Sie sind überall, Webseiten-Zertifikate. Dabei reden wir jedoch nicht von Zertifizierungen, sondern den Zertifikaten die dafür verantwortlich sind, dass in deinem Browser ein „https://“ möglich ist.

Dabei sprechen wir darüber warum es diese Zertifikate gibt, wie diese funktionieren und was man dafür braucht.
Doch Zertifikate sind nicht nur für das Internet wichtig, sondern können dir und deinem Home-Lab eine Stütze sein.

Denn: Zertifikate bringen Sicherheitsgewinne mit sich.

Der Grund für Zertifikate

Der Grund für diese Zertifikate (Certificates) ist, um mehr Sicherheit für alle zu gewährleisten. Das gilt sowohl für die eigenen internen Netzwerke, als auch oder sogar besonders für das Internet.

Denn woher weißt du, ob die Webseite die du da besuchst auch wirklich die Richtige ist?
Genau, du weißt es nicht, da sich jeder als jeder ausgeben könnte.

Hier kommen Zertifikate ins Spiel, welche die Identität eines Dienstes oder Webseite bestätigt.
Es geht also bei Certificates darum eine Möglichkeit zu schaffen, dass man verifizieren kann, damit z.B. die Webseite, die wie deine Bank aussieht, auch wirklich deine Bank ist.

Ebenfalls sind Zertifikate für Webdienste (Internetseiten) erforderlich, damit du eine verschlüsselte Verbindung zu diesen Webseiten aufbauen kannst.

So funktionieren Zertifikate

Das ganze Thema mit Certificates funktioniert vereinfacht gesagt wie folgt:
Jemand betreibt einen Dienst wie z.B. eine Webseite und möchte nun bestätigten lassen, dass der Dienst unter „deinerDomain.de“ erreichbar und vertrauenswürdig ist.

Hierzu muss der Betreiber des Dienstes ein Zertifikat erwerben, hierzu später mehr, welches von einem Dritten vergeben wird.
Dieser Dritte wiederum vergibt das Certificate nur, wenn der Nachweis erbracht wurde, dass einem dieser Dienst gehört.

Hierzu können verschiedene Methoden zum Einsatz kommen.
Doch viel wichtiger, DEINE Geräte vertrauen allen diesen Dritten.
Denn diese nennt man „Certificate authorities“ kurz CA.
Und hier gibt es noch sogenannte „Root Certificate authorities“, welche die „Stammstruktur“ bieten.

Diese Authorities werden nicht nur regelmäßig geprüft (auditiert), sondern haben auch einige Auflagen, die diese erfüllen müssen.
Der Grund ist, dass wenn ein dieser CA’s komprimentiert aká gehackt wird, entsteht ein massiver Schaden für alle.
Denn das Prinzip des Vertrauens wäre dadurch aufgebrochen.

Beispiel diese Webseite

Ein Beispiel hier ist meine eigene Webseite.
Wenn du dir das Zertifikat ansehen willst musst du lediglich auf das Schloss-Icon neben dem „https://“ klicken und dann erneut auf das Schloss-Icon drauf klicken. Dann erhältst du die Option das Zertifikat dir anzusehen. Anbei ein Screenshot wie dieser Weg aussehen kann:

Je nach Browser kann die Ansicht variieren, daher werde ich noch eine vereinfachte Ansicht beifügen:

Du siehst im Zertifizierungspfad, dass meine Webseite: dominikkleidt.de ganz unten ist.
Das liegt daran, dass ich die Echtheit der Seite verifizieren musste.
Hierzu habe ich mich der kostenlosen CA Let’s Encrypt bedient, welche Zweistufig aufgebaut ist.
Du siehst, dass über meinem Certificate ein R3 steht, das ist die R3 Certificate authority von Let’s Encrypt.
Diese nimmt meine Anfrage an und signiert mir meine Anfrage, sofern ich denn die Voraussetzungen erfülle.

Doch an sich vertrauen wir der R3 gar nicht, wir vertrauen der Certificate authority über der R3, nähmlich der ISRG Root X1, welche ebenfalls von Let’s Encrypt ist.
Bedeutet, wir vertrauen der ISRG Root X1, welche die R3 bereits als vertrauenswürdig eingestuft hat.
Das kann man sich vorstellen wie: du kennst die Person nicht, doch dein Freund kennt diese Person und „bürgt“ für diese.

Diese Darstellung ist natürlich vereinfacht betrachtet!

Du kannst Zertifikate selbst erzeugen

Ja, du kannst selbst Zertifikate erzeugen. Dabei kommt es darauf an, für welchen Verwendungszweck du diese verwenden möchtest.

Du kannst zum einen sogenannte „selbst signierte“ (engl- self-signed) Zertifikate erstellen, das kann für Testszenarien sehr bequem sein und erfordert wenig Aufwand.
Der Nachteil ist natürlich, dass du selbst eine Art Ausweis ausgestellt hast, ohne das z.B. das Bürgeramt die Echtheit bestätigt hat.
Bedeutet, du musst auf jedem Gerät dieses Zertifikat manuell auf „vertrauenswürdig“ (engl. trusted) setzen.
Wie gesagt in eigenen Umgebungen und vor allem zum testen reicht das aus!

Ebenfalls für den internen Einsatz kannst du eine eigene Certificate authority (CA) aufbauen.
Hierzu musst du einen Server betreiben (kann auch mini PC sein 😉 ), der die nötigen Tools und Rollen hat, um solche Zertifikate zu erstellen bzw. zu signieren.
Der Vorteil ist, dass du nur einem Zertifikat trauen musst, nämlich dem deiner eigenen CA.
Jedoch kann dies beim Einsatz mit extern zu Problemen führen, da nicht jeder eine „unbekannte externe“ Certificate authority auf vertrauenswürdig stellen möchte.
Das kann beim Thema Mail Verschlüsslung schonmal ärgerlich sein.

Nicht direkt selbst erzeugt jedoch kostenlos und für jeden mit eigener Domain nutzbar ist Let’s Encrypt.
Hier werden einem sogar einige Tools wie der certbot an die Hand gegeben um den Prozess so einfach und angenehm wie möglich zu machen.
Und das Beste, man kann seine Zertifikate automatisch verlängern lassen.

The post Alles, was du über Webseiten-Zertifikate und Online-Sicherheit wissen musst first appeared on Dominik's Blog.

Heute möchte ich dir Container näherbringen.
Dabei beleuchten wir, was Container sind, weshalb man diese verwendet und welche Vor-und Nachteile diese mit sich bringen.
Für Verständniszwecke werden nicht alle Begriffe vertieft, falls Interesse da ist, kann dies in einem eigenen Beitrag beleuchtet werden.

Was sind Container?

Im letzten Beitrag haben wir das Thema virtuelle Maschinen angeschnitten, doch hier muss immer das Betriebssystem virtualisiert werden.
Das bedeutet, man hat nicht immer die gleiche Umgebung. Was ist also, wenn man die Anwendung (Applikation) nimmt und diese „virtualisiert“?

Dabei werden Bestandteile einer Anwendung in einen „Behälter“ gegeben.
Dieser Behälter kann dann immer wieder „schnell“ neu „ausgepackt“ werden, und das mit dem gleichen Zustand wie es „verpackt“ wurde.
Ähnlich wie reale Container funktionieren.

Man gibt etwas rein und nimmt es im gleichen Zustand wie es rein gegeben wurde wieder raus.
Container kann man als Weiterentwicklung von Virtualisierung ansehen, da du es auf die Basics hiervon aufbaust.

Deshalb verwendet man Container

Container haben viele Gründe.
Die beiden Wichtigsten sind, dass Anwendungsstacks (Applications stacks) schnell, einfach und immer gleich deployed (bereitgestellt) werden können.

Damit ist gemeint, dass ich einen Zusammenschluss von Anwendungen habe, die zusammenarbeiten müssen, um diese effizient aufsetzen zu können.
Gleichzeitig verwenden Container ein „eigenes“ Netzwerk, welches getrennt von der „Host“ Maschine ist.
Mit Host Maschine ist die Maschine gemeint, auf der du deine Container betreibst.
Grade Anwendungsentwickler, die oft und schnell eine neue Umgebung brauchen, haben hierdurch die Option unabhängig von Infrastruktur Technikern zu arbeiten.

