»Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben.«
Wir nehmen heute an, daß es sinnvoller ist, unsere politischen und wirtschaftlichen Systeme stetig dem Wandel anzupassen und sie ohne Unterbrechung zu transformieren, anstatt sie erst gegen die Wand zu fahren und andere zu etablieren, die womöglich noch in der Vergangenheit versagt haben.
Trotzdem gibt es von Regierungsorganisationen immer wieder Versuche und Vorstöße, unser Recht auf die persönliche Freiheit und Privatsphäre im Netz massiv einzuschränken oder auszuhöhlen. Das letzte Beispiel ist hier die Chatkontrolle der EU, die versucht wird, mit Argumenten zu begründen, die besonders sensible Bereiche (hier: unsere Kinder) absichern sollen. Regierungen und sogar Zusammenschlüsse aus solchen haben in der Vergangenheit vielerlei Überwachungsprogramme etabliert, die das Potential dazu haben, die Privatsphäre von Privatpersonen zu bedrohen oder gar ganz zu berauben und die damit den Fortbestand der persönlichen Freiheit von Menschen gefährden.
»Wer Freiheit für Sicherheit aufgibt, wird am Ende beides verlieren.«
Der zunehmende Überwachungskapitalismus verkörpert das menschenverachtende und herabwürdigende Verhalten der wirtschaftlichen Unternehmen aller Lebensbereiche, zunehmend zu versuchen, mit der Ökonomisierung ihrer Produkte und Verkaufsstrategien invasiv in die persönlichen Bereiche ihrer Kunden einzudringen und menschliches Verhalten durch dessen Steuerung auszubeuten.
Das Verhalten eines Menschen wird dabei zunächst kontinuierlich aufgezeichnet und es wird ein Profil daraus gebildet (Tracking und Profiling), um anschließend verschiedene Fragestellungen zu dieser Person beantworten und ihr Verhalten steuern zu können. Dazu dienen alle möglichen Mittel :
Den Konsumenten wird diese Ausbeutung dann als "persönliches Nutzererlebnis" verkauft. Ihre Daten werden in Clouds eingesperrt, zu denen sie meist keinerlei Zugriff haben.
»Der Überwachungskapitalismus beansprucht die menschliche Erfahrung als kostenloses Rohmaterial für die Umwandlung in Verhaltensdaten [...] Es reicht nicht mehr aus, den Informationsfluss über uns zu automatisieren; das Ziel ist jetzt, UNS zu automatisieren.«
Ein großes Problem sind dabei große, zentralisierte Dienstanbieter und Konzerne. Sie sind ein zentraler Angriffspunkt zur Informationskontrolle und Zensur. Was ursprünglich der Monetarisierung ihrer kostenlosen Dienste gelten sollte, hat sich in wenigen Jahren zur übergriffigen "Geld-Druckmaschine" entwickelt, und die Algorithmen ihrer Plattformen sind, da sie stark polarisierend wirken,
das pure Gift für die Empathie unserer Gesellschaft, doch weil sie finanziell am lukrativsten sind, wollen Anbieter wie Google und Youtube, Facebook oder Twitter bis heute nicht davon ablassen und stellen sich ihrer Verantwortung in fraglichster Weise.
Die Regulierung dieser Plattformen durch Politik und Gesellschaft, ist dringendst notwendig...der Digital Services Act ist...zumindest ein Anfang.
Und Du?
Wo führt dieser stetig wachsende Paternalismus von Staat, Wirtschaft und den öffentlich-rechtlichen Medien hin? Wird die Krankenversicherung irgendwann billiger, wenn auf dem elektronisch bezahlten
Einkaufszetteln weniger Chips und Zucker stehen? Werden unerwünschte, unkonforme Verhaltensweisen irgendwann systematisch wie in China durch Sozialkredit-Systeme angeprangert und die betroffenen Menschen dafür für Jeden erkennbar stigmatisiert ?
Wir müssen uns rechtzeitig fragen, welche möglichen Dystopien wir ZU UMSCHIFFEN haben, und wie wir das gemeinsam erreichen können.
»Geld nennt man heute Knete, weil man jeden damit weich bekommt.«
Damit Daten überhaupt ihren Weg von einem Gerät durch das Internet zu einem anderen Gerät finden können, werden sie, einer Matrjoschka ähnlich, mehrmals in einzelne Pakete verpackt und durchlaufen dabei verschiedene Schichten ("Layer"), in denen zur Kommunikation verschiedene Sprachen ("Protokolle") gesprochen werden.
Der Protokollstapel des Internets wurde nachträglich inform von 7 Schichten standardisiert. Die Schichten 8 bis 10, die auf einem RFC-Aprilscherz fußen, zeigen womöglich Vorstellungen, die den seitdem eingetretenen Folgen der Vernetzung immer weniger entsprechen wollen. Sie erweisen sich dennoch weiterhin besonders in Betrachtungen aus Perspektiven wie Sicherheit und Privatsphäre auf die Kommunikation immer wieder als wertvolle Erweiterung.
Daß der ursprüngliche Entwurf des Internets eigentlich einer grundlegenden Modernisierung bedarf, wurde bereits nach den ersten Jahren seines Durchbruchs offensichtlich.
Deine Selbstverteidigung
Gute Produkte entstehen durch harte Arbeit, die Belohnung verdienen; zu dieser Einsicht sollte man kommen, wenn man ein Produkt oder Dienst lange genug benutzt und ein halbwegs vernünftiges Einkommen hat. Als bewußte Konsumenten sollten wir daher auch die Bereitschaft dazu zeigen, diese Entschädigungen zu erbringen und die Arbeit derer, die uns diese gelungenen Werkzeuge und wertvollen Informationen liefern so wertzuschätzen, daß ihnen die Möglichkeit gegeben wird, auf übergriffige, invasive Wege der Monetarisierung zu verzichten. Das können im Zweifelsfall auch Spenden sein.
Das PRISM-Break-Programm war eine unmittelbare Reaktion auf Edward Snowdens mutig entschiedene Handlungen. Es gibt uns zunächst eine Idee für mögliche Alternativen an die Hand, mit denen wir anfangen können, unsere Privatsphäre besser zu verteidigen.
Momentan werden es die wenigsten Menschen als verhältnismäßig erachten und so konsequent sein, beispielsweise ein NitroPhone mit GrapheneOS oder gar ein OpenPhoenux GTA04 zu benutzen. Es ist aber trotzdem möglich, sein Netzverhalten verstärkt zu anonymisieren für alle Bereiche, in denen die Angabe persönlicher Daten offensichtlich überflüssig ist.
Die digitale Identität
Neben der bereits bestehenden digitalen Identität, zu deren Registrierung wir in der Vergangenheit persönliche Daten angegeben haben oder die wir z. B. beim Online-Einkauf zusammen mit anderen persönlichen Daten verwenden, entstehen glücklicherweise immer mehr Möglichkeiten, sich bei Bedarf davon zu distanzieren.
Anonyme Identitäten oder alternative Identitäten sind die Grundlage dafür, weitere Software, Apps und Dienste zu verwenden, welche die Angabe persönlicher Daten zwar durch ihren Hersteller fordern, aber deren Verwendung durch ihren Betrieb in keinster Weise rechtfertigen. Dies betrifft eine große Zahl von Apps und Software aller Arten.
Aber : Wenn man kabelgebundenes LAN oder drahtloses WLAN als Zugang zum Internet benutzt, sieht man faktisch in den Netzwerk-Einstellungen des Betriebssystems nur die interne, private, lokale Adresse, die man von seinem eigenen Router bekommen hat, und nicht die externe, die die Anderen sehen.
Um seine externeIP-Adresse zu erfahren, die die Anderen sehen, gibt es mehrere Möglichkeiten :
Man kann sich auf der Weboberfläche des Routers informieren
In iOS kann man einen ebenfalls eine Netzwerk-App wie Net Analyzer oder Network, oder auch einen Kurzbefehl verwenden
Diese Internet-Seiten im Netz, die man besuchen, und sich vielleicht sogar als Startseite oder Starttab einrichten kann, zeigen die externe, nach außen sichtbare IP-Adresse, sowie die aktuell verwendeten DNS-Resolver und weitere nützliche Informationen :
Das Domainamen-System (DNS) kann als das "Telefonbuch des Internets" aufgefasst werden - entstanden, einfach weil die numerischen IP-Adressen zur Adressierung von Zielen im Internet für uns Menschen nicht intuitiv verwendbar sind, und wir an Namen gewöhnt sind.
Weil internetfähige Geräte aber immer IP-Adressen und keine Domänennamen zur Kommunikation brauchen, müssen DNS-Resolver eine Übersetzung liefern, indem sie all die Fragen unserer Geräte beantworten, wie die bis dahin ihnen noch unbekannte IP-Adresse zu einem ihnen bekannten Domänennamen lautet.
Welchen DNS-Resolver man gerade benutzt, kann man sich zusammen mit anderen persönlichen Netzwerk-Informationen auf dafür entwickelten Internet-Seiten ansehen (-> Wie sehe ich meine IP-Adresse ?)
Man muss wissen, daß ein Domänenname, wie er in jedem anklickbaren Internet-Link zu finden ist, eigentlich immer ab dem ersten einfachen Querstrich rückwärts, also von von rechts nach links interpretiert werden muss.
Bereits dieses Verständnis kann Einem häufig vor Phishing-Angriffen schützen, indem man fragliche Weblinks zuerst einmal näher anschaut, bevor man sie einfach anklickt oder öffnet. Der einfache Unterschied zwischen
banking.sparkasse.de und
banking.sparkasse.de.customerportal.backdoor.info
ist gravierend, weil die zweite Adresse mit Sicherheit nicht zu einem seriösen Finanzunternehmen gehört, und trotzdem eine https-Verbindung mit "Schloß im Browser" herstellen und mit betrügerischer Absicht eine Seite zeigen kann, die der des originären Unternehmens exakt gleicht.
Unter diesen Top Level Domains, auf zweiter Ebene, kann jeder Domainnamen registrieren (mieten), diese sind bestimmten Betreibern oder Unternehmen zugeordnet.
Je nachdem, welchen Dienst einer Domain man gerade beanspruchen will, werden bei der Auflösung verschiedene, von der IANA spezifizierte
DNS-Records abgefragt.
Die Third Level Domains (auch verallgemeinert "Subdomains" genannt) sind unter der Obhut des Betreibers oder Unternehmens, dem die Domain gehört.
Wie verlaufen DNS-Anfragen ?
Zunächst fragt jedes Endgerät sich erstmal selbst, ob es die IP-Adresse zu einer gefragten Domain kennt. Dazu wirft es einen Blick in die spezielle hosts-Datei des Betriebssystems :
Windows : C:\Windows\System32\drivers\etc\hosts, mit Rücksicht auf spezielle "Features", die dem Hersteller mal wieder "Heimvorteile" verschaffen.
Diese Dateien sind auf Smartphones zwar existent, aber dem Benutzer unzugänglich
Das Format dieser textbasierten hosts-Datei ist sehr einfach, und ihr Inhalt kann sehr nützlich sein :
Man kann für unerwünschte Adressen absichtlich eine falscheIP-Adresse (meist die eigene Maschine mit 127.0.0.1) eintragen, um damit die Anfrage permanent zu blockieren. Entsprechende Blacklists werden immer noch vielerorts gepflegt.
Man kann damit aber auch umgekehrt DNS-Sperren umgehen, sofern man die IP-Adresse des Ziels kennt.
Anm.: Große hosts-Dateien sind u. U. nicht mehr performant, und Windows erschwert dessen Anpassung zusätzlich. Es ist besser, einen DNS-Proxy zu verwenden (s. dazu Wie kontrolliere ich meinen DNS-Verkehr ?)
Unaufgelöste Fragen gehen weiter bis zum Internet-Router. Dieser leitet die Fragen an seinen konfigurierten DNS-Resolver weiter. Ohne eigene Eingriffe, erhält unser Internet-Router gewöhnlich die IP-Adresse des DNS-Resolvers, (der von da an die DNS-Anfragen unseres Heimnetzes beantworten wird) zusammen mit unserer externen IP-Adresse vom Internet Service Provider (ISP) über DHCP, wenn der Router sich mit diesem neu verbindet.
Ein gefragter DNS-Resolver sucht wieder zuerst in seinem eigenen Zwischenspeicher nach der passenden IP-Adresse zu dem gewünschten Domänennamen. Wenn dort nichts zu finden ist und der Domänennamen außerhalb des verwalteten Bereichs liegt, reicht der Server die Frage (meist rekursiv) nach "oben" weiter, ansonsten schweigt er, bzw. meldet keine Funde.
Warum ist DNS ein Problem ?
Folgende, bei jedem unbedarften Anwender vorzufindenden Umstände sind generell bedenklich :
Der - ohne eigenes Zutun - automatisch zugewieseneDNS-Resolver wird meist vom Internet Service Provider (ISP) selbst betrieben; das ist eine vielleicht pragmatische, aber völlig unnötige Konzentration von Information und Macht.
Der DNS-Verkehr mit diesen Servern ist (historisch bedingt) unverschlüsselt, und somit auch außer Hausnicht abhörsicher und auch nicht fälschungssicher. Dies stellt ein Sicherheitsrisiko dar und ist nicht mehr zeitgemäß !
