In der Vergangenheit habe ich oftmals gegenüber Freunden und Kollegen, aber auch in diesem Blog, über das „Threat Profil“, das „Bedrohungsprofil“ gesprochen. Damit geht eine „Individualisierung“ des Datenschutzes einher. Ein Richter in einem Terror- oder Clan-Fall hat nun mal eine andere Situation als der Handwerker um die Ecke.
Doch diese Diskussion ist für viele zu oberflächlich und nicht zielführend. Denn selbst wenn ich dieses Bedrohungsprofil für mich definiert habe, sagt das noch nicht aus, was genau ich wann und wie oder mit welchem Aufwand schützen will. Das ist sehr individuell. Ich habe kein hohes Bedrohungspotenzial und tue trotzdem viel für meinen Schutz. Andersherum kann auch jemand aus der Öffentlichkeit in manchen Bereichen sagen: Das ist mir nicht wichtig oder ich möchte keinen Aufwand betreiben, nur damit Google mich nicht trackt.
Das bringt mich zu der eigentlichen Frage, die ich mir und anderen jetzt gerne stelle. Gefühlt, ist die für mich fast noch wichtiger als die obige, denn sie hilft mir auch, nicht völlig durchzudrehen und mich von der Überwachung aller Orten runterziehen zu lassen. Bei mir war es teilweise so, dass ich total frustriert war, wenn ich gesehen habe, dass irgendeine Verbindung zu Google oder Facebook durchgegangen ist. Das ist paranoid, nicht gesund und nicht erreichbar. Zumindest nicht auf Dauer.
Bisher habe ich alles versucht. Ich wollte jedwede Möglichkeit, mich zu tracken, Daten über mich zu sammeln, Profile über mich zu erstellen, meinen Namen zu kennen, meine Adresse, meine Hobbies, meinen Job, meine Telefonnummer, egal was, unterbinden. Natürlich wollte ich alles lernen um dann selber entscheiden zu können, was es Wert ist und ob es den Aufwand bei potenziellem Risiko lohnt. Auch, um anderen zu helfen oder sie zu beraten.
Das habe ich nicht hinbekommen. Manchmal, weil es zu technisch für mich war, manchmal, weil mir der Aufwand zu hoch war, manchmal, oftmals, weil ich Fehler gemacht habe und manchmal, weil es Dinge gibt, die in Deutschland nicht möglich sind, oder nur sehr schwierig, z. B. eine anonyme SIM zu erhalten oder irgendwo zu wohnen ohne das jemand das mitbekommt.
Wenn ich für mich definiert habe, was mir wichtig ist, was weniger, dann kann ich auch leichter damit umgehen, wenn etwas passiert, bei dem ich mich bewusst entschieden habe, dass es mich nicht oder weniger interessiert. Dazu musste ich erstmal definieren, welche Felder oder Themen das für mich betrifft. Telemetrie? Wohnort? Name? Werbetracking? Datenleaks? …
Sie können diese Themen, die gleich kommen, in Gruppen einteilen, wie High (will ich nicht), Medium (will ich in einem gewissen Rahmen) oder Low (ist mir egal wenn da Daten hingehen oder oder oder), oder Sie können ein echtes Ranking machen, 1-100 oder 1-3.
Ich werde in den nächsten Zeilen ein paar Themen vorstellen, bei denen ich mir die Frage stelle, ob ich darin Zeit und Nerven und ggf. auch Geld investieren will und alles versuche, das zu unterbinden oder einzuschränken. Oder ob ich entscheide, dass mir das egal, oder weniger egal ist. Es ist nicht schwarz oder weiss. Es geht nicht darum Thema 1 oder 2 interessiert mich gar nicht und die anderen zu 100%. Es geht um die Balance. Es geht um mein tief empfundenes schlechte Gefühl, wenn ich wieder mal den Eindruck habe, versagt zu haben, bei meinem Datenschutz und Daten abgeflossen sind. Bisher war ich, wie gesagt: Egal was, das will ich nicht. Mittlerweile hat sich das ein wenig geändert.
