30 Tage lange war ich anonym unterwegs. Das heißt, ich habe keine Ausweise, keine Kreditkarten und keine meiner gewohnten Apps verwendet. In diesem Beitrag möchte ich von meinen Erfahrungen berichten und dir eine Anleitung für mehr Privatsphäre geben.

Im Januar 2018 habe ich das erste von zwölf Lifestyle Experimenten durchgeführt. Mein Ziel war es, 30 Tage lang keine Datenspuren zu hinterlassen, was sich als deutlich schwieriger herausstellte als angenommen.

Geschrieben habe ich bereits darüber warum Datenschutz uns alle etwas angeht. In diesem Beitrag geht es um das Wie - eine Anleitung zu mehr Privatsphäre im und außerhalb des Internets, ohne dabei den Verstand zu verlieren.

Grundregeln für Anonymität im Netz

Privatsphäre ist komplex, weshalb es keine Einheitslösung gibt. Wir haben unterschiedliche Gründe dafür, Teile unseres Leben geheim zu halten. Vielleicht willst du nicht, dass dein neuer Partner Bilder von deinem Ex sieht oder du hast Angst, dass NSA und BND dich ausspionieren. Je nach deiner Motivation gibt es verschiedene Level von Anonymität.

Was ich schnell lernen musste, ist, dass 100%-ige Anonymität, ohne dabei Gesetze zu brechen, eine Illusion ist. Aber mit kleinen Änderungen kann es Angreifern und Eindringlingen unserer Privatsphäre deutlich schwerer gemacht werden. Was es dazu braucht sind Disziplin und veränderte Gewohnheiten.

Grundsätzlich solltest du nur mit eingeschalteter VPN-Verbindung im Internet surfen (oder über den Tor Browser), um Datenklau zu verhindern und deinen Standort, der über die IP-Adresse übermittelt wird, zu verschleiern. Nicht surfen solltest du, während du bei Facebook, Google & Co eingeloggt bist. Auch das Vermeiden von plattformübergreifenden Logins (z.B. Anmeldung mit Facebook Konto bei AirBnB) hilft dabei, deine Daten nicht allen Mitspielern zu präsentieren. Wenn du es ganz ernst nimmst, dann solltest du auch keine Suchen durchführen, die einen Standort vermuten lassen (z.B. Wetter, Restaurant in der Nähe).

Dann ist da das Smartphone, dass ständig Standort- und Bewegungsdaten von uns sammelt. Jeder von uns sollte überprüfen, welche Anbieter Daten sammeln und ob dies wirklich von Nöten ist. Müssen Google, Apple & Co wirklich jederzeit wissen, wo ich gerade bin, wie viele Schritte ich gelaufen bin und wann ich am Abend ins Bett gehe? Wenn es Informationen von dir gibt, die du nicht so gerne in der morgigen Ausgabe des Spiegels sehen möchtest, dann sollten diese auch nicht auf einem fremden Server liegen (wozu auch die Cloud gehört).

Ein weiterer wichtiger Grundsatz für mehr Anonymität im Netz ist eine zweite Identität, die du nur innerhalb eines neuen Gerätes (Smartphone, Laptop) oder zumindest eines anderen Browsers verwendest, um keine Verbindung zwischen deinem Alter Ego und deiner wahren Identität herzustellen. Verschiedene E-Mail-Konten und Telefonnummern machen das Tracking der eigentlichen Identität deutlich schwerer.

Michael Martin - meine zweite Identität

Bei den meisten Services im Netz ist es unmöglich, sich ohne einen Namen, eine E-Mail-Adresse oder eine Telefonnummer anzumelden. Genau deshalb brauchte ich einen Alter Ego.

Um möglichst wenig Aufsehen zu erregen, habe ich mir einen der Top 25 Nachnahmen und Vornamen, die in verschiedenen Ländern ikm europäischen und angelsächsischen Sprachraum genutzt werden, ausgesucht. Herausgekommen dabei ist Michael Martin. Eine kurze Google Suche ergibt, dass Michael Martin sowohl bekannte Philosophen, Politiker, Fotografen als auch Investoren sind bzw. waren. Der Name ist in vielen Ländern gebräuchlich, auch in Deutschland.

