sollten auf gar keinen Fall die privaten IT-Geräte beruflich nutzen. Das müssen sie und andere übrigens auch rechtlich nicht. Wenn es ein “Dienstphone” sein soll, muss der Arbeitgeber es zur Verfügung stellen und bestmöglich absichern. Der Nutzer darf selbstverständlich keine privaten Daten über eine Schnittstelle wie z. B. USB auf das Diensttelefon (wie auch den Dienst-PC) übertragen und umgekehrt.

    Es kommt immer auf die Sicherheitslage an. Ein Finanz- oder “klassischer” Polizeibeamter im Streifendienst, der sein privates Telefon mitnimmt, wird weniger bedroht sein als ein unter einer Legende im Bereich der Organisierten Kriminalität tätiger Ermittler.

    Man sollte grundsätzlich Berufliches und Privates strikt auf verschiedene Geräte aufteilen, egal ob Desktop/Laptop oder Mobilfunk.

    Thema “Fritte” u. a..:

    Auch hier kommt es auf den Sicherheitsanspruch an. Für extrem hohe Anforderungen ist sie ganz klar nicht ausreichend (wie man eine Cyberdiode bastelt, würde jetzt den Rahmen sprengen :)

    Wenn es aber “nur” um Werbefilterung geht, kann man z. B. die DNS-Server IPv4 und IpPv6 des Providers in den Einstellungen gegen andere ersetzen. Freifunk, dismail.de oder dsnforge.de u. a. bieten da einiges an. Cloudflare würde ich nicht nehmen.

    Niemals der Fritte einen Remotezugriff geben, weder über https noch ftps! So oft muss man nichts aus der Ferne ändern, als das man das müsste.
    LAN statt WLAN, wenn man letztes nicht unbedingt braucht!
    Für die Fritte UND das WLAN sehr starke und natürlich verschiedene Passwörter, d. h. mindestens 40 Stellen nach den üblichen Empfehlungen!
    Keinen Gastzugang vergeben wenn nicht unbedingt nötig!
    In der Telefonie eingehende Auslandsvorwahlen blacklisten, wenn man sie nicht unbedingt braucht!

    Weiter Part 2:

  7. Part 2 (Thema „Fritte“):
    Unnötige Portfreigaben vermeiden – sie sind potentielle Einfallstore!
    Keinen speziellen Usernamen vergeben, mit dem die Fritte unter vielen erkannt werden kann, schon gar keinen mit dem eigenen (User- oder Familien-)Namen.
    DynDNS abschalten.
    Keine Mail vergeben für Registrierung im Menü.
    Im Menüpunkt “Sicherheit” die Nutzung von Internettelefonie aus dem Heimnetz unterbinden und die Anzahl der ausgehenden Anrufe ins Ausland (wenn nicht benötigt) begrenzen.
    Bei den Netzwerkfreigaben den Zugriff von Anwendungen auf Einstellungen der Fritte unterbinden.
    Kein USB direkt über die Fritte!
    Im Menü an den Namen fürs WLAN “_nomap” anfügen (ohne Anführungszeichen).
    Wenn DECT nicht benötigt wird, abschalten.
    Push-Services deaktivieren, man braucht sie nicht.
    Tastensperre an der Fritte aktivieren.
    “Bestätigen von Ausführungen bestimmter Funktionen zusätzlich bestätigen” einschalten.
    Wenn alles fertig ist: mit Kennwort gesicherte SIK erstellen und in sicherer Umgebung aufbewahren.

    Pi-Hole ist ein Quasi-in Linux integrierter Linux-DNS-Server und funktioniert gut, man muss aber einstellen, was gefiltert werden soll. Das geht aber nur bei Content, dessen Adresse nicht vorher durch den Client gecheckt wird.

    Man kann natürlich noch viel mehr machen, aber dazu muss man tiefer in Linux einsteigen … na wie wär´s? :)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.