Smartphone, don't spy!

Eine Checkliste für deine mobile Sicherheit

Welche Maßnahmen du wählst, sollte von deinen aktuellen Lebensumständen abhängen. Menschen, die zum Beispiel auf der Flucht sind, sollten andere Maßnahmen ergreifen, als Menschen, die von Stalking betroffen sind. Einige Aufgaben könnten für dich also irrelevant sein.

Wenn du dich für Cryptoparties interessierst und Gleichgesinnte treffen möchtest, kannst du dich zum Beispiel auf der Seite cryptoparty.in über bevorstehende Events informieren. Oder du folgst dem verlinkten Guide und veranstaltest gleich selbst eine Cryptoparty.

Solltest du dein Telefon oder sämtliche Geräte verlieren, hast du so eine Möglichkeit deine Kontakte wiederherzustellen und schnell Hilfe zu organisieren.

Versetz dich einmal kurz in eine dieser Situation und spiele sie in Gedanken durch: Auf einer Reise verlierst du dein Gerät oder es wird gestohlen. Die Polizei nimmt dir alle Geräte ab. Was tust du nun?

Bedenke, dass andere Personen nicht wissen können wie gut du dich selbst mit deinem Telefon auskennst. Es ist daher immer ein Zeichen des gegenseitigen Vertrauens, Telefone aus sensiblen Gesprächen heraus zu halten. Grundsätzlich sollte gelten: Vertraue Personen eher als ihren Geräten.

Bei Beschlagnahmungen oder Diebstahl können Kontakte, SMS und Anruflisten ausgelesen werden. Darüber hinaus sind Dumbphones ohne weitere Schutzmaßnahmen genauso anfällig für Angriffe im Mobilfunknetz. Dumbphones lassen sich nicht verschlüsseln, du kannst keine Apps wie Passwortmanager darauf installieren, du kannst deine Bilder nicht von Metadaten bereinigen und kannst keine sicheren Messenger nutzen.

Auf der einen Seite haben diese Telefone also Nachteile. Auf der anderen Seite muss aber auch festgehalten werden, dass nicht smarte Geräte einige Gefahren komplett ausschließen. Zum Beispiel ist hier die Gefahr durch Infektionen mit Malware sehr viel geringer. Verschlüsselung und sichere Kommunikation erscheint aber angesichts inflationärer Beschlagnahmungen und Überwachung so wichtig, dass ein smartes Gerät oft zu bevorzugen ist.

Sei dabei bitte vorsichtig und achte darauf den Chip nicht zu zerstören. Kratze also nicht zu tief! Selbstverständlich gilt das nur für physische Simkarten. eSims haben eine solche Nummer nicht.

Dein Passwort sollte mindestens 20 Zeichen lang sein. Bedenke, dass Angriffe auch aus deinem direkten Umfeld kommen können. Zum Beispiel, wenn Partner*innen ungewollt auf dein Gerät zugreifen. Passworte sind immer besser als Entsperrmuster, da diese leicht beobachtet werden können.

Eine starke Verschlüsselung ist wichtig. Eine Bildschirmsperre ist nicht ausreichend und nicht das gleiche wie eine Verschlüsselung. Aktiviere die Verschlüsselung in deinen Einstellungen! Professionelle mobilforensische Software wie Cellebrite kann über die USB-Schnittstelle die meisten Bildschirmsperren einfach umgehen, indem es Sicherheitslücken ausnutzt oder versucht deinen Pin zu erraten.

Alle Polizeibehörden in Deutschland verfügen über diese Software. Alle deine Daten, Kontakte, Anruflisten, Standortdaten, Login-Daten und vieles mehr könnten dann automatisiert via USB gesammelt, aufbereitet und visuell dargestellt werden. Dein Verschlüsselungspasswort sollte daher besonders stark sein. Nutze ein sehr komplexes Muster oder ein alphanumerisches Passwort zur Verschlüsselung!

Aber was ist der Unterschied zwischen Verschlüsselung und Pin bzw. Passwort? Vereinfacht ausgedrückt ist ein Passwort- oder Pin-Schutz wie ein abgeschlossener Raum. Angreifer*innen können aber trotzdem durch das Fenster oder die Wand brechen, um an deine Daten zu kommen. Bei einer Verschlüsselung hingegen wird der ganze Raum sinngemäß in kleine Teile gehackt und gleichmäßig auf dem Boden verstreut. Ein Auslesen dieses Daten-Chaos ist ohne den richtigen Schlüssel, der alles wieder sortiert, nicht möglich.

Auch wenn dein Telefon verschlüsselt ist kann professionelle mobilforensische Software wie Cellebrite via USB darauf zugreifen. Daten könnten extrahiert oder Spionagesoftware könnte installiert werden.

Solange dein Telefon eingeschaltet ist, ist die Verschlüsselung wirkungslos, da die Daten entschlüsselt vorliegen. Erst wenn es abgeschaltet ist, ist Verschlüsselung wirklich effektiv. Dein Telefon befindet sich dann im sogenannten 'Before First Unlock' Status. Es ist extrem unwahrscheinlich, dass ein ungewollter Zugriff ohne das richtige Passwort, Muster oder biometrische Merkmal auf die Daten stattfinden kann.

Schalte dein Telefon daher unbedingt ab, bevor du es in fremde Hände gibst! Wenn du auf Nummer sicher gehen willst kannst du auch einen Killswitch an deinem Telefon anbringen. So lässt sich der Akku in Gefahrensituationen schnell entfernen. In den weiterführenden Informationen findest du mehr Details zu dieser Idee.

Wenn deine Simkarte nicht mit einer Pin geschützt ist können andere Menschen diese theoretisch aus deinem Telefon entfernen und sie in ein anderes Telefon einlegen. Damit könnten sie dann versuchen auf deine Accounts zuzugreifen, welche die Telefonnummer deiner Simkarte nutzen. Ein Pin schützt davor sehr effektiv.

Dieser Angriff hat Ähnlichkeiten mit SIM-Swapping. Hierbei bringen Menschen deine Provider*in mit persönlichen Daten von dir dazu Ihnen eine Kopie deiner Simkarte zu senden.

Einige ältere Android-Geräte erzeugen auch eine Signatur über verwendete Apps auf deiner Speicherkarte indem sie dort für verwendete Apps eigene Ordner anlegen. Dadurch können Rückschlüsse auf deine verwendeten Apps gezogen werden. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben.

Fingerabdrücke und Gesichtserkennung sind keine sicheren Methoden, um das eigene Gerät zu entsperren. Sie sind wie Passwörter, die du niemals ändern kannst. Nicht nur durch Datenlecks oder Malware könnten diese sensiblen Informationen abhanden kommen. Auch von dir selbst veröffentlichte Bilder, die deine Finger oder dein Gesicht zeigen, könnten dir zum Nachteil werden.

Zudem darf auch die Polizei in einigen Ländern deine Fingerabdrücke nutzen, um dein Gerät zu entsperren. In Deutschland und den USA gab es dazu bereits Gerichtsurteile.

Wenn du ein iPhone hast kannst du durch das betätigen einer speziellen Tastenkombination Face ID und Fingerabdruck temporär sperren. Für Android ist auf einigen Geräten der Lockdown-Mode verfügbar mit dem du biometrische Features im Notfall schnell abschalten kannst. Mehr dazu erfährst du in den weiterführenden Links.

Wenn auf deinem Android-Gerät keine Entwicklungs-Optionen in deinen Einstellungen sichtbar sind ist USB-Debugging vermutlich deaktiviert. USB‑Debugging ermöglicht es, ein Smartphone über ein USB‑Kabel mit einem Computer zu verbinden und Befehle auszuführen oder Daten auszutauschen. Damit lassen sich zum Beispiel über USB Apps installieren, deinstallieren, Daten retten oder auch neue Betriebssysteme aufspielen.

Allerdings birgt USB-Debugging auch eine große Angriffsfläche. Du solltest es daher immer deaktiviert lassen.

Sei unbedingt vorsichtig, wenn dir andere Personen zum Beispiel ein Smartphone schenken. Sei besonders skeptisch, wenn dieses bereits initial eingerichtet wurde. Darauf könnte Spyware installiert sein. Es gibt auch komplett fertig eingerichtete Telefone mit Spyware im Handel zu kaufen, mit denen auch unerfahrene Menschen andere leicht überwachen können. Auch die Polizei verkaufte bereits Smartphones mit vorinstallierter Spyware direkt an kriminelle Netzwerke.

Da die Person, welche möglicherweise eine Spionage-App auf deinem Telefon installiert hat, alle deine Aktionen einsehen kann, könnte das womöglich ein Risiko für dich darstellen. Besorge dir besser heimlich ein Zweitgerät und kontaktiere darüber spezielle Hilfestellen.

Hilfenummern findest du in den weiterführenden Links.

