DIGITALE SELBSTBESTIMMUNG - Hintergründe und Tipps zum Umgang mit Daten im Netz Aus der Broschürenserie Gewerkschaft GPA - Abteilung Arbeit & Technik
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DIGITALE SELBSTBESTIMMUNG Hintergründe und Tipps zum Umgang mit Daten im Netz Aus der Broschürenserie Gewerkschaft GPA – Abteilung Arbeit & Technik 1
„You have to fight for your
privacy, or you will lose it.“
Eric Schmidt (2013) CEO bei Google
„Metadata absolutely
tells you everything about
somebody's life, if you have
enough metadata you don't
really need content.“
Steward Baker (2013) Jurist bei der NSA
IMPRESSUM:
Herausgeber: Gewerkschaft GPA, 1030 Wien, Alfred-Dallinger-Platz 1
Redaktion: Clara Fritsch, Gewerkschaft GPA – Abteilung Arbeit & Technik
Layout: Christina Schier, Gewerkschaft GPA – Abteilung Organisierung und Marketing
Bilder/Fotos: iStock, Edgar Ketzer, Christian Voigt, Michael Mazohl
ÖGB ZVR-Nr.: 576439352
Stand: März 2022AUTORiNNEN
© Christian Voigt
© Edgar Ketzer
Mag.a Clara Fritsch Christian Voigt
ist Soziologin und arbeitet in der Abtei- ist Soziologe und externer Refe-
lung Arbeit & Technik der Gewerkschaft rent für die Gewerkschaft GPA.
GPA. Sie beschäftigt sich schwerpunkt-
mäßig mit den Themen Kontrolle am
Arbeitsplatz, Beschäftigten-Datenschutz
sowie IKT-Systemen und berät zur Ge-
staltung von Betriebsvereinbarungen.
Die Inhalte sind nach bestem Wissen erstellt und sorgfältig geprüft. Es besteht jedoch keine Haftung seitens der AutorInnen
oder der Gewerkschaft GPA. Inhalte dürfen unter Angabe der AutorInnen weiterverbreitet werden (CC-Urheberrecht).
3INHALT
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Das Digitale und seine Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Datenübertragung mit Zwischenstation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Kontrollverlust. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Metadaten und deren Auswertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Die Absicherung von Geräten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Die BenutzerInnen-Konten und ihre Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . 14
Das Passwort und seine Qualität. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Software-Updates, Open Source und Virenschutz . . . . . . . . . . . . . . . . . . . . . . 16
Verschlüsselung und Sicherheitskopien (Backups). . . . . . . . . . . . . . . . . . . . . . 18
Sichere Browser und ihre Einstallungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Suchmaschine, Schattenprofile, Löschrechte. . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Sichere Kommunikation und deren Verwaltung. . . . . . . . . . . . . . . . . . . . . . . 23
E-Mails und Messenger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Dateien und Ordner und ihre Verschlüsselung. . . . . . . . . . . . . . . . . . . . . . . . . . 24
Spannendes rund um das Thema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Alternative Browser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Browser-Erweiterungen, sog. Add-Ons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Alternative Suchmaschinen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Dateien verschlüsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Alternative Messenger-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Broschüren der Gewerkschaft GPA zum Thema. . . . . . . . . . . . . . . . . . . . . . . 28
4VORWORT
© Michael Mazohl
Diese Broschüre bietet Hintergründe und Tipps für den selbstbestimmten und datensicheren Umgang mit inter-
netbasierten, datenverarbeitenden Technologien und Plattformen. Zunehmend bestimmen Internetgiganten wie
Google (Alphabet), Facebook (Meta), Amazon, Microsoft und Apple das Geschehen im Netz. Zugleich werden die
von diesen Konzernen angebotenen Möglichkeiten auch wegen ihrer einfachen Zugänglichkeit und Vernetzungs-
vielfalt geschätzt. Digitalisierung und Internet bergen Risiken und Potenziale. Was es daher braucht, sind digitale
Kompetenzen, um möglichst souverän mit Daten online – aber auch offline – zu agieren. Das Ziel ist es, Risiken klein
zu halten und die Vorteile der Technologien selbstbestimmt zu nutzen.
Die vorliegende Broschüre der Gewerkschaft GPA fasst Erfahrungen aus Beratungen, Seminaren und Workshops
zusammen. Sie wird nicht die Antwort auf alle Fragen liefern, allerdings Mittel und Wege zu mehr digitaler Selbstbe-
stimmung im Alltag aufzeigen. Ob in der Betriebsratsarbeit oder im Privatleben: Diese Broschüre trägt dazu bei, die
Risiken besser einschätzen und somit eindämmen zu können.
Agnes Streissler-Führer
Mitglied der Gewerkschaft GPA Bundesgeschäftsführung,
zuständig für Digitalisierung und Innovation
Beispiele
Wertvolle Tipps
Wichtige Hinweise
5EINLEITUNG
S
eit Jahrzehnten transformiert Digitalisierung
die Kommunikationsgewohnheiten, Wirt-
schaftsformen und Arbeitswelten. Einzelper-
sonen und deren individueller Alltag ist ebenso von
digitalen Technologien beeinflusst, wie Arbeitsver-
hältnisse und die Gesellschaft insgesamt. Um ein
möglichst großes Maß an Selbstbestimmung zu er-
halten, hilft es die Kontrolle über die eigenen Ge-
räte und BenutzerInnen-Konten möglichst aktiv zu
betreiben, Kommunikationskanäle sorgsam zu wäh-
len, jene Software-Einstellungen zu treffen, die mehr
Privatsphäre-Schutz versprechen oder sich bewusst
für bestimmte Speicherorte zu entscheiden. „Daten-
minimierung“ lautet die Maxime. Die regelmäßige
Beschäftigung mit den Themen Datenschutz und
Datensicherheit gehört zur Realität dazu und soll
mit dieser Broschüre möglichst einfach bewerkstel-
ligt werden – ohne, dass alle IT-ExpertInnen werden
müssen.
Um die Risiken besser einschätzen zu können, hilft es,
sich über die Eigenschaften der digitalen Welt Klar-
heit zu verschaffen, worum es im ersten Kapitel geht.
Danach wird auf einzelne Bereiche eingegangen
und konkrete Handlungsoptionen empfohlen.
6EINLEITUNG
Fünf „goldene Regeln“ für digitale Selbstbe- 4. am Ball bleiben.
stimmung
Aktuelle Empfehlungen von ExpertInnen für den
1. Zugang sichern. Schutz der Privatsphäre und den Umgang mit
Datensicherheit einholen und umsetzen, macht
Der gut abgesicherte Zugang zu den eigenen durchaus Sinn, da sich der Stand der Dinge sehr
Geräte und Accounts ist eine Voraussetzung für rasch ändert. Was gestern noch datenschutz-
gut gesicherte Daten und Privatsphäre. freundlich war, kann morgen – nachdem es viel-
leicht von einem Tech-Konzern gekauft wurde
2. Daten sparsam verwenden. – schon ganz anders aussehen. Abonnements
von Datenschutz-Organisationen und Abfrage
Datenminimierung heißt nicht, dass Plattformen im Netz helfen dabei.
und Dienste Tabu sind. Das Prinzip der Daten-
sparsamkeit bedeutet, möglichst wenige Daten 5. Datenschutz klappt nur solidarisch.
und nur tatsächlich erforderliche zu verwenden,
sich zu überlegen was wo und wie gesagt, ge- Im Alleingang für digitale Selbstbestimmung zu
postet, geteilt, gespeichert, wird. sorgen, ist kaum möglich. Zwar können Einzel-
ne für ihre Sicherheitseinstellungen, Zugangs-
3. Alternativen nutzen. schutz etc. sorgen, doch wenn jeder und jede
bloß „ihr eigenes Süppchen kocht“, ist das noch
Gewisse digitale Grundausstattung ist unum- kein Garant für das Grundrecht auf Schutz der
gänglich. Betriebssystem, Smartphone, Bord- eigenen Daten – dazu braucht es auch kollek-
computer im Auto, Kameras im öffentlichen tive Maßnahmen (z. B. Free Open Source Soft-
Raum etc. lassen sich kaum umgehen. Oft gibt ware, Gesetze).
es jedoch gute Alternativen. Das sind solche, die
das auch können, was die Marktführer bieten,
aber unter deutlich besseren Vorzeichen mit
mehr Selbstbestimmung.
