Inhalt der Seite

Mein persönlicher Fahrplan zu mehr online-Kontrolle

Welche Dienste, welche Services, welche Infrastruktur ist die Beste, um möglichst die maximale Kontrolle, bzw. den größten Nutzen aus Privatsphäre und Datenschutz im täglichen online-Leben zu haben?

Die #1-Antwort aller bisher besuchten Foren zum Thema Cybersicherheit lautet: schalte Dein fucking Gerät aus. Nutze das Internet nicht, habe kein Handy, kein Bankkonto, bleibe analog, wenn Du Anonymität, Privatsphäre, oder den bestmöglichen Datenschutz willst.

Zugegeben, es gibt schlicht nicht die Beste und einzige Antwort auf die Frage was man tun kann um sich digital zu verteidigen. (Außer die #1-Antwort.) Profis begegnen Dir immer mit der Frage: was ist Dein spezifischer Angriffsvektor? Welches Szenario ist in Deinem Setup, in Deiner Infrastruktur, wahrscheinlich, warum möchtest Du Dein System absichern, how likely ist die Notwendigkeit?

Darauf antworte ich gerne: am liebsten hätte ich, dass Du respektierst, wenn ich dazu antworte: ALLE.

Ich möchte gerne alle möglichen Risiken, Privatsphäre-Leaks und Sicherheitslücken schließen, die es gibt, um einfach das Größtmögliche zu tun, um die Hoheit meiner digitalen Souveränität zurück zu erlangen. Ich finde es schon schlimm genug, dass Menschen zu Experten ihrer Technologie werden müssen, um sich gegen betrügerische Konzerne zu verteidigen, die in keiner effektiven Weise reguliert werden, sondern vielmehr machen können, was sie wollen. Was sie dann auch tun.

In einer idealen Welt gäbe es keine Konzerne, die in Hardware Hintertüren einbauen, weil sie per Gesetz dazu verpflichtet werden, oder weil es ihnen selbst einen Vorteil verschafft, oder es gäbe keine Internetriesen, die die Welt mit einem feinmaschigen Überwachungsnetzwerk überziehen, um möglichst alles über alle anderen herauszufinden, damit sie sie auf ihren ausschließlich monetären Wert reduzieren können. Es gäbe keine Geheimdienste, die alle Daten des Internets auf riesigen Großrechnern speichern, um sie zu analysieren und zu durchsuchen. Idealerweise wäre das Handeln mit Metadaten schlicht verboten, wie es verboten ist, andere zu bestehlen. Doch das ist garantiert zu naiv.

Es ist nicht verwunderlich, dass IT-lerInnen mit einer Risikoabwägung argumentieren. Denn ein jedes Risiko besteht aus Wahrscheinlichkeit und Schadensausmaß. Und wo die Wahrscheinlichkeit eines geringen Schadensausmaßes klein ist, da wird auch die verhindernde Maßnahme entweder sinnlos, oder viel zu übertrieben. Das Risiko rechtfertigt dann nicht mehr den Aufwand.

Wie auch immer, ich möchte gerne meine digitale Infrastruktur abhärten. Denn eine Sache ist durchaus sehr wahr: nicht ich persönlich bin das Ziel. Vielmehr wird ausgenutzt, was ausgenutzt werden kann und das passiert meistens automatisiert.

Es gibt Tage an denen würde ich mir wünschen ich wäre nicht in diesen dunklen, übelriechenden und weitverzweigten Kaninchenbau hinabgestiegen. Wie viel Lebenszeit bereits draufgegangen ist, um mir Dinge reinzuziehen, die ich nicht interessant finde und bei denen es mir wahnsinnig schwer fällt, sie zu lernen. Es sind mit Sicherheit bereits abertausende Stunden gewesen!

