Datenschutz (Ende-zu-Ende Verschlüsselung, …)

Einzelne Dateien oder Verzeichnisse verschlüsseln

Einzelne Dateien oder Verzeichnisse kann man mit 7-Zip , VeraCrypt oder Windows EFS verschlüsseln. Die meisten Backup-Tools (z.B. das Windows-eigene File History) unterstützen Backup/Restore von EFS-verschlüsselten Dateien nicht, siehe Datensicherheit (Backups, Cloud-Sync).

Einzelne Office-Dokumente lassen sich mit den zugehörigen Office-Apps, z.B. Word, verschlüsseln.

Lokale Datenträger verschlüsseln

Ganze Datenträger kann man mit VeraCrypt oder BitLocker verschlüsseln. BitLocker ist das Standard Verschlüsselungs-Feature von Windows 10. Ich verschlüssele die Datenträger von PCs und insbesondere von Notebooks mit BitLocker.

Bei neuen PC ist häufig der Systemdatenträger mit BitLocker verschlüsselt, ohne daß dies dem Nuzer bewußt ist. Dabei ist der BitLocker Recovery Key im MS Account in der Cloud gespeichert. Man kann in diesem Fall BitLocker so umkonfigurieren, dass nur der Nutzer Zugriff auf den Key hat: Key auf USB-Stick speichern oder ausdrucken und aus dem MS Account löschen. Damit ist aber der Nutzer selbst dafür zuständig, den Key nicht zu verlieren und bei Bedarf bereitzuhaben. Ohne Key kommt man z.B. nach wesentlichen Änderungen an der Hardware oder manchen harten Abstürzen nicht mehr an seine Daten. Das kann problematisch sein wenn der Ausdruck in D im Safe liegt und man in TH ein Problem hat.

Mit Apple-Produkten kenne ich mich nicht aus, siehe How to Encrypt Your Mac’s System Drive, Removable Devices, and Individual Files.

Daten sicher löschen

Beim Entsorgen, Zurückgeben oder Verkaufen von Geräten mit Datenträgern kann das sichere Löschen von Daten wichtige sein. Das Löschen von Dateien oder Formatieren von Datenträgern macht nur den Platz frei, es entfernt die Daten nicht unwiederherstellbar. Die sicherste Methode Daten unwiederherstellbar zu löschen ist den Datenträger physisch zu zerstören.

Daten auf Festplatten (HD) lassen sich z.B. mit Microsoft SDelete unwiederherstellbar löschen (Wipe). Beispiel für wipen von Laufwerk C:
SDelete -p 1 -s -z C:

Bei SSDs wirken SDelete und alle anderen Wipe-Tools nicht vollständig, weil sie prinzipbedingt nicht sicher alle Zellen erreichen können. Bei SSDs hilft nur, mit Verschlüsselung zu arbeiten –  mit einem nur dem Enduser bekannten oder rein internen Schlüssel und vom Anfang der Nutzung an. Self-encrypting drives (SED) erleichtern das. Sie verschlüsseln intern immer und bieten ein Secure Erase Command. Dieses löscht den internen Schlüssel und erzeugt einen neuen und macht damit alle gespeicherten Daten unwiederherstellbar. Es kann z.B. über das Wartungs-Tool des Herstellers ausgeführt werden.

E-Mail verschlüsseln

Verschlüsseln von E-Mails wäre zwar sinnvoll, aber ich habe es aufgegeben weil weder Bekannte noch Geschäftspartner wirklich daran interessiert waren. Siehe S/MIME-Zertifikat in Outlook 2016/2019 einbinden. Hier gibt’s die Zertifikate dafür. Proton Mail bietet Ende-zu-Ende verschlüsselte E-Mails. Das funktioniert aber nur vollständig mit Kommunikationspartnern, die auch Proton Mail nutzen. Mit nicht Proton Adressen werden eingehende Mail erst auf dem Proton Server verschlüsselt und ausgehende werden entschlüsselt versendet,

