Checkliste Sicherer Umgang mit Technik

Hausdurchsuchungen & sicherer Umgang mit Technik

Neben den Checklisten findest du unten auch eine Liste mit hilfreichen Links.

Vorbereitung auf eine Hausdurchsuchung

Spiele es mal durch: Angenommen die Polizei schaut morgen vorbei und nimmt dir deine Geräte weg. Wie gut bist du vorbereitet?

• Alle meine Geräte sind verschlüsselt (Laptop, Handy, Tablet, externe Festplatten)
• Ich habe Sachen aus der Wohnung geschafft, die die Polizei nicht mitnehmen/sehen soll (muss auch nicht Aktivismus related sein, z. B. externe Festplatten mit Familienfotos oder alte Tagebücher. Oder unverschlüsselte Festplatten, weil du noch nicht dazu gekommen bist, sie zu verschlüsseln)
• Ich mache regelmäßig Backups
  • Meine Backups sind verschlüsselt
  • Ich habe auch Backups, die nicht zu Hause gelagert sind
  • Meine Backups enthalten alles wichtige (Passwörter, Signal-Account, Browser-Historie/Lesezeichen, Kontakte, Dokumente)
• Ich kann auch nach der Hausdurchsuchung auf meine Passwörter zugreifen (denke auch an Zwei-Faktor-Authentifizierung)
• Ich kann auch nach der Hausdurchsuchung auf meine E-Mails zugreifen (um im Notfall Passwörter zurücksetzen zu können)
• Ich kann auch nach der Hausdurchsuchung auf Kalendar, Kontakte und Dokumente/Cloud zugreifen
• Ich kann jederzeit mit dem EA oder der AG Kontakt aufnehmen (Zettel an der Wand)
• Ich habe im Vorfeld mit meinen Mitbewohner*innen gesprochen und teile diese Informationen mit ihnen

Wir haben die Erfahrung gemacht, dass die Polizei alles an elektronischen Geräten mitnimmt, was sie findet. Wenn sich der Beschluss gegen euch richtet habt ihr darauf keinen Einfluss. Aber wenn sich die Durchsuchung nicht gegen euch richtet (ihr seid Beziehungsmensch/Mitbewohner*in, bzw betrifft das eure Mitbewohner*innen), dann beschwert euch lautstark/wehement, dass diese Sachen nicht mitgenommen werden.
Bei den bisherigen Durchsuchungen war es dann oft so, dass sich die Polizei die Geräte vor Ort angeschaut und geprüft hat, ob da relevante Infos vorhanden sind und entscheidet dann vor Ort. Mit unterschiedlichem Ausgang:

• Menschen durften ihre Technik behalten
• die Festplatte wurde vor Ort gespiegelt (kopiert), dafür wurde sie nicht mitgenommen
• Festplatte/Laptop wurde trotzdem mitgenommen

Wichtig dabei: Die Menschen mussten dabei ihre Geräte (Handy/Laptop) entschlüseln/entsperren. Das ist natürlich gefährlich. Deshalb müsst ihr euch vorher fragen, wie wichtig euch das jeweilige Gerät ist und wie sensibel die Daten darauf sind.

Macht euch auch bewusst, dass eine Hausdurchsuchung eine absolute Stress-Situaion ist. Menschen wurden von der Polizei unter Druck gesetzt und haben Passwörter herausgegben/eingegeben. Ihr müsst der Polizei nicht eure Passwörter geben. Ihr habt das Recht, keine Aussage zu machen und euch nicht selbst zu belasten. Dazu gehört auch das Verweigern der Herausgabe der Passwörter. Die Rechtslage ist aber (leider) so, dass sie euch (mit Gewalt) zwingen können, mit biometrischen Mitteln (Fingerabdruck, Gesichtserkenung) Geräte zu entsperren.

Die 4 goldenen Sicherheitsregeln

• Alle meine Geräte sind verschlüsselt
• Ich nutze Verschlüsselung für meine Kommunikation (Signal für Telefonie/Nachrichten, PGP für E-Mail-Verschlüsselung). Ich aktiviere verschwindende Nachrichten auf Signal.
• Wenn ich in Aktion gehe, nutze ich nicht mein privates Telefon, sondern ein Aktions-Telefon
• Ich gehe davon aus, dass die Polizei das Aktions-Telefon entsperren und auslesen kann. Ich setze das Gerät vor der Aktion zurück und achte darauf, was für Daten darauf gespeichert sind.