Der weltweit häufigste Geburtstag ist der 16.09. und das Geburtsjahr von Martin habe ich auf 1986 festgelegt. Über Fiverr habe ich ein Foto von mir und einem zufällig ausgesuchten Passbild aus dem Internet übereinanderlegen lassen. Heraus kam ein völlig neues Profilbild, was wichtig ist, denn ich wollte ja eine neue Identität erstellen, nicht jedoch eine vorhandene Indentität stehlen (was übrigens strafbar ist).

Datenschutz für Einsteiger

Privatsphäre ist anstrengend aber es gibt kleine Dinge, die wir alle tun können, ohne dabei die Geduld zu verlieren. Ganz nach der 80/20-Regel kannst du mit recht wenig Aufwand schon eine große Wirkung erzielen. Die folgenden Apps und Tipps kann ich dir nach meinem Experiment empfehlen:

• Instant Messaging: Telegram, Jabber, WhatsApp (verschlüsselt, aber Teil von Facebook)
• Videotelefonie: Signal, Jitsi
• Microblogging: Twister
• File Sharing: SpiderOak
• Browsing: Firefox Browser mit Addons HTTPS Everywhere (verschlüsselte Verbindung zu Webseiten), Ghostery, NoScript oder Disconnect (Blocken von Tracking-Technologien)
• Internetsuche: DuckDuckGo oder Startpage
• VPN-Verbindung: suche nach einem Anbieter, der keine Logs speichert
• Cookies: CCleaner (gespeicherte Cookies auf dem Computer löschen)
• Festplatte: Verschlüsselung aller Daten auf einer Festplatte mit PGP Whole Dic Encryption, WinMagic für Windows oder FileVault für Mac (vorinstalliert)
• Privatsphäreneinstellungen bei sozialen Netzwerken und Google überprüfen
• Location-Services in Browsern und Smartphones ausschalten
• Stimmaktivierung in Handy, Smart TV oder Alexa deaktivieren
• Daten löschen: Bestandsaufnahme bei Google, Facebook und Smartphone Apps machen und nicht gewollte Daten löschen (z.B. auch Location History auf dem Smartphone)
• Fitnesstracker und Smartwatches ablegen

Schon der einfache Wechsel von Skype, Zoom oder Google Hangouts zu Signal macht einen riesigen Unterschied. DuckDuckGo als Suchmaschine ist eine akzeptable Alternative zu Google. Und als Browser muss es nicht unbedingt Tor sein, denn auch Firefox bietet gute Einstellungen für Datensicherheit. Generell solltest du vor allem in öffentlichen Netzwerken nur über VPN-Verbindungen surfen, um deine echte IP-Adresse (und damit den Standort) zu verschleiern und das Abfangen von Daten zu vermeiden.

Für verschlüsselte E-Mails nutze ich Protonmail, dass eine ziemlich hohe Anonymität bietet. Für verschlüsselte Videochats kann ich Signal absolut empfehlen. Um Kurznachrichten zu verschicken, scheinen WhatsApp und Telegram die besten Optionen zu sein, wenn man Benutzerfreundlichkeit und Massentauglichkeit berücksichtigt. Ich habe mich für Telegram entschieden, um keine Verbindung zu meinen bisherigen Profilen bei Facebook, Messenger und WhatsApp herzustellen.

Das Surfen mit diesen Tools ist anstrengend, da die Ladegeschwindigkeit aufgrund der umgeleiteten IP-Adresse rapide abnimmt, nur verschlüsselte HTTPS-Seiten geladen werden können/sollten und keine unsicheren Skripte (z.B. Flash) sowie Cookies (z.B. zum Speichern von Passwörtern) zugelassen werden. Problematisch dabei ist, dass beim Einloggen in soziale Netzwerke und andere Online-Konten aufgrund der verdächtigen IP-Adressen und geblockten Skripte immer wieder Sicherheitsabfragen kommen. Das Facebook Konto meines Alter Ego wurde viermal gesperrt, wonach ich die Nase voll hatte. Das ist wohl der Preis für Anonymität.

Datenschutz für Fortgeschrittene

Um wirklich anonym zu sein, darfst du keine Verbindung zwischen deiner echten Identität und deinem Alter Ego herstellen. Dazu gehört auch neue Hardware. Ich habe mir ein kleines Asus Netbook für ca. 250 Euro und zwei neue Handys gekauft (ein Samsung Smartphone für 60 Euro und ein altes Handy ohne WiFi für ca. 10 Euro).

