Smartphone, don't spy!

✔ Eine Checkliste für deine mobile Sicherheit

1. Flyer: Smartphone, don't spy! - https://smartphone-dont-spy.de/en/flyer

Wenn du dich für Cryptoparties interessierst und Gleichgesinnte treffen möchtest kannst du dich zum Beispiel auf der Seite cryptoparty.in über bevorstehende Events informieren. Oder du folgst dem verlinkten Guide und veranstaltest gleich selbst eine Cryptoparty.

1. 2019-12-21 - Digitalcourage: How To CryptoParty - https://digitalcourage.de/digitale-selbstverteidigung/how-to-cryptoparty
2. Nächte Cryptoparties auf cryptoparty.in - https://www.cryptoparty.in/parties/upcoming

Bedenke, dass andere Personen nicht wissen können wie gut du dich selbst mit deinem Telefon auskennst. Es ist daher immer ein Zeichen des gegenseitigen Vertrauens Telefone aus sensiblen Gesprächen heraus zu halten. Grundsätzlich sollte gelten: Vertraue Personen eher als ihren Geräten.

1. 2024-08-23 - Heise: Handyverbot: Niederländische Minister müssten Geräte künftig abgeben - https://www.heise.de/news/Handyverbot-fuer-Minister-Niederlande-gehen-auf-Nummer-sicher-9846074.html

Alle weiteren Informationen findest du auf der Website der NO STALK APP.

1. NO STALK App - https://nostalk.de/

Gerade in Kontexten wie Frauenhäusern oder bei Stalking kommen manchmal winzige AirTags zum Einsatz, mit denen sich Menschen, Geräte oder Fahrzeuge in Apples Netzwerk orten lassen. Apple-Geräte registrieren AirTags in der Nähe und teilen deren Standort automatisch mit dem Apple-Netzwerk. Hier ist es daher besonders wichtig das Netwerk von Apple nicht weiter mit Informationen zu versorgen. Ein Abschlaten der Ortungsdienste auf Apple-Geräten kann zwar helfen, jedoch können unbeabsichtige Aktivierungen oder Besucher*innen mit solchen Geräten Menschen wieder in Gefahr bringen. Der Verzicht auf derartige Geräte und die Sensibilisierung des Umfeldes spielen hier also eine zentrale Rolle.

1. Apple: About privacy and Location Services in iOS, iPadOS, and watchOS - https://support.apple.com/en-us/102515

Bei Beschlagnahmungen oder Diebstahl können Kontakte, SMS und Anruflisten ausgelesen werden. Darüber hinaus sind Dumbphones ohne weitere Schutzmaßnahmen genauso anfällig für Angriffe im Mobilfunknetz. Dumbphones lassen sich nicht verschlüsseln, du kannst keine Apps wie Passwortmanager darauf installieren, du kannst deine Bilder nicht von Metadaten bereinigen und kannst keine sicheren Messenger nutzen.

Auf der einen Seite haben diese Telefone also Nachteile. Auf der anderen Seite muss aber auch festgehalten werden, dass nicht smarte Geräte einige Gefahren komplett ausschließen. Zum Beispiel ist hier die Gefahr durch Infektionen mit Malware sehr viel geringer. Verschlüsselung und sichere Kommunikation erscheint aber angesichts inflationärer Beschlagnahmungen und Überwachung so wichtig, dass ein smartes Gerät unbedingt zu bevorzugen ist.

Sei dabei bitte vorsichtig und achte darauf den Chip nicht zu zerstören. Kratze also nicht zu tief! Selbstverständlich gilt das nur für physische Simkarten. eSims haben eine solche Nummer nicht.

Dein Passwort sollte mindestens 20 Zeichen lang sein.

Eine starke Verschlüsselung ist wichtig. Eine Bildschirmsperre ist nicht ausreichend und nicht das gleiche wie eine Verschlüsselung. Aktiviere die Verschlüsselung in deinen Einstellungen! Professionelle mobilforensische Software wie Cellebrite kann über die USB-Schnittstelle die meisten Bildschirmsperren einfach umgehen, indem es Sicherheitslücken ausnutzt oder versucht deinen Pin zu erraten. Alle Polizeibehörden in Deutschland verfügen über diese Software. Alle deine Daten, Kontakte, Anruflisten, Standortdaten, Login-Daten und vieles mehr könnten dann automatisiert via USB gesammelt, aufbereitet und visuell dargestellt werden. Dein Verschlüsselungspasswort sollte daher besonders stark sein. Nutze ein sehr komplexes Muster oder ein alphanumerisches Passwort zur Verschlüsselung!

Aber was ist der Unterschied zwischen Verschlüsselung und Pin bzw. Passwort? Vereinfacht ausgedrückt ist ein Passwort- oder Pin-Schutz wie ein abgeschlossener Raum. Angreifer*innen können aber trotzdem durch das Fenster oder die Wand brechen, um an deine Daten zu kommen. Bei einer Verschlüsselung hingegen wird der ganze Raum in kleine Teile gehackt und gleichmäßig auf dem Boden verstreut. Ein Auslesen dieses Daten-Chaos ist ohne den richtigen Schlüssel, der alles wieder sortiert, nicht möglich.

1. 2024-10-04 - Tagesschau: Smartphone-Zugriff auch bei leichten Straftaten erlaubt - https://www.tagesschau.de/inland/innenpolitik/eugh-smartphone-zugriff-100.html
2. 2024-04-03 - Google Warns: Android Zero-Day Flaws in Pixel Phones Exploited by Forensic Companies - https://thehackernews.com/2024/04/google-warns-android-zero-day-flaws-in.html
3. 2024-02-12 - Netzpolitik: Sachsen-Anhalt - Alle 3,5 Stunden durchsucht die Polizei ein Smartphone - https://netzpolitik.org/2024/sachsen-anhalt-alle-35-stunden-durchsucht-die-polizei-ein-smartphone/
4. 2023-12-29 - 37c3: Gläserne Geflüchtete - Mit Computern das Leben zum Schlechteren verändern - https://media.ccc.de/v/37c3-12306-glaserne_gefluchtete
5. 2023-06-28 - Netzpolitik: Abschiebung von Geduldeten: Berlin durchsucht weiter Handys - https://netzpolitik.org/2023/abschiebung-von-geduldeten-berlin-durchsucht-weiter-handys/
6. 2016-12-08 - Phone-Cracking Cellebrite Software Used to Prosecute Tortured Dissident - https://theintercept.com/2016/12/08/phone-cracking-cellebrite-software-used-to-prosecute-tortured-dissident

Auch wenn dein Telefon verschlüsselt ist kann professionelle mobilforensiche Software wie Cellebrite via USB darauf zugreifen. Solange dein Telefon eingeschaltet ist, ist die Verschlüsselung wirkungslos, da die Daten entschlüsselt sind. Erst wenn es abgeschaltet ist, ist Verschlüsselung wirklich effektiv. Schalte dein Telefon unbedingt ab, bevor du es in fremde Hände gibst! Wenn du auf Nummer sicher gehen willst kannst du auch einen Killswitch an deinem Telefon anbringen. So lässt sich der Akku in Gefahrensituationen schnell entfernen. In den weiterführenden Informationen findest du mehr Details zu dieser Idee.

1. 2024-05-24 - Netzpolitik: Hunderttausende Euro, um Handys von Geflüchteten zu knacken - https://netzpolitik.org/2024/abschiebungen-hunderttausende-euro-um-handys-von-gefluechteten-zu-knacken/
2. 2023-10-30 - Netzpolitik: Beschlagnahmte Smartphones: Ein Grundrechtseingriff unbekannten Ausmaßes - https://netzpolitik.org/2023/beschlagnahmte-smartphones-ein-grundrechtseingriff-unbekannten-ausmasses/
3. 2020-01-26 - Ein Killswitch für dein Smartphone - https://steampixel.de/ein-killswitch-fur-dein-smartphone/

Wenn deine Simkarte nicht mit einer Pin geschützt ist können andere Menschen diese theoretisch aus deinem Telefon entfernen und sie in ein anderes Telefon einlegen. Damit könnten sie dann versuchen auf deine Accounts zuzugreifen, welche die Telefonnummer deiner Simkarte nutzen. Dieser Angriff hat Ähnlichkeiten mit SIM-Swapping. Hierbei bringen Menschen deinen Provider mit persönlichen Daten von dir dazu Ihnen eine Kopie deiner Simkarte zu senden. In einem unbeobachteten Moment kann deine Simkarte ohne Pin-Schutz aber auch direkt ohne dein Wissen in ein anderes Telefon eingelegt werden.

