So funktioniert Datenschutz ohne großen Komfortverlust

Datenschutz ist vielschichtig und erfordert graduelle Abstufung. Um es extrem zu veranschaulichen: Es ist ein Unterschied, ob Ihnen Google oder Facebook auf Basis analysierter Interessen Werbung unterschiebt oder ob Ihr Notebook mit sämtlichen individuellen Kontendaten (Mail, Bankverbindung, Paypal, Elster, Cloud, FTP, Webserver …) unverschlüsselt in fremde Hände gerät. Das eine beunruhigend, weil man nie genau weiß, was Google & Co. noch alles über uns wissen, das zweite aber ist die pure Katastrophe. Dieser Beitrag behandelt grundsätzliche Datenschutzregeln.

Firefox und Thunderbird können den Zugang durch ein Master-Passwort schützen.

Konten, Kennwörter und Software

Ein auswärts vergessenes Notebook lässt sich über ein Live-System fremd-booten – und damit liegen die Daten offen. Trotzdem ist es ein erheblicher Unterschied, ob die Festplatte nur auf der Dateiebene zugänglich wird oder ganz bequem über ein ungeschütztes System. Auf einem Linux oder Windows ohne Benutzeranmeldung kann sich ein Dieb über die gespeicherten Kennwörter freuen, die im Browser, Mail-oder FTP-Client mühelosen Zugang zu allen Konten verschaffen. Eine Benutzeranmeldung mit Kennwort ist daher allererste Pflicht auf mobilen Rechnern.

Konten-und Kennwortsammlungen auf mobilen Geräten und auf fremden Servern sind eigentlich ein Tabu, aber in der Praxis nicht immer zu vermeiden: Browser speichern Online-Kennwörter lokal und online, wenn Sie die Synchronisierung verwenden. Beim Firefox gibt es immerhin die Option des Master-Passworts, um die gespeicherten Kennwörter lokal zu verschlüsseln („Einstellungen -> Sicherheit -> Master-Passwort verwenden“). Ohne die Eingabe dieses Master-Passworts stehen die Daten nicht zur Verfügung und sind auch nicht einsehbar.

Dasselbe gilt auch für den Mail-Client Thunderbird: Auch hier sind alle Zugangsdaten über „Einstellungen -> Sicherheit“ unter „Gespeicherte Passwörter“ zugänglich, lassen sich aber an dieser Stelle ebenfalls mit einem Master-Passwort schützen.

Auch weniger prominente Software kann zur Fundgrube von sensiblen Daten werden: So zeigt Filezilla in der „sitemanager.xml“ im Klartext alle FTP-Zugangsdaten. Die Dateien „.bashrc“ und „.bash_history“ im Home-und im Root-Verzeichnis liefern höchstwahrscheinlich diverse Passwörter zu gemounteten Cloud-Speichern, FTP-Servern oder SSH-Anmeldungen. Wer Datenschutz ernst nimmt, muss sich auf mobilen Geräten und Datenspeichern die Mühe machen, diese Quellen zu löschen oder zu verschlüsseln.

Aber Achtung vor dem endgültigen Löschen von Kennwortquellen oder von Software: Nach langer Nutzung eines Browsers oder eines Mail-Clients sind dort zahlreiche Kennwörter gespeichert, an die man sich längst nicht mehr erinnert und für die es keine weitere Quelle gibt. Das Löschen aller Daten verursacht dann möglicherweise manches Log-in-Rätsel. Die Konten und Kennwörter müssen daher vorher gesichert oder exportiert werden. Für Firefox und Thunderbird gibt es dafür jeweils das Add-on „Password Exporter“. Für Chrome sind die Daten über https://passwords.google.com zugänglich, sofern sie nicht zusätzlich verschlüsselt wurden („Erweiterte Synchronisierungseinstellungen“). Verschlüsselte Kennwörter in Chrome lassen sich unseres Wissens nur unter Windows mit der Freeware Chromepass von www.nirsoft.net exportieren.

Die kostenlose Android-App ist voll kompatibel mit Enc-FS-Ordnern.