Um telefonieren zu können, ohne für die SIM-Karte registriert zu sein, habe ich einen Einheimischen gebeten, mir die Prepaid-Karte für ein paar Euro zu kaufen. Über meine Nummer kann ich natürlich immer noch geortet werden, jedoch steht diese nicht in direkter Verbindung zu meinem Namen.

Auf dem Netbook habe ich anfangs das Betriebssystem Tails installiert, welches bereits viele Programme für die verschlüsselte Datenübertragung beinhaltet. Nach drei Tagen war ich aufgrund der Benutzerunfreundlichkeit und Inkompatibilität jedoch so frustriert, dass ich auf Windows zurückgewechselt bin und mir dort verschiedene Programme installiert habe.

Das Einrichten von Thunderbird in Verbindung mit Enigma und OpenPGP für verschlüsselte E-Mails hat mich einige Nerven gekostet. Als ich dann die ersten E-Mails versendet habe, wurde mir klar, dass die meisten Empfänger keine Ahnung haben, wie sie die Nachricht entschlüsseln können (was natürlich auch ich vor einer Woche nicht wusste). Eine Option also für Staatsgeheimnisse, nicht aber für meinen Alltag.

Zusätzlich zu den weiter oben genannten Tools und Tipps kann ich dir für größtmögliche Anonymität (aber auch deutlich mehr Aufwand) die folgenden Dinge empfehlen:

• Browser: Tor (modifizierter Firefox Browser)
• Betriebssystem: Tails (inklusive einiger vorinstallierter Programme mit Verschlüsselung)
• E-Mail: Mozilla Thunderbird (E-Mail-Client) und Enigmail (Verschlüsselung über PGP)
• Handy: Faraday Bag (schirmt jegliche Daten- und Telefonverbindungen ab)
• VPN-Verbindung: TorGuard mit Fake E-Mail-Adresse einrichten und per Bitcoin bezahlen
• bei jeder Einwahl ins Internet die MAC-Adresse des Laptops ändern (über die Netzwerk-Einstellungen)
• Password Manager: Password Safe, KeePass (Passwörter werden offline gespeichert)
• Versteckte Ordner: VeraCrypt (versteckte und verschlüsselte Ordner auf der Festplatte anlegen)
• Geld: Bitcoin über Geschenkkarten kaufen (Paxful) oder gegen Bargeld, Bitcoin Tumbling Service wie Onion Wallet über den Tor Browser (oder Bitlaunder)
• Prepaid Karten für Amazon, iTunes, Google Play Store im Supermarkt kaufen, anstatt per Kreditkarte zu bezahlen

Reisen & Wohnen ohne Ausweise

Ich habe mich schon sehr daran gewöhnt, ständig Google Maps zu nutzen und über das Smartphone für Flüge einzuchecken. Da dies wegfiel, bin ich bewaffnet mit einer Straßenkarte (ja, so richtig aus Papier) zweimal 750 km mit dem Roller zwischen Chiang Mai und Bangkok gefahren und habe Nachtbusse und Taxis genommen. Das Buchen von Tickets ging nach etwas Überredungskunst auch ohne Ausweis.

Das Einchecken in Hotels war zumindest in den größeren Städten in Thailand nicht ohne Reisepass möglich. Glücklicherweise konnte ich einige Nächte bei Freunden auf dem Sofa schlafen, was natürlich auch kein Dauerzustand ist. Also habe ich mir einen neuen AirBnB Account mit meinem Alter Ego erstellt und Zahlungen über mein Firmenkonto abgewickelt. Ganz sicher keine komplette Anonymität aber für mich ein akzeptabler Kompromiss. Möglich wäre das Kaufen von AirBnB Gutscheinen über ein zweites Konto, die dann im Fake Konto eingelöst werden (funktioniert bisher nur für Konten in den USA).

Synchronisation von Daten

Die Wortwahl von Dingen wie der Cloud wird bewusst verharmlost gewählt. Eine Cloud ist kein weißes Wattewölkchen, sondern eine Serverfarm aus Metall, seltenen Erden und Kabeln, die viel Energie verbraucht und immer in fester Hand eines Eigentümers ist. Fotos, Musik, E-Mails und Passwörter werden von einem Gerät auf das andere übertragen, um immer "in Sync" zu sein. Das Problem ist der kleine Umweg, den die Dateien über einen Server von Apple, Microsoft oder Google nehmen.