Viele Programme, Apps und Webseiten wollen ihrem Herstellern Daten senden; und dies oft ungefragt, unerwünscht und übergriffig. Die freie Fahrt von den Endgeräten aus ins Internet wird wirtschaftlich schamlos ausgenutzt. Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat beispielsweise für die Windows-Telemetriedienste eine eigene DNS Blockliste veröffentlicht.
Die weitverbreitete Meinung, daß ein sogenannter "Adblocker" im Web-Browser ausreichenden Schutz bietet, ist ein absoluter Irrglaube. Denn die Kommunikation der restlichen Apps und Programme, insbesondere auf Mobilgeräten, wird davon überhaupt nicht berührt ! Der Blick in einen eintägigen Mitschnitt des eigenen DNS-Verkehrs ist zumeist für Jeden, der dies zum ersten Mal macht, sehr erschreckend, denn er offenbart, wie persönlich diese Daten eigentlich sind ! Man sieht restlos jeden Domänennamen, der gewollt oder ungewollt aufgerufen wurde. Der Datenschutzbericht von iOS offenbart recht schonungslos, daß fast alle installierten Apps, darunter auch Apps aus der Kategorie "Sicherheit", sich außerhalb ihres eigentlichen Zwecks unbemerkt zu Zielen im Internet verbinden wollen. Für Android-Geräte gibt z. B. Exodus Auskunft über die Tracker in Apps.
Wie verwende ich einen eigenen DNS-Resolver ?
Die Anpassung des verwendeten DNS-Resolvers löst folgende Probleme :
Der DNS-Verkehr kann mit der Wahl von DoT oder DoH dauerhaft abgesichert werden. Durch die Verschlüsselung sind Mitlesen und Fälschen nicht mehr möglich
Der DNS-Verkehr kann eigens inhaltlich kontrolliert werden. Durch die Kontrolle darüber, mit wem im Netz überhaupt gesprochen werden darf, sperrt man fragliche Parteien ein und aus und erhöht noch ganz nebenbei die eigene Bandbreite.
Eine lokale IP-Adresse des Geräts selbst (meist 127.0.0.1), wenn auf diesem Gerät ein DNS-Proxy (Programm) betrieben wird, um dessen DNS-Kommunikation zu protokollieren bzw. kontrollieren zu können
Diese Adresse gibt man den Netzwerk-Adaptern des Endgeräts, um alle Anfragen in den lokalen Proxy zu füttern (bei Windows z. B. als DNS-IP die 127.0.0.1 in der IPv4-Konfiguration des Schnittstellen-Adapters eintragen, bei Linux die Datei resolv.conf, bzw. die Konfiguration des Prozesses anpassen, der diese kontrolliert (z. B. NetworkManager o. resolvconf).
Die IP-Adresse eines eigens betriebenen DNS-Proxies (z. B. pi-hole) für das ganze Heimnetz, wenn man sich für einen solchen entschieden hat
Diese Adresse aus dem Adressraum des Heimnetzes gibt man in der Regel nur dem Router zum Internet, um damit alle häuslichen DNS-Anfragen zum Proxy zu leiten.
Die IP-Adresse des eigenen Internet-Routers oder automatische Zuweisung
Dies ist der Standard für alle Endgeräte im Heimnetz.
Diese IP-Adresse gibt man entweder dem DNS-Proxy eines Endgeräts oder dem Internet-Router, um Anfragen zur endgültigen Auflösung zum externen Anbieter zu leiten. Wenn es die Adresse eines DNS-Anbieters (wie z. B. nextdns.io) ist, welcher zusätzlich zur Auflösung auch die Protokollierung und Filterung als Dienstleistung anbietet, kann man diese Adresse auch direkt einem Endgerät geben, weil der lokale Proxy dann entfällt. Dies sollte aber nur nötig sein, wenn der verwendete Internet-Router diesen DNS-Resolver nicht sowieso schon anspricht.
Normalerweise bietet ein DNS-Anbieter immer ein IP-Adress-Pärchen; die zweite IP-Adresse wird verwendet, wenn die erste nicht funktioniert. Ist nur eine Adresse gegeben, kann man diese doppeln, wenn die Eingabemaske die zweite Adresse erzwingt
Gesichertes DNS braucht einen Domainnamen zur Validierung des empfangenen TLS-Zertifikats, mit welchem sich der DNS-Resolver beim Endgerät ausweist
Nicht alle Geräte können gesicherte DNS-Verbindungen aufbauen
In Ländern, die Zensur betreiben, könnten notwendige Ports (z. B. 853) gesperrt sein
Funktioniert die Blacklist ? Einen kurzen Online-Test gibt es z. B. bei d3ward
Welche DNS-Anbieter gibt es ?
Es gibt viele Anbieter von völlig kostenlosen DNS-Resolvern, die neben mehr Privatsphäre durch Verzicht auf Logging auch noch schneller als der eigene Provider sein können. Dabei gibt es auch welche, die grundsätzlich nichts davon halten, Domains zu sperren oder auch welche, die genau dies in unterschiedlichen Varianten als zusätzliches Sicherheitsmerkmal anbieten. Dies muss den Bedürfnissen angepasst werden.
Die Benutzung ohne BenutzerID ist komplett frei. Eine anonyme Anmeldung für eine BenutzerID ist bei Bedarf möglich, um auf eine große Auswahl an stets aktuellen Blocklisten zurückgreifen zu können und darüberhinaus eigene Blacklists / Whitelists zu pflegen. Das kostenlose Angebot deckt mit 300.000 freien Anfragen pro Monat i. d. R. ein einzelnes Gerät sehr gut ab. Danach funktioniert der freie Tarif bis zum nächsten Monat ohne Blocker weiter. Das Monatsabo z. B. für einen gesamten Haushalt ist jedoch mit 2€ / Monat oder 20€ / Jahr sehr günstig.
Das ursprünglich von einem US-Industriekonsortium gegründete Quad9 sitzt inzwischen in der Schweiz und wird von einer gemeinnützigen Stiftung betrieben
Wenn kein DNS-Anbieter wie nextdns.io verwendet wird, der für (anonym) registrierte Benutzer die Protokollierung und Filterung als zusätzlichen Service anbietet, muss dazu immer der lokale DNS-Proxy als Zwischenstation in den Kommunikationsweg eingebaut werden :
In dessen Konfiguration den eigenen Router, bzw. einen bevorzugten DNS-Resolver zur weiteren Namensauflösung hinterlegen und das Logging aktivieren
Alle DNS-Anfragen in den Einstellungen der betroffenen Netzwerk-Adapter auf den lokalen Proxy umleiten
Nun kann man Schritt für Schritt die entstehenden Anfragen in der Logdatei des Proxies einsehen und untersuchen, was die Maschine oder auch eine einzelne Anwendung so kommuniziert. So kann man schwarze Listen (Blacklists) erstellen, um unerwünschte Kommunikation zukünftig zu verhindern.
Auf Github gibt es jede Menge gepflegte, freie Blacklists für alle Arten von Bedürfnissen. Damit kann man neben Werbung auch dediziert bestimmte Dienstgruppen (z.B. soziale Medien, Streaming) oder spezielle Anbieter (z. B. Meta, Apple, Microsoft, Amazon, and Alphabet) blocken.
Linux DNS-Proxy
Für Linux-Systeme gibt es den altbewährten dnsmasq, den man mit wenigen Handgriffen dazu bringt, die DNS-Kommunikation ins Syslog zu schreiben und darüberhinaus, diese zu kontrollieren.
Windows DNS-Proxy
Die hosts-Datei von Windows sollte man aber lieber in Ruhe lassen, da diese Lösung nicht funktioniert : Die Datei wird erstens vom Defender kontrolliert und ist außerdem nicht mehr änderbar oder löschbar, sobald der Windows DNS-Clientdienst sie geöffnet hat. Weitere Abhängigkeiten können das Stoppen des DNS-Clientdienstes zusätzlich erschweren und einem u. U. sogar in den eingeschränkten Betrieb zwingen, um die Datei restaurieren und damit überhaupt wieder ins Netz kommen zu können !
Für Windows gibt es äquivalenten Ersatz für dnsmasq, z. B. Acrylic, der auch die gesicherten DNS-Protokolle beherrscht. (Anm.: Man sollte ihn von 0.0.0.0 auf 127.0.0.1 umkonfigurieren, da sonst das WSL, wenn man ein solches betreibt, nicht mehr hochfährt)
iOS DNS-Proxy
Auf iOS erfolgt die Anpassung der Netzwerk-Konfiguration durch die Installation oder Inbetriebnahme der jeweiligen App. iOS sieht in seiner Konfiguration (Einstellungen ->Allgemein -> VPN, DNS und Geräteverwaltung) generell einen DNS-Slot und zwei VPN-Slots vor, mit denen man sich irgendwie arrangieren muss. Dabei hat iOS 14.6 aktuell folgende Einschränkungen :
Man kann in den regulären Netzwerk-Einstellungen (zumindest für WLAN) beliebige reguläreDNS-Server manuell konfigurieren, die von den meisten VPN-Anbietern berücksichtigt und verwendet werden (Ausnahme: z. B. ExpressVPN). Damit fehlt aber die DNS-Verschlüsselung auf der Strecke vom VPN-Anbieter zum DNS-Server.
Nur das VPN-Protokoll "IKEv2" kann im zweiten, privatenVPN-Slot betrieben werden. Weil lokale DNS-Proxies immer im ersten Slot laufen, ist dies die einzig mögliche Konfiguration für den Parallel-Betrieb von DNS-Proxy zusammen mit VPN.
Nur eine Handvoll iOS-Apps bieten verschlüsselten DNS-Verkehr zusammen mit Filterung. Die meisten machen nur das Eine oder das Andere.
Diese App ist eine Umsetzung von dnscrypt-proxy, einem DNS-Proxy, und erlaubt das durchgängige Verwenden einer Vielzahl von sicheren DNS-Servern, in Kombination mit IKEv2-fähigen VPNs und eigenen, lokalen Black- und Whitelists. Auch IP-Adressen können gefiltert werden. So kann man z. B. auf Wunsch den Apple-Adressblock 17.* komplett sperren. Die Bedienung ist aber herausfordernd und nichts für Anfänger ! Modulares Ein- und Ausschalten von Listen-Blöcken, so wie in Adblock, ist nicht möglich, und alle Listen müssen als Textdatei aus dem Dateisystem importiert werden. Anstatt eine DNS-Blacklist zunächst in Adblock zusammenbauen, dort als Datei exportieren, diese in iSH (Alpine Linux) mit dem Befehl : cat blacklist.adblock | sed "s,#.*,,g;s,.*/,\*,g" | sort -u >dnscloak-blacklist.txt anzupassen und dann in DNSCloak zu importieren, sollte man lieber gleich auf die zugehörigen Tools zurückgreifen. In der Konfigurationsdatei von DNSCloak kann man außerdem weitere DNS-Anbieter eintragen. Weiterhin ist ein DNS-Relaying über mehrere DNS-Resolver möglich. Damit kann man seinen DNS-Verkehr anonymisieren. Die Dokumentation liefert dazu wertvolle Hinweise.
Dieser "Adblocker" ist ein vollwertiger lokalerDNS-Proxy, der ausgehend blockiert, was man mit ihm auf 127.0.0.1 umleitet. Die App beherrscht Import und Export und kann auf Github vielfach vertretene Blocklisten über deren URLs importieren! Hinweis : Daß Adblock die Apple-Domains und somit den Appstore vollständig blocken kann, hindert das Iphone trotzdem nicht, sich dennoch am Apple Push Service anzumelden. IP-Adressen kann die App nicht direkt blocken.
Diese App ist ein recht gelungener Kompromiss zwischen dem Funktionsumfang von DNSCloak und dem Bedienungskomfort von Adblock. Nimmt sowohl URL's von öffentlichen Blocklisten, als auch eigene Listen und erlaubt die Verwendung beliebiger eigener, verschlüsselte DNS-Resolver. Import und Export von Daten sind aber nicht konsequent in der App umgesetzt.
Mit dieser App lassen sich die DoT / DoH-fähigen DNS-Server von NextDNS mit anonymer Identität verwenden, wo man online auch sehr komfortabel durchgehend gepflegte und somit aktuelle Blocklisten zu- und abschalten, sowie selbst erstellen kann. Damit läßt sich auch problemlos ein ganzer Haushalt komplett absichern. Nachteil Wird, da im DNS-Slot für VPN-Verbindungen nicht angesprochen.
Einen kurzen Online-Test für das Adblocking gibt es z. B. bei d3ward oder bei adblock-tester.com.
Der VPN-Dienst
Alle Ziele im Netz können die IP-Adresse ihrer Besucher ermitteln und potentiell protokollieren. Durch die Sammelwut von Wirtschaft und Behörden ist dies auch häufig der Fall. Die Institutionen in den Ländern der 14 Eyes Alliance unterstützen sich dabei.
Viele Firmen betreiben eigene VPN-Server, um ihren mobil arbeitenden Angestellten damit den Zugang zum Firmen-Netzwerk zu ermöglichen.