© AdobeStock
7DAS DIGITALE UND
SEINE FUNKTIONSWEISE
U
m informierte Einschätzungen treffen zu kön- Klimasensoren, Smartphones und Laptops oder Groß-
nen, hilft es ein paar Grundprinzipien über das systemen zur Steuerung von kommunaler bis hin zu
Digitale zu kennen. globaler Infrastruktur.
Alles in Nuller und Einser übersetzt Vervielfältigen leicht gemacht
Digital kommt vom englischen Wort „digits“ für Ziffern. Schon seit einigen Jahren hat die Menge an in digitaler
Während es deren zehn gibt, Null bis Neun, ist die di- Form gespeicherten Informationen jene überholt, die
gitale Welt aber aus nur zwei Ziffern gebaut: 0 und 1. sich im Laufe der Menschheitsgeschichte in Büchern,
Sie stehen für einen von zwei möglichen Zuständen, Gemälden oder Schallplatten angesammelt hat. Der
für keine elektrische Ladung (0) oder eine elektrische Inhalt analoger Speichermedien wird oft digitalisiert.
Ladung (1). Sie können als Signal, als Befehl verwen- Dieser Vorgang, bei dem Information aus „alten“
det werden. Null oder Eins, ja oder nein, EIN oder AUS, Speichermedien in den Binärcode übertragen wer-
entweder/oder. Der Kern des Digitalen sind die Nullen den, wird – vor allem im englischen Sprachraum – als
und Einser als kleinste Bausteine der Information. Im „Digitalisierung“ bezeichnet. Digitale Daten können im
Binärcode sind Informationen einfacher kopier- und Gegensatz zu analog gespeicherten ohne großen In-
speicherbar, schnell übertrag- und verknüpfbar. Es formationsverlust kopiert werden. Beim Kopieren eines
werden viele Operationen möglich, die in analoger gedruckten Buches, einer analogen Fotografie, einer
Form nicht möglich wären. Schallplattenaufnahme, gibt es unvermeidbar einen
In der analogen Welt sind Dinge nicht in ein einziges gewissen Informationsverlust. Das Kopieren von Nullen
Codesystem zerstückelt. Im binären Code, der globa- und Einsern schafft dagegen zwei idente Kopien im Bi-
len Verkehrssprache der digitalen Welt, quasi der „lin- närcode. Original und Kopie sind weitgehend gleich-
gua franca“, schwirren nicht nur Zahlen, Texte, Bilder wertig. Die gleichen Nuller und Einser, aus denen das
und Töne etc., per elektronischer Datenverarbeitung E-Mail besteht, gibt es gleichzeitig vollkommen iden-
durch das world-wide-web. Im selben unablässigen tisch im Gesendet- und im Posteingangsordner – sowie
Strom der Nullen und Einsen sind auch die Program- wie auf E-Mail-Servern von Providern und vermutlich
miersprachen enthalten, also die Befehle an Senso- Geheimdiensten.
ren, an Hard- und Software. Das alles läuft in Sekun-
denschnelle, dank immer leistungsfähiger werdender Verknüpfen – fast – beliebig möglich
Computer und Datenübertragungsmedien. Nullen und
Einsen sind gegenwärtig in Glasfaserkabeln und als Im digitalisierten Zustand können Informationen
kabellose bits’n’bytes, in digitalen Stromzählern oder ziemlich beliebig verknüpft werden. Über Hyperlinks
8DAS DIGITALE UND SEINE FUNKTIONSWEISE
© AdobeStock
werden Daten und Informationen in neue Zusammen- Die verlinkten Datenbestände und Programme über-
hänge gebracht. Websites werden miteinander ver- winden die Grenzen der eigenen Geräte ebenso wie
linkt, Dateien verknüpft, Datenbanken verbunden. die von Firmen-Infrastrukturen und können zu externen
Speicherorten bei externen Anbietern verknüpfen, zur
sogenannten „Cloud“. Bei all diesen Operationen wer-
den bits’n’bytes übertragen.
Zu gewünschten Informationen werden Links
per E-Mail verschickt. Ein online-Zeitungsartikel
führt per klick weiter zu einem Mitgliedsformu-
lar. Das Fotoprotokoll eines Workshops verweist Weil alles in die gleiche Struktur übersetzt ist,
auf ein PDF-Dokument. kann auch alles innerhalb dieser Struktur mitei-
nander verknüpft werden
DATENÜBERTRAGUNG
MIT ZWISCHENSTATIONEN
Der Transport einer analogen Ansichtskarte oder ei-
nes Briefs braucht Zwischenstationen – so auch der
Transport, die Übermittlung von Daten. Im Unterschied
zum analogen Postwesen fallen an den digitalen Kno-
tenpunkten aller Wahrscheinlichkeit nach Kopien an,
die bei AnbieterInnen, DienstleisterInnen, auf deren
Rechnern, in Sicherungssystemen und Arbeitsspei-
chern abgelegt sind. Die Ansichtskarte geht zwar vom
Briefkasten zum Postkasten durch mehrere Hände und
Das Online Spiel „Data Dealer“ zeigt sehr anschaulich, kann unterwegs gelesen werden, sie bleibt aber ein
wo Daten gespeichert werden und wie sie von anderen Unikat, das von SenderIn zu EmpfängerIn weiterge-
fremdbestimmt verwendet werden: www. datadealer.com reicht wird. Beim E-Mail ist nicht klar, ob die Kopien auf
9DAS DIGITALE UND SEINE FUNKTIONSWEISE
Schematische Darstellung von SenderIn – EmpfängerIn und Man-In-The-Middle. (by Christian Voigt)
Zwischenstationen, den Servern, erhalten bleiben oder Mit M-Attacken können allerdings auch eine viel öf-
gelöscht werden. Selbst wenn sie als gelöscht gelten, fentlichkeitswirksamere Richtung nehmen. Gelingt es
stellt sich die Frage, ob sie tatsächlich überall gelöscht AngreiferInnen, sich in die Steuerung eines Sensors für
wurden. Kopien fallen nicht nur im Zuge der Daten- ein Zutrittssystem einzuschleichen, über den Smart-
übertragung automatisch an, sie können von Dritten Meter des Energielieferanten oder über die Steuerung
auch gezielt abgegriffen werden. Als Bezeichnung für einer digitalen Werbefläche, können sie in damit ver-
diese Position von Dritten, die sich in die Datenübertra- bundene weitere System eindringen oder diese – un-
gung einschalten, hat sich „Man in the Middle“ oder bemerkt – übernehmen. Aufgrund des Umstands, dass
kurz MitM etabliert. in den Nullen und Einsen nicht nur Kommunikations-
inhalte übertragen werden, sondern auch Metada-
„Man in the Middle“ sind im digitalen Alltag immer ten oder ganze Programme, kann eine MitM-Attacke
existent. Das heißt noch nicht, dass sie Daten missbrau- weitreichende Auswirkungen haben. Programme kön-
chen. Bei einer tatsächlichen Attacke aus der MitM-Po- nen umgeschrieben oder eigene Befehle eingespeist
sition heraus nutzen AngreiferInnen aber diese Relais- werden. Das infizierte Gerät kann nun Daten an un-
station in der Datenübertragung zum Beispiel dafür, bekannte Dritte senden. Es kann als Spam-Verteiler
dass sie mitlesen, Daten abgreifen und unberechtigter dienen, für Attacken auf weitere Systeme missbraucht
Weise auswerten. Beispielsweise wenn über Phishing- werden, das System lahmlegen, Erpressung zur Folge
Mails und darin enthaltene Links, E-Mail-EmpfängerIn- haben oder auch als Rechenleistung für das Mining
nen in Täuschungsabsicht auf die Server und Websites von Kryptowährungen abgezweigt werden.