Hinweis für anonyme Simkarten: Wenn du anonyme Simkarten verwendest kannst du die Pin-Sperre oft nicht aktivieren, da du die zur Karte gehörige Pin / PUK oft nicht kennst. Du erhältst diese Karten oft mit deaktiviertem Pin. Du solltest in diesem Fall darauf achten, dass alle deine Messenger mit einem zweiten Faktor (z.B. Pin) abgesichert sind und dass du die Karte nicht selbst für eine Zwei-Faktor-Authentifizierung oder für Logins nutzt.

1. Wikipedia: SIM swap scam - https://en.wikipedia.org/wiki/SIM_swap_scam

Einige ältere Android-Geräte erzeugen auch eine Signatur über verwendete Apps auf deiner Speicherkarte indem sie dort für verwendete Apps eigene Ordner anlegen. Dadurch können Rückschlüsse auf deine verwendeten Apps gezogen werden. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben.

Fingerabdrücke und Gesichtserkennung sind keine sicheren Methoden, um das eigene Gerät zu entsperren. Sie sind wie Passwörter, die du niemals ändern kannst. Durch Datenlecks oder Malware könnten diese sensiblen Informationen abhanden kommen und dir so zum Nachteil werden. Zudem darf auch die Polizei deine Fingerabdrücke nutzen, um dein Gerät zu entsperren. In Deutschland und den USA gab es dazu bereits Gerichtsurteile. Wenn du ein iPhone hast kannst du durch das betätigen einer speziellen Tastenkombination Face ID und Fingerabdruck temporär sperren. Für Android ist auf einigen Geräten der Lockdown-Mode verfügbar mit dem du diese Funktionen im Notfall schnell abschalten kannst.

1. 2024-04-19 - Heise: US-Gericht billigt erzwungenen Fingerabdruck zum Entsperren des Smartphones - https://www.heise.de/news/US-Gericht-billigt-erzwungenen-Fingerabdruck-zum-Entsperren-des-Smartphones-9691611.html
2. 2024-02-21 - Golem: Forscher erzeugen Fingerabdrücke aus Wischgeräuschen - https://www.golem.de/news/security-forscher-erzeugen-fingerabdruecke-aus-wischgeraeuschen-2402-182449.html
3. 2024-01-11 - Heise: Grundannahme widerlegt: KI findet Muster bei Fingerabdrücken einer Person - https://www.heise.de/news/Mit-KI-ermittelt-Mehrere-Fingerabdruecke-einer-Person-haben-doch-Gemeinsamkeiten-9594962.html
4. 2023-06-29 - How to use Android's lockdown mode (and why) - https://www.zdnet.com/article/how-to-use-the-android-lockdown-mode-and-why-you-should/
5. 2023-03-10 - Netzpolitik: Polizei darf Fingerabdrücke nehmen, um Handy zu entsperren - https://netzpolitik.org/2023/gerichtsbeschluss-polizei-darf-fingerabdruecke-nehmen-um-handy-zu-entsperren/
6. 2022-06-29 - Tipp: So sperrt ihr Face ID und Touch ID innerhalb von 2 Sekunden - https://www.macerkopf.de/2022/06/29/tipp-so-face-id-touch/

1. 2022-02-14 - Heise: Android: Entwickleroptionen aktivieren/deaktivieren - https://www.heise.de/tipps-tricks/Android-Entwickleroptionen-aktivieren-deaktivieren-4041510.html

Wenn möglich nutze ein USB-Kabel ohne Datenfunktion zum Laden. Manipulierte Kabel oder USB-Dosen in Hotels, Bussen oder Bahnen könnten Daten auslesen oder unerwünschte Software installieren. Wenn du dir nicht sicher bist kannst du dein Telefon für den Ladevorgang einfach abschalten. So kann nichts installiert oder ausgelesen werden und es wird trotzdem geladen.

1. 2023-04-12 - Tarnkappe: FBI warnt vor der Nutzung öffentlicher Handy-Ladestationen - https://tarnkappe.info/artikel/it-sicherheit/fbi-warnt-vor-der-nutzung-oeffentlicher-handy-ladestationen-272873.html

Ob dein Gerät verified Boot unterstützt oder nicht erfährst du bei der herstellenden Firma. Wenn du ein eigenes Betriebssystem auf deinem Gerät installiert hast solltest du sicherstellen, dass verified Boot für dein Gerät unterstütz wird.

1. 2024-04-29 - Android: Verifizierter Start - https://source.android.com/docs/security/features/verifiedboot?hl=de

1. 2020-08-09 - Steampixel: Schon mal über Hardware-Versiegelungen nachgedacht? - https://steampixel.de/schon-mal-uber-hardware-versiegelungen-nachgedacht/

Achte darauf, dass du diese Nummern an einem geheimen Platz ablegst. Speichere sie am besten verschlüsselt. So musst du nicht befürchten, dass diese Nummern in Zukunft genutzt werden, um dir ein bestimmtes Telefon zuordnen zu können.

Du solltest bei deinem Backup auch an wichtige Apps wie 2-Faktor-Apps oder Passwortmanager denken. Die Einstellungen lassen sich daraus meist leicht exportieren. Nutze wenn möglich quelloffene Backup-Software wie "oandbackup" oder "Neo Backup". Diese benötigen allerdings Root-Rechte. Eine einfache regelmäßige Kopie deiner wichtigsten Daten auf einen USB-Stick ist aber auch ein guter Anfang! Denke daran, dass "No Backup, No Mercy" eine arrogante Haltung ist. Nicht alle Menschen haben das Wissen und die technischen Möglichkeiten für Backups. Helft euch gegenseitig!

1. F-Droid: Neo Backup - https://f-droid.org/de/packages/com.machiav3lli.backup/
2. F-Droid: oandbackup - https://f-droid.org/de/packages/dk.jens.backup/

Die Android-App Neo Backup unterstützt Verschlüsselung von Haus aus. Du kannst aber auch verschlüsselte Zip-Archive von Hand erstellen oder gleich ganze USB-Sticks verschlüsseln. Unter Linux, MacOS und einigen Windows-Versionen geht das ganz einfach über eine grafische Oberfläche. Du kannst aber auch eine Verschlüsselungssoftware für deine Sticks wie VeraCrypt einsetzen, die auf den meisten Betriebssystemen funktioniert. Wenn du dich tiefer mit der Materie befassen möchtest und die Kommandozeile nicht scheust kannst du dir professionelle Software wie Restic (Linux) oder duplicity (Linux) ansehen. Dafür musst du dein Gerät dann mit einem Computer verbinden.

1. 2022-12-29 - Windows: How to encrypt a USB flash drive—and why you should - https://www.microsoft.com/en-us/microsoft-365-life-hacks/privacy-and-safety/how-and-why-to-encrypt-usb-flash-drive
2. 2022-03-30 - Windows: How to password protect ZIP files and folders on PC - https://nordvpn.com/de/blog/how-to-password-protect-a-zip-file/
3. 2021-09-01 - Linux: How to encrypt a USB disk - https://medium.com/tech-notes-and-geek-stuff/how-to-encrypt-a-usb-disk-47f6a4166f03
4. MacOS: Verschlüsseln und Schützen eines Speichermediums mit einem Passwort mit dem Festplattendienstprogramm auf dem Mac - https://support.apple.com/de-de/guide/disk-utility/dskutl35612/mac
5. VeraCrypt - https://veracrypt.fr/en/Downloads.html
6. duplicity - https://duplicity.us/
7. restic - https://restic.net/

Verschaffe dir einen Überblick über die Wichtigkeit deiner jeweiligen Daten und lagere sie entsprechend. Lagere z.B. unwichtigere Kopien deiner Musik- oder Bildersammlung weiter entfernt bei Freund*innen. Kritische Backups von Zugangsdaten oder wichtige Dokumenten solltest du eher redundant und auch in deiner Nähe lagern. Generell solltest du eine Kopie deiner Backups auch außerhalb deiner Wohnung aufbewahren.

Du fragst dich wie das gehen soll, wenn doch alles verschlüsselt ist? Hier folgt eine Idee: Erstelle dir eine separate Passwortdatenbank. In diese Datenbank legst du alle wichtigen Haupt-Passworte für Computer, Telefon, andere Passwort-Datenbanken und auch für deine Backup-Archive. Erstelle dir nun eine Liste von 10-20 persönlichen Fragen, die nur du selbst beantworten kannst. Die Antworten auf die Fragen ergeben zusammengeschrieben dein Masterpasswort für Notfälle. Kopiere diese kritische Datenbank auf einen USB-Stick und lagere die Fragen daneben. Wenn du willst kannst du die Fragen auch mit Partner*innen, Freund*innen oder Familienmitgliedern gemeinsam erarbeiten. So sind Daten wiederherstellbar, selbst wenn dir etwas zustoßen sollte.