Auch wenn Firmen aus dem Silicon Valley noch so gute Intentionen haben, können sie sich gegen den Druck von NSA und anderen Geheimdiensten kaum wehren. Wer mit der Regierung zusammenarbeitet, dem winken Milliardenaufträge. Mittlerweile stehen Facebook & Co in einem Interessenskonflikt, da sie einerseits dem öffentlichen Ruf nach mehr Privatsphäre gerecht werden müssen und andererseits Millionen mit Nutzerdaten verdienen.

Alles was wir zwischen unseren Geräten synchronisieren, über Tools wie Google Drive bearbeiten oder als Backup hochladen, landet genau auf diesen Servern. Auch wenn ich Apple, Google & Co nichts böses unterstellen möchte, müssen wir uns darüber bewusst sein, dass wir nach dem Hochladen in die Cloud über unsere Fotos, Passwörter und Dokumente keine Kontrolle mehr haben. Eine gute Alternative für das Backup und Teilen von Dateien sowie das Managen von Fotos, Musik usw. über mehrere Geräte hinweg, ist SpiderOak.

Dann ist da die Stimmerkennung - Siri, Alexa und Cortana werden personifiziert, da wir lieber Daten an "Freunde" geben, als an die bösen, kapitalistischen Unternehmen. Smart TVs und Handys mit Stimmaktivierung hören 24/7 zu, was wir sagen. Noch ist unklar, was mit den Aufzeichnungen geschieht, aber sie sind erstmal da. Genau das gleiche ist wahr für Webcams zur Überwachung der eigenen vier Wände, die uns Sicherheit bieten soll, gleichzeitig aber von Angreifern gehackt werden kann (suche mal auf Shodan nach Webcam und lass dich überraschen, wie viele Geräte du ohne Passwort fernsteuern kannst).

Surfen im Internet

Die sicherste aber wohl auch anstrengendste Alternative ist der modifizierte Firefox Browser Tor. Die Verbindung mit einer Webseite wird durch mehrere Server umgeleitet und die IP-Adresse alle 10 Sekunden geändert. Da du keine Kontrolle über die sogenannten Exit Nodes (der letzte verwendete Server) hast, ist immer noch keine 100%ige Anonymität gewährleistet, aber zumindest wird deine Identität gut verschleiert. Durch das Rerouten der Verbindung erhöhen sich die Ladezeiten mit dem Tor Browser erheblich. Mit Tor hast du Zugriff auf das ganz normale Internet sowie das Deep Web. Für das Smartphone gibt es die App Orbot (Android) oder den Onion Browser (iPhone).

Eine Variante, die nutzerfreundlicher ist, ist der Firefox Browser mit Addons, die Tracking Scripte blocken und sichere Verbindungen garantieren ( HTTPS Everywhere, Ghostery, NoScript oder Disconnect), sowie die Verwendung von Suchmaschinen, die keine Daten speichern ( DuckDuckGo oder Startpage).

Generell solltest du bei der Internet-Suche nicht im gleichen Browser in eines deiner Konten bei Google, Facebook usw. eingeloggt sein. Meine klare Empfehlung hier ist DuckDuckGo als Suchmaschine, die ein paar Tage Eingewöhnungszeit benötigt, dann aber eine echt gute Alternative zu Google ist.

Kommunikation über E-Mail und Chats

Verschlüsselung ist die Kunst und Wissenschaft, Informationen nur den Leuten zugänglich zu machen, die diese sehen sollen. 1991 schrieb der Cypherpunk Phil Zimmermann den Code für Pretty Good Privacy (PGP), der auch heute noch die Grundlage für viele Programme mit End-to-End-Verschlüsselung liefert. Kostenlose Optionen zur Nutzung des Codes sind OpenPGP oder GNU Privacy Guard (GPG). Um mehr über Verschlüsselung zu lernen, kannst du an einer kostenfreien Crypto-Party in verschiedenen Städten auf dem Globus teilnehmen.

Das Problem mit der End-to-End-Verschlüsselung ist, dass die Daten zwar sicher von A nach B gelangen, oft aber einen Umweg über einen Unternehmensserver (z.B. Facebook, Google) nehmen. Für Hacker wird es schwerer, deine Nachrichten abzufangen, aber Facebook & Co nutzen diese nach Belieben.

