privacyguides/i18n
1
0
Fork 0
mirror of https://github.com/privacyguides/i18n.git synced 2025-06-30 06:02:38 +00:00
Code Activity
Files
794bfd4b5a301dcd48ff56aee68b452f9b9cd423
i18n/i18n/de/basics/common-threats.md
Crowdin Bot 6704d2fbac New Crowdin translations by GitHub Action
2024-09-04 16:36:22 +00:00

24 KiB
Raw Blame History

title, icon, description
title icon description
Häufige Bedrohungen material/eye-outline Deine persönliche Bedrohungsanalyse kannst nur du selber durchführen. Vielen Besuchern dieser Webseite sind aber folgende Dinge wichtig.

Wir ordnen unsere Empfehlungen nach Bedrohungen beziehungsweise Zielen, die für die meisten Menschen gelten. ==Dich können keine, eine, einige oder alle dieser Themen betreffen==, und du solltest die von dir eingesetzten Werkzeuge und Dienste von deinen Zielen abhängig machen. Du kannst auch spezifische Bedrohungen außerhalb dieser Kategorien haben, das ist völlig in Ordnung! Wichtig ist, dass du die Vorteile und Schwächen der von dir gewählten Werkzeuge kennst, denn praktisch keines davon schützt dich vor jeder Bedrohung.

:material-incognito: Anonymität :

Schütze deine Online-Aktivitäten von deiner realen Identität, um dich vor Personen zu schützen, die gezielt versuchen deine Identität aufzudecken.

:material-target-account: Targeted Attacks :

Schutz vor Hackern oder anderen böswilligen Akteuren, die versuchen, sich Zugang zu *deinen * Daten oder Geräten zu verschaffen.

:material-package-variant-closed-remove: Supply Chain Attacks :

Typically a form of :material-target-account: Targeted Attack that centers around a vulnerability or exploit introduced into otherwise good software either directly or through a dependency from a third party.

:material-bug-outline: Passive Angriffe :

Schutz vor Malware, Datenleaks und anderen Angriffen, die sich gegen viele Menschen gleichzeitig richten.

:material-server-network: Diensteanbieter :

Schutz deiner Daten vor Dienstleistern (z. B. mit E2EE, welche deine Daten für den Server unlesbar macht).

:material-eye-outline: Massenüberwachung :

Schutz vor Regierungsbehörden, Organisationen, Webseiten und Diensten, die zusammenarbeiten, um deine Aktivitäten zu verfolgen.

:material-account-cash: Überwachungskapitalismus :

Schutz vor großen Werbenetzwerken wie Google und Facebook sowie vor einer Vielzahl anderer Datensammler.

:material-account-search: Public Exposure :

Begrenzung der Informationen über dich online—für Suchmaschinen oder die allgemeine Öffentlichkeit.

:material-close-outline: Zensur :

Avoiding censored access to information or being censored yourself when speaking online.

Einige dieser Bedrohungen können für dich wichtiger sein als andere, je nach deinen spezifischen Anliegen. Ein Softwareentwickler, der Zugang zu wertvollen oder kritischen Daten hat, könnte sich beispielsweise in erster Linie über :material-package-variant-closed-remove: Supply Chain-Angriffe und :material-target-account: Targeted Attacks Sorgen machen. Sie werden wahrscheinlich immer noch ihre persönlichen Daten davor schützen wollen, von :material-eye-outline: Massenüberwachungsprogrammen erfasst zu werden. Ebenso sind viele Menschen vielleicht in erster Linie besorgt über die :material-account-search: Öffentliche Bloßstellung ihrer persönlichen Daten, sollten aber trotzdem auf sicherheitsrelevante Probleme achten, wie z. B. :material-bug-outline: Passive Angriffe - wie Malware, die ihre Geräte befallen.

Anonymität vs. Datenschutz

:material-incognito: Anonymität

Anonymität wird oft mit Datenschutz in einen Topf geworfen, es sind aber unterschiedliche Konzepte. Während Datenschutz aus einer Reihe von Entscheidungen besteht, die du über die Verwendung und Weitergabe deiner Daten triffst, bedeutet Anonymität die vollständige Trennung deiner Online-Aktivitäten von deiner wirklichen Identität.