Für Privatpersonen aber haben sich VPN-Anbieter für sogenannte "private VPNs" auf dem Markt etabliert, welche mehr oder weniger vielzählige VPN-Server betreiben, die sie ihren Kunden (oft in komfortabler Weise) frei auswählbar zur Verfügung stellen.
So kann man sich also über den Server eines VPN-Anbietersaußerhalb der 14 Eyes Alliance zuerst eine IP-Adresse verschaffen, welche zwar bei diesem intern, weil technisch notwendig, aber durch seine No-Log-Policy nur während der Dauer der Verbindung gespeichert wird.
es verschlüsselt auf einen Schlag den gesamten Datenverkehr über Layer 3
es kann die Kontrolle über DNS erschweren
Ein "Virtuelles privates Netzwerk" ist ein privates "Netz im Netz". Durch ein VPN wird (abhängig vom gewähltem VPN-Protokoll) der gesamte Datenverkehr mindestens über Layer 3 (IP) aufwärts verschlüsselt zum VPN-Server getunnelt, und von dort aus zum eigentlichen Ziel geleitet. Damit werden viele normalerweise ungeschützten Protokolle, wie z. B. DNS, ohne welches kaum einer Surfen würde, auf einen Schlag verschlüsselt und sind vor dem Sniffen durch Angreifer geschützt.
Außenstehende sehen nur noch die verschlüsselte VPN-Verbindung als einzige Verbindung :
Der VPN-Server führt, sofern dessen Anbieter sein No-Log-Policy-Versprechen wirklich hält, keinerlei Protokolle.
Die endgültigen Verbindungs-Ziele sehen als Absender immer die IP-Adresse des VPN-Servers, der zur Kommunikation ausgewählt wurde. Da dieser die IP-Adresse vom eigenen Internet Service Provider (ISP) nicht preisgibt, nicht protokolliert und auch nicht aufbewahrt, ist man anonym, solange man sich nicht selbst verrät.
Wie verwendet man ein VPN ?
Nicht wenige Experten sind der Meinung, daß ein VPN-Dienst "Snake Oil" ist. Zumindest sind die durchschnittlich 60 - 100€ jährlich sicher zuviel des Guten, wenn man die Umstände, die Verhältnismäßigkeit und die kostenlosen Alternativen berücksichtigt !
Alleine, um nur Sicherheit zu gewährleisten, muss man als iOS-Anwender die besonderen Schwachstellen berücksichtigen, durch welche bereits bestehende Verbindungen nicht getrennt werden. Auch Android hat ähnliche Probleme. Ein entsprechender iOS-Kurzbefehl der Abhilfe schafft, und den man mit einem Icon auf dem Home-Bildschirm platzieren kann, könnte so aussehen :
(mit ähnlichen Kurzbefehlen kann man auch dafür Sorge tragen, daß alle gerade nicht benötigten Luftschnittstellen stets geschlossen sind)
Die Tatsache, daß außerdem VPN-Verbindungen auf Mobilgeräten nicht "dicht" sind, weil das mobile Betriebssystem mit seinem Hersteller einfach an ihnen vorbei kommuniziert, anstatt den Tunnel zu nutzen, läßt einen VPN-Router sinnvoll erscheinen.
Der Gedanke aber, an die Komplettabdeckung eines ganzen Haushalts durch einen VPN-Router, hat auch Nachteile :
Ein VPN-Router fokussiert vornehmlich Sicherheit, aber nicht die Anonymität aller einzelnen Teilnehmer, sobald andere, am Router angemeldete Geräte betrieben werden, die Einem direkt oder indirekt verraten, weil sie personalisiert sind oder personalisierte Dienste verwenden
Verbindungen über Mobilanbieter sind vom Router natürlich nicht abgedeckt
Ein privater VPN-Router verhindert somit keine Angriffe auf die Luftschnittstelle einzelner Geräte - auch nicht im Haushalt, da diese dem Heimnetz vertrauen müssen. Wenn aber stattdessen die Mobilgeräte selbst bereits eine VPN-Verbindung erzwingen wollen (mit Killswitch), werden solche Angriffe erfolgreich verhindert
Durch die Beanspruchung der Dienste eines privaten VPN-Anbieters werden eigene konfigurierte DNS-Server unter Umständen ignoriert und stattdessen der DNS-Server des VPN-Anbieters verwendet. Der DNS-Verkehr ist dadurch zwar ebenso abgesichert wie bei DNS over TLS (DoT) oder DNS over HTTPS (DoH). Wer aber auch die inhaltliche Kontrolle über seine DNS-Kommunikation behalten möchte, weil einige Programme zu gesprächig sind, braucht dazu zusätzlich einen DNS-Proxy, der als Knotenpunkt VOR dem VPN sitzt und die DNS-Anfragen nach den eigenen Wünschen filtert.
Der Internet Service Provider (ISP) sieht nichts, der VPN-Anbieter loggt nichts - gut! Aber wenn man mit der IP-Adresse, die man sich gerade "übergezogen" hat, personalisierte Dienste besucht, oder Geräte oder Apps hat, die das automatisch tun, so können diese Dienste den Zusammenhang zwischen IP-Adresse und Identität natürlich herstellen und protokollieren. Das betrifft jedes gewöhnliche Smartphone und jede personalisierte App, auch den Mail-Client.
Wenn also der zugehörige Benutzer zu einer im Netz aufgetauchten IP-Adresse ermittelt werden soll, und diese nicht von einem auskunftsfähigen Internet-Provider, sondern von einem VPN-Server kommt, der prinzipiell keine Logs führt, dann hat sie womöglich vielleicht einer von MAMAA (Meta, Apple, Microsoft, Amazon, oder Alphabet) in ihren Logs mitgeschnitten :
entweder weil die IP-Adresse auch für Verbindungen eines Endgeräts verwendet wurde, welches insgesamt "zu laut" war :
das verwendete Betriebssystem hat mit der Adresse munter mit seinem Hersteller kommuniziert. Linux tut das auf Wunsch nicht
im Hintergrund laufende Programme oder Apps haben mit der Adresse völlig unbemerkt Seiten kontaktiert, um Fehler- oder Nutzungsanalyse zu betreiben, nach Updates zu suchen, oder um durch Werbung die finanziellen Einnahmen zu erhöhen (auch wenn diese gar nicht angezeigt wird)
aufgrund der fehlenden Gewahrsamkeit des Benutzers selbst, weil dieser personalisierte Dienste (Wetter, Email, Kalender, Kontakte, Banking, jegliche Konten mit Anmeldung, usw.) mit der Adresse verwendet hat (Layer 8-Problem)
Wer also nicht nur sicher, sondern darüberhinaus auch wirklich anonym surfen will muss wissen :
daß verschiedene Identitäten nie mit derselben IP-Adresse verwendet werden dürfen
daß MAMAA (Meta, Apple, Microsoft, Amazon und Alphabet) und ihre Freunde von ihren Produkten nicht einfach ohne Weiteres ausgeschlossen werden können, da deren Geräte aus verschiedenen Gründen (Updates, Anmeldung am Push-Service, Cloud-Mentalität, usw.) regelmäßig "nach Hause telefonieren", ebenso wie die Apps und ihre finanzierenden "Freude".
daß insbesondere die gewöhnlichen Smartphones sehr stark personalisierte Geräte sind, mit welchen die gewöhnlichen Verbindungen zwar sicher, aber fast NIEMALS anonym sind !
daß durch Verwendung eines privaten VPN-Routersnoch stärker vornehmlich NUR Sicherheit, aber nicht Anonymität fokussiert wird, da mit ihm weitere Geräte betrieben werden, die Einem direkt oder indirekt verraten, sobald sie personalisiert sind oder personalisierte Dienste verwenden
daß es viel einfacher ist, gewünschte Anonymität bei Bedarf punktuell auf die Sicherheit aufzusetzen, indem anstatt des ganzen Endgeräts nur einzelne Protokolle oder Verbindungen zusätzlich zur genutzten VPN-Verbindunganonymisiert werden (z. B. mit Tor, über oder I2P)
daß der VPN-Anbieter nicht immer automatisch mit jeder neuen Verbindung auch eine neue IP-Adresse vergibt, sondern dies ggf. durch einen Serverwechsel erzwungen werden muss
daß die Caches (Zwischenspeicher) des Betriebssystems, sowie der Apps und Programme, die man zu Verwenden plant (insbesondere des Internet-Browsers, wegen der Cookies) vollständig geleert sein müssen
Welche VPN-Anbieter gibt es ?
Bereits die kostenlosen VPN-Tarife einiger VPN-Anbieter können ihren Zweck vollständig erfüllen, z. B. :
Diese iOS App stellt das Tor-Netzwerk ähnlich wie ein VPNfür den gesamten Datenverkehr des Smartphones zur Verfügung. Wenngleich eine nette Idee, ist der Sinn für ein hochpersonalisiertes Gerät wie das Smartphone sehr fragwürdig, insbesondere im Hinblick auf die geringe Bandbreite, die bei Tor-Netzwerken gegeben ist. Damit ist man definitiv nicht anonym.
Dieser Anbieter mit seinem Lifetime-Abo überzeugt mit No-Log-Policy und Sitz auf den Cayman-Inseln. Für diesen Preis ist nichts Schlechtes daran zu finden.
Der Vorteil hierbei ist, daß man sich bei diesen VPN-Anbieter mit einem Lifetime-Code registriert, den man aber gar nicht bei ihnen gekauft hat. Da der VPN-Anbieter selbst also weder Zahlungsdaten hat noch braucht, ist völlige Anonymität auch ohne dauerhaft anonyme Geldflüsse möglich, welche in der Regel aufwändiger zu etablieren wären, z. B. durch Bezahlung des VPNs mit der Zwischenwährung Mint, die wiederum mit paySafe-Karten gekauft wurde, welche es an der Kasse des nächsten Discounters gibt.
Hinweis : Obwohl die VPN-Anbieter einige Daten bei der Anmeldung erfragen, empfehlen sie in ihren Richtlinien oft selbst, diese aus eigenem Interesse auf das technisch notwendige Mindestmaß an Identität (Benutzername+Passwort, bzw. anonyme Email+Passwort) zu reduzieren.
Doch ist es gar nicht so einfach, den passenden Anbieter zu finden. Obwohl z. B. ExpressVPN / Cyberghost (Britische Jungferninseln), technisch zweifellos gut dasteht, erlaubt es keineneigenen DNS-Resolver und ist darüberhinaus seit der Übernahme durch Kape aus verschiedenen Gründen in Kritik geraten. Ebenso das populäre NordVPN / Surfshark. Andererseits haben OVPN in Schweden und Private Internet Access in USA (beide Mitglied der 14 Eyes Alliance) beste Kritiken, weil sie bisher keine Daten preisgaben bzw. dafür sorgen, daß erst gar keine Daten zur potentiellen Preisgabe vorhanden sind. Eine sorgfältige Recherche ist vor dem Abschluss eines Dauer-Abos unumgänglich !
Optimaler Einsatz von VPN und DNS
Die herkömmlichen Adblocker im Browser stehen leider allen restlichen Programmen und Apps des Geräts nicht im Wege. Ziel ist es daher, durch die optimale Kombination der Technologien von VPN und DNS :
Maximale Kontrolle über die gesamte Kommunikation jedes Endgeräts zu erlangen, und durch individuell konfigurierbare Blocklisten zu verhindern, daß Apps und Programme unkontrolliertDNS-Anfragen nach außen kommunizieren und damit unnötig mehr als notwendig von uns verraten.
Für die maximale Sicherheit zu sorgen, also den Datenverkehr vor Mitlesen und Kompromittieren zu schützen
Mögliche Handlungsspielräume für Anonymität soweit wie möglich zu erhalten oder zu maximieren
Obwohl eine "VPN-Funktion" auch in einzelnen Programmen, wie z. B. Browsern angeboten wird, wird damit eher Anonymität fokussiert, da sie nicht die Kommunikation des gesamten Geräts umfasst. Anonymität kann aber auch später mit Tor oder I2P auf einen sicherenVPN-Tunnel aufgesetzt werden. Um also zunächst Sicherheit zu fokussieren, wird ein echterVPN-Client benötigt, der die gesamte Kommunikation des Geräts einschließt.
Daraus folgen nun die weiteren Überlegungen für die möglichen technischen Lösungen :
Nun muss man noch seine Mobilgeräte schützen : Dazu benutzt man das eigene Heimnetz als persönlichen VPN-Anbieter und konfiguriert auf dem Heimrouter gesicherte VPN-Zugänge (Benutzer-Passwort oder Zertifikate) und macht ihn von außen erreichbar. Wo man sich auch befindet, man verbindet sich mobil von da an immer über eine VPN-Verbindung mit zu Hause und benutzt damit den eigenen Adblocker.
Nachteile : Mit dieser Lösung verzichtet man auf die besonderen Leistungen externer VPN-Anbieter, mit denen man Netzsperren umgehen kann. Die IP-Adresse wird nicht verschleiert, der Verkehr ist nicht komplett verschlüsselt (da der Tunnel nur bis nach Hause reicht) und es ist kein Umgehen von Geoblocking möglich. Sollte man außerdem von zu Hause aus dennoch einen VPN-Tunnel von einem Endgerät aus aufbauen, wird dieser den eigenen Adblockerumgehen.
