Gibt's ein "sicherstes" System

Hallo,

seit ein paar Tagen lese ich hier und da Artikel und Foreneinträge über das Thema Sicherheit und Anonymität im Netz.
Mittlerweile ist mir klar, dass es quasi keine Möglichkeit gibt sich zu 100% abzusichern.
Die üblichen Methoden sind mir mittlerweile bekannt: Browser wie Tor o.ä, VPN’s, Linux-Systeme die zusätzliche Sicherheit anbieten, Anbieter verschlüsselter E-mail-Anbieter etc etc.
Doch je mehr ich lese, desto mehr stoße ich wieder auf Sicherheitslücken hier, Sicherheitsrisiken dort. (Tor und US-Behörden, VPN und Tor, NordVPN nicht sicher, Proton ebenfalls usw…)
Daher ist bei mir immer mehr die Frage aufgekommen, ob man denn als nicht-IT-bewanderter sich selbst „professionell“ schützen kann.
Diese Frage bezieht sich also darauf:
Welchen Browser nutzt man?
VPN oder nicht? Wenn ja, welchen Anbieter oder doch etwas selbst gemachtes?
Gibt es einen „sichersten“ E-mail-Anbieter?
Welches Betriebssystem? (Tails od. Obscurix usw…)
Gibt es noch weitere Optionen, um mehr Sicherheit und Anonymität zu schaffen?

Liebe Grüße, htogroM

Wenn du beim Thema Sicherheit die „eierlegende Wollmilchsau“ suchst, wirst du wohl enttäuscht werden!
Natürlich könnte man nun deine Fragen beantworten und dir irgendwelche Produkte und Vorgehensweisen ans Herz legen, was ich persönlich aber als sinnfrei erachte, da deine individuellen Bedürfnisse einfach nicht bekannt sind!!
Des weiteren muß ich fragen: Was nutzen dir Betriebssysteme, Anbieternamen, Email-Dienste etc. wenn es dabei für ein relevantes Zusammenspiel nicht damit getan ist, diese Dinge einfach nur zu installieren bzw. zu nutzen? Um dabei einen einigermaßen professionellen Ansatz zu erhalten, ist eigentlich immer eine individuelle und abgestimmte Konfiguration von Nöten!

Um damit nun deine ursprüngliche Frage aus dem Zitat zu beantworten >>> NEIN !

Ein professioneller Schutz, kann auch nur von Profis zu Stande gebracht werden!!

  • Die gibt es immer, da das Internet und dessen Nutzung, keine statische Angelegenheit ist…Jede Maßnahme ist in dem Fall nur so gut, wie ihre Gegenmaßnahme!
  • Die Bequemlichkeit bei der Nutzung einfach mal hinten anstellen!
  • Sich mal Gedanken machen, um sein eigenes Nutzungsverhalten / Surfverhalten (Ist das alles nötig?)
  • Ist man selber zukünftig in der Lage, seine eingesetzten Maßnahmen selber zu betreuen?
  • etc. pp.
  • Letztendlich kocht jeder Hersteller mit dem gleichen Wasser! Ohne manuelle Nacharbeiten sind die verschiedenen Browser alle gleich gut bzw. schlecht!

VPN = Ja! Was willst du dabei, ohne die speziellen Kenntnisse denn selber machen?? Ein passender VPN-Provider ergibt sich wieder aus deinen persönlichen Bedürfnissen!

Siehe dazu: https://de.thatoneprivacysite.net/email-comparison/#detailed-email-comparison

Da würde ich immer ein Live-System allen anderen gegenüber bevorzugen!
Wie gesagt, ein Live-System wäre die Vorgabe, um den Datenschutz und die Anonymität weitest möglich nutzen zu können!

Live-Systeme kann man auf verschiedener Weise bereitstellen:

  1. Von einem externen Boot-Medium, den Computer jedes mal zu starten, so dass das OS nur noch über den flüchtigen Arbeitsspeicher vorgehalten wird.
  2. Auf einem fest installierten Host-System werden über den Einsatz von virtuellen Maschinen, je nach Verwendung, verschiedenste Live-Systeme hochgefahren

Bei den vielen Linux-Distributionen (egal, ob lve oder nicht), die es mittlerweile gibt, sollte man sich vorab auch über den Einsatzzweck im Klaren sein!
Bei den Distris zum Thema Sicherheit & Anonymität, gibt es aber auch schon diverse Unterschiede, die sich dann im Nutzungsverhalten wieder niederschlagen. Tails zum Beispiel läuft ausschließlich über eine TOR-Verbindung, was natürlich auch einige Nachteile beinhaltet

:warning:

Zusammenfassend kann man also deine Fragestellungen beim besten Willen nicht einfach pauschalisiert beantworten!!
Eine gewisse Kompetenz in IT-Kenntnissen muß zwingend vorhanden sein, um der „eierlegenden Wollmilchsau“ nahe zu kommen! Unbedarfte Nutzer müssen dann halt die Hilfe von Extern in Anspruch nehmen, wenn denen die Sicherheit & Anonymität so immens wichtig ist!!!