Du solltest auch dann nicht reagieren, wenn du einen Brief von der Polizei erhältst in dem du zur Heruasgabe der Pin aufgefordert wirst. Die Polizei könnte zudem versuchen dich verbal unter Druck zu setzen. Sie erzählen dir vielleicht, dass sich die Heruasgabe des Passwortes strafmildernd auswirken wird. Oder sie erzählen dir, dass du dein Telefon dann schneller wieder hast. Oder sie behaupten, dass es für dich teuer werden kann dein Smartphone professionell knacken zu lassen. Bleibe standhaft und verweigere die Herausgabe! Kontaktiere im Zweifel Anwält*innen.

Bitte bedenke, dass bei der Einreise in andere Länder wie die USA oder China dein Telefon durchsucht werden darf. Möglicherweise wirst du zur Herausgabe deines Passwortes gezwungen. In diesem Fall kannst du ein frisch zurückgesetztes Telefon mitnehmen, dass gefahrlos durchleutet werden kann. Installiere nach dem Übertritt der Grenze alle Apps neu.

1. 2019-06-04 - Zeit: So schützen Sie Ihre Daten an der Grenze - https://www.zeit.de/digital/datenschutz/2019-06/reisen-datenschutz-grenzbeamte-kontrolle-usa
2. 2017-02-20 - Smartphone-Kontrolle in den USA - Nicht lügen! - https://www.deutschlandfunknova.de/beitrag/smartphone-kontrolle-in-den-usa-auf-keinen-fall-luegen

Gebrauchte Telefone könnten illegale Daten enthalten haben, die wiederhergestellt und ausgewertet werden könnten. Um zu vermeiden, dass dir das zum Verhängnis wird solltest du das Telefon einmal komplett überschreiben. Wenn du die Möglichkeit hast generiere dir große Zufallsdateien und kopiere diese auf dein Telefon, bis es voll ist. Andernfalls kannst du dir auch große Testdaten aus dem Internet herunterladen und damit den Speicher deines Telefons überschreiben.

Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben. Bei moderneren Android-Geräten und iPhones ist das wegen des verschlüsselten Dateisystems für gewöhnlich nicht notwendig. Achte aber in diesem Fall darauf, dass das Telefon ordnungsgemäß auf Werkseinstellungen zurückgesetzt wurde. Solltest du dir nicht sicher sein, kannst du es trotzdem überschreiben.

1. Hier findest du große Test-Dateien - https://fastest.fish/test-files

Über Wi-Fi kannst du in bestimmten Fällen wiedererkannt werden. Im extremsten Fall kann sogar deine Wohnadresse ermittelt werden. Einige Geräte verraten die eindeutige Hardwarenummer deiner Wi-Fi-Schnittstelle sowie die Liste deiner bekannten Wi-Fi-Netze. Auf Websites wie wigle.net kannst du einfach nach den physischen Standorten der Wi-Fi-Netze suchen. Google und Apple nutzen ihre Marktmacht, um die Standorte von benachbarten Wi-Fis durch ihre Geräte in ihren eigenen Datenbanken zu speichern. Betreibst du ein eigenes W-Lan? Google, Apple und sämtliche Geheimdienste kennen dadurch seine Koordinaten. Aber auch Bluetooth und andere Schnittstellen bergen Gefahren. Bluetooth ist zum Beispiel Anfällig für Bluesnarfing (Öffnung eigentlich geschlossener Ports durch Befehle von Außen), Bluejacking (Zusendung unerwünschter Nachrichten), Bluebugging (Ausnutzen einer Backdoor), Bluesmacking (Denial of Service) oder Car Whispering (Abhören der Freisprecheinrichtung).

1. 2024-01-26 - Heise: Bluetooth zu unsicher: US Navy sucht Alternative - https://www.heise.de/news/Bluetooth-zu-unsicher-US-Navy-sucht-Alternative-9609217.html
2. 2023-12-11 - Heise: Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar - https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
3. 2023-10-30 - Heise: Von wegen privat: iPhones verrieten physische MAC-Adresse - https://www.heise.de/news/iPhone-Datenschutzpanne-Private-WLAN-Adresse-war-gar-nicht-so-privat-9349123.html
4. 2023-09-01 - Golem: Bluetooth-Spam gelingt jetzt auch per Android-App - https://www.golem.de/news/kein-flipper-zero-noetig-bluetooth-spam-gelingt-jetzt-auch-per-android-app-2311-178988.html
5. 2020-06-28 - Warum eine versteckte SSID keine Sicherheit bringt, sondern sogar Bewegungsprofile ermöglicht - https://www.wlan-blog.com/sicherheit/warum-eine-versteckte-ssid-keine-sicherheit-bringt-sondern-sogar-bewegungsprofile-ermoeglicht
6. Wigle.net - All the networks. Found by Everyone. - https://wigle.net/

Bluetooth-Geräte wie Earbuds können möglicherweise beim Austausch ihrer geheimen Schlüssel belauscht werden. Angreifer*innen in Reichweite könnten so unbemerkt mithören.

1. 2023-11-30 - Heise: BLUFFS: Neue Angriffe gefährden Bluetooth-Datensicherheit auf Milliarden Geräten - https://www.heise.de/news/BLUFFS-Neue-Angriffe-gefaehrden-Bluetooth-Datensicherheit-auf-Milliarden-Geraeten-9544862.html
2. 2020-05-21 - Heise: Bluetooth-Sicherheitslücke ermöglicht unerkannte Angriffe - https://www.heise.de/news/Bluetooth-Sicherheitsluecke-ermoeglicht-unerkannte-Angriffe-4726211.html

Wenn du in Deutschland wohnst kannst du dir beim Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) kostenlos wiederablösbare Spezialaufkleber für deine Smartphone-Kameras bestellen. Aber auch normale Sticker erledigen diese Aufgabe. Achte darauf, dass du nicht den unscheinbaren Helligkeitssensor überklebst! Dies führt dazu dass einige Smartphones den Display abschalten, da diese sich in einer Hosentasche wähnen. Wenn du Probleme mit Stalking hast oder von Ex-Partner*innen verfolgt wirst solltest du deine Kameras zur Sicherheit komplett abkleben.

1. BMFSFJ: Webcamsticker-Karte TOP SECRET - https://www.bmfsfj.de/bmfsfj/service/publikationen/webcamsticker-karte-top-secret-96100

Frag bei den Provider*innen nach wie lange die Daten in den verschiedenen Tarifen gespeichert werden und mit wem sie geteilt werden. Es gibt auch extra datenschutzfreundliche Provider*innen wie z.B. "Wetell" in Deutschland. Trotzdem schützen diese nicht vor den zahlreichen Überwachungsmöglichkeiten im Mobilfunknetz! Anonyme Simkarten sind daher immer zu bevorzugen.

1. 2018-02-09 - Mobilfunkanbieter: Widerspruch gegen Erhebung von Bewegungsdaten - https://www.kuketz-blog.de/mobilfunkanbieter-widerspruch-gegen-erhebung-von-bewegungsdaten/

Wenn du gerade weder telefonierst, keine SMS schreibst bzw. empfängst und die mobilen Daten nicht nutzt, ist dein Telefon im sogenannten "idle state". Es entsteht dann keine Historie über deine Funkzellen-Position bei deinem Provider. Dem Funknetzwerk ist nur die letzte sogenannte Location Area bekannt. Dies ist ein Verbund aus einer Vielzahl von Funktürmen, die keinen verlässliche Aussage über deinen genauen Standort liefert. Will dich eine Behörde oder eine Angreifer*in dann finden, sind diese oft auf stille SMS (silent pings) angewiesen. Erst dadurch wird dein Telefon wieder mit einer konkreten Funkzelle verbunden.

1. Location Area - https://de.wikipedia.org/wiki/Location_Area

Der Grund ist, dass viele Telefone schlicht von der Polizei sichergestellt oder beschlagnahmt werden. Aber auch sogenannte IMSI-Catcher sind ein Problem. Das gilt auch dann, wenn du anonyme Simkarten nutzt. Durch die gezielte Verfolgung (zum Beipiel auf dem Heimweg) einzelner Personen mit IMSI-Catchern lässt sich eine Telefonnummer einer Person zuordnen. Egal, ob die Simkarte anonym ist oder nicht. IMSI-Cathcer können in Rucksäcken oder sogar auf Drohnen befinden.