Cloud-Daten verschlüsseln (Ende-zu-Ende Verschlüsselung = E2EE)

Meines Erachtens sollten private Daten nur dann in der Cloud gespeichert werden, wenn diese mit einem Schlüssel verschlüsselt sind, den nur der Nutzer kennt, also Ende-zu-Ende-Verschlüsselung (E2E). Die meisten Cloud-Provider (inkl. Google Drive und Microsoft OneDrive) bieten leider keine E2EE. Das gebotene „encrypting data in transit and at rest“ ist hier nicht ausreichend, siehe einen älteren recht technischen Artikel von mir dazu Thoughts and Experiments on Cloud Encryption und OneDrive Security: How Safe Are Your Files in 2023? Apple bietet seit Dez. 2022 mit „Advanced Data Protection“ E2EE für ICloud Backups, siehe How to enable end-to-end encryption for your iCloud backups.

Boxcryptor, eine App die E2EE für die meisten Cloud-Speicher anbot, wurde leider eingestellt. Als Alternativen BoxCryptor bieten sich an:

• Cryptomator Arbeitet ähnlich wie BoxCryptor indem es als Verschlüsselungsschicht vor den verbreiteten Cloud Providern fungiert.
  Es gibt keine Version für Windows on ARM.
• Das Schweizer Unternehmen Tresorit bietet E2E verschlüsselten Cloud-Speicher mit Clients für Apple, Windows (inkl. Windows on ARM), Linux, Android und iOS. Ich bin Mitte 2023 auf Tresorit umgestiegen und damit sehr zufrieden.
• OneDrive Vault: Es gibt nur eine Version für OneDrive Personal, keine für Business. Backup Tools können keinen Backup der Dateien im Vault machen. Vault bietet eine zusätzliche Zwei-Faktor-Authentisierung und die Vault-Dateien sind lokal nur zugreifbar, solange das Vault geöffnet ist. Vault bietet aber leider keine E2E Verschlüsselung. Bei meinen Tests mit nur ein paar Files war Vault nicht stabil, insbesondere mit .zip Dateien – ich kam einige Male nicht mehr an die Files.
• 1Password und 7-Zip
  Mann kann unkritische Dateien ohne E2E in der Cloud speichern, die sicherheitskritischsten in einem Password Manger wie 1Password und die restlichen privaten Dateien mit 7-Zip verschlüsseln.
  • 1Password hat ein Speicherlimit von 1GB
  • Bei 7-Zip das Archive-Format .7z und Verschlüsselungsmethode AES-256 wählen, ein gutes Passwort wählen und ‚Encrypt file names“ ankreuzen. Ich weiss nicht, ob grosse ZIP-Archive beim Synchronisieren zwischen Cloud und lokalem Speichern langsamer übertragen werden als einzelne Dateien, denn Cloud Provider wie OneDrive und Dropbox verwenden block-level copying anstallt imm ganze Dateien zu synchronisieren.

Das Schweizer Unternehmen Tresorit bietet E2E verschlüsselten Cloud Speicher mit Clients für Apple, Windows (nicht Windows on ARM), Linux, Android und iOS. Ich bin mitte 2023 auf Tresorit umgestiegen und damit sehr zufrieden.

Selbst mit E2EE würde ich manche Daten nicht in einer Cloud oder einem Passwortmanager speichern, z.B. das Passwort zum Google- oder Microsoft-Account, vielleicht auch sehr private Dokumente.

E2EE ist aber nur so sicher wie die eigenen Endgeräte. Angreifer könnten z.B. Beispiel Trojaner aufspielen, die Bildschirmfotos der Nachrichten erstellen oder Keylogger, die Tastaturanschläge aufzeichnen. Auch „offizielle“ Dienste könnten Daten abgreifen bevor diese verschlüsselt sind, z.B. Microsoft Recall oder Apples On-Device Detection (man hört, der Service, welcher CSAM Detection in iCloud Photos ermöglicht, sei durch Apple remote auf alle möglichen Suchmuster erweiterbar). AI-Assistenten verbreiten sich immer weiter – prinzipiell können diese alles sehen, hören und wissen, was man selbst kann. Man muss sich also darum kümmern, dass seine Systeme möglichst sicher sind.