Denn wenn die Entwicklung und Testumgebung bereits als Container Verbund verfügbar ist, kann der Entwickler sich eine Umgebung selbst aufbereiten.

Das ist grade für Unternehmen praktisch, da die Entwickler so effizienter arbeiten können und die Infrastruktur Techniker (auch gerne IT-Administrator oder System Engineer genannt) weniger ausgelastet werden und an ihren eigenen Projekten arbeiten können.
Doch nicht nur für Entwickler, sondern auch für Privatkunden und Unternehmen ist das interessant.
Einige Hersteller, wie z.B. Bitwarden, erlauben eine selbst betriebene Instanz des Password Managers.

Hierzu wird von Bitwarden die Installation über Container empfohlen und auch als einzige Installationsmöglichkeit supportet.
Denn wie bereits angemerkt, werden die Container Umgebungen vorbereitet paketiert und als Kunde erhält man sofort eine Installation wie vom Hersteller gedacht.

Bitwarden verwendet als Beispiel 11 verschiedene Container.
Dazu gehören auch ein Webserver und die Datenbank.
Also können ganze Dienste „containerisiert“ werden.
Hierzu wird von Bitwarden die Installation über Container empfohlen und auch als einzige Installationsmöglichkeit supportet.

Du kannst auch Container verwenden

Um Container zu verwenden, erfordert es nicht viel.
Du benötigst „nur“ einmal die eingeschaltete Funktion der Virtualisierung deiner Hardware und du musst dich für eine Container Basis entscheiden.

Den Container gibt es in einigen technischen Geschmacksrichtungen.
Die Bekanntesten sind Docker, Podman und LXC, dabei sei erwähnt, dass es noch einige mehr gibt.
Doch diese 3 sind soweit ich weiß, am meisten bekannt und verbreitet.

Container können auf fast allem betrieben werden, sei es auf einem PC, Laptop, Single Board Computer (SBC) ebenso auf einem Raspberry Pi oder auch auf Mini PCs.
Es gibt also keinen Grund es nicht auszuprobieren!
Ein beliebtes Projekt wie Bitwarden oder Pi-Hole sind auch als Container Installation verfügbar.

Attribute aká Vor-&-Nachteile von Container

Natürlich wie immer gibt es beides, wobei ich den Begriff Attribute bevorzuge.
Wir kennen es jede Stärke kann im falschen Kontext eine Schwäche sein.
Eine Schwäche wiederrum im richtigen Kontext als Stärke.

Nachteile

Zu den Nachteilen von Containern zählen, wie bei der Virtualisierung, dass diese nicht die gleiche Performance liefern, wie, als würde die Anwendung direkt auf einem Rechner laufen.

Das liegt an verschiedenen Faktoren, wie bei der „klassischen“ Virtualisierung, einer ist das immer erst auf Hardwareebene die Instruktionen abgearbeitet werden müssen und dann erst in den Container übergeben werden können.
Anmerkung: Man kann auch Container in einer VM verwenden, das nennt man dann Nested Virtualization.

Container Verbünde/Stacks können „schnell“ unübersichtlich werden.
Grade wenn man viele Container verwendet, muss eine Ordnung vorhanden sein.
Dies ist für Menschen allgemein nicht einfach umsetzbar, daher wird bei einer größeren Anzahl von Containern empfohlen eine „Verwaltung/Orchestration“ einzubinden.
Dieser kann nicht nur Übersicht liefern, sondern bietet meistens eine grafische Oberfläche, wodurch man auch weniger auf der Kommtandozeile Unterwegs sein muss.

Solange Container aus einem bekannten und vertrauenswürdigen Repository (kurz Repo), also ein Verzeichnis, verwendet wird, kann man davon ausgehen, dass die Container nicht schädlich sind.
Doch man kann auch „unbekannte“ oder „nicht signierte/kontrollierte“ Repos verwenden.
Das kann verschiedenste Gründe haben und birgt wie immer die Vertrauensfrage.
Daher ist hier zu empfehlen, grade am Anfang, nur offizielle Repositories zu verwenden, die von der Containertechnologie empfohlenen werden.

Ein weiterer Nachteil ist, dass Container dazu treiben, trotz ihrer Isolierung, die Sicherheit zu vernachlässigen.

Das geschieht grade deswegen, weil Container zwar isoliert laufen, doch entweder mit anderen Containern kommunizieren oder auch durch ein Komplimentieren der Host Maschine angegriffen werden können.

Auch werden Anwendungen im ersten Schritt auf Effizienz ausgelegt und nicht auf Sicherheit, was problematisch werden kann.
Grade wenn man nicht weiß, wie Container abgesichert werden können oder wenn die Anwendung auch als Stand Alone bzw. als nicht Container Installation angeboten werden.

Wichtig ist auch das Container „flüchtig“ sind, das heißt, dass im Standard beim „Herunterfahren“ von einem Container nicht nur der Container verworfen wird, sondern auch alle Daten die IM Container angefallen sind. Das können Dateien sein oder auch Konfigurationen.
Denn Container kommen in einem „Ready to Config“ Zustand, was bedeutet initial muss die Config selbst vorgenommen werden, was meist durch Interaktive Container Skripte oder grafische Oberflächen bewerkstelligt wird.

Man kann jedoch mit zusätzlichen Konfigurationen so genannte „persistent Mounts“ Punkte definieren.
Hier werden Daten aus dem Container mit einer Speicherlokation auf dem Host gespiegelt.
Bei Docker gibt es zusätzlich zu „persistent Mounts“ sogenannte Docker Volumens.

Vorteile

Wie bereits mehrmals erwähnt sind Container schnell und einfach aufgesetzt, wodurch der Betrieb effizient aufgenommen werden kann.
Das macht es grade für „Einsteiger“ und Entwickler einfacher Infrastrukturen zu betrieben.
Grade hierdurch sind auch „Updates“ einfacher, denn ich kann den Container verwerfen und die neuste Version des Container Image beziehen und diese ausspielen.
Habe ich noch „persistent Mounts“ definiert, wird automatisch z.B. meine Konfiguration eingespielt, oder auch meine abgelegten Daten. Der Wartungs- und Verwaltungsaufwand für die Anwendung selbst ist somit gesunken.

Grade weil Container isoliert sind, ist das Thema Debugging (Fehlersuche) vereinfacht, da man schneller herausfindet welche Komponente der Anwendung einen Fehler hat.
Dadurch können effizienter Lösungen und „Fixes“ eingespielt werden.
Auch ist es praktisch das hierdurch nicht direkt die gesamte Anwendung Probleme hat, sondern nur ein Teil.
Es kommt natürlich darauf an welchem Teil, dennoch ist es praktisch, wenn z.B. mein API Schnittstelle Container Probleme hat, ich dennoch auf den Webserver zugreifen kann.

Skalierbarkeit ist bei Servern und Anwendungen immer ein Thema und Container sind äußerst skalierbar.
Damit ist gemeint, wenn meine Anwendung anfänglich gut performant und mit der Zeit dem Andrang von Anfragen nicht gewachsen ist, kann eine weiterer Container (Stack) erstellt werden der mit dem vorherigen Container zusammen im Verbund arbeitet.

Der wohl signifikanteste Vorteil ist, dass Container Plattform unabhängig sind.
Bedeutet, wenn meine Anwendung als Container vorhanden ist, kann diese unabhängig vom Betriebssystem angeboten werden.
Lediglich die Containertechnologie muss unterstützt werden, jedoch muss die Anwendung nicht für mehrere Plattformen umgeschrieben werden.
Somit sinkt natürlich der Aufwand der Entwicklung.

Meine Meinung

Aus meiner Sicht bergen Container ein großes Potenzial, weshalb ich es als Schritt in Richtung Zukunft sehe.
Dadurch werden Virtuelle Maschinen jedoch nicht ersetzt, sondern ergänzt aus meiner Sicht.
Denn nicht jede Anwendung lässt sich als Container anbieten und das kann verschiedenste Gründe haben.

Auch das Umgebungen durch Container immer „gleich“ auf Anwendungsebene sind, finde ich klasse. Denn somit ist die Fehlerquote automatisch gesenkt, weshalb viele Unternehmen oder auch Privatpersonen in den Genuss von Anwendungen kommen können, ohne zu tief in die Materie der Anwendung zugehen.
Die Tatsache, dass ein Raspberry Pi in der Lage ist, je nach Anwendungen, 6 Container oder mehr gleichzeitig laufen lassen kann ist faszinierend.