Ein IMSI-Catcher erzeugt eine Fake-Funkzelle mit der sich dein Telefon verbindet, weil das Signal des IMSI-Catchers stärker ist als das der umliegenden echten Funkzellen. Wirst du lange genug verfolgt müssen die Angreifer*innen nur noch nachschauen welches Telefon am längsten eingeloggt war. Deine IMSI ist den Angreifer*innen dadurch dann bekannt. Auf dieser Basis können dann Funkzellenauswertungen, Telekommunikationsüberwachung oder andere Maßnahmen folgen. Du hast in der Regel keine einfache Möglichkeit festzustellen, ob dein Telefon mit einer Fake-Funkzelle verbunden ist.

Zunächst einmal ist an Apps wie "SnoopSnitch" generell nichts verkehrt. Wir können froh sein, dass es Menschen gibt, die sich mit dieser Materie befassen und solche Apps bauen. Trotzdem musst du verstehen, dass derartige Apps in den allermeisten Fällen völlig wirkungslos sind. SnoopSnitch zum Beispiel funktioniert nur in 2G und 3G Netzen, wenn dein Telefon Root hat und wenn auf dem Mainboard deines Gerätes ein ganz spezieller Chip verbaut ist. Du musst verstehen, dass die Kommunikation mit dem Mobilfunknetz für dein Betriebssystem eine völlig intransparente Blackbox ist. Dein Betriebssystem und deine Apps sind nicht in der Lage die Kommunikation mit einem Funkturm (Basisstation) im Detail zu steuern oder zu überwachen. Das bedeutet das Funknetzwerk kann mit dem Chip auf deinem Gerät kommunizieren ohne, dass dieses etwas davon mitbekommt. Schuld daran ist proprietäre, kommerzielle Hardware, die nicht quelloffen ist. So kommt es auch, dass du durch Stille SMS (Stealth Ping) grob geortet werden kannst. Der Funkchip in deinem Telefon registriert das zwar, meldet das aber nicht an dein Betriebssystem weiter. Nur einige wenige Chips haben Schnittstellen, die dem Betriebssystem eine Beobachtung erlauben. Nur dafür gibt es SnoopSnitch. Die einzig sinnvolle Verteidigung ist eine anonyme Simkarte.

1. 2024-04-03 - Stille SMS & Co.: Regierung erklärt heimliche Überwachung komplett für geheim - https://www.heise.de/news/Stille-SMS-Co-Regierung-erklaert-heimliche-Ueberwachung-komplett-fuer-geheim-9674437.html
2. 2018-08-07 - Süddeutsche Zeitung: Alle eineinhalb Minuten pingt der Staat - https://www.sueddeutsche.de/digital/stille-sms-alle-eineinhalb-minuten-pingt-der-staat-1.4085229

Das Thema der Mobilfunküberwachung ist komplex und kann in diesem Rahmen nicht komplett behandelt werden. Wichtig zu verstehen ist aber, dass Security-Apps gegen derartige Überwachung nichts ausrichten können, weil z.B. Daten betroffen sind, die ohnehin bei deinem Provider liegen und nicht auf deinem Telefon. Oder weil die Apps selbst keinen Zugriff auf den proprietären Funkchip deines Telefons haben und so z.B. stille SMS nicht sehen können. Oder weil sich der Angriff im Funknetzwerk zwischen Netzanbieter*innen abspielt. Oder weil deine Mobilfunkanbieter*in deine Daten einfach weiter verkauft. Hier auf Apps oder Verhaltensänderungen zu setzen bringt also nichts. Die einzige Verteidigung sind anonyme Simkarten. Bedenke auch, dass in Deutschland über 100 staatliche Stellen die Personen zu Telefonnummern und andersherum ohne Gerichtsbeschluss abfragen können.

1. 2024-09-24 - Tarnkappe: LG Regensburg: Funkzellenabfrage auch bei minderen Delikten erlaubt - https://tarnkappe.info/artikel/rechtssachen/lg-regensburg-funkzellenabfrage-auch-bei-minderen-delikten-erlaubt-302120.html
2. 2024-04-02 - Überwachung ab jetzt komplett geheim - https://www.nd-aktuell.de/artikel/1181145.kleine-anfragen-ueberwachung-ab-jetzt-komplett-geheim.html
3. 2024-01-23 - Netzpolitik.org: Erstmals Pegasus-Infektionen in Togo enthüllt - https://netzpolitik.org/2024/ueberwachung-mit-staatstrojanern-erstmals-pegasus-infektionen-in-togo-enthuellt/
4. 2024-01-18 - Netzpolitik.org: Staatstrojaner bedrohen Grundrechte in der EU - https://netzpolitik.org/2024/eu-parlament-staatstrojaner-bedrohen-grundrechte-in-der-eu/
5. 2024-01-08 - Netzpolitik: Bundesnetzagentur schaltet pseudonyme Mobilfunk-Anschlüsse ab - https://netzpolitik.org/2024/bestandsdatenauskunft-2023-bundesnetzagentur-schaltet-pseudonyme-mobilfunk-anschluesse-ab/
6. 2023-12-09 - Golem: Angreifer können 714 Smartphone-Modelle vom 5G-Netz trennen - https://www.golem.de/news/dos-schwachstellen-angreifer-koennen-714-smartphone-modelle-vom-5g-netz-trennen-2312-180183.html
7. 2023-10-27 - Heise: Forscher: Sicherheitslücken beim Roaming bleiben auch bei 5G eine große Gefahr - https://www.heise.de/news/Forscher-Sicherheitsluecken-beim-Roaming-bleiben-auch-bei-5G-eine-grosse-Gefahr-9347577.html
8. 2023-09-16 - Tarnkappe: Mobilfunkanbieter gaben erneut Daten illegal an die Schufa - https://tarnkappe.info/artikel/rechtssachen/mobilfunkanbieter-gaben-erneut-daten-illegal-an-die-schufa-280583.html
9. 2023-09-14 - Netzpolitik.org: Russische Exil-Journalistin mit Pegasus gehackt - https://netzpolitik.org/2023/meduza-russische-exil-journalistin-mit-pegasus-gehackt/
10. 2023-06-27 - Netzpolitik.org: Firma legt Scoring-Profile der Hälfte aller weltweiten Handynutzer an - https://netzpolitik.org/2023/datenschutzbeschwerde-gegen-telesign-firma-legt-scoring-profile-der-haelfte-aller-weltweiten-handynutzer-an/
11. 2022-06-21 - Netzpolitik.org: Behörden fragen jede Sekunde, wem eine Telefonnummer gehört - https://netzpolitik.org/2022/bestandsdatenauskunft-2021-behoerden-fragen-jede-sekunde-wem-eine-telefonnummer-gehoert/
12. 2019-08-28 - Die 5-G Überwachungsstandards - https://invidious.lunar.icu/watch?v=_2HOcuH5rKc
13. 2018-12-29 - 35C3 - Die verborgene Seite des Mobilfunks - https://yt.artemislena.eu/watch?v=CSZWTaTu9As
14. 2017-08-02 - Interaktive Karte: Registrierungspflicht für Prepaid-SIM-Karten in Europa weit verbreitet - https://netzpolitik.org/2017/interaktive-karte-registrierungspflicht-fuer-prepaid-sim-karten-in-europa-weit-verbreitet/
15. 2017-07-11 - Süddeutsche Zeitung: Das Ende der Anonymität - https://www.sueddeutsche.de/digital/prepaid-sim-karten-das-ende-der-anonymitaet-1.3564334
16. 2016-09-20 - Informatik-Gutachten: Eine Telefonnummer ist ausreichend, um eine Person mit einer Drohnen-Rakete zu treffen - https://netzpolitik.org/2016/informatik-gutachten-eine-telefonnummer-ist-ausreichend-um-eine-person-mit-einer-drohnen-rakete-zu-treffen/
17. 2014-12-28 - Tobias Engel: SS7: Locate. Track. Manipulate - https://yt.oelrichsgarcia.de/watch?v=-wu_pO5Z7Pk
18. Bundesnetzagentur: Häu­fig ge­stell­te Fra­gen: All­ge­mein und SI­NA-An­bin­dung - https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Autom_Auskunftsverfahren/FAQ/start.html
19. Wikipedia: Was ist RRLP? - https://en.wikipedia.org/wiki/Radio_resource_location_services_protocol

Da in den Verkehrsdaten deiner Netzanbieter*in immer die IMSI zusammen mit der IMEI auftaucht solltest du beim Wechsel deiner Simkarte auch dein Telefon wechseln. Wie du dir sicher vorstellen kannst ist es aufwändig und auch teuer das Telefon von Zeit zu Zeit zu wechseln. Du müsstest ja ständig deine Apps neu einrichten und viel Geld für ein neues Telefon ausgeben. Um die Kosten gering zu halten kannst du mit Proxy-Telefonen arbeiten. Und das geht so: Du hast ein teureres Gerät für deine reguläre Nutzung auf dem all deine Apps installiert sind. In diesem Telefon befindet sich keine Simkarte. Es ist also für das Mobilfunknetzwerk unsichtbar. Internet bekommst du über ein günstiges Zweitgerät, in welches eine Simkarte eingelegt ist. Dieses Telefon braucht nicht viel Leistung. Dieses kann dir aber einen Wi-Fi Hotspot und damit Internet bereitstellen. Außerdem kannst du damit ganz normal telefonieren, wenn du willst. Dieses Telefon lässt sich mit samt der eingelegten Simkarte schnell austauschen. Einziger Nachteil: Du hast immer zwei Smartphones dabei.