der AngreiferInnen umgeleitet werden. Nach dem glei-
chen Prinzip werden Trojaner oder Malware untergeju- Möglicherweise informiert ein Gerät, dass es übernom-
belt, wenn EmpfängerInnen etwas herunterladen, das men wurde. Das bezeichnet man als Ransomware, wenn
nicht von dem/der erwarteten AbsenderIn stammt. Im nicht NutzerInnen selbst – aus guter Datenschutzpraxis
Fall von E-Mails, die absolut täuschungsecht, aber tat- heraus – die eigenen Dateien, Ordner und Laufwerke
sächlich gefälscht sind, nennt sich diese Attacke dann verschlüsselt haben, sondern unbekannte Dritte, die
E-Mail-Spoofing (z. B. „Sie haben ein neues Paket von nun den Code zu den unlesbaren, weil verschlüsselten
der Post.“ mit einem nachgeahmten Logo der Öster- Daten haben. Den Schlüssel, mit dem der/die NutzerIn
reichischen Post). Werden massenweise E-Mails – an wieder an die eigenen Daten kommt, wollen die Cyber-
mehr oder weniger zufällig abgegriffene Adressen – kriminellen in den meisten Fällen gegen Lösegeld her-
gesendet, spricht man von Spam (z. B. „Hilfe, ich bin in ausrücken. Meist gelingt es nicht die eigenen Daten zu
Moskau gestrandet und habe kein Geld mehr.“ von der „befreien“, ohne auf die Erpressung einzugehen.
Adresse einer Freundin).
10DAS DIGITALE UND SEINE FUNKTIONSWEISE
Digitale Datenübertragung läuft – wie andere Kom-
munikation auch – von SenderIn zu EmpfängerIn und
zurück, wobei jeweils ein oder mehrere „Man in the
Kann man „MAN IN THE MIDDLE“ ATTACKEN Middle“-Stationen passiert werden. Auf diesem Weg
vermeiden? begegnen den Nullern und Einsern mitunter Risiken,
Es ist kaum zu vermeiden, dass digitale Kom- die es abzuschätzen gilt. Diese Risikofolgenabschät-
munikation und Operationen über „Man in the zung wird in IT-Kreisen threat modeling genannt. Da-
Middle“-Positionen laufen. Was aber vermieden bei wird gefragt, welche Probleme auftreten könnten,
werden kann, sind erfolgreiche MitM-Attacken wenn dies oder das genutzt wird, wenn die Wege der
dort, wo strikte Regeln der Datenübertragung Datenübertragung diese oder jene Route nehmen,
angewendet werden. Dort, wo die Integrität diese oder jene Inhalte transportieren. Es wird dabei
von Geräten und Programmen sicher ist, wo die analysiert, wie die gefundenen Risiken ausgeschalten
Identität von SenderIn und EmpfängerIn über- oder minimiert werden können – beispielsweise indem
prüft wurde, wo die Daten verschlüsselt übertra- die Nutzungseinstellungen geändert oder eine weni-
gen werden und alles in Backups gespeichert ger risikoreiche Alternative genutzt wird.
wird, ist die Wahrscheinlichkeit für schwerwie-
gende Folgen derartiger Attacken geringer.
Wenn jemand etwa eine Suchmaschine aufruft,
Der überwiegende Großteil von Hacker-Attacken, um zu „Hautkrebs“ zu recherchieren – welches
Identitätsdiebstahl, Datenmissbrauch und allgemein potenzielle Risiko besteht für die Position MitM?
Computerkriminalität läuft eigentlich gar nicht über Die Suchmaschine speichert vermutlich die In-
„Man in the Middle“-Attacken. Häufiger wird auf die formation und könnte sie als Datenhändler wei-
Schwachstelle Mensch gesetzt. Viele der berühmtes- terverwenden. Die Wahl einer Privatsphäre res-
ten Hacks funktionieren über „social engineering“. Es pektierenden Suchmaschine wie startpage oder
meldet sich beispielsweise eine Vertrauen erweckende duckduckgo reduziert dieses Risiko.
Stimme am Telefon als „Kollege aus der IT-Abteilung“
oder „beauftragte Sicherheitsexpertin“, verwickelt das
vorher gezielt ausgesuchte Gegenüber in eine Ge-
sprächssituation, bittet um die Überprüfung von ein
paar Einstellungen oder erfragt unauffällig ein Pass- Peter und Maria wollen sicher kommunizieren.
wort. Bekannt in dieser Hinsicht sind mittlerweile die Sie nutzen dazu E-Mail, Handy, WhatsApp, alles
Anrufe aus angeblichen Call-Centern von Microsoft. kunterbunt durcheinander. Was ist eigentlich
das spezifische Risiko, das ihre Kommunikation
unsicher macht? Haben sie den Verdacht, von
jemand ausspioniert zu werden? Liest der Chef
Professionelles IT-Personal wird nie um ein Pass- mit? Schreiben sie Dinge, die von Konzernen wie
wort fragen, genauso wenig wie Banken oder Google nicht ausgewertet werden sollen? Sind
Online-Dienste Links ausschicken, um Benutzer- sie eigentlich ein heimliches Liebespaar, das
daten neu zu bestätigen. Bei solchen Anrufen nicht entdeckt werden möchte? Je nachdem
und E-Mails sollten die Alarmglocken laut läu- wird die Analyse zu unterschiedlich vordring-
ten und die Kommunikation beendet werden. lichen Risiken und passenden Antworten kom-
men. Statt Gmail am Laptop nutzen Peter und
Maria vielleicht besser den Signal Messenger
auf ihren privaten Smartphones. Möglicher-
KONTROLLVERLUST weise nutzen sie besser Datenschutz sensible
E-Mail-Körbe von Posteo und statt Microsoft
Ist die Kontrolle über Geräte und online-Zugänge ein- Outlook als E-Mail-Client in der Arbeit mögli-
mal verloren, lässt sie sich nur schwer wiedererlangen. cherweise besser die Website von Posteo über
Daher sollte Vorsicht die Mutter der Porzellankiste und den Tor Browser.
auch der Geräteverwaltung sein.
11DAS DIGITALE UND SEINE FUNKTIONSWEISE
Einige Anbieter haben Software entwickelt, die zeigt, Die Vorratsdatenspeicherung von Metadaten aus der
welche Player die Aktivitäten im Internet mitverfolgen. Telekommunikation seitens des Staates Österreich ist
Eine solche App ist der „Privacy Badger“. 2014 vom österreichischen Verfassungsgerichtshof zu
Fall gebracht worden, weil sie dem Grundrecht auf Da-
tenschutz sowie dem Recht auf Privat- und Familienle-
ben gemäß Artikel acht der Europäischen Menschen-
rechtskonvention widerspricht. Dennoch bestehen
Geschäftsmodelle privater Unternehmen unter ande-
rem im (Meta-)Daten sammeln, kaufen und verkaufen,
Daten be- und auswerten, (Werbe-)Profile erstellen.