Ich bin wahrlich kein Fachmann. Aber nur ein kurzer Hinweis von mir am Rande: absolute Sicherheit gibt es in der IT schlichtweg nicht.

Wäre schön wenn es anders wäre.

pushing…

Klare Antwort: Nein!
Selbst Leute, die wirklich illegale Dinge im Internet tun, werden hochgenommen. Und oft betreiben die schon einen erheblichen Aufwand, um ihre Identität zu verschleiern.

Die Frage, ist zudem auch, vor wem oder was du dich schützen möchtest. Bei VPN oder TOR ist eben auch die Frage, ob du dem VPN Anbieter vertraust (Was ich nicht unbedingt in Erwägung ziehen würde, da sogut wie alle VPN Anbieter Logs erheben) oder ob du dem TOR einstiegs Node traust. Man kann so Dinge wie VPN over TOR realisieren. Darunter leidet aber natürlich die Übertragungsraten. Wenn es dir eher darum geht, auch gewissen Seiten keine „Spuren“ zu hinterlassen, würde sich Tails als live System anbieten. Aber eignet sich nur bedingt als daily driver OS und ich würde Tails auch nicht über meine reale IP herunterladen und ausführen, sondern mindestens noch einen VPN dazwischen haben. Am besten wäre wohl ein extra PC der an einen VPN Router angeschlossen ist und auf welchem du dann Tails bootest. Sollte nämlich die Tails Seite oder einer der einstiegs Nodes kompromittiert sein, erfährt man im ersten Monent zumindest nicht die IP deines Homeanschlusses.

Wie wir in der Vergangenheit gelernt haben, sind gerade große US Unternehmen wie Facebook noch mal eine ganz eigene Instanz die über Recht und Unrecht entscheidet. Wenn die also mal wieder eine 0 Day Lücke in Tails ans FBI melden, anstatt die direkt vom Tails Team fixen zu lassen, gehen alle über Board die ausschließlich Tails zu Anonymisierung genutzt haben.

Solange du nicht in irgendeiner Form kriminell bzw. auffällig wirst, kannst du dich schon recht anonym im Netz bewegen. Allerdings gibt es dafür keinen Knopf, Tool oder sonstiges.
Das einzige was du dazu brauchst, findest du hier Brain.exe :wink:
Wenn du jetzt angenommen, völlig paranoid wärst. Dann wird es sehr schwer und ist mit enormen Aufwand verbunden.
Das beginnt schon mit der Auswahl deiner Hardware, gefolgt von der Software, dein ISP und noch viele weitere „Kleinigkeiten“.

Für den „Normalo“ reicht etwas Hirnschmalz, ein VPN, ein Blocker und ein wenig Aufmerksamkeit.
Den wenigsten ist z.B. bewusst, dass man trotz VPN, seine richtige IP Adresse mittels Browser ermitteln kann (WEB RTC), dass man anhand seiner System ID (System Agent) vom Browser erkannt werden kann, oder der Fenstergröße und Font-Einstellungen des Browsers. Die Möglichkeiten sind sehr vielfältig, im Netz identifiziert werden zu können.
Was viele auch nicht machen, Cookies löschen und zwar sofort nach verlassen der Seite. Bringt zwar Komfortverlust mit sich, aber man wird auch nicht so ohne weiteres verfolgt.
Dann sollten auch Suchvorschläge deaktiviert sein, Browser pre-fretching, jedwede Telemtrie usw. und so fort.
Dann bist du vielleicht einigermaßen vor Werbung, Tracking, Hackern, Facebook, Google und Co. „sicher“.
Es hat aber eben auch seinen Preis.
Wenn du Facebook hast, dann kannst du dich von deiner Anonymität sowieso verabschieden. Die finden und erkennen dich wieder, egal was du machst. Die sind auf nahezu allen Webseiten und die musst du leider blockieren.

Wie schützt du dich vor WebRTC?