Ich war schon so oft an dem Punkt, einfach den #1-Ansatz zu verfolgen und einfach gar nichts mehr mit dem Internet und seiner Technik zu tun zu haben. Dennoch gebe ich das irgendwie nicht auf. Schon allein aus dem Gefühl heraus, dass ich mir das Kulturgut Internet nicht klauen lassen will und ich über den bloßen Versuch ziemlich wütend werde, finde ich trotzdem immer wieder den Weg zurück in einen der zahlreichen oberirdischen Öffnungen dieses gigantischen Kaninchenbaus, der sich IT nennt und fange an – Kopf voran – hinein zu krabbeln.

Wohin haben mich meine Recherchen, meine frustrierenden Try und Errors schlussendlich geführt und bin ich mit allem nun schon fertig und das wars? Oder geht das jetzt immer so weiter, dass ich meine Zeit für Selbstverteidigung aufwenden muss und Dinge lerne, für die ich keine Leidenschaft empfinde?

Ich bin kein IT-Profi! Alles befindet sich in einem Lern-Prozess, der keinesfalls abgeschlossen ist. Wenn ich hier über technische Zusammenhänge schreibe und etwas nicht ganz korrekt ist oder unvollständig, dann bitte ich das zu entschuldigen. Über Berichtigungen freue ich mich immer!

Meine Grundsätze

  • Jede Software, die ich einsetze, muss FOSS sein: free, opensource & secure.
  • FOSS-Software sollte auch zumindest regelmäßig von unabhängigen Menschen geprüft werden (audit).
  • Jede Firma, die gewinnorientiert handelt, handelt grundsätzlich erstmal moralisch fragwürdig und potentiell unrechtmäßig.

Router/ISPs – die Besitzer Deines Netzwerks

Wer von seinem Internet-Service-Provider (ISP) einen Router bekommen hat, um sich über diesen mit dem Internet zu verbinden, wird sehr höchstwahrscheinlich in seinem Nutzungsverhalten ausgespäht.1 Um so weniger so ein Router an Einstellungsmöglichkeiten hat, um so wahrscheinlicher ist das. Musst Du Dich zuerst mit einem Nutzerkonto über die Webseite des ISPs anmelden, um so mehr wahrscheinlicher wird dies zusätzlich.

ISP wollen Kohle machen. Über einen Router fallen sehr viele nützliche Daten an, die man nicht einfach liegen lässt. Das sind zB:

  • Technische Details über Dein Netzwerk
  • Datenvolumen, Netzwerkgeschwindigkeit und Performance
  • Verbundene Gerätenamen, alle vergebenen IPs
  • Geräte-IDs, Seriennummern, Mac Adressen
  • Alle Ziel-IPs (wenn zB b33zle.de aufgerufen wird)
  • Nutzungspattern, Zeiträume usw. usf.

Somit lassen sich Geräte Personen oder Devices zuordnen. Nutze ich auch noch den providereigenen DNS-Service, dann sieht der ISP auch die Klarnamen der Webseiten, die ich aufrufe, trotz dem die Verbindung mit https:// transportverschlüsselt wird. Dadurch wird eigentlich die komplette Nutzung des Internets für den ISP bekannt und durchsichtig.

Generell ist der ISP in der Lage den kompletten Netzwerktraffic zu analysieren und zu kategorisieren. Er ist der Besitzer Deines Netzwerks, nicht Du.

An dieser Stelle müsste man ehrlicherweise ja erwähnen, dass nicht alle Herstellerfimen oder ISP Dich ausspähen … bla bla lala.

Ja, danke für den Hinweis. Doch das zB im Falle von TP-Link, Amazon Eero mit Sicherheit ausgespäht wurde hat bis zum Leak auch niemand sagen können und es stand auch in keinen Policies „hey, wir spionieren Dich systematisch aus und verkaufen alles was wir über Dich herausfinden!„.

Wie erwähnt, gehe ich erstmal grundsätzlich davon aus, dass kein Unternehmen moralisch handelt oder sich rechtmäßig verhält. Wo missbraucht werden kann, wird es getan und die Gründe dafür haben genau vier Buchstaben: Geld.