Das andere Problem ist, dass die PGP Verschlüsselung für Nachrichten nicht einfach zu nutzen ist. Zu jedem Sender gehört jeweils ein privater und ein öffentlicher Schlüssel. Beim Verschicken einer verschlüsselten E-Mail musst du sicherstellen, dass der Empfänger deinen Public Key hat, um nicht nur Buchstabensalat zu empfangen. Glücklicherweise gibt es mit E-Mail-Clienten wie Protonmail oder Addons wie Mailvelope gute Programme, die die Verschlüsselung auch für Nicht-Kryptografen lösen.

Eine richtig gute Alternative zu Chat-Programmen ist Signal von Open Whisper Systems. Damit ist VoIP-Telefonie und Chat sowohl auf dem Laptop als auch dem Handy möglich. Das Gute an dem Tool ist, das die Keys für die Verschlüsselung nur zwischen den beiden schreibenden/sprechenden Parteien geregelt werden, also nirgendwo auf einem dritten Server gespeichert werden.

Auch andere Messenger Dienste wie WhatsApp oder der Facebook Messenger besitzen eine End-to-End-Verschlüsselung, die auf dem Code von Signal basiert. WhatsApp verschlüsselt alle Nachrichten automatisch. In der Facebook Messenger App musst du eine private Konversation auswählen, kannst diese dann jedoch nicht am Desktop lesen. Allerdings stellt Facebook den Code nicht zur Überprüfung zur Verfügung.

Eine weitere gute Alternative mit Abstrichen bei der Sicherheit ist Telegram, wo komplett verschlüsselte Chats und sich selbst zerstörende Nachrichten möglich sind. Worauf du bei der Auswahl von Chat Apps achten solltest, ist OTR (off-the-record messaging) und PFS (perfect forwarding secrecy).

Die guten Apps mit Verschlüsselung kosten Geld, weshalb sich nicht viele Menschen dafür registrieren, was die Kommunikation via Chat müßig macht. Bei allen Chat-Diensten bleibt die Abwägung zwischen Datensicherheit und der Anzahl an Freunden, die den Service nutzt. Ich konnte einige meiner Bekannten dazu motivieren, sich Telegram und Signal zu installieren und werde beide Apps auch weiterhin nutzen.

Online bezahlen und an Bargeld kommen

Das war die größte Herausforderung für mich. Selbst wenn ich mit einem Koffer Bargeld durch die Gegend laufe, kann ich online nichts bezahlen (z.B. eine App oder einen VPN-Service). Andersherum habe ich das Problem, digitale Währungen in Bargeld umzuwandeln, ohne dabei Spuren zu hinterlassen. Eine offensichtliche (aber nicht perfekte) Lösung sind Kryptowährungen.

Die Blockchain ist die Grundlage für ein dezentralisiertes, quasi-anonymes Geldsystem, auf dem verschiedene Kryptowährungen basieren. Alle Transaktionen werden in der "Kette" für die Ewigkeiten aufgezeichnet, jedoch ohne einen direkten Zusammenhang zu einer Person. Für Ermittler ist es dennoch nicht besonders schwierig, zu einer Transaktionen einen Namen zuzuordnen, wenn diese auf einen Umtausch von Fiatgeld in digitale Währungen (z.B. über eine Handelsbörse) zurückzuführen ist.

Um die Verfolgung von Krypto-Transaktionen zu erschweren, gibt es sogenannte Tumbling-Services, die wie gute alte Geldwäsche funktionieren. Ich sende meine Bitcoins zu einem neuen Tumbling-Wallet, wo sie mit dutzenden anderen Bitcoins gemixt werden. Die Bitcoins, die ich dann weitersende, sind nicht mehr die gleichen und so durchmischt, dass der Ursprung angeblich nicht mehr nachvollzogen werden kann. Kaufen kann ich Kryptowährungen mit Bargeld an Bitcoin-Automaten oder durch Cash by Mail und persönliche Treffen.

Ich habe mich über die Plattform Local Bitcoins in Bangkok mit jemandem getroffen und meine Bitcoins, die vorher "gewaschen wurden", gegen einen Umschlag voller Geld getauscht. Klingt ziemlich zwielichtig, ist aber meines Wissens nach nicht illegal.

Einkäufe in App Stores oder bei Amazon können über Geschenkkarten aus dem Supermarkt getätigt werden. In einigen Ländern gibt es außerdem Prepaid Kreditkarten (Debitkarten), die einmalig aufgeladen werden können. Im Darknet gibt es mehrere Anbieter von anonymen PayPal Konten und Kreditkarten, was ganz sicher die Grenzen der Legalität überschreitet ( mehr dazu hier).