Bei Datenmaterial, das von Data-Profiling-Firmen her-
angezogen wird, ist nicht immer klar, wie es gesammelt
wurde, welche Kriterien herangezogen und gewichtet
wurden oder ob das Datenmaterial überhaupt be-
rechtigt im Besitz der Unternehmen ist. Mit personen-
bezogenen Daten wird hochgerechnet, wie eine Person
oder Personengruppe sich wahrscheinlich zukünftig
Der „Privacy Badger“ zeigt versteckte Drittanbieter, die verhalten wird und es wird eine Abstufung festgelegt,
Website-Aufrufe mitverfolgen. sogenanntes Scoring. Scoringwerte sind über Algorith-
(Screenshot by Christian Voigt) men errechnete Wahrscheinlichkeiten, die pro Person,
Personengruppe oder pro Haushalt gesammelt wer-
den. Wie die Algorithmen funktionieren, ob sie sinnvoll
METADATEN UND DEREN AUSWERTUNG oder absurd sind, das lässt sich schwer nachvollziehen
– in aller Regel handelt es sich nämlich um Geschäfts-
Ob bei digitaler Kommunikation, Navigation im Fahr- geheimnisse.
zeug, Arbeit am Computer oder an der Produktions-
maschine: immerzu fallen sogenannte Metadaten an.
Diese Metadaten sagen nichts darüber aus, was an
Inhalten übertragen wird, jedoch jede Menge darüber Im Finanzbereich wird im Kreditscore die Hoch-
wie wann an wen übertragen wird. Verbindungsdaten, rechnung ausgedrückt, ob Personen wahr-
wie Zeitstempel, Standortbestimmung geben Auskunft scheinlich einen Kredit zurückzahlen werden
darüber wer wann wo und wie lange Datenspuren hin- können, also kreditwürdig sind – oder nicht.
terlässt – beispielsweise bei der Arbeit. Die Daten sind
ursprünglich nicht unbedingt personenbezogen, kön-
nen aber indirekt Personen zugeordnet werden.
So ein Wahrscheinlichkeitsmodell kann laufend an-
gepasst werden, weitere Daten integriert werden. Das
Verarbeiten historischer Daten, um aktuelle zu inter-
Was passiert eigentlich mit den METADATEN? pretieren und daraus Schlüsse für die Zukunft zu zie-
Daten, die im Internet oft nur als Nebenprodukt hen, wird predictive analytics genannt. Nicht nur die
und ohne direkten Personenbezug entstehen, vermutete Produktivität der ArbeitnehmerInnenschaft
können zu Profilen verdichtet werden, die wiede- oder Kreditwürdigkeit wird auf diese Weise vorher-
rum zur Bewertung von Personen dienen. Diese sagend berechnet, auch die Höhe von Mieten in Ab-
Profile sagen bisweilen mehr über eine Person hängigkeit von der Kriminalitätsrate in der jeweiligen
aus, als diese eigentlich bereit wäre, über sich Wohngegend, das Zusammenpassen von Liebespaa-
preiszugeben. Mitunter werden sie auf Basis in- ren oder gar Straffälligkeit von einzelnen Menschen
transparenter Parameter erstellt. In manchen werden predictive analytics unterzogen.
Fällen würde sich die profilierte Person selbst
nicht wiedererkennen.
12DAS DIGITALE UND SEINE FUNKTIONSWEISE
Zustimmung und des menschlichen Einwirkens auf die
Entscheidung Profiling juristisch betrachtet durchaus
DSGVO-konform wäre.
Die Firma Workday bietet ein Produkt an, mit
dem das Management laufende Prognosen
hochgerechnet bekommt für die Wahrschein-
lichkeit von Kündigungen seitens der Arbeit- Von der Zustimmung zu einem Profiling soll-
nehmerInnen. Der Europäische CEO erklärt im te nach Möglichkeit abgesehen werden, auch
Interview: „Unsere Software braucht 1,5 Jahre Da- wenn Einzelne vielleicht scheinbar profitieren.
tenhistorie der Firma, dann spuckt unser Algorith- Besonders im Arbeitszusammenhang oder bei
mus die Abwanderungswahrscheinlichkeit zu 93 der Gesundheit kann Profiling unangebrach-
Prozent richtig aus.“ (https://www.business-punk. te Nebenwirkungen haben. Zum Beispiel, dass
com/2016/06/workday-software/ [21.3.2022]) Versicherungsverträge – zumindest für junge
gesunde risikoarm lebende Menschen – güns-
tiger werden, für alle anderen aber leider nicht.
Die Europäische Datenschutzgrundverordnung (DS-
GVO) untersagt in Artikel 22, dass aufgrund rein
maschineller Berechnungen schwerwiegende Ent- Zahlreiche Unternehmen bauen aus Datenspuren
scheidungen über Personen getroffen werden. Sollte im Netz elaborierte Werbe-Modelle auf deren Basis
derartiges in Verwendung sein, müssen die Betroffenen individuell adressiert, unterschiedlich bewertet und
jedenfalls über die zugrundeliegenden Logiken infor- entschieden wird – Vieles davon unbemerkt, Einiges
miert werden und freiwillig einem solchen Profiling davon sichtbar (z. B., wenn Suchmaschinen und
zugestimmt haben. Mitunter wird das als sogenann- Social-Media-Plattformen personalisiert zugeschnittene
tes „Profilingverbot“ bezeichnet, was nicht ganz rich- Wahlwerbung anzeigen, wenn unterschiedlich Preise
tig ist, da ja unter den Bedingungen der informierten für ein und dasselbe Produkte angezeigt werden).
Schematische Darstellung der potenziellen Auswirkungen der Echtzeitüberwachung
von Internet-Aktivitäten. CC BY-SA Cracked Labs, 2017
13DIE ABSICHERUNG
VON GERÄTEN
D
ie Voraussetzung für Datenschutz und Da- DIE BENUTZERINNEN-KONTEN UND
tensicherheit ist, dass die Kontrolle und In- IHRE VERWALTUNG
tegrität der online verwendeten Geräte ge-
wahrt ist. Das ist gleich bei der Inbetriebnahme eines
Gerätes, bei der Anmeldung im Betriebssystem The-
ma. Dass nach wenigen Minuten der Inaktivität eines Tutorials im Netz sind ein effizienter Weg emp-
Gerätes eine erneute Anmeldung erforderlich wird, fohlene Software und Einstellungen zu studieren.
ist ein Vorteil für die Gerätesicherheit. „It‘s not a bug, Für so gut wie alles sind auf Youtube Anleitungs-
it’s a feature!“, es sei also kein Fehler, sondern eine videos zu finden, die zeigen, wo bestimmte Ein-
Funktion, würde die IT-SicherheitsexptertIn sagen. stellungen sich befinden und die gut erklären,
Mit einer rasch aktivierten Wiederanmeldung kön- warum an welcher Stelle dies oder das empfeh-
nen Zugänge von (unbefugten) Dritten ausgeschlos- lenswerte Schritte sind. Auch für BenutzerInnen-
sen werden. Verwaltungen in Windows, auf Android oder
Apple Smartphones, für Linux oder Samsung
lassen sich eine Menge hilfreicher Videos fin-
den. (Nicht vergessen: bei Youtube einen Add-
Blocker verwenden!)
Die Zeit für die Aktivierung eines Bildschirm-
schoners auf eine halbe Stunde oder mehr zu
stellen, ist kontraproduktiv. Die Empfehlung lau- Betriebssysteme auf PCs, Laptops und mobilen Gerä-
tet gerade umgekehrt, diese Zeit auf zwei oder ten haben BenutzerInnen-Konten und diese werden
drei Minuten einzustellen. Zusätzlich sollte man wiederum in einer Benutzerverwaltung administriert.
mit einfachen Tastenkombinationen wie Win- Konten können für alle NutzerInnen offenstehen, auf
dowstaste + L für „lock“ Bildschirme und Benut- bestimmte Gruppen oder Abteilugen beschränkt oder
zerInnen-Konten sperren, sobald eine Minute nur den IT-Administratoren zugänglich sein. Sie kön-
nicht am Gerät gearbeitet wird. nen zur Anmeldung die Eingabe eines Passwortes bzw.