Denke unbedingt daran, dass neue Gerät nicht mit deinem Wlan zuhause zu nutzen. Das neue Gerät könnte sonst über die Einstellungen des Heim-Routers entdeckt werden. Wenn du keinen Zugriff auf ein eigenes Konto hast oder dieses überwacht wird, versuche Feund*innen um Hilfe zu bitten.

Nutze Prepaid-Simkarten und zahle sie in bar oder lass dir von Freund*innen Guthaben-Codes senden. Logge dich mit deinem Telefon nicht in bestehende Accounts ein sondern erstelle sie zur Sicherheit neu. Das gilt auch für deine Mailadresse. Denn häufig haben Täter*innen auch darauf Zugriff.

Manipulierte Kabel oder USB-Dosen in Hotels, Bussen oder Bahnen könnten Daten auslesen oder unerwünschte Software installieren. Wenn du dir nicht sicher bist kannst du dein Telefon für den Ladevorgang einfach abschalten. So kann nichts installiert oder ausgelesen werden und es wird trotzdem geladen.

Wenn möglich nutze ein USB-Kabel ohne Datenfunktion zum Laden. Bei einigen elektronischen Geräten werden USB-Kabel mitgeliefert, die lediglich laden können. Ihnen fehlen im inneren die notwendigen Daten-Adern. Du kannst alle Kabel, die du besitzt prüfen, indem du versuchst dein Telefon mit einem Computer zu verbinden. Wenn das nicht funktioniert, ist das Kabel ein reines Ladekabel. Du kannst es dann markieren und gefahrlos mit allen fremden Ladesteckern und Dosen verwenden.

Ob dein Gerät verified Boot unterstützt oder nicht erfährst du bei der herstellenden Firma. Wenn du ein eigenes Betriebssystem auf deinem Gerät installiert hast, solltest du sicherstellen, dass verified Boot für dein Gerät unterstützt wird.

Normalerweise musst du den Bootloader manuell entsperren. Das ist oft nötig, wenn du z.B. neue Betriebssysteme auf deinem Gerät installieren möchtest. Das führt bei vielen Android-Geräten zum Wiederherstellen der Werkseinstellungen und zu Datenverlust. Bei einigen Herstellern musst du spezielle Codes dafür anfordern. Du weißt also normalerweise, ob der Bootloader deines Gerätes entsperrt wurde oder nicht. Du solltest den Bootloader nach der Installation eines eigenen Systems unbedingt wieder sperren.

Wenn du in den Einstellungen die Entwickler*innen-Optionen aktiviert hast kannst du meist unter OEM-Entsperrung nachsehen, ob der Bootloader entsperrt ist oder nicht. Wenn du beim Starten deines Gerätes eine Warnmeldung wie „The bootloader is unlocked and the software integrity cannot be guaranteed.“ angezeigt werden, ist dein Bootloader definitiv entsperrt.

Hier geht es ausdrücklich um Warnmeldungen, die beim Start des Telefons und nicht in irgendeiner App oder einem Browser angezeigt werden. Meldungen, die direkt beim Start des Gerätes angezeigt werden sind in der Regel vertrauenswürdig und du solltest sie ernst nehmen.

Warnmeldungen beim Start des Telefons weisen auf schwerwiegende Sicherheitsmängel wie ausgetauschte Betriebssysteme oder nicht gesperrte Bootloader hin.

Achte darauf, dass du diese Nummern an einem geheimen Platz ablegst. Speichere sie am besten verschlüsselt. So musst du nicht befürchten, dass diese Nummern in Zukunft genutzt werden, um dir ein bestimmtes Telefon zuordnen zu können.

Halte dich dabei wenn möglich an die 3-2-1-1-0 Regel. Bewahre 3 Kopien deiner Daten auf 2 unterschiedlichen Medientypen auf. Eine der Kopien sollte außerhalb deiner Wohnung aufbewahrt werden. Außerdem solltest du eine offline-Kopie haben. Bei der Wiederherstellung der Daten sollen Null Fehler auftreten.

Viele Apps haben eigene Backup- oder Export-Funktionen, die du nutzen kannst. Du solltest bei deinem Backup auch an wichtige Apps wie 2-Faktor-Apps oder Passwortmanager denken. Die Einstellungen lassen sich daraus meist leicht exportieren.

Nutze wenn möglich quelloffene Backup-Software wie "Neo Backup". Diese benötigen allerdings oft Superuser-Rechte (Root). Eine einfache regelmäßige Kopie deiner wichtigsten Daten auf einen USB-Stick ist aber auch ein guter Anfang.

Die Android-App Neo Backup unterstützt Verschlüsselung von Haus aus. Du kannst aber auch verschlüsselte Zip-Archive von Hand erstellen oder gleich ganze USB-Sticks verschlüsseln. Unter Linux, MacOS und einigen Windows-Versionen geht das ganz einfach über eine grafische Oberfläche.

Du kannst aber auch eine Verschlüsselungssoftware für deine Sticks wie VeraCrypt einsetzen, die auf den meisten Betriebssystemen funktioniert. Wenn du dich tiefer mit der Materie befassen möchtest und die Kommandozeile nicht scheust kannst du dir professionelle Software wie Restic (Linux) oder duplicity (Linux) ansehen. Dafür musst du dein Gerät dann mit einem Computer verbinden.

Verschaffe dir einen Überblick über die Wichtigkeit deiner jeweiligen Daten und lagere sie entsprechend. Lagere z.B. unwichtigere Kopien deiner Musik- oder Bildersammlung weiter entfernt bei Freund*innen. Kritische Backups von Zugangsdaten oder wichtige Dokumenten solltest du eher redundant und auch in deiner Nähe lagern. Generell solltest du eine Kopie deiner Backups auch außerhalb deiner Wohnung aufbewahren.

Du fragst dich wie das gehen soll, wenn doch alles verschlüsselt ist? Hier folgt eine Idee:

Erstelle dir eine separate Passwortdatenbank. In diese Datenbank legst du alle wichtigen Haupt-Passworte für Computer, Telefon, andere Passwort-Datenbanken und auch für deine Backup-Archive. Erstelle dir nun eine Liste von 10-20 persönlichen Fragen, die nur du selbst beantworten kannst. Die Antworten auf die Fragen ergeben zusammengeschrieben dein Masterpasswort für Notfälle. Kopiere diese kritische Datenbank auf einen USB-Stick und lagere die Fragen daneben.

Wenn du willst kannst du die Fragen auch mit Partner*innen, Freund*innen oder Familienmitgliedern gemeinsam erarbeiten. So sind Daten wiederherstellbar, selbst wenn dir etwas zustoßen sollte.

Die Polizei könnte zudem versuchen dich verbal unter Druck zu setzen. Sie erzählen dir vielleicht, dass sich die Herausgabe des Passwortes strafmildernd auswirken wird. Oder sie erzählen dir, dass du dein Telefon dann schneller wieder hast. Oder sie behaupten, dass es für dich teuer ist, wenn sie dein Smartphone professionell knacken. Bleibe standhaft und verweigere die Herausgabe! Kontaktiere im Zweifel Anwält*innen.

Gebrauchte Telefone könnten illegale Daten enthalten haben, die wiederhergestellt und ausgewertet werden könnten. Um zu vermeiden, dass dir das zum Verhängnis wird solltest du das Telefon einmal komplett überschreiben. Wenn du die Möglichkeit hast generiere dir große Zufallsdateien und kopiere diese auf dein Telefon, bis es voll ist. Andernfalls kannst du dir auch große Testdaten aus dem Internet herunterladen und damit den Speicher deines Telefons überschreiben.

Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben. Bei moderneren Android-Geräten und iPhones ist das wegen des verschlüsselten Dateisystems für gewöhnlich nicht notwendig. Achte aber in diesem Fall darauf, dass das Telefon ordnungsgemäß auf Werkseinstellungen zurückgesetzt wurde. Solltest du dir nicht sicher sein, kannst du es trotzdem überschreiben.

Wenn sich dein Smartphone mit WLANs verbindet oder einfach nur aktiv nach WLANs sucht, sendet es sogenannte Probe Requests aus. Diese Informationen sind oft unverwechselbar und können genutzt werden, um dich wiederzuerkennen oder sogar zu tracken.

Im extremsten Fall kann sogar deine Wohnadresse ermittelt werden. Auf Websites wie wigle.net kannst du einfach nach den physischen Standorten von Wi-Fi-Netzen suchen. Google und Apple nutzen ihre Marktmacht, um die Standorte von benachbarten Wi-Fis durch ihre Geräte in ihren eigenen Datenbanken zu speichern. Betreibst du ein eigenes WLAN? Google und Apple kennen mit hoher Wahrscheinlichkeit dessen Position. Einfach, weil andere Menschen mit ihren Smartphones daran vorbei laufen.

Auch viele Ladengeschäfte nutzen diese Technologie, um exakte Laufwege von Kund*innen im Geschäft nachvollziehen zu können. Bekannte Anbieter*innen dieser Trackingtechnologie für Läden sind z.B. Telefonica oder 42reports.