Genereller Umgang mit Technik

• Ich nutze nur noch verschlüsselte Geräte (Laptop, Handy, Tablet, externe Festplatten)
• Mir ist bewusst, dass die Polizei eventuell Zugriff auf meine unverschlüsselten Telefonate bekomment (TKÜ/Telekommunikationsüberwachung)
• Mir ist bewusst, dass die Polizei eventuell Zugriff auf meine E-Mails/SMS bekommt (TKÜ)
• Ich bevorzuge eine private Nextcloud (z. B. Systemli) gegenüber der Google-Cloud
• je älter mein Handy ist (bezogen auf: bekommt es noch Updates?), desto unsicherer ist es. Ich bevorzuge dann lieber meinen Laptop für die Aktivismus-Arbeit
• mein Handy ist mit einer sicheren PIN/Passwort gesichert

Umgang mit Signal

• Ich habe eine Signal-PIN hinterlegt (Registration Lock/Registrierungssperre), damit bei der Neu-Einrichtung des Accounts eine PIN eingegeben werden muss - der Empfang einer SMS reicht dann nicht mehr aus (Dokumentation)
• Wenn mein Handy beschlagnahmt wird, lasse ich meine SIM-Karte vom Provider sperren, bestelle mir eine neue SIM-Karte und nutze die bisherige Nummer weiter. Damit kann die Polizei nicht einfach ungemerkt meinen Signal-Account nutzen
• Ich aktiviere verschwindende Nachrichten (auch als Standardeinstellung für neue Chats)
• Ich nutze Signal auch auf dem Laptop, um im Falle eines gestohlenen/defekten/beschlagnahmten Gerätes weiter arbeitsfähig zu bleiben
• Ich kann auch noch noch Bildschirmsperre (Screen lock) aktivieren, die eingegeben werden muss, um die Signal-App auf dem Handy zu öffnen (Dokumentation)
• Ich nutze die Backup-Funktion von Signal und backupe ein paar mal im Jahr meine Signal-Chats/Kontakte (Dokumentation)
• Ich schaue in Signal (und anderen Messengern) nach "linked devices" (verknüpften Geräten). Die Polizei nutzt das Feature, um verschlüsselte Messenger abzuhören (Quelle)

Empfehlungen

• Smartphone Empfehlung: Besorgt euch ein gebrauchtes Google Pixel Smartphone auf Kleinanzeigen und installiert das GrapheneOS Betriebssystem
• Nutze Chat-Ordner, um einen besseren Überblick zu behalten
• Auf Android kann ich Molly installieren, um ganz einfach einen zweiten Signal-Account nutzen zu können (eine zweite Signal-App)
• Ihr könnt eure Telefon-Nummer verstecken. Dann wird sie in (Gruppen-)Chats nicht mehr angezeigt. Allerdings erschwert das die Kontaktaufnahme. Wenn die Polizei es schafft, euer Handy auszulesen, dann kommt sie an euren Signal-Account (eure "Account ID"). Mit der kann sie zu Signal gehen und nach der hinterlegten Telefonnummer fragen. (Dokumentation

Kontakt

Meldet euch gerne bei Fragen oder Anregungen mit einer Mail an it-support@raz-ev.org (gerne auch PGP verschlüsselt).

Links

• Verschlüsselung:
  • Allgemeines zum Thema Verschlüsselung
  • Windows verschlüsseln mit Bitlocker
  • Windows verschlüsseln mit Veracrypt
  • Android verschlüsseln
  • MacOS verschlüsseln
  • PGP-Verschlüsselung einrichten
• Signal:
  • Signal sicher benutzen
  • Signal auf dem Laptop nutzen
  • Mehrere Signal-Accounts auf dem Handy nutzen
• Generelles:
  • Auf eine Hausdurchsuchung vorbereiten
  • Bitwarden Passwort-Manager
  • Nextcloud
• externe Ressourcen
  • Vortrag (mit LG-Bezug): Staatliche Überwachung: Erfahrungen und Beispiele aus der Praxis  
  • Checkliste mit konkreten Vorschlägen zur Verbesserung deiner Smartphone-Sicherheit
  • Webseite von esc-it (Kollektiv, das IT-Sicherheitstrainings für Aktivist*innen gibt)
  • IT-Sicherheitstrainings für Aktivisti