Last updated on April 28, 2024

Inhalt:

Siehe auch

Die Meinung, daß Daten Zuhause gespeichert generell sicherer seien als in der Cloud, teile ich nicht. Auch viele kleine Unternehmen überschätzen die Sicherheit ihrer in-house IT: Die Software-Sicherheit, aber nicht zuletzt auch die physische Sicherheit. Bei manchen Unternehmen braucht man bloß eine Scheibe einzuschlagen und kann Speichermedien oder Server einfach wegtragen – auch ist ihnen nicht bewußt, was ein verärgerter Administrator (z.B. nach Kündigung) anrichten kann. Aber auch die grössten Cloud Provider können keine 100%-ige Sicherheit bieten, siehe z.B. Microsofts gestohlener Schlüssel mächtiger als vermutet.

Generell ist die heute verfügbare Verschlüsselung akutell und in absehbarer Zukunft auch gegen hochgerüstete Hardware und Software sicher.

Die 5 besten deutschsprachigen YouTube-Kanäle zum Thema Datenschutz.

Einzelne Dateien oder Verzeichnisse verschlüsseln

Einzelne Dateien oder Verzeichnisse kann man mit 7-Zip , VeraCrypt oder Windows EFS verschlüsseln. Die meisten Backup-Tools (z.B. das Windows-eigene File History) unterstützen Backup/Restore von EFS-verschlüsselten Dateien nicht, siehe Datensicherheit (Backups, Cloud-Sync).

Einzelne Office-Dokumente lassen sich mit den zugehörigen Office-Apps, z.B. Word, verschlüsseln.

Lokale Datenträger verschlüsseln

Ganze Datenträger kann man mit VeraCrypt oder BitLocker verschlüsseln. BitLocker ist das Standard Verschlüsselungs-Feature von Windows 10. Ich verschlüssele die Datenträger von PCs und insbesondere von Notebooks mit BitLocker.

Bei neuen PC ist häufig der Systemdatenträger mit BitLocker verschlüsselt, ohne daß dies dem Nuzer bewußt ist. Dabei ist der BitLocker Recovery Key im MS Account in der Cloud gespeichert. Man kann in diesem Fall BitLocker so umkonfigurieren, dass nur der Nutzer Zugriff auf den Key hat: Key auf USB-Stick speichern oder ausdrucken und aus dem MS Account löschen. Damit ist aber der Nutzer selbst dafür zuständig, den Key nicht zu verlieren und bei Bedarf bereitzuhaben. Ohne Key kommt man z.B. nach wesentlichen Änderungen an der Hardware oder manchen harten Abstürzen nicht mehr an seine Daten. Das kann problematisch sein wenn der Ausdruck in D im Safe liegt und man in TH ein Problem hat.

Mit Apple-Produkten kenne ich mich nicht aus, siehe How to Encrypt Your Mac’s System Drive, Removable Devices, and Individual Files.

Daten sicher löschen

Beim Entsorgen, Zurückgeben oder Verkaufen von Geräten mit Datenträgern kann das sichere Löschen von Daten wichtige sein. Das Löschen von Dateien oder Formatieren von Datenträgern macht nur den Platz frei, es entfernt die Daten nicht unwiederherstellbar. Die sicherste Methode Daten unwiederherstellbar zu löschen ist den Datenträger physisch zu zerstören.

Daten auf Festplatten (HD) lassen sich z.B. mit Microsoft SDelete unwiederherstellbar löschen (Wipe). Beispiel für wipen von Laufwerk C:
SDelete -p 1 -s -z C:

Bei SSDs wirken SDelete und alle anderen Wipe-Tools nicht vollständig, weil sie prinzipbedingt nicht sicher alle Zellen erreichen können. Bei SSDs hilft nur, mit Verschlüsselung zu arbeiten –  mit einem nur dem Enduser bekannten oder rein internen Schlüssel und vom Anfang der Nutzung an. Self-encrypting drives (SED) erleichtern das. Sie verschlüsseln intern immer und bieten ein Secure Erase Command. Dieses löscht den internen Schlüssel und erzeugt einen neuen und macht damit alle gespeicherten Daten unwiederherstellbar. Es kann z.B. über das Wartungs-Tool des Herstellers ausgeführt werden.