Du solltest nicht damit telefonieren, keine SMS schreiben und deine mobile Internetverbindung nicht nutzen. Entferne sie sicherheitshalber aus deinem Telefon. Bewegst du dich über einen längeren Zeitraum mit anderen Personen gemeinsam durch identische Funkzellen ist theoretisch eingrenzbar wer du sein könntest oder wer dein Familien- bzw. Freund*innenkreis ist. Gleiches gilt für eine mögliche zweite Simkarte, die auf deinen Namen registriert ist. Z.B. wenn du ein zweites nicht anonymes Telefon dabei hast. Bewegt sich diese Simkarte zusammen mit der anonymen Simkarte durch ein Gebiet ist anhand der gleichen Funkzellenwechsel bekannt wem die anonyme Karte gehört. Die Funkzellenwechsel werden möglicherweise in den Verkehrsdaten deines Providers geloggt. Lass dir von Bekannten einen Wi-Fi Hotspot bereitstellen, wenn du unterwegs bist und verwende diesen mit einem VPN oder Tor. Wenn du mit einer größeren Gruppe unterwegs bist sollte nur eine einzige Person einen Hotspot erstellen. Alle anderen sollten ihre Simkarten für diese Zeit entfernen.

Auf Seiten wie cell-track.com oder phone-location.info kann zum Beispiel einfach herausgefunden werden, ob sich ein Gerät im Ausland befindet oder nicht oder ob ein Gerät gerade eingeschaltet ist. Alles was du brauchst ist die Telefonnummer. Du kannst nichts dagegen tun als deine Nummer geheim zu halten. Staatliche Akteure haben zudem weitere Möglichkeiten wie z.B. die Infektion des Gerätes mit einem Zero-Click-Exploit (Staatstrojaner). Nur eine anonyme Simkarte und das Geheimhalten deiner Nummer schützen dich effektiv vor staatlichen Übergriffen.

Besonders wenn du von Stalking betroffen bist solltest du deine Nummer unterdrücken. Denn deine Nummer kann auf vielfältige Weise genutzt werden um dich anzugreifen. Sei dir auch im Klaren darüber, dass das Unterdrücken der Rufnummer lediglich dazu führt, dass diese auf dem Telefon der Gegenstelle nicht angezeigt wird. In den Anrufprotokollen (Verkehrsdaten) der beteiligten Provider*innen wird deine Nummer dennoch gespeichert. Für Behörden ist dein Anruf also trotz unterdrückter Rufnummer nachvollziehbar. Nutze anonyme Simkarten, wenn du auf wirkliche Anonymität angewiesen bist.

1. 2023-05-03 - Chip: Rufnummer unterdrücken - so geht's - https://praxistipps.chip.de/rufnummer-unterdruecken-so-gehts_42424

Informationen, die andere Menschen auf deine Mailbox sprechen könnten Beziehungen aufdecken und sensible Informationen wie Namen preisgeben. In Deutschland ist die Überwachung der Mailbox Teil der Telekommunikationsüberwachung (TKÜ), die von der Polizei durchgeführt werden kann.

Vor AML standen den Rettungsleitstellen lediglich extrem ungenaue Funkzellendaten zur Verfügung (wenn überhaupt), um Personen in Notsituationen orten zu können. AML dagegen ist fest in moderne Telefone und deren Betriebssysteme integriert: Wird eine Notrufnummer gewählt aktiviert das Telefon selbstständig GPS und Wi-Fi, um die eigene Position bestimmen zu können. Diese wird dann via Internet oder SMS automatisch an die Leitstelle übertragen. Diese extrem genaue Ortung wird nur durch das Wählen der Notrufnummern aktiviert und ist nicht von außen ohne dein aktives Handeln nutzbar. Du kannst in den meisten Fällen nichts dagegen tun, dass du beim Wählen dieser Nummern automatisch geortet wirst. Leider werden so aber auch anonyme Meldungen erschwert. Du solltest daher immer abwägen, ob die Wahl von Notrufnummern durch dein eigenes Telefon wirklich notwendig ist. Auf Wikipedia findest du eine Liste mit allen Ländern in denen es AML gibt. AML ist auf Android Teil der Play-Services und kann über die Notfalleinstellungen deaktiviert werden.

1. 2024-03-20 - Heise: Datenschützer erlauben bundesweite Notruf-Ortung - https://www.heise.de/news/Streit-um-110-Datenschuetzer-erlauben-bundesweite-Notruf-Ortung-9659860.html
2. 2023-12-31 - Heise: Notruf 112: Android kann im Notfall mehr Daten an Leitstelle senden ​ - https://www.heise.de/hintergrund/Notruf-112-Android-kann-im-Notfall-mehr-Daten-an-Leitstelle-senden-9583718.html
3. Der Notfall-Standortdienst liefert schnell genaue Standortinformationen - https://www.android.com/intl/de_de/safety/emergency-help/emergency-location-service/how-it-works/
4. ILS Freiburg: Standortdaten beim Notruf 112 - https://ils-freiburg.de/standortdaten.php
5. Wikipedia: Advanced Mobile Location - https://de.wikipedia.org/wiki/Advanced_Mobile_Location

Wenn du eine solche Sperre einrichten möchtest kannst du dich online oder telefonisch an deinen Provider wenden.

1. 2024-02-19 - Mimikama: Smartphone-Fallen: Schutz vor Abofallen mit Drittanbietersperre - https://www.mimikama.org/drittanbietersperre-schutz-abofalle-smartphone/

1. 2024-10-15 - t3n: Warum dein Smart TV heimlich Screenshots macht und wie du dich davor schützt - https://t3n.de/news/warum-smart-tv-heinlich-screenshots-davor-schuetzen-1648307/
2. 2024-09-25 - Tarnkappe: Smart-TVs von LG & Samsung übertragen Screenshots an eigene Server - https://tarnkappe.info/artikel/it-sicherheit/datenschutz/smart-tvs-von-lg-samsung-uebertragen-screenshots-an-eigene-server-301935.html

Immer wieder werden QR-Codes zum Beispiel an Ladesäulen oder Automaten überklebt. Sie werden aber manchmal auch mit Briefen versendet. So werden Menschen dazu gebracht persönliche Informationen auf Fake-Seiten einzugeben oder bösartige Apps zu installieren. Prüfe daher das Ziel genau. Sei skeptisch bei aufgeklebten Codes. QR-Codes sollten so gestaltet sein, dass sie fälschungssicher sind. Zum Beispiel sollten diese hinter einer Glasscheibe angebracht sein, um ein Austauschen zu verhindern.

1. 2024-08-24 - Tarnkappe: QR-Code-Phishing: Gefahr durch gefälschte Bankbriefe - https://tarnkappe.info/artikel/it-sicherheit/datenschutz/qr-code-phishing-gefahr-durch-gefaelschte-bankbriefe-300785.html
2. 2024-08-02 - Tarnkappe: Quishing-Betrugsmasche: E-Auto Ladesäulen bergen gefakte QR-Codes - https://tarnkappe.info/artikel/it-sicherheit/online-betrug/quishing-betrugsmasche-e-auto-ladesaeulen-bergen-gefakte-qr-codes-299683.html

Malware kann die NFC-Schnittstelle deines Smartphones nutzen, um Daten von Bankkarten auszulesen. Du kannst dich schützen indem du die Karten nicht direkt neben deinem Smartphone aufbewarst. Online kannst du auch spezielle RFID-Schutzhüllen bestellen, die dich schützen können.

