2165540

So funktioniert Datenschutz ohne großen Komfortverlust

28.05.2016 | 10:31 Uhr |

Datenschutz ist ein ungeliebtes Thema. Wenn persönliche Daten persönlich bleiben sollen, ist das immer mit gewissem Aufwand und Komfortverlust zu bezahlen. Das ist ein logisches Gesetz, aber Sie können den Komfortverlust gering halten.

Datenschutz ist vielschichtig und erfordert graduelle Abstufung. Um es extrem zu veranschaulichen: Es ist ein Unterschied, ob Ihnen Google oder Facebook auf Basis analysierter Interessen Werbung unterschiebt oder ob Ihr Notebook mit sämtlichen individuellen Kontendaten (Mail, Bankverbindung, Paypal, Elster, Cloud, FTP, Webserver ...) unverschlüsselt in fremde Hände gerät. Das eine beunruhigend, weil man nie genau weiß, was Google & Co. noch alles über uns wissen, das zweite aber ist die pure Katastrophe. Dieser Beitrag behandelt grundsätzliche Datenschutzregeln.

Firefox und Thunderbird können den Zugang durch ein Master-Passwort schützen.
Vergrößern Firefox und Thunderbird können den Zugang durch ein Master-Passwort schützen.

Konten, Kennwörter und Software

Ein auswärts vergessenes Notebook lässt sich über ein Live-System fremd-booten – und damit liegen die Daten offen. Trotzdem ist es ein erheblicher Unterschied, ob die Festplatte nur auf der Dateiebene zugänglich wird oder ganz bequem über ein ungeschütztes System. Auf einem Linux oder Windows ohne Benutzeranmeldung kann sich ein Dieb über die gespeicherten Kennwörter freuen, die im Browser, Mail-oder FTP-Client mühelosen Zugang zu allen Konten verschaffen. Eine Benutzeranmeldung mit Kennwort ist daher allererste Pflicht auf mobilen Rechnern.

Konten-und Kennwortsammlungen auf mobilen Geräten und auf fremden Servern sind eigentlich ein Tabu, aber in der Praxis nicht immer zu vermeiden: Browser speichern Online-Kennwörter lokal und online, wenn Sie die Synchronisierung verwenden. Beim Firefox gibt es immerhin die Option des Master-Passworts, um die gespeicherten Kennwörter lokal zu verschlüsseln („Einstellungen -> Sicherheit -> Master-Passwort verwenden“). Ohne die Eingabe dieses Master-Passworts stehen die Daten nicht zur Verfügung und sind auch nicht einsehbar.

Dasselbe gilt auch für den Mail-Client Thunderbird: Auch hier sind alle Zugangsdaten über „Einstellungen -> Sicherheit“ unter „Gespeicherte Passwörter“ zugänglich, lassen sich aber an dieser Stelle ebenfalls mit einem Master-Passwort schützen.

Auch weniger prominente Software kann zur Fundgrube von sensiblen Daten werden: So zeigt Filezilla in der „sitemanager.xml“ im Klartext alle FTP-Zugangsdaten. Die Dateien „.bashrc“ und „.bash_history“ im Home-und im Root-Verzeichnis liefern höchstwahrscheinlich diverse Passwörter zu gemounteten Cloud-Speichern, FTP-Servern oder SSH-Anmeldungen. Wer Datenschutz ernst nimmt, muss sich auf mobilen Geräten und Datenspeichern die Mühe machen, diese Quellen zu löschen oder zu verschlüsseln.

Aber Achtung vor dem endgültigen Löschen von Kennwortquellen oder von Software: Nach langer Nutzung eines Browsers oder eines Mail-Clients sind dort zahlreiche Kennwörter gespeichert, an die man sich längst nicht mehr erinnert und für die es keine weitere Quelle gibt. Das Löschen aller Daten verursacht dann möglicherweise manches Log-in-Rätsel. Die Konten und Kennwörter müssen daher vorher gesichert oder exportiert werden. Für Firefox und Thunderbird gibt es dafür jeweils das Add-on „Password Exporter“. Für Chrome sind die Daten über https://passwords.google.com zugänglich, sofern sie nicht zusätzlich verschlüsselt wurden („Erweiterte Synchronisierungseinstellungen“). Verschlüsselte Kennwörter in Chrome lassen sich unseres Wissens nur unter Windows mit der Freeware Chromepass von www.nirsoft.net exportieren.

Die kostenlose Android-App ist voll kompatibel mit Enc-FS-Ordnern.
Vergrößern Die kostenlose Android-App ist voll kompatibel mit Enc-FS-Ordnern.