Mit der größten Infrastruktur-Herrschaft kommen immer auch Verantwortung und Pflichten auf Einem zu. Denn Infrastruktur ins öffentliche Netz zu stellen bringt auch Wartungsaufwände mit sich, die man abwägen muss, dauerhaft auf sich nehmen zu wollen.
Variante 2 mit Fokus auf externe Infrastruktur
Man kann diese Variante damit rechtfertigen, daß es wohl unvermeidbar ist, im Internet auch fremde Infrastruktur zu benutzen.
Die Beanspruchung fremder DNS-Anbieter hierfür und die im Gegensatz zum eigenen Adblocker fehlende Kontrolle über die Infrastruktur ist immer noch besser, als auf die Vorteile komplett zu verzichten.
Dazu konfiguriert man auf dem Internet-Router des Heimnetzes mit wenigen Handgriffen einen DNS over TLS (DoT)- oder DNS over HTTPS (DoH)-fähigen DNS-Server. Man kann dabei den DNS-Server eines Anbieters (z. B. NextDNS) verwenden, der es erlaubt, den DNS-Verkehr individuell zu kontrollieren. Dies deckt vor Allem Geräte im Heimnetz ab, die gar nicht VPN-fähig sind.
Wenn man zusätzlich externe VPN-Anbieter nutzen will, muß man zwar jedes Gerät (auch die Mobilgeräte) einzeln mit einer VPN-Client / DNS-Proxy Kombination schützen, aber man kommt in den vollen Genuss der zusätzlichen Leistungen dieser Anbieter.
Die Email-Adressen
Wer heute keine E-Mailadresse hat, gilt im Volksmund, obwohl diese Technologie ihre Hoch-Zeit sicherlich bereits hinter sich hat, als "digital obdachlos".
Die verschiedenen Lebensbereiche eines Menschen weisen unterschiedliche Bedürfnisse auf. Bei finanziellen Anliegen wünscht man sich Authentizität und Vertraulichkeit, bei anderen eher Anonymität.
Zumindest bietet fast jeder Anbieter von Email-Postfächern, auch die kostenlosen "Freemail"-Anbieter, das Anlegen von zusätzlichen Pseudonym-Adressen (Aliase) innerhalb des gleichen Email-Kontos an, dessen Gebrauch nur zu empfehlen ist.
Warum ist die Email ein Problem ?
Die Email wurde historisch bedingt nie mit dem Fokus der Sicherheit, der Privatsphäre oder der Anonymität entworfen. Oftmals wird sie mit einem "elektronischen Brief" verglichen. Aber in Wirklichkeit kommt ihr die Postkarte ohne Umschlag am nächsten. Bei ihrer Zustellung geht die Email durch mehrere Hände, und jeder kann sie lesen.
Vom Absender meist unverschlüsselt nimmt die Email ihren Weg über eine (heutzutage) verschlüsselte SMTP-Verbindung vom Absender zu dessen Email-Anbieter. Dort liegt sie aber unverschlüsselt.
Über eine (heutzutage) verschlüsselte Verbindung wird sie über SMTP weiter zum Anbieter des Empfängers geschickt. Dort liegt sie unverschlüsselt.
Über eine (heutzutage) verschlüsselte IMAP- oder POP-Verbindung wird sie vom Anbieter des Empfängers zum Empfänger selbst geschickt.
Die Emails liegen - da heute vorzugsweise IMAP
statt POP im Einsatz ist - weiterhin so lange unverschlüsselt beim Email-Anbieter, bis der Besitzer sie aus seinen Ordnern (z. B. "Gesendet" oder "Eingang") löscht (auch aus dem Papierkorb!).
Schon seit langem gibt es zwei technische Standards, S/MIME und PGP/MIME, mit denen jeder eine Ende-zu-Ende-Verschlüsselung (E2EE) per Email praktizieren kann - was fraglos prinzipiell eine gute Sache an sich ist. Aber dies bieten uns heute ebenso fast alle gängigen Instant Messenger von Hause aus, die unsere private digitale Kommunikation erobern konnten.
Wofür also noch Email ? In unseren privaten Email-Postfächern, die wir zum Großteil mit unseren persönlichen Stammdaten registrieren mußten, liegen heutzutage hauptsächlich Bestellbestätigungen, Rechnungen, Bestätigungs-Links und -codes und andere Nachrichten von Firmen und Online-Shops, mit denen wir zu tun haben. Und keiner von ihnen verwendet S/MIME oder PGP/MIME !
Um Sicherheit und Privatsphäre zu erlangen, müßten wir :
entweder einen eigenen Email-Server besitzen, anstatt einen Email-Anbieter zu verwenden. Das kostet Geld, Wissen und Pflege.
oder einen Anbieter verwenden, der unsere Daten mit Zero knowledge speichert, also so, daß er selbst sie nicht lesen kann. Hierbei müssen wir aber aus technischen Gründen auf die etablierten Email-Clients (Outlook, Thunderbird, etc.) verzichten.
Weiterhin betten überwachungskapitalistische Unternehmen jüngst Inhalte sichtbar oder unsichtbar in Emails ein, die sie wissen lassen, wann wir ihre Nachrichten lesen und welche IP-Adresse wir dabei hatten.
Emails richtig lesen
Email-Clients kann man heutzutage recht leicht dazu "erziehen", externe Inhalte nicht automatisch nachzuladen.
Wessen Auge sich dann an der unvollständigen Darstellung der ein oder anderen Nachricht stört, der sollte sich mit dem Gedanken trösten, daß er dadurch erfolgreich verhindert, daß der Absender und seine "Freunde" nachvollziehen können, ob und wann und womöglich wo er die Nachricht gelesen hat.
Mit dem Email Privacy Tester kann man sich selbst eine Test-Email schicken, um zu sehen, wie anfällig man für Tracking ist. Im Idealfall sind die angezeigten Kästchen (jedes steht für eine Tracking-Methode) auf der Ergebnisseite alle grau. Lädt man dann z. B. Bilder in der Test-Email manuell nach, werden die entsprechenden Kästchen auf der Testseite rot eingefärbt.
Umgang mit Email-Adressen
Obwohl eine Email-Adresse nicht unmittelbar persönliche Informationen verrät, kann sie, wie jedes persönliche Datum, dazu verwendet werden, um Datensätze verschiedener Quellen miteinander zu verknüpfen und abzugleichen. Datenlecks, die es immer mal wieder "aus Versehen" gibt, sorgen zusätzlich dafür, daß eine Email-Adresse im Zusammenhang mit weiteren persönlichen Daten in ungewollte Hände geraten.
Daher ist die Verwendung von verschiedenen Email-Adressen und Email-Aliasen durchaus sinnvoll. In manchen Bereichen sind auch anonym registrierte Email-Adressen sinnvoll.
Für verschiedene Lebensbereiche sind separate Email-Adressen empfehlenswert :
Geltungsbereich
Einsatzzweck
Anonymität
Geschäfts-Adressen
In jedem Unternehmen, in dem man tätig ist, egal in welcher Position
kaum sinnvoll möglich
Rechts-Adresse
Für die eigene natürliche Person als Rechtssubjekt zur Kommunikation mit Staat, Behörden und Ämtern. Für diese empfiehlt sich ein S/MIME-Zertifikat
kaum sinnvoll möglich
Finanz-Adressen
Zum Dialog mit jenen, die die eigenen Bankdaten besitzen oder Einem auf sonstige Weise ungefragt ärmer machen können, darunter insbesondere Banken und alle Bezahldienste
kaum sinnvoll möglich
Soziale Adressen
Für den Kontakt mit dem Welt-Publikum, wenn man völlig fremden Menschen den Dialog mit sich als Privatperson ermöglichen will
Sollte anonym sein
Abo-Adressen
für die voraussichtlich lange Dauer als Kunde oder Mitglied, wo die Gegenpartei nicht selbständig Geld abbuchen kann
Können anonym sein, wenn es der Anwendungsfall erlaubt
Kunden-Adressen
Für wiederholte Bestellungen als nicht registrierter Kunde
Können anonym sein, wenn es der Anwendungsfall erlaubt
Privat-Adressen
Für die eigene Privatperson zur Kommunikation mit Familie und Freunden. Hier kann optional PGP verwendet werden.
Durch diese Separation hat man die Möglichkeit, bei Bedarf ganz bestimmte Email-Adressen zu löschen, ohne daß die anderen Bereiche davon betroffen sind. Es ist sogar eine Überlegung wert, Kunden-Adressen mit großzügigem Intervall regelmäßig zu wechseln.
Wegwerf-Adressen
Jedesmal, wenn man seine eigene Email-Adresse IRGENDWO eintippt, sollte man sich vorher IMMER gefragt haben :
Geht hier auch eine Wegwerf-Adresse ?
Es gibt Dienste und Apps für sogenannte "Instant" Email-Adressen, mit denen man einmalig Bestätigungsmails o. ä. empfangen kann. Die Adressen werden nach wenigen Stunden automatisch gelöscht. Einige dieser Konto-Anbieter sind :
Man sollte in Erinnerung behalten, daß bestimmte Aktionen, wie z. B. das Zurücksetzen oder Ändern des Passworts damit nicht möglich sein werden. Dazu senden manche Online-Dienste nämlich auch Bestätigungs-Aufforderungen an die alte Adresse. Wenn die alte Adresse aber eine Wegwerf-Adresse war, wird dies nicht möglich sein. Und trotzdem gibt es im Netz immer wieder Situationen, in denen eine Wegwerf-Adresse genau das Richtige ist.
Anonyme Email Konten
Am konsequentesten ist es daher, sich mit einer (natürlich ebenfalls anonym erstandenen) VPN-IP-Adressen ein anonymes Konto einzurichten. Dabei sollte man beachten, das deren zusätzliche, optionale Leistungen wie Fallback-Konten, manche zweite Faktoren, o. ä. die Anonymität oft wieder zerstören, wenn man sie in Anspruch nimmt. Einige dieser Anbieter klassischer Email-Konten, die eine anonyme Registrierung erlauben, sind :
Ein weiterer Schritt sind Mailproxies, welche die empfangenen Nachrichten an eine "echte" Adresse weiterleiten und dauerhaft betrieben werden können. Abgesehen davon, daß es eine weitere "Hand" ist, durch die die Email geht, kann sich auch ausdenken, daß der Nachrichtenfluss für übergeordnete Instanzen wohl dennoch nachvollziehbar sein wird.
Die Email-Übertragungs-Protokolle POP3, IMAP und SMTP werden inzwischen defacto nur noch mit TLS-Verschlüsselung verwendet, aber sie sorgen lediglich für sichere Übertragungen, aber nicht für sichere (Zwischen)-Lagerung.
Instant Messenger mögen es für die private Kommunikation überflüssig gemacht haben, dennoch sind die zwei klassischen Methoden der Email-Verschlüsselung einsetzbar und finden vereinzelt Verwendung :
Das Vertrauen ist bei "Volksverschlüsselung" aber an die staatsbürgerliche Identität gekoppelt, da man sich bei der Zertifikatserstellung elektronisch ausweisen muss. Funktioniert aber reibungslos.
Hinweis am Rande: Um ein S/MIME-ZertifikatSELBST zu erzeugen und zu signieren, braucht man ein Stamm-Zertifikat mit entsprechender Extended Key Usage. Dies ist mit kostenlosen Zertifikaten, wie sie z. B. von Let's Encrypt zu bekommen sind, NICHT möglich !!
PGP/MIME
Hinter dem Vertrauen eines S/MIME-Zertifikats steckt die Hierarchie einer Public Key Infrastruktur, die aber konzeptuell nicht erwünscht ist, wenn die Teilnehmer im gesamten gerne anonym bleiben wollen.
Die heterarchische Alternative dazu, die für anonyme Anwender sichtlich attraktiver ist, heißt PGP. Es erspart auch die Pflegeaufwände einer Public Key Infrastruktur, welche durch das regelmäßige Ablaufen der zeitbegrenzten Zertifikate entstehen.
Um PGP für den Benutzer bequem zu machen, gibt es PEP, ein Projekt, welches sich dies zur Aufgabe gemacht hat.
Pretty Easy Privacy ist ein Ansatz mit PGP-Technologie unter der Haube, welcher verschlüsseltes Kommunizieren per Email als zusätzliche Option zum Kinderspiel macht. Der erhältliche Pretty Easy Privacy Email-Client verwendet dabei bereits bestehende Email-Konten. Für iOS und Android werden eigene Client-Apps geboten, für Outlook und Thunderbird gibt es entsprechende Plugin-Erweiterungen. Obwohl es nicht ganz im Sinne des Erfinders ist, kann man in Pretty Easy Privacy aber auch die eigenen, bereits bestehenden PGP-Schlüssel importieren.