1. 2024-08-27 - t3n: Abzocke am Geldautomaten: Wie Betrüger Android-Nutzern das Geld aus der Tasche ziehen wollen - https://t3n.de/news/geldautomaten-abzocke-android-nutzer-1642608/
2. 2024-08-26 - thehackernews: New Android Malware NGate Steals NFC Data to Clone Contactless Payment Cards - https://thehackernews.com/2024/08/new-android-malware-ngate-steals-nfc.html

Spezialisierte Agenturen und Datenbroker sammeln öffentliche Informationen und Informationen aus Datenleaks über dich und verkaufen diese z.B. an Geheimdienste weiter. Unternehmen wie PimEyes, die auf Gesichtserkennung ausgerichtet sind, nutzen deine persönlichen Bilder, um ihre KIs zu trainieren. So werden die biometrischen Merkmale deines Gesichts erfasst und du kannst in Bruchteilen von Sekunden auf anderen Bildern identifiziert werden. Versuche dich selbst im Internet zu finden, identifiziere die Services und versuche deine persönlichen Daten von dort zu entfernen. Nutze zum Beispiel Google Alerts, um dich automatisch via E-Mail informieren zu lassen sobald dein Name oder andere persönliche Daten im Internet auftauchen. Du kannst manchmal auch DMCA-Takedown-Anfragen nutzen, um deine Daten von US-Websites löschen zu lassen.

1. 2024-05-29 - Netzpolitik: Wenn sich Geheimdienste sensible Daten aus Smartphone-Apps besorgen - https://netzpolitik.org/2024/kommerzielle-datenberge-wenn-sich-geheimdienste-sensible-daten-aus-smartphone-apps-besorgen/
2. 2021-09-21 - DMCA Takedown - Lösche deine Daten von archive.org - https://steampixel.de/dmca-takedown-losche-deine-daten-von-archive-org/

Anstelle von Youtube kannst du zum Beispiel eine der zahlreichen Invidious-Instanzen wie yewtu.be im Browser oder die App FreeTubeAndroid nutzen. So kannst du Werbung vermeiden und gleichzeitig deine Privatsphäre schüzen. Du kannst auch LibRedirect für FireFox installieren. Dieses Plugin leitet dich beim Surfen im Internet automatisch auf ein alternatives Frontend um. Große Unternehmen wie YouTube unternehmen große Anstrengungen um alternative Frontend immer wieder unbrauchbar zu machen oder zu sperren. Gib nicht auf, wenn es nicht gliech beim ersten Versuch funktioniert!

1. 2024-03-25 - Heise: USA: Polizei will Daten zu allen, die bestimmte YouTube-Videos angesehen haben - https://www.heise.de/news/USA-Polizei-will-Daten-zu-allen-die-oeffentliche-YouTube-Videos-angesehen-haben-9664535.html
2. FreeTubeAndroid - https://github.com/MarmadileManteater/FreeTubeAndroid
3. Invidious instances - https://docs.invidious.io/instances/
4. LibRedirect - https://libredirect.github.io/

Du solltest PassKeys nicht an eine biometrische Entsperrung binden. Denke außerdem daran deine Passkeys zu sichern für den Fall, dass du dein Gerät verlieren solltest.

1. 2023-10-19 - t3n: Internet ohne Passwörter: Was ihr jetzt über Passkeys wissen müsst - https://t3n.de/news/passkeys-android-ios-mac-windows-1583254/

Bedenke dabei bitte auch, dass es möglich sein muss ein Backup von deinem zweiten Faktor zu erzeugen. Eine Handynummer ist kein wirklich guter zweiter Faktor. Erstens kannst du deine Nummer potentiell verlieren. Es kann aber auch sein, dass andere Menschen oder Behörden Zugriff auf deine Nummer erlangen können. Im Falle eins Verlustes deiner Simkarte kommst du erst mal nicht an deine Accounts. Solltest du einen Hardware-Token als zweiten Faktor nutzen, stelle bitte sicher, dass es für Notfälle noch einen zweiten gibt! Solltest du Softwarelösungen wie Time-Based-One-Time-Passwords nutzen, fertige bitte Backups in deinen OTP-Apps an! Die Android-App Aegis bietet zum Beispiel automatische Backups an.

1. 2024-07-11 - Heise: CCC: Bitte Zwei-Faktor-Authentifizierung, aber nicht per SMS - https://www.heise.de/news/Chaos-Computer-Club-Nutzt-2-Faktor-Authentifizierung-aber-bitte-nicht-via-SMS-9798159.html
2. 2024-01-23 - Heise: Gefälschter Tweet zur Freigabe von Bitcoin-ETFs: SEC Opfer von SIM-Swapping - https://www.heise.de/news/Gefaelschter-Tweet-zur-Freigabe-von-Bitcoin-ETFs-SEC-Opfer-von-SIM-Swapping-9605332.html

Aber nicht nur Geheimdienste nutzen Werbung, um Menschen zu verfolgen. Sogenannte Datenbroker verkaufen außerdem aggregierte Daten über deine Person aus diversen Apps und Websites. Es gibt verschiedene Werbeblocker, die du auf unterschiedlichen Ebenen ausprobieren kannst. Netzwerkweite Lösungen wie eBlocker und Pi-hole schützen alle Geräte in deinem Heimnetzwerk. AdAway schützt dein Smartphone und uBlock Origin ist ein Plugin für den Firefox-Browser.

1. 2024-03-18 - Golem: Der Spion aus dem Werbebanner - https://www.golem.de/news/standortdaten-aus-der-onlinewerbung-der-spion-aus-dem-werbebanner-2403-183217-2.html
2. 2024-01-26 - Heise: Personalisierte Überwachung statt Werbung: Handydaten ausgewertet und verkauft - https://www.heise.de/news/Gezielte-Werbung-Israelischer-Verein-wirbt-mit-5-Milliarden-ueberwachten-Geraeten-9609259.html
3. 2023-11-19 - Netzpolitik: Online-Werbung als „ernstes Sicherheitsrisiko“ - https://netzpolitik.org/2023/buergerrechtsorganisation-warnt-online-werbung-als-ernstes-sicherheitsrisiko/
4. 2023-07-06 - Netzpolitik: The adtech industry tracks most of what you do on the Internet. This file shows just how much. - https://netzpolitik.org/2023/surveillance-advertising-in-europe-the-adtech-industry-tracks-most-of-what-you-do-on-the-internet-this-file-shows-just-how-much/
5. 2021-10-26 - Kuketz: Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen - https://www.kuketz-blog.de/fuer-anfaenger-bequeme-werbung-und-tracker-unter-ios-android-systemweit-verbannen/
6. eBlocker - https://eblocker.org
7. Pi-hole - https://pi-hole.net/
8. AdAway for Android - https://adaway.org/
9. uBlock Origin for Firefox - https://addons.mozilla.org/de/firefox/addon/ublock-origin/

1. 2020-10-13 - Polizei erhält Liste aller Nutzer, die nach einem Schlagwort gegoogelt haben - https://netzpolitik.org/2020/ermittlungen-in-den-usa-polizei-erhaelt-liste-aller-nutzer-die-nach-einem-schlagwort-gegoogelt-haben/
2. 2020-10-09 - Heise: Inverssuche: Google liefert Polizei Nutzerdaten auf Basis von Suchbegriffen - https://www.heise.de/news/Inverssuche-Google-liefert-Polizei-Nutzerdaten-auf-Basis-von-Suchbegriffen-4925754.html
3. duckduckgo.com - https://duckduckgo.com/
4. stract.com - https://stract.com/

Generell solltest du überlegen, ob du die entsprechenden Cloud-Dienste überhaupt brauchst. Du kannst zum Beispiel Apps wie "OpenKeychain" verwenden, um Dateien vor dem Upload in eine Cloud zu verschlüsseln. Für den Fall, dass du ein Apple-Gerät mit deiner iCloud nutzt aktiviere dort den erweiterten Datenschutz. Generell solltest du sensible und kritische Daten eher lokal bei dir speichern. Zum Beispiel auf einer verschlüsselten Festplatte. Es ist davon auszugehen, dass Geheimdienste und andere staatliche Akteure auch verschlüsselte Daten bei der Übertragung abfangen und diese speichern. Das Motto lautet hier: Jetzt sammeln und später entschlüsseln.