E-Mail verschlüsseln

Verschlüsseln von E-Mails wäre zwar sinnvoll, aber ich habe es aufgegeben weil weder Bekannte noch Geschäftspartner wirklich daran interessiert waren. Siehe S/MIME-Zertifikat in Outlook 2016/2019 einbinden. Hier gibt’s die Zertifikate dafür.

Cloud-Daten verschlüsseln (Ende-zu-Ende Verschlüsselung)

Meines Erachtens sollten private Daten nur dann in der Cloud gespeichert werden, wenn diese mit einem Schlüssel verschlüsselt sind, den nur der Nutzer kennt, also Ende-zu-Ende-Verschlüsselung (E2E). Die meisten Cloud-Provider (inkl. Google Drive und Microsoft OneDrive) bieten leider keine E2EE. Das gebotene „encrypting data in transit and at rest“ ist hier nicht ausreichend, siehe einen älteren recht technischen Artikel von mir dazu Thoughts and Experiments on Cloud Encryption und OneDrive Security: How Safe Are Your Files in 2023? Apple bietet seit Dez. 2022 mit „Advanced Data Protection“ E2EE für ICloud Backups, siehe How to enable end-to-end encryption for your iCloud backups. Das Schweizer Unternehmen Tresorit bietet E2E verschlüsselten Cloud Speicher mit Clients für Apple, Windows (nicht Windows on ARM), Linux, Android und iOS.

Deshalb sollte man unbedingt(!) den Einsatz von Produkten wie BoxCryptor erwägen, die E2EE von Dateien und sogar von Dateinamen mit fast allen Cloud-Providern ergänzen. BoxCryptor wurde Nov 2022 an Dropbox verkauft. Aktuell kann man keine neuen BoxCryptor Konten mehr anlegen. Ob und wann es einen vergleichbaren Service von Dropbox geben wird und ob dieser empfehlenswert sein wird, kann ich derzeit nicht beurteilen. Ich bin mitte 2023 auf Tresorit umgestiegen und damit sehr zufrieden.

Als Alternativen zu BoxCryptor bieten sich an:

  • Cryptomator Arbeitet ähnlich wie BoxCryptor indem es als Verschlüsselungsschicht vor den verbreiteten Cloud Providern fungiert.
    Es gibt keine Version für Windows on ARM.
  • Tresorit bietet E2EE mit seinem eigenen Cloud Speicher (auf Basis von MS Azure). Tresorit läuft auch auf Windows on ARM.
  • OneDrive Vault: Es gibt nur eine Version für OneDrive Personal, keine für Business. Backup Tools können keinen Backup der Dateien im Vault machen. Vault bietet eine zusätzliche Zwei-Faktor-Authentisierung und die Vault-Dateien sind lokal nur zugreifbar, solange das Vault geöffnet ist. Vault bietet aber leider keine E2E Verschlüsselung. Bei meinen Tests mit nur ein paar Files war Vault nicht stabil, insbesondere mit .zip Dateien – ich kam einige Male nicht mehr an die Files.
  • 1Password und 7-Zip
    Mann kann unkritische Dateien ohne E2E in der Cloud speichern, die sicherheitskritischsten in einem Password Manger wie 1Password und die restlichen privaten Dateien mit 7-Zip verschlüsseln.
    • 1Password hat ein Speicherlimit von 1GB
    • Bei 7-Zip das Archive-Format .7z und Verschlüsselungsmethode AES-256 wählen, ein gutes Passwort wählen und ‚Encrypt file names“ ankreuzen. Ich weiss nicht, ob grosse ZIP-Archive beim Synchronisieren zwischen Cloud und lokalem Speichern langsamer übertragen werden als einzelne Dateien, denn Cloud Provider wie OneDrive und Dropbox verwenden block-level copying anstallt imm ganze Dateien zu synchronisieren.

Selbst mit E2EE würde ich manche Daten nicht in einer Cloud oder einem Passwortmanager speichern, z.B. das Passwort zum Google- oder Microsoft-Account, vielleicht auch sehr private Dokumente.

E2EE ist aber nur so sicher wie die eigenen Endgeräte. Angreifer könnten z.B. Beispiel Trojaner aufspielen, der Bildschirmfotos der Nachrichten erstellt oder einen Keylogger, der Tastaturanschläge aufzeichnet. Damit könnten Sie unverschlüsselte Daten vom Endgerät abgreifen. Man muß sich also darum kümmern, daß seine Systeme möglichst sicher sind.

