Sicher und anonym surfen

So werden Sie (fast) unsichtbar im Netz

03.09.2020 von J.M. Porup und Florian Maier

Sie wollen sicher und anonym surfen? Wir zeigen Ihnen, wie das geht – zumindest bis zu einem gewissen Grad.

Anonym im Netz? Bleibt ein schöner Traum. Dennoch können Sie Maßnahmen ergreifen, um Ihre Privatsphäre zu schützen - so gut es eben geht.
Foto: frankies - shutterstock.com

Im Unternehmensumfeld sorgt ein Erhalt der Mitarbeiter-Privatsphäre dafür, Risiken von Social-Engineering-Angriffen oder Erpressung zu reduzieren. Denn je mehr kriminell motivierte Angreifer über die Schlüsselpersonen innerhalb einer Organisation in Erfahrung bringen können, desto zielgerichteter und effektiver fallen ihre Attacken aus.

Deswegen sollten die Aufklärung und Schulung der Mitarbeiter darüber, wie diese ihre Privatsphäre bestmöglich schützen, grundlegender Bestandteil jedes Security-Awareness-Programms sein. Dabei können Sie konkrete, spezifische Maßnahmen und Vorkehrungen treffen, um Ihre Privatsphäre - und die Ihrer Mitarbeiter - zu schützen. Das kostet Sie Energie und Zeit - und erfordert darüber hinaus auch ein wenig technisches Knowhow.

Wir sagen Ihnen, wie Sie sich in acht Schritten (fast) anonym und sicher durch das weltweite Netz bewegen. Dabei noch ein Hinweis: Privatsphäre und Anonymität sind nicht synonym. Machen Sie sich keine Illusionen - einhundertprozentige Anonymität im Netz gibt es in der digitalisierten Welt nicht. Alles was Sie tun können ist, Ihre Privatsphäre so gut wie möglich zu schützen.

Signal

Signal ist eine Messaging App für verschlüsselte Kommunikation. Text- und Sprachnachrichten können hiermit genauso gesendet und empfangen werden wie Video- und Audioanrufe. Dabei fühlt sich Signal genauso an wie jede andere Messaging App - nutzt aber Verschlüsselung, die (zumindest nach aktuellem Stand) nicht einmal die NSA knacken kann. Was die Metadaten angeht: Jeder Widersacher auf Netzwerk-Ebene kann sehen, dass Sie Signal nutzen. Wenn es sich bei diesen Widersachern um Geheimdienste handelt, können diese sehr wahrscheinlich auch ermitteln, mit wem, wann und wie lange sie kommunizieren.

Die Macher von Signal sind sich dieser technischen Limitationen durchaus bewusst und forschen an Mitteln und Wegen, um das Problem zu lösen. Bislang bleibt eine Metadaten-resistente Kommunikation allerdings ein schöner Traum. Nichtsdestotrotz ist Signal die sicherste und benutzerfreundlichste Messaging App, die derzeit zur Verfügung steht und bietet deutlich mehr Privatsphäre als jedes ihrer populäreren Pendants. Anonym kommunizieren Sie jedoch auch mit Signal nicht - wobei das, wie bereits erwähnt, heutzutage generell kaum möglich ist.

Tor

Das größte und effektivste Metadaten-resistente Softwareprojekt ist immer noch Tor. Doch auch hier bestehen technische Limitationen, die bislang trotz ausufernder Security-Forschung noch nicht beseitigt werden konnten. Tor ist für Webbrowsing mit niedriger Latenz optimiert und unterstützt lediglich TCP. Beim Versuch, diverse bekannte Webseiten aufzurufen, wird Tor zudem nicht funktionieren, da die meisten dieser Seiten den Zugang via Tor grundsätzlich blockieren.

Zwar garantiert auch Tor keine hundertprozentige Anonymität beim Surfen im Netz - aber es ist in dieser Hinsicht das beste verfügbare Werkzeug. Wie so viele Dinge im Leben ist auch das Tor-Projekt ein zweischneidiges Schwert: Einerseits wird es von Journalisten und Bloggern genutzt, um anonym zu recherchieren oder zu publizieren, andererseits wird es auch von kriminellen Hackern für diverse böswillige Zwecke eingesetzt.

Sollten Sie mal wieder jemandem begegnen, der sich über das "böse Darkweb" beschwert, gegen das endlich jemand etwas unternehmen sollte - erinnern sie diesen Jemand gerne daran, dass Bankräuber nach getaner "Arbeit" auch vom Tatort flüchten, jedoch niemand auf die Idee kommt, Autos und Straßen verbieten zu wollen.

