Pixelcode
What about Online Privacy and Security?

How you can protect yourself from surveillance on the Internet without facing any drawbacks

Sorry, German only 😕

Nichts zu verbergen? Unsinn!

Wer nichts zu verbergen hat, der braucht keine Unverzletzlichkeit der Wohnung, keine ärztliche Schweigepflicht und kein Recht auf einen Anwalt.

Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say.“ – Edward Snowden, Whistleblower

Mike Kuketz:
Nichts zu verbergen?

Digitalcourage:
Moderner Mythos: Nichts zu verbergen?


US-Datenkraken

t3n:
Insider: So sollen Cambridge Analytica und Facebook Trump den Sieg ermöglicht haben

Tagesschau:
Facebook-Datenskandal: Bis zu 87 Millionen Nutzer betroffen

Hannoversche Allgemeine:
Landesregierung verbietet interne Nutzung von Whatsapp

Tagesspiegel:
Amazon-Mitarbeiter hören Alexa-Aufzeichnungen ab

Der Standard:
Siri-Sprachaufnahmen: Whistleblower wirft Apple massive Überwachung vor

t3n:
Google Home: Konzern bestätigt Audio-Mitschnitte und Leak

Süddeutsche Zeitung:
Microsoft-Mitarbeiter hören manche Skype-Gespräche ab

Heise:
Skype und Cortana: Microsoft weist auf menschliches Mithören hin

Tage seit dem letzten Facebook-Skandal


Serverseitige Überwachung

Gibt es glaubwürdige Hinweise darauf, dass ein Internet-Dienst Daten seiner Nutzer (möglicherweise auch illegal) sammelt, verarbeitet und weitergibt, ist die einzige Lösung hierfür, einen anderen Anbieter zu nutzen.


Open Source

Das Problem bei etablierten Diensten ist, dass Datenskandale oft gar nicht erst öffentlich werden – weil die Anbieter ihre (dann proprietäre) Software geheimhalten und somit niemand überprüfen kann, wie sie funktioniert.

Eine Lösung dafür ist der Einsatz quelloffener Software. Programme, deren Quellcodes gemäß dem Open-Source-Prinzip öffentlich einsehbar sind, schaffen Transparenz und bieten die Grundlage für Sicherheit und Datenschutz, weil so beliebige unabhängige Experten die Software auf Herz und Nieren überprüfen können.

Wer würde in ein Auto einsteigen, das nicht mal vom TÜV durchgecheckt werden kann?

Mobilsicher:
Open-Source-Software: Zwischen Entwicklung und Philosophie

Digitalcourage:
Freie Software

Digitalcourage:
Ein Ort für öffentlichen Code


Alternative Dienste und Tipps

Von proprietären auf quelloffene Dienste umsteigen? Klingt schwerer, als es ist.

Die Website switching.software nennt für jedes proprietäre Programm quelloffenen Ersatz. Auch PrivacyTools.io und Prism-Break.org stellen alternative Software vor.

IT- und Sicherheitsexperte Mike Kuketz listet in seiner Empfehlungsecke zahlreiche vertrauenswürdige, quelloffene Dienste auf.

Zusätzlich kann man mithilfe des Appchecks von Mobilsicher die Testergebnisse von Experten-überprüften Apps einsehen.

Bei Exodus Privacy kann man herausfinden, ob eine App Tracker enhält.

Die Electronic Frontier Foundation (EFF) erklärt in einem Guide zur digitalen Selbstverteidigung, wie sich jeder online schützen kann.

securitycheckli.st bietet eine Liste mit Sicherheitsmaßnahmen an, die jeder unbedingt treffen sollte.

Hier einige konkrete zu ersetzende Dienste:

WhatsApp
Instagram
Google Play
Soziale Medien
Google-Suche
Chrome
YouTube
Skype
Dropbox
GMail
Windows


Explizit empfohlen sind folgende soziale Medien:

Mastodon
Pixelfed
PeerTube


Mastodon: Beispiel-Post von dessen Entwickler Eugen Rochko


Eigene Frontends

Wenn z.B. ein Influencer seine Videos partout nur auf YouTube hochlädt und man sich diese unbeobachtet ansehen will, dann kann man sich mit einem kleinen Trick mehr Privatsphäre verschaffen. Statt der normalen YouTube.com-Benutzeroberfläche nutzt man einfach ein anderes sogenanntes Frontend. Tolle Nebeneffekte: Es wird keine Werbung angezeigt, man muss sich nicht anmelden und man kann Videos und Fotos herunterladen!