Für Whistleblower und Journalisten beispielsweise kann ein viel extremeres Bedrohungsmodell gelten, das völlige Anonymität erfordert. Das bedeutet nicht nur, dass sie verbergen, was sie tun, welche Daten sie haben und dass sie nicht von böswilligen Akteuren oder Regierungen gehackt werden, sondern auch, dass sie völlig verbergen, wer sie sind. Sie sind oft bereit, jede Art von Bequemlichkeit zu opfern, wenn es darum geht, ihre Anonymität, Privatsphäre oder Sicherheit zu schützen, weil ihr Leben davon abhängen könnte. Die meisten Menschen brauchen so weit nicht zu gehen.

Sicherheit und Datenschutz

:material-bug-outline: Passive Angriffe

Sicherheit und Datenschutz werden auch oft verwechselt, weil man Sicherheit braucht, um überhaupt einen Anschein von Datenschutz zu erhalten: Der Einsatz von Tools - selbst wenn sie von vornherein privat sind - ist sinnlos, wenn sie leicht von Angreifern ausgenutzt werden können, die später Ihre Daten veröffentlichen. Das Gegenteil ist jedoch nicht unbedingt der Fall: Der sicherste Dienst der Welt ist nicht unbedingt privat. Das beste Beispiel hierfür ist das Anvertrauen von Daten an Google, das in Anbetracht seiner Größe nur wenige Sicherheitsvorfälle zu verzeichnen hatte, weil es branchenführende Sicherheitsexperten mit der Sicherung seiner Infrastruktur beschäftigt. Obwohl Google sehr sichere Dienste anbietet, würden nur sehr wenige Menschen ihre Daten in den kostenlosen Verbraucherprodukten von Google (Gmail, YouTube usw.) als privat betrachten

When it comes to application security, we generally don't (and sometimes can't) know if the software we use is malicious, or might one day become malicious. Even with the most trustworthy developers, there's generally no guarantee that their software doesn't have a serious vulnerability that could later be exploited.

To minimize the damage that a malicious piece of software could do, you should employ security by compartmentalization. For example, this could come in the form of using different computers for different jobs, using virtual machines to separate different groups of related applications, or using a secure operating system with a strong focus on application sandboxing and mandatory access control.

Tipp

Mobile operating systems generally have better application sandboxing than desktop operating systems: Apps can't obtain root access, and require permission for access to system resources.

Desktop operating systems generally lag behind on proper sandboxing. ChromeOS has similar sandboxing capabilities to Android, and macOS has full system permission control (and developers can opt-in to sandboxing for applications). However, these operating systems do transmit identifying information to their respective OEMs. Linux tends to not submit information to system vendors, but it has poor protection against exploits and malicious apps. This can be mitigated somewhat with specialized distributions which make significant use of virtual machines or containers, such as Qubes OS.

Angriffe auf bestimmte Personen

:material-target-account: Targeted Attacks

Targeted attacks against a specific person are more problematic to deal with. Zu den üblichen Angriffen gehören das Versenden bösartiger Dokumente per E-Mail, das Ausnutzen von Sicherheitslücken (z. B. in Browsern und Betriebssystemen) und physische Angriffe. Wenn dies für dich eine Gefahr darstellt, solltest du fortschrittlichere Strategien zur Bedrohungsabwehr einsetzen.

Tipp

In Webbrowsern, E-Mail-Clients und Büroanwendungen wird in der Regel nicht vertrauenswürdiger Code ausgeführt, der dir von Dritten übermittelt wird. Der Einsatz mehrerer virtueller Maschinen — um Anwendungen wie diese von deinem Hostsystem und voneinander zu trennen - ist eine Technik, mit der du die Gefahr verringern kannst, dass ein Exploit in diesen Anwendungen den Rest deines Systems gefährdet. Beispielsweise bieten Technologien wie Qubes OS oder Microsoft Defender Application Guard unter Windows bequeme Methoden, dies zu tun.