Text-Nachrichten

Text-Nachrichten haben kaum Bedeutung für mich, daher kenne ich mich damit nicht besonders aus. Auch Text-Nachrichten sollten möglichst Ende-zu-Ende verschlüsselt sein. Android SMS und MMS werden nicht E2EE. Bei Facebook Messenger, Telegram und Android RCS Messages werden sie abhängig von der App-Version und Einstellungen durch den Nutzer verschlüsselt. WhatsApp Message sind sie zwar standarmässig verschlüsselt, aber Facebook halte ich generll nicht für vertrauenswürdig. Aktuell scheinen Signal und Apple’s iMessage (aber nicht zwischen Apple und Android Nutzern!) eine gute Wahl zu sein – aber die Nutzbarkeit einer Messaging-App hängt natürlich immer auch davon ab ob deine Kommunikationspartner diese auch nutzen. In Bulgarien z.B. verwende ich Viber, in Thailand Line.

App-Berechtigungen

App-Berechtigungen sollte man wohlüberlegt vergeben. So erlaubt z.B. der Zugriff von Messangern auf Kontakte neben dem Zugriff auf Adressdaten auch den Zugriff auf bei Kontakten gespeicherte Notizen. Will man also z.B. WhatsApp Zugriff auf Kontakte erlauben, dann sollte man sicherstellen, dass dort in Notizen keine Kontonummern, Kundennummern, Steuer-IDs etc. gespeichert sind.

Sichere Endgeräte

Um seine Endgeräte (Handy, PC, Notebook, Tablet) möglichst sicher zu halten sollte man u.a. verfügbare Updates unverzüglich einspielen. Ich lasse Windows seine Updates nicht nur automatisch einspielen, sondern suche täglich via „check for updates“ aktiv nach danach und via „update now“ auch nach Office Updates – damit erreiche ich auch, daß Updates dann eingespielt werden, wenn sich nicht stören und mir keine wichtige Arbeit verloren gehen kann. Vor Zerstörungen meines Systems durch schlechte Updates fürchte ich mich nicht, weil ich System Images via Macrium Reflect habe, vgl. Datensicherheit (Backup). Die meisten meiner Apps (wie Browser, Greenshot, 7-Zip, PDF Reader, …) lasse ich automatisch via Ninite Pro aktualisieren. Meine Handys sind Google Pixel Handys, die monatlich Sicherheitsupdates einspielen, vgl. Gute Elektronik.

Bei Virenscannern halte ich unter Windows die standard Security (Defender) für ausreichend. Auf Android habe ich Bitdefender Antivirus Free zusätzlich zum standard Gooogle Play Protect installiert. Wirklich nötig ist dieser zusätzliche Virenscanner aber nicht – andererseits kostet er nix und frisst außer für seine Prüfung direkt nach Updates keine Performance.

Und ich verhalte mich auf meinen Endgeräten generell vorsichtig: Auf fremde USB-Sticks greife ich erst nach einem Virenscan zu, unerwartete oder „komische“ E-Mails und insbes. Anhänge lösche ich unangesehen.

Auf Windows lasse ich mich warnen, wenn eine App von ausserhalb des Windows Store installiert werden soll, siehe Settings, Apps & Features, Choose where to get apps. Den Windows Store verwende ich zwar kaum, aber mit dieser Einstellung erhalte ich vor jeder Installation einer Desktop-App eine Warnung.

Auf Windows habe ich die User Account Control auf „Always notify about changes to your computer“ stehen. Damit werde ich bei allen sicherheitsrelevanten Aktionen gefragt, nicht nur bei Änderungen, sondern auch beim Anzeigen. Die höhere Sicherheit ist mir die häufigeren Klicks zum Bestätigen von Aktionen wert.

