Mehr Sicherheit und Anonymität im Internet nötig?
Bisher habe ich auf solche Sicherheits-Tools verzichtet. Warum soll man sie überhaupt anwenden? Für einen unbescholtenen Bürger wie mich, der nichts mit Waffengeschäften, Drogenhandel, illegalen Geschäften und Pornografie zu tun haben möchte, sind diese Tools vielleicht auch wenig hilfreich.
Ich vertraue wie die meisten Bürger in Deutschland meinem Internet-Service-Provider und dem Vater Staat, dass sich niemand an meinen Verbindungsdaten und den Inhalten meiner Übertragungen zu schaffen macht. Solange man in der breiten Masse untergeht und man nicht Zielobjekt von Überwachung durch private, staatliche oder sonstige Stellen wird, mag das ja OK sein.
Ach so, nur als Hinweis: Die Sicherheitsprotokoll SSL oder TLS schützen nur ein bisschen. Sie können durch einen Man-in-the-Middle-Angriff ausgetrickst werden. Schlimmer noch finde ich, dass im Kleingedruckten oft kaum erkennbar ist, dass die Sicherheitsprotokolle nur die Übertragungswege selbst betreffen. Nicht aber die Speicherung auf dem nachgeschalteten Server. Als Beispiel nenne ich Googlemail und WhatsApp. Die scheinen vertrauliche Daten zu analysieren.
Was klassische ISPs wie Telefonica, T-Online und Vodafone so mit den Daten machen, wissen wir auch nicht wirklich. Wer hat schon das ganze Kleingedruckte wirklich gelesen, wer weiß, was man früher mal unterschrieben hat? Ich weiß es nicht. Die DSGVO setzt in Europa zwar international Maßstäbe. Aber ob die hiesigen Vorschriften wirklich eingehalten werden, wer weiß das schon genau? Ich lese immer wieder in der Zeitschrift c’t von groben Verstößen gegen gesetzliche Regeln in der EU.
Ein weiterer Grund, der gegen die Anwendung obigen genannter Tools mit VPN und Tor-Browser spricht, ist die Aufmerksamkeit, die man damit auf sich ziehen könnte. Ihre Anwendung diente zunächst dem wünschenswerten Ziel des Schutzes der Kommunikation von Journalisten, Aktivisten und Minderheiten in restriktiven Staaten wie China oder Russland. Aber auch viele sonstige Länder auf der Welt sind betroffen.
Aber nun mal Hand aufs Herz. Wer findet die umfassende Totalüberwachung durch unsere Smartphones noch OK? Wenn man einen etwas ungewöhnlichen Suchbegriff in Google eintippt, erscheint nach kurzer Zeit passende Werbung. Ich finde das, was ja nur die Spitze des Eisberges ist, unerträglich. Facebook (Meta) ist eine einzige Datenkrake, sodass ich meine Aktivitäten dort stark eingeschränkt habe. Im Browser Firefox benutze ich das Plugin Facebook-Container.
Datenhandel scheint weitverbreitet unter der Oberfläche zu laufen. Und das sollen wir einfach hinnehmen? Gar nichts dagegen zu tun? Das soll vielleicht angemessen sein? Wer sich dagegen zu Wehr setzt, wird stigmatisiert als vielleicht Krimineller. Wir haben doch gerade von der Ukraine gelernt, dass es moralisch erlaubt ist, sich zu wehren. In einer bösen Welt. Deswegen möchte ich gerne diese zumindest Schutzeinrichtungen verstehen. Alles andere wäre naiv.
Ich habe mir also vorgenommen, die Tools Tor-Browser (The Onion Routing) und VPN (Virtual Private Network) wenigstens zu testen. Unter Linux Mint 20.04 ist das alles recht einfach. Hier ein Link, wie der Tor-Browser installiert werden kann. Ich habe die APT-Methode der Installation benutzt. Das bisschen Kommandozeile muss sein, das funktioniert sofort. Allerdings ist bei der alleinigen Anwendung des Tor-Browsers die Sicherheit der Privatsphäre noch nicht optimal, da Entry- und Exit-Point der Datenübertragung angreifbar bleiben. Aber immerhin, es ist schon etwas erreicht. Manche ISPs blockieren den Tor-Browser. In manchen Ländern ist er gar verboten.
Deshalb wird empfohlen, den Tor-Browser über ein VPN (Virtual Private Network) zu nutzen. Dann kennt nur der VPN-Anbieter meine IP. Empfohlen wird hierfür das seriöse ProtonVPN aus der Schweiz. Dafür muss man sich auf proton.me registrieren. Neben einem sicheren also verschlüsselten Mailserver wird ein basaler kostenfreier VPN-Service geboten. Die Performance ist zumindest für Testzwecke schon ganz gut.
Auf der Website der Proton AG wird der Vorgang der Installation auch für Linux genau beschrieben. Auch die Installation des VPN-Frontends gelang in drei Schritten auf Anhieb. Etwas Kommandozeile gibt es auch hier, aber keine Angst davor. Das Frontend basiert auf OpenVPN, was ein Sicherheitsmerkmal ist.
Last not least, selbst auf meinem Android-Smartphone gelingen Installation und Betrieb der beiden Apps mühelos. Dafür muss man lediglich den Play Store aufrufen und nach Tor-Browser bzw. ProtonVPN suchen. Dabei sollte man sich nicht von ähnlich klingenden App-Namen verwirren lassen. Bei Proton.me muss man sich registrieren, und schon geht es los.
Um anonym zu surfen, sind diese beiden Tools zusammen schon ganz gut. Es gibt allerdings eine Reihe von Möglichkeiten für Angreifer, die Schutzmechanismen auszuhebeln. Der Aufwand dafür ist allerdings schon recht hoch. Aber staatliche Stellen und Spionagefirmen können das gegebenenfalls leisten. Wer kommuniziert mit wem, das kann mit gewissem Aufwand beschrieben werden.
Trotz VPN und Tor-Browser angreifbar wird man allerdings immer, sobald wirklich persönliche Daten wie Bankverbindungen eingegeben werden. Reale E-Mail-Adressen sind tabu. Dokumente sind besser zu verschlüsseln, beispielsweise mit dem Tool PGP. Wenn sich auch nur geringe Nachlässigkeiten einschleichen, dann ist es vorbei mit der angestrebten Anonymität. Auch Blockchains wie Bitcoin liefern nur eine begrenzte Anonymität. Mit entsprechendem Aufwand kann selbst hier der Weg des Geldes nachvollzogen werden.
Ach ja, bitte nicht vergessen, es gibt noch das Browser-Fingerprinting. Der Browser selbst stellt jede Menge Informationen über den Benutzer bereit, zum Beispiel im User Agent Header jedes Requests. Letztlich wird man hierüber identifizierbar. Verwende doch mal Browserleaks, AmIUnique oder IPLeak! Dann wird das Problem klarer! So viele Details gibt man automatisch immer von sich preis. Da brauchen Datenhändler nicht mal Cookies einzusetzen, um jeden Internetnutzer durch Datenvernetzung glasklar zu identifizieren! Das ist schlimm und desillusionierend. Hier weitere Aspekte von Profis beschrieben.
Und VPN und Tor-Browser in den Standardeinstellungen sorgen immerhin dafür, dass möglichst viele Benutzer gleich aussehen. Hierin besteht der Schutz der Tools auch gegen Fingerprinting.