Anonymität im Netz: Besser in 15 Minuten

Wenn du durch deine Stadt herumläufst und irgendjemand fragt dich nach deine Handynummer sagst du wahrscheinlich nichts ausser „Lass mich sein“ oder so. Und warum? Weil deine Handynummer deine Sache ist und du kennst ja die Person nicht.

Wenn dich Gmail um deine Handynummer bittet wirst du sie aber wahrscheinlich angeben. Warum? Es ist doch Google und jeder muss das so machen.

Klar.

Heutzutage muss man halt bewusst sein was man wo angibt. Man kann das immer wieder betonen, man kann Beiträge rund um Self-Dox schreiben, trotzdem werden viele von uns immer wieder unseren echten Namen und unsere Arbeitshandynummer angeben. Oder noch schlimmer – gleich unsere Bankkontodaten, und das alles nicht verschlüsselt und mit WiFi wo man voreingestellte SSID und Kennwort nicht ändert.

Wir alle wissen dass völlige Anonymität im Netz etwas unerreichbares ist. Trotzdem lässt es nicht so tun das wir zB Verschlüsselung als nutzlos wahrnehmen.

Grundlagen des Anonymschutzes soll unbedingt jeder schaffen – es dauert allerdings nicht lange.

15 Minuten für bessere Anonymität & Sicherheit im Netz

SSID und Kennwort ändern

Zugangsdaten zum privaten Internet sind leicht zu kriegen. Es gibt Programme die verfügbare Verbindungen auflisten und nach einer Weile (denn eine aktive Verbindung sedet ab und zu Informationenpakete) kann ein Hacker deine SSID kriegen. So kann man auch das Kennwort bekommen, das dauert schon jedoch einige Stunden. Falls man aber so etwas wie 3BTM89P als SSID sieht, ist es schon klar es ist nur was voreingestellt wurde und das Kennwort ist wahrscheinlich gleich wie die SSID. Daher ist es viel besser die SSID gleich zu überschreiben weil dann es klar ist jemand hat da etwas getan und das Kennwort wird wahrscheinlich nicht trivial sein.

Bei Geräten wie Fritz!BOX ist es eigentlich eine leichte Sache, man muss bestimmt kein Experte sein – s. da bei ComputerBild.

DuckDuckGo nutzen

Oder es zumindest austesten. Tatsächlich verwendet DuckDuckGo andere Algoritme – die Suchmaschine funktioniert anders als Google. Wenn man schon etliche Jahre Google verwendet ist das nicht leicht sich an DDG zu gewöhnen. Es lohnt sich doch – zumindest wenn man etwas sensitives im Internet suchen will.

Sucht man mit Google werden alle Infos über deine Suche und deinen Rechner gespeichert. Sucht man mit Bing (vom Microsoft) ist es das gleiche. Nutzt man Windows 10, egal ob mit Cortana oder ohne, werden sogar Clippings und Notizen analysiert.

Deine Anonymität ist verloren aber so steht es einfach in Geschäftsbedingungen von Google und Microsoft. Nicht gefällig? Du kannst einen anderen Dienst nutzen.

Wie zum Beispiel DuckDuckGo.

Nie wieder ohne VPN surfen

Es gibt genug Seiten mit Berichten, Anleitungen und Empfehlungen – AnonymWeb oder VPNmagazin auf Deutsch, BestVPN auf Englisch. Probier einfach mal etwas.

Tatsächlich geht es nicht nur über dich.

Wenn du mit VPN surfst kann niemand, wer nicht in deinem Rechner ist, feststellen was du eben im Netz machst. Offentlich ist aber die Information dass du mit VPN surfst.

Solange ein VPN etwas aussergewöhnliches ist scheint so etwas bedenklich. Deswegen ist es wichtig dass eine VPN-Nutzung völlig normal wird.

Noch ein Grund zum Tarnen gewollt?