Zum Ausprobieren von Windows Apps oder Browsen auf „unsicheren“ Websites bietet sich Windows Sandbox an, siehe Virtuelle Maschinen.

Die Suchmaschine von DuckDuckGo, deren Privacy Browser App und die DuckDuckGo Privacy Essentials Browser-Erweiterung kann helfen die Privatsphäre beim Browsen etwas zu schützen, siehe Sicher Surfen.

Geben nervige Werbung nutze ich die uBlock Origin Browser-Erweiterung.

Account-Sperren

Google und Microsoft haben Accounts von Nutzern schon vollständig gesperrt, bloß weil diese Dateien in ihrem Cloud-Speicher abgelegt hatten, deren Inhalte (oder auch nur Dateinamen) gegen die von Google/Microsoft definierten Geschäftsbedingungen verstießen. Wohlgemerkt ohne daß diese Dateien für andere Nutzer freigegeben waren. Gerade Google nennt bei Sperren manchmal keine konkreten Gründe und ob man wirklich gegen eine konkrete Regel verstoßen hat, läßt sich (zumindest zeitnah) kaum klären, weil es praktisch unmöglich ist, einen kompetenten Mitarbeiter zu erreichen. Mit etwas Glück gelingt es einem in einem solchen Fall vielleicht noch, seine E-Mails aus Gmail zu extrahieren – alles andere ist aber verloren.

Eine Account Sperre kann auch zum Verlust des Zugangs zu Diensten anderer Anbieter führen, wenn man sich dort per „Sign in with (Google / Facebook /…“ und nicht per Name / Passwort angemeldet hat.
Online Accounts 2025: Single Sign-In (SSO) (Premium) – Thurrott.com

Siehe z.B.

• Automatisierte Scans: Microsoft sperrt Kunden unangekündigt für immer aus
• Fotosammlung auf OneDrive: Erst kam die Kontosperre, dann der Staatsanwalt › Dr. Windows

Probleme mit Account-Sperren passieren auch regelmäßig bei Unstimmigkeiten mit Google Payments. Ist mir selbst zwar noch nicht passiert, aber stundenlange Totalausfälle mit unterschiedlichsten Providern schon. Deshalb habe ich immer mindestens zwei Provider konfiguriert, damit ich bei Problemen leicht umschalten kann. Aktuell arbeite ich mit E-Mail Accounts bei Microsoft 365, Google und GMX und nutze als Hoster IONOS*) und Host-Europe.

Hier ein Bericht von Stefan endeckt die Welt, dessen YouTube Account lebenslang gesperrt wurde, weil vermutlich eine Website auf die er aus YouTube verlinkte gegen Datenschutzrichtlinien verstieß. Was konkret sein Verstoß sein soll, weigert sich Google zu nennen.

Es gibt auch Fälle, bei denen Konten von namensgleichen Nutzern gesperrt wurden: Der dreifache Tobias: Microsoft sperrt Nutzerkonten wegen Namensgleichheit – Dr. Windows

Dr. Windows: Microsoft, bitte nachmachen: Google bietet Einspruchsverfahren gegen Kontosperrungen

Zwei-Faktor-Authentisierung (2FA)

Mit sicherheitskritischen Anwendungen sollte man 2FA einsetzen. Vielleicht sind die gespeicherten Daten gar nicht so kritisch, wohl aber ein möglicher Identitätsdiebstahl. Banken zwingen seit einiger Zeit zu 2FA. Für 2FA sind Authenticator Apps auf dem Handy sicherer als SMS. Ich verwende den Microsoft Authenticator mit derzeit 16 Anwendungen und evaluiere mit 2FA auf 1Password umzusteigen.