Klassisches PGP-Tool, aber kein Emailer. Erzeugt und verwaltet asymmetrische Schlüsselpaare und ver- und entschlüsselt Texte damit. Import und Export der Schlüssel als Text oder Datei möglich. Beste kostenlose Wahl
Weiteres klassisches PGP-Tool, kann darüberhinaus auch Dateien aller Art ver- und entschlüsseln und öffentliche Schlüssel auf dem Schlüsselserver von Ubuntu suchen, den eigenen dort hinterlegen oder diesen über QR-Codes austauschen. Kommt mit Widget.
Ein zweiter Email-Client für iOS ohne besondere Fähigkeiten, geeignet zur Separation der Fake-Konten, und insofern optimalerweise ohne Push-Benachrichtigungen betrieben.
Zunehmend gibt es in den letzten Jahren Email-Anbieter, die sich sehr ernsthaft darum bemühen, die seit Jahrzehnten bekannten Mängel der Email-Kommunikation zu beseitigen. Sie bieten nicht nur einen vollständig anonymen Registrierungsprozess, sondern auch eine Zero knowledge-Policy und Ende-zu-Ende-Verschlüsselung (E2EE). Letztere garantieren sie für alle, die ihr System benutzen. Manche ermöglichen darüberhinaus optional die Ende-zu-Ende-Verschlüsselung (E2EE), indem sie dem Empfänger dann einen Link schicken, der den Zugriff auf die Nachricht nach Eingabe eines Passworts ermöglicht. Dieses kann dem Empfänger entweder durch einen Hinweis oder über einen bereits sicheren Kommunikationsweg mitgeteilt worden sein.
Die Lösungen dieser Anbieter sind zweifellos alle gut, aber entsprechen noch keinem Standard. Daher versagen klassische Email-Clients wie Outlook oder Thunderbird. Die Anbieter versuchen, dies bestmöglich durch eigene Clients (Web und App) auszugleichen.
Dieser Anbieter ist als einziger außerhalb der 14 Eyes Alliance. Der Export von Emails benötigt ein eigenes Programm. Die über das kostenlose Angebot hinausgehenden Leistungen sind teuer. Dazu gehört eine "Bridge" zu klassischen Email-Clients.
Dieser Anbieter bietet als einziger bereits im kostenlosen Angebot mehrere Email-Aliase. Es fehlt jedoch eine Export-Funktion für Emails, und die Ende-zu-Ende-Verschlüsselung (E2EE) ist auf Benutzer des Dienstes beschränkt.
daß jedes Smartphone eines gewöhnlichen Anbieters ein hochpersonalisierter Gegenstand ist, der alleine aufgrund seiner vielzähligen Sensoren und Schnittstellen (GPS-Antenne, Mobilfunk, WLAN, Kamera, Mikrofon, Bewegungssensor) in der Lage ist, jede Menge Daten über seine Umwelt zu sammeln
daß der Smartphone-Betreiber insofern nicht aus seinen Produkten ausgesperrt werden kann, als daß diese zumindest immer aus verschiedenen Gründen "nach Hause telefonieren", wenn eine Internet-Verbindung besteht
daß der Smartphone-Anbieter ein Gerät aufgrund des Benutzerkontos bzw. Geldflüssen eindeutig zu einem Benutzer zuordnen kann
Daß jede aus dem regulären Appstore installierte App, eine eindeutige ID hat, in der auch die ID des Smartphones enthalten ist, und daß diese in dem Moment, wo ihr Benachrichtigungen erlaubt werden, dem Smartphone-Betreiber mitgeteilt werden darf
daß Apps oft ungefragt jede Menge unerwünschte Dienste im Netz ansprechen, wenn sie nicht explizit davon abgehalten werden und diesen Diensten Daten übermitteln, die sie zu sammeln in der Lage waren
Dies macht die Telefonnummer(n) der regulären SIM-Karte in solch einem Gerät, die zwangsläufig ebenfalls personalisiert ist, zu einer sehr schützenswerten Information.
Es mehren sich die Ansätze von Entwicklern und Firmen, all diese Defizite auszumerzen. Diese sind hauptsächlich linuxbasiert.
Das NitroPhone mit GrapheneOS ist ein Produkt, welches ein gehärtetes Betriebssystem mit offenem Quellcode, vollem Zugriff auf alle Dateien und auf Wunsch mit entfernten Sensoren geliefert wird
Das Librem 5 mit PureOS hat "Kill Switches", also echte Schalter, mit denen sich die wichtigen Sensoren und Luftschnittstellen schalten lassen
Das Pro1 X unterstützt ebenso mehrere mögliche Betriebssysteme, der Speicher kann mit SD-Karte auf 2TB erweitert werden
OpenPhoenux GTA04 ist ein Versuch, sogar offene Hardware zu verwenden
Die Mobilnummer
Das systematische Blockieren von unerwünschten Anrufern wird aktuell immer schwieriger, weil die Vollzeit-Verlierer, die uns ungefragt belästigen, ihre eigenen Telefonnummern dabei zunehmend zufällig würfeln.
Da bei Registrierungen und Käufen aller Art immer häufiger die Telefonnummern auf "mysteriöse" Weise in die Hände aggressiver Vermarkter oder in andere kriminelle Hände wandern, sollte man Mobilnummern prinzipiell NIEMALS an Unternehmen und Behörden preisgeben, da sie durch die Schwächen des SS7-Protokolls immer auch ein Ziel für stille SMS-Nachrichten sind, die quasi, obwohl dies meist illegal ist, von jedem verschickt werden können und mit denen jederzeit und ohne GPS der ungefähre Standort des zugehörigen Mobilgeräts bestimmt werden kann. SMS-Nachrichten sind außerdem nicht fälschungssicher. Jüngst wurde die Schwäche des SS7-Protokolls wieder in einer Pressemitteilung der Bundesregierung vom 22.06.2023 bestätigt und dort auf Alternativen verwiesen.
Wer seine Mobilnummer preisgibt, verrät DAUERHAFT seinen Standort !
Während Android-Benutzer sich davor schützen können, bleibt iOS-Benutzern nur die Sparsamkeit mit der Herausgabe der Mobilnummer übrig.
Fast immer läßt sich ein entsprechendes Pflichtfeld bei einer Registrierung oder einem Online-Kauf auch mit einer Festnetz-Nummer füllen - und wenn nicht, dann muss man sich umso mehr fragen, warum!
Man kann heutzutage fast immer auch mit dem Festnetz-Anschluß SMS-Nachrichten empfangen, diese werden per Sprachanruf vorgelesen. So können problemlos Bestätigungscodes empfangen werden und so werden Dauer-Verknüpfungen mit dem persönlichen Aufenthaltsort verhindert.
Fake Mobilnummern
Die BNetzA hat eine offizielle Liste sogenannter "Drama Nummern"
(ursprünglich für Film- und TV-Produktionen) herausgegeben, welche man bedenkenlos verwenden darf und kann, wenn man von der Gegenpartei nichts mehr hören möchte und seine Identität wahren will. Außerdem bietet der Digitalcourage e. V. den Service "Frank geht ran". Dabei handelt es sich um eine Abwimmel-Ansage, die dem Anrufer seinen verlorenen Posten klarmacht.
Beide Telefonnummern sollte man für alle Fälle fest in seine Kontakte aufnehmen!
Anonyme Mobilnummern
Der Vorteil von ganz einfachen, SIM-Lock-freien Billig-Mobiltelefonen (z. B. Olympia Bella, o. ä.) ist nicht nur, daß sie von technikfernsten Personen bedient werden können, sondern auch, daß sie die auf Smartphones mögliche GPS-Ortung
oder WLAN-Ortung nicht erzwingen oder sogar technisch gar nicht ermöglichen.
Smartphones wie das Iphone haben aber, um anonym zu sein, nicht nur zu viele Sensoren, sondern sind auch viel zu (neu)gierig : Ein auf Werkseinstellungen zurückgesetztes Iphone läßt sich beispielsweise ohne Internet-Anbindung über WLAN oder iTunes gar nicht erst in Betrieb nehmen. Sicherlich wird es seinen Hersteller in keinster Weise im Unklaren über diesen Vorgang lassen.
Es ist also nicht ratsam, eine anonyme Prepaid SIM-Karte bedenkenlos in ein Smartphone zu stecken. Wer sich für ihre Anschaffung entscheidet, sollte bedenken, daß die SIM-Karte nach zu langer Inaktivität verfällt. Dies hat nichts mit dem Prepaid-Guthaben zu tun, welches ebenfalls verfallen kann, aber (zumindest laut Gesetz) zurückerstattet werden muss.
Oftmals werden anonyme SIM-Karten ohne Angabe der zugehörigen Rufnummer ausgeliefert. Dann können entweder GSM Codes helfen, oder man läßt sich die eigene Nummer ansagen, indem man folgende Rufnummer kostenlos anruft :
0800 937 75 46
Außerdem : Eine anonyme Prepaid SIM-Karte lädt man natürlich nicht online auf, sondern kauft sich die Gutscheine des Netzbetreibers oder SIM-Karten Anbieters im Supermarkt und bezahlt sie bar !
Ansonsten versprechen folgende Dienste, daß mit ihnen eine virtuelle Mobilnummer
temporär gemietet werden kann, um damit z.B. anonym die SMS-Nachricht mit dem Bestätigungscode für Registrierungsvorgänge zu empfangen :
online-sms.org (erfolgreich getestet mit deutscher Nummer)
Damit kann man kurzzeitig Mobilfunknummern aus aller Welt mieten, um damit anonym die SMS-Nachricht mit dem Bestätigungscode für Registrierungsvorgänge empfangen zu können. Eine wirklich schöne Idee im Kampf gegen den überhandnehmenden Überwachungskapitalismus
Werbeanrufer finden und gemeinsam in der Community katalogisieren und bekämpfen. Mit einem günstig erhältlichen API-Key kann man die ständig aktuellen Sperrlisten und eigenen Sperren per CardDAV in die eigene Fritz!box reinhängen und hat dauerhaft seine Ruhe; zumindest vor Anrufern mit statischer Caller ID
Das Anlegen von Fake-Accounts ist von Rechtswegen nicht strafbar !! Daß dem Konto unter Umständen die Löschung droht, weil es gegen die jeweiligen Nutzungsbedingungen verstößt, ist völlig irrelevant, solange man nichts Illegales damit anstellt oder rechtliche Verbindlichkeiten damit eingeht und natürlich, solange man auf die beim Dienst befindlichen Daten jederzeit komplett verzichten kann - was ja gerade die Intension des Fake-Kontos ist.
Dies sollte man mit einem Fake-Konto nicht tun :
Käufe tätigen oder andere rechtlich verbindliche Verträge eingehen
Unersetzbare oder persönliche Daten lagern (Bilder, Dokumente, Playlists, Spielstände, usw.)
So geht man vor :
Stammdaten würfeln : Dazu gehören Name, Anschrift ( Straße, Hausnummer, Ort, Postleitzahl, Bundesland, Land), Geburtsdatum und ggf. schon ein (nicht zu kurzes) Email-Präfix. Die Anschriften sollten wirklich existieren und stimmen. Diese Stammdaten sollte man sich aufschreiben, falls sie nochmals eingefordert werden !
Anonyme Empfangsmöglichkeit für SMS-Nachricht vorbereiten (anonyme SIM-Karte PLUS GSM-Billighandy oder virtuelle, gemietete und funktionierende Mobilnummer )
VPN-Client aktivieren. Wer keinen hat, benutzt einen, der keine oder eine Registrierung nur mit Pseudonymen zulässt (z. B. hide.me)
Mit obigen Mitteln kann man nun ein reguläres Email-Account anlegen - zunächst ohne Angabe einer Fallback-Email-Adresse, sondern mit der anonymen Mobilnummer.
Nun ist alles vorhanden, um sich bei weiteren Unternehmen ein Konto zu eröffnen, die einen unverhältnismäßigen Hunger nach persönlichen Daten zeigen.
Die großen Anbieter bieten alle eine eigene Email-Adresse. So kann man das zweite Konto anstatt mit der Mobilnummer gleich mit der Email-Adresse des ersten Anbieters erstellen. Am Ende loggt man sich beim zuerst eröffneten Konto nochmal ein und tauscht die Mobilnummer dort gegen die Email-Adresse des zuletzt erstellten Kontos, sodaß am Ende KEIN Anbieter eine Mobilnummer hat und alle ringförmig als Fallback-Konto auf sich selbst verweisen.
An eine Zwei-Faktor-Authentisierung (2FA) über SMS-Nachricht oder gar herstellereigene Apps sollte man gar nicht denken, oder sie dauerhaft mit der anonymen Mobilnummer machen. Bestenfalls kommt TOTP o. ä. in Frage.
Domänenseparierung : Man sollte seine bürgerliche, seine anonymen und seine Scheinidentiätensauber voneinander trennen und deren Email-Konten entweder über den Browser oder in einem eigenen Email-Client abfragen. Es dürfen keinerlei Referenzen zwischen ihnen bestehen, sonst verraten sie sich quasi selbst.
Webbrowser
Eines, wenn nicht sogar DAS bekannteste Protokoll des Internets ist wohl das HTTP-Protokoll. Durch dieses wird das Gesicht des Internets, das World Wide Web (WWW) aufgespannt, welches aus Internet-Seiten besteht. Damit man diese ansehen kann, braucht man einen Webbrowser.