Text-Nachrichten

Auch Text-Nachrichten sollten möglichst Ende-zu-Ende verschlüsselt sein. Mit SMS, Facebook Messenger (E2EE ist nicht Default), Telegram (E2EE ist nicht Default) und Android Messages sind sie das im Mai 2021 nicht. Mit WhatsApp sind sie zwar verschlüsselt, aber Facebook ist vertrauensunwürdig. Text-Nachrichten haben kaum Bedeutung für mich, daher kenne ich mich damit nicht besonders aus. Aktuelle scheinen Signal und Apple’s iMessage (aber nicht zwischen Apple und Android Nutzern!) eine gute Wahl zu sein – aber die Nutzbarkeit einer Messaging-App hängt natürlich immer auch davon ab mein deine Kommumnikationspartner diese auch nutzen. In Bulgarien z.B. verwende ich Viber, in Thailand Line.

Für Text-Nachrichten und andere Kommunikation sollte man auch die Wichtigkeit von Metadaten nicht unterschätzen – also wer, wann mit wem kommuniziert hat. Diese Infos sind ähnlich sicherheitskritisch wie die Inhalte der Kommunikation und noch schwerer zu schützen.

Sichere Endgeräte

Um seine Endgeräte (Handy, PC, Notebook, Tablet) möglichst sicher zu halten sollte man u.a. verfügbare Updates unverzügliche einzuspielen. Ich lasse Windows seine Updates nicht nur automatisch einspielen, sondern suche täglich via „check for updates“ aktiv nach danach und via „update now“ auch nach Office Updates – damit erreiche ich auch, daß Updates dann eingespielt werden, wenn sich nicht stören und mir keine wichtige Arbeit verloren gehen kann. Vor Zerstörungen meines Systems durch schlechte Updates fürchte ich mich nicht, weil ich System Images via Macrium Reflect habe, vgl. Datensicherheit (Backup). Die meisten meiner Apps (wie Browser, Greenshot, 7-Zip, PDF Reader, …) lasse ich automatisch via Ninite Pro aktualisieren. Meine Handys sind Google Pixel Handy die monatlich Sicherheitsupdates einspielen, vgl. Gute Elektronik.

Bei Virenscannern halte ich unter Windows die standard Security (Defender) für ausreichend. Auf Android habe ich Bitdefender Antivirus Free zusätzlich zum standard Gooogle Play Protect installiert. Wirklich nötig ist dieser zusätzliche Virenscanner aber nicht – andererseits kostet er nix und frisst außer für seine Prüfung direkt nach Updates keine Performance.

Und ich verhalte mich auf meinen Endgeräten generell vorsichtig: Auf fremde USB-Sticks greife ich erst nach einem Virenscan zu, unerwartete oder „komische“ E-Mails und insbes. Anhänge lösche ich unangesehen.

Auf Windows lasse ich mich warnen, wenn eine App von ausserhalb des Windows Store installiert werden soll, siehe Settings, Apps & Features, Choose where to get apps. Den Windows Store verwende ich zwar kaum, aber mit dieser Einstellung erhalte ich vor jeder Installation einer Desktop-App eine Warnung.

Auf Windows habe ich die User Account Control auf „Always notify about changes to your computer“ stehen. Damit werde ich bei allen sicherheitsrelevanten Aktionen gefragt, nicht nur bei Änderungen, sondern auch beim Anzeigen. Die höhere Sicherheit ist mir die häufigeren Klicks zum Bestätigen von Aktionen wert.

Zum Ausprobieren von Windows Apps oder Browsen auf „unsicheren“ Websites bietet sich Windows Sandbox an, siehe Virtuelle Maschinen.

Die Suchmaschine von DuckDuckGo, deren Privacy Browser App und die DuckDuckGo Privacy Essentials Browser-Erweiterung kann helfen die Privatsphäre beim Browsen etwas zu schützen, siehe Sicher Surfen.

Geben nervige Werbung nutze ich die uBlock Origin Browser-Erweiterung.