Vielleicht habe ich das gesamte Problem in meinem letzten Post nicht gut erklärt. Also nur kurz – es ging um Self Dox, d.h. wenn deine reale Identität offensichlich im Netz ist und du willst oder sogar weisst es nicht. Es kommt öfters vor wenn man soziale Netzwerke nutzt – natürlich braucht man ja einen Namen zu haben, und dazu eine Emailadresse und vielleicht noch Anschrift oder eher Handynummer.

Das sind jedoch nur Informationen die man freiwillig bei Neuanmeldung angibt. Ich sage hier freiwillig aber zB mit Android Apps sieht das manchmal anders aus und zwar dass die App immer herausfordert dass man die gewünschten Detaile angibt. Es ist halt so. Nämlich die Handynummer ist aber beinahe nie ein Pflichtfeld, trotzdem scheint es meistens so dass die Apps deine Nummer unbedingt benötigen: Öfters gibt es sogar keinen Skip-Button.

Daher einfach mal probieren falls deine Neuanmeldung gestoppt wird wenn du keine Handynummer angibst. Bei meisten Apps ist es eben nicht so.

Eine wichtige Ausnahme ist aber Facebook – Um Facebookaccount zu erstellen muss man ja entweder Handy oder andere wichtige ID Detaile zusenden.

Und gerade über Facebook wollte ich heute sprechen.

Freiwillig angegebene Daten

Weil auch wenn die Peripetien mit Handynummer sind ja nicht ganz freiwillig, es sind trotzdem immer noch Daten die wie uns entscheiden zu veröffentlichen. Sonst können wir kein FB-Konto haben, aber es ist ja nicht lebenswichtig, oder?

Es sind aber noch weitere Daten geloggt und das sind Sachen die nicht weit bekannt sind weil sie auch als eine Sicherheitslücke dienen könnten.

Facebook Location Tracking

Es wurde soeben eine Facebook Sicherheitslücke veröffentlicht. Entdeckt wurde sie eigentlich ziemlich zufällig – ein Praktikant hat etwas bedenkliches bemerkt (allerdings arbeitet er deswegen bei Facebook nicht mehr…)

Am Facebook kann man klar eigene Sicherheitseinstellungen anpassen – ob deine Profilseite in Suchresultaten vorhanden ist wenn man deine Nummer oder deinen Namen sucht, ob deine Seite eigentlich sichtbar ist und auch ob dein Standort veröffentlicht werden soll. Man kann dies alles einfach sperren…Anscheinend erfolgt aber trotz Sperre immer noch Übertragung Informationen und das wenn du FB-Nachrichten sendest. Deinen Standort lässt sich daher aus irgendwelcher Nachricht am Facebook herausfinden und das sehr sehr exakt. Die Präzision sei 1 Meter.

Sobald man einen geschickten Code schreiben kann, kann man auch den Standort seiner Freunde kriegen – falls die zwei miteinander über Facebook chatten. Der Quellcode gleich vom Praktikant befindet sich (ich hoffe immer noch) am Github.

Privat ist nicht privat

Was soll das denn? Auch wenn du alles absolut privat am Facebook einrichtest werden anscheinend deine Informationen trotzdem versendet und können auch gehackt werden.

Daher sollte man ja einen VPN-Dienst einrichten und den mit Facebook immer benutzen. Es gibt auch kostenlose VPN-Dienste – siehe den Link oder kannst du noch googeln.

Das heißt tue es nicht nur falls es dir wichtig ist deinen Standort geheim zu halten. Die Sache mit dem Facebook-Chat ist nur eine der möglichen Sicherheitslücken und wurde nur dank Zufall entdeckt. Man weiss einfach nicht was noch Facebook speichert.

VPN kann hingegen nie schaden.

Self-Dox: Wie es nicht zu schaffen ist

Falls du Reddit mitliest weisst du wahscheinlich schon was DOX heißt:

Dox nennt man die Situation wo du deine reale Identität im Netz tarnen willst (oder zu tarnen brauchst, zum Beispiel wegen Dark Net Aktivität) aber das Tarnen irgenwie gescheitert hat.

Nach einem Dox ist deine Identität offensichtlich im Netz – Das heißt wo du dich befindest, vielleicht auch dein Name, es kann sein auch Bankkonto oder so etwas – am schlimmsten.