The post Die Evolution der Virtualisierung: Warum Container die Zukunft sind first appeared on Dominik's Blog.

Hierfür muss einem bewusst sein, wie bereitwillig Daten einfach herausgegeben werden.
Den Wenigsten ist dabei bewusst, dass diese Daten öffentlich zur Verfügung stehen.
Die Daten werden unter anderem durch das Teilen von Bildern oder Beiträgen weiter gegeben.

Sei es nun Social Media, E-Mailing, Plattform Registrierungen und viele weitere Plattformen.

Vorwort

Natürlich ist Privacy immer eine Sache des eigenen Ermessens, doch viele sind schockiert was Dritte über einen herausfinden können, nur dadurch, dass Accounts öffentlich existieren.

Beispiel mit dem Tool Sherlock auf Github

Doch das ist „nur“ die Spitze des Eisberges, daher befasst sich dieser Beitrag mit kleinen Änderungen die dich nicht einschränken werden und dir gleichzeitig mehr Privacy bringen können.

In diesem Beitrag wird also kein „Deep Dive“ gemacht, das holen wir in einem zukünftigen Beitrag nach, hier geht es um kleine Änderungen die auf Dauer einen großen Unterschied machen können.

Ebenso soll hier eine Basis geschaffen werden, mehr geht also immer und ich bitte dies bei konstruktiver Kritik zu berücksichtigen.

In diesem Teil der mehrteiligen Reihe „Mehr Privacy durch kleine Änderungen“ , soll eine Basis geschaffen werden.

Hierzu werden Begrifflichkeiten erklärt und auch Beispiele zu den Erklärungen mitgegeben um eine Sensibilisierung für das Thema zu schaffen.

Der Beitrag kann z.B. bei der Übersicht der Themenfelder dynamisch erweitert werden.

Jedoch werden „Deep Dive“ Themen in einer eigenen Reihe behandelt.

Eckdaten/Bereiche

Bevor wir ins Detail gehen, möchte ich dir eine Übersicht geben welche Themen/Bereiche wir hier beleuchten werden.
Dabei wird darauf eingegangen wieso die „normalen“ Varianten eher zu deinem Nachteil sind und weshalb diese kleine Änderung mit einer Alternative viel bringen kann.

• Der Anfang (Basis) ←Hier befinden wir uns in diesem Beitrag
• Internet Browser
• Suchmaschinen
• Alternative Frontends für deine Lieblingsplattformen
• Android Betriebssysteme
• Linux Betriebssysteme
• Windows Einstellungen für mehr Privatsphäre
• Aussicht auf weitere Themen

Grundgedanke

Bevor man sich über Tools unterhält, muss die Basis stimmen, daher möchte ich mit dir ein paar Grundlagen durchgehen.
Damit ist gemeint, dass du in der Lage bist, die richtigen Fragen zu stellen.
Solche Fragen können sein:

Wie benutze ich meine Handynummer?
Was und wie äußere ich mich in Social Media?
Wie vernetze ich meine Netzwerke untereinander?

Natürlich soll das jetzt nicht heißen, dass du gar nichts mehr posten sollst, oder kein Social Media mehr nutzen darfst.
Sondern mach dir bewusst was für Daten darüber gehen.

Nehmen wir doch das Beispiel einer Handynummer.
Damit ist gemeint: für was nutzt du diese? Als Mehrfaktor Option oder auch für eine Anmeldungen in Sozialen Medien kann diese Nummer mehr Informationen zum Vorschein bringen als anfänglich gedacht.

Erinnert sich noch jemand an das Meme, bei dem jemand den Anderen nach der Handynummer fragt und diese nicht bekommt, weil man ja nicht jedem die Handynummer geben sollte, weil das sehr Privat ist?
Allerdings bei der Frage nach WhatsApp, die Nummer doch herausgegeben wurde?

Beispiel Handynummer

Wenn deine Nummer für solche Zwecke verwendet wird, kann die jeweilige Plattform damit Daten über dich sammeln, weil die Nummer eindeutig ist und mit einem Account von dir verknüpft ist.

Das bedeutet, das z.B. bei WhatsApp der Mutterkonzern Meta deine Handynummer bereits in Ihrer Datenbank hat. ob du willst oder nicht.

Natürlich wird beteuert, dass man hier alle Datenschutzstandards einhalten würde, doch woher weißt du das?
Und viel wichtiger, willst du überhaupt das Meta (ehemals Facebook Inc.) deine Handynummer kennt?

Beispiel Beiträge Social Media (Posts, Bilder etc.)

Wenn du dich auf Social Media bewegst, egal welche Plattform, teilst du vermutlich Inhalte.

Dazu zählen Posts, Bilder, Videos und einiges mehr.

Neben Metadaten, hierzu nachher mehr, teilst du somit mit der Welt diesen „Moment“ doch die Frage ist: bist du sicher, dass du dir damit einen Gefallen tust?

Die Frage zielt darauf ab, was könnte das für einen Eindruck machen, wenn du dich z.B. bewirbst und der Personaler/Recruiter deine Social Media’s checkt.

Hierzu reicht ja meist die Suche mit deinem Namen, allerdings wie weiter oben beschrieben, gibt es auch technische und simple Möglichkeiten das herauszufinden.

Angenommen du bist jemand der gerne auf Partys geht und du postest regelmäßig Aufnahmen oder Posts davon, kann das für deine professionelle Persönlichkeit Schäden herbeiführen.

Anderes Beispiel:

Es ist aktuell auf der Arbeit anstrengend, warum auch immer und um die Nerven zu beruhigen oder um den innerlichen Druck loszulassen, wird über Social Media offen und transparent mitgeteilt was einem gerade nicht passt.

Man denkst sich nichts Böses und dann kommt die Abmahnung, weil man das Unternehmen in ein schlechtes Licht gerückt hat.

Selbst, wenn das was gepostet wurde, der Wahrheit entspricht, ist man hier rechtlich selbst der, der am kürzeren Hebel sitzt.

Eine Abmahnung, solange die Tat nachweisbar ist, ist somit rechtens und wird auch bei jedem Arbeitsgericht anerkannt.

Hat man das mit einem Post auf Social Media bewirken wollen? Sicherlich nicht!

Metadaten

Metadaten meinen nicht den Konzern, sondern in Mediendateien befinden sich Informationen, die „nützlich“ sein können, jedoch auch nicht nötig sind.

Metadaten sind in einem vereinfachten Sinn so etwas wie ein Briefumschlag.
Der Inhalt ist wird zwar nur für dich und den Teilnehmer des Briefverkehrs einsehbar sein, doch wer der Absender und Empfänger ist, ist für alle ersichtlich.

Auch sind Daten, wie die jeweiligen Anschriften, öffentlich über den Umschlag einsehbar.

Das Gleiche gibt es mit digitalen Dateien wie Bildern, Videos, Audio und auch für Dokumente wie Word und PDF.

Hierzu zählen Daten wie Copyright, Bild-ID, auf welcher Kamera das Bild geschossen wurde, mit welchen Einstellungen an der Kamera das Bild entstanden ist, wann das Bild erstellt worden ist und einiges mehr.

Jetzt kommt ja auch noch das beste, GPS/Ortsdaten werden ebenfalls im Bild hinterlegt.
Bedeutet sofern GPS eingeschaltet war, werden die exakten Daten, wann du wo gewesen bist, in der Datei gespeichert.

Das ist den Meisten nicht bewusst und natürlich ist es an sich alleine betrachtet nicht schlimm, dass diese Daten an deinem Bild, Video oder ähnlichen hängen.

Doch gleichzeitig verrät das natürlich mehr über einen, als einem lieb oder auch bewusst ist.

Tracking und Cookies

Ob durch Social Media oder auch andere Webseiten.

Tracking ist ein Problem im Internet, denn sofern nicht anders eingerichtet, wird man im Internet dauerhaft getrackt.

Dabei sind natürlich Versprechungen wie „User Experience“ und zugeschnittene/gezielte Inhalte, doch das Gleiche gilt auch für Werbung.