1. 2024-10-29 - Heise: Ermittler sollen leichteren Zugang auf Cloud-Daten erhalten - https://www.heise.de/news/E-Evidence-Buschmann-will-internationalen-Zugriff-auf-Cloud-Daten-erleichtern-9998252.html
2. 2023-12-07 - Apple trommelt für Ende-zu-Ende-Verschlüsselung von Cloud-Daten - https://www.heise.de/news/Apple-trommelt-fuer-Ende-zu-Ende-Verschluesselung-von-Cloud-Daten-9567657.html
3. 2023-08-04 - BAMF soll Cloud-Speicher von Asylsuchenden auslesen - https://netzpolitik.org/2023/innenministerium-bamf-soll-cloud-speicher-von-asylsuchenden-auslesen/
4. F-Droid: OpenKeychain: Easy PGP - https://f-droid.org/de/packages/org.sufficientlysecure.keychain/
5. So aktivierst du den erweiterten Datenschutz für iCloud - https://support.apple.com/de-de/HT212520
6. Wikipedia: Harvest now, decrypt later - https://en.wikipedia.org/wiki/Harvest_now,_decrypt_later

Wenn du kannst, nutze stattdessen das Tor-Netzwerk oder freie VPNs, wie das RiseupVPN, die keine Daten über dich erheben.

1. RiseupVPN - https://riseup.net/de/vpn

Wird dein Telefon entwendet können diese Daten Aufschluss über deine Herkunft geben. Nutze Apps wie "Imagepipe" um deine Bilder zu bereinigen bevor du diese ins Internet lädst. Imagepipe kannst du über den F-Droid auf deinem Android-Smartphone installieren.

1. Imagepipe auf F-Droid - https://f-droid.org/en/packages/de.kaffeemitkoffein.imagepipe/

Hast du gewusst, dass zum Beispiel in Deutschland viele E-Mail-Provider als Telekommunikationsdienst gelten? Damit dürfen Behörden deine Bestandsdaten und E-Mails anfordern. Aber auch ohne behördliche Überwachung sind E-Mails vielen Gefahren ausgesetzt. Eine E-Mail passiert beim Weg in ein Postfach viele Knotenpunkte und kann an zahlreichen Stellen mitgelesen werden. Zudem nutzen vermutlich zahlreiche Freemail-Services wie GMX.de oder WEB.de die Inhalte deiner Mails, um dir gezielt Werbung anzuzeigen.

1. 2024-02-27 - Heise: Mailbox.org: Rechtswidrige behördliche Auskunftsanfragen stark angestiegen - https://www.heise.de/news/Mailbox-org-Rechtswidrige-behoerdliche-Auskunftsanfragen-stark-angestiegen-9640860.html

Auf der Website haveibeenpwned.com kannst du schnell und unkompliziert feststellen, ob deine Mailadresse in Datenlecks auftaucht. Du kannst dir dort auch einen Account zulegen, und dich bei neuen Funden automatisch benachrichtigen lassen.

1. ';--have i been pwned? - https://haveibeenpwned.com/

Auch die Aufforderung Geld zu überweisen solltest du gründlich überprüfen. Das machst du, indem du die Person oder das Unternehmen auf einem separaten Weg kontaktierst. Rufe zum Beispiel einfach dort an. So kannst du dich vergewissern, dass die Nachricht auch wirklich echt ist. Sei skeptisch, wenn dir gesagt wird, dass ein Anruf nicht möglich ist. Die hier aufgezeigte Art des Betrugs wird auch Phishing genannt. Dabei werden echt aussehende Nachrichten in Form von E-Mail, SMS oder Chat-Nachrichten an bestimmte Personen versendet, um zum Beipiel Logindaten oder Bankdaten zu erbeuten. Täter*innen versuchen Ihre Nachrichten teilweise auch mit echten Informationen über die Zielperson anzureichern, damit diese echter wirken. Diese Daten können aus Datenlecks diverser Plattformen stammen. Auch kommt es vor, dass vermeintlich vertrauenswürdige Accounts von Freund*innen oder Familie missbraucht werden, um dich zu einer Handlung zu bewegen. Kontaktiere in wichtigen Angelegenheiten die Personen oder Unternehmen immer noch mal auf einem anderen Weg!

1. Phishing - https://en.wikipedia.org/wiki/Phishing

Wenn du dir unsicher bist welches System du installieren solltest so lautet die klare Empfehlung derzeit grapheneOS auf einem der kompatiblen Telefone zu installieren. Mehr Informationen findest du in den Links.

1. 2022-04-25 - Golem: Datenschutz gibt's nur mit alternativem Android - https://www.golem.de/news/smartphone-ohne-google-datenschutz-gibt-s-nur-mit-alternativem-android-2204-164785.html
2. 2020-11-17 - Kuketz: GrapheneOS: Das Android für Sicherheits- und Datenschutzfreaks - https://www.kuketz-blog.de/grapheneos-das-android-fuer-sicherheits-und-datenschutzfreaks/
3. DivestOS - https://divestos.org/
4. CalyxOS - https://calyxos.org/

Ein freies Betriebssystem ist immer die richtige Wahl, wenn du dich von großen Konzernen wie Google oder Apple unabhängig machen möchtest. Ein Betriebssystem mit dem Namen GrapheneOS sticht mit zahlreichen Sicherheitsfeatures aber besonders hervor und ist daher für aktivistische Zwecke unbedingt zu empfehlen. Graphene unterstützt zum Beispiel einen LTE-only mode, der verschiedene Attaken im Mobilfunknetz verhindern kann. Zudem kannst du alle Sensoren des Smartphones deaktivieren. GrapheneOS unterstützt nur einige wenige Geräte. Welche das sind und was es noch alle kann, erfährst du auf der Website von GrapheneOS.

1. GrapheneOS - https://grapheneos.org/

Derartige Beträge lohnen sich natürlich nur wenn das einen Nutzen hat: Die vorinstallierte Software sammelt Daten und verwertet eure Gewohnheiten. Ihr solltet Bloatware daher entfernen (Manchmal ist das ohne Root-Berechtigungen nicht möglich) oder gleich ein custom Betriebssystem wie GrapheneOS installieren.

1. 2023-02-21 - Google zahlt Milliarden für Chrome unter iOS - https://www.onlinehaendler-news.de/digital-tech/unternehmen/137709-google-zahlt-milliarden-chrome-ios

Wenn du iOS oder Android verwendest überträgt dein Betriebssystem im Hintergrund eine Werbe-ID an deine Apps. Diese ID können an die Datensätze einzelner Apps gehangen werden. Wenn die Anbieter*in deiner Apps diese Daten dann verkauft können Broker diese mit anderen Datensätzen von dir zusammenführen. Dadurch entstehen regelrechte Halden aus deinen persönlichen Daten und Interessen, die online gehandelt werden.

Zu diesen Daten gehören auch Standortdaten, die auf speziellen Websites abgerufen werden können.

1. 2024-10-24 - Netzpolitik: Die verstörend leichte Massenüberwachung mit Standortdaten - https://netzpolitik.org/2024/locate-x-die-verstoerend-leichte-massenueberwachung-mit-standortdaten/
2. 2024-01-12 - Heise: Sicherheitsrisiko: So einfach können Handy-Nutzer heimlich verfolgt werden​ - https://www.heise.de/news/Sicherheitsrisiko-So-einfach-koennen-Handy-Nutzer-heimlich-verfolgt-werden-9596230.html
3. 2022-01-24 - Mobilsicher: Werbe-ID: So funktioniert das Nummernschild fürs Smartphone - https://mobilsicher.de/ratgeber/smartphone-nutzer-sollten-jetzt-ihre-werbe-id-aendern
4. 2020-05-18 - Heise: DSGVO-Beschwerde: Datenschützer hält Android-Tracking für hochproblematisch - https://www.heise.de/news/DSGVO-Beschwerde-Datenschuetzer-haelt-Android-Tracking-fuer-hochproblematisch-4722862.html

Denke daran, dass dein Passwortmanager ein besonders sicheres Passwort braucht. Denke auch daran eine regelmäßige Sicherungskopie deiner Passwortdatenbank zu erstellen. Wenn du Probleme hast dir starke Passworte auszudenken kannst du das Diceware-Verfahren nutzen. Unten findest du einen Link mit einer Anleitung. Alles was du brauchst ist ein Spiel-Würfel.

1. 2024-08-28 - So funktionieren sichere Passwörter - https://netzpolitik.org/2024/digitale-selbstverteidigung-so-funktionieren-sichere-passwoerter/#netzpolitik-pw
2. Wikipedia: Diceware - https://de.wikipedia.org/wiki/Diceware

Infizierte Apps haben viele Möglihkeiten dich anzugreifen. Sie können zum Beispiel Passworte stehlen.