YouTube-Frontends:
NewPipe (unterstützt Abos)
FreeTube (unterstützt Abos)
Invidious (Website)

Twitter-Frontend:
Nitter

Instagram-Frontends:
Bibliogram
InstaGrabber

GooglePlay-Frontends:
Aurora Store
Yalp Store



Clientseitige Überwachung

Natürlich findet jede Datenverarbeitung, auch legitime, immer auf einem Server statt. Doch nicht immer werden sensible Informationen auch erst auf dem Server erhoben. Tatsächlich werden sehr oft Tracker und Cookies eingesetzt, um das Surfverhalten des Nutzers zu analysieren – das passiert dann im Client, also z.B. im Browser.

Tracking zielt darauf ab, dem Nutzer eine eindeutige ID zu geben, um ihn bei jedem Websitebesuch wiederzuerkennen. Wenn das Tracking-Programm von einem Drittanbieter stammt (z.B. Google oder Amazon) und entsprechend viele Websites dieses einsetzen, kann der Tracking-Anbieter die Nutzer seitenübergreifend identifizieren und verfolgen.

Das ist keine rein hypothetische Gefahr; Google ist am weitesten verbreitet und kann bereits 42% des gesamten Internet-Verkehrs einsehen.


Tracking verhindern

Wie kann man sich nun vor clientseitiger Überwachung schützen? Zunächst einmal ist Tracking dank der DSGVO in Europa zustimmungspflichtig. Selbst die Bild-Zeitung bittet ihre Leser online in einem Popup um Zustimmung.

Das bedeutet: Der erste und einfachste Schritt ist es, das Tracking einfach abzulehnen, was oft keinen sonderlich großen Mehraufwand bedeutet.

Manche Websites halten sich aber einfach nicht an das hierzulande geltende Recht, sodass man bei ihnen auch nichts wirksam ablehnen kann.

Glücklicherweise sind aber praktisch alle Tracking-Dienste mitsamt ihrer Server und Domains öffentlich bekannt und in Filterlisten gespeichert. Trackingblocker können solche Listen laden und die darin enthaltenen URLs konsequent blockieren, sodass keine Daten übertragen werden können.

Jeder sollte unbedingt folgende Blocker nutzen:

uBlock Origin
Privacy Badger
Blokada
Lockdown


Bei AmIUnique.org kann man überprüfen, ob man anhand geräte- und browserspezifischer Merkmale im Internet wiedererkannt werden kann.


Verkehrsüberwachung

Was man im Internet tut und lässt, ist grundsätzlich nicht anonym. Allen voran können Internet-Anbieter wie die Telekom, Vodafone oder O2 einsehen, welche Websites man besucht und welche Daten man auf ihnen eingibt.

Um die Inhaltsdaten (Passwörter etc.) vor fremden Blicken zu schützen, muss die Verbindung zur jeweiligen Website verschlüsselt sein. Das ist heutzutage der weltweite Standard, weshalb man sich hier keine großen Sorgen machen sollte. Ob eine Website eine sichere Verbindung anbietet, kann anhand des https:// (Hypertext Transfer Protocol Secure) in der Adresszeile des Browsers herausgefunden werden.

Wenn man verhindern will, dass Fremde einsehen können, welche Websites man im Internet besucht, ist die eigene IP-Adresse mittels eines VPNs zu verbergen. Solch ein Dienst fungiert als Mittelsmann, der sich gegenüber dem Server als Nutzer ausgibt, obwohl er die jeweilige Website danach in Wahrheit an seinen realen Kunden weitergibt. Dadurch kennen weder Internet-Anbieter noch Website-Betreiber die Identität des Nutzers.

