Checkliste Sicherer Umgang mit Technik

Vorbereitung auf Hausdurchsuchungen & sicherer Umgang mit Technik

Neben den Checklisten findest du unten auch eine Liste mit hilfreichen Links.

Vorbereitung auf eine Hausdurchsuchung

Spiele es mal durch: Angenommen die Polizei schaut morgen vorbei und nimmt dir deine Geräte weg. Wie gut bist du vorbereitet?

• Alle meine Geräte sind verschlüsselt (Laptop, Handy, Tablet, externe Festplatten, USB-Sticks, SD-Karten) (warum das manchmal nicht reicht)

  • Auf Android nutze ich für Signal die Molly-App (mehr dazu hier TODO)

• Ich habe Sachen aus der Wohnung geschafft, die die Polizei nicht mitnehmen/sehen soll, z. B. externe Festplatten mit Familienfotos, alte Tagebücher oder unverschlüsselte Festplatten, die du noch nicht verschlüsselt hast

• Ich mache regelmäßig Backups auf externe Datenträger

  • Ich nutze lieber eine private Nextcloud anstatt Google Drive oder die Microsoft/Apple-Cloud. Mir ist bewusst, dass Unternehmen/Dienstleister meine Daten an die Polizei herausgeben und meine Accounts sperren/einfrieren können.
  • Meine Backups sind verschlüsselt
  • Ich habe auch Backups, die nicht zu Hause gelagert sind (falls die Polizei sie mitnimmt)
  • Meine Backups enthalten alles wichtige (Passwörter, Signal-Account, Browser-Historie/Lesezeichen, Kontakte, Dokumente)

• Ich kann auch nach der Hausdurchsuchung auf meine Passwörter zugreifen (denke auch an Zwei-Faktor-Authentifizierung)

• Ich kann auch nach der Hausdurchsuchung auf Kalender, Kontakte und Dokumente/Cloud zugreifen

• Ich habe im Vorfeld mit meinen Mitbewohner*innen gesprochen und teile diese Informationen mit ihnen

• Ich nutze keine biometrischen Mittel (Fingerabdruck, Gesichtserkenung) zum Entsperren von Geräten. Die Polizei darf euch mit Gewalt dazu zwingen, Geräte zu entsperren. Das ist rechtlich mittlerweile eindeutig geklärt und wird auch in der Praxis so umgesetzt.

Erfahrungen bei Letzten Generation

Bei der Letzten Generation haben wir die Erfahrung gemacht, dass die Polizei alle elektronischen Geräte der beschuldigten Person mitnimmt. Wenn sich der Beschluss gegen dich richtet hast du darauf keinen Einfluss. Aber wenn sich die Durchsuchung nicht gegen dich richtet (Gäst*innen/Mitbewohner*innen), dann beschwert euch lautstark/wehement, dass diese Sachen nicht mitgenommen werden.
Bei den bisherigen Durchsuchungen war es dann oft so, dass sich die Polizei die Geräte vor Ort anschaut und prüft, ob auf dem Gerät relevante Informationen vorhanden sind. Sie entscheidet dann vor Ort, mit unterschiedlichem Ausgang:

• Menschen durften ihre Technik behalten
• die Festplatte wurde vor Ort gespiegelt (kopiert), dafür wurde sie nicht mitgenommen
• Festplatte/Laptop wurde trotzdem mitgenommen

Wichtig dabei: Die Menschen mussten dabei ihre Geräte (Handy/Laptop) entschlüseln/entsperren. Das ist natürlich gefährlich. Deshalb müsst ihr euch vorher fragen, wie wichtig euch das jeweilige Gerät ist und wie sensibel die Daten darauf sind. Teilweise haben haben Menschen ihr Smartphone entsperrt, um zu zeigen, dass es ihr Smartphone ist. Es wurde dann nicht beschlagnahmt.

Macht euch auch bewusst, dass eine Hausdurchsuchung eine absolute Stress-Situation ist. Menschen wurden von der Polizei unter Druck gesetzt und haben Passwörter herausgegben/eingegeben. Ihr müsst der Polizei nicht eure Passwörter geben. Ihr habt das Recht, keine Aussage zu machen und euch nicht selbst zu belasten. Dazu gehört auch das Verweigern der Herausgabe der Passwörter.

