Privatsphäre und Handy Sicherheit – Grundlagen für den mobilen Alltag

Im Artikel “Privatsphäre und Handy-Sicherheit – Grundlagen für den mobilen Alltag” zeige ich dir, dass Sicherheit und Privatsphäre auf Mobiltelefonen möglich sind. Dabei ist es erst einmal egal, ob du ein iPhone, Android oder Linux-Telefon benutzt.

Und ähnlich einem Führerschein fürs Auto, lernst du hier die Regeln um dein Handy und deine Apps unter deine Kontrolle zu bringen.

Wenn du alles verinnerlicht hast, kannst du es Schritt für Schritt mit deinem Mobiltelefon umsetzen. Am Ende findest du wie immer eine Linksammlung mit wesentlicher Beiträge zu dem Thema. Ich freue mich auf Hinweise, Fragen oder Feedback.

Verhaltensweisen und Grundlagen

Überall im Offline-Leben gibt es Regeln oder Verhaltensweisen die wir einhalten. Manche sind vorgeschrieben und an andere halten wir uns intuitiv, da es einfach besser oder sicherer für uns ist. Etwa, dass man bei einem Spurwechsel auf der Autobahn blinken muss, dass man beim Einparken besser die Handbremse anzieht oder keine Wertgegenstände im Auto liegen lässt.

Ähnliche, empfohlene Verhaltensweisen gibt es auch im digitalen Leben, bei der Benutzung eines Mobiltelefones. Nur gibt es dafür noch keine “Fahrschule”, kein Training und keine Sicherheitseinweisung. Schau dir, bevor du hier weitermachst, noch einmal kurz die 10 Grundregeln für dein Online Leben an.

Worauf solltest du unbedingt achten?

Automatische Updates des Betriebssystems

Neben der Behebung von allgemeinen Fehlern und  Verbesserungen werden bei Betriebssystem-Updates immer auch Sicherheitsprobleme behoben. Viele Updates werden überhaupt erst wegen entdeckter Sicherheitsmängeln notwendig. Es ist daher sehr wichtig, dass du dein Mobiltelefon – am besten automatischen – mit Updates versorgst.

Zugangssperre mit Passcode

Der Passcode entsperrt und entschlüsselt dein Mobiltelefon. Verlierst du dein Gerät oder möchte z.B. an einer Grenze jemand dein Gerät durchsuchen, ist das ohne Passcode sehr schwer. Es ist deshalb wichtig, einen individuellen und einmaligen Passcode zu vergeben und diesen geheim zu halten.

Sicherheitsexperten und Kryptoanalytiker würden dir sagen, dass dein Passcode so sicher und so lang wie möglich sein muss – am besten eine lange, alphanumerische Password-Phrase. Aber schaffst du es im täglichen Leben diesen Passcode ständig in dein Handy einzugeben?

Ich würde sagen, fang mit einer 6-stelligen wirklich, zufälligen Zahl an. Wenn das gut funktioniert, gehe den nächsten Schritt und erstelle dir einen längeren, alphanumerischen Passcode.

Lies zur Wiederholung den Artikel über sichere Passwörter und Passwort-Phrasen aus dem BaseCamp.

Notiere dir den Passcode auf eine leere Karteikarte. Leg ihn an einem Ort wo er nicht auffällt. Solltest du schon einen App zur Verwaltung all deiner Passwörter (Passwort Manager) haben, trage den Passcode dort ein.

Entsperren mit Fingerabdruck oder Face ID?

Viele Mobiltelefone bieten das Entsperren mit Fingerabdruck oder Gesichtserkennung an. Dein Passcode wird dann mit deinem Gesicht oder einem Fingerabdruck verknüpft. Das ist eine sehr bequeme und alltags-taugliche Möglichkeit einen langen, sicheren Passcode bequem und schnell einzugeben.

Solltest du diese Möglichkeit nutzen, ist es aber nicht ausgeschlossen, dass dir jemand dein iPhone vor das Gesicht hält oder man dich zu einem Fingerabdruck zwingt. Handy-Durchsuchungen, besonders an Grenzen, gibt es inzwischen in vielen Ländern.

Du hast jetzt zwei Möglichkeiten mit dem Thema umzugehen:

a) du nutzt Gesichtserkennung und Fingerabdruck nicht zum entsperren des Gerätes, sondern nur um im schon entsperrten Zustand einfacher z.B. auf Online Banking, Passwort-Manger oder Wallet zuzugreifen. Das ist meine Empfehlung.

b) oder du nutzt Gesichtserkennung und Fingerabdruck auch zum Entsperren, musst aber daran denken, dass du das Entsperren durch Gesichtserkennung/ Fingerabdruck z.B. vor einer Auslandsreise abschaltest.