Auf der Seite webbkoll kann man den Besuch auf einer beliebigen Internet-Seite simulieren, um herauszufinden, welche Tracker sie beinhaltet. Sie zeigt mitunter, wie wichtig es ist, einen Browser zu wählen, mit dem man sich davor schützen kann, der aber selbst auch keine Dark Patterns der Hersteller versteckt hat.
Obwohl sich der FOSS Webbrowser Firefox erfreulicherweise ziemlich stark als regulärer Browser etablieren konnte, wird er erst durch die richtigen Plugins sicher. Auf iOS bietet Firefox leider keine Einstellungen, die dafür sorgen, daß alle Datenreste beim Start oder Beenden gelöscht werden, und es gibt andere Alternativen :
Aktuell ist er der beste bekannte, private Internet-Browser für iOS mit Ad- und Fingerprint-Blocker. Er kann auch mobil per default IMMER im privaten Modus starten, jegliche Datenreste vom Surfen sind beim Neustart weg. Er benutzt das (Quasi-Standard)-HTML-Format (mit DL/DT-Tags) für Import und Export der Lesezeichen als lokale Datei, die jeder moderne Browser versteht. Safari rückt die Lesezeichen ja nur über die iCloud raus. Jedoch ist die Konfiguration recht anspruchsvoll, man muss sich damit auseinandersetzen, bevor man von den mitgebrachten Features, die wirklich einzigartig sind, profitieren kann.
Der Browser erlaubt von Hause aus die Verwendung verschiedener gepflegter Blocklisten und kann auch auf anderen Plattformen Brave (da er auf Chromium basiert) über ein Browser-Plugin mit keepass gekoppelt werden. Der Browser kommt mit Web3-Unterstützung.
Auch die Browser-App von DuckDuckGo ragt mit Import/Export der Lesezeichen im HTML-Format heraus, ist funktionell aber etwas schwächer als Brave. Die Standard-Suchmaschine DuckDuckGo für das Adressfeld läßt sich, zwar nachvollziehbar, aber unnötig, nicht ändern.
Auch ein eigentlich sehr guter Private Browser aus deutscher Hand, dessen Kritiken völlig zu Unrecht schlecht sind; leider aber ohne Lesezeichen-Import
Ein Private Browser, der mit kostenlosem Adblocker und VPN daherkommt. Nett, aber passt nicht recht in ein ausreichend umfassendes Privacy Konzept. Leider auch kein Import von Lesezeichen
Bisher einziger kostenloser Remote-Browser. Der eigentliche Browser läuft beim Anbieter und man verbindet sich über eine verschlüsselte Verbindung. Auch eine schöne Idee, der Anbieter hat aber leider keine No-Log-Policy
Ist Fingerprinting möglich ? Ein Online-Test gibt es auf fingerprint.com
Der anonyme Ansatz ist ein Browser, der das anonyme Tor Netzwerk verwendet. Die einzige kostenlose iOS-Variante Onion für iOS scheint aber zu leaken.
Surft man anonym ? Auf ipleak.net sind umfassende Online-Tests verfügbar
Umfassende Information
Manchmal ist es nicht falsch, einen Schritt rückwärts zu gehen, um aus Sackgassen des Denkens und Handelns auszubrechen.
So gibt es einige eigentlich uralte Technologien, die im aktuellen Stadium des Informationszeitalters wieder massiv an Interesse und Bedeutung gewinnen, weil sie zu Zeiten entwickelt wurden, zu denen der Enthusiasmus und der Glaube an die Freiheit und die neuen Möglichkeiten des Internets noch ungebrochen war.
Die Suchmaschine Kagi, die sich, wie ihr kürzlich aus dem Geschäft gegangener Konkurrent "Neema", über ein Monatsabo finanziert, erfüllt zweifellos fast alle Eigenschaften, die man sich von einer Suchmaschine wünscht - leider ist sie, obwohl der kalkulierte Preis durchaus realistisch erscheint, für viele nicht erschwinglich.
Den Vertrauensbruch beheht der Anbieter aber, indem er mit seiner Suchmaschine jegliche zum Entstehen von Familien nötigen Geistes-Freiheiten, die wir heutzutage einem gesunden Verhältnis zwischen Geist und Psyche, sowie dem entsprechenden Verständnis von Ästhetik in der Kunst zurechnen, verbirgt. Diese von Kagi durchgeführte Zensur bezeichnet der Anbieter selbst kompromisslos sls "extrem familienfreundlich".
Der Begriff "Meta-Suchmaschine", welcher auf die oben genannten alle zutrifft, bezeichnet lediglich, daß diese wiederum die Ergebnisse anderer Suchmaschinen miteinbeziehen. Um aber spezielle Suchmaschinen (wie z. B. ipfs-search.com oder ipse.io für Web3-basierte IPFS-Links oder wissenschaftliche Suchmaschinen) zu finden, ist eine Suchmaschine für Suchmaschinen wie suchmaschinen-datenbank.de notwendig.
Aber langfristig sollten wir uns zu dezentralen Suchmaschinen, wie yacy hinwenden, deren Wissen uns allen gehört und nicht zensiert werden kann.
Social Media Fediverse
Es ist ein kompletter Irrglaube, dass Unternehmen immer gleich die ganze Welt dominieren müssen und ansonsten als gescheitert gelten. Das Problem an zentralisierten Diensten ist, daß sie zentral zensiert werden können. Zu JEDEM bisherigen, zentralisierten Social Media Dienst gibt es inzwischen eine oder mehrere bessere Alternativen im dezentralen Fediverse.
Durch den Einsatz gemeinsamer, offener Protokolle, wie z. B. ActivityPub im Fediverse kann man beispielsweise mit Mastodon-Accounts Pixelfed-Accounts folgen und umgekehrt. Damit kann man auch Kanälen bei Peertube folgen. Man kann auch Twitter-Kontakte importieren, wenn diese ihr Mastodon-Handle im Twitternamen, in der Bio oder in der URL stehen haben.
Web Feeds
Das Abonnieren von Web Feeds mit einem entsprechenden Reader ist die wohl professionellste Methode, um dauerhaft Informations- und Nachrichtenquellen gebündelt zu verfolgen, und umfassend informiert zu bleiben. Die dafür am häufigsten eingesetzten Formate und Protokolle sind RSS und Atom.
ALLE großen, modernen Portale aus allen Bereichen, bieten Web Feeds meist völlig kostenlos an, ebenso wie die meisten privaten Blogs, die sich speziellen Themenbereichen widmen. Das liegt mitunter auch daran, daß die von Medien und Bloggern am häufigsten verwendeten Content Management Systeme (z. B. Wordpress) dies fast durchgehend unterstützen. Auch die Feeds von Social Media Kanälen können gewöhnlich als Web Feeds abonniert werden.
Um die Links zu den Web Feeds zu finden, sucht man am besten auf den entsprechenden Webseiten selbst, und hält Ausschau nach diesem Logo.
Diese Weblinks füttert man dem eigenen Feed-Reader seiner Wahl. Oftmals sind Browser bereits zu deren Konsum fähig oder sie sind durch kostenlose Plugins, wie FeedBro erweiterbar (Es hat sich mir bisher nicht erschlossen, wieso gewisse Anbieter die Aggregation online für Einem tun wollen, wenn es doch die eigenen, lokalen Programme genausogut können!)
Die Verwendung der gewöhnlichen Nachrichten-Apps der einzelnen Nachrichten-Quellen wird völlig obsolet. Indem man stattdessen deren Web Feeds in seinem Reader abonniert, haben die Nachrichten-Quellen oft weniger Möglichkeiten, die eigenen Interessen auszuspähen.
Gelesene Artikel oder Ordner markiert man als solche, damit sie nach gewisser Vorhaltezeit vom Reader automatisch gelöscht werden, oder aber man markiert sie als Favorit, um sie zu behalten.
Eigene Sammlungen von Web Feeds-Links zu den Nachrichtenquellen kann man einfach inform von OPML-Dateien mit Anderen austauschen und sichern.
Mit Web Feeds kann man also ganz einfach und auch anonym seine eigene, persönlich komponierte, digitale Tageszeitung lesen.
Name
Preis
Beschreibung
Link zur App im Appstore
NetNewsWire
0€
Ein Web Feed-Reader, der die persönliche Quellensammlung, wie in dieser Domäne üblich, als OPML-Datei importieren und exportieren kann. Kommt mit rudimentärem Widget. Beste kostenlose Wahl.
Das Usenet ist ein weltweites Netz von Diskussionsgruppen und Foren, welches sich darüberhinaus, aber nicht ausschließluch auch als Alternative zum Torrenting großer Beliebtheit erfreut.
Wer es gar nicht kennt, oder aber denkt, das Usenet sei schon lange tot, oder nur noch von Leechern beherrscht, der irrt sich gewaltig! Es ist nicht nur keinem Konzern zugehörig, sondern auch dezentral organisiert, d.h. die Newsserver synchronisieren sich untereinander redundant über NNTP. Auch ist es basisdemogratisch organisiert. Obwohl dort kaum Zensur stattfindet, ist es weitaus niveauvoller, als die kommerziellen und (a)sozialen Medien.
Das Usenet ist prinzipiell nur über einen Usenet Provider zugänglich. Die kostenlosen Provider unterstützen aber aus wirtschaftlich plausiblen Gründen keine Übertragung von großen Binärdaten. Zum Lesen und Schreiben reicht das aber vollkommen aus (zum Leechen jedoch nicht).
Die weit verbreiteten Dienste WhatsApp und Signal locken mit dem "Komfort", daß man seine "Freunde" anhand deren Mobilnummer bei ihrem Dienst finden (bzw. "stalken") kann, indem sie allen Benutzern aufzwingen, dem Dienst bei der Registrierung ihre Mobilnummer offenzulegen. Dabei ignorieren sie völlig, daß nicht jeder das überhaupt will !Signal hasht dazu wenigstens die Kontakte und übermittelt sie zum Abgleich verschlüsselt zum und vom Signal-Dienst. WhatsApp greift sich diese dagegen ungehemmt im Klartext zum Profiling und Meta/Facebook verbindet sie mit dem entsprechenden Profil der Person oder ihrem Schattenprofil, wenn sie NICHT registriert ist.
Whatsapp ist nicht DSGVO-konform ! Es reicht schon aus, in den Kontakten nur der Freunde drinzustehen, um WhatsApp bekannt zu werden!. Dabei müßte strenggenommen JEDER ALL seine Kontakte um Einverständnis bitten, bevor er sie WhatsApp zur Verfügung stellt. Natürlich weiß Meta/Facebook ganz genau, daß das kein Mensch macht! Der Opt-Out von Facebook dazu ist vom Prinzip her (analog wie auch bei PimEyes & Co) nur eine weitere Übergriffigkeit, alleine deshalb, weil er anstatt eines Opt-INs existiert !
Die Konten der Messenger,die durch die Mobilnummer oder die Email-Adresse personalisiert sind, können auch gestohlen werden. Denn über Eines sollte man sich ganz im Klaren sein : Ein Messenger-Konto unter falscher oder veralteter Rufnummer ist eine tickende Zeitbombe! Ja, es funktioniert zwar zunächst weiter, doch sobald der neue Besitzer der alten oder falschen Nummer das Konto per SMS-Nachricht bestätigt hat, gehört ihm das Konto inclusive aller Kontakte und Chats. Daher unbedingt darauf achten : Das WhatsApp-Konto löschen, BEVOR man die App selbst danach löscht!
Wenn der Quellcode des Messengers nicht offen ist, sind ALLE Benutzer zu blindem Vertrauen gezwungen.
Kommerzielle Geschäftsmodelle basieren meist auf einer zentralen Kommunikations-Struktur und haben womöglich einen zentralen Ausfallpunkt (Single Point of Failure). Zum Erhalt und der Förderung unserer digitalen Freiheit sollte auch gehören, auf freie Messenger zu setzen, bei denen es, wie bei der E-Mail, verschiedene Server geben kann, die aber untereinander kommunizieren können.
Die meisten der heutigen Messenger verstehen sich untereinander nicht mehr, so wie es früher normal war. Die freien Messenger dagegen sprechen eine gemeinsame Sprache, ein "Protokoll". Jeder, der es möchte, kann selbst solche Messenger-Server betreiben. Die Protokolle Matrix und XMPP (Jabber) sind nur zwei Beispiele dafür, dies zu ermöglichen.
Inzwischen gibt es mehrere exzellente Arbeiten an sehr detaillierten Gegenüberstellungen verschiedener Messenger :
Von den kommerziellen, UNfreien Instant Messengern ist Threema wohl der erste und einzige, der sich von seiner datensammelnden Konkurrenz dadurch abhebt, daß er seit Beginn seiner Existenz an den ernsthaft konsequenten und kompromisslosen Fokus zu Privatphäre zu seinem Qualitäts- und Produktmerkmal gemacht hat. Threema kann, aber muss nicht verschwiegen in Betrieb genommen werden. Das Unternehmen unterliegt nicht (wie Apple, Google, Meta oder die Signal-Stiftung) dem USA CLOUD Act, oder dem USA Freedom Act. Technischer Kritik aus Fachkreisen begegnet Threema bisher offen und konstruktiv.