Bevor es hier weitergeht eine kompakte Definition von den beiden Begriffen.

Tracking

Tracking lässt sich in mehrere Unterkategorien aufteilen, daher wird diese kompakt Definition allgemein gehalten.

Es handelt sich um das Webseiten übergreifende Verfolgen von Nutzern im Internet.
Dabei werden Daten erhoben und verarbeitet, die zum Nutzen eine Webseite, also z.B. um diese zu besuchen, nicht erforderlich sind.

Dabei können Daten gesammelt werden wie z.B.

• Zuvor besuchte Webseiten inkl. Unterseiten und wie lange man sich dort befunden hat
• Welche Elemente angeklickt wurden (Produkte, Social Media Buttons etc.)
• Daten die heruntergeladen worden
• Von welchem Gerät und Browser man die Webseite besuchte

Das sind natürlich bei weitem nicht alle Punkte die getrackt werden können, es soll nur veranschaulichen was möglich ist.

Eine weitere beliebte Methode ist das Tracking über Cookies.

Cookies

Das Wichtigste vorab, Internet Cookies kann man leider nicht essen.
Spaß beiseite, doch Internet Cookies sind nichts Schlechtes.
Diese werden sogar für Funktionalitäten im Internet benötigt, daher spricht man oft von der Unterscheidung von „funktionalen Cookies“, „optionale Cookies“ und „berechtigtes Interesse Cookies“

Auch hier versuche ich eine annehmbare kompakte Definition bereitzustellen, gerne hier auch Anmerkungen in die Kommentare oder via Mail/Kontakt Formular.

Cookies sind kleine Dateien, die in deinem Internet Browser angelegt werden, um gewisse Daten zu übermitteln wie z.B. deine präferierte Sprache, ob du einen Dark Mode haben möchtest und vieles mehr. Diese Cookies nennen sich „Session Cookies“ und sind technisch erforderliche, da mit diesen auch dein Login auf einer Webseite ermöglicht wird. Denn ohne Session Cookie musst du dich einloggen, wenn dieser also nicht gesetzt wird, bist du nicht eingeloggt oder ein neuer Benutzer.

Ebenfalls sind diese Cookies auch dafür zuständig, dass du deinen Warenkorb bei Amazon, eBay und vielen weiteren Online Händler überhaupt nutzen kannst.

Alle Cookies die nicht technisch notwendig sind, können entweder Komfortfunktionen mit sich bringen oder eben Tracking.

Diese nicht notwendigen Cookies sind auch der Grund, wieso es diese „tollen“ Cookie Banner gibt, die einen fragen ob man zustimmen oder spezielle Cookies abwählen möchte.

Ein netter Gedanke der Politik, der jedoch in der Praxis nicht wirklich zielführend ist, da diese Banner nur minimale Voraussetzungen erfüllen müssen.

Schlusswort

Wie schon anfänglich erwähnt, geht es in diesem Beitrag darum, jedem mit kleinen Änderungen viel Wert zu kommen zu lassen.

Dabei geht es in diesem Beitrag darum die Aufmerksamkeit und Aufklärung für einige Grundbegriffe wie Tracking & Cookies.

Wie schon im allerersten Blogbeitrag erwähnt, gibt es auch einen Unterschied zwischen Privacy (Privatsphäre) & Anonymity (Anonymität) im Internet.
Somit kann das Thema unendlich weiter getrieben werden, je nachdem zu was man bereit ist.

Feedback, Anregungen oder einfach deine Meinung lese ich gerne in den Kommentaren oder per Kontaktformular.

The post Der Grund weshalb wir mehr Privacy Awarness benötigen first appeared on Dominik's Blog.

Wie so oft „it depends“ und zwar, in welchem Kontext diese Frage gestellt wird.
Bei IT-Security für Unternehmen ist diese Frage sehr viel detaillierter zu beantworten, als wenn es um Privatpersonen geht.

Der Grund ist, dass Unternehmen, Behörden und ähnliche Organisationen auf viel mehr achten müssen, da hier die Struktur komplexer und somit miteinander verbunden ist.

Das bedeutet jedoch nicht, dass Privatpersonen dieses Thema nichts angeht, im Gegenteil:

Jeden geht IT-Security was an!

Denn gerade, weil wir das Internet jeden Tag nutzen und immer mehr Berufe IT-gestützt werden, muss sich jeder damit beschäftigen.
Der Vorteil hier: Jeder gewinnt…außer die Hacker 😉
Wieso ich das erwähne? Nun weil jeden Tag Menschen wie du und ich Opfer von solchen Angriffen werden und auch Unternehmen oder Social Media Stars dem Ganzen schon zum Opfer fallen.

Denn für Organisationen ist es von Vorteil, wenn die Mitarbeiter ein Verständnis oder Affinität für das Thema haben, während man sich als Privatperson auch im eigenen Umfeld vor Schäden schützen kann, wenn man die richtigen Maßnahmen ergreift.

Scope/Bereich

Bevor wir weitermachen, möchten ich dir mitteilen, um was es in diesem Beitrag gehen soll, damit keine falschen Erwartungen aufkommen.

Dieser Beitrag soll ein Einstieg für alle sein, das bedeutet, dass die Privatperson/en hier im Fokus stehen.

Dieser Blog hat die Intention sowohl IT-fachliche Themen zu beleuchten, Anregungen zu schaffen und gleichzeitig möchte ich auch die Menschen mitnehmen, die keine IT-ler sind, daher sind grade die ersten Beiträge auf diesem Blog nicht so tief im Detail um eine Grundlage für alle Leser zu schaffen.

Das bedeutet für diesen Beitrag, es werden die ersten Basics erläutert und auch die ersten Werkzeuge an die Hand gegeben, um hier besser aufgestellt zu sein.

Dieser Beitrag ist der Erste zum Thema „IT-Security für jeden“, da dies der Einsteigs Part sein soll und sich grade in diesem Feld regelmäßig etwas tut.

Eine Vertiefung der Thematik ist für zukünftige Beiträge geplant!

Wieso werden heute immer noch Menschen gehackt?

Definition des Begriffs Hacken

Um diese Frage zu klären, muss erstmal klar sein was Hacken überhaupt bedeutet.

Damit meine ich nicht die Übersetzung von Englisch ins Deutsche, sondern was mit diesem Begriff zusammen hängt?
Denn Hacken ist nicht nur in der EDV/IT relevant, im Gegenteil.
Um Wau Holland, einen Gründer des Chaos Computer Clubs zu zitieren:
„Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.“

Das bedeutet, wenn man versucht es in einfachen Worten zu formulieren, dass Hacken bedeutet eine Sache in Ihrer Funktion so zu verändern, dass diese zweckentfremdend andere/neue Funktionen übernehmen kann.

Somit ist es richtig, dass Hacken bzw. Hacking nicht nur mit Computertechnik zu tun hat, denn ursprünglich bedeutete der Begriff Hacker lediglich, einen Menschen der gerne an Objekten bastelte und dabei eigene kreative Wege findet.

Im Falle von IT-Sicherheit spricht man von der Manipulation von Menschen oder Computersystemen um unautorisierten Zugriff zu erhalten.

Die Absichten von Hackern

Hacker im EDV/IT Sinne wollen unterschiedliches erreichen, dabei kommt es immer darauf an, an wen man gerät.
Wichtig vorab zu wissen: Hacker können einzeln als Person agieren, können jedoch auch organisiert als Gruppe oder Vereinigung handeln.

Die Absicht der meisten Hacker

Es gibt Menschen da draußen, die sich an der Unwissenheit anderer Menschen bereichern wollen.
Solche Menschen verfolgen meist monitäre Ziele, bedeutet sie wollen Geld erbeuten.

Dabei ist es egal ob sie sich als „verschollener Enkel“ ausgeben müssen oder andere Mittel nutzen müssen, ihnen ist jedes Mittel recht.

Das ist wohl das, woran die Meisten denken, wenn es um Hacker geht.
Diese Art wird entweder einzeln oder in einer organisierten Gruppe agieren.

Spionage Hacker

Allerdings können Hacker auch andere Ziele verfolgen, wie die Spionage einer Person oder eines Unternehmens.

Dabei ist das Ziel, so viele Daten wie möglich über das „Opfer“ zu sammeln.