Für jeden Account ein eigenes Passwort

Vergib für jeden Account, jeden Zugang, jeden Anbieter ein eigenes, sicheres Passwort oder eine Passphrase.

Passwort-Manager

Installiere dir einen vertrauenswürdigen Passwort-Manager, damit die die verschiedenen Passwörter sicher verwalten kannst. So musst dur dir nur ein einziges sicheres Passwort merhen. Das für den Passwort-Manager.

Da du mit dem Passwort-Manager deine Passwörter im Mobiltelefon und im Browser gleich eingeben kannst,  wird dein Online-Leben dadurch auch viele einfacher.

Mache deine Bilder und Videos nur ohne Standort-Information

Grundsätzlich solltet ihr in den Privatsphäreneinstellungen des Mobiltelefons eurer Kamera keinen Zugriff auf euren Standort geben. So kann in Bildern und Videos kein Standort gespeichert werden.

Vermeide die Clouds.. von Apple, Google, Microsoft und Co.

Cloud Dienste sind eigentlich eine tolle Sache. Du kannst sie dir als einen unsichtbaren Server im Internet vorstellen. All deine Geräte können auf diesen Server zugreifen. Du kannst damit deine Bilder sichern und deine Kontakte und Emails auf all deinen Geräten synchron halten. Und natürlich auch alle anderen Dokument dort sicher ablegen. Soweit zur Theorie…

Ob diese Informationen vertraulich bleiben, hängt davon ab wem dieser Server / Cloud-Dienst im Netz gehört.

Ideal ist natürlich, wenn ein Cloud-Anbieter deine Daten nur verschlüsselt erhält und somit kein Wissen über deine Daten hat. Nur du, wenn du die Daten z.B. auf deinem Mobiltelefon anschaust, kannst sie entschlüsseln und lesen. Das nennt man “Zero-Knowledge”.

Ich empfehle dir die Clouds von Apple, Google, Microsoft und Co. komplett zu meiden. Schau in der CloudPirat-Toolbox vorbei und sieh dir vertrauenswürdige Alternativen an.

Deine Apps unter deiner Kontrolle

Apps erweitern die Funktionalität deines Mobiltelefones. Und nichts ist schöner als schnell mal eine neue App zu probieren. Ein harmloses Spiel, der bessere Wetterbericht, die Anbindung an die Fitness-Uhr oder eine geniale Routing-App zum Fahrradfahren oder Wandern.

Was musst du dabei beachten?

Die meisten Apps haben neben ihrer Hauptaufgabe (z.B. die den Wetterbericht anzuzeigen) noch einen kleinen Nebenjob. Sie sammeln jede Menge privater Daten über dich. Diese Daten übermitteln sie an ihren Entwickler / Hersteller. Viele dieser Daten werden vermarktet, zu einem Personenprofil verdichtet und für Online-Werbung missbraucht bzw an Datenhändler weitergereicht.

App-Entwickler argumentieren oft, dass sie diese Daten benötigen um dir bessere oder genauere Ergebnisse liefern zu können. Hier musst du genau hinschauen. Es ist klar das eine Navigations-App wie Google Maps deinen Standort benötigt. Bei einer Wetter App, wo du bequem den Standort für dein Wetter ändern kannst, benötigt die App niemals deinen genauen Standort.

Welche privaten Daten können Apps erfassen?

Neben deinen eigentlichen Benutzer-Daten (Wer bist du?), deiner App-Nutzung (Was tust du?, Was gibst du ein?) interessieren sich App-Hersteller vor allem für deinem Echtzeit-Standort, deine Kontakte und die Daten der Sensoren deines Mobiltelefons. Das sind z.B.:

• GPS Sensor – deine genaue Position an jeden Tag und zu jeder Stunde
• Kamera – Bilder, Filme
• Mikrofon – Unterhaltung, Umgebungsgeräusche, Stimmung, Spracherkennung
• Bewegung – Erschütterung, Lage, Gang, auf und ab Bewegung, deine Fitness
• Annäherung – Annäherung von Objekten, über Elektromagnetismus oder Infrarot
• Bluethooth & Ultra Wide Band  – Wer ist in der Nähe? Übermittlung von Daten über kurze Distanzen

Was kannst du tun?