Ich wurde für diese Haltung schon öfter kritisiert und als Tin-Foil-Hat bezeichnet, was genau den oben beschrieben Umstand meint: das Risiko rechtfertigt nicht den Aufwand (und das leider immer noch Menschen mit Plan andere blamen, anstatt ihnen zu helfen zu differenzieren, finde ich schade. Den es gibt viele Menschen, die in diesem Dickicht an Informationen nicht durchblicken, sich aber gerne mehr Privatsphäre wünschen.)

Fakt ist: es fallen viele Meta-Daten an und diese werden genutzt. Von wem und wie, mit welcher Wahrscheinlichkeit, ist mir, ehrlich gesagt, ziemlich gleichgültig. Wo Daten sind, entstehen Begehrlichkeiten. Was kann ich also tun, wenn ich es diesen fiesen Typen so schwer wie möglich machen will?

Nutze ich zB einen eigenen Router und schalte diesen hinter den Router vom ISP, kann ich effektiv meine Privatsphäre verbessern. Denn dann sind meine Devices nicht mehr mit dem ISP Router verbunden. Somit kann von diesem auch keine Topologie mehr angelegt werden, sprich, der ISP sieht meine Devices nicht mehr, weil sie am eigenen Router angeschlossen sind.

In meinem Fall habe ich für IPv4 und IPv6 netzwerkintern nur Unique-Local-Adresses (ULA) vergeben, die via NAT66/NPTv6 auf den WAN-Port gemappt werden (masquerading). Mein ISP kann in meinem Fall nur noch sehen, was über den WAN-Port des eigenen Routers transportiert wird. Für ihn besteht mein Netzwerk also nur noch aus dem WAN-Port oder anders: ich zwinge IPv6 sich wie IPv4 zu verhalten. Der ISP sieht:

  • Die Accountinformationen des Vertrages.
  • Nur die Verbindungsdaten die über das WAN-Interface laufen. (MAC-Adresse, Timestamp, Paketgröße, Ziel-IP)

Allerdings ist das nur bei der Nutzung von NPTv6 (masquerading) noch der Fall. Wird vom IPS zB ein /64-Prefix delegiert, sind Devices nicht mehr hinter dem NAT-Router versteckt, sondern eindeutig für den ISP oder Werbearschgeigen indentifizierbar. Vor allem, dass der untere Teil der Adresse, also die Interface-ID aus der MAC-Adresse generiert wird, macht die Verwendung von IPv6 zu einem Privatsphäreproblem. So lassen sich passiv ganze Netzwerktopologien erstellen. Ein Traum auch für Strafverfolgungsbehörden.

Um dem zu begegnen, hat man Privacy-Extensions (PE) für IPv6 eingeführt. Dabei wird der untere Teil der Adresse immer zufällig generiert und wieder verworfen, wenn die Verbindung nicht mehr besteht. Leider entscheiden die Devices selbst, ob sie PE verwenden, oder nicht.

Bei einigen Devices unter Linux, Android (GrapheneOS) lässt sich zusätzlich auch die MAC-Adresse immer zufällig generieren, somit ändert sich dann auch der untere Teil der IPv6 Adresse immer wieder neu.

Siehe dazu das Elektronik-Kompendium zum Thema IPv6 Privacy-Extensions2.

Wichtig wäre noch der DNS Service!

Bei der Nutzung eines freien DNS-over-TLS-Dienstes (DoT), wie zum Beispiel quad9 und der Implementierung von DNSSEC, sieht Dein Provider auch die Domains nicht mehr, die Du aufrufst. Das ist ein viel deutlicherer Privatsphäregewinn in der Beziehung User <> ISP.