Bluetooth ist relativ Komplex und muss von vielen verschiedene Hersteller*innen auf vielen verschiedenen Geräten implementiert werden. Dabei passieren Fehler. Besonders alte Geräte sind anfällig.

Dabei ist zu beachten, dass nicht nur das Smartphone sondern auch das Zielgerät Sicherheitslücken aufweisen können. Bluetooth ist zum Beispiel Anfällig für Bluesnarfing (Öffnung eigentlich geschlossener Ports durch Befehle von Außen), Bluejacking (Zusendung unerwünschter Nachrichten), Bluebugging (Ausnutzen einer Backdoor), Bluesmacking (Denial of Service) oder Car Whispering (Abhören der Freisprecheinrichtung).

Bluetooth wird auch genutzt um deine Laufwege in Ladengeschäften nachvollziehen zu können. Die Firmen Telefonica und 24reports bieten dafür technische Lösungen an. Das Tracking über Bluetooth in stationären Läden funktioniert aber nur, wenn du auch gleichzeitig eine App wie z.B. die Rabatt-App des Ladens installiert hast.

Bluetooth-Geräte wie Earbuds können möglicherweise beim Austausch ihrer geheimen Schlüssel belauscht werden. Angreifer*innen in Reichweite könnten so unbemerkt mithören und die Verschlüsselung umgehen.

Viele Apps sammeln Standortdaten und teilen diese mit Werbenetzwerken und Datenhändler*innen. Dadurch ist dein Leben teilweise auf einer geografischen Karte chronologisch nachvollziehbar.

Wichtig zu verstehen ist, dass eine eingeschaltete Positionierung nicht automatisch dazu führt, dass irgendwer auch deinen Standort kennt. Dein Telefon errechnet seinen Standort selbst mit Hilfe von Satelliten, die aber selbst nur senden können. Die Satelliten wissen also nicht wo du bist. Erst wenn Apps deine eigene Position über das Internet teilen, wird es problematisch.

NFC ist die Abkürzung für Near Field Communication. NFC kommt immer dann zum Einsatz, wenn du z.B. eine Karte oder dein Smarphone nah an etwas halten musst, um Daten zu übertragen. Zum Beispiel beim Öffnen einer Tür oder beim Bezahlen an der Kasse.

Du solltest NFC nur für diese Vorgänge aktivieren und es danach gleich wieder abschalten.

Wenn du in Deutschland wohnst kannst du dir beim Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) kostenlos wieder ablösbare Spezialaufkleber für deine Smartphone-Kameras bestellen. Aber auch normale Sticker erledigen diese Aufgabe.

Achte darauf, dass du nicht den unscheinbaren Helligkeitssensor überklebst!Dies führt dazu dass einige Smartphones den Display abschalten, da diese sich in einer Hosentasche wähnen.

Wenn du Probleme mit Stalking hast oder von Ex-Partner*innen verfolgt wirst solltest du deine Kameras zur Sicherheit komplett abkleben.

Besonders bei der Einreise in repressive Staaten wie die USA, Russland oder China musst du damit rechnen, dass dein Gerät durchsucht wird. Ein Burner Phone kann dir helfen sensible Informationen zu schützen weil du sie erst gar nicht dabei hast.

Wenn du die Durchsuchung deines Gerätes nicht erlaubst musst du in manchen Staaten eventuell mit Zurückweisung oder Haft rechnen.

Frag bei deiner Provider*in nach wie lange die Daten in den verschiedenen Tarifen gespeichert werden und mit wem sie geteilt werden. Es gibt auch extra datenschutzfreundliche Provider*innen wie z.B. "Wetell" in Deutschland.

Bedenke: Trotzdem schützen auch diese Anbieter*innen nicht vor den zahlreichen Überwachungsmöglichkeiten im Mobilfunknetz! Anonyme Simkarten sind daher immer zu bevorzugen, wenn du wirklichen Schutz benötigst.

Wenn du gerade weder telefonierst, keine SMS schreibst bzw. empfängst und die mobilen Daten nicht nutzt, ist dein Telefon im sogenannten "idle state". Es entsteht dann keine minutengenaue Historie über deine Funkzellen-Position bei deinem Provider. Dem Funknetzwerk ist dann nur die jeweils letzte sogenannte Tracking Area bzw. Funkzelle bekannt. Dies ist ein Verbund aus einer Vielzahl von Funktürmen, die keinen verlässliche Aussage über deinen genauen Standort liefert. Wenn du jedoch telefonierst oder deine Internetverbindung durchgehend aktiv ist, geschehen diese Tracking Area Updates (TAU) sehr viel häufiger. Das Bewegungsprofil deines Gerätes ist somit viel genauer. Diese Aufzeichnungen sind durch die Registrierung deiner Simkarte mit deiner Person verbunden und können von Behörden wie der Polizei angefordert werden.

Bedenke, dass das Abschalten deiner mobilen Daten lediglich die Häufigkeit der Updates reduziert. Dein Telefon meldet sich auch im Idle-State in periodischen Zeitabständen automatisch beim Funknetzwerk. Du kannst das in den meisten Fällen nicht beeinflussen. Die Hardware deines Gerätes macht das automatisch und du hast darüber keine Kontrolle. Wenn du wirklich nicht gefunden werden willst entferne die Simkarte, schalte dein Gerät in den Flugmodus oder nutze pseudonyme Simkarten.

Bedenke auch, dass Apps und deren Anbieter*innen dich weniger leicht anhand deiner IP oder deines Standortes tracken können, wenn du deine mobilen Daten nicht durchgängig aktiviert hast.

Der Grund ist, dass viele Telefone schlicht von der Polizei sichergestellt oder beschlagnahmt werden.

Aber auch sogenannte IMSI-Catcher (das sind mobile Funktürme) sind ein Problem. Das gilt auch dann, wenn du anonyme Simkarten nutzt. Durch die gezielte Verfolgung (zum Beispiel auf dem Heimweg) einzelner Personen mit IMSI-Catchern lässt sich eine Telefonnummer einer Person zuordnen. Egal, ob die Simkarte anonym ist oder nicht. IMSI-Catcher können in Rucksäcken oder sogar auf Drohnen befinden.

Ein IMSI-Catcher erzeugt eine Fake-Funkzelle mit der sich dein Telefon verbindet, weil das Signal des IMSI-Catchers stärker ist als das der umliegenden echten Funkzellen. Wirst du lange genug verfolgt müssen die Angreifer*innen nur noch nachschauen welches Telefon am längsten eingeloggt war. Deine IMSI (Die eindeutige ID deiner Simkarte) ist den Angreifer*innen dadurch dann bekannt. Auf dieser Basis können dann Funkzellenauswertungen, Telekommunikationsüberwachung oder andere Maßnahmen folgen. Du hast in der Regel keine einfache Möglichkeit festzustellen, ob dein Telefon mit einer Fake-Funkzelle verbunden ist.

Zunächst einmal ist an Apps wie SnoopSnitch generell nichts verkehrt. Wir können froh sein, dass es Menschen gibt, die sich mit dieser Materie befassen und solche Apps bauen. Trotzdem musst du verstehen, dass derartige Apps in den allermeisten Fällen ziemlich wirkungslos sind.

SnoopSnitch zum Beispiel funktioniert nur in 2G und 3G Netzen, wenn dein Telefon Root hat und wenn auf dem Mainboard deines Gerätes ein ganz spezieller Chip verbaut ist. Du musst verstehen, dass die Kommunikation mit dem Mobilfunknetz für dein Betriebssystem eine völlig intransparente Blackbox ist. Dein Betriebssystem und deine Apps sind nicht in der Lage die Kommunikation mit einem Funkturm (Basisstation) im Detail zu steuern oder zu überwachen. Das bedeutet das Funknetzwerk kann mit dem Chip auf deinem Gerät kommunizieren ohne, dass dein Smartphone etwas davon mitbekommt.

Schuld daran ist proprietäre, kommerzielle Hardware, die nicht quelloffen ist. So kommt es auch, dass du durch Stille SMS (Stealth Ping) grob geortet werden kannst. Der Funkchip in deinem Telefon registriert das zwar, meldet das aber nicht an dein Betriebssystem weiter. Nur einige wenige Chips haben Schnittstellen, die dem Betriebssystem eine Beobachtung erlauben. Nur dafür gibt es SnoopSnitch.

Selbst wenn du ein solches Telefon hast: Mobilfunk besteht aus so vielen verschiedenen Standards und Technologien, dass die meisten Apps völlig unterschiedliche Ergebnisse zeigen.

Eine mögliche sinnvolle Verteidigung ist eine anonyme Simkarte. Diese kann dir in den meisten Fällen effektiver helfen, da sie schlicht das Angriffsziel verbirgt.