Für viele Dinge brauchst du gar keine App – Nutze einfach den Browser deines Mobiltelefons, statt jedes mal eine neue App zu installieren! Du brauchst z.B. nicht die BBC-App auf deinem Handy, um die Nachrichten der BBC zu lesen. Du kannst über deinen Handy-Browser die Website der BBC besuchen und die Nachrichten dort lesen.

Eine neue App kann eher eine Bedrohung für deine Privatsphäre und Sicherheit sein, während ein sicherer- und vertrauenswürdiger Browser dich schützt.

Ich speichere mir als Alternative zur App z.B. die Links meiner Nachrichtenseiten (z.B. von der BBC) als Lesezeichen im Browser. Einige Browser (z.B. Safari) erlauben es auch Website-Links direkt auf dem Bildschirm des Mobiltelefones zu speichern. Dann sieht es aus wie eine App, ist aber nur ein Link.

Reduziere die Anzahl deiner Apps auf ein Minimum – Gehe schrittweise vor und lösche jeden Tag ein Paar. Ersetze Sie durch Lesezeichen oder Links auf deinem Bildschirm. Lösche besonders die Apps von sozialen Medien wie Twitter, Instagram, WhatsApp, Telegram, den Facebook Messenger, TikTok und SnapChat. Übrigens gehören Apps von Dating-Portalen auch nicht auf ein Mobiltelefon.

App Zugriff auf die Sensoren reduzieren – Du solltest extrem darauf achten, das nur wenige, handverlesene Apps Zugriff auf deine Sensoren bekommen. Und das immer nur, während du die App benutzt! Das solltest das auch immer mal wieder kontrollieren und dann hart zurück stutzen.

Auch unsinnige Nachfragen einer App, ob sie nicht doch jederzeit auf deinen Standort zugreifen darf, solltest du nicht leichtfertig bestätigen. Eher überlegen, ob du diese App nicht lieber löschen willst.

Nutze möglichst nur Datenschutz-freundliche Apps – in meiner  CloudPirat Privacy Toolbox habe ich Datenschutz-freundliche und quellen-offene Apps für die wichtigsten Anwendungsbereiche vorgestellt. Sie sind von Experten geprüft, von mir getestet und aktuell gehalten. Die meisten sind fester Bestandteil meines Online-Lebens seit 2016.

PS: Quellen-offen heißt,  das der Programm-Code der App veröffentlicht wurde und das Experten überprüfen können, ob die App neben ihrer eigentlichen Funktion noch Dinge tut, die sie nicht tun sollte.

Achte auf die Privatsphären-Bewertung – Solltest du wieder mal von einer coolen App hören, schau dir vor der Installation zuerst ihre  Privatsphären-Bewertung an. Sowohl der Apple App Store als auch der Google PlayStore bieten inzwischen eine Privatsphären-Einschätzung an. Solltest du dir nicht sicher sein, verzichte auf die Installation oder suche gezielt nach quellen-offenen Lösungen.

PS: In der Android-Welt gibt es einen App-Store namens F-Droid. Dort gibt es nur freie und quellen-offene Apps die per se deine Privatsphäre schützen.

Lass dir keine neue Konten andrehen – Oft stellt sich nach der Installation einer neuen App heraus, das du sie ohne eine extra App-Konto nicht nutzen kannst. Natürlich musst du entscheiden, wie wichtig dir die Funktion der App ist. Wenn ich auf so etwas stoße, lösche ich die App meistens spontan.

 In der Regel können solche Anbieter deine Daten nicht schützen. Irgend wann werden sie doch mal gehackt. Den Ärger kannst du dir sparen.

Welche Mobiltelefone kannst du verwenden?

Nachdem kleinen Leitfaden für den den Umgang mit Mobiltelefonen, schlage ich dir jetzt zwei Mobiltelefone vor, mit denen du die Verhaltensweisen gut umsetzen kannst. Aber zuerst noch ein kleiner Ausflug zur Sicherheit von mobilen Telefonen im Allgemeinen.

Sicherheit von Mobiltelefonen

Bei der Entwicklung von Mobiltelefonen wie dem iPhone oder von Android-Telefonen wurde die Sicherheit des Nutzers als grundlegende Komponente von Anfang an berücksichtigt. Sie enthalten von Anfang an Konzepte wie:

Sandboxing – Jede App wird in einem eigenen Sandkasten „eingesperrt“ und darf nicht mit den „anderen Kindern“ spielen. Das soll, einfach gesagt, die Verbreitung von Schadsoftware eindämmen.