Deaktiviere bitte die entsprechende Funktion in deinem Browser:

Chrome (abhängig von der verwendeten Version)

  1. Gebe ‚chrome://flags/#disable-webrtc‘ in die Adresszeile ein und bestätige
  2. Aktiviere die Option (in neueren Versionen lässt sich das Feature nicht mehr deaktivieren)*
  3. Starte deinen Browser neu

Mozilla Firefox

  1. Gebe ‚about:config‘ in die Adresszeile ein und bestätige
  2. Stelle ‚media.peerconnection.enabled‘ auf ‚False‘
  3. Starte deinen Browser neu

Chromium-basierte Browser

  1. Öffne das Anwenderverzeichnis deines Browsers
  2. Lade die Datei ‘preferences’ in einen Texteditor
  3. Trage vor der letzten schließenden geschweiften Klammer (})die Zeile ‚“webrtc":{„multiple_routes_enabled“:false}‘ ein

Einen eventuellen WebRTC-Leak kann über diese Domain geprüft werden:

https://diafygi.github.io/webrtc-ips/

was hältst du eigentlich von entsprechenden Browser Add-Ons?
Für Firefox gibt es ja einiges was man dazu nutzen kann.
Ich verwende z.B.
no-script (Skript Blocker), cookie auto delete (löscht cookies automatisch nach Vorgabe), disable WebRTC (an/aus per Klick), user agent switcher (fake Profile im Browser), https everywhere (erzwingt Verschlüsselung, warnt bei keiner)

Solange die etwas taugen, und das tun ja die hier genannten auf jeden Fall, haben die ihre Daseinsberechtigung!!
Ich benutze ja das ein oder andere AddOn selber auch…man muß nur aufpassen, da manche AddOns den Browser extremst verlangsamen können! Bei FF im Speziellen sollte man auch drauf achten, wieviel Arbeitsspeicher er sich einverleibt - erst recht, bei vielen aktiven AddOns!
Damit die gesamten Erweiterungen übersichtlich bleiben, würde ich pers. alles was möglich ist, in der about:config einstellen. Zum Beispiel das „disable WebRTC“ kann man ja easy mit dem oben genannten ‚media.peerconnection.enabled‘ auf ‚False‘ abschalten, wofür dabei eine Erweiterung nutzen…wie gesagt, alleine schon aus Performance-Gründen :wink:

Ein absolut sicheres System gibt es nicht. Ich würde aber sagen, dass das „beste“ was man aktuell machen kann, wohl „Qubes OS“ ist.
Ist ein interessantes Konzept, das bei vielen auch entsprechend hoch angesehen ist. Die Frage ist am Ende nur, ob man den Entwicklern vertraut oder nicht.
Sind eine relativ kleine Gruppe, haben aber zB auch EU Finanzierung erhalten. Muss jeder für sich entscheiden würde ich sagen.

Mal ne Frage am Rande…benutzt du das selber auch?? Ich frage nur deshalb, weil man für eine anständige Konfiguration des Systems zumindest über fortgeschrittene Kenntnisse in der IT, im Speziellen über die Funktionsweise eines Hypervisors haben sollte! Bei einer Fehlkonfiguration geht nämlich sonst der Schuß ziemlich schnell nach hinten los… :wink:
Ich arbeite zum Beispiel viel mit ESXI-Servern und dem VMware Hypervisor, was meines Erachtens viel mehr Vorteile bietet, da dort jede VM, die erstellt wird, ein eigenständiges komplettes System darstellt.
Bei Qubes wird ein einzelnes System (bzw. Betriebssystem) in viele kleine VMs gesplittet, die entweder miteinander kommunizieren dürfen, oder auch nicht! Wenn ich mir dann das Schema von Qubes so anschaue, würde ich fast behaupten, dass man schon zumindest annähernd Server-Hardware (bare-metal) braucht, alleine aus Performance-Gründen etc.
Vor allem auch, weil das System den XEN Bare Metal Hypervisor dafür einsetzt…

Ob das alles zusammengefasst, eine gute handle-bare Lösung für einen 08/15 Standardnutzer darstellt vage ich zu bezweifeln…?!

Habe ich lange, musste dann aber einen aussetzer machen. Meine alte Hardware hat den Geist aufgegeben, und ich hab mir direkt „richtige“ neue gekauft. In Worten: Ryzen 3950X, 32Gig RAM, und eine 5700XT. Die 5700XT war/ist der große Fehler, weil ich zwischendurch auch mal zocke, und dafür die Qubes-Platte abgesteckt habe (Externer 3,5" Rahmen). Leider kommt der Kernel von Qubes noch nicht mit der 5700XT klar, daher muss Fedora aktuell reichen, bis der Kernel nachgezogen wird. Einen anderen PC hab ich grade auch nicht, um Qubes darauf zu installieren und selbst 'nen aktuellen Kernel zu compilen, bin ich grade auch etwas zu faul für bzw. hab zu viel anderes Zeug zu tun.