Wenn du ernsthaft an diesem Thema interessiert bist, kannst du auch das Projekt "Rayhunter" der Electronic Frontier Foundation (EFF) unterstützen. Dieses Projekt sammelt Daten zu möglichen IMSI-Catchern und versucht so die Problematik besser zu verstehen.

Eine anonyme Simkarte ist oft eine der wenigen verbleibenden Verteidigungen gegen derartige Überwachung. Denn ohne eine registrierte Telefonnummer kann das Ziel vom Maßnahmen nur schwer oder überhaupt nicht ausgewählt werden.

Das Thema der Mobilfunküberwachung ist komplex und kann in diesem Rahmen nicht komplett behandelt werden. Wichtig zu verstehen ist aber, dass Security-Apps gegen derartige Überwachung nichts ausrichten können, weil z.B. Daten betroffen sind, die ohnehin bei deinem Provider liegen und nicht auf deinem Telefon. Oder weil die Apps selbst keinen Zugriff auf den proprietären Funkchip deines Telefons haben und so z.B. stille SMS nicht sehen können. Oder weil sich der Angriff im Funknetzwerk zwischen Netzanbieter*innen abspielt. Oder weil deine Mobilfunkanbieter*in deine Daten einfach weiter verkauft.

Hier auf Apps oder Verhaltensänderungen zu setzen bringt also wenig. Die einzige Verteidigung sind anonyme Simkarten. Bedenke auch, dass in Deutschland über 100 staatliche Stellen die Personen zu Telefonnummern und andersherum ohne Gerichtsbeschluss abfragen können.

Du kannst anonyme Simkarten im Internet bestellen. Die Suchmaschine deiner Wahl wird dir helfen. Dieses Projekt möchte bewusst keine Werbung für einzelne Services machen. Manchmal ist auch Scam dabei. Bitte habe im Hinterkopf, dass anonyme Karten vermutlich oft durch marginalisierte Gruppen wie Migrant*innen registriert werden, um etwas Geld zu verdienen. Hinter vielen Karten stecken echte Menschen, die mit ihrem eigenen Namen für dich bürgen. Nutze die Karte daher ausschließlich, um dich selbst zu schützen.

Da in den Verkehrsdaten deiner Netzanbieter*in immer die IMSI zusammen mit der IMEI auftaucht, solltest du beim Wechsel deiner Simkarte auch dein Telefon wechseln.

Wie du dir sicher vorstellen kannst ist es aufwändig und auch teuer das Telefon von Zeit zu Zeit zu wechseln. Du müsstest ja ständig deine Apps neu einrichten und viel Geld für ein neues Telefon ausgeben. Um die Kosten gering zu halten kannst du mit Proxy-Telefonen arbeiten. Und das geht so:

Du hast ein teureres Gerät für deine reguläre Nutzung auf dem all deine Apps installiert sind. In diesem Telefon befindet sich keine Simkarte. Es ist also für das Mobilfunknetzwerk unsichtbar. Internet bekommst du über ein günstiges Zweitgerät, in welchem eine Simkarte eingelegt ist. Dieses Telefon braucht nicht viel Leistung. Dieses kann dir aber einen Wi-Fi Hotspot und damit Internet bereitstellen. Außerdem kannst du damit ganz normal telefonieren, wenn du willst. Dieses Telefon lässt sich mit samt der eingelegten Simkarte schnell austauschen. Einziger Nachteil: Du hast immer zwei Smartphones dabei.

Du solltest nicht mit der Simkarte telefonieren, keine SMS schreiben und deine mobile Internetverbindung nicht nutzen. Entferne sie sicherheitshalber aus deinem Telefon oder aktiviere den Flugmodus.

Bewegst du dich über einen längeren Zeitraum mit anderen Personen gemeinsam durch identische Funkzellen ist theoretisch eingrenzbar wer du sein könntest oder wer dein Familien- bzw. Freund*innenkreis ist. Das gilt auch, wenn du eine anonyme Simkarte nutzt. Die gemeinsamen Funkzellenwechsel werden möglicherweise in den Verkehrsdaten eurer Provider*innen geloggt.

Werden diese zusammengeführt, lässt sich eventuell feststellen, mit wem du unterwegs warst. Lass dir von Bekannten einen Wi-Fi Hotspot bereitstellen, wenn du unterwegs bist und einen Internetzugang benötigst. Verwende diesen zur Sicherheit mit einem VPN oder Tor. Wenn du mit einer größeren Gruppe unterwegs bist, sollte nur eine einzige Person einen Hotspot erstellen. Alle anderen sollten ihre Simkarten für diese Zeit entfernen oder den Flugmodus aktivieren.

Da sich beide Simkarten in den Verkehrsdaten des Providers die IMEI des Telefons teilen, ist die anonyme Karte problemlos deiner Person zuzuordnen.

Vermeide es auch ein zweites Telefon mitzuführen, in dem eine nicht anonyme Karte eingelegt ist. Da sich die anonymen Simkarte zusammen mit der nicht anonymen Simkarte gemeinsam durch identische Funkzellen bewegt ist theoretisch eingrenzbar wem die anonyme Karte gehört. Auch dann, wenn die Simkarten in unterschiedlichen Geräten eingelegt sind.

Da moderne Fahrzeuge durch ihre Simkarten dauerhaft mit dem Internet verbunden sind, fallen hier permanent Verkehrsdaten und damit grobe Standortdaten bei den Provider*innen an. Diese lassen sich mit anderen Verkehrsdaten wie dem Bewegungsprofil deiner eigenen Simkarte abgleichen. Zudem protokollieren auch viele Automobilhersteller*innen zusätzlich sehr präzise Standortdaten in ihren eigenen Clouds.

Seit einigen Jahren werden Grenzzäune und Mauern technisch aufgerüstet. Das passiert an den Grenzen der EU aber zum Beispiel auch an der US-Grenze zu Mexiko. Wir müssen davon ausgehen, das neben Kameratechnik auch sogenannte Radio Frequenz Analyzer zum Einsatz kommen. Das sind technische Empfangsgeräte, die in der Lage sind verschiedene Funksignale zu erkennen. Weil diese Geräte an unterschiedlichen Punkten entlang von Grenzanlagen stehen, können sie durch die Messung von Laufzeiten der Funksignale eine exakte Position von Menschen oder Menschengruppen bestimmen.

Daher ist es wichtig, mobiles Internet, Bluetooth oder Wi-Fi zu deaktivieren. Schalte die Geräte am besten komplett ab und entferne zur Sicherheit den Akku. Dies sollte auch schon einige Kilometer vor einer Grenzanlage passieren. Wenn du in einer Gruppe unterwegs bist sollte dieser Ratschlag von allen befolgt werden.

Auf Seiten wie cell-track.com oder phone-location.info kann zum Beispiel einfach herausgefunden werden, ob sich ein Gerät im Ausland befindet oder ob ein Gerät gerade eingeschaltet ist. Alles was du brauchst ist die Telefonnummer. Du kannst nichts dagegen tun als deine Nummer geheim zu halten.

Staatliche Akteure haben zudem weitere Möglichkeiten wie z.B. die Infektion des Gerätes mit einem Zero-Click-Exploit (Staatstrojaner). Das Geheimhalten deiner Nummer schützen dich daher auch effektiv vor staatlichen Übergriffen.

Wer deine Kontakte kennt, kann evtl. eingrenzen wer du bist. Nutze die Karte wenn möglich nur mit anderen anonymen Karten oder weiche auf Messenger-Apps für Nachrichten und Telefonate aus.

Besonders wenn du von Stalking betroffen bist solltest du deine Mobilnummer unterdrücken. Denn deine Nummer kann auf vielfältige Weise genutzt werden um dich anzugreifen. Sie kann zum Beispiel genutzt werden,um herauszufinden, ob du Accounts bei bestimmten Messengern hast. Sie kann außerdem für Registrierungen oder nervige Anrufe oder Nachrichten genutzt werden.

Sei dir auch im Klaren darüber, dass das Unterdrücken der Rufnummer lediglich dazu führt, dass diese auf dem Telefon der Gegenstelle nicht angezeigt wird. In den Anrufprotokollen (Verkehrsdaten) der beteiligten Provider*innen wird deine Nummer dennoch gespeichert. Für Behörden ist dein Anruf also trotz unterdrückter Rufnummer nachvollziehbar. Nutze anonyme Simkarten, wenn du auf wirkliche Anonymität angewiesen bist.

Informationen, die andere Menschen auf deine Mailbox sprechen könnten Beziehungen aufdecken und sensible Informationen wie Namen preisgeben. In Deutschland ist die Überwachung der Mailbox zum Beispiel Teil der Telekommunikationsüberwachung (TKÜ), die von der Polizei durchgeführt werden kann.

Vor AML standen den Rettungsleitstellen lediglich extrem ungenaue Funkzellendaten zur Verfügung (wenn überhaupt), um Personen in Notsituationen orten zu können. AML dagegen ist fest in moderne Telefone und deren Betriebssysteme integriert: Wird eine Notrufnummer gewählt aktiviert das Telefon selbstständig GPS und Wi-Fi, um die eigene Position bestimmen zu können. Diese wird dann via Internet oder SMS automatisch an die Leitstelle übertragen.