Aber: Um die Fragen beantworten zu können, sollte man zumindest entfernt eine Ahnung haben, welche Bedrohung diese Themen darstellen könnten. Vieles davon finden Sie hier im Blog.
Also, was ist für Sie wichtig und was wollen Sie erreichen?
Kontozugriffe: Dazu gehört alles, E-Mail, Messenger, Bankzugriff, uvm.
Je nachdem, wie Sie hier entscheiden, werden Sie wiederverwendbare Passwörter nutzen oder einzigartige pro Konto mit Zwei-Faktor-Authentisierung. Wenn Sie sagen, wie ein Freund von mir, darüber laufen keine geheimen oder privaten Sachen, das macht er am Telefon oder per Post, dann sieht das anders aus, als wenn Sie eine Firma haben, die Steuerdaten für Kunden über Messenger oder E-Mail austauscht.
Bitte denken Sie hier daran an zwei Dinge:
1. Viele Online-Konten senden bei Problemen eine E-Mail, um den Zugang zu gewähren oder andere Probleme zu lösen. D.h. aus meiner Sicht, mindestens ein E-Mail-Konto sollten Sie sehr gut schützen.
2. Wer Zugang zu Ihren E-Mails hat, kann in Ihrem Namen Phishing E-Mails oder andere an Freunde, Bekannte oder Familie senden. Diese wirken glaubhaft und sind damit sehr schädlich.
Was mich zum nächsten Kriterium für eine Frage bringt:
Näheres Umfeld: Dazu gehört Familie, gute Freunde, ggf. Verein oder Job
Wie wichtig ist Ihnen die Kommunikation mit Ihren Nächsten? Stoppen Sie diese, nur weil die WhatsApp verwenden? Können Sie diese zu Threema, zum Fediverse oder anderen sichereren (nicht absolut sicher) Kommunikationsarten überreden? Und was, wenn nicht?
Dazu zählt für mich auch, ob Sie die Freunde und Familie bitten wollen, dass sie Ihre Daten aus den Kontakt- und Adressbuch-Apps löschen, weil diese sehr gerne auf verschiedene Plattformen hochgeladen werden sollen (siehe WhatsApp oder LinkedIn). Wie wichtig ist Ihnen das? Führt das zu leidigen Diskussion in einer eher harmonie-orientierten Familie? Verstehen Ihre Freunde Ihre Bedürfnisse in diesem Falle? Und wenn nein, beenden Sie die Freundschaft dann?
Es gibt Fotos, Audios, Videos von Ihnen. Als Kind nackt am Strand? Also neuer John Travolta von einer Party? Ein privates Sexvideo, aber Sie haben sich von dem Partner getrennt, haben aber noch ein gutes Verhältnis. Wollen Sie diesen Menschen vorschreiben, wie sie die Daten schützen müssen, um Ihren Ansprüchen zu genügen? Gerade das Speichern oder der Austausch von Sexvideos und Nacktbildern in einer Beziehung können nach der Beziehung ein Problem werden, auch wenn man sich vielleicht im Guten trennt. Wollen Sie, dass so etwas von Ihnen plötzlich im Internet kursiert, selbst wenn es nicht um Rache geht, sondern einfach nur weil Ihre Ex gehackt wurde?
Adresse: Ist es wichtig, dass niemand weiss, wo Sie wohnen?
In den meisten Fällen ist das kein Problem. Wo ich wohne kann jeder wissen, denken die meisten. Andere wollen nicht, dass es möglich ist, mit einer Google- oder LinkedIn-Suche die Adresse zu finden. Vielleicht, weil sie gestalkt wurden, vielleicht weil sie sich von einem gewalttätigen Partner getrennt haben oder oder oder. Hinzu kommt, dass es in Deutschland relativ schwierig ist, wohnungstechnisch unterzutauchen. Man muss sich immer irgendwo anmelden. Aber Sie können zumindest verhindern, dass Ihre Adresse gegen Nachfrage, meist zum Preis zwischen 9,95€-19,95€, oder zu Werbezwecken herausgegeben wird.