Account-Sperren

Google und Microsoft haben Accounts von Nutzern schon vollständig gesperrt, bloß weil diese Dateien in ihrem Cloud-Speicher abgelegt hatten, deren Inhalte (oder auch nur Dateinamen) gegen die von Google/Microsoft definierten Geschäftsbedingungen verstießen. Wohlgemerkt ohne daß diese Dateien für andere Nutzer freigegeben waren. Gerade Google nennt bei Sperren manchmal keine konkreten Gründe und ob man wirklich gegen eine konkrete Regel verstoßen hat, läßt sich (zumindest zeitnah) kaum klären, weil es so gut wie unmöglich ist, einen kompetenten Mitarbeiter zu erreichen. Mit etwas Glück gelingt es einem in einem solchen Fall vielleicht noch seine E-Mails aus Gmail zu extrahieren – alles andere ist aber verloren.

Siehe z.B. Automatisierte Scans: Microsoft sperrt Kunden unangekündigt für immer aus

Probleme mit Account-Sperren passieren auch regelmäßig bei Unstimmigkeiten mit Google Payments. Ist mir selbst zwar noch nicht passiert, aber stundenlange Totalausfälle mit unterschiedlichsten Providern schon. Deshalb habe ich immer mindestens zwei Provider konfiguriert, damit ich bei Problemen leicht umschalten kann. Aktuell arbeite ich mit E-Mail Accounts bei Microsoft 365, Google und GMX und nutze als Hoster IONOS*) und Host-Europe.

Hier ein Bericht von Stefan endeckt die Welt, dessen YouTube Account lebenslang gesperrt wurde, weil vermutlich eine Website auf die er aus YouTube verlinkte gegen Datenschutzrichtlinien verstieß. Was konkret sein Verstoß sein soll, weigert sich Google zu nennen.

Dr. Windows: Microsoft, bitte nachmachen: Google bietet Einspruchsverfahren gegen Kontosperrungen

Zwei-Faktor-Authentisierung (2FA)

Mit sicherheitskritischen Anwendungen sollte man 2FA einsetzen. Vielleicht sind die gespeicherten Daten gar nicht so kritisch, wohl aber ein möglicher Identitätsdiebstahl. Banken zwingen seit einiger Zeit zu 2FA. Für 2FA sind Authenticator Apps auf dem Handy sicherer als SMS. Ich verwende den Microsoft Authenticator mit derzeit 16 Anwendungen und evaluiere mit 2FA auf 1Password umzusteigen.

Windows PIN ist sicherer als Passwort

Auf Windows PCs ist es (überraschenderweise) sicherer eine PIN zu verwenden als ein Passwort: Warum eine PIN besser als ein Kennwort ist. Windows PIN sind übrigens nicht auf eine Länge von 4 Zeichen beschränkt und können Buchstaben und Symbole enthalten. Ich verwende mindestens 6-stellige PINs und nicht nur Zahlen.

Biometrische Authentifizierung ist generell unsicherer als PIN oder Passwort. Trotzdem verwende ich aus Bequemlichkeit auf Handy und Notebook den Fingerabdruck. Aber Vorsicht! Offizielle oder Kriminelle können das durch Zwang oder Betäuben ausnutzen, siehe Sicherheit Unterweg (Lockdownmode).

Android und iPhone verschlüsseln

Daten auf Handys sind standardmäßig verschlüsselt. Bei neuen Handys prüfe ich aber immer in den Einstellungen, ob das wirklich so ist.

Passwortmanager

Ohne Passwortmanager ist es m.E. unmöglich sichere Passwörter für alle seine Zugänge zu gewährleisten. Ich habe mich bewusst für ein kommerzielles, kostenpflichtiges Produkt entschieden: 1Password. Das funktioniert auf Windows und Android prima – auf Apple-Produkten wohl sowieso. Ein paar Passwörter zu Accounts mit sehr weitreichenden Rechten wie meines MS Accounts speichere ich nicht im Passwortmanager, sondern merke sie mir. PINs von Kreditkarten speichere ich nicht in 1Password, sondern habe sie mir auf einem Spickzettel verschlüsselt notiert, siehe unten. Passwörter für ein paar sehr unkritische Websites habe ich meine Webbrowser speichern lassen, weil es so schneller geht diesen aufzurufen.