Passsatzes verlangen, biometrische Daten wie den Fin-
gerabdruck voraussetzen oder auch ohne eigenen Zu-
gang funktionieren.
14DIE ABSICHERUNG VON GERÄTEN
Für alle gemeinsam genutzten Geräte (innerhalb eines Bei der Erstellung eines Passwortes gilt grundsätzlich
Netzwerks) gilt, dass mehrere Benutzerkonten mit un- je länger und komplexer desto sicherer. Die Verwen-
terschiedlichen Rechten angelegt sein sollten. Selbst dung von Groß- und Kleinbuchstaben in Kombination
dort, wo Geräte ausschließlich von einer Person allein mit Ziffern und Sonderzeichen erhöht die Komplexität
genutzt werden, sollte das so gehandhabt werden. Für eines Passwortes. Seit geraumer Zeit wird empfohlen,
den täglichen Gebrauch wird nicht das Benutzerkon- statt einzelner Passwörter besser kurze Passsätze zu bil-
to mit Admin-Rechten benötigt, sondern ein eigenes den. Sie sind einfacher merkbar und selbst ein kurzer
für eben den alltäglichen Gebrauch. Wird mit diesem Satz hat schnell die Länge von zwanzig Stellen. Sätze
Konto etwas Problematisches heruntergeladen, fällt es enthalten in der Regel Groß- und Kleinbuchstaben so-
Angreifern, Skripten oder Trojanern ungleich schwe- wie Satz- oder Sonderzeichen, was ebenfalls ein Vorteil
rer, etwas zu installieren und an Berechtigungen zu ist. Man könnte auf Sätze aus der persönlichen Umge-
ändern, weil das Benutzerkonto das nicht zulässt. Für bung zurückzugreifen (z. B. aus einem Buch, das im
die Fälle, wo jemand anderer schnell Zugriff zum eige- Betriebsratsbüro steht) oder mit einem Hobby zusam-
nen Gerät bekommen soll, sollten vorab Gästekonten menhängen (Filmtitel, Reisedestinationen, Lied, Litera-
eingerichtet sein. Eine Anmeldung ist dann jederzeit turzitat etc.).
möglich, aber eben mit einem Gastkonto. Der schnel-
le Wechsel von Benutzerkonto zu Benutzerkonto lässt
sich vorab üben, so dass er in der passenden Situation
leicht von der Hand geht.
Pro Gerät sollte ein Benutzerkonto mit Administ-
rationsrechten eingerichtet sein, um die alltäg-
liche Nutzung von der Admin-Nutzung zu tren-
nen. Außerdem kann noch ein Benutzerkonto
für Gäste eingerichtet werden, um es Gästen zur
Verfügung zu stellen.
Ein Erklär-Video zu Passwortqualität auf Youtube
von Alexander Lehmann. https://www.youtube.com/
watch?v=jtFc6B5lmIM
DAS PASSWORT UND SEINE QUALITÄT
Wie werden Passwörter geprüft? Zur sicheren Anmeldung an Geräten hilft hohe
Wird ein Passsatz zur Anmeldung an einem Ge- Passwortqualität. Ein ganzer Passsatz statt nur
rät eingegeben, wird er zu einem sogenannten einem Wort ist empfehlenswert und diesen auch
„Hashwert“ umgerechnet und mit dem gespei- gegenüber Dritten nicht zu verraten. An diese
cherten Wert des Zugangssystems abgeglichen. Grundregel sollten NutzerInnen sich nicht nur
Die Systeme, die Passwörter bzw. Passsätze ab- im Arbeitsleben halten, sondern auch in Part-
gleichen und bei Übereinstimmung eine Anmel- nerschaften und Familien, bei sämtlichen ge-
dung zulassen, dürfen ihrerseits nie BenutzerIn- nutzten Geräten. Ein Passwort kann auch per
nen-Passwörter selbst speichern, sondern nur Zufallsgenerator erstellt werden, was eine hohe
den Hashwert. Allfällig gehackte Datenbanken Sicherheit gewährleistet, dafür meist schwieri-
liefern AngreiferInnen dann keine Zugangs- ger auswendig zu merken ist.
daten.
15DIE ABSICHERUNG VON GERÄTEN
Keinesfalls empfehlenswert ist das wiederholte Ver-
wenden eines Passwortes bzw. -satzes für mehrere
Accounts. Dort, wo Zugänge direkt kontrolliert werden,
sollten niemals die Passwörter der BenutzerInnen ge-
speichert sein. Wird eine Datenbank mit Passwörtern
gehackt, können sonst AngreiferInnen sehr schnell auf
alle Plattformen mit den erbeuteten BenutzerInnen-
Kontodaten zugreifen.
Passwörter können gestohlen werden, so genannte
„Pwned“ Passwords“. Der Begriff stammt im Grunde Der Passwort-Manager „KeePass“ sichert alle ihm an-
vom Englischen „own“, besitzen, „owned“ besessen, vertrauten Passwörter und -sätze in einer verschlüsselten
und wird im übertragenen Sinne im Zusammenhang Tresordatei. (Screenshot by Christian Voigt)
mit Passwort-Hacks als „erwischt“ verwendet.
Biometrische Anmeldeverfahren (z. B. Fin-
Ob eigene Benutzerkonten im Netz von einem gerprint, Irisscan, Stimmerkennung, Handve-
Diebstahl betroffen sind, sollte regelmäßig nenscan etc.), werden mitunter als einfach zu
nachgesehen werden; z. B. auf www.monitor. verwendende Zugänge angepriesen, da die
firefox.com oder www.haveibeenpwned.com . NutzerInnen sie immer mit dabei haben, sie
nicht vergessen können und sie zugleich eindeu-
tig zuordenbar sind. Sie sollten unbedingt nur in
gut begründeten Fällen, bei hochvertraulichen
Hat jemand zahlreiche Accounts und Zugänge zu ver- Zugängen verwendet werden. Ein biometrisches
schiedensten online Plattformen und Netzwerken, so Merkmal ist gänzlich einmalig, eben weil es nur
sind viele Zugangscodes, Passwörter und -sätze zu einer einzigen Person zugeordnet werden kann,
merken und regelmäßig zu ändern. Dazu bietet sich und bei Verlust oder Diebstahl kaum ersetzbar
die Nutzung eines Passwort-Managers an. Das sind ist. Es wäre damit dieses einzigartige Erken-
Programme, in denen eine große Anzahl an Zugän- nungsmerkmal bekannt gegeben und von einer
gen sicher gespeichert werden können. Die Zugänge Software bzw. einem Anbieter verarbeitet, was
werden mit einem Master-Passwort verschlüsselt, das nicht im Sinne des Schutzes der Privatsphäre
den Zugang zu allen anderen sichert und daher sehr oder dem Schutz der Persönlichkeit ist.
stark sein sollte. Die eigentliche Liste, die Tresor-Datei,
ist verschlüsselt und sollte an mindestens drei unab-
hängigen Speicherorten als Backup gesichert sein.
Ein Passwort-Manager übernimmt die Verwaltung be- SOFTWARE-UPDATES, OPEN SOURCE UND
liebig vieler Passsätze. VIRENSCHUTZ
Anbieter für Software zum Passwort-Management gibt Software-Updates sind ein weiterer Aspekt zur Sicher-
es viele mit unterschiedlichen Features (z. B. automati- heit von Geräten und Umgebungen. In aller Regel
sche Aktualisierung zwischen PCs, Laptops und Smart- schließen Software-Updates Sicherheitslücken. Daher
phones). Browser wie Firefox haben ebenso die Option, empfiehlt es sich, Updates besser früher als später zu
alle gespeicherten Passwörter im Browser mit einem installieren. Bei umfassenden, Wesentliches ändernden
Master-Passwort zu sichern. Sicherheitsschranken mit oder gänzlich neue Features implementierenden Up-
Master-Passwörtern werden zunehmend Standard in dates (z. B. neue Generation einer Software oder neues
Browsern, Betriebssystemen, Smartphones und sollten Betriebssystem) macht es mehr Sinn, etwas zu warten
genutzt werden. und Erfahrungsberichte im Netz anzusehen.