Diese extrem genaue Ortung wird nur durch das Wählen der Notrufnummern aktiviert und ist nicht von außen ohne dein aktives Handeln nutzbar. Du kannst in den meisten Fällen nichts dagegen tun, dass du beim Wählen dieser Nummern automatisch geortet wirst. Leider werden so aber auch anonyme Meldungen erschwert. Du solltest daher immer abwägen, ob die Wahl von Notrufnummern durch dein eigenes Telefon wirklich notwendig ist.

Auf Wikipedia findest du eine Liste mit allen Ländern in denen es AML gibt. AML ist auf Android Teil der Play-Services und kann über die Notfalleinstellungen deaktiviert werden.

Wenn du dir unsicher bist welches System du installieren solltest so lautet die klare Empfehlung derzeit grapheneOS auf einem der kompatiblen Telefon zu installieren. Das ist aber nicht für alle Menschen möglich, da diese Geräte relativ teuer sind. Zudem möchten einige Menschen durch den Kauf Google nicht finanziell unterstützen. Außerdem können nicht austauschbare Akkus und die schwerere Reparierbarkeit der Geräte Gründe sein sich gegen Graphene zu entscheiden.

Daher gibt es einige andere alternative Betriebssysteme wie CalyxOS, /e/OS oder LineageOS, die zwar unabhängiger sind aber deren Schwerpunkt nicht unbedingt auf Security und Datenschutz liegt. Trotzdem kann auch das ein Weg in die richtige Richtung zu mehr Unabhängigkeit sein. Die einzelnen Alternativen sind hier im Folgenden aufgelistet:

• GrapheneOS: Sehr sicher und Google-unabhängig aber läuft nur auf Pixel-Geräten von Google.
• CalyxOS: Nutzer*innenfreundlicher aber enthält MicroG (kommuniziert teilweise mit Google) und ist technisch weniger robust als Graphene.
• /e/OS: Theoretisch Google-frei aber meist etwas veraltet, dadurch unsicherer als Graphene und enthält teilweise intransparente nicht quelloffene Apps.
• LineageOS: Theoretisch Google-frei aber oft veraltet und dadurch nicht so sicher.

Ein freies Betriebssystem ist immer die richtige Wahl, wenn du dich von großen Konzernen wie Google oder Apple unabhängig machen möchtest. Ein Betriebssystem mit dem Namen GrapheneOS sticht mit zahlreichen Sicherheitsfeatures aber besonders hervor und ist daher für aktivistische Zwecke unbedingt zu empfehlen. Graphene unterstützt zum Beispiel einen LTE-only mode, der verschiedene Attacken im Mobilfunknetz verhindern kann. Zudem kannst du alle Sensoren des Smartphones deaktivieren. GrapheneOS unterstützt nur einige wenige Geräte. Welche das sind und was es noch alle kann, erfährst du auf der Website von GrapheneOS.

Derartige Beträge lohnen sich natürlich nur wenn das einen Nutzen hat: Die vorinstallierte Software sammelt Daten und verwertet eure Gewohnheiten. Ihr solltet Bloatware daher entfernen oder gleich ein alternatives Betriebssystem wie GrapheneOS installieren.

Einige vorinstallierte Apps lassen sich aber auch einfach über die App-Einstellungen deaktivieren. Sie sind dann inaktiv, belegen aber weiterhin Speicher. Wenn das Deaktivieren über Android nicht möglich sein sollte könnt ihr euch den "Universal Android Debloater Next Generation" ansehen. Mit diesem Tool und etwas technischem Know-How könnt ihr die Apps oft trotzdem deaktivieren.

Wenn du iOS oder Android verwendest überträgt dein Betriebssystem im Hintergrund eine Werbe-ID an deine Apps. Diese ID können an die Datensätze einzelner Apps gehangen werden. Wenn die Anbieter*in deiner Apps diese Daten dann verkauft können Broker diese mit anderen Datensätzen von dir zusammenführen. Dadurch entstehen regelrechte Halden aus deinen persönlichen Daten und Interessen, die online gehandelt werden.

Zu diesen Daten gehören auch Standortdaten, die auf speziellen Websites abgerufen werden können.

Es ist generell schwerer aus deinem Gerät Daten zu extrahieren, wenn deine Apps und dein System aktuell sind. Mobilforensische Untersuchungen sind oft auf Sicherheitslücken angewiesen, die dann schwieriger sind. Bedenke auch dass dir dein Gerät bei Grenzübertritten oder Einreisen in repressive oder autoritäre Staaten wie Russland, den USA oder China abgenommen werden könnte.

Denke daran, dass dein Passwortmanager ein besonders sicheres Passwort braucht. Denke auch daran eine regelmäßige Sicherungskopie deiner Passwortdatenbanken zu erstellen. Wenn du Probleme hast dir starke Passworte auszudenken kannst du das Diceware-Verfahren nutzen. Unten findest du einen Link mit einer Anleitung. Alles was du brauchst ist ein Spiel-Würfel.

Auch F-Droid und der Aurora-Store bietet quelloffene Apps, haben aber bekannte Schwächen bei Updates und Signaturen. Nutze es nur, wenn du dich mit den Risiken auskennst (Apps könnten Schadhaft sein). Auch Herstellerwebseiten können vertrauenswürdig sein.

Prüfe in diesem Fall aber, ob die App dort signiert und aktuell ist. Apps aus dem Google Play Store sind vielleicht sicherer, dafür wirst du von Google getrackt und benötigst PlayServices sowie ein Google-Konto. Projekte wie Accrescent oder GrapheneOS App Store sind zu bevorzugen, bieten aber bisher nur wenige Apps an.

Tipp: Installiere nur Apps, die du wirklich brauchst. Jede App ist ein potenzielles Risiko.

Egal, ob du Android oder iOS verwendest: Über die Einstellungen kannst du für jede App Zugriffsberechtigungen auch nachträglich sperren. Nimm dir die Zeit und gehe die Berechtigung jeder installierten App durch und entscheide ob Berechtigungen wie Kamera, Standort, Mikrofon, etc. wirklich erforderlich sind.

Diese Berechtigung gibt es nur auf Android-Geräten. Normalerweise ist diese Berechtigung nur für Menschen relevant, die Apps zur Unterstützung benötigen. Zum Beispiel wenn Inhalte aus anderen Apps vorgelesen oder übersetzt werden müssen. Spionage-Apps nutzen diese Berechtigung oft, um Inhalte anderer Apps lesen zu können.

Du kannst über die Einstellungen-App eine Liste deiner Apps anzeigen. An der jeweiligen App kannst du die Berechtigungen dann einsehen und verwalten.

Wenn du eine App findest, die diese Berechtigungen benötigt, solltest du ihr diese entziehen. Wenn du die betroffene App nicht kennst oder sie nicht brauchst solltest du sie vollständig löschen.

Durch KI-gestützte Texterkennung ist Malware in der Lage geheime Daten aus Screenshots zu lesen und diese zu versenden. Erstelle daher keine Screenshots von Logindaten, Passworten, persönlichen Informationen oder Wallet-Daten. Diese Daten gehören in einen Passwortmanager. Prüfe außerdem welche Apps Zugriff auf deinen Speicher und deine Fotos haben.

Wenn du eine gute App zur Verwaltung deiner Passworte suchst, solltest du dir KeePassDX ansehen.

Über Accrescent, den GrapheneOS App store, F-Droid oder Aurora Store kannst du die meisten Apps auch ohne Anmeldung in Google bzw. ohne Google-Services beziehen.

Achtung! F-Droid und Aurora bieten dir zwar mehr Privatsphäre aber gleichzeitig auch weniger App-Sicherheit (schwächeres App-Reviewing, keine Integritätsprüfung, manche Apps könnten schadhaft sein). Nutze diese App-Stores daher nur, wenn du dich mit den Risiken gut auskennst.

Bevorzuge unbedingt Accrescent oder den GrapheneOS App store. Diese bieten zwar weniger Apps an, dafür sind diese aber verifiziert und auf einem hohen Sicherheitsniveau.

Möglicherweise ist dadurch für die andere Person einsehbar welche Apps und Dienste du nutzt oder welche Dateien und Fotos du in der Cloud speicherst. Möglicherweise kann dein Standort damit verfolgt werden. Und möglicherweise kann sich die andere Person damit in weitere deiner Apps und Konten einloggen.

Du kannst dich davor schützen, indem du Apps verwendest, die ohne Google bzw. Apple Services auskommen. Verzichte auch auf Alternativen wie microG, wenn du ein eigenes Betriebssystem installiert hast. Installiere zum Beispiel Apps aus F-Droid, die ohne diese Services auskommen. Einige Messenger wie Signal bieten eigene Alternativen für zentralisierte Pushnachrichten an.