Auch das Jabber/XMPP-Protokoll ist eigentlich schon sehr lange etabliert. Dadurch gibt es nicht nur für die mobilen Betriebssysteme, sondern für fast jede Plattform Implementierungen eines Jabber/XMPP-Clients (=Messenger), die teilweise sogar über das Tor Netzwerk betrieben werden können. Ein Jabber/XMPP-Knoten kann von Firmen, Organisationen, oder sogar Privatpersonen betrieben werden. Wie bei der Email kommunizieren die Benutzer durch ihre Clients über diese Knoten miteinander, sodaß jeder Benutzer von jedem anderen Knoten aus erreichbar ist. Die Jabber-ID der Benutzer hat hat die Form benutzername@xmppserver.tld/endgerät und damit fast die gleiche Form, wie Email-Adressen. Die Kommunikation ist meist schon per Voreinstellung Ende-zu-Ende-verschlüsselt.
Zunächst muss man sich bei einem Knoten eine Jabber-ID erstellen. Die Messenger selbst unterstützen diesen Registrierungs-Vorgang teilweise auch, dabei präferieren sie aber manchmal bestimmte Knoten. Man kann aber immer auch schon eine bestehende Jabber-ID zur Anmeldung verwenden.
Analog zu XMPP (Jabber) verhält es sich mit dem ebenso etablierten Matrix-Protokoll, Auch hier können Firmen, Organisationen, oder Privatpersonen öffentliche Knoten betreiben und jeder Benutzer ist von jedem anderen Knoten aus erreichbar.
Man muss sich bei einem beliebigen Matrix-Knoten eine Matrix-Adresse registrieren, wozu eine Email-Adresse benötigt wird; diese kann und sollte anonym sein. Die Matrix-Adresse hat die Form : @benutzername:matrixserver.tld.
Die Messenger selbst unterstützen den Registrierungs-Vorgang teilweise, dabei präferieren sie manchmal bestimmte Knoten.
Da Matrix Interoperabilität forciert, gibt es dafür zum Einen Kommandozeilen-Clients, als auch Knoten, welche die sogenannten Brücken betreiben, die zum Email- oder zum Jabber-Netz, oder aber zu einem der vielen übl(ich)en Messenger-Dienste wie Telegram oder WhatsApp führen. Letzen Endes verlangen diese Brücken aber ein eigenes vorhandenes Konto der gebrückten Dienste, und sie zerstören die Ende-zu-Ende-Verschlüsselung. Interessant ist das lediglich, wenn man z. B. einen Chatbot für diese gebrückten Dienste betreiben will.
Dieses Messaging-System kommt komplett ohne feste Benutzer-ID aus. Der Code ist quelloffen, und wie bei Jabber/XMPP, Matrix oder tox können auch hier beliebige Server verwendet oder betrieben werden.
Ein von Signal abgeleiteter, anonymer Messenger, der mit dezentralen Strukturen und Onion-Routing wirbt. Jedoch wurde auch die Perfect Forward Secrecy entfernt und es besteht eine Abhängigkeit zu der Kryptowährung $OXEN.
Derzeit können all die verschiedenen existierenden Messenger nicht untereinander kommunizieren; es fehlt ein einheitlicher, offener Standard, um einen einfachen und sicheren Informationsaustausch zwischen ihnen zu ermöglichen. Protokolle wie XMPP und Matrixhaben bereits versucht, zum Standard zu werden, sind jedoch aufgrund verschiedener Einschränkungen bisher nicht erfolgreich gewesen.
Die gute Nachricht : Dieser Standard wird gerade von der IETF entwickelt : Er heißt MIMI (More Instant Messaging Interoperability) und zielt darauf ab, die sichere, private und zuverlässige Verbindung zwischen verschiedenen Messengern zukunftsfähig bereitzustellen. Er deckt relevante Sicherheits- und Datenschutzaspekte ab, einschließlich der entstehenden Metadaten. Bestehende Protokolle wie XMPP und Matrix unterstützen den Prozess aus eigenem Interesse, indem sie versuchen, Teile ihrer eigenen Technologien in MIMI zu integrieren.
MLS (Messaging Layer Security) wurde erst kürzlich erfolgreich fertiggestellt und veröffentlicht. Dies ist der Teil des gesamten MIMI-Standards, der sich auf die Ende-zu-Ende-Verschlüsselung konzentriert. Er spezifiziert und garantiert die notwendigen Sicherheits-Eigenschaften und ist darauf ausgelegt, skalierbar und quantenresistent zu sein.
Viele Hersteller machen sich auf den Weg, den Standard freiwillig und frühzeitig selbst in ihre Messenger zu integrieren. Da der Digital Markets Actdie großen Hersteller wie Google, Amazon, Facebook und Apple stark unter Druck setzt, bis ins Jahr 2024 diese Interoperabilität zu ermöglichen, und diese ohnehin an der Erarbeitung des Standards beteiligt sind, ist zu erwarten, daß das interoperable Instant Messaging in naher Zukunft für alle Interessengruppen auf festem Boden stehen wird.
Online-Shopping
Wenn WIR als Konsumenten ein Unternehmen durch unsere dauerhaft übermäßige Aufmerksamkeit zu groß werden lassen, wird es zu mächtig und wir (als Gesellschaft) machen uns auf Dauer von ihnen abhängig.
Nimmt man sich nur fünf Minuten Zeit, findet man heutzutage für die meisten Artikel ebenbürtige oder sogar bessere Angebote bei Nicht-Marktführern.
Jeder Einkauf ist ein Stimmzettel !
Da Kriminelle auch nicht schlafen, und sich Fake-Shops mehren, lohnt es sich, bei neu entdeckten Online-Händlern einmalig den Fakeshop-Finder der Verbraucherzentrale zu bemühen, um sich mehr Sicherheit zu verschaffen. Dort werden wichtige Vertrauens-Merkmale eines Online-Shops automatisch ermittelt und angezeigt.
Es ist völlig klar und auch legitim, daß der Staat gegen Geldwäsche vorgehen muss. Aber deshalb müssen und dürfen unsere sämtlichen finanziellen Transaktionen nicht gläsern werden, und wir müssen einem potentiellen Bargeld-Verbot durch die EUfrühzeitig ( jetzt
!) entgegensteuern.
Eigentlich sollten wir immer versuchen, anonym, bzw. bar zu bezahlen, wenn dies möglich ist. Wenn im Online-Handel von Bargeld gesprochen wird, ist meist das Kassieren durch den Lieferboten oder das Senden als Briefsendung gemeint. Eine schöne Idee ist viacash, bei der man durch das Vorweisen eines per Email erhaltenen Strichcodes an der Kasse bei REWE, Penny, Rossmann, dm, toom, und einigen Anderen seine Rechnung begleichen kann.
So spannend Kryptowährung auch sein mag, auch da sie nicht durch Staaten und Banken kontrolliert wird, so sind die Transfer- bzw. Schürfkosten fast immer viel zu hoch und für Kleinbeträge ungeeignet. Daher wird sie auch oft als Klimakiller betrachtet. Es werden bereits technische Anstrengungen unternommen, dies zu ändern.
Auch an Bezahlkarten ist nichts Schlechtes zu finden, außer, daß sie nicht wirklich weit verbreitet sind.
Aktuell beste Software-Wallet für Kryptowährungen, auf allen gängigen Plattformen verfügbar und mit aktiver Unterstützung zur Synchronisation. Wer's besser machen will, muss eine echte Hardware-Wallet (z. B. von Ledger, KeepKey oder Trezor) verwenden
Wenn wir schon unbedingt digital und nicht anonym, also offen bezahlen wollen oder müssen, hätten wir eigentlich durch häufige Benutzung dafür sorgen sollen, daß giropay weitere Verbreitung findet.
Der Dienst wird Ende 2024 abgeschaltet abgeschaltet. Mehr Chancen könnte die europäische Zahlmethode EPI haben, die ab Mitte 2024 verfügbar sein soll.
Der bewährte Bankeinzug (Lastschrift) ist zwar sicher, aber langsam. Kreditkarten funktionieren auch immer zuverlässig, sind aber beliebte Angriffsziele. Daher sind Prepaid-Kreditkarten interessant. Wenn man sie außerdem jährlich wechselt, können ihre Nummern sich nicht langjährig verbreiten. Die meisten Anbieter verlangen aber leider recht hohe Anschaffungsgebühren, nur die PAYBACK Visa Prepaid und die Pumucklcard sind dafür geeignet. Die anderen Prepaid-Kreditkartenanbieter fokussieren eher das Erweitern von Handlungsspielräumen, durch vielfältige Unterstützung, auch weniger verbreiteter Zahl- und Wechselmethoden.
Die datenhungrigen Großunternehmen mit ihren Bezahldiensten noch zu befeuern, ist prinzipiell sicher die schlechteste Lösung !
Die bewährte Truecrypt/Veracrypt-Technologie erlaubt es, sehr sichere virtuelle Container für Dateien zu erzeugen. Zusätzlich kann diesen eine Art "doppelter Boden" verliehen werden, mit welchem der Besitz von Daten glaubhaft abgestritten werden kann, indem man, wenn man unter Zwang steht, den Zugang zum ersten Container preisgibt, während sich das sensible Material im versteckten Container befindet, dessen Existenz technisch nicht nachweisbar ist.
Der local first-Ansatz sieht vor, generell auf Clouds zu verzichten, und sowieso auf die großen US-Anbieter. Da die Verwendung einer Cloud zur Bereitstellung großer Datenmengen aber nützlich sein kann, sind jüngst auch Anbieter auf der Bildfläche, welche dies unter besseren Bedingungen tun. Darüberhinaus ist es kein Problem, Truecrypt/Veracrypt-Container in der Cloud zu lagern.
Name
Preis
Beschreibung
Link zur App im Appstore
Crypto Disks
0,99€
Erlaubt es, verschlüsselte Datei-Container mit bewährter Truecrypt/Veracrypt Technologie zu erzeugen und zu benutzen. Sowohl einzelne Dateien als auch die Container selbst können importiert und exportiert werden.
Ein wirklich sehr guterGit-Client, der keine Wünsche offen lässt! Wer selbst kein Repo hostet, kann auf GitLab (GitLab inc.) oder Codeberg unbegrenzt und kostenlos viele private oder öffentlich einsehbare Projekte verwalten. Diese Repos als Cloud machen für alle eigenen Dateien Sinn, die öfter geändert werden und Ergebnis wertvoller, kreativer Bemühungen sind. Es gibt keinen Grund, noch Github (Microsoft) oder BitBucket (Atlassian) zu verwenden !
Man kann von keinem Faktor alleine sagen, daß er der beste oder besser als die anderen ist. Daher sind Kombinationen davon die effektivste Lösung.
Passwörter
Die Vorstellung, heutzutage noch alle Passwörter im Kopf zu behalten ist schön gesagt "romantisch" ! Das kann man sich bestenfalls für die wichtigen Fallback-Identitäten antun. Ein Brute-Force-Angriff mit einem günstig gemieteten, leistungsfähigen Cloudserver ist Gang und Gäbe bei Angreifern. Ein Passwort zu brechen, ist prinzipiell immer nur eine Frage der Zeit :
Passwort-Manager
Ein Schlüsselring, bzw. Passwort-Manager ist zum Erzeugen, Verwalten, Verwahren und Verwenden ausreichend starker Passwörter unumgänglich geworden.
Keepass ist kostenlos, FOSS und wurde inzwischen auf allen gängigen Plattformen implementiert. Damit ist Keepass bereits ohne Cloud interoperabel.
Name
Preis
Beschreibung
Link zur App im Appstore
iOSKeePass
0€
Passwort-Manager zum Erzeugen, Verwalten und automatischen Ausfüllen starker Passwörter, der die Sammlung im inzwischen weit verbreiteten, interoperablen keepass-Format speichert und verschlüsselt und eine Autofill-Funktion für Eingabefelder besitzt. Natürlich mit Import- und Export-Funktion der verschlüsselten keepass-Container. Beste kostenlose Wahl
Der „Ferrari“ unter den Passwort-Managern mit keepass-Datenformat. Mit integriertem TOTP Generator für Zwei-Faktor-Authentisierung (2FA)), und (wer's verantworten will es zu benutzen), neben dem Import- und Export der verschlüsselten keepass-Container auch einen CSV-Klartext-Import und Export.
Die Idee vom Schöpfer Maarten Billemont ist, einen universellen Algorithmus zu benutzen, um aus einem Master-Passwort alle weiteren Passwörter abzuleiten. Dadurch müssen diese nicht mehr verschlüsselt in einer Datei gespeichert werden; der Angreifer hat ohne das Master-Passwort : Nichts. Für den Master-Password Algorithmus ist auf allen gängigen Plattformen eine Implementierung auffindbar. Die Schwäche liegt darin, daß die Sicherheit alleine auf dem, was wir wissen beruht, und nicht auf etwas, was wir haben.