Vor allem für die mobile Nutzung sollten Sie auf den Tor-Browser setzen. Es gibt eine offizielle App für Android-Geräte und eine vom Tor-Projekt autorisierte, aber inoffizielle App für iOS.

Das Darknet in Bildern

Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."

Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.

Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."

Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.

Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.

Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.

Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."

Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.

Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.

Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.

VPNs

Virtual Private Networks bieten keine Anonymität. Weil aber jeder VPNs in einem Artikel wie diesem erwartet, räumen wir an dieser Stelle direkt mit diesem Mythos auf. Alles, was ein VPN tut, ist, den Traffic von Ihrem Internetanbieter - oder, falls Sie unterwegs sind, dem Hotel- oder Flughafen-WiFi - über einen verschlüsselten Tunnel umzuleiten. Es gibt viele legitime Gründe, VPNs zu nutzen - Anonymität gehört nicht dazu. Nicht einmal ansatzweise.

Im Gegensatz zu Tor - das Ihren Traffic über drei verschiedene, im weltweiten Netz verteilte Knotenpunkte leitet und es potenziellen Widersachern dadurch schwer (wenn auch nicht unmöglich) macht, zu sehen was Sie da tun - leitet ein Virtual Private Network einfach um. Der VPN-Provider ist also in der Lage, ihre Aktivitäten jederzeit nachzuvollziehen. Das bedeutet auf der anderen Seite, dass böswillige oder staatliche Akteure, die sich Zugang zu den VPN-Servern verschaffen - sei es per Hack oder Gerichtsbeschluss - das ebenso gut können.

Damit wir uns richtig verstehen: VPNs sind eine gute Sache. Nutzen Sie sie, wann immer Sie können. Erwarten Sie aber keine Anonymität.

Zero Knowledge Services

Google kann jede E-Mail, die Sie schreiben und erhalten, einsehen. Office 365 scannt jede Zeile, die Sie verfassen. DropBox analysiert jeden Ihrer Uploads. Jedes dieser Unternehmen - und viele andere - sind PRISM Provider, kooperieren im Rahmen von Massenüberwachungsprogrammen mit staatlichen Akteuren. Wenn Sie die Services dieser Unternehmen nutzen, fällt Privatsphäre also grundsätzlich aus.

Gegensteuern könnten Sie natürlich, indem Sie Ihre Daten vor dem Upload verschlüsseln. Dazu könnten Sie sich zum Beispiel Kenntnisse im Umgang mit PGP aneignen. Oder Sie entscheiden sich für Provider, die sich dem Zero-Knowledge-Prinzip verpflichten. Dabei können Sie sich allerdings auch nie sicher sein, dass entsprechende staatliche Akteure auch in diesen Fällen über entsprechende Hintertürchen verfügen.

Mögliche Alternativen bieten beispielsweise Firmen wie SpiderOak in den USA, die Zero Knowledge File Storage anbieten oder der Schweizer Anbieter Protonmail, der damit wirbt, dass es für Dritte rein mathematisch unmöglich sei, die Inhalte Ihrer E-Mails einzusehen. Wir wollen Ihnen keinen der genannten Services empfehlen - es handelt sich lediglich um Beispiele für Zero-Knowledge-Anbieter und entbindet Sie nicht von der Pflicht, vor der Nutzung solcher Services entsprechende Hintergrundrecherchen über die Anbieter zu betreiben.

So funktioniert PGP

Daten signieren
Mit einem PGP-Schlüssel können Nutzer auch Nachrichten signieren und so unerkannte Manipulationen des Textes verhindern. Das geschieht mit dem privaten Schlüssel - der Empfänger kann mit dem öffentlichen Schlüssel die Signatur überprüfen.

Meta-Daten weiter bekannt
Wer eine verschlüsselte Nachricht abfängt, sieht nur Datensalat. Allerdings kann er immer noch feststellen, wer wem geschrieben hat.

Wie ein Vorhängeschloss
Der öffentliche Schlüssel eines Nutzers ist frei verfügbar, zum Beispiel auf einem Schlüssel-Server. Mit ihm werden Nachrichten chiffriert. Der Empfänger kann sie mit seinem privaten Schlüssel entziffern. Ein Vergleich: Die Nachricht (E-Mail) kommt in eine Truhe und wird mit einem öffentlich verfügbaren Schlüssel (Vorhängeschloss) gesichert, der Empfänger kann sie mit seinem privaten Schlüssel öffnen.

Symmetrisch vs. asymmetrisch
Bei symmetrischen Verschlüsselungsverfahren benutzen beide Seiten den gleichen Schlüssel. Bei asymmetrischen Verfahren wie PGP hat jeder Nutzer ein Schlüsselpaar, das aus einem geheimen und einem öffentlichen Teil besteht. So können Nutzer einander Mails schreiben, ohne sich vorher auf einen Schlüssel einigen zu müssen.