Windows-PIN ist sicherer als Passwort

Auf Windows PCs ist es (überraschenderweise) sicherer eine PIN zu verwenden als ein Passwort: Warum eine PIN besser als ein Kennwort ist. Windows PIN sind übrigens nicht auf eine Länge von 4 Zeichen beschränkt und können Buchstaben und Symbole enthalten. Ich verwende mindestens 6-stellige PINs und nicht nur Zahlen.

Biometrische Authentifizierung

In 2025 ist Face ID sicherer als Fingerprint und der sicherer als kurze numerische PINs. Wischgesten finde ich zu unsicher. Da man Handys immer auch per PIN entsperren kann, sollte diese mindestens 6-ziffrig sein oder besser ein gutes, langes, leicht einzugebendes Passwort. Aber Vorsicht! Offizielle oder Kriminelle können biometrische Authentifizierung durch Betäuben ausnutzen, siehe Sicherheit Unterweg (Lockdownmode). Temporär lässt sich die biometrische Authentifizierung des Handys über den Lockdown-Button im Power-Menü deaktivieren.

Passkeys statt Passwörter

Passkeys werden wohl mit der Zeit Passwörter ablösen. Passkeys sind sicherer bzgl. Datendiebstahl (insbes. Datenlecks auf Servern), Phishing, Malware/Keylogger und Geräteverlust. In 2025 unterstützen jedoch die meisten meiner Dienste wie Banking-Apps Passkeys bisher nicht, wohl aber z.B. Amazon, Google, Microsoft.

Passkeys nutzen ein kryptografisches Schlüsselpaar aus privatem und öffentlichem Schlüssel (private/public key pair). Dieses wird bei der Registrierung einzigartig für jeden Dienst (wie Microsoft oder Amazon) erzeugt. Der Dienst kennt und speichert nur den öffentlichen Schlüssel. Das Endgerät speichert den privaten Schlüssel – im sicheren Anmeldeinformationsspeicher (secure credential storage) des Betriebssystems oder in einem Passwort-Manager.
Zum Anmelden bei einem Dienst muss man nur das jeweilige Gerät (Handy, Notebook, …) entsperren und ggf. den Passwort-Manager. Auch beim Anmeldevorgang wird der private Schlüssel nicht zum Dienst übertragen, kann also auch nicht auf dem Übertragungsweg ausgespäht werden.

Das Speichern von Passkeys in Password-Mangern ist viel bequemer als lokale Mechanismen wie Windows Hello zu nutzen. Password-Manager synchronisieren Passkeys über alle Geräte und Betriebssysteme. Damit kann man sich mit einem Passkey, den man auf einem Gerät erzeugt hat, auf all seinen Geräten anmelden und braucht nicht für jedes Geräte einen eigenen Passkey zu erzeugen.

Mit Passwortmanagern ist die Verschlüsselung nicht ganz so sicher wie bei rein lokalen Mechanismen. Im lokalen Anmeldeinformationsspeicher eines Betriebssystems erfolgt diese hardwaregebunden an das jeweilige Gerät, bei Windows z.B. via TPM verschlüsselt. Bei Passwortmanagern wird rein über deren Sicherheitsmechanismen verschlüsselt, z.B. Master Password und Secret Key bei 1Password. Ich halte das aber für sicher genug.
1Password vereinfacht den Wechsel von Passwörtern auf Passkeys: In Watchtower zeigt es eine Liste der Dienste, die Passkeys bieten und unterstützt die Umstellung.

Zum Umstellen des existierenden Anmeldeverfahrens eines Dienstes geht man in dessen Sicherheitseinstellungen und wählt Passkey als (zusätzliches) Verfahren – dabei kann man entscheiden, wo der Key gespeichert werden soll, z.B. in Windows Hello oder 1Password.

Als Rückfallposition zum Anmelden, falls der Passkey nicht verfügbar ist, gibt es je nach Dienst: E-Mail, SMS, anderes Gerät, Zwei-Faktor-Authentisierung (2FA), oder Password. SMS sollte man, wenn es nicht die einzige Möglichkeit ist, nicht konfigurieren, weil es die unsicherste Methode ist. Password als Rückfallmethode hat den Nachteil, dass dies nicht gegen Datendiebstahl sicher ist.