IP Adresse: Wie wichtig ist es Ihnen, dass Ihre IP Adresse nicht bekannt wird?
Die IP Adresse wird zu vielen Dingen ge- und missbraucht. Sie haben zu Hause eine eindeutige. D.h. jemand mit der IP Adresse von Ihnen kann schon mal grob herausfinden, woher Sie kommen. Dann ein paar Einwohnermeldeämter anrufen, ein paar Euro investieren und schon ist Ihre neue Adresse keinen Pfifferling mehr wert. Außerdem wird sie natürlich, mit vielen anderen Parametern, zum Fingerprinting benutzt. Außerdem verhindert sie u.a., dass Sie Netflix Serien aus den USA anschauen können oder Champions League, was in Deutschland nicht im freien TV zu sehen ist, aber vielleicht in einem anderen Land.
Je nachdem, wie Sie diese Frage beantworten, werden Sie Ihren ganzen Internet-Verkehr über VPNs oder Tor laufen lassen oder nur einen Teil, oder gar nicht. In Deutschland ist die IP Adresse ein persönliches Merkmal und daher eine zu schützende persönliche Information. Auf der anderen Seite ist genau diese immer wieder in der Diskussion, bei der Vorratsdatenspeicherung, bei der Chat-Kontrolle usw. Die Sicherheitsbehörden wollen sie unbedingt haben und für immer speichern. Das hat seinen Grund.
Da meiner Meinung nach jeder Webserver, jeder Online-Shop, egal was, irgendwann mal gehackt wird und die Daten im Internet stehen, gehe ich davon aus, dass meine E-Mail Adresse mit meinem Passwort (verklausuliert oder nicht) mit meiner IP Adresse bekannt wird. Sie sollten sich also überlegen, wie wichtig der Schutz Ihrer IP Adresse für Sie ist. Sie dient auf jeden Fall Kriminellen und Datensammlern dazu, Konten und Zugriffe über mehrere Seiten und Server zu verbinden und so Daten und Profile über Sie zusammenzufügen.
Open Source Software: Ist auch gekaufte, proprietäre Software für Sie in Ordnung?
Manche Datenschutz-Enthusiasten sind dogmatisch: ‚Keine Software, die nicht Open-Source ist, kommt auf meine Geräte. Alles andere ist schlecht.‘
Glauben Sie, dass Open Source immer die beste Lösung ist? Ist Open Source Ihrer Meinung nach immer datensparsam und datenschutzfreundlich? Ist Open Source immer sicher? Einige Vorfälle der jungen Vergangenheit, wie Log4J, zeigen, dass es nicht richtig ist, Open Source immer und überall blind zu vertrauen. Wenn ich zwei Softwarepakete habe, die beide genau dasselbe tun, nehme ich tendenziell lieber Open Source. Aber es gibt Software von Firmen, die es so nicht als Open Source gibt. Dann stellt sich die Frage, was höher zu gewichten ist: Dass es Open Source ist und damit tendenziell vielleicht weniger invasiv, oder die polierte, gut supportete Software von Anbieter XYZ? Suche ich und probiere ich lieber stundenlang Open Source Software aus oder nehme ich einfach eine proprietäre Software, die mir sofort hilft, mein Problem zu lösen?
Ich halte viel von Software, die von Drittparteien untersucht wurde, wie es bei Threema und bei Proton der Fall ist. Nicht alles von diesen ist immer und überall Open Source. Aber sie werden regelmässig untersucht und überprüft, ob ihre Aussagen stimmen und der Code das reflektiert. Das ist ggf. besser, als Open Source, die keiner kennt, die noch nie jemand richtig angeschaut hat und die wer-weiss-was beinhaltet. Oder können Sie den Code lesen und verstehen und dann entscheiden? Die meisten nicht. Die meisten verlassen sich darauf, dass irgendjemand mit Ahnung die Software schon mal untersucht hat und es bekannt würde, wenn dort Schindluder getrieben wird. Da spielt sehr viel Hoffnung mit, denn es gibt so viel Open Source Software und so wenige Leute, die Code verstehen und Zeit haben, jeden Code zu überprüfen.