Wenn du dir Sorgen über physische Angriffe machst, solltest du ein Betriebssystem mit einer sicheren verifizierten Boot-Implementierung verwenden, wie Android, iOS, macOS oder Windows (mit TPM). You should also make sure that your drive is encrypted, and that the operating system uses a TPM or Secure Enclave or Element to rate limit attempts to enter the encryption passphrase. Du solltest es auch vermeiden, deinen Computer mit Personen zu teilen, denen du nicht vertraust, da die meisten Desktop-Betriebssysteme die Daten nicht separat pro Benutzer verschlüsseln.

Angriffe auf bestimmte Organisationen

:material-package-variant-closed-remove: Supply Chain Attacks

Supply chain attacks are frequently a form of :material-target-account: Targeted Attack towards businesses, governments, and activists, although they can end up compromising the public at large as well.

Beispiel

A notable example of this occurred in 2017 when M.E.Doc, a popular accounting software in Ukraine, was infected with the NotPetya virus, subsequently infecting people who downloaded that software with ransomware. NotPetya itself was a ransomware attack which impacted 2000+ companies in various countries, and was based on the EternalBlue exploit developed by the NSA to attack Windows computers over the network.

There are few ways in which this type of attack might be carried out:

  1. A contributor or employee might first work their way into a position of power within a project or organization, and then abuse that position by adding malicious code.
  2. A developer may be coerced by an outside party to add malicious code.
  3. An individual or group might identify a third party software dependency (also known as a library) and work to infiltrate it with the above two methods, knowing that it will be used by "downstream" software developers.

These sorts of attacks can require a lot of time and preparation to perform and are risky because they can be detected, particularly in open source projects if they are popular and have outside interest. Unfortunately they're also one of the most dangerous as they are very hard to mitigate entirely. We would encourage readers to only use software which has a good reputation and makes an effort to reduce risk by:

  1. Only adopting popular software that has been around for a while. The more interest in a project, the greater likelihood that external parties will notice malicious changes. A malicious actor will also need to spend more time gaining community trust with meaningful contributions.
  2. Finding software which releases binaries with widely-used, trusted build infrastructure platforms, as opposed to developer workstations or self-hosted servers. Some systems like GitHub Actions let you inspect the build script that runs publicly for extra confidence. This lessens the likelihood that malware on a developer's machine could infect their packages, and gives confidence that the binaries produced are in fact produced correctly.
  3. Looking for code signing on individual source code commits and releases, which creates an auditable trail of who did what. For example: Was the malicious code in the software repository? Which developer added it? Was it added during the build process?
  4. Checking whether the source code has meaningful commit messages (such as conventional commits) which explain what each change is supposed to accomplish. Clear messages can make it easier for outsiders to the project to verify, audit, and find bugs.
  5. Noting the number of contributors or maintainers a program has. A lone developer may be more susceptible to being coerced into adding malicious code by an external party, or to negligently enabling undesirable behavior. This may very well mean software developed by "Big Tech" has more scrutiny than a lone developer who doesn't answer to anyone.

Privatsphäre vor Dienstanbietern

:material-server-network: Diensteanbieter

Wir leben in einer Welt, in der fast alles mit dem Internet verbunden ist. Unsere „privaten“ Nachrichten, E-Mails und sozialen Interaktionen werden meist irgendwo auf einem Server gespeichert. Wenn du jemandem eine Nachricht schickst, wird diese in der Regel auf einem Server gespeichert, und wenn dein Freund die Nachricht lesen möchte, zeigt der Server sie ihm an.

Das offensichtliche Problem dabei ist, dass der Dienstanbieter (oder ein Hacker, der in den Server eingedrungen ist) auf deine Unterhaltungen zugreifen kann, wann und wie er will, ohne dass du es je erfährst. Dies gilt für viele gängige Dienste wie SMS-Nachrichten, Telegram und Discord.