Kommerzielle VPNs sind jedoch sehr häufig unsicher bzw. unseriös:

t3n:
Leak: Nord VPN wurde gehackt

Golem:
Server von VikingVPN und Torguard gehackt

Mike Kuketz:
- AVG Secure VPN: Weitere VPN-App mit haufenweise Trackern
- CyberGhost VPN: Android-App verseucht mit Trackern
- Android: NordVPN übermittelt E-Mail-Adresse an Tracking-Anbieter
- SaferVPN: Chrome-Erweiterung leakt Nutzer IP-Adresse

Günter Born:
Hotspot Shield petzt Nutzerdaten

Ein anderer Ansatz ist hierbei das Tor-Netzwerk. Es basiert auf dem VPN-Prinzip, leitet den gesamten Internet-Verkehr jedoch um 3 Server (statt nur einen) um. Dadurch kann selbst das Tor-Netzwerk nicht zuordnen, welcher Nutzer welche Website besucht hat. Tor gilt bislang als beste aller Methoden zur Anonymisierung im Internet.

Um Tor zu nutzen, muss man sich lediglich den zugehörigen Tor-Browser herunterladen, der für alle gängigen Betriebssysteme verfügbar ist und keine komplizierte Einrichtung erfordet:

Tor-Browser



Staatliche Überwachung

Dank Whistleblower und Ex-NSA-Mitarbeiter Edward Snowden wissen wir, dass vor allem die USA und England massive Überwachung im Internet durchführen. Mithilfe von Programmen wie PRISM oder XKeyScore wird (fast) der gesamte Internet-Verkehr gespeichert, um ihn dann automatisiert zu durchsuchen, wobei mithilfe einzelner Schlagwörter (E-Mail-Adresse, Telefonnummer, Name) alle Internet-Aktivitäten eines Menschen herausgefiltert werden können. Snowden sagt, er hätte mithilfe dieser Programme sogar den US-Präsidenten vollumfassend abhören können.

Auch europäische Geheimdienste streben nach immer mehr Macht. Um diese zu erhalten, wird sehr oft behauptet, man könne mithilfe vollkommener Überwachung und Verschlüsselungsverboten Terrismus und Kindesmissbrauch verhindern. Wie Investigativ-Journalist Glenn Greenwald in seinem Buch "No Place to Hide" jedoch schreibt, ist sich die NSA hingegen intern durchaus bewusst, dass ihre Massenüberwachung noch kein einziges Verbrechen verhindert hat.

Süddeutsche Zeitung:
Nach Anschlag in Wien: Österreichs Innenminister ist in Bedrängnis

SWR Aktuell:
Nach Anschlag in Wien: Gab es Fehler im Vorfeld der Ermittlungen?

FM4 (ORF):
Auf den Terroranschlag folgt EU-Verschlüsselungsverbot

Tutanota:
Warum eine Verschlüsselungs-Hintertür die Sicherheit im Internet zerstören würde

Phil Zimmermann:
"If privacy is outlawed, only outlaws will have privacy."

Der Spiegel:
Unterstützt Microsoft den US-Geheimdienst?

CNN:
Amazon names former NSA director to its board

The Guardian:
NSA collecting phone records of millions of Verizon customers daily

Contents

Nichts zu verbergen? Unsinn!
US-Datenkraken
Serverseitige Überwachung
Open Source
Alternative Dienste und Tipps
Eigene Frontends
Clientseitige Überwachung
Tracking verhindern
Verkehrsüberwachung
Staatliche Überwachung
Pixelcode
Mastodon @pixelcode@social.tchncs.de
Codeberg pixelcode
Mozilla Pixelcode
Not A Bug Pixelcode
Gitlab /e/ @Pixelcode
GitHub @realpixelcode
Contact

Do you have any questions, feedback or requests? Feel free to reach out to me:

XMPP chat & e-mail pixelcode@dismail.de

My PGP encryption public key (inline please): AEEF8CDB5ADF2F28016F39E1FBFC237DAF98D402
You may verify it on keys.openpgp.org.
Privacy

Since this is a static website and there aren't any trackers included as you can see in the source code there's no way for me to collect any user data. I literally can't know anything about you.