Was die Kenntnisse angeht, hast du zum Großteil recht. Ich denke, dass ein halbwegs IT affiner User sich das durchaus aneignen kann, wenn er es wirklich will. Aber entsprechende Kenntnisse sind natürlich besser. Generell muss man das ganze Prinzip auch verinnerlichen, sonst kann man es auch wieder sein lassen. Ich hatte über ein dutzend VMs, der großteil basierte zudem auf DisposableVMs (Siehe Website/Doku von Qubes, das sind quasi Temporäre VMs auf Basis von vorkonfigurierten Templates). Dazu braucht man natürlich auch Hardware, die man halbwegs dafür nutzen kann. Ich hatte zB das Problem, dass ich am Desktop den USB Controller nicht richtig in eine VM isolieren konnte, weil es dann Chipsatz-Probleme gab. Lösung war eine separate PCIe-Karte mit USB Ports, wo dann die USB-Sticks usw dran kamen, weil ich den in eine VM isolieren konnte. Netzwerk natürlich auch usw.
Ist halt sehr sehr viel Arbeit das ganze, aber wenn es mal eingerichtet ist, und man sich an den Workflow gewöhnt hat, geht es eigentlich. Was die Hardware angeht: Angefangen habe ich auf einem Notebook mit einem Quadcore i5, 8GB RAM und einer 250GB SSD. Das war nicht atemberaubend schnell, aber durchaus flüssig nutzbar. Die VMs sind sehr schlank, speziell wenn man das Minimal-Template nutzt wie ich es gemacht habe. Mehr Konfigurationsaufwand, aber dafür weniger unnützer Ballast, der wieder eine Sicherheitslücke sein könnte.
Für den Normaluser ist es am Ende des Tages aber sowieso zu viel Arbeit, und vermutlich auch nicht nötig. Ein aktuelles Linux wie Debian, Fedora, Ubuntu & Co. reicht eigentlich. Nur Windows 10 kann ich leider nichts mehr abgewinnen…

1 Like

Das meinte ich nämlich…fängt an mit Kernel-Sucking! :joy: Verstehe ich zwar nicht so ganz bei Qubes, da der 5.8.1 ja schon 2,5 Wochen draussen ist :wink:
…und ist halt tierisch viel Handarbeit nötig, die Configs anzupassen etc. Wenn man mal ehrlich ist, heißen die Teile auch nur VM, weil Xen den HV spendiert hat, oder!? Ansonsten könnte man die eher als Container bezeichnen, was dann der Realität wohl auch näher kommen würde… :upside_down_face:
Aber find ich jut, dass hier endlich mal wieder ein Frickler mit an Bord ist !! :+1: Meiner Meinung nach, gibt es zwei Möglichkeiten, wie man als Standardbenutzer mit einem sicheren OS unterwegs ist.

  • Entweder nur noch mit einem Live-System arbeiten und zu speichernde Daten nur noch isoliert auf die interne HDD / SSD schieben.

  • Oder ein fest installiertes OS (meinetwegen auch W10), darauf dann die VMware-Workstation und vmdk’s erstellen, die man nutzen möchte. Und ab gehts - beim Herunterfahren wird dier VM entweder autom. zurückgesetzt oder man arbeitet mit Snapshots.
    Zusätzlich eine permanent laufende VM, die den Router mit einer integrierten Firewall darstellt und eine perm. VM als Netzwerkspeicher.

Obwohl die zweite Lösung auch wieder etwas mehr als Standard wäre…aber es gilt ja auch: Wer Muckis haben will, der muß dafür auch schwitzen!! :rofl: :stuck_out_tongue_winking_eye:

Es kommt ja am Ende auch immer drauf an, was man für ein „Schutzbedürfnis“ man hat. Ein aktuelles Linux mit einem aktuellen Firefox incl. passender Config, zB
https://raw.githubusercontent.com/pyllyukko/user.js/master/user.js
https://privacy-handbuch.de/download/streng/user.js
und man ist zu 99% sicher unterwegs. Die „typischen“ Zero-Days die dann noch auf einen zutreffen sind so exotisch und wertvoll, dass man die nicht für jemanden verbraucht, der nur ein paar Filme gezogen hat o.ä.
Die meisten Fehler was sowas angeht sind schlicht menschlich. Leuten irgendeinen Quark vorzugaukeln ist immer leichter als selbst funktionierende Zerodays zu finden und zu benutzen. Und wenn man sowas findet, werden die für viel Geld verkauft, und die Käufer haben es dann nicht auf Privatpersonen abgesehen, die nichts zu verstecken haben.

Als ich mit Qubes angefangen habe, war ich noch eine Ecke paranoider, aber vor allem hatte ich auch Spaß an der Herausforderung. Wenn Qubes wieder auf meinem Desktop läuft, werde ich es auch installieren, aber solange begnüge ich mich mit meinem Fedora 32. Das läuft auch :wink:

1 Like