Verifiziertes Starten des Betriebssystems – Nur das unverfälschte und nicht von „Fremden“ modifizierte Betriebssystem kann gestartet werden. Mann nennt das auch “Advanced Verified Boot” (AVB).

Moderne Exploit-Abwehrmechanismen – eine Art Karies-Profilaxe für noch nicht erkannte Sicherheitslücken, eigentlich Programmierfehler oder ungenügend getestete Funktionen des Herstellers.

Daher sind unsere Handies im Standard bereits weitaus besser geschützt als etwa unsere PC’s. maidanSecurity and Privacy Advice | Madaidan’s Insecurities

(1) Google Pixel ab Version 6 mit dem Betriebssystem GrapheneOS

Ein Google Pixel Mobiltelefon mit GrapheneOS als Betriebssystem ist eine sichere und vertrauenswürdige Kombination.

Aber egal wie gut und sicher die Technik ist. Du muss die Verhaltensweisen drauf haben. Dein Verhalten und deine Disziplin beeinflussen deine Sicherheit und deine Privatsphäre zu 100 %.

Warum ausgerechnet ein Pixel von Google?

Pixel-Telefone verfügen über eine stärkere Hardwaresicherheit als alle anderen Android-Geräte, die derzeit auf dem Markt sind. Sie bieten einen “Advanced Verified Boot” auch für Betriebssysteme von Drittanbietern (z.B. GrapheneOS), haben Googles Titan-Sicherheitschips an Bord. Google garantiert ab dem “Pixel 6” 5 Jahre Sicherheitsupdates.

In GrapheneOS ist ein Android-Betriebssystem ohne Google Bestandteile. Die Entwickler von GraphenOS haben von Anfang an viele Funktionen bereitgestellt, um deine Privatsphäre zu schützen.

Wie du GrapheneOS auf deinem Pixel installierst und was du selber noch tun kannst, um mit deinem GrapheneOS Telefon sicher und privat am Online-Leben teilzunehmen, beschreibe ich in einem extra BaseCamp-Artikel (in Vorbereitung).

(2) Ein aktuelles iPhone mit aktuellem iOS Betriebssystem – ohne Jailbreak

Ein aktuelles iPhone ist technisch gesehen ein sicheres Mobiltelefon. Allerdings vertraust du deine Privatsphäre und Teile deiner privaten Daten möglicherweise Apple an. Mit welchen Einstellungen und Apps du auch auf einem iPhone sicher und privat am Online-Leben teilnehmen kannst, erkläre ich hier.

Welche Alternativen gibt es?

Warum z.B. kein “normales” Android Telefon? – Ein Standard Google-Android Mobiltelefon, so wie es z.B. auf einem Samsung oder Huawei Mobiltelefon vorzufinden ist, solltet ihr nicht verwenden. Nach meiner Ansicht ist es schwierig bis unmöglich seine Privatsphäre (und Daten) vor Google zu schützen.

Warum kein anderes „de-googled“ Android? – GrapheneOS in Kombination mit dem Google Pixel ist eine sichere und private Sache. Fast jeder kann das selbst installieren. Gerade weil sich GrapheneOS nur auf dieses eine technisch gute Handy konzentriert, ist es eine gute Kombi.

Auf Folgende zwei „de-googled Android“-Betriebssysteme möchte ich dennoch hinweisen:

LineageOS – bietet Hardware Support für sehr viele Smartphone-Hersteller an. Lässt sich leider für einen Laien nur schwer installieren. Auf manchen Handys und in manchen Serien funktioniert es leider gar nicht. Sicherheit und Privatsphäre sind im Lieferzustand nicht so ausgeprägt wie bei GrapheneOS. Für mich war das eine Sackgasse.

CalyxOS – ein vielversprechendes Projekt für ein sicheres und privates Android. Wer CalyxOS mit GrapheneOS vergleichen will kann hier und hier einsteigen.

Warum eigentlich kein professionelles Sicherheitstelefon? – Ich halte besonders ein GrapheneOS Handy, aber auch ein sorgfältig konfiguriertes und aktuelles iPhone – immer in Kombination mit Apps die Sicherheit und Privatsphäre unterstützen – für eine bessere  und alltagstaugliche Alternative für Jedermann. Wer sich trotzdem umschauen möchte, wird z.B bei Sirin Labs, Silent Circle oder Purism fündig.