Eine gute Erläuterung aus Reddit:

One of the key differences between passkeys and passwords is where the authentication takes place.

With a password, authentication takes place on the server. With a passkey, authentication takes place on your device.

In simplified terms, the current workflow for authenticating with a password looks like this;

1. you create a password for a service you want to use.
2. that service stores a scrambled version of your password, called a hash, on their servers.
3. when you login, you enter your password, and the hash of this password is transmitted to the server, which compares it to the hash stored on the server.
4. if the hashes correspond, an authentication token is issued to your device, and authentication is complete.

With a passkey, the simplified workflow is as follows;

1. you create a passkey for the service you want to use.
2. the server stores a public key, alongside the unique identifier of the authenticator storing the passkey on your device (1Password, Bitwarden, Apple, Google, or whatever). This public key is useless by itself, and can be assumed to be public knowledge (hence the name, ‚public key‘).
3. the authenticator on your device stores the private key, along with details of the service it corresponds to (called the ‚relying party‘).
4. when you login, your authenticator requests access, the service checks the authenticator is the same one that was used when creating the passkey pair, and then sends the public key (which, remember, is useless by itself) alongside a cryptographic challenge.
5. your device authenticator signs the cryptographic challenge using the private key and returns it to the server. Importantly, even a correct signature doesn’t reveal the contents of the private key, which itself never leaves your device.
6. upon receipt of a valid signed cryptographic challenge, the service issues an authentication token to your device, and authentication is complete.

Important benefits to passkeys are;

1. passkeys aren’t human generated, and humans are generally terrible at creating strong passwords.
2. private keys are never transmitted off your device, so cannot be phished or intercepted in transit.
3. servers never store password hashes, and the public key they do store is useless by itself. So there’s nothing usable to steal off a server.
4. cryptographic challenges sent as part of the authentication process are time stamped and single use, meaning they cannot be reused if intercepted. This makes 2FA measures like TOTP codes largely redundant.

Android und iPhone verschlüsseln

Daten auf Handys sollten standardmäßig verschlüsselt sein. Bei neuen Handys prüfe ich aber immer in den Einstellungen, ob das wirklich so ist.

Passwortmanager

Ohne Passwortmanager ist es m.E. unmöglich, sichere Passwörter für alle seine Zugänge zu gewährleisten. Ich habe mich bewusst für ein kommerzielles, kostenpflichtiges Produkt entschieden: 1Password. Das funktioniert auf Windows und Android prima – auf Apple-Produkten wohl sowieso. Ein paar Passwörter zu Accounts mit sehr weitreichenden Rechten wie meines MS Accounts speichere ich nicht im Passwortmanager, sondern merke sie mir. [ist bei Verfügbarkeit von Passkeys nicht nötig].PINs von Kreditkarten speichere ich nicht in 1Password, sondern habe sie mir auf einem Spickzettel verschlüsselt notiert, siehe unten. Passwörter für ein paar sehr unkritische Websites habe ich meine Webbrowser speichern lassen, weil es so schneller geht, diese aufzurufen. Bitwarden ist ein guter, kostenloser Passwordmanager. Proton Pass ist eine erwägenswerte Alternative.

Kreditkarten-PINs

PIN von Kreditkarten speichere ich nirgends elektronisch (auch nicht verschlüsselt z.B. in einem Passwortmanager) weil das den AGB widerspricht, siehe Vertragsbedingungen für Mastercard und Visa Karten. Diese darf insbesondere nicht auf der Karte vermerkt, bei einer digitalen Karte nicht in demselben mobilen Endgerät gespeichert werden oder in anderer Weise (z.B.* nicht als getarnte Telefonnummer*) zusammen mit der Karte oder deren Daten aufbewahrt werden. PINs kann man sicher auf Papier verschlüsseln: Spickzettel für PINs (Excel).