16DIE ABSICHERUNG VON GERÄTEN
Free Open Source Software (FOSS) ist nicht automa- anderen Seite mit Vorsicht zu genießen. Das Finanzie-
tisch sicherer als proprietäre, geschlossene Software. rungsmodell dieser Seiten basiert oft auf Werbung,
Bei Software im Eigentum von gewinnorientierten Un- weswegen NutzerInnen ausspioniert werden, um das
ternehmen kann es allerdings gefährlich werden auf perfekt auf sie zugeschnittene Werbeprofil zu erstellen.
Sicherheitslücken hinzuweisen, weil Gefängnisstrafen So wird mitunter bei einem Download mehr herunter-
drohen. Der us-amerikanische Programmierer und ra- geladen , als offensichtlich ist und eigentlich von den
dikale Vertreter von frei zugänglichem Wissen, Aaron NutzerInnen erwartet und gewünscht wird. Außerdem
Swartz, ist ein Beispiel dafür, dass Unternehmen ihr Ei- sind diese Plattformen herunterladbarer Anwendun-
gentum rücksichtslos hüten. gen ein lohnendes Angriffsziel, um die angebotene
Software zu infizieren.
Für Privatunternehmen kann es vorteilhafter sein, Lü-
cken zu verheimlichen und/oder die AufdeckerInnen
rechtlich zu belangen, als Sicherheitslücken aufzu-
finden und sie zu schließen. Die Öffentlichkeit erfährt Programme/Apps sollte man bewusst auswäh-
nicht verlässlich von allfällig bestehenden Sicherheits- len und nicht voreilig installieren. Nach Mög-
problemen. lichkeit sollte man auf Freie Open Source Soft-
ware setzen.
Bei Open Source Software ist es umgekehrt. Es ist le-
gal und gewünscht, dass Software auf Missbrauchs- Programme/Apps sind vorzugsweise von den
möglichkeiten getestet wird und gefundene Probleme Websites der Anbieter direkt herunterzuladen.
veröffentlicht werden. Lücken sind also öffentlich be-
kannt und werden von der Community schnellstmög- Im Idealfall wird vorab die Signatur der Soft-
lich behoben. Das gilt zwar nicht bei jedem kleinen warepakete überprüft. Das sind PGP-Signaturen
Softwareprojekt, aber jedenfalls bei populären und im (pretty good privacy), die das heruntergeladene
besonderen Maße bei Software, deren Programmierer Paket haben muss, andernfalls ist es gegenüber
sich den Datenschutz „an die Fahnen heften“. dem vom Hersteller gedachten Produkt verän-
dert worden und etwas stimmt nicht.
Welche Alternativen gibt es?
Freie und/oder Open Source Software zu nut-
zen, kann von Vorteil sein. Beispielsweise kann
als Betriebssystem Linux mit dem Libre Office
die Funktionalität von Microsoft Office abde-
cken. Der Firefox Browser ist eine gute Alternati-
ve zu Google Chrome am Desktop und der Bra-
ve Browser die sicherere Alternative zu anderen
Browsern auf mobilen Geräten. Der Signal Mes-
senger ersetzt WhatsApp. Gimp kann statt Pho-
toshop verwendet werden. Nextcloud empfiehlt
sich statt OneDrive oder Dropbox, Jitsi an Stelle
von Skype, CryptPad statt Google Docs, KeePass Beim Download mit dem „Torbrowser“ wird eine Signatur
als Passwort-Manager, VeraCrypt als Verschlüs- angegeben. (Screenshot by Christian Voigt)
selungssoftware etc..
Es gibt zahlreiche Webseiten im Netz, die alle mögli-
chen Programme/Apps in ihren „App-Stores“ anbie-
ten. Was auf der einen Seite praktisch wirkt, ist auf der
17DIE ABSICHERUNG VON GERÄTEN
transferieren lassen sich einzelne Dateien, Ordner oder
auch ganze Laufwerke. Die „Cloud“ dient nicht nur als
Speicherort, es können über die Server externer An-
Etwas Recherche im Netz, wie eine neue App bieter einzelne Programme und komplette Software-
bewertet wird, ist immer gut investierte Zeit. Bei pakete laufen. Cloud-Dienste werden von zahlreichen
Wikipedia und bei Datenschutz-NGOs (z. B. Unternehmen mit unterschiedlichsten Funktionen in
www.digitalegesellschaft.de ) gibt es immer wie- verschiedensten Versionen angeboten. Typischerweise
der aktuelle Informationen, von welcher Soft- sind E-Mails oder Messenger-Dienste und deren Aufbe-
ware abgeraten und welche empfohlen wird. wahrung und Verwaltung in der „Cloud“ angesiedelt.
Den Newsletter von Datenschutzorganisationen Microsoft hat beispielsweise sein gesamtes riesiges An-
kann man getrost abonnieren, um über Emp- gebot in die Cloud verlagert. Es gibt Cloud-Anbieter
fehlungen und Warnungen auf dem Laufenden zu allem, was online möglich ist – gratis oder als Abo,
zu bleiben. automatisch verschlüsselt oder nur auf Wunsch mit be-
stimmter Encryption-Software versehen, Speicherorte
Software, die nicht mehr gebraucht wird, sollte in aller Welt etc.. Der Vorteil von Daten auf fremden
wieder deinstalliert werden. Servern liegt darin, dass sich Backups ablegen las-
sen, dass man von überall aus online darauf zugreifen
Bei der Installation von Apps für mobile Gerä- kann, dass der Anbieter in der Regel die Verantwortung
te sollte man sich auf die App-Stores verlassen für die Wartung und Sicherheit übernimmt.
können. Der App-Store von Apple hat diesbe-
züglich einen guten Ruf. Unter www.appcheck. Ein Aspekt der digitalen Sicherheit sind Sicherungs-
mobilsicher.de sind Testberichte zu Android kopien.
Apps zu finden.
Als sicher gespeichert gilt etwas nach der 3-2-1
Wird diese Vorsicht und Umsicht im Netz gelebt, Regel, wenn eine Datei in drei Kopien existiert,
braucht es eigentlich keinen Virenschutz. Versierte Nut- auf zwei verschiedenen Typen von Speicher-
zerInnen betrachten Virenschutzprogramme bisweilen medien, wobei mindestens eine Kopie außer
als offizielle Trojaner, die alles inspizieren dürfen und Haus sein sollte. Diese Situation wäre z. B. ge-
verzichten daher gerne darauf. Virenschutzprogram- geben, wenn eine Kopie auf der Festplatte des
me können auch Geräte verlangsamen und bieten kei- PCs oder Laptops liegt, eine auf einem externen
ne absolute Sicherheit gegen Viren, Trojaner, Malware Speichermedium (z. B. USB-Stick oder externe
etc., wenn man im Vertrauen auf sie sorglos agiert. Speicherplatte) und eine in der Cloud (z. B. auf
www.luckycloud.de ). Die Kopien sollten entwe-
der automatisch synchronisiert werden oder in
regelmäßigen Abständen neu gespiegelt (ko-
Für NutzerInnen, die sich aktiv um Datenschutz piert) werden.
und Sicherheit bemühen, macht die Installation
eines Virenschutzprogramms Sinn, solange sie
nicht als Freibrief für sorglose Ignoranz missin-
terpretiert wird. Verschlüsselung ist immer eine gute Idee, bei Datei-
en, Ordnern, Festplatten oder Festplatten-Partitionen
(das sind Unterteilungen der Festplatte in unterschied-
liche Bereiche). Verschlüsselung ganzer Festplatten
VERSCHLÜSSELUNG UND SICHERHEITSKOPIEN oder Geräte ist wichtig, falls ein Gerät verloren geht
(BACKUPS) oder gestohlen wird. Smartphones enthalten diese
Option heute schon als Standard. Unabhängig von
„Die Cloud ist nichts anderes als anderer Leute Compu- der Verschlüsselung der Geräte-Festplatte ist es uner-
ter“, lautet ein Spruch. In die Wolke, englisch „Cloud“, lässlich, sensible Ordner und/oder Dateien eigens zu
18DIE ABSICHERUNG VON GERÄTEN
© iStock
verschlüsseln. Das ist umso wichtiger, wenn auch an-
dere Personen Zugang zum Gerät haben.