PGP hilft bei Verschlüsselung
Ein beliebtes Programm zur Verschlüsselung von E-Mails ist PGP, die Abkürzung für "Pretty Good Privacy" (deutsch: ziemlich gute Privatsphäre). Der Amerikaner Phil Zimmermann entwickelte es 1991, um Bürgern Schutz vor den Geheimdiensten zu ermöglichen. Es macht die asymmetrische Verschlüsselung für Privatnutzer möglich.

E-Mails sind unsicher
E-Mails sind wie Postkarten, die man mit einem Bleistift beschreibt: Auf dem Weg durchs Netz können sie gelesen und verändert werden. Das lässt sich verhindern, indem man die elektronische Kommunikation signiert und verschlüsselt.

Social Media

Online-Privatsphäre heißt auch, dass Sie selbst darüber entscheiden, was Sie mit der Welt teilen wollen und was nicht. Wenn sich in Ihrem (Arbeits-)Leben Dinge abspielen, die nicht dazu geeignet sind, mit einer breiten Öffentlichkeit geteilt zu werden, sollten Sie folglich auch vermeiden, diese über Social-Media-Plattformen zu verbreiten.

Dieser Themenkomplex ist ohne Zweifel auch eine Generationenfrage: Während ältere Menschen im Regelfall beim Gedanken daran erschaudern, ihr Privatleben auf Social-Media-Kanälen mit der Welt zu teilen, hält das Gros der Generation Smartphone es für völlig normal, jeden Aspekt ihres Lebens "share-bar" zu machen.

Sie sollten vor jedem Posting auf sozialen Kanälen das große Ganze im Auge behalten: Ein einzelner Post mag unbedeutend erscheinen - aber tut er das in Kombination mit den übrigen verfügbaren Informationen über Ihr Leben immer noch? Überlegen Sie sich vor dem Klick auf den Button ganz genau, welches Gesamtbild Ihr Beitrag erzeugen könnte.

App-Berechtigungen

Mobile Apps - egal ob auf Android- oder iOS-Geräten - tendieren generell dazu, weit mehr Berechtigungen als nötig "einzufordern". Die Folge ist, dass persönliche Daten ganz regelmäßig extrahiert und an den App-Hersteller übertragen werden. Braucht jede App wirklich Zugriff auf das Mikrofon Ihres Smartphones, Ihren Aufenthaltsort oder Ihr Adressbuch?

Auch wenn es sowohl unter Android als auch unter iOS etwas umständlich und kompliziert ist: Wühlen Sie sich durch die entsprechenden Einstellungen und schalten Sie unnötige App-Berechtigungen ganz konsequent ab. Dabei gilt: Lieber eine Berechtigung zu viel als zu wenig verwehren.

Ad Blocker

Heutiges Online Advertising ist mit dem der frühen Online-Jahre nicht mehr zu vergleichen: Statt einer Anzeige für alle Nutzer, überwachen heutige Advertising-Netzwerke Ihr Nutzungsverhalten und liefern gezielt auf Ihre Interessen zugeschnittene Werbeanzeigen aus. Das ist das maßgebliche Geschäftsmodell der Silicon-Valley-Giganten. Google und Facebook etwa verfolgen jeder Ihrer Schritte im World Wide Web - auch wenn Sie keinen Account dort haben beziehungsweise nicht eingeloggt sind.

Die Installation eines AdBlockers ist dagegen zwar auch kein Allheilmittel - aber ein Holzschwert ist immer noch besser, als gar keine Waffe zur Verteidigung am Start zu haben. Es gibt einige Webbrowser, die Werbeanzeigen und Tracker standardmäßig blockieren - auch Browser-Erweiterungen stehen zu diesem Zweck zur Verfügung. Eine andere Möglichkeit: Sie nehmen den DNS-Requests der Werbenetzwerke bereits auf lokalem Router-Level den Wind aus den Segeln.

Home Assistants

Wenn Sie Wert auf Privatsphäre und ein möglichst hohes Level an Online-Anonymität legen, sollten Sie dafür Sorge tragen, dass smarte Lautsprecher keinen Platz in Ihrem Zuhause finden. Amazon Echo, Google Home und Konsorten sind permanent online und wirken absolut toxisch in Sachen Privatsphäre - noch dazu gibt es keinen Weg, diese Devices so zu konfigurieren, dass sie weniger invasiv wirken.

Dass solche Gerätschaften inzwischen quasi allgegenwärtig sind, macht die Sache nicht besser: Unter Umständen reicht es aus, wenn Ihre Nachbarn sich an einem smarten Lautsprecher "erfreuen", um Ihre Privatsphäre über den Jordan zu schicken.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.