Um zu prüfen, ob Du DNSSEC und TLS-verschlüsselte DNS Anfragen sendest und zurück bekommst, stehen zahlreiche Tools zur Verfügung. Bei dnscheck.tools sieht das so aus:

Die dazugehörige Config für dnsproxy (in openwrt):

upstream='tls://dns.switch.ch'

bootstrap='185.228.168.9'

fallback='tls://doh.cleanbrowsing.org'

An dieser Stelle müsste man noch erwähnen, dass ein individueller DNS-Service in jedem Fall den Klartext einer Anfrage sehen muss. Wenn Du also https://persönliche-nacktbilder-cloud.de abrufst, sieht der DNS Service das. Somit gehst Du auf jeden Fall ein neues Vertrauenverhältnis ein. Man verlagert quasi das Vertrauen vom ISP zusätzlich auf einen DNS-Resolver. Ich würde mich aber auf jeden Fall lieber von einem DNS Service missbrauchen lassen, denn bei dem zahle ich nicht auch noch Geld dafür.

Bei einem DNS Service wäre wichtig, dass Deine Anfrage nicht mit weiteren Hosts geteilt wird, wenn sich zB eine Domain nicht im Cache des DNS Dienstes befindet. Das nennt sich rekursives DNS.

Bei einem rekursiven DNS leitet der Resolver bei leerem Cache Deine Anfrage einfach an andere Provider wie cloudflare oder google weiter, um zu checken, ob diese den gewünschten Namen im Cache haben. Somit würde man dann seine Anfragen nicht nur mit dem gewählten DNS Resolver teilen, sondern auch gleich noch mit genau den Typen, wegen denen man den ganzen Quatsch überhaupt erst macht.

Die meisten DNS Resolver der ISP verwenden rekursives DNS für ihre Kunden. Das hat ganz wahrscheinlich mit dem Nutzungserlebnis zu tun, welches vielen immer so richtig wichtig ist.

Zusammenfassung Router:

  • Möglichst einen eigenen Router (zum Beispiel mit dem FOSS-Betriebssystem openwrt) zwischen Dein Netzwerk und den Router des ISPs schalten und sich auf eine steile Lernkurve in den nächsten Wochen einstellen.
  • Möglichst DNS over TLS (DoT) oder DNS over HTTPS (DoH) verwenden. Kann auch natürlich vom Browser kommen, muss nicht unbedingt im Router gesetzt sein. Ich habs aber fest im Router umgesetzt.
  • Kein rekursives DNS verwenden. Welcher Service das macht, oder nicht ist eine Try and Error Angelegenheit. – dnscheck.tools
  • Bei der Verwendung von IPv6 darauf achten, dass Privacy Extensions auf dem Wan6 Interface des Routers genutzt wird. Oder von Zeit zu Zeit einfach die MAC-Adresse des WAN-Ports ändern. Dadurch ändert sich auch die IP, die Webseiten von Dir sehen können. (Bisher habe ich es nicht hinbekommen in meinem Setup PE auf den Wan-Port anzuwenden.)

Betriebssysteme – Linux & FOSS ist King!

Eine solide Linux Distribution als täglich genutztes Betriebssystem ist unerlässlich für das Etablieren von mehr Privatsphäre.

Den Straftatbestand der Nötigung und Umweltzerstörung hat Microslop definitiv erfüllt, als sie mit dem Ende des Supports von Win10 gleich mehrere Milliarden Geräte auf die Müllhalde verbannt haben 3. In einer idealen Welt, in der Menschen, die für andere Menschen etwas herstellen, welches einen wichtigen Teil des Lebens und täglichen Bedarfes ausmacht, sollten Firmen per Gesetz dazu verpflichtet werden, dass niemals End-Of-Life-Support erreicht werden kann. Die Frage ist: ab wann überwiegt ein allgemeines Interesse die individuellen Interessen einer Unternehmung?

Es ist ja nicht so, dass diese Firma nicht genug an uns Menschen verdient hätte. Mit den Worten meines früheren Straßenkind-Ichs: sie ficken uns und haben nicht mal den Anstand uns dabei wenigstens auch zu befriedigen!

Darüber hinaus ist die Qualität ihrer Überwachungssoftware nicht mal wirklich gut. 30 % ihres Codes wurden mit Hilfe von LLMs geschrieben 4. Seitdem nennen die meisten Microsoft nur noch Microslop. Das wollen wir hier auch tun.