Auf deinem Gerät sollten sich nur minimal notwendige Daten befinden. Es besteht generell die Gefahr, dass dein Gerät mobilforensisch an diesen Grenzen ausgewertet und automatisiert nach oppositioneller Kritik durchsucht wird.

Dir könnten die Zurückweisung an der Grenze oder sogar Haft drohen. Wenn du dir vorher keine solchen Accounts erstellen kannst, solltest du dein Gerät vor dem Übertritt entkoppeln, damit kein Zugriff auf deine Cloud-Daten mehr besteht. Du kannst dein Gerät nach dem Übertritt mit deinen echten Accounts verbinden. Du kannst dir auch überlegen Zweitgeräte für bestimmte Länder anzuschaffen, wenn du öfters reisen musst.

Auf privascore.org findest du alternative Apps und Dienste für zahlreiche Themen. Nutze z.B. Browser, wie den DuckDuckGo-Browser, die keine Daten über dich sammeln. Das Projekt εxodus gibt dir zudem Auskunft über verwendete Tracker und Berechtigungen vieler Apps. So verzichten Karten-Apps wie Organic Maps oder Magic Earth komplett auf Tracker und sind somit eine gute Alternative zu Google Maps.

Auch im alternativen App-Store F-Droid kannst du sehen welche Apps eventuell unerwünschte Merkmale wie Tracker enthalten.

Wenn du nicht weißt was Root bedeutet, hat dein Gerät es vermutlich nicht. Root bedeutet, dass du auf deinem Gerät alles tun kannst. Zum Beispiel vorinstallierte Apps deinstallieren. Root muss bei den meisten Geräten aufwändig aktiviert werden. Theoretisch können auch andere Personen mit Zugriff auf dein Telefon Root aktivieren, um z.B. Spionageapps zu installieren.

Leider benötigen auch einige Apps, die deine Sicherheit potentiell erhöhen können oft Root-Rechte. Zu nennen wären da zum Beispiel Backup-Anwendungen wie "Neo Backup" aber auch Apps wie "SnoopSnitch", die versuchen IMSI-Catcher oder Stille SMS zu erkennen. Du solltest immer genau abwägen, ob du wirklich Root-Rechte auf deinem Gerät benötigst. In den allermeisten Fällen gibt es dafür keine gute Begründung.

Wenn du dir nicht sicher bist, ob dein Gerät Root hat, kannst du versuchen eine Banking-App zu installieren. Diese wird vermutlich nicht funktionieren und einen Hinweis einblenden, wenn Root aktiv ist.

Wenn du dir unsicher bist welche Messenger gut sind oder wenn du Argumente brauchst, um Familie und Freud*innen zu überzeugen, solltest du dir unbedingt die Messenger-Matrix von Kuketz ansehen. Dort kannst du die einzelnen Messenger bequem nach Funktionen und Sicherheitsaspekten vergleichen. Denke auch daran, dass die Polizei in einigen Ländern bereits selbst Chat-Apps betrieben hat, um leichter an Ermittlungsdaten zu kommen.

In einigen Messengern funktioniert das über Mails. In anderen kannst du eine zusätzliche Pin vergeben. Wenn du deine Telefonnummer verlierst oder andere Menschen bzw. Behörden an deine Simkarte oder eine Kopie davon gelangen (Sim-Swapping), können sie sich mit der Telefonnummer anmelden und deine Nachrichten lesen bzw. in deinem Namen schreiben.

Unternehmen wie spitch.ai bieten Banken und anderen Unternehmen an Ihren Kund*innen-Support mit AI zu ergänzen. Die Frage nach Passworten, Geburtsdaten oder ähnlichen Verifikationen soll bei einem Telefonat dadurch entfallen. Einzig die automatische Analyse der Stimme soll in Zukunft genügen, um Kund*innen zuverlässig am Telefon erkennen zu können. Das Muster der Stimmen wird dabei von AI-Unternehmen zentral gespeichert. Problematisch wird dass, wenn Ermittlungsbehörden diese gespeicherten Daten nutzen, um beispielsweise Personen in Messengern anhand ihrer Stimme zu deanonymiseren.

Teile sensible Informationen außerdem nicht in großen und unübersichtlichen Chatgruppen. Du kannst beispielsweise in Signal einstellen, dass Personen nicht beliebige weitere Accounts hinzufügen können.

Durch speziell präparierte Nachrichten für iMessage konnten in der Vergangenheit immer wieder Staatstrojaner auf iPhones installiert werden. Du solltest diese Software daher meiden.

Gerade in Kontexten wie Frauenhäusern oder bei Stalking kommen manchmal winzige AirTags zum Einsatz, mit denen sich Menschen, Geräte oder Fahrzeuge in Apples Netzwerk orten lassen. Apple-Geräte registrieren AirTags in der Nähe und teilen deren Standort automatisch mit dem Apple-Netzwerk. Hier ist es daher besonders wichtig das Netzwerk von Apple nicht weiter mit Informationen zu versorgen. Ein Abschalten der Ortungsdienste auf Apple-Geräten kann zwar helfen, jedoch können unbeabsichtigte Aktivierungen oder Besucher*innen mit solchen Geräten Menschen wieder in Gefahr bringen. Der Verzicht auf derartige Geräte und die Sensibilisierung des Umfeldes spielen hier also eine zentrale Rolle.

Du kannst Apple-Geräte leider auch nur so verwenden wie dir das von Apple erlaubt wird. Deine Daten und auch das Gerät gehören daher nicht dir. Updates können zum Beispiel unerwünschte Funktionen aktivieren oder andere Features entfernen.

Die Abhängigkeit von geschlossenen Ökosystemen wie Apple kann auch dann zum Problem werden wenn Apple von Regierungen angehalten wird bestimmte Apps zu entfernen. Zum Beispiel Apps wie "ICEBlock", die für den Schutz migrantischer Gruppen in den USA von großer Bedeutung waren.

Für Android ist ein ähnliches Feature nicht verfügbar.

Obwohl später Neuinfektionen möglich sind, kann dir diese Strategie private Zeitfenster verschaffen.

Diese Methode entfernt in der Regel ungewollte Spionage- oder Stalking-Apps von deinem Telefon. Diese Apps wurden eventuell von Menschen aus deinem nahen Umfeld installiert, als sie direkten Zugriff auf dein Gerät hatten.

Bitte sei dir bewusst darüber, dass diese Apps nicht vergleichbar sind mit professionellen Staatstrojanern, die auch nach einem Zurücksetzen des Telefons möglicherweise aus der Ferne wieder installiert werden können.

Trotzdem ist diese Möglichkeit ein guter Anfang, um aus toxischen Beziehungen zu entkommen oder um Stalking vorzubeugen. Bitte sichere deine wichtigsten Daten vor dem Zurücksetzen.

Immer wieder werden QR-Codes zum Beispiel an Ladesäulen oder Automaten überklebt. Sie werden aber manchmal auch mit Briefen versendet. So werden Menschen dazu gebracht persönliche Informationen auf Fake-Seiten einzugeben oder bösartige Apps zu installieren. Prüfe daher das Ziel genau.

QR-Codes sollten so gestaltet sein, dass sie fälschungssicher sind. Zum Beispiel sollten diese hinter einer Glasscheibe angebracht sein, um ein Austauschen zu verhindern. Sei daher skeptisch, wenn sie lediglich aufgeklebt sind.

Folgender Link enthält zum Beispiel eine Vielzahl sogenannter Query-Parameter, die verraten wer den Link geteilt hat und woher er kommt. Dadurch können Tracking Netzwerke erkennen wer mit welchen Personen Informationen teilt.

https://example.com/artikel?utm_source=newsletter&utm_medium=email&fbclid=XYZ123

In dem hier abgebildeten Beispiel-Link ist die Information enthalten, dass er via Newsletter an dich versendet wurde. Außerdem eine ID "XYZ123", die dich eindeutig identifizieren könnte. Siehst du das Fragezeichen im Link oben? Alles was dahinter steht ist in dem meisten Fällen irrelevant für den Aufruf der Zielseite. Der bereinigte Link heißt also schlicht wie folgt:

https://example.com/artikel

Manchmal sind die Parameter aber auch wichtig, um bestimmte Inhalte auf den Seiten aufzurufen. Du kannst das aber leicht testen, indem du den bereinigten Link selbst aufrufst. Du solltest immer skeptisch sein, wenn kryptische Zeichenketten in den Links enthalten sind. Du kannst gerne die quelloffene App "Léon" verwenden, um die Links automatisch zu bereinigen.

Malware kann die NFC-Schnittstelle deines Smartphones nutzen, um Daten von Bankkarten auszulesen, wenn sie sich in der Nähe befinden. Du kannst dich schützen, indem du die Karten nicht direkt neben deinem Smartphone aufbewahrst.