Glücklicherweise kann E2EE dieses Problem lindern, indem es die Kommunikation zwischen dir und den gewünschten Empfängern verschlüsselt, bevor sie überhaupt an den Server gesendet wird. Die Vertraulichkeit deiner Nachrichten ist gewährleistet, vorausgesetzt, der Dienstanbieter hat keinen Zugang zu den privaten Schlüsseln der beiden Parteien.

Hinweis zur webbasierten Verschlüsselung

In practice, the effectiveness of different E2EE implementations varies. Applications, such as Signal, run natively on your device, and every copy of the application is the same across different installations. If the service provider were to introduce a backdoor in their application—in an attempt to steal your private keys—it could later be detected with reverse engineering.

On the other hand, web-based E2EE implementations, such as Proton Mail's web app or Bitwarden's Web Vault, rely on the server dynamically serving JavaScript code to the browser to handle cryptography. A malicious server can target you and send you malicious JavaScript code to steal your encryption key (and it would be extremely hard to notice). Because the server can choose to serve different web clients to different people—even if you noticed the attack—it would be incredibly hard to prove the provider's guilt.

Therefore, you should use native applications over web clients whenever possible.

Even with E2EE, service providers can still profile you based on metadata, which typically isn't protected. While the service provider can't read your messages, they can still observe important things, such as who you're talking to, how often you message them, and when you're typically active. Protection of metadata is fairly uncommon, and—if it's within your threat model—you should pay close attention to the technical documentation of the software you're using to see if there's any metadata minimization or protection at all.

Massenüberwachungsprogramme

:material-eye-outline: Massenüberwachung

Mass surveillance is the intricate effort to monitor the "behavior, many activities, or information" of an entire (or substantial fraction of a) population.1 It often refers to government programs, such as the ones disclosed by Edward Snowden in 2013. However, it can also be carried out by corporations, either on behalf of government agencies or by their own initiative.

Atlas der Überwachung

If you want to learn more about surveillance methods and how they're implemented in your city you can also take a look at the Atlas of Surveillance by the Electronic Frontier Foundation.

In France you can take a look at the Technopolice website maintained by the non-profit association La Quadrature du Net.

Governments often justify mass surveillance programs as necessary means to combat terrorism and prevent crime. However, as breaches of human rights, they're most often used to disproportionately target minority groups and political dissidents, among others.

ACLU: The Privacy Lesson of 9/11: Mass Surveillance is Not the Way Forward

In the face of Edward Snowden's disclosures of government programs such as PRISM and Upstream, intelligence officials also admitted that the NSA had for years been secretly collecting records about virtually every Americans phone calls — whos calling whom, when those calls are made, and how long they last. This kind of information, when amassed by the NSA day after day, can reveal incredibly sensitive details about peoples lives and associations, such as whether they have called a pastor, an abortion provider, an addiction counselor, or a suicide hotline.

Despite growing mass surveillance in the United States, the government has found that mass surveillance programs like Section 215 have had "little unique value" with respect to stopping actual crimes or terrorist plots, with efforts largely duplicating the FBI's own targeted surveillance programs.2

Online kannst du über eine Vielzahl von Methoden verfolgt werden, einschließlich, aber nicht beschränkt auf:

  • Deine IP-Adresse
  • Browser-Cookies
  • Die Daten, die du an Websites übermittelst
  • Dein Browser- oder Gerät-Fingerabdruck
  • Korrelation von Zahlungen

Wenn du über Massenüberwachungsprogramme besorgt bist, kannst du Strategien anwenden, wie z. B. deine Online-Identitäten abzuschotten, dich unter andere Benutzer zu mischen oder, wann immer möglich, einfach zu vermeiden, identifizierende Informationen preiszugeben.