Verstehen Sie mich nicht falsch: Ich bevorzuge Open Source, aber nicht dogmatisch. Wie besessen sind Sie von Open Source?
Ihr Name: Heissen Sie Michael Meier oder Klaus-Maria Ganzbesonder?
Einige Menschen verwenden immer und überall Online Aliase, andere nie. Aliase, einfach, damit man sie nicht über den Namen identifizieren kann. Manche von uns haben Allerweltsnamen, da ist das Risiko geringer. Ich erhalte öfters Mal E-Mails, die ganz sicher nicht für mich sind. Aber ich habe nunmal einen Allerweltsnamen. Andere haben einen Namen, der weltweit eindeutig ist, also schützen sie sich mit Aliasnamen. Wie wichtig Ihnen dieser Schutz ist, bestimmt auch, wie Sie damit umgehen? Verwenden Sie Aliase? Viele? Verwalten Sie mittlerweile 2000 und es kostet Sie mehr und mehr Zeit? Oder sind sie Ihnen egal oder Sie verwenden keine. Haben Sie sich mit einem Alias auf einem Leserbriefforum angemeldet und verbringen jetzt Stunden damit, sich an das Passwort zu erinnern, oder den Alias, oder beides?
Vergangenheit: Wie wichtig ist Ihnen die Vergangenheit?
Wollen Sie auch Ihre Vergangenheit schützen? Wann haben Sie wo gearbeitet, als was? Wann haben Sie wo wie lange gewohnt? Wie relevant ist es für Sie, diese Informationen zu schützen? Und kann jemand auf Grund der Information, wo Sie 1999 gearbeitet haben, auf etwas in Ihrer Welt heute schliessen? Waren Sie ein Geheimnisträger oder noch Student mit ein paar unschönen Bildern von Partys? Wieviel Zeit wollen Sie investieren, diese Informationen zu schützen oder gar aus dem Internet, so gut wie möglich, zu tilgen?
Telemetrie: Wie sehr belastet Sie, dass jede Seite, jede App, jedes Programm permanent Daten über Sie sammelt?
Jedes Mal, wenn Excel oder Word oder Produkte von anderen Anbietern starten, telefonieren sie nach Hause. Mit zig Informationen über den Zeitpunkt, die Version, wann Sie speichern, wie oft und manche auch, welche Daten Sie speichern. Sehen Sie darin ein Bedrohungspotenzial für Ihre Sicherheit, Ihren Datenschutz, Ihre Privatsphäre? Oder sagen Sie sich: Ist mir doch egal? Ist für Sie „bedrohlich“, dass Firmen (vielleicht auch Ihre eigene, während Sie im Home Office sind) genau wissen, wie lange Sie von wann bis wann mit einer Software gearbeitet haben? Könnte Ihr Chef darüber herausfinden, dass Sie gar nicht gearbeitet haben oder es so aussieht als hätten Sie zwar XYZ gestartet, aber dann ist nichts mehr passiert (vielleicht, weil Sie zuerst denken und dann arbeiten?).
Anekdote: In meinem ersten Job nach meinem Studium sass ich an meinem Tisch, es gab noch keine Grossraumbüros in jeder kleinen Klitsche, und dachte über ein Programmierproblem nach. Ich konnte es einfach nicht lösen. Da kam mein Chef am Zimmer vorbei, sah mich beim Nachdenken mit einem Croissant im Mund und meinte: Ich solle doch jetzt endlich arbeiten. Für ihn war arbeiten für einen Programmierer tippen. Nicht denken. Denken gehört offensichtlich nicht zur Arbeit. Das erklärt vieles :-). Das ist lange her, aber es gibt es immer noch.
Haben Sie noch andere Themen? Super, dann sind Sie auf dem richtigen Weg.