Datenschutz durch Verschlüsselung für Ordner und USB-Sticks

Um USB-Sticks oder Ordner auf einer Notebook-Festplatte zu schützen, eignet sich unter anderem die Verschlüsselung mit Enc FS (Encrypted File System). Enc FS können Sie auf jedem externen Datenträger verwenden (Ext, FAT, FAT32, NTFS). Neben Linux können auch Android-Geräte mit der voll kompatiblen App Cryptonite die Enc-FS-Daten lesen. Enc FS ist unter Ubuntu oder Linux Mint mit

sudo apt-get install encfs

oder über das Software-Center schnell installiert. Enc FS ist ein Kommandozeilen-Tool, aber es gibt mit Cryptkeeper ein grafisches Font-End dazu, das Sie unter Ubuntu und Mint mit

sudo apt-get install cryptkeeper

installieren. Nach dem Aufruf cryptkeeper zeigt sich das Tool als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick unter „/media“ im Dateisystem. Mit der Schaltfläche „Vor“ geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird dann automatisch im jeweiligen Dateimanager geöffnet und kann dann befüllt werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner „.[name]_enfcs“. Um einen Enc-FS-Ordner auszuhängen und damit zu schützen, klicken Sie auf das Cryptkeeper-Symbol und dann auf den betreffenden Ordnereintrag.

Das Tool Cryptkeeper erscheint als Schlüsselsymbol in der Hauptleiste.
Vergrößern Das Tool Cryptkeeper erscheint als Schlüsselsymbol in der Hauptleiste.

Welche öffentlichen Daten brauchen Sie wirklich?

Welche Maßnahmen Sie für das Ziel informationeller Selbstbestimmung benötigen, hängt von Ihren Aktivitäten ab. Wer gelegentlich mit seinem Notebook unterwegs ist und sich sonst mit Webaktivitäten zurückhält, hat andere Anforderungen als ein Aktiv-User, der sich mit vielen Geräten in allen Netzen und auf allen Cloud-Servern tummelt und womöglich eigene Websites und heimische Server verantwortet. Je verstreuter die Daten, desto komplexer wird der Schutz. Herr über seine eigenen Daten sein setzt voraus, dass ein klarer Durchblick über Daten und Speicherorte besteht. Da es letztlich nur zwei Methoden des Datenschutzes gibt, nämlich die Vermeidung öffentlicher Daten und die Reprivatisierung durch Zugangsschutz und Verschlüsselung, ist Vereinfachung die erste Grundregel:

  • Tablets, Notebooks, USB-Sticks und Festplatten sind gefährdet. Wenn sie verlorengehen, sind alle unverschlüsselten Daten zugänglich. Nutzen Sie daher unterwegs immer dasselbe und entsprechend eingerichtete mobile Gerät.

  • Nutzen Sie öffentliche Cloud-Speicher nur, wenn Sie keine private Alternative in Form einer Homepage oder eines heimischen Linux-Servers haben.

  • Verwenden Sie, sofern Sie einen Cloud-Dienst benötigen, das Kontingent nur eines Anbieters.

  • Nutzen Sie für Online-Funktionen wie Kalender, Notizen oder Foto-Sharing, sofern Sie diese benötigen, nur je einen Anbieter.

  • Beschränken Sie sich auf allen Geräten auf einen Browser, vorzugsweise Firefox. Das gilt insbesondere, wenn Sie die Browser-Synchronisierung nutzen.

  • Kontrollieren Sie, ob Ihre Homepages (offenes Verzeichnis-Browsing) oder Home-Server (unnötige offene Ports) mehr Daten öffentlich anbieten als tatsächlich gewünscht.

Erst nach Inventur und Abschaffung unnötiger öffentlicher Daten geht es darum, die verbleibenden Daten durch Zugriffsschutz unzugänglich oder durch Verschlüsselung unlesbar zu machen.

Daten in der Cloud verschlüsseln

EncFS kann in der beschriebenen Weise auch Ihre Cloud-Daten verschlüsseln, sofern Sie die Cloud über einen lokalen Synchronisierungsordner nutzen. Dazu erstellen Sie einfach einen neuen verschlüsselten Ordner innerhalb dieses Sync-Verzeichnisses. Beachten Sie, dass bereits vorhandene Dateien im Cloud-Verzeichnis unverschlüsselt bleiben. Wenn Sie diese verschlüsseln möchten, müssen Sie sie aus dem bisherigen Verzeichnis in den verschlüsselten Ordner verschieben.

Auch interessant: Dropbox, OneDrive & Google Drive - Cloud-Speicher im Vergleich

Da nicht alle Cloud-Dateien eine Verschlüsselung benötigen, genügt oft die Ad-hoc-Verschlüsselung einzelner Dateien oder Ordner. Dafür eignet sich ein Packer mit Verschlüsselung wie 7-Zip . Der Hauptaufwand für passwortgeschützte Archive entsteht durch die Eingabe eines komplexen Kennworts.

Die Homepage: Öffentlich statt privat?

Die Homepage ist ein geeigneter Platz für wichtige Downloads oder Infos, die Sie überall erreichen wollen. Dabei sollten Sie aber sicherstellen, dass nicht öffentlich wird, was Sie dort nur für den privaten Bedarf bevorraten.

Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist.
Vergrößern Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist.

Suchmaschinen fernhalten: Google und andere Suchmaschinen durchsuchen alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF-und Postscript-Dateien nach Inhalten. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie eigentlich nur für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen, noch besser Packen und Verschlüsseln ist also die sichere Methode, um die Crawler von Privatinhalten fernzuhalten.

Die einfachere Lösung ist ein „Disallow“ in der „robots.txt“. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: *
Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar offenbar an die „robots.txt“ halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

Verzeichnislisten und Downloads: Ohne spezielle Vorkehrungen ist theoretisch jede Datei von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine dynamische „index.php“ oder eine statische „index.html“ verwenden, die den Inhalt des Verzeichnisses auflistet. Solches Verzeichnis-Browsing bieten die meisten Web-Hoster auch als Einstellung an, so dass manuelles Erstellen von Indexdateien entfällt. Dann genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“?, „uploads“?), um den Inhalt anzuzeigen und herunterzuladen.

Weit sicherer wird es schon, wenn Sie einen ungewöhnlichen Verzeichnisnamen verwenden und eine PHP-oder HTML-Datei mit anderem Namen. Noch deutlich sicherer wird es, wenn Sie mit einer „htaccess“-Datei den Zugriff beschränken. Das müssen Sie in der Regel nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bietet etwa Strato einen „Verzeichnisschutz-Manager“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, ferner das gewünschte Verzeichnis schützen und drittens dem eben angelegten Benutzer eine Freigabe für das Verzeichnis erteilen. Wenn Sie außerdem dem Web-Hoster keinen Einblick gestatten wollen, so verschlüsseln Sie die Dateien mit einem Packer vor dem Upload.

Cookies unter Chrome und Firefox

Cookies sind kleine Textdateien, die eine Website auf dem lokalen PC ablegt (wenn Sie es erlauben). Über das Cookie erkennt die Website Sie beim nächsten Besuch, kann Sie automatisch anmelden, die passende Sprache vorgeben, Sie nach mehrfachem Besuch zum Registrieren auffordern oder zum Profil passende Inhalte anbieten. Cookies sind nützlich und lästig zugleich. Daher sind Kompromisseinstellungen einem Cookie-Verbot vorzuziehen:

Chrome: Gehen Sie im Menü auf „Einstellungen“ und ganz unten auf „Erweiterte Einstellungen anzeigen -> Datenschutz/Inhaltseinstellungen“. Mit den Optionen „Lokale Daten nach Schließen des Browsers löschen“ und „Drittanbieter-Cookies und Websitedaten blockieren“ bleiben die Log-in-Infos erhalten, während Werbenetzwerke trockengelegt werden.

Firefox: Klicken Sie auf die Dropdown-Box unter „Einstellungen -> Datenschutz -> Chronik“. Mit der Wahl „nach benutzerdefinierten Einstellungen anlegen“ erscheint die Option „Cookies von Drittanbietern akzeptieren“, die Sie auf „Nie“ stellen. „Cookies akzeptieren“ belassen Sie aktiviert.

„Do not Track“ unter Chrome und Firefox

„Do not track“ beherrscht mittlerweile fast jeder Browser. Der „Do not track“-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, dieser Bitte nachzukommen. Typischerweise halten sich gerade Datensammler wie Google und Yahoo nicht an „Do not track“. Schaden kann es aber keinesfalls, diese Option wie nachfolgend beschrieben zu aktivieren.

Chrome/Chromium: Wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Aktivieren Sie die zugehörige Checkbox.

Firefox: Auch hier ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“. Wer Suchmaschinen ohne Spurenverfolgung nutzen möchte, kann sich an http://duckduckgo.com oder https://www.ixquick.com/ halten. Die finden auch viel – allerdings weniger als Google.

Auch interessant: Acht Surfkomfort-Tipps für Firefox und Chrome

0 Kommentare zu diesem Artikel
2165540