Online kannst du auch spezielle RFID-Schutzhüllen bestellen, die deine Karten effektiv vor dem Auslesen schützen können. In diesen Hüllen, aus einer speziellen Folie, sind deine Bankkarten vor ungewolltem Auslesen sicher.

Nutze wenn möglich Bargeld. Aber auch mit anonymen Gutscheinkarten, die andere für dich kaufen kannst du an Ladenkassen schnell und einfach zahlen.

Wenn du mit sonstigen Karten oder deinem Smartphone zahlen willst, solltest du vorrangig die Karte oder App deiner Bank nutzen.

Verzichte auf jeden Fall auf dritte Zahlungsdienstleister*innen wie Apple Pay, Google Pay, Amazon Pay, PayPal oder Klarna. Denn diese analysieren dein Einkaufsverhalten zusätzlich.

Besser ist es Geldgeschäfte direkt mit der eigenen Bank abzuwickeln. Bedenke auch, dass einige Anbieter*innen wie Klarna unter Umständen deine sonstigen Kontobewegungen deines Bankkontos einsehen können.

Spezialisierte Agenturen und Datenbroker sammeln öffentliche Informationen und Details aus Datenleaks über dich und verkaufen diese z.B. an Geheimdienste weiter. Unternehmen wie PimEyes, die auf Gesichtserkennung ausgerichtet sind, nutzen deine persönlichen Bilder, um ihre KIs zu trainieren. So werden die biometrischen Merkmale deines Gesichts erfasst und du kannst in Bruchteilen von Sekunden auf anderen Bildern identifiziert werden. Versuche dich selbst im Internet zu finden, identifiziere die Services und versuche deine persönlichen Daten von dort zu entfernen. Nutze zum Beispiel Google Alerts, um dich automatisch via E-Mail informieren zu lassen, sobald dein Name oder andere persönliche Daten im Internet auftauchen. Du kannst auch versuchen DMCA-Takedown-Anfragen nutzen, um deine Daten von US-Websites löschen zu lassen. Mehr dazu erfährst du in den weiterführenden Links.

Anstelle von YouTube kannst du zum Beispiel eine der zahlreichen Invidious-Instanzen wie yewtu.be im Browser oder die Apps FreeTubeAndroid, LibreTube, Tubular oder NewPipe nutzen. So kannst du Werbung vermeiden und gleichzeitig deine Privatsphäre schützen. Du kannst auch LibRedirect für FireFox installieren. Dieses Plugin leitet dich beim Surfen im Internet automatisch auf ein alternatives Frontend um.

Unternehmen wie YouTube unternehmen große Anstrengungen, um alternative Frontends immer wieder unbrauchbar zu machen oder zu sperren. Gib nicht auf, wenn es nicht gleich beim ersten Versuch funktioniert!

Generell sollte aber betont werden, dass es besser ist derartige Plattformen generell zu meiden und quelloffene Lösungen aus dem Fediverse zu bevorzugen.

Mit der Übernahme von Twitter durch Melon Usk (Name geändert) konnten wir beobachten wie verwundbar zentralisierte Soziale Netzwerke sind. Dort wo sich Macht an einem Punkt konzentriert kann sie verkauft und für rechtsradikale Propaganda missbraucht werden.

Das Fediverse ist anders. Es ist eine autonome Föderation vieler kleiner Server. Viele freiwillige Menschen arbeiten daran. Hinter einzelnen Instanzen stehen weniger kapitalistischen Interessen als viel mehr der Wunsch nach Freiheit. Im Fediverse gibt es weder Werbung noch toxische Algorithmen, die bestimmen, was du sehen sollst und was nicht. Keinem Konzern und keiner Privatperson gehören die Daten darin.

Hier die wichtigsten Services:

• Mastodon: Ein dezentrales, Twitter-ähnliches soziales Netzwerk für kurze Textbeiträge
• Pixelfed: Eine dezentrale, datenschutzfreundliche Instagram-Alternative für Foto-Sharing
• Friendica: Ein dezentrales soziales Netzwerk, das verschiedene Plattformen verbindet und vielseitige Kommunikation ermöglicht
• PeerTube: Eine dezentrale YouTube-Alternative zum Veröffentlichen und Streamen von Videos

Du solltest PassKeys nicht an eine biometrische Entsperrung binden. Denke außerdem daran deine Passkeys zu sichern für den Fall, dass du dein Gerät verlieren solltest.

Bedenke dabei bitte auch, dass es möglich sein muss ein Backup von deinem zweiten Faktor zu erzeugen.

Solltest du einen Hardware-Token als zweiten Faktor nutzen, stelle bitte sicher, dass es für Notfälle noch einen zweiten gibt!

Eine Handynummer ist kein wirklich guter zweiter Faktor, um Logins abzusichern. Du könntest deine Nummer potentiell verlieren und damit auch den Zugang zu deinen Accounts.

Es kann aber auch sein, dass andere Menschen, Unternehmen oder Behörden Zugriff auf deine Nummer erlangen. Zum Beispiel indem sie deine Simkarte nutzen oder sich eine neue ausstellen lassen.

Aber auch Angriffe im Mobilfunknetz sind möglich. So gibt es z.B. Unternehmen, die mit der bloßen Angabe der Handynummer, SMS abfangen und an andere Menschen weiter leiten können. Dieser "Service" wird teilweise auch für Privatpersonen angeboten.

Nutze wenn möglich immer sogenannte Time-Based-One-Time-Passwords als zweiten Faktor für Logins. Diese kannst du in freien Apps wie z.B. der Android-App Aegis verwalten.

Nicht alle Angebote unterstützen diese Art von zweitem Faktor. Manchmal werden diese auf den Websites auch einfach "Authentifizierungs-App" oder ähnlich genannt. Auf jeden Fall wirst du bei der initialen Einrichtung immer dazu aufgefordert mit deiner 2-Faktor-App einen QR-Code zu scannen. Danach ist der zeitlich rotierende Login-Code in deiner App verfügbar.

Das Tracking von Gewohnheiten und Vorlieben kann sogar einzelne Menschen wiedererkennbar und identifizierbar machen. Daher verwundert es auch nicht, dass gezielte, auf einzelne Menschen ausgerichtete Werbekampagnen (Microtargeting) von Geheimdiensten genutzt wurden, um einzelne Geräte zielgerichtet mit Schadsoftware zu infizieren.

Aber nicht nur Geheimdienste nutzen Werbung, um Menschen zu verfolgen. Sogenannte Datenbroker verkaufen große Mengen zusammengetragener Daten über deine Person aus diversen Apps und Websites.

Es gibt verschiedene Werbe- und Tracking-Blocker, die du auf unterschiedlichen Ebenen ausprobieren kannst. Netzwerkweite Lösungen wie "eBlocker" und "Pi-hole" schützen alle Geräte in deinem Heimnetzwerk. Apps wie "AdAway" schützen gezielt dein komplettes Smartphone und uBlock Origin ist ein Plugin für den Firefox-Browser. Auch die Browser-Erweiterungen "Ghostery" und "Privacy Badger" sind sehr zu empfehlen.

Einige dieser Plugins wie uBlock Origin arbeiten mit kuratierten Sperrlisten. Sie verhindern dadurch, dass Websites externe Tracker oder Werbung nachladen können. Andere Plugins wie Privacy Badger arbeiten mit Verhaltensanalysen und sperren verdächtige Anbieter*innen auf Websites automatisch aus.

Zugangsprovider*innen wie Telekom, Vodafone, Telefonica oder 1&1 kennen deinen ungefähren Standort (Mobilfunk) oder sogar deinen genauen Standort (Festnetz). Nutze Websites und Plattformen über den Tor-Browser oder leite Apps mit der Orbot-App über das Tor-Netzwerk um, damit du deine IP-Adresse und deinen Standort nicht preis gibst.

Auf der Seite von Digitalcourage findest du weitere datenschutzfreundliche Suchmaschinen.

Generell solltest du überlegen, ob du die entsprechenden Cloud-Dienste überhaupt brauchst. Du kannst zum Beispiel Apps wie "OpenKeychain" verwenden, um Dateien vor dem Upload in eine Cloud zu verschlüsseln. Für den Fall, dass du ein Apple-Gerät mit deiner iCloud nutzt aktiviere dort den erweiterten Datenschutz. Generell solltest du sensible und kritische Daten eher lokal bei dir speichern. Zum Beispiel auf einer verschlüsselten Festplatte.

Es ist davon auszugehen, dass Geheimdienste und andere staatliche Akteur*innen auch verschlüsselte Daten bei der Übertragung abfangen und diese speichern, um sie irgendwann in der Zukunft zu entschlüsseln.

Du kannst in den meisten Fällen darauf verzichten dein Gerät mit Passwort, Wischen oder Biometrie zu entsperren, wenn du einfach nur Fotos oder Videos aufnehmen möchtest. Die meisten Android-Geräte starten die Kamera wenn du zwei mal schnell auf den Power-Button drückst. Auf iPhones kannst du den Display aktivieren und einfach das Kamera-Symbol nutzen.