Kreditkarten-PINs

PIN von Kreditkarten speichere ich nirgends elektronisch (auch nicht verschlüsselt z.B. in einem Passwortmanager) weil das den AGB widerspricht, siehe Vertragsbedingungen für Mastercard und Visa Karten. Diese darf insbesondere nicht auf der Karte vermerkt, bei einer digitalen Karte nicht in demselben mobilen Endgerät gespeichert werden oder in anderer Weise (z.B.* nicht als getarnte Telefonnummer*) zusammen mit der Karte oder deren Daten aufbewahrt werden. PINs kann man sicher auf Papier verschlüsseln: Spickzettel für PINs (Excel).

Sichere Passwörter

Zu sichern Passwörtern kursieren viele Fehlinformationen und wichtige Aspekte wie Merkbarkeit und leichte Eingebbarkeit (auch auf anderssprachigen Tastaturen) wird häufig unterschlagen. Was für einen Menschen wie ein schwer zu knackendes Passwort aussieht, braucht es für einen Computer noch lange nicht zu sein.

Bei Verwendung eines Passwortmanagers braucht man sich nur ein einziges Passwort zu merken, das Masterpasswort. Will man bestimmte Passwörter nicht im Passwortmanager speichern, z.B. das des MS Accounts, dann diese natürlich auch.

Zur Provokation:
Ein schlechtes Passwort: „Tr0ub4dor&3“
Ein gutes Passwort: „hammer 2dM&P kind lob luft“

Zur Erläuterung:
Ein Comic.
Toward better Master Passwords.

Virtual Private Network (VPN)

Ich verwende als VPN Private Internet Access. Für das hochgelobte NordVPN gib es mir zu viele gesponserte Tests. Seit alle Websites die Kommunikation via HTTPS verschlüsseln ist ein VPN nicht mehr sooo wichtig, It’s probably time to say goodbye to your VPN. Aber wenn ich etwas Sicherheitskritisches wie Onlinebanking an öffentlichen WLANs mache, dann nutze ich ein VPN und manchmal hilft es gegen Geoblocking.
c’t: Die Wahrheit über VPNs

Virtuelle Maschinen (VM)

Mit virtuellen Maschinen (wie Windows Sandbox, Hyper-V, Virtual Box, VMWare) kann man auf einer Rechner-Hardware gleichzeitig voneinander isolierte Betriebssystem-Instanzen betreiben.

Zum schnell mal Ausprobieren von Windows Apps oder Browsen auf „unsicheren“ Websites bietet sich Windows Sandbox an. Sandbox ist ein Standard Windows Feature. Sandbox. Es bietet eine leichtgewichtige, vom Host-Windows isoliertes, Windows-Instanz. Beim Schließen der Sandbox wird alles gelöscht. Sandbox ist sicher genug und sicherer als ein Wegwerf-Nutzer. Es ist viel unkomplizierter als eine richtige virtuelle Maschine. Leider ist eine Vorkonfiguration z.B. mit einem anderen Browser oder Plug-ins umständlich, siehe Start Windows Sandbox With Preinstalled Apps.

Ich nutze Sandbox z.B. zur Einmalnutzung von App soder zum Runterladen von Bedienungsanleitungen zu Geräten. Bedienungsanleitungen findet man häufig einzig auf obskuren Portalen. Dieser versuchen, einem die Installation unerwünschter Tools unterzuschieben.

Anonym und sicher surfen und kommunizieren

Zum möglichst anonymen und ungefilterten Recherchieren bietet sich Tails an. Tails ist eine auf Tor setzende Linux-Distribution für Privatsphäre und Anonymität. Es wird typischerweise nicht aus einem Host-Betriebssystem gestartet, sondern stand-alone von einem USB-Stick oder einer DVD.

Tails beinhaltet u.a.:

  • Tor Browser with uBlock, a secure browser and an ad-blocker
  • Thunderbird, for encrypted emails
  • KeePassXC, to create and store strong passwords
  • LibreOffice, an office suite
  • OnionShare, to share files over Tor

Ich kann die Sicherheit von Tails nicht beurteilen und habe nur verifiziert, dass es funktioniert. Vielleicht wäre es sinnvoll auf Reisen zur Vorsorge einen USB-Stick mit Tails dabeizuhaben, es könnte aber auch sein, dass das Mitführen in manchen Ländern schon ein Problem werden kann.

Zur sicheren online Kommunikation siehe: Electronic Frontier Foundation: Surveillance Self-Defense – Tips, Tools and How-tos for Safer Online Communications

[ *)Dieser Post enthält Affiliate-Links. Das kostet dich nichts, bringt mir aber etwas Einkünfte]