Die Festplattenverschlüsselung ganzer Geräte hat die Zusammengefasste Tipps zur IT-Sicherheit
Achillesferse, dass die Verschlüsselung nur gegeben ist,
wenn das Gerät ausgeschalten ist. Beim eingeschalte- ● Sicheres Passwort verwenden
ten PC, Laptop oder Smartphone ist die Festplatte not- ● Bildschirmschoner aktivieren
wendigerweise entschlüsselt, weil Betriebssystem und ● Geräte abdrehen, wenn sie außer
Programme sonst nicht laufen könnten. Geräte sollte Reichweite sind
man deshalb nicht permanent aktiviert lassen. Sie he- ● Virenschutz installieren
runterzufahren ist eine weitere Schutzmaßnahme ge- ● Festplatte verschlüsseln
gen ungewollten Zugriff. ● Laufend Backups machen
● Sicherungskopien verschlüsseln
Backups schützen gegen den Verlust der Daten, wenn ● Cloud-Dienste für verschlüsselte Backups
der Zugriff auf ein Gerät nicht mehr gegeben ist. Op- nutzen
fer von Ransomware sind weniger erpressbar, wenn sie ● Am Ball bleiben (z. B. per Newsletter)
ihre Daten als Backups gesichert haben.
19SICHERE BROWSER UND
IHRE EINSTELLUNGEN
S
elbstbestimmtes Surfen beginnt bei der Auswahl abzuwarten, wie sich Brave als Browser für Desktop Ge-
und Anpassung der Browser, dem Blockieren der räte entwickelt und finanziert. Daher gilt hier – wieder
(versteckten) Datensammler, geht weiter bei der einmal – die Empfehlung, in regelmäßigen Abständen
Nutzung von Social Media bis hin zur Wahl der Such- etwas Zeit in die Recherche zu aktuellen Entwicklungen
maschine. Mit welchen Browser-Einstellungen und zu investieren.
welchen Browsern im Netz gesurft wird, spielt eine we-
sentliche Rolle beim Schutz der Privatsphäre. Neben In letzter Zeit haben jedoch auch alle großen Anbieter
Googles Chrome, Microsoft Edge und Apples Safari die Datensicherheit vermehrt ausgebaut und binden
gibt es Firefox als Alternative, die nicht einem Internet- zu diesem Zweck sinnvolle Features in ihre Browser ein.
giganten gehört. Allerdings basiert das Geschäftsmodell von Google,
Amazon und Facebook stark auf Werbung, auf Anzei-
Ein Großteil der Internetaktivitäten mit mobilen Gerä- gen. Es besteht zwar ein Interesse, sich vor der Kon-
ten läuft über Apps und die holt sich der/die NutzerIn kurrenz zu schützen und gegen Cyberkriminalität vor-
in den Online-„Geschäften“, den App-Stores, also einer zugehen, doch werden die Konzerne nicht aufhören,
Plattform, auf der die Apps heruntergeladen werden. personenbezogene Daten zu sammeln, zu aggregie-
Das gravierendste Problem stellt dabei die Online-Wer- ren, zu detaillierten Personenprofilen zu bündeln und
bung von Google (alphabet), Amazon, Facebook (Ins- diese Informationen gewinnbringend zu nutzen.
tagram, Meta) auf ebendiesen Stores bzw. der jewei-
ligen zum Konzern gehörigen weiteren Plattform dar. Egal welcher Browser benutzt wird – und viele Nutze-
rInnen verwenden mehrere parallel – man sollte die
Einstellungen anpassen und durch Erweiterungen
(oder Add-On’s) so konfigurieren, dass sich Werbung,
Drei Browser, die stabile Leistung erbringen, Tracker, Skripte und Cookies nicht beliebig „entfal-
nicht fürs Datensammeln bekannt sind und kei- ten“ können. Werbeblocker – im Internet-Jargon ist
nem Internetgiganten gehören, seien hier expli- der englische Ausdruck Adblocker gebräuchlich – wie
zit empfohlen: Mozilla Firefox, Tor und Brave. ublock-Origin und der Privacy Badger für die Abwehr
unsichtbarer Tracker sind ein Muss. Für fortgeschritte-
ne NutzerInnen bieten sich Add-On’s wie NoScript zur
Feinjustierung an, die pro Website differenzieren, wie
Jede Empfehlung ist selbstverständlich nur eine Mo- mit Skripten umgegangen werden soll. Auf mobilen
mentaufnahme. Es ist unklar, wie es mit der Mozilla Geräten übernimmt der Brave Browser einige dieser
Foundation und deren Firefox weitergeht. Es bleibt Maßnahmen automatisch.
20SICHERE BROWSER UND IHRE EINSTELLUNGEN
Das Symbol des Vorhängeschloss symbolisiert die sichere Verschlüsselung. (Screenshot by Christian Voigt)
Immer zu achten ist auf eine sichere Verbindung. Im – und ausgewertet. Alternative Suchmaschinen (z. B.
Webadress-Feld eines Browsers ist zu sehen, ob die StartPage, DuckDuckGo) sind dem gegenüber vorzu-
Verbindung zu einer Website per http oder über https ziehen, da sie keine Profile ihrer NutzerInnen erstellen.
aufgerufen wird. Das zusätzliche S steht für „secure“
und bedeutet, dass erstens die Datenübertragung ver- Wer allerdings die großen Plattformen nicht nutzt, ist
schlüsselt und zweitens die Identität der Website von deshalb noch lange nicht unbekannt für diese Konzer-
einer unabhängigen Zertifizierungsstelle validiert ist. ne. Von Kontakten, die diese Plattformen nutzen, wird
Ohne das „s“ würden eingegebene Daten als Klartext auch auf Personen rückgeschlossen, die sich von ih-
übertragen. Der Klick auf das Symbol führt zu weiteren nen fernhalten – es werden sogenannte Schattenpro-
Infos, wie beispielsweise die zertifizierende Stelle. file angelegt. Diese werden aus Daten erstellt, die über
den Umweg anderer NutzerInnen gewonnen werden
Parallel mehrere Browser installiert zu haben macht (z. B. deren Adressbuch oder deren Standort). In den
Sinn. Dann könnten Sicherheitseinstellungen in Abstu- Schattenprofilen wird aufgrund vorhandener perso-
fungen gesetzt werden, sodass ein eher offener Brow- nenbezogener Daten auf Wohnort, Bildung, Kaufkraft
ser für Websites genutzt wird, denen begründet vertraut etc. geschlossen.
wird. Ein weiterer könnte dann restriktiver und speziell
für Social Media Plattformen eingerichtet sein, sodass
Werbung auf diesen Plattformen gezielt unterbunden
wird. Der Torbrowser wiederum verschlüsselt die Da- E-Mails zwischen irgendeinem Anbieter (z. B.
tenpakete zu und von Servern extra noch einmal und GMX) und Gmail-NutzerInnen werden dennoch
nutzt das Tor-Netzwerk an Tor-Servern, um das Surfen von Google gespeichert. Google hat also logi-
zu anonymisieren. Allerdings kann das Tor-Netzwerk in scherweise die E-Mails der einen wie der an-
manchen Betrieben blockiert sein. deren, sowie Verbindungsdaten wann, von wo
nach wohin wieviel gemailt wurde.