Das kann verschiedene Gründe haben wie z.B. Profiling oder um das „Opfer“ überzeugender manipulieren zu können.

Hierbei werden meist verstecktere Ansätze genutzt wie Social Engineering oder, dass einem eine Software aufgespielt wird, mit der eine nahtlose und unsichtbare Spionage möglich ist.

Es gibt natürlich noch mehr Methoden hierfür.

Diese Art trifft man eher im professionellen Umfeld an und bei Regierungen, wenn ein Straftäter von den Behörden verfolgt wird.

Beispiel eines Hacks (Phishing)

Das Beste Beispiel ist ein Phishing Angriff. Hier ist bewusst das Wort Angriff in Verwendung, den Phishing (Übersetzung Fischen wie ein Fischer) ist vom Konzept einfach erklärt und kann sowohl digital als auch physisch durchgeführt werden.

Beim Phsihing gibt sich jemand oder eine Gruppe als jemand anders aus und möchte die Zielperson zu einer unüberlegten Handlung bringen, meist durch ein emotionales Druckmittel, dass eine gewisse Dringlichkeit ausdrückt.
Dies kann via Telefon, direkt an der Tür oder auch per E–Mail sein.
Die „Phisher“ geben also einen Vorwand an und geben sich für jemand anderen aus z.B. die Personalabteilung oder deine Bank.
Um dich nun in eine unüberlegte Handlung zu bringen, könnte ein Betreff wie folgender gewählt werden:
„Sie haben zuviel Urlaub genommen! Dringender Handlungsbedarf“

Solchen Mails hängen dann noch Dateien oder Links an, die geöffnet werden sollen und sofern nötig, speziell eine Login Maske angeboten wird, in der man seine Daten eingeben soll.
Und da ist es schon passiert, du wurdest gehackt.
Natürlich varriert es als was sich ausgegeben wird und welchen „dringenden“ Grund man hat.

Wusstest du schon: So ein Phishing Angriff kann, sofern gut durchgeführt deine Sitzungscookies klauen, sofern du diese in deinem Internet Browser nicht löschst. Bedeutet auch, wenn du „nur“ auf den Link geklickt hast, könnten deine Login Daten zu anderen Webseiten geklaut worden sein.
Geschieht das, hilft nicht mal eine Multi-Faktor-Authentifizierung (MFA).
Daher mein Rat, lösche deine Cookies!
Hierzu kommt ein eigener Beitrag der hier verlinkt wird.

Welche Maßnahmen kann ich da ergreifen?

Das kommt ganz darauf an wie die Bereitschaft dazu ist, denn jeder Invest in mehr IT-Security bedeutet, dass in einem anderen Feld weniger Invest möglich ist.

Mit Invest meine ich, dass jede Investition in eine Richtung automatisch die Möglichkeit eines anderen Feldes einschränkt.
Wie weit man hier geht, muss im privaten Umfeld jeder für sich selbst entscheiden und im professionellen Umfeld gibt es zum einen „Standard“ die State of the Art sind (Stand der Technik).

Gleichzeitig geben im professionellen Umfeld die IT-Abteilungen und Geschäftsführung vor was gemacht werden muss und was optional ist.

Da wir uns hier um die IT-Security für den eigenen Gebrauch kümmern, gehen wir nun auf die Optionen ein die DU für dich und deine Liebsten vornehmen kannst.

Lerne die Warnzeichen kennen

Weder Maßnahmen noch irgendwelche Tools können so wirksam sein wie:Wissen!

Damit ist gemeint, dass ein Jeder interessiert sein muss, seine Kenntnisse auf den Prüfstand zu stellen und bei Bedarf zu erweitern.

Doch bevor dies möglich ist, muss die Basis sein und diese kann durch verschiedene Wege geschaffen werden.

Allgemeines

Das Wichtigste ist, dass man sich nicht zu emotionalen Verhalten hinreißen lässt.

Damit ist gemeint, dass solche „Angriffe“ durch Hacker versuchen einen zu unüberlegten Handlungen zu bewegen.

Veranschaulicht wird das durch den „Enkeltrick“, indem eine fremde Personen eine andere überzeugt, der „Enkel“ bzw. ein „Familienmitglied“ zu sein, dass in Not geraten ist.

Für die Familie tut man doch alles und hat dann ein paar Euro über.

Auch Mails, die eine zeitliche Kritikalität {evtl anderes wort) aufzeigen, sind mit Vorsichtig zu genießen.

Hier ist es beliebt, dass die „Bank“ einem schreibt oder die „Personalabteilung“ und man dringendst auf den beigefügten Link klicken, oder die Datei ausführen soll, die im Anhang ist.

Dabei kennt man die Absender vielleicht gar nicht, oder es ist eine merkwürdig formulierte Mail.

Das Beste hier ist, wenn man sich nicht sicher ist ob die Mail echt ist, auf keinen Link drauf klicken geschweige denn, bei dem vermeintlichen Absender melden.

Nicht über die Kontaktdaten in der Mail, sondern suche die öffentlichen Kontaktdaten deiner z.B. Bank raus oder deines Unternehmens und rufe dort an.

Frage nach ob die Mail von ihnen ist oder nicht.

Eigen Recherche

Um dieses Basis zu schaffen kann es hilfreich sein, allgemein zu recherchieren, dafür kann die Suchmaschine des Vertrauens besucht werden. (DuckDuckGo, Brave Search, Startpage, QWANT oder der bekannteste Vertreter: Google)

Natürlich ist die eigen Recherche nicht das einzige Mittel, doch frei nach dem Motto „Selbst ist der Mann/die Frau!“. Denn am Besten lernt der Mensch durch eigenes tätig werden.

Dabei kann die Recherche auch ausgeweitet werden z.B. auf „Influencer“ die in der IT-Branche tätig sind.

Hierzu gibt auf dieser Seite unter „YouTuber“ mehrere die ich empfehlen kann.

Denn diese können dies nicht nur erklären, sondern zeigen auch praktische Beispiele, wie Hacking Angriffe funktionieren und welche Maßnahmen ergriffen werden können.

Schulungen und Awarness Trainings

Allerdings kannst du auch andere Angebote wahrnehmen wie z.B. Schulungen für die du dich interessierst oder noch besser….nimm an der „Informationssicherheit und Datenschutz“ Awarness Schulung in deinem Unternehmen teil.

Die Voraussetzung hier ist natürlich, dass in deinem Unternehmen eine solche Schulung Angeboten wird und meistens werden diese Awarness Trainings auch mit Simulationen bestückt.

Dass bedeutet, du wirst im Laufe deiner Betriebszugehörigkeit getestet, natürlich anonymisiert und bekommst dann auch das Feedback ob du den Test bestanden hast.

In kleineren Unternehmen ist so was untypisch, da hier Kosten und Nutzen zu weit auseinander gehen, doch Fragen schadet nicht!

Nutze eine Passwordmanager

Von diesem Tool hast du vermutlich schon gehört und wenn nicht, gibt es hier eine kurze Erklärung was das ist und wieso es wichtig für dich sein muss.

Ein Password Manager ist eine Software, in der du deine Passwörter & Login Daten speicherst.

Der Unterschied zum Postit Zettel ist, dass es zum einen digital passiert und diese Software deine Daten verschlüsselt ablegt.

Der Vorteil für dich: du benötigst „nur“ ein „Master-Passwort“ um an alle Passwörter zu kommen.

Hierdurch ist es dir also möglich, für jedes Login, dass du hast, ein eigenes und einzigartiges Passwort vergeben kannst, ohne dir Gedanken machen zu müssen es dir zu merken.

Denn wie wir alle wissen, ist die Empfehlung immer verschiedene Passwörter zu verwenden.

Die meisten Passwort Manager kommen im Übrigen auch mit einem Passwort Generator, bedeutet dein Tool erstellt die Passwörter für dich.

Schütze deine digitale Identität also mit einer sicheren Passwort Verwaltung.

Passwort Manager die du dir hierzu ansehen kannst sind:

Eine Vertiefung zu diesem Thema kommt in einem eigenen Beitrag und wird hier an dieser Stelle verlinkt, sobald dieser Online geht.
Dabei werden sowohl Self Hosting Optionen als auch das „Double Blind“ Verfahren besprochen.