Heutzutage veröffentlichen Leute diese Informationen ganz freiwillig am Facebook oder beim Erstellen von Google Accounts. Das ist dann Self Dox. Aber weil du auf diesem Blog schon gelandet bist glaube ich sowas ist bei dir eher unerwünscht.

Leider ist das schon schwer alle Informationen geheim zu halten.

Falls man ein Konto bei Google will muss man eine Telefonnummer angeben, bei Yahoo schon manchmal auch (aber nicht immer). Google loggt auch schon beinahe alles was man verfolgen kann – IP Adresse, MAC Adresse, Betriebssystem, Browser und so. Was noch schlimmer ist, Google gibt persönliche Infos an Dritten viel zu einfach. Lies mal die allgemeinen Bedingungen von Google.

Google: We will share personal information with companies, organizations or individuals outside of Google if we have a good-faith belief that access, use, preservation or disclosure of the information is reasonably necessary to:

  • meet any applicable law, regulation, legal process or enforceable governmental request.

  • enforce applicable Terms of Service, including investigation of potential violations.

  • detect, prevent, or otherwise address fraud, security or technical issues.

  • protect against harm to the rights, property or safety of Google, our users or the public as required or permitted by law.

Das heißt, man muss nicht unbedingt etwas illegales tun. Eine Vermutung ist genug. Und eine Vermutung kann immer vorhanden sein.

Du siehst, es ist viel besser Self Dox zu vermeiden auch wenn du glaubst du brauchst es doch nicht.

Also, was tun?

Self Dox vermeiden

1/ Checke alle soziale Netzwerke und schau mal nach wie leicht dein Name zu finden ist. Facebook – Verzeichnis: Hier gibt es alle Namen der FB-Mitglieder. Suchen kannst du natürlich nur am Facebook. Vielleicht ein besseres Tool ist peekyou – da siehst du die wichtigsten Punkte vom Facebook-Timeline sowie vom Twitter, Instagram oder Google+. Du kannst auch namechk benutzen. Das Tool ist eher für Marketingleute um zu sehen ob ein Brandname noch nicht besetzt ist in Netzwerken wie Github oder Google+, aber vielleicht kommt es auch für dich nützlich.

Sei gewarnt – vielleicht wirst du überrascht sein.

2/ Suche deine alten Blogs und Seiten am Archive.org.

3/ Lösche einfach ab alles was du nicht öffentlich haben willst. Man kann sich sogar an Google wenden falls einige Informationen aus Google Suche entfernt werden sollten. Das kann man auch verwenden falls man alte Tweets und Facebook Posts entfernen will. Und es gibt sogar eine Webseite speziell rund ums Löschen von alten Daten und Profileseiten und sowas ähnliches: Accountkiller.

4/ Surfe nur mit VPN. Ja man kann auch einen Proxydienst verwenden. Ja sowas ist kostenfrei. Aber nur selten nutzen die Proxydienste https das heißt was du tuest kommt als Plaintext durch. Das ist schon wie eine Postkarte zu senden. Also VPN. Welchen Dienst? Lies mal Testberichte. Grundsätzlich sind die Dienste und Angebote ganz ähnlich. Probier mal zum Beispiel Private Internet Access. Beim Jahresabonnement kostet der VPN-Dienst bei PIA nur 3,33 USD monatlich. Deine Verbindung ist automatisch verschlüsselt und gemäß AGB sollten die Admins keine Trafficdaten loggen. Das ist etwas bedenklich so etwas zu versprechen, aber doch. Man kann auch mit Bitcoin bezahlen, falls das für dich wichtig ist.

Auch mit VPN muss man aber vorsichtig sein. Ich würde empfehlen alle Daten die zu deiner realen Identität leiten zu löschen. Auch wenn das dein Facebook Account ist!!

Viel zu viele Seiten loggen viel zu viele Informationen. Zum Beispiel eine echte Email Adresse beim Github angeben, das ist schon ein Blödsinn. Auch wenn sie man dann später ablöscht bleibt sie sowieso gespeichert. Bei den Commits.

Also?