1. 2024-05-30 - Heise: Android-Malware: 90 Apps mit 5,5 Millionen Installationen entdeckt - https://www.heise.de/news/Google-Play-Store-Malware-in-90-Apps-mit-5-5-Millionen-Installationen-9742120.html
2. 2023-12-10 - Heise: Black Hat Europe 2023: Neuer Angriff "AutoSpill" auf Android-Passwortmanager - https://www.heise.de/news/Black-Hat-Europe-2023-Neuer-Angriff-AutoSpill-auf-Android-Passwortmanager-9569772.html

1. 2024-04-01 - Malicious Apps Caught Secretly Turning Android Phones into Proxies for Cybercriminals - https://thehackernews.com/2024/04/malicious-apps-caught-secretly-turning.html
2. 2023-04-12 - Tarnkappe: Kriminelle verkaufen in Google Play Store eingeschleuste Malware - https://tarnkappe.info/artikel/it-sicherheit/malware/kriminelle-verkaufen-in-google-play-store-eingeschleuste-malware-272859.html
3. F-Droid herunterladen - https://f-droid.org/de/
4. Aurora Store über F-Droid herunterladen - https://f-droid.org/de/packages/com.aurora.store/

Du kannst dich davor schützen indem du Apps verwendest, die ohne Google bzw- Apple Services auskommen. Verzichte auch auf Alternativen wie microG, wenn du ein eigenes Betriebssystem installiert hast. Installiere zum Beispiel Apps aus F-Droid, die ohne diese Services auskommen. Messenger wie Telegram, Signal und Matrix bieten eigene Alternativen für zentralisierte Pushnachrichten an.

1. 2024-01-24 - Golem: Prominente iOS-Apps spähen heimlich Gerätedaten aus - https://www.golem.de/news/ueber-push-benachrichtigungen-prominente-ios-apps-spaehen-heimlich-geraetedaten-aus-2401-181574.html
2. 2023-12-13 - Tarnkappe: Apple-Richtlinien: Gerichtliche Anordnung für Push-Daten Pflicht! -
3. 2023-12-07 - Kuketz: Android: Abhilfe gegen staatliche Überwachung durch Push-Nachrichten - https://www.kuketz-blog.de/android-abhilfe-gegen-staatliche-ueberwachung-durch-push-nachrichten/
4. 2023-12-07 - Golem: Behörden spionieren Nutzer über Push-Benachrichtigungen aus - https://www.golem.de/news/apple-und-google-behoerden-spionieren-nutzer-ueber-push-benachrichtigungen-aus-2312-180106.html
5. 2023-12-06 - Netzpolitik: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps - https://netzpolitik.org/2023/push-dienste-behoerden-fragen-apple-und-google-nach-nutzern-von-messenger-apps/

Auf privascore.org findest du alternative Apps und Dienste für zahlreiche Themen. Nutze z.B. Browser, wie den DuckDuckGo-Browser, die keine Daten über dich sammeln. Das Projekt εxodus gibt dir zudem Auskunft über verwendete Tracker und Berechtigungen vieler Apps. So verzichten Karten-Apps wie Organic Maps oder Magic Earth komplett auf Tracker und sind somit eine gute Alternative zu Google Maps.

1. privascore.org - https://privascore.org/priva-score/
2. εxodus - https://reports.exodus-privacy.eu.org/de/
3. How To Get the DuckDuckGo App on Android - https://duckduckgo.com/duckduckgo-help-pages/mobile/android/

Wenn du nicht weißt was Root ist, hast du es vermutlich nicht. Root muss bei den meisten Geräten aufwändig aktiviert werden. Leider benötigen auch einige Apps, die deine Sicherheit potentiell erhöhen können oft Root-Rechte. Zu nennen wären da zum Beispiel Backup-Anwendungen wie "Neo Backup" aber auch Apps wie "SnoopSnitch", die versuchen IMSI-Catcher oder Stille SMS zu erkennen. Du solltest immer genau abwägen, ob du wirklich Superuser-Rechte auf deinem Gerät benötigst. In den allermeisten Fällen gibt es dafür keine gute Begründung. Apps wie z.B. "SnoopSnitch" funktionieren sowieso nur in wirklich wenigen Software- und Hardwarekonstellationen. Deswegen Root einzurichten steht in keinem Verhältnis.

Wenn du dir unsicher bist welche Messenger gut sind oder wenn du Argumente brauchst, um Familie und Freud*innen zu überzeugen, solltest du dir unbedingt die Messenger-Matrix von Kuketz ansehen. Dort kannst du die einzelnen Messenger bequem nach Funktionen und Sicherheitsaspekten vergleichen.

1. 2024-10-08 - Tagesschau: Telegram liefert Daten an Ermittler - https://www.tagesschau.de/investigativ/wdr/telegram-126.html
2. 2024-10-01 - Netzpolitik: WhatsApp? Nein, danke. - https://netzpolitik.org/2024/digitale-muendigkeit-whatsapp-nein-danke/
3. 2024-03-26 - Techcrunch: Telegram’s peer-to-peer SMS login service is a privacy nightmare - https://techcrunch.com/2024/03/25/telegrams-peer-to-peer-sms-login-service-is-a-privacy-nightmare/
4. 2024-02-21 - Netzpolitik: Signal erlaubt bald Verbergen der Telefonnummer - https://netzpolitik.org/2024/messenger-signal-erlaubt-bald-verbergen-der-telefonnummer/
5. 2024-01-18 - Golem: Whatsapp lässt fremde Nutzer Geräteinformationen abgreifen - https://www.golem.de/news/missbrauch-moeglich-whatsapp-laesst-fremde-nutzer-geraeteinformationen-abgreifen-2401-181313.html
6. Messenger-Matrix - https://www.messenger-matrix.de/

In einigen Messengern funktioniert das über Mails. In anderen kannst du eine zusätzliche Pin vergeben. Wenn du deine Telefonnummer verlierst oder andere Menschen bzw. Behörden an deine Simkarte oder eine Kopie davon gelangen (Sim-Swapping), können sie sich mit der Telefonnummer anmelden und deine Nachrichten lesen bzw. in deinem Namen schreiben.

1. Signal: Set and manage disappearing messages - https://support.signal.org/hc/en-us/articles/360007320771-Set-and-manage-disappearing-messages
2. Threema: Automatically Tidy Up Threema Chats - https://threema.ch/en/blog/posts/tidy-up-chats

Durch speziell präparierte Nachrichten für iMessage konnten in der Vergangenheit immer wieder Staatstrojaner auf iPhones installiert wedern. Du solltest diese Software daher meiden.

1. 2024-01-07 - Aufregung über angebliche Hintertür in Apple-Chips für iPhones und Macs - https://www.derstandard.de/story/3000000201983/aufregung-um-vermeintliche-hintertuer-in-apple-chips-fuer-iphones-und-macs
2. Was ist eine Zero-Click-Malware und wie funktioniert sie? - https://www.kaspersky.de/resource-center/definitions/what-is-zero-click-malware

Für Android ist ein ähnliches Feature nicht verfügbar.

1. 2024-05-30 - Heise: Putin-kritische Journalisten in der EU mit Pegasus-Spyware angegriffen - https://www.heise.de/news/Pegasus-Putin-kritische-Journalisten-in-der-EU-mit-Spyware-angegriffen-9742220.html
2. Apple: About Lockdown Mode - https://support.apple.com/en-asia/105120

1. 2024-10-28 - Tarnkappe: Smartphone-Sicherheit 2024: Experten raten zu wöchentlichem Neustart - https://tarnkappe.info/artikel/smartphones/smartphone-sicherheit-2024-experten-raten-zu-woechentlichem-neustart-303266.html

Diese Methode entfernt in der Regel ungewollte Spionage- oder Stalking-Apps von deinem Telefon. Diese Apps wurden eventuell von Menschen aus deinem nahen Umfeld installiert, als sie direkten Zugriff auf dein Gerät hatten. Bitte sei dir bewusst darüber, dass diese Apps nicht vergelichbar sind mit professionellen Staatstrojanern, die auch nach einem Zurücksetzen des Telefons möglicheriweise aus der Ferne wieder installiert werden können. Trotzdem ist diese Möglichkeit ein guter Anfang, um aus toxischen Beziehungen zu entkommen oder um Stalking vorzubeugen. Bitte sichere deine wichtigsten Daten vor dem Zurücksetzen.