Datenschutz durch Verschlüsselung für Ordner und USB-Sticks

Um USB-Sticks oder Ordner auf einer Notebook-Festplatte zu schützen, eignet sich unter anderem die Verschlüsselung mit Enc FS (Encrypted File System). Enc FS können Sie auf jedem externen Datenträger verwenden (Ext, FAT, FAT32, NTFS). Neben Linux können auch Android-Geräte mit der voll kompatiblen App Cryptonite die Enc-FS-Daten lesen. Enc FS ist unter Ubuntu oder Linux Mint mit

sudo apt-get install encfs

oder über das Software-Center schnell installiert. Enc FS ist ein Kommandozeilen-Tool, aber es gibt mit Cryptkeeper ein grafisches Font-End dazu, das Sie unter Ubuntu und Mint mit

sudo apt-get install cryptkeeper

installieren. Nach dem Aufruf cryptkeeper zeigt sich das Tool als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick unter „/media“ im Dateisystem. Mit der Schaltfläche „Vor“ geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird dann automatisch im jeweiligen Dateimanager geöffnet und kann dann befüllt werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner „.[name]_enfcs“. Um einen Enc-FS-Ordner auszuhängen und damit zu schützen, klicken Sie auf das Cryptkeeper-Symbol und dann auf den betreffenden Ordnereintrag.

Das Tool Cryptkeeper erscheint als Schlüsselsymbol in der Hauptleiste.

Welche öffentlichen Daten brauchen Sie wirklich?

Welche Maßnahmen Sie für das Ziel informationeller Selbstbestimmung benötigen, hängt von Ihren Aktivitäten ab. Wer gelegentlich mit seinem Notebook unterwegs ist und sich sonst mit Webaktivitäten zurückhält, hat andere Anforderungen als ein Aktiv-User, der sich mit vielen Geräten in allen Netzen und auf allen Cloud-Servern tummelt und womöglich eigene Websites und heimische Server verantwortet. Je verstreuter die Daten, desto komplexer wird der Schutz. Herr über seine eigenen Daten sein setzt voraus, dass ein klarer Durchblick über Daten und Speicherorte besteht. Da es letztlich nur zwei Methoden des Datenschutzes gibt, nämlich die Vermeidung öffentlicher Daten und die Reprivatisierung durch Zugangsschutz und Verschlüsselung, ist Vereinfachung die erste Grundregel:

Tablets, Notebooks, USB-Sticks und Festplatten sind gefährdet. Wenn sie verlorengehen, sind alle unverschlüsselten Daten zugänglich. Nutzen Sie daher unterwegs immer dasselbe und entsprechend eingerichtete mobile Gerät.
Nutzen Sie öffentliche Cloud-Speicher nur, wenn Sie keine private Alternative in Form einer Homepage oder eines heimischen Linux-Servers haben.
Verwenden Sie, sofern Sie einen Cloud-Dienst benötigen, das Kontingent nur eines Anbieters.
Nutzen Sie für Online-Funktionen wie Kalender, Notizen oder Foto-Sharing, sofern Sie diese benötigen, nur je einen Anbieter.
Beschränken Sie sich auf allen Geräten auf einen Browser, vorzugsweise Firefox. Das gilt insbesondere, wenn Sie die Browser-Synchronisierung nutzen.
Kontrollieren Sie, ob Ihre Homepages (offenes Verzeichnis-Browsing) oder Home-Server (unnötige offene Ports) mehr Daten öffentlich anbieten als tatsächlich gewünscht.

Erst nach Inventur und Abschaffung unnötiger öffentlicher Daten geht es darum, die verbleibenden Daten durch Zugriffsschutz unzugänglich oder durch Verschlüsselung unlesbar zu machen.

Daten in der Cloud verschlüsseln

EncFS kann in der beschriebenen Weise auch Ihre Cloud-Daten verschlüsseln, sofern Sie die Cloud über einen lokalen Synchronisierungsordner nutzen. Dazu erstellen Sie einfach einen neuen verschlüsselten Ordner innerhalb dieses Sync-Verzeichnisses. Beachten Sie, dass bereits vorhandene Dateien im Cloud-Verzeichnis unverschlüsselt bleiben. Wenn Sie diese verschlüsseln möchten, müssen Sie sie aus dem bisherigen Verzeichnis in den verschlüsselten Ordner verschieben.

Auch interessant: Dropbox, OneDrive & Google Drive – Cloud-Speicher im Vergleich

Da nicht alle Cloud-Dateien eine Verschlüsselung benötigen, genügt oft die Ad-hoc-Verschlüsselung einzelner Dateien oder Ordner. Dafür eignet sich ein Packer mit Verschlüsselung wie 7-Zip . Der Hauptaufwand für passwortgeschützte Archive entsteht durch die Eingabe eines komplexen Kennworts.