Dieses Vorgehen ermöglicht es dir in kritischen Situationen Videos und Bilder zu erstellen. Dein Gerät bleibt dann gesperrt. Es ist so schwieriger im Falle eines Diebstahls oder einer Beschlagnahmung an die Daten zu kommen.

Dieses Verhalten erhöht deinen Schutz also etwas. Bedenke aber, dass nur eine aktivierte Verschlüsselung und ein abgeschaltetes Gerät effektiv gegen polizeiliche mobilforensische Untersuchungen sind.

VPNs können dir helfen deine Sicherheit in nicht sicheren oder öffentlichen Netzwerken zu schützen. Sie können dir helfen Zensur und Geoblocking zu umgehen. Sie verbergen gegenüber deinem Provider welche Websites du besuchst. Außerdem verbergen sie gegenüber den Ziel-Seite deine IP.

Sie schützen dich aber nicht automatisch vor Hacking, Identitätsdiebstahl oder Daten-Lecks. Sie machen dich auch nicht automatisch anonym und verhindern nicht, dass soziale Netzwerke deine Daten sammeln.

Wenn du kannst, nutze stattdessen das Tor-Netzwerk oder freie VPNs, wie das RiseupVPN, die keine Daten über dich erheben.

Wird dein Telefon entwendet können diese Daten (sogenannte Exif-Daten) Aufschluss über deine Herkunft geben. Aber auch wenn du Bilder über das Internet teilst bleiben diese Metadaten erhalten und lassen Rückschlüsse auf die Urheber*in zu. Einige Apps wie Signal entfernen diese Daten automatisch aus Bildern, wenn du sie sendest.

Nutze Apps wie "Imagepipe", wenn du sicher sein möchtest, dass alle Daten entfernt wurden. Damit kannst du deine Bilder bereinigen, bevor du diese ins Internet lädst. Imagepipe kannst du zum Beispiel über den alternativen Appstore "F-Droid" auf deinem Android-Smartphone installieren.

Du kannst auch versuchen dieses Feature in deiner Kamera zu deaktivieren. Suche nach Einstellungen wie "Metadaten" oder "Exif".

Achte bei deinen Bildern also auf solche Details. Deaktiviere auch das Stempeln von Uhrzeit und Datum auf deinen Bildern, um derartige Angriffe zu erschweren. Stempeln bedeutet, dass Uhrzeit und Datum leserlich in einer Ecke des Bildes eingefügt werden.

Achte auch darauf, dass Datum und Uhrzeit nicht in die Metadaten (Exif-Informationen) der Bilder oder im Dateinamen eingefügt sind. Mit Apps wie "ImagePipe" kannst du Metadaten aus deinen Bildern löschen, bevor du sie veröffentlichst. Deaktiviere wenn möglich in deinen Kamera-Einstellungen das Speichern von Exif-Informationen. Diese Informationen können Datum, Uhrzeit, Smartphone-Modell, Kameratyp, Betriebssystem, Koordinaten und noch mehr umfassen und werden unsichtbar direkt an die Bilder geheftet.

Indem du Cookies und Analysen durch Drittanbieter*innen auf Websites verweigerst, verhinderst du, dass du durch große Werbenetzwerke wiedererkannt und kategorisiert wirst.

Außerdem verhinderst du so die ungefähre Standortüberwachung dritter Services über deine IP-Adresse. Manchmal ist das Ablehnen dieser Überwachung bewusst versteckt, umständlich oder auch gar nicht möglich.

Hast du gewusst, dass zum Beispiel in Deutschland viele E-Mail-Provider als Telekommunikationsdienst gelten? Damit dürfen Behörden deine Bestandsdaten und E-Mails anfordern. Aber auch ohne behördliche Überwachung sind E-Mails vielen Gefahren ausgesetzt. Eine E-Mail durchquert beim Weg in ein Postfach viele Knotenpunkte und kann an zahlreichen Stellen mitgelesen werden. Zudem nutzen vermutlich zahlreiche Freemail-Services wie GMX.de oder WEB.de die Inhalte deiner Mails, um dir gezielt Werbung anzuzeigen.

Leider ist es nicht immer möglich Mails zu verschlüsseln weil zum Beispiel die Gegenstelle keine Verschlüsselung anbietet. Sollte Verschlüsselung nicht möglich sein, weiche auf sichere Messenger-Apps wie Signal aus.

Einige Apps und Websites bieten dir die Möglichkeit dich durch sogenanntes SSO (Single-Sign-On) mit Accounts anderer Firmen oder Konzernen bei ihnen einzuloggen. Dort steht dann bei der Login-Maske zum Beispiel: "Login mit Google" oder "Login mit Microsoft".

Das soll den Komfort erhöhen, weil du auf eine separate Registrierung verzichten kannst. Leider hat dieses Vorgehen aber einige Nachteile.

Sollte dein Hauptpasswort zu einer SSO-Anbieter*in kompromittiert sein, so sind alle weiteren Apps und Websites, mit denen du dich dadurch eingeloggt hast auch betroffen. Das kann auch bei Stalking oder in toxischen Beziehungen ein Problem sein, wenn eine Person dadurch mehrere Apps kontrollieren kann.

Außerdem sammel die Anbieter*innen solcher Logins im Hintergrund detaillierte Daten über die Nutzung der Apps und Websites und haben theoretisch Vollzugriff auf deine verbundenen Konten.

So ist eine noch detaillierte Profilbildung für Datenhändler*innen und Werbenetzwerke möglich.

Überlege außerdem, ob es sicher für dich ist, den jeweiligen Account zu löschen. Einige Social-Media-Accounts sind z.B. mit öffentlichen Profilseiten verbunden. Wenn du den Account löschst, können andere eventuell deinen alten Profilnamen besetzen und für sich verwenden. Um das zu verhindern, kannst du versuchen lediglich deine Daten aus dem Account und Profil zu löschen ohne jedoch den Account komplett zu schließen.

Sei auch vorsichtig beim Löschen von Mailadressen! Auch diese können danach von anderen Personen möglicherweise wieder registriert werden. Dadurch ist nicht nur eine Kommunikation in deinem Namen möglich. Auch Mails werden dort möglicherweise weiterhin eingehen. So ist z.B. auch die Wiederherstellung von Account-Logins möglich, die mit diesem Mail-Account verbunden waren. Mailadressen solltest du also grundsätzlich behalten.

Auf der Website haveibeenpwned.com kannst du schnell und unkompliziert feststellen, ob deine Mailadresse in Datenlecks auftaucht. Du kannst dir dort auch einen Account zulegen, und dich bei neuen Funden automatisch benachrichtigen lassen.

Auch die Aufforderung Geld zu überweisen solltest du gründlich überprüfen. Das machst du, indem du die Person oder das Unternehmen auf einem separaten Weg kontaktierst. Rufe zum Beispiel einfach dort an. So kannst du dich vergewissern, dass die Nachricht auch wirklich echt ist. Sei skeptisch, wenn dir gesagt wird, dass ein Anruf nicht möglich ist.

Die hier aufgezeigte Art des Betrugs wird auch Phishing genannt. Dabei werden echt aussehende Nachrichten in Form von E-Mail, SMS oder Chat-Nachrichten an bestimmte Personen versendet, um zum Beispiel Logindaten oder Bankdaten zu erbeuten.

Täter*innen versuchen Ihre Nachrichten teilweise auch mit echten Informationen über die Zielperson anzureichern, damit diese echter wirken. Diese Daten können aus Datenlecks diverser Plattformen stammen. Auch kommt es vor, dass vermeintlich vertrauenswürdige Accounts von Freund*innen oder Familie missbraucht werden, um dich zu einer Handlung zu bewegen. Kontaktiere in wichtigen Angelegenheiten die Personen oder Unternehmen immer noch mal auf einem anderen Weg!

Achtet darauf, dass die Passwörter nicht aus Informationen über dich oder deine Familie bestehen. Vermeide also Namen, Adressen, Haustiere oder Geburtstage. Nutze z.B. Wörter wie "Erdbeer-Käse-Kuchen".

Ex-Partner*innen, die technische Geräte in der Wohnung kontrollieren, können ihre Opfer mit smarten Alltagsgeräten oft weiterhin terrorisieren. Diese Bedrohungen können ihre Opfer regelrecht in den Wahnsinn treiben. Lichter, Musik und Saugroboter, die plötzlich Nachts eingeschaltet werden sind dabei vermutlich noch eher harmlos.

Täter*innen können über die gekoppelten Accounts aber auch Hinweise darauf erhalten, wann ihre Opfer zu Hause anzutreffen sind, diese abhören oder auch mit Kameras ausspionieren.

Du kannst betroffene Geräte einfach abschalten oder vom Strom trennen. Wenn du dich mit Ihnen auskennst, solltest du sie mit neuen Accounts verbinden, die du exklusiv kontrollierst.