Überwachung als Geschäftsmodell

:material-account-cash: Überwachungskapitalismus

Der Überwachungskapitalismus ist ein Wirtschaftssystem, in dessen Mittelpunkt die Erfassung und Vermarktung personenbezogener Daten mit dem Hauptziel der Gewinnerzielung steht.3

Für viele Menschen ist die Verfolgung und Überwachung durch private Unternehmen eine wachsende Sorge. Weit verbreitete Werbenetzwerke, wie die von Google und Facebook betriebenen, umspannen das Internet weit über die von ihnen kontrollierten Websites hinaus und verfolgen dabei deine Handlungen. Der Einsatz von Tools wie Content-Blockern zur Begrenzung der Netzwerkanfragen an ihre Server und das Lesen der Datenschutzrichtlinien der von dir genutzten Dienste kann dir helfen, viele einfache Angriffe zu vermeiden (auch wenn dies das Tracking nicht vollständig verhindern kann).4

Darüber hinaus können auch Unternehmen außerhalb der AdTech- oder Tracking-Branche deine Informationen an Datenmakler (wie Cambridge Analytica, Experian oder Datalogix) oder andere Parteien weitergeben. You can't automatically assume your data is safe just because the service you're using doesn't fall within the typical AdTech or tracking business model. The strongest protection against corporate data collection is to encrypt or obfuscate your data whenever possible, making it difficult for different providers to correlate data with each other and build a profile on you.

Einschränkung der öffentlichen Information

:material-account-search: Public Exposure

Der beste Weg, deine Daten privat zu halten, besteht darin, sie gar nicht erst öffentlich zu machen. Das Löschen unerwünschter Informationen über dich online ist einer der besten ersten Schritte, die du unternehmen kannst, um deine Privatsphäre wiederzuerlangen.

On sites where you do share information, checking the privacy settings of your account to limit how widely that data is spread is very important. For example, enable "private mode" on your accounts if given the option: This ensures that your account isn't being indexed by search engines, and that it can't be viewed without your permission.

If you've already submitted your real information to sites which shouldn't have it, consider using disinformation tactics, like submitting fictitious information related to that online identity. This makes your real information indistinguishable from the false information.

Vermeidung von Zensur

:material-close-outline: Zensur

Censorship online can be carried out (to varying degrees) by actors including totalitarian governments, network administrators, and service providers. These efforts to control communication and restrict access to information will always be incompatible with the human right to Freedom of Expression.5

Censorship on corporate platforms is increasingly common, as platforms like Twitter and Facebook give in to public demand, market pressures, and pressures from government agencies. Government pressures can be covert requests to businesses, such as the White House requesting the takedown of a provocative YouTube video, or overt, such as the Chinese government requiring companies to adhere to a strict regime of censorship.

People concerned with the threat of censorship can use technologies like Tor to circumvent it, and support censorship-resistant communication platforms like Matrix, which doesn't have a centralized account authority that can close accounts arbitrarily.

Tipp

While evading censorship itself can be easy, hiding the fact that you are doing it can be very problematic.

You should consider which aspects of the network your adversary can observe, and whether you have plausible deniability for your actions. For example, using encrypted DNS can help you bypass rudimentary, DNS-based censorship systems, but it can't truly hide what you are visiting from your ISP. A VPN or Tor can help hide what you are visiting from network administrators, but can't hide that you're using those networks in the first place. Pluggable transports (such as Obfs4proxy, Meek, or Shadowsocks) can help you evade firewalls that block common VPN protocols or Tor, but your circumvention attempts can still be detected by methods like probing or deep packet inspection.

You must always consider the risks of trying to bypass censorship, the potential consequences, and how sophisticated your adversary may be. You should be cautious with your software selection, and have a backup plan in case you are caught.

  1. Wikipedia: Massenüberwachungen und Überwachung. ↩︎

  2. United States Privacy and Civil Liberties Oversight Board: Report on the Telephone Records Program Conducted under Section 215 ↩︎

  3. Wikipedia: Surveillance capitalism ↩︎

  4. "Enumerating badness" (or, "listing all the bad things that we know about"), as many content blockers and antivirus programs do, fails to adequately protect you from new and unknown threats because they have not yet been added to the filter list. You should also employ other mitigation techniques. ↩︎

  5. United Nations: Universal Declaration of Human Rights. ↩︎