Richte Multi-Faktor-Authentifizierung ein wo möglich

Die Multi-Faktor-Authentifizierung (kurz MFA) ist, wie es der Name schon vermuten mag eine Authentifizierung mit mehr als einem Faktor.

Dabei betrachtet man meistens den Benutzernamen+Kennwort als einen Faktor gemeinsam, da der Benutzername meist leicht herauszufinden ist.

Der Sinn des MFA ist es also, deine Accounts mit mehr als nur einem Passwort abzusichern.

Dabei gibt es verschiedene Möglichkeiten, die auch technisch verschieden sicher ist.

Jetzt ist wichtig zu erwähnen, dass du streng genommen Multi-Faktor-Authentifizierung bereits kennst, sofern du Online Banking verwendest.

Hier ist das Prinzip, dass du dein Login zwar mit einer Kennung aus Benutzername und Kennwort vornehmen kannst, jedoch musst du dein Login regelmäßig durch eine SMS-TAN oder Push-TAN bestätigen.

Selbst wenn du das getan hast, musst du bei Überweisungen immer eine neu generierte TAN zur Bestätigung eingeben.

Es gibt mehre Arten von MFA, doch die Gängigsten sind:

• OTP (One Time Pass)
• Telefon Anruf mit Bestätigungscode
• SMS Code
• Security Key

Es gibt natürlich noch mehr, doch die genannten 4 sind am weitesten verbreitet.

Die einfachste Art wird der Telefonanruf oder SMS Code sein.

Alleine damit kannst du dich absichern und gewinnst mehr Sicherheit.

Bei den meisten Diensten im Internet kannst du auch, nachdem du dich mittels Multi-Faktor-Authentifizierung einloggen konntest, bestätigen, dass an dem Gerät für x Tage, meist 30 Tage, nicht mehr nachgefragt wird.

Welche Unterschiede die verschiedenen Optionen haben, wird auch hier in einem eigenen Beitrag erläutert, dieser wird an dieser Stelle verlinkt, sobald er fertig gestellt ist.

Qullennachweis/Glosar:

Inhaltlich:

https://de.wikipedia.org/wiki/Hacker

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
https://www.heise.de/download/specials/Passwort-Manager-Tipps-Tools-fuer-die-Passwort-Verwaltung-6033009
https://www.security-insider.de/was-ist-ein-passwort-manager-a-582834/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
https://www.heise.de/hintergrund/Multi-Faktor-Authentifizierung-Methoden-und-Dienstleister-4402436.htm
lhttps://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/

Bilder:

https://www.pexels.com/photo/crop-cyber-spy-hacking-system-while-typing-on-laptop-5935794/
https://www.pngegg.com/en/png-ndpwt
https://www.cleanpng.com/png-mazda-ispy-customer-3287190/
https://www.pngegg.com/en/png-wezve
https://www.cleanpng.com/png-identity-theft-phishing-internet-clip-art-identity-2684015/
https://imgflip.com/i/7ulc62
https://www.cleanpng.com/png-duckduckgo-web-search-engine-google-search-web-bro-2216112/
https://www.cleanpng.com/png-web-development-web-design-logo-website-707817/
https://www.cleanpng.com/png-united-states-youtube-logo-youtube-play-button-tra-616912/
https://commons.wikimedia.org/wiki/File:Startpage.com_logo.svg
https://de.wikipedia.org/wiki/Datei:Qwant_new_logo_2018.svg
https://www.deutschland-startet.de/wp-content/themes/freestyle/AIT/Framework/Libs/timthumb/timthumb.php?src=https://www.deutschland-startet.de/wp-content/uploads/2022/12/training-3185170_1920-2-1-1.jpg&w=612&h=330
https://www.pngegg.com/en/png-dilim
https://en.wikipedia.org/wiki/File:Bitwarden_logo.svg
https://proton.me/pass
https://www.pngegg.com/en/png-ccbfv
https://www.pngegg.com/en/png-nmvtl
https://www.pngegg.com/en/png-patsr
https://www.pngegg.com/en/png-dhrlo
https://www.cleanpng.com/png-threat-computer-security-internet-security-securit-361766
https://hund-client-logos.s3.amazonaws.com/uploads/5e81e1e910bdfb739a1300da-eb01b2b1-46ee-4117-8692-dbc79bbc809f.png

The post Think before you Click! So greifen dich Hacker an! first appeared on Dominik's Blog.

Diese 3 Themen können miteinander Hand in Hand gehen, doch diese können auch auseinander gehen.

Das liegt daran, dass diese Themen zwar Überschneidungen haben, jedoch vom Kern her nicht unterschiedlicher sein könnten.

Vorwort

Vorher noch, wieso ist mir das Thema wichtig? Und wieso muss es DIR auch wichtig sein?

Zum einen nutzen wir das Internet (auch World Wide Web genannt) jeden Tag und es werden Schlagworte (engl. Buzzwords) verwendet ohne wirklich die Bedeutung zu kennen.

Damit jeder besser weiß, was diese Begriffe bedeuten, möchte ich hier näher bringen was diese Begriffe bedeuten im Zusammenhang mit der Internet verhalten.

Das kann wichtig sein, um zu verstehen, dass alles multiplex (zu deutsch vielseitig) ist.

In diesem Beitrag soll es also um die Richtigstellung dieses Themas gehen, da den meisten die Unterschiede nicht bekannt sind.

Dies geschieht im Übrigen teilweise sogar bei Fachpersonal (z.B. IT-lern).

Die Erklärungen sind allgemein gehalten und vereinfacht dargestellt.

Ich bitte jeden Leser um Verständnis, dass in diesem Beitrag der Fokus auf Verständlichkeit für alle ausgelegt ist, damit alle etwas hiervon haben.
Dabei werden im Anschluss zwei Beispiele zur Veranschaulichung genannt.

Für einen „Deep Dive“ bereite ich mal einen anderen Beitrag vor, mit mehr Details.

🛡️ Sicherheit (Security) 🛡️

Die Frage der Sicherheit stellt sich oft. Doch was bedeutet das für einen, „Sicherheit im Internet“?

Frage dich mal, was bedeutet Sicherheit im Internet für dich?

Hier wird jeder andere Antworten haben, doch grundsätzlich geht es um folgende Punkte:

• Lade Daten aus dem Internet aus vertrauenswürdigen Quellen herunter.
• Gebe deine Daten, besonders deine real Daten wie Vorname, Nachname etc. nur dort an wo du weißt, dass die Seite vertrauenswürdig ist oder „legit“ wie man heute sagt.
  • Wenn du nicht sicher bist ob die Seite/Quelle vertrauenswürdig ist, stelle Nachforschungen an und Frage gerne jemanden nach seiner Meinung.
• Nutze für deine Software und Treiber Updates nur offizielle Quellen und keine 3rd Party Tools
  • Bedeutet keine unbekannte Repositories nutzen, wenn möglich immer direkt beim Hersteller deine Updates herunterladen.
  • Wenn deine Anti-Malware (Anti Virus/Endpoint Protection) Alarm schlägt, sei vorerst misstrauisch und prüfe ob deine Software wirklich echt ist.
    Verlasse dich dabei nicht nur auf Signings (Signierungen) siehe hierzu:
    https://winfuture.de/news,123738.html
• Sichere deine Accounts, besonders deine Online Accounts, nicht nur mit einem starken Passwort, sondern auch mit einem zweiten oder dritten Faktor ab (MFA)
• Bewege dich nicht auf Seiten die keine HTTPS Verschlüsslung anbieten.
  • Das Hypertext Transfer Protocol Secure kurz HTTPS steht hierbei für eine verschlüsselte, also abgesicherte Kommunikation zwischen dir und der Webseite/dem Webdienst. Bedeutet dritte können entweder gar nicht oder nur unter widrigen Umständen deine Kommunikation mitlesen
  • Bei Hypertext Transfer Protocol (HTTP) ist dies nicht der Fall, hier kann theoretisch jeder die Kommunikation mitschneiden und sehen was übertragen wird.
    • Kleiner Zusatz, nur weil es eine Sicherheitswarnung bei einem Webseiten Aufruf gibt, heißt das nicht, dass du kein HTTPS verwendest.
      Eine Warnmeldung trotz HTTPS sagt lediglich dass das Zertifikat abgelaufen ist.
      Was Zertifikate sind werde ich dir gerne in einem anderen Blog Eintrag erklären und später hier verlinken.