Mündige Menschen wollen doch eher ein Betriebssystem nutzen, welches einen etwas mehr respektiert und gerechtere Kosten verursacht, nicht? Wenn von dem Geld, welches jährlich an Microslop für Lizenzkosten gezahlt wird auch nur ein Bruchteil an Open-Source-Projekte fließen würde, hätten wir schon sehr bald eine bessere digitale Welt.

Hinsichtlich der Privatsphäre von Betriebssystemen muss aber immer auch erwähnt werden, dass diese stark davon abhängig ist, welche Software man auf diesem laufen hat. Nicht wenige Projekte binden weiterhin proprietäre Teile ein, von denen niemand sagen kann, was sie tun.

So zB funkt der FOSS-Music-Player Clementine mehrmals beim Laufen des Programms die tagesaktuelle IP-Adresse Deines Systems an ghs.google.de. Dieses Problem ist schon seit gut 10 Jahren bekannt, die EntwicklerInnen haben aber keine Lust drauf, wenigstens eine opt-in Option draus zu machen. Somit ist der Player für Privatspärefreunde nicht nutzbar.

Oder der mittlerweile nicht mehr per default nutzbare Browser Firefox, der eine enge Kollaboration mit Google eingegangen ist, stellt halbstündig eine Verbindung mit safebrowsing.google.com her. Das kann niemand wollen, nichtmal wenn damit seitens der EntwicklerInnen wirklich transparent umgegangen würde. Also ist hier auch nicht unbedingt blindes Vertrauen angesagt, sondern immer mal wieder stichprobenartige Kontrolle, soweit es technisch möglich ist.

Ich persönlich bin Debian-User. Es gibt aber eine lange Liste von Betriebssystemen, die auch für Ein- und UmsteigerInnen gut geeignet sind. Schau mal hier vorbei: https://gnulinux.ch/einsteigerlinux-das-fazit

Handy – CustomROMs

Wer heute mit einem sog. Stock-ROM auf seinem Handy lebt, lebt wahrscheinlich ziemlich überwacht. Wenn einem Menschen Privatsphäre und Datenschutz wichtig ist, dann gibt es eigentlich keine andere Wahl, als sein Handy mit einem Custom-ROM auszustatten – unabhängig davon, dass es unter den Custom-ROMs auch große Unterschiede gibt, wie diese umgesetzt werden.

Das einzige derzeit nutzbare Custom-ROM ist Graphene OS5. Eine Backpfeife des Schicksals ist, dass es derzeit nur auf Google Pixel Handies läuft. Demnach muss man Google noch Geld dafür zahlen, um von denen weg zu kommen, wie ein Junkie von der Schore. Weil die Teile die Hardwarevoraussetzungen mitbringen, die es erst ermöglichen, dass das Custom-OS per default datenschutz- und privatsphärefreundlich ist.

Die eigentliche Stärke des OS sind aber seine Sicherheitsfeatures. Eigentlich sind mir diese ziemlich egal und eher ein nice to have. Doch kein anderes deggogled so vorbildlich, wie das Graphene OS. Es funkt nirgendwo hin und initiiert keine Verbindungen, die nicht ausdrücklich gewollt sind. Man hat quasi soetwas wie … Frieden.

Das hier ist auf jeden Fall kein Kuketz-Fan-Blog, aber wenn man auf der Suche ist, sein digitales Leben wieder selbstbestimmter zu gestalten, dann sind seine Beiträge einfach äußerst wertvoll. Deswegen auch hier zum Thema Handies ein Link zu seiner Info-Reihe „Take Back Control“ https://www.kuketz-blog.de/android-ohne-google-take-back-control-teil1/

Onlineverhalten

Das Verhalten, welches wir online an den Tag legen ändert sich, um so mehr wir die technischen Hintergründe unserer Software kennen.