Die 4 goldenen Sicherheitsregeln

• Alle meine Geräte sind verschlüsselt (warum das manchmal nicht reicht)

• Ich nutze für digitale Kommunikation ausschließlich Ende-zu-Ende-Verschlüsselung. Das schützt mich (und andere!) vor einer möglichen Telekommunikationsüberwachung (TKÜ)

  • Ich telefoniere/schreibe ausschließlich über Signal
  • Ich aktiviere verschwindende Nachrichten auf Signal
  • Ich nutze PGP für E-Mail-Verschlüsselung, bzw. verzichte möglichst auf E-Mail-Kommunikation

• Wenn ich in Aktion gehe, nutze ich nicht mein privates Telefon, sondern ein Aktions-Telefon

• Ich gehe davon aus, dass die Polizei das Aktions-Telefon entsperren und auslesen kann (meist alte Android-Geräte). Ich setze das Gerät vor der Aktion auf Werkseinstellungen zurück und achte darauf, was für Daten darauf gespeichert sind.

Umgang mit Signal

• Ich hinterlege eine Signal-PIN hinterlegt (Registration Lock/Registrierungssperre), damit bei der Neu-Einrichtung des Accounts eine PIN eingegeben werden muss - der Empfang einer SMS reicht dann nicht mehr aus (falls die Polizei die SIM-Kartei beschlagnahmt, Dokumentation)
• Ich aktiviere verschwindende Nachrichten (auch als Standardeinstellung für neue Chats)
• Ich nutze Signal auch auf dem Laptop, um im Falle eines gestohlenen/defekten/beschlagnahmten Gerätes weiter arbeitsfähig zu bleiben
• Ich kann auch noch noch Bildschirmsperre (Screen lock) aktivieren, die eingegeben werden muss, um die Signal-App auf dem Handy zu öffnen (Dokumentation)
• Ich nutze die Backup-Funktion von Signal und backupe ein paar mal im Jahr meine Signal-Chats/Kontakte auf meine verschlüsselte externe Festplatte (Dokumentation)
• Ich schaue in Signal (und anderen Messengern) nach "linked devices" (verknüpften Geräten). Die Polizei nutzt das Feature, um verschlüsselte Messenger abzuhören (Quelle)
• Auf meinem Sperrbildschirm werden keine Inhalte angezeigt (Dokumentation)

Empfehlungen

• Smartphone Empfehlung: Besorgt euch ein gebrauchtes Google Pixel Smartphone auf Kleinanzeigen und installiert das GrapheneOS Betriebssystem
• Nutze Chat-Ordner in Signal, um einen besseren Überblick zu behalten
• Auf Android kann ich Molly installieren, um ganz einfach einen zweiten Signal-Account nutzen zu können (eine zweite Signal-App)
• Ihr könnt eure Telefon-Nummer verstecken. Dann wird sie in (Gruppen-)Chats nicht mehr angezeigt. Allerdings erschwert das die Kontaktaufnahme. Wenn die Polizei es schafft, euer Handy auszulesen, dann kommt sie an euren Signal-Account (eure "Account ID"). Mit der kann sie zu Signal gehen und nach der hinterlegten Telefonnummer fragen (Dokumentation).

Kontakt

Meldet euch gerne bei Fragen oder Anregungen mit einer Mail an it-support@raz-ev.org (gerne auch PGP verschlüsselt).

Links

• Verschlüsselung:
  • Allgemeines zum Thema Verschlüsselung
  • Windows verschlüsseln mit Bitlocker
  • Windows verschlüsseln mit Veracrypt
  • Externe Festplatte/USB-Stick verschlüsseln
  • Android verschlüsseln
  • MacOS verschlüsseln
  • PGP-Verschlüsselung einrichten
• Signal:
  • Signal sicher benutzen
  • Signal auf dem Laptop nutzen
  • Mehrere Signal-Accounts auf dem Handy nutzen
• Generelles:
  • Auf eine Hausdurchsuchung vorbereiten
  • Bitwarden Passwort-Manager
  • Nextcloud
• externe Ressourcen
  • Vortrag (mit LG-Bezug): Staatliche Überwachung: Erfahrungen und Beispiele aus der Praxis  
  • Checkliste mit konkreten Vorschlägen zur Verbesserung deiner Smartphone-Sicherheit
  • Webseite von esc-it (Kollektiv, das IT-Sicherheitstrainings für Aktivist*innen gibt)
  • IT-Sicherheitstrainings für Aktivisti