Es gibt hier noch weitere Punkte, doch dies sollte ein gutes Roundup sein für das Thema Sicherheit im Internet für jedermann.

🔒 Privatspähre (Privacy) 🔒

Bei Privatspähre (Privacy) befasst man sich mit einer anderen Frage.
Die Frage:
Wie gehe ich mit meinen Daten im Internet möglichst sorgsam um und hinterlasse nicht zu viele „Spuren“/Daten?

Es geht also mehr um die Kontrolle: wo gebe ich meine Daten hin und wofür.

Dabei wird jedes mal abgewägt, will ich meine Daten jetzt mehr schützen oder ist mir Funktion XY wichtiger.

Auch die Frage wenn man sich z.B. für einen Mail Anbieter entscheidet, welchen Anbieter man da nimmt ist hier umfassender.

Denn einige Mail Anbieter, bieten dir zwar ein „kostenloses“ Mailpostfach an, doch zu welchem Preis?
Den nichts ist in unserer Welt wirklich umsonst, daher werden meist bei „kostenlosen“ Diensten z.B: Werbungen geschaltet oder Tracking verwendet um mehr Daten von dir zu sammeln.

Durch diese Daten können personalisierte Profile erstellt werden, welche dir dann „eine gezielte“ Erfahrung geben sollen.

Das kann jedoch auch bedeuten wenn du Privatsphäre bewusst handelst, das du einige Qualitätsfunktionen nicht oder nur eingeschränkt nutzen kannst.

Wenn man mehr Privatspähre wahren will stellt sich oft die Frage wann geht es zu weit und wann ist es zu wenig.

Das ist allerdings eine sehr subjektive Wahrnehmung, wodurch die Grenzen zu den Anderen vorgehen für einen selbst nicht klar zu ziehen ist.

👺Anonymität (Anonymous) 👺

Anonymität befasst sich damit, wie man möglichst nicht identifizierbar bleibt.
Also wie man nicht nur „Spuren“ verwischt, sondern auch komplett untertauchen will/kann/muss.
Dabei kann es darum gehen, dass du soweit wie möglich aus allen Systemen entfernt werden und danach gar nicht mehr auftauchen willst.

Hierdurch schrenken sich deine Aktivitäten nicht automatisch ein, jedoch wird alles „anstrengender“, für dich und die in deiner Umgebung.

Denn wer Anonymität will, muss nicht einfach überlegen wem oder was er die Daten gibt, sondern ob sich das wirklich lohnt.

Meistens arbeiten Menschen die Anonymität haben wollen mit verschiedenen Mitteln die einem teilweise extrem oder „lächerlich“ vorkommen.

Doch wie macht man das? Es gibt einige Möglichkeiten hierzu und es kommt drauf an in welchen Aspekten man eine Anonymität herbeiführen will.

Hinzu kommt, dass hier nochmals unterschieden werden muss in „teilweise“ & „vollständige“ Anonymität, der Grund? Gesetze!

Der Grund ist, dass „vollständige“ Anonymität in Deutschland nicht mehr möglich ist, da nahezu alle Optionen hierfür inzwischen nicht mehr nutzbar sind oder gegen Gesetze „verstoßen“.

Man kennt es aus Filmen: am Besten ein Handy nehmen mit Prepaid SIM und schon hat man den ersten Schritt getan, doch so geht das bei uns nicht mehr.

In Deutschland muss jede SIM Karte einer Person zuweisbar sein, was eine Authentifizierung mittels z.B. eines Ausweisdokuments voraussetzt.

Daher kann man meistens davon ausgehen, wenn man in Deutschland lebt, dass eine „vollständige“ Anonymität nicht umsetzbar ist.

Anonymität kann natürlich noch weiter gehen.

Beispiel Edward Snowden hat jedes seiner Handy geöffnet und alles ausgebaut an Hardware was er nicht benötigt hat oder nicht sicher war, was es tut.

Das hat auch das Mikrofon getroffen, weil er sagt:
Man kann nicht sicher sein ob nicht jemand das Mikrofon grade nutzt um einen abzuhören.

Er verwendet also immer externe Mikrofone z.B. Headsets wenn er telefonieren muss.

Zusammenfassung

Anonymität ist die vollständige Vermeidung von Weitergabe von Daten. Dabei ist jedes Mittel recht um die Daten noch weniger werden zu lassen, egal wie umständlich das ist.
Das kann auch soweit gehen, dass man die eigene Hardware modifiziert und auf einige „gängige“ Annehmlichkeiten verzichtet um dies zu erreichen.

Privatsphäre ist der bewusste Umgang mit der Kernfrage „Wem geben ich meine Daten und für was?“, dass heißt, hier wird für einen selbst immer abgewägt ob es einem Wert ist, seine Daten herzugeben oder ob man auf Alternativen zurückgreift.

Sicherheit will maximalen Schutz der digitalen Identität schaffen, das kann teilweise zur Datenaminierung führen, doch wichtiger ist, dass man abgesichert ist. Bedeutet, dass auch Tracking in Kauf genommen werden kann, da durch ein erfasstest Profil Anomalien durch Dritte festgestellt werden können und „schlimmeres“ abwendet werden kann.

Auch geht es bei Sicherheit im Internet darum zu wissen, von wo beziehe ich meine Daten und ist die Quelle vertraulich.

Beispiel Appstores

Ein für mich sehr beliebtes Beispiel bei dieser Frage sind Appstores von z.B. Android.

Mal die bekanntesten Android Stores aufgelistet:

• Google Play Store (Google eigener Store) https://play.google.com/store/games?device=windows

• F-Droid (Community Store für Open Source) https://f-droid.org/

• Aurora Store (dieser Store bietet die Möglichkeit Google Play Apps runter zu laden ohne Google Account) https://aurorastore.org/

Playstore

Der Google Play Store ist ganz klar im Sicherheitssektor einzuordnen.
Denn hier hast du einen zentralen Hub über den du deine Apps für dein Gerät beziehen kannst und durch Mechanismen wie Google Play Protect und einen Audit Prozess sind die meisten, nicht alle, Apps aus dem Store sicher.

Leider birgt dies Risiken für deine Daten, denn du benötigst bei Apps aus diesem Store zum einen, einen Google Account und zwingend auch die Google Play Dienste welchen wiederum oft für Tracking verwendet werden.
Ebenfalls fordern die meisten Apps aus diesem Store mehr Berechtigungen an als benötigt, diese können zwar entzogen werden, jedoch für einen normalen oder unerfahrenen Nutzer ist das schlecht.
Hier werden also Daten über einen gesammelt.

Ebenfalls kann durch das Altersrating von gewissen Apps wie z.B: Discord (ab 18 Jahren) eine Altersverifikation gefordert werden.
Hierdurch wird natürlich auch nochmal ein genaueres Profil über einen angelegt.

F-Droid

Der F-Droid Store muss über einen Browser runtergeladen werden und manuell installiert werden, daher hat diesen Store nicht jeder.
Der Store bietet Open-Source Apps an, welche komplett ohne Google Dienste lauffähig sind.

Die Apps kommen meist von Open-Source und Hobby Entwicklern und werden auch geprüft, dabei muss man sagen das F-Droid ein: Zitat: „non-profit volunteer project“ ist.

Bedeutet auch, dass hier die Ressourcen nicht vergleichbar sind.

Der Vorteil hier ist ganz klar, dass keine Tracker und Daten an Google übersendet werden.
Auch können hier schöne Open-Source Alternativen gefunden werden, sofern diese vorhanden sind.

Leider sind hier viele Apps nicht verfügbar, da nicht alle Apps Open-Source sind oder eine Open-Source Varriante haben.

Deshalb Daumen hoch für Privacy und Anonymität.

Der Security Aspekt bekommt ein OK, da alles gut aussieht, ich das persönlich jedoch nicht vollständig bewerten kann.

Aurora Store

Der Aurora Store ist äußerst beliebt da dieser die Option bietet, Google Play Apps ohne Google Account und ohne Google Play Dienste zu installieren.