Sichere Passwörter

Zu sichern Passwörtern kursieren viele Fehlinformationen und wichtige Aspekte wie Merkbarkeit und leichte Eingebbarkeit (auch auf anderssprachigen Tastaturen) wird häufig unterschlagen. Was für einen Menschen wie ein schwer zu knackendes Passwort aussieht, braucht es für einen Computer noch lange nicht zu sein.

Bei Verwendung eines Passwortmanagers braucht man sich nur ein einziges Passwort zu merken, das Masterpasswort. Will man bestimmte Passwörter nicht im Passwortmanager speichern, z.B. das des MS Accounts, dann muss man sich diese natürlich auch merken.

Zur Provokation:
Ein schlechtes Passwort: „Tr0ub4dor&3“
Ein gutes Passwort: „hammer 2dM&P kind lob luft“

Zur Erläuterung:
Ein Comic.
Erläuternder Artikel: Toward better Master Passwords.

Virtual Private Network (VPN)

Ich verwende manchmal als VPN Proton VPN (bietet sogar Tor Connections), Private Internet Access,  oder das Standard Android VPN by Google. Für das hochgelobte NordVPN gib es mir zu viele gesponserte Tests. Seit praktisch alle Websites die Kommunikation via HTTPS verschlüsseln, ist ein VPN nicht mehr sooo wichtig, It’s probably time to say goodbye to your VPN. Aber wenn ich etwas Sicherheitskritisches wie Onlinebanking an öffentlichen WLANs mache, dann nutze ich ein VPN. Manchmal hilft es gegen Geoblocking. Anonym surfen kann man mit einem VPN nicht – statt des Internet-Anbieters kennt damit halt der VPN-Anbieter die besuchten Websites. VPNs schützen nicht gegen Hacker und Malware (höchstens gebündelte Virenscanner etc., von denen ich nichts halte). Aktuelle VPN bieten verblüffend schnelle Verbindungen.
c’t: Die Wahrheit über VPNs

Virtuelle Maschinen (VM)

Mit virtuellen Maschinen (wie Windows Sandbox, Hyper-V, Virtual Box, VMWare) kann man auf einer Rechner-Hardware gleichzeitig voneinander isolierte Betriebssystem-Instanzen betreiben.

Zum schnell mal Ausprobieren von Windows Apps oder Browsen auf „unsicheren“ Websites bietet sich Windows Sandbox an. Sandbox ist ein Standard Windows Feature. Sandbox. Es bietet eine leichtgewichtige, vom Host-Windows isoliertes, Windows-Instanz. Beim Schließen der Sandbox wird alles gelöscht. Sandbox ist sicher genug und sicherer als ein Wegwerf-Nutzer. Es ist viel unkomplizierter als eine richtige virtuelle Maschine. Leider ist eine Vorkonfiguration z.B. mit einem anderen Browser oder Plug-ins umständlich, siehe Start Windows Sandbox With Preinstalled Apps.

Ich nutze Sandbox z.B. zur Einmalnutzung von App soder zum Runterladen von Bedienungsanleitungen zu Geräten. Bedienungsanleitungen findet man häufig einzig auf obskuren Portalen. Dieser versuchen, einem die Installation unerwünschter Tools unterzuschieben.

Anonym und sicher surfen und kommunizieren

Zum möglichst anonymen und ungefilterten Recherchieren bietet sich Tor an, via Tor-Browser, Tor-Fenster im Brave-Broser, Tails oder Whonix an, siehe Anonym und ungefiltert Recherchieren

Zur sicheren online Kommunikation siehe: Electronic Frontier Foundation: Surveillance Self-Defense – Tips, Tools and How-tos for Safer Online Communications

Zum verbergen seiner E-Mail Adresse kann man E-Mail Aliase verwenden:
SimpleLogin | Open source anonymous email service

[ *)Dieser Post enthält Affiliate-Links. Das kostet dich nichts, bringt mir aber etwas Einkünfte]