Die Tatsache, dass es anscheinend immer mehr Menschen bewusst wird, dass ihre IP-Adresse sie im Internet identifizierbar macht und das Cookies einen tracken, zwingt Menschen mit schlechten Absichten, neue Möglichkeiten zu erfinden, damit sie dennoch bekommen, was sie ausschließlich und am meisten von uns wollen: unsere Metadaten.

Heute ist nicht mehr nur die IP Adresse ein Faktor, sondern verschiedene subtiliere Möglichkeiten, die wiederum mehr Engagement erforderlich machen, sich dagegen zur Wehr zu setzen.

Fingerprinting

Es kommt doch niemand auf die Idee, dass die Art und Weise, wie mein Browser Grafiken verarbeitet dazu genutzt werden kann, mich über Webseiten hinweg und eindeutig zu identifizieren? Oder wie meine Soundkarte Audio verarbeitet? Oder in welcher Reihenfolge ich Addons aktiviert habe, oder die genaue Liste meiner installierten Fonts, oder? Doch. Aus diesen ganzen Einstellungen wird ein Fingerprint erzeugt, der es erlaubt, meinen Browser eindeutig zu identifizieren.

Schau Dir mal an, welchen Fingerprint Du so erzeugst, ob Du also „unique“ bist.

Während passives Fingerprinting nur Deine Einstellungen ausliest, Deinen User-Agent-String, Timestamps und Deine IP-Adresse, ist beim aktiven Fingerprinting mehr zu holen. Hast Du also Javascript aktiviert, kann eine Webseite aktiv Scripte ausführen, um an Deine Daten zu kommen. Dazu gehören der aktuelle Akkustand, die Liste der Schriftarten, welche Devices an Deinen Computer angeschlossen sind, oder wie auf Deiner Maschine Audio verarbeitet wird.

Aktives Fingerprinting ist also wesentlich aufschlussreicher für die Werbefuzzis.

Canvas-Daten / WebGL

Rufst Du eine Webseite auf, die Dich aktiv ausspähen will, dann weist diese über ein Script Deinen Browser an, eine zB versteckte Grafik darzustellen (zu rendern). Wie Dein Betriebssystem/Browser das macht, ist so minimal unterschiedlich, aber es reicht aus, um Deinen Browser – und somit Dich – eindeutig zu identifizieren.

Beispiel Tor oder VPN

Oldschool DatenschützerInnen denken womöglich noch, dass es ausreicht Cookies abzulehnen, die IP zu verschleiern oder Adblocker zu verwenden um in Bezug auf die Privatsphäre ein würdiges Onlineleben zu führen.

Angenommen Du benutzt das Tor-Browser-Bundle. Diese Browserbundles gibt es deswegen, weil sie unter hunderttausenden NutzerInnen einen möglichst identischen Fingerprint erzeugen. Tor ist ein wunderbares Tool, um Deine IP Adresse zu verschleiern und zB regionale DNS Sperren zu umgehen. Sehr sinnvoll und eine mächtige Waffe gegen diese Meta-Daten-Mafia-Wichser (MDMW-MitarbeiterInnen). Oder Du nutzt einen VPN, der ähnliches bewirkt. Doch über das Fingerprinting (aktiv oder passiv) beibst Du (also Dein Browser) identifzifierbar, egal welche Maßnahmen Du sonst so ergreifst, mit denen Du Dich in „Sicherheit“ wiegst.

Daher ist es gerade beim Tor Browser Bundle wichtig, KEINE weiteren Einstellungen vorzunehmen und noch nicht einmal die Spracheinstellungen zu ändern. Denn dadurch würde sich der Fingerprint wieder minimal von den anderen Installationen unterscheiden, womit Du einzigartiger würdest.

Selbstverteidigung gegen Fingerprinting

Um am effektivsten gegen aktives Fingerprinting vorzugehen, müssen wir die Scripte blocken, die eine solche Absicht haben. Allerdings geht das auch mit der größten Einschränkung einher; es bricht viele Webseiten in ihrer Funktionalität. Nützliche Tools wären hier uBlock-Origin, welches zB in den Firefox-Forks (Libre-Office, Mulvad Browser) standardmäßig eingebaut ist. Diese Browser haben schon per default gute Tracking-Hürden eingebaut.