Leider können Apps die Google Play Dienste nötig haben, hierdurch fehlerhaft oder erst gar nicht laufen. Dann müssen diese Dienste nachinstalliert werden. (Wie und wo kommt in einem eigenen Beitrag)

Dieser Store bietet an, dass man „Anonym (Secure und insecure)“ bei Google Play melden kann.
Die Unterschiede zwischen Secure und insecure sind vermutlich mit und ohne Verschlüsslung.

Jedenfalls können alle Apps auch ohne Altersverifikation geladen und genutzt werden.

Wird eine kostenpflichtige App benötigt kann auch ein Google Account verwendet werden um die App herunterzuladen. Bedeutet, man kann optional einen Google Account verwenden.

Es kann hier jedoch sein, dass einige Apps Probleme machen, weshalb dann die Google Dienste nochmal installiert werden müssen, sollte man ein DeGoogled Smartphone nutzen wie z.B. GrapheneOS.

Bei „normalen“ Smartphones sind die Google Play Dienste immer vorinstalliert.

Die Anoyme Anmeldung wird durch vom Entwickler bereitgestellte Accounts abgewickelt, hierdurch können Usabillty Probleme aufkommen, wenn z.B. Google die Accounts des Entwicklers sperrt oder auch kann nicht immer die Suche des Stores verwendet werden, weil man „Rate limited“ ist.

Hier gibt es bekannte Workarounds!

Für Anonymität und Privatspähre ist dieser Store ein Traum, da hier ein Community Projekt offen ist, dass einem wirklich hilft aus den Fängen von Google zu entkommen.

Dafür also absolutes Daumen hoch.

Wo es ein „it depends“ also „es kommt drauf an“ bekommt, ist bei Sicherheit.
Zwar kann man hier Apps aus dem offiziellen Play Store laden, es ändert den Fakt jedoch nicht, dass der Aurora Store eine zusätzliche „Station“ ist, somit geben wir unser Vertrauen einem Team von Entwicklern die wir selber gar nicht kennen.

Der Store ist Open-Source wodurch man den Code jederzeit reviewen und für sich selbst bewerten kann, ob es passt oder nicht.

Bezahlmethoden

Das Einfachste nicht technische Beispiel ist hier die Beizahlmethode.

Hier haben wir zum einen Bargeld,Zahlungsabwicklung über die Bank direkt (Lastschrift, Überweisung) und Kreditkarte+Paypal

Bargeld

Dabei stellt das Bargeld die anoymste Varriante für Zahlung dar, denn hier kann nicht verfolgt werden für was das Geld ausgegeben wird.
Daher ist Bargeld auch meist für Behörden (ab Landesebene) ein Hindernis, da so z.B. nicht klar ist wo das Geld herkommt oder hinfließt.

Es kann nicht festgestellt werden, wer mit wem im Kontakt stand.

Ein Nachteil bei Barzahlung kann sein, dass hierdurch jedoch keine Sicherheiten vorhanden sind, nachdem was oder bei wem erworben wird.

Also ein hohes Maß an Anonymität. Dadurch ist Privacy „überflüssig“

Dafür nicht unbedingt ein genauso hohes Maß an Sicherheit

Zahlungsabwicklung durch Bank

Bei Zahlungen über die Bank wie z.B. per Lastschrift, Überweisung oder auch durch EC-Karten ist es möglich, eine Zahlung so abzuwickeln, dass diese nachweisbar/nachvollziehbar ist.
Dabei kommt es natürlich auch darauf an, welche Zahlungsweise genutzt wird, z.B. ist bei einer Lastschrift ein Lastschrift Mandat nötig, während man bei einer Überweisung selbst tätig werden muss.
Bei einer Überweisung z.B. wird zwar getrackt ob eine Zahlung unter genannten Zahlungsbetreff eingeht, jedoch darf die Gegenseite deine Bankdaten nicht abspeichern.

Bei der Lastschrift werden die Bankdaten vollständig im System des Anderen gespeichert, da das Konto ja belastet werden muss.

Durch die Trackbarkeit und somit Nachweisbarkeit verliert man den Anoymitätsaspekt komplett, dafür hat man einen hohen Anteil Privacy, der hier betrieben werden kann.
Security/Sicherheit hat man hierdurch mehr als beim Bargeld.
Das bedeutet, deine Zahlungen sind immer entweder durch dein Banking (Analog und Online) oder deine Lastschriftmandate gesichert. Ebenfalls hast du bei Zahlungen durch die Banksystem eine gewisse Sicherheit durch die Absicherung, denn was viele nicht wissen, die Bank kann dein Geld zurückholen oder im Falle eines „Diebstahls“ bist du durch die Bank versichert, sofern du nicht grob fahrlässig handelst.

Online Zahlungen (z.B. Paypal oder Kreditkarte)

Die wohl bekanntesten Zahlungsmittel in der heutigen Zeit.

Diese Zahlungsarten unterscheiden sich zwar im Detail, fungieren jedoch sehr ähnlich.

Hier gibst du einem Dritten deine Daten, dafür geht dieser her und fungiert als eine Art „Man in the Middle“ also geht beim Thema Zahlung als Verwalter zwischen dir und deinen Käufer/Verkäufer.

Hier muss auch erwähnt werden, dass diese Methoden Gebühren von mindestens einer der beiden Seiten, meistens des Verkäufers, erheben.
Ebenfalls sei zu erwähnen, dass es verschiedene Arten von Kreditkarten gibt.

Bei dem Zahlungsvorgang sind beide Seiten geschützt, das der „Verwalter“ den Überblick hat ob jemand zahlt und ob eine Ware/Dienstleistung übergeben wurde. Der Nachweis kann natürlich bei Dienstleistungen recht schwierig sein, dennoch machbar.

Dadurch, dass einer alles verwaltet, muss keiner der beiden Seiten sich große Gedanken zur Zahlungsabwicklung machen.
Ein weiterer Vorteil für dich, andere Dritte erhalten keine Daten zu deinem Konto etc.
Diese liegen lediglich deinem „Zahlungsverwalter“ vor.

Was man hier erwähnen muss, ist natürlich, dass du durch den „Man in the Middle“, diesem auch deine Daten anvertraust, was bei z.B. Klarna oder PayPal sehr umstritten ist, wenn es Privatspähre (Privacy) angeht.

Kreditkarten sind hier je nach Ausführung und Anbieter besser, hier kommt es tatsächlich darauf an, bei wem du diese Karte(n) hast.

Meine Empfehlung ist, nutze sofern möglich mindestens zwei Kreditkarten, eine für deine Zahlungen unterwegs und dann noch eine „virtuelle“ die du „nur“ für Online Zahlungen verwendest.

Die meisten Banken bieten dir solch ein Modell an und deine Bank hat bereits viele deiner Daten, daher hast du aus Privacysicht deine Daten die im Umlauf sind minimiert.

Zumindestens wie es in Deutschland am besten umsetzbar ist.

Disclaimer

Dies ist keine feste Definition wie es ist, sondern mein Versuch es für alle verständlich zu machen, wo die Unterschiede in den drei Feldern liegen.

Gerne können wir uns in den Kommentaren oder via Mail weiter austauschen.

Quellen Angaben

Das Verwendete Bildmaterial Stammt aus folgenden Quellen:

https://www.pngegg.com/2ac49a5c-b8ba-4d08-acce-d05cec810c4a

https://www.pngegg.com/a78497f4-f54a-4ccc-a9ad-c0e815748a7d

https://www.pngegg.com/1555119d-834d-44d8-8f83-6edf4b8b86fb

https://www.pngegg.com/cd036692-5867-4034-9702-1c74b418080c

https://www.pngegg.com/3476925e-5335-410d-bdae-94812745f190

https://www.pngegg.com/de9efec0-6ba3-489e-a6ff-fed997489b8a

https://auroraoss.com/img/ic_launcher.png

https://www.pngegg.com/fea0d7e1-df2c-4167-9647-0d341e25e7ab

:https://www.pngegg.com/23bf93b3-cef0-4970-9859-204246a27947

Inhaltliche Quellen sind folgende:

Persönliche Erfahrung

https://f-droid.org/en/about/

https://gitlab.com/AuroraOSS/AuroraStore/-/wikis/home

https://gitlab.com/AuroraOSS/AuroraStore/activity

The post Diese 3 Begriffe werden verwechselt, ein Aufklärungsversuch first appeared on Dominik's Blog.