Die Idee hinter Doppelblind-Passwörtern ist, beim Registrier- und Anmeldevorgang hinter die vom Passwort-Manager erzeugten Passwörter, eine weitere, immer identische, kurze Phrase, die man nirgends niederschreibt, anzuhängen. Damit wird erreicht, daß ein Angreifer, der die Datenbank des Passwort-Managers erbeutet und es schafft, sie mit Brute Force zu öffnen, damit trotzdem nichts anfangen kann, weil ihm der letzte Passwort-Teil fehlt.
Webauthn
Das vielversprechende WebAuthn-Verfahren könnte Passwörter zukünftig überflüssig machen, und es ist bereits in vielen Betriebssystemen integriert. WebAuthn basiert auf asymmetrischen Schlüsseln, und garantiert nicht nur, daß die System-Betreiber untereinander ihre Informationen, die sie zur Authentifizierung ihrer Benutzer besitzen, nicht mehr zum Profiling verwenden können, sondern auch, daß ein Datenleck eines Betreibers niemals die gesamte Sicherheit seiner Benutzer gefährdet.
Auf der Testseite webauthn.io kann man es ausprobieren. Jedoch ist es genau zu beäugen, da in der FIDO-Allianz die großen US-Anbieter mitspielen und den Ton angeben. Die privaten Schlüssel versuchen sie dabei vornehmlich, in ihre eigenen herstellereigenen Schlüsselringe (Keychains) einzusperren, leider oft unter Ausschluß von Passwort-Managern, die sie ebensogut verwalten könnten. Ob man die Hand des Herstellers dabei schützend oder eher paternalisch wahrnimmt, ist wohl eine Frage der Perspektive.
Zuletzt bliebe hier nur die Hardware-Lösung, bei der die Schlüssel in einem Stick per NFC ausgelesen werden können.
Der zweite Faktor
Daß die Zwei-Faktor-Authentisierung (2FA) heute, so empfiehlt auch das BSI, eingesetzt werden soll, wann immer möglich, ist keine Frage mehr. Nach allem, was wir aber über die Mobilnummer und Emails wissen, ist es offensichtlich, daß diese - sofern wir selbst zwischen verschiedenen zweiten Faktoren wählen können - ausscheiden.
Der aktuell verbreitete zweite Faktor, der sowohl anonym ist, als auch offline funktioniert, ist ein Authenticator, der Einmal-Passwörter (meist TOTP) generiert. Oftmals wird bei dessen Einrichtung im Netz auf Google Authenticator verwiesen, der Schwächen hat. Es ist außerdem gar nicht nötig, auf große Anbieter zurückgreifen zu müssen, da i. d. R. alle Authenticator-Apps die gängigen Algorithmen mitbringen und bei der Einrichtung die QR-Codes des Online-Anbieters scannen, bzw. die Codes zur Einrichtung verwenden können. Wertvoll sind aber diejenigen, die das initiale Geheimnis bei Bedarf auch wieder rausrücken können, z. B. für Backups. Denn den QR-Code im Fotoalbum zu behalten, ist keine gute Option. Die Wiederherstellungs-Codes, die oftmals im Anschluß während der Einrichtung gezeigt werden, sollte man sicher archivieren, z. B. im Passwortmanager.
Wenn der Akku von Zeit zu Zeit auch mal komplett entladen wird
Wenn man Links aus Messengern und Emails nie direkt anklickt
Wenn nur gerade notwendige Schnittstellen eingeschaltet sind
Wenn man auf die Werkseinstellungen zurücksetzt
Wenn man den Blockierungsmodus dauerhaft verwendet
Die Zukunft der eigenen digitalen Selbstbestimmtheit
Die fortdauernden Verletzungen der Privatsphäre regen die digitale Selbstbestimmtheit zunehmend katalytisch an. Zunächst sind es Einzelne mit technischen Lösungsideen zur heilenden Befreiung. Diese gruppieren sich und machen daraus Produkte. Diese Produkte schließlich verbreiten sich durch ihren Erfolg und stützen das Netz in seiner Freiheit. Solche Produkte sind z. B. :
Die FreedomBox, ein Software-Paket, welches alle wichtigen Bausteine besitzt, um von zentralen Diensten unabhängig zu sein
LibreServer ist ein ähnliches Projekt, welches alle dezentralen Software-Technologien vereint, mit denen man seine Daten (Emails, Kontakte, Kalender, Messenger, Medien) abkoppeln kann; auch für die Mobilgeräte
Obwohl diese Projekte oftmals auf Hardware ausgeliefert werden, die man zu Hause über DDNS ans Internet anbinden kann, ist es viel sinnvoller, die entsprechende Software, die meist kostenlos ist, ganz einfach auf einem viel performanteren virtuellen privaten Server (VPS) zu installieren, den man
bei einem Hoster wie z. B. IONOS zusammen mit einer Domain für unter 100€ im Jahr mieten kann, um damit die ganze Familie und enge Freunde digital auf eigene Füße zu stellen : Emails, Kontakte, Kalender, Messenger, Medien-Cloud.
Die Zukunft des Netzes
Neben den ganzen Dystopien, welche die Herzen von meist fachfremden Figuren mit krankhaftem Kontrollzwang ausgehöhlt haben, gibt es auch positive, freitheitliche Utopien und Visionen einer besseren Infrastruktur für das Internet, die sich über die Versuche, nur die einzelnen Protokolle nachträglich abzusichern durch tiefgreifendere Ideen hervorhebt :
Das Freenet-Projekt ist eine dezentrale, Peer-to-Peer-basierte Plattform, die es Nutzern ermöglicht, anonym und sicher Informationen und Daten (wie Dateien, Websites und Kommunikation) auszutauschen, ohne dass die Inhalte von Dritten zensiert oder überwacht werden können. Das Projekt wurde im Jahr 2000 gestartet und ist als Open-Source-Software frei verfügbar. Es setzt auf eine verschlüsselte Netzwerkarchitektur, bei der Daten in kleine Stücke zerlegt und auf viele Rechner in einem verteilten Netzwerk verteilt werden. Dies ermöglicht es, dass die Daten durch das Fehlen von zentralen Knotenpunkten nicht leicht zensierbar sind und anonym von Nutzern abgerufen werden können.
Während Freenet von einer kleinen Gruppe von Enthusiasten entwickelt wird, wird GNUNet von einer viel größeren und aktiveren Entwicklungsgemeinschaft unterstützt. Das GNUNet ist eine freie, dezentrale Netzwerk-Infrastruktur und ein Framework für Peer-to-Peer-Anwendungen, das geschaffen wurde, um das Risiko von Überwachung, Zensur und Netzwerkangriffen zu minimieren. Es ermöglicht den Austausch von Dateien, das anonyme und sichere Surfen im Internet sowie die Kommunikation und Zusammenarbeit zwischen Benutzern. GNUNet verwendet Verschlüsselung und spezielle Routing-Algorithmen, um sicherzustellen, dass Daten sicher und vertraulich bleiben. Es ist eine Open-Source-Software und kann von jedem heruntergeladen und benutzt werden.
Das I2P (Invisible Internet Project) ist ein anonymes Overlay-Netzwerk-Protokoll, das sich auf die Kommunikation zwischen Knotenpunkten konzentriert. Es ermöglicht Benutzern, Websites, E-Mails und andere Daten innerhalb des Netzwerks zu hosten, ohne dabei ihre Identität oder ihren Standort preiszugeben. I2P bietet auch eine Vielzahl von Featues für Privatsphäre und Sicherheit, wie zum Beispiel Verschlüsselung und Anonymisierung.
Das IPFS (InterPlanetary File System) ist ein verteiltes Peer-to-Peer-Dateisystem, das große Datenmengen in kleinen Blöcken verteilt und sie dann auf verschiedenen Knoten im Netzwerk speichert. Es ist auch in der Lage, Daten auf der ganzen Welt zu übertragen. Das System ist auf Geschwindigkeit und Zuverlässigkeit ausgelegt und bietet Funktionen wie Versionierung und Deduplizierung.
Auch wenn Gesetzgebungen und Standardisierungsprozesse langsam sind, so sorgen sie doch am Ende oftmals dafür, daß sich Technologien entwickeln und durchsetzen, die dem Joch digitaler Verletzungen endgültig ein Ende setzen. Irgendwann wird auch der Letzte digital ausgeschlafen sein.
Die symmetrische Kryptographie
gibt es schon seit dem Altertum und ist leicht erklärt : Der Schlüssel zum Verschlüsseln ist derselbe, der auch zum Entschlüsseln verwendet wird. Einer der am weitesten verbreiteten Methoden ist z. B. AES-256.
Asymmetrische Verschlüsselung
Die asymmetrische Verschlüsselung
ist heute nicht mehr wegzudenken. Die wichtigsten Methoden sind RSA und elliptische Kurven. Zusammen mit dem Diffie-Hellman-Schlüsseltausch haben sie vielen digitalen, heute selbstverständlichen Diensten überhaupt erst ihre Sicherheit ermöglicht. Dabei erzeugt sich jeder Kommunizierende zwei Schlüssel :
Der "private Schlüssel" wird vom Erzeuger als Geheimnis gehütet,
der "öffentliche Schlüssel" wird an Kommunikationspartner verteilt.
Was der eine Schlüssel verschlüsselt, kann nur vom anderen Schlüssel entschlüsselt werden und umgekehrt. Daraus aber ergeben sich zweielementare Anwendungsfälle :
Chiffrieren : Jemand verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel des gewünschten Empfängers. So kann nur dieser die Nachricht lesen, weil sonst kein anderer den passenden privaten Schlüssel besitzt.
Signieren : Jemand verschlüsselt seine Nachricht (bzw. eine eindeutige Prüfsumme davon) mit seinem eigenen privaten Schlüssel. Zwar können alle mit dem passenden öffentlichen Schlüssel diese Nachricht lesen, aber sie wissen auch gleichzeitig, daß die Nachricht nur vom Absender und von niemandem sonst stammen kann, sonst würde ihr öffentlicher Schlüssel nicht zu seinem privaten passen.
Signieren und Chiffrieren können auch kombiniert werden.
Ein generelles Thema in der Kryptographie ist auch die Schlüsselverteilung. Und dadurch gibt es mit asymmetrischer Kryptographie zwei Strukturformen :
Heterarchische Schlüssel-Struktur
Bei der heterarchischen Schlüsselstruktur entscheidet jeder individuell, wem er wieweit vertraut. Dies wird durch ein "Web of Trust" realisiert.
In Deutschland beaufsichtigt die BNetzA die Zertifizierungsstellen (CA's), welche die Zertifikate von untergeordneten Stellen signieren. Dadurch entstehen Zertifikatsketten ("Chains").
Der Besitzer eines Zertifikats bekommt dessen Vertrauenswürdigkeit also indirekt von der Spitze der Public Key Infrastruktur unterschrieben.
Der Empfänger irgendeines Zertifikats kann dessen Echtheit überprüfen, indem er selbst die Prüfsumme (Digest) über das Zertifikat bildet und sie mit der Prüfsumme im Zertifikat vergleicht, die er durch den öffentlichen Schlüssel des Unterzeichners (CA) entschlüsseln kann, welcher wiederum in dessen eigenem Zertifikat zu finden ist.
Für das Zertifikat der hierarchisch nächsthöheren Zertifizierungsstelle (CA) wird genauso vorgegangen. Auf diese Weise kann die gesamte Zertifikatskette geprüft werden.
Die Wurzelzertifikate müssen über vertrauenswürdige Wege zum anderen Ende der Kette finden. Oftmals sind sie bereits in der entsprechenden Software (z. B. Webbrowser) mit "eingebacken".
Das gesamte Vertrauen besteht nur, solange der private Schlüssel des Wurzelzertifikats ausschließlich der obersten Zertifizierungsstelle bekannt ist.
Sicherheit als Gesamtkonzept
Verschlüsselung alleine ist aber leider noch kein Allheilmittel. Bei verschlüsselter Kommunikation ist es immer das schwächste Glied, das man im Auge haben muss. Was nützt "das Schloß im Browser" (https), wenn der Domainname (z. B. "sparkasse.de") zuvor über unverschlüsseltesDNS in eine IP-Adresse aufgelöst wurde, die quasi JEDEM gehören kann, der sich im gleichen Netzwerk befindet, welches wahrscheinlich - wie heutzutage üblich - Luftschnittstellen (WiFi, Mobilfunk) besitzt, die mit Alfa und Kali überredet werden können ?
Der schwächste ist auch oft der desinteressierte Mensch, der die Technik nicht versteht, oder der den Kampf im seine Rechte satt hat und bereits digital resigniert ist. Auf lange Sicht müssen wir netzpolitisch dafür sorgen, daß Freiheit, Sicherheit und Privatsphäre auch diesen Teilnehmern der digitalen Welt erhalten bleiben, indem die dazu notwendige Technik bereits so zu ihnen kommt, daß dies von Beginn an dauerhaft garantiert ist.
Leider muss die Wirtschaft aktuell durch bewußteres Konsumverhalten des Einzelnen und durch jede Menge regulierende Gesetze der Staatendazu gezwungen werden, weil sie sonst - wie die größten Tech-Konzerne uns ununterbrochen demonstrieren - den Menschen einfach gnadenlos ausbeutet, und versuchen wird, ihre Gewinne auf Kosten seiner Grundrechte zu maximieren.