Erinnere Dich: Deine Nutzungserfahrung steht bei den famosen Datensammlern immer an erster Stelle!!!111!!!1 /s

Blocke ich Scripte pauschal, werden wohl über 80 % der Webseiten nicht mehr funktionieren, weil diese niemals überhaupt Deine beste Nutzungserfahrung wollten, sondern Teil der Verwertungsmaschine sind, die Deine Daten sammeln und verticken. Vergleichsportale, Dating-Websites, eMarktplätze, Facebook, Google, Microslop, Twixxer, aber auch vollkommen „unwichtige“ Seiten, bei denen Admins dahinter sitzen, die mit einer fragwürdigen Moral handeln.

Zur Erinnerung aus einem anderen Blogpost von b33zle.de: „Von einer Million untersuchten Webseiten, exponieren 90 % Userdaten an externe Anbieter.“

Was am effektivsten ist: blocke also alle Scripte per default. Erlaube keine Dirttanbieter-Cookies, lade keine externen Grafiken und gebe nur solche frei, die aus einer vertrauenswürdigen Quelle stammen. Es bringt nichts, Scripte Deiner Bankwebseite zu blocken, denn diese kennt schon Deine Identität. Also kannst Du, ne musst Du, sie freigeben, whitelisten, von diesem pauschalen Blocking ausschließen, damit sie funktioniert. Bei anderen Webseiten ist das auch so. Du nutzt entgegen aller Vernunft noch github.com 6 ? Dann musst Du wohl oder übel zulassen, dass diese Webseite Dich mit Scripten zuscheißt und trackt.

Nutze Browser, die den Schutz Deiner Privatsphäre ernst nehmen. Dazu solltest Du Dich nicht auf deren Werbesprech verlassen, sondern auf Audits von Leuten wie Kuketz, oder anderen (die ich nicht kenne). Ich will damit sagen, wenn ein Browser früher mal geegnet war, dann bedeutet das nicht, dass er es heute immer noch ist. Für mich persönlich kommt zB Firefox in seiner urspünglichen Form nicht mehr in Frage. Vor 10 Jahren war das aber noch anders! Da habe ich auch noch Thunderbird genutzt und hatte ein Mozilla-Konto, während ich online war. Omg!

Während die EU in ihrer Leitlinie 2/2023 zum technischen Anwendungsbereich von Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation 7 den Einsatz von Tracking-Technologien von der „Zustimmung“ der NutzerInnen abhängig macht und den Einsatz aber ansonsten im Falle der „Erforderlichkeit“ gesattet, bleibt den gemeinen UserInnen nur, sich weiterhin selbst zu verteidigen. Daher verzichte ich an dieser Stelle auf Kritik und kümmere mich darum, wie ich digitale Infrastruktur selbst verteidigen kann, als mich auf Leitlinien zu verlassen, an die sich letzten Endes keine Sau der MDMW-Typen hält.

Ein Browser, sie alle zu knechten …

Hinter dem X-Browser-Prinzip bspw. steht die Idee, für verschiedene Anwendungsfälle, verschiedene Browser zu verwenden. Kurz gesagt:

Trust-Level: 100 – Banking, Finanzen, Webseiten, die meine echte Identität schon kennen:
Hierfür nutze ich nur einen bestimmten Browser (zB ungoogledChromium mit verschlüsseltem DNS vom eigenen openwrt-Router). Niemals werde ich mit diesem auf Foren gehen, ihn zur Recherche verwenden oder mit ihm „normal“ surfen. Keine anderen Webseiten kriegen diesen zu Gesicht, als Webseiten, denen ich voll vertraue, auch solche localhost Webseiten, wie mein Webspaceanbieter, mein Internetprovider / Routeradminpage, CUPS Spooler, netzwerkinternes, usw.. Ergo, alles was keine Scripte einbindet, selfhosted betreiben wird, und für mein Dasein unerlässlich ist.