SUCHMASCHINEN, SCHATTENPROFILE,
LÖSCHRECHTE
Online-Kommunikation und Kollaboration ist also dazu
Eingaben in Suchmaschinen enthalten potenziell eine geeignet, großen Playern auch indirekt eine große
schier unglaubliche Menge an (personenbezogenen) Menge an personenbezogenen Daten zuzuspielen.
Informationen. In der Datenbank der Suchmaschine So wird deutlich, dass Datenschutz nicht bloß eine
bleiben Suchhistorien mitunter jahrelang aufbewahrt individuell-persönliche Entscheidung ist, sondern alle
21SICHERE BROWSER UND IHRE EINSTELLUNGEN
betrifft. Auch auf anderen Ebenen wird deutlich, dass Einfach selbst zu löschen sind Cookies, kleine Dateien,
es sich beim Datenschutz nicht um ein „Individualpro- die von Webseiten in Browsern abgelegt werden. Das
blem“ handelt. Die Instrumente, die zum Schutz der kann man in den Eigenschaften über die Cookie-Ver-
Privatsphäre zur Verfügung stehen, werden in der Re- waltung pauschal für sämtliche Cookies machen (wo-
gel nicht von einer Person entwickelt, sondern von ei- mit allerdings auch sämtliche Anmeldeinformationen,
ner Community und sie können auch nur hilfreich sein, hinterlegte Passwörter, Suchverläufe etc. verloren ge-
wenn mehrere NutzerInnen sie anwenden. Ein einseitig hen) oder jene einzeln von den Websites löschen, die
verschlüsseltes E-Mail trägt wohl kaum zur Kommuni- man nicht braucht und möchte.
kation bei. Es braucht also kollektives Handeln, um Da-
ten und damit die Privatsphäre Einzelner zu schützen.
Im Umgang mit BenutzerInnenkonten im Netz (z. B. pos- Zusammengefasste Tipps zum Internet-Surfen
ten auf Facebook , shoppen bei Amazon etc.) würde es
zum guten Ton gehören, für die jeweilige Anmeldungen ● Browser bewusst auswählen
eine eigene E-Mail-Adresse bereitzuhalten. Eine solche (z. B. Firefox, Brave).
Ansammlung von E-Mail-Adressen, ein E-Mail-Korb, ● Add-Blocker installieren
würde dann der Administration von Accounts dienen (z. B. Privacy Badger).
und man könnte unterscheiden zwischen privater, ge- ● ausschließlich auf sicheren Seiten surfen
schäftlicher, behördlicher, vereinsbezogener, etc. Kom- (https).
munikation, um Schattenprofile zu vermeiden. ● Suchmaschine bewusst auswählen
(z. B. StartPage, DuckDuckGo).
Gegenüber Plattformen, die nicht mehr genutzt wer- ● Einstellungen von Benutzerkonten nutzen
den, ebenso wie gegenüber Firmen, mit denen kein und Informationssammlungen ausschalten
Geschäftsverhältnis mehr besteht, kann das Recht auf (z. B. Cookies, Tracker).
Löschung personenbezogener Daten in Anspruch ge- ● getrennte E-Mail-Adressen für getrennte
nommen werden. Das Recht auf Auskunft kann gegen- Zwecke (z. B. privat, dienstlich, behördlich,
über Plattformen und Firmen in Anspruch genommen shoppen).
werden, die eigentlich keine Daten über uns haben soll- ● Recht auf Datenauskunft und Löschung
ten, weil wir sie nicht nutzen. Jeder/jede NutzerIn, jeder/ nutzen.
jede KonsumentIn, jeder/jede BürgerIn hat das Recht
zu wissen, welche personenbezogenen Daten über sie
selbst von einem Anbieter verarbeitet werden.
Auskunftsbegehren und Löschrechte
Gemäß Artikel 15 der Europäischen Daten-
schutz-Grundverordnung besteht ein Recht für
Betroffene, von Datenverarbeitern, Firmen, Be-
hörden kostenlose Auskunft über die bei den
Verantwortlichen aktuell verarbeiteten Daten
zu erhalten. Es muss beauskunftet werden, wel-
che personenbezogenen Datenkategorien zu
welchen Zwecken und von wem verarbeitet und
allenfalls an welche Empfänger weitergeleitet
werden. Nach Möglichkeit muss auch die Spei-
cherdauer mitgeteilt werden.
22SICHERE
KOMMUNIKATION UND
DEREN VERWALTUNG
E
s sollte immer darauf geachtet werden, dass Die meisten dieser Anbieter haben ihre Server in
Daten verschlüsselt übertragen werden und die Deutschland, unterliegen als voll der DSGVO und
Quelle verlässlich ist. Bei E-Mails ist Verschlüs- setzen ganz zentral auf Datenschutz. Optionen zur
selung wünschenswert, aber nicht einfach. Sensible Verschlüsselung sind gegeben. Die Kosten sind ab
Daten sollten immer verschlüsselt gespeichert wer- einem Euro pro Monat für E-Mail, Kalender und Notizen
den, dann sind die Inhalte auch in der Cloud oder bei gering.
Verlust sicher. Verschlüsselung von Kommunikation Die meisten Messenger-Apps bieten Telefonie, Nach-
ist manchmal schwierig, manchmal unmöglich. SMS richten, Videotelefonie, Gruppenchats, das Senden
lassen sich beispielsweise technisch nicht verschlüs- von Dateien. Messenger haben dem „guten alten“
seln. Bei E-Mails ist Verschlüsselung möglich und wün- E-Mail daher den Rang abgelaufen.
schenswert, aber nicht einfach.
Für vertrauensvolle sichere Kommunikation sind der-
zeit empfehlenswert:
Signal, der in den USA beheimatete, auf Open Source
Eine Alternative zur Verschlüsselung basierende, für Verschlüsselung und Datensparsam-
… bieten Messenger-Dienste an, die generell keit bekannte Messenger (https://signal.org/de/).
Nachrichten nur verschlüsselt zwischen Sende-
rIn und EmpfängerIn verschicken (z. B. Signal Threema, der Schweizer Messenger bietet neben Ver-
oder WhatsApp) oder das e-mailen verschlüs- schlüsselung auch on-premise (also auf den firmenei-
selter Anhänge. genen Servern laufend) und ohne hinterlegte Telefon-
nummern seine Dienste (https://threema.ch/de).
Um die Messenger zu nutzen, braucht es nur die Ins-
E-MAILS UND MESSENGER tallation der jeweiligen App auf einem Smartphone
und schon ist jedwede, über die App mögliche Kom-
Es gibt vertrauenswürdigere und weniger vertrauens- munikation verschlüsselt. Bevorzugter Weise basieren
würdige E-Mail-Anbieter. die Messenger außerdem auf Open Source Software.
Während WhatsApp, Facebook, Instagram, Gmail die
Empfehlenswert ist beispielsweise Kontaktdaten aus den Adressbüchern der NutzerInnen
● Posteo – www.posteo.de ebenso speichert wie Metadaten, d. h. wer wann wie
● JP-Berlin – www.jpberlin.de oft und wie lange mit wem kommuniziert, kommt Signal
● Mailbox – www.mailbox.org ohne das Speichern dieser Informationen aus.
23Sie können auch lesen