Die Homepage: Öffentlich statt privat?

Die Homepage ist ein geeigneter Platz für wichtige Downloads oder Infos, die Sie überall erreichen wollen. Dabei sollten Sie aber sicherstellen, dass nicht öffentlich wird, was Sie dort nur für den privaten Bedarf bevorraten.

Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist.

Suchmaschinen fernhalten: Google und andere Suchmaschinen durchsuchen alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF-und Postscript-Dateien nach Inhalten. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie eigentlich nur für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen, noch besser Packen und Verschlüsseln ist also die sichere Methode, um die Crawler von Privatinhalten fernzuhalten.

Die einfachere Lösung ist ein „Disallow“ in der „robots.txt“. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: * Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar offenbar an die „robots.txt“ halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

Verzeichnislisten und Downloads: Ohne spezielle Vorkehrungen ist theoretisch jede Datei von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine dynamische „index.php“ oder eine statische „index.html“ verwenden, die den Inhalt des Verzeichnisses auflistet. Solches Verzeichnis-Browsing bieten die meisten Web-Hoster auch als Einstellung an, so dass manuelles Erstellen von Indexdateien entfällt. Dann genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“?, „uploads“?), um den Inhalt anzuzeigen und herunterzuladen.

Weit sicherer wird es schon, wenn Sie einen ungewöhnlichen Verzeichnisnamen verwenden und eine PHP-oder HTML-Datei mit anderem Namen. Noch deutlich sicherer wird es, wenn Sie mit einer „htaccess“-Datei den Zugriff beschränken. Das müssen Sie in der Regel nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bietet etwa Strato einen „Verzeichnisschutz-Manager“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, ferner das gewünschte Verzeichnis schützen und drittens dem eben angelegten Benutzer eine Freigabe für das Verzeichnis erteilen. Wenn Sie außerdem dem Web-Hoster keinen Einblick gestatten wollen, so verschlüsseln Sie die Dateien mit einem Packer vor dem Upload.

Die Erweiterung “Site Advisor” von McAfee: Sie kommt nicht wie ein traditionelles Add-in in die Browser, sondern das heruntergeladene Programm installiert sich dann in die Browser auf dem System.

Gefahr erkannt... — Warnung vor dem entscheidenden Klick: Da sich bösartige Software schon beim ersten Zugriff auf eine Web-Seite auf dem eigenen System einnisten kann, warnt der „Site Advisor“ schon direkt bei den Ergebnissen, die von der Suchmaschine präsentiert werden.

... Gefahr gebannt — Informationen zu der besuchten Seite und eine Einschätzung der Sicherheit: Der „Site Advisor“ kann Anwendern dabei helfen, nur Web-Seiten zu besuchen, die keine Gefahr darstellen.

Modernes Outfit, enge Integration in den Google Chrome Browser: “Click & Clean” erleichtert es den Nutzern, ihre Browser aufzuräumen und die Einträge im Cache zu löschen.

Werbung aus — Ohne die auffällige Werbung wäre es besser: Das an sich gute Ergebnis von “Click & Clean” wird leider durch die immer wieder in den Ergebnissen platzierte Werbung etwas getrübt.

Wenn Facebook zu neugierig ist: Auch wenn der Nutzer selbst kein Facebook-Konto besitzt, geben einige Seite Informationen über die Besuche an Facebook weiter – mit “Facebook Disconnect” sieht der Nutzer das und kann es unterbinden.

Welche Social-Media-Seiten “verfolgen” mich wie und wie sehen meine Sicherheitseinstellungen dort aus? “AVG Privacy Fix” hilft, diese Daten zu bekommen und Änderungen durchzuführen.

Individuell anpassbar — Was möchte ich auf einer Seite wie LinkedIn wirklich preisgeben? “PrivacyFix” hilft dabei, diese Entscheidung nach den eigenen Bedürfnissen richtig zu fällen.

Wichtige Information zur Seriosität einer ausgewählten Web-Seite: Das Add-on “ShowIP” zeigt beim Firefox an, welche IP-Adresse hinter der Seite steht und ermöglicht weitere Nachforschungen.

Wirklich löschen: Mit dem Add-on “Secure Sanitizer” stehen dem Nutzer drei unterschiedliche Methoden zur Verfügung, mit denen er die Daten in seinem Browser-Cache sicher löschen und überschreiben kann.

So wird es auch für die NSA schwerer, die Suchanfragen eines Nutzers zu verfolgen: “TrackMeNot” erzeugt wahllos zufällige Suchanfragen, die die eigentliche Suche im „Hintergrundrauschen“ verschwinden lassen kann.

Wer mit dem Add-on “TrashMail” zusätzliche Mail-Adressen als Spam-Schutz generieren will, muss zunächst ein Konto beim Anbieter anlegen.

Spam, bitte abbiegen — Schnell und direkt im Browser neue E-Mail-Adressen erzeugen: Das Add-on von “TrashMail” erleichtert es ungemein und hilft so dagegen, dass unnötige Spam-Nachrichten das eigene Mail-Konto belasten.

Das Add-on von “Ghostery” hilft dem Nutzer nicht nur dabei, unnötiges Tracking durch Web-Seiten zu vermeiden, sondern bietet auch hilfreiche Erläuterungen zum Hintergrund an.

Tracker tracken — Der freundliche Geist meldet die Tracker: Der Nutzer kann mit Hilfe von “Ghostery” individuell festlegen, ob er einen Tracker erlauben oder auch blockieren will.

Die Nummer 1, wenn es um den Schutz vor Gefahren durch JavaScript aber auch vor Java-Applets und XSS geht: “NoScript” erlaubt es sinnvollerweise auch, das Scripting temporär für den aktuellen Besuch freizugeben.

Funktionen — Umfangreiche Einstellmöglichkeiten für alle Fälle: Schön ist es dabei, dass die verschiedenen Meldungen und Einstellungen von “NoScript” komplett in deutscher Sprache angeboten werden.

Nicht ganz so komfortabel bei der Installation, aber mit “NotScripts” steht auch für den Chrome-Browser ein Add-on bereit, das vor allzu viel JavaScript auf den Web-Seiten schützen kann.

Cookies unter Chrome und Firefox

Cookies sind kleine Textdateien, die eine Website auf dem lokalen PC ablegt (wenn Sie es erlauben). Über das Cookie erkennt die Website Sie beim nächsten Besuch, kann Sie automatisch anmelden, die passende Sprache vorgeben, Sie nach mehrfachem Besuch zum Registrieren auffordern oder zum Profil passende Inhalte anbieten. Cookies sind nützlich und lästig zugleich. Daher sind Kompromisseinstellungen einem Cookie-Verbot vorzuziehen:

Chrome: Gehen Sie im Menü auf „Einstellungen“ und ganz unten auf „Erweiterte Einstellungen anzeigen -> Datenschutz/Inhaltseinstellungen“. Mit den Optionen „Lokale Daten nach Schließen des Browsers löschen“ und „Drittanbieter-Cookies und Websitedaten blockieren“ bleiben die Log-in-Infos erhalten, während Werbenetzwerke trockengelegt werden.

Firefox: Klicken Sie auf die Dropdown-Box unter „Einstellungen -> Datenschutz -> Chronik“. Mit der Wahl „nach benutzerdefinierten Einstellungen anlegen“ erscheint die Option „Cookies von Drittanbietern akzeptieren“, die Sie auf „Nie“ stellen. „Cookies akzeptieren“ belassen Sie aktiviert.

„Do not Track“ unter Chrome und Firefox

„Do not track“ beherrscht mittlerweile fast jeder Browser. Der „Do not track“-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, dieser Bitte nachzukommen. Typischerweise halten sich gerade Datensammler wie Google und Yahoo nicht an „Do not track“. Schaden kann es aber keinesfalls, diese Option wie nachfolgend beschrieben zu aktivieren.

Chrome/Chromium: Wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Aktivieren Sie die zugehörige Checkbox.

Firefox: Auch hier ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“. Wer Suchmaschinen ohne Spurenverfolgung nutzen möchte, kann sich an https://duckduckgo.com oder https://www.ixquick.com/ halten. Die finden auch viel – allerdings weniger als Google.

Auch interessant: Acht Surfkomfort-Tipps für Firefox und Chrome

Autor: Hermann Apfelböck

Hermann Apfelböck gehört zur Kernmannschaft im Redaktionsbüro MucTec.