Trust-Level: 75 – Foren, Social Media, Shops, Webseiten, die nur im äußersten Notfall meine echte Identität kennen (müssen):
Hierfür nutze ich zB den Mulvad-Browser mit DNS over https (quad9). Für teil-anonymisierte persönliche Inhalte, wie Einkäufe, Arzttermine, etc..

Trust-Level: < 50 – Foren, Random Stuff, Videos auf Peertube, Wikiartikel, unverfängliche Recherche, Mastodon, usw. usf..
Alle Internetseiten, die niemals meine echte Identität kennen sollen. Auch hier mit verschlüsseltem DNS vom eigenen Router.

Trust-Level: 0 – NSFW Inhalte, kritische Recherche, etc..
Hierfür nutze ich das Tor-Browser-Bundle. Zero-Trust bedeutet, niemals irgendwelche Eingaben/ LogIns verwenden, nicht mal für anonymisierte Wegwerfmails.

Es spricht aber auch überhaupt nichts dagegen, das Tor-Browser-Bundle für alltägliche Surfsessions zu verwenden, solange man die Trust-Level einhält. Das erfordert einigermaßen Disziplin in den oberen Trust-Leveln sich an die selbst gesteckten Grundsätze zu halten. Es ist ein wenig mehr Klickarbeit erforderlich und eine bessere Struktur beim Surfen, weil man zwischen den Tabs und Fenstern hin und her wechseln muss.

Damit kommen wir langsam zum Ende des Artikels.

Es bleibt ein nicht enden wollender Prozess, sich damit auseinandersetzen zu müssen, was sich sich Werbeindustrie, DatenhändlerInnen und False-Comfort-ApologetInnen zukünftig noch ausdenken werden, um an ihr Gold zu kommen.

Ich wünsche viel Erfolg dabei, wieder eine gewisse Datenhoheit zu erlangen, Deine Privatsphäre zu verbessern und möchte Dir noch einen wirklich herzlich gemeinten Ratschlag mitgeben:

Lass‘ Dir von niemandem erzählen, dass Dein Wunsch nach mehr Privatsphäre deswegen Unsinn sei, weil Du keinen Plan hast und es 100%ige Privatsphäre nicht gibt. Das bedeutet nämlich nicht, dass es nicht erstrebenswert ist, sich dieser 100% dort anzunähern, dort wo es geht. Nicht weil es technisch sinnvoll ist, sondern weil uns eine gewisse Ethik dazu verpflichtet. Weil wir uns mit aller Kraft der Gutmenschlichtkeit gegen einen Ausverkauf unserer Daten stemmen, die wir onine hinterlassen. Wir überlassen das Feld nicht kampflos (im Sinne von hohem Aufwand) solchen Menschen, für die wir nicht mehr wert sind, als Milchkühe in einem Massenviehbetrieb.

  1. Ich würde gern an dieser Stelle auf Dong Ngos Website verweisen. Das geht aber nicht, weil diese Webseite auch exessiv Drittcontent von Big-Tech einbindet. Schade! Ich finde es immer erstaunlich, dass Leute, die Beiträge über Privacy und Datenschutz, FOSS oder Free-Software posten, dann auf ihrer Webseite ihre NutzerInnen verhökern. Als bestes Negativbeispiel kann man hier wohl itsfoss.com nennen. ↩︎
  2. https://www.elektronik-kompendium.de/sites/net/1601271.htm ↩︎
  3. https://endof10.org/ ↩︎
  4. https://edition.cnn.com/2025/05/29/tech/ai-anthropic-ceo-dario-amodei-unemployment ↩︎
  5. https://grapheneos.org/faq ↩︎
  6. Eine Top-Alternative zu Microslops github.com ist codeberg. https://codeberg.org/ ↩︎
  7. https://www.edpb.europa.eu/system/files/2025-02/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_de.pdf ↩︎


Von Dennis am 5. Juni 2026 unter den Tags: