Digitale Tools (IT-Wissen)
Dieses ist das IT-Wiki, das hier auf der Plattform von allen bearbeitet werden kann.
Das Ziel ist Digitale Tools für Aktivist:Innen vorzustellen und die Nutzung möglichst niedrigschwellig zu machen :)
- Nextcloud
- Matrix (Element) - Messenger
- Signal - Messenger
- Überblick (Vor-/Nachteile, Fazit und Tricks)
- Warum Signal benutzen?
- Signal sicher verwenden
- Referenzen
- Verschwindende Nachrichten (Funktionsweise)
- CryptPad
- Konferenztools
- eSIM
- Sichere Passwörter/Muster
- Passwortmanager
- VeraCrypt Container erstellen
- USB-Stick verschlüsseln (Linux)
Nextcloud
Was ist Nextcloud?
- Synchronisations-Client
- Cloud Storage
- Plattform für Online Zusammenarbeit
- Organisations- & Produktivitätstool
- Backup Tool
Nextclouds Ziel
Nextcloud strebt danach, eine Freie und Open Source Alternative zu Google Drive/Docs und ähnlichen Cloud-Diensten zu sein.
Dokumentation
Nextcloud hat bereits eine ausführliche Dokumentation - Wir versuchen hier vor allem ergänzende Tipps und eine Einführung zu geben.
Anwendungen (Plugins)
Anwendungen (Plugins)
Nextcloud ist ein Plugin-basiertes System. Das bedeutet, dass [viele Anwendungen](https://apps.nextcloud.com/apps) installiert werden können. Welche Anwendungen verfügbar sind, hängt von der Nextcloud-Instanz (Server) ab.
Immer verfügbar
- Dateifreigabe
- WebDav-Synchronisation zwischen allen Geräten
Meist verfügbar
- Kontaktfreigabe & Synchronisation
- Kalenderfreigabe & Synchronisation
- Notizfreigabe & Synchronisation (mit MarkDown Unterstützung)
Manchmal verfügbar
ToDo
Andere coole Apps
ToDo
Server
- cloud.systemli.org (erfordert Einladungscode)
- cloud.infra4future.de
- cloud.livingutopia.org
Dateien & Synchronisation
Dateisynchronisation (WebDav)
Du kannst deine Dateien direkt auf dein Gerät synchronisieren, um sie über eine dedizierte Nextcloud-App auf deinem Handy oder deinen Computer-Datei-Explorer zu erreichen. Auf diese Weise musst du die Weboberfläche deines Webbrowsers nicht mehr verwenden.
Wichtig: Es ist sicherer einen App-Token für jeden Client (jedes Gerät) zu nutzen, als dein Passwort.
Bei Systemli ist das ^ sogar Pflicht. Siehe Anleitung
Android
- Öffnen oder Installieren von F-Droid
- Installiere Nextcloud
- Öffne die App und klicke auf Anmelden
- Gebe die Server-Adresse ein
- Gebe den Kontonamen und das Passwort ein
Bei Verwendung mehrerer Konten:
- Klicke auf das Avatar in der oberen rechten Ecke
- Klicke auf Konto hinzufügen
- Folge den Schritten 4 und 5 oben
iOS
- Lade die Nextcloud App herunter
- ToDO
Linux mit Gnome
Linux-Distributionen, die Gnome verwenden
- Gehe zu Einstellungen - Online-Konten
- Klicke auf Nextcloud und melde dich an
- Wähle aus, was synchronisieren werden soll
Andere Linux-Setups
Windows 10 & höher
MacOS
Kalender
Kalender
In der Kalender-Sektion von Nextcloud können mehrere Kalender erstellt und ihnen individuelle Namen und Farben gegeben werden, aber sie werden alle gleichzeitig in der Kalender-Ansicht angezeigt. Ein Kalender kann einfach ein- und ausgeschaltet werden, indem man darauf klickt.
Teilen von Kalendern
Siehe offizielle Dokumentation.
Kalender-Synchronisation (CalDav)
Die Synchronisierung eines Kalenders mit einer Kalenderanwendung auf einem Gerät ermöglicht die Bearbeitung von dort. subscribe read-only => siehe den Abschnitt zu Kalender-Abonnements.
Android
- Öffne oder Installiere www.f-droid.org
- Installiere DAVx5 und Fossify Calendar
- Öffne DAVx5 und klicken Sie auf das + unten rechts, wählen Sie die zweite Option
- Melde dich mit Server-Adresse, dem Accountnamen und dem Passwort an
- Wechsle zur "CalDav"-Sektion und aktiviere den Kalender
- Öffnen "Simple Calendar Pro"
- Gehe zu Einstellungen - Klicke auf das 3-Punkt-Menü in der oberen rechten Ecke
- Suche nach "Manage synced Calendars" und aktivieren die Kalender
Ein Widget von Fossify Calendar kann dem Startbildschirm hinzugefügt werden, um Termine direkt vom Startbildschirm aus lesen und darauf zugreifen zu können:
- Drücke lange auf den Startbildschirm.
- Tippe auf "Add Widget".
- Wähle "Kalender" aus.
- Wähle ein Layout aus.
Linux mit Gnome
Kurz (siehe ausführliche Anweisungen
- Gehen zu Einstellungen - Online-Konten
- Klicke auf Nextcloud und melde dich an
- Wählen aus, was synchronisieren werden soll
MacOS
[Siehe offizielle Dokumentation](https://docs.nextcloud.com/server/21/user_manual/de/pim/sync_osx.html)Windows 10 & höher
plattformunabhängig mit Thunderbird
Thunderbird ermöglicht das Lesen und Bearbeiten von Kalendern über
- Neuen Kalender erstellen: "New Account" -> "Calendar" oder Rechtsklick im Kalenderansichtsbereich.
- "On The Network" auswählen und CalDAV-Link eingeben (aus Nextcloud exportiert)
Andere Linux-Setups
Kalender abonnieren
Das Abonnieren eines Kalenders ermöglicht die Synchronisierung im Nur-Lese-Modus. Die Synchronisierung eines Nextcloud-Kalenders mit einem Weokalender oder das Abonnieren eigener Kalender sind Beispiele für diese Funktion. Wenn eine Bearbeitung der Kalender direkt auf Geräten gewünscht ist: siehe die CalDav-Sektion oben.
Abonnieren Sie Ihren Nextcloud an einen Kalender
Siehe offizielle Dokumentation.
Abonnieren Sie einen Kalender auf Ihrem Gerät
Android
- Öffne oder Installiere www.f-droid.org
- Installiere ICSx5 und Fossify Calendar
- Öffne ICSx5 und klicken auf das + unten rechts
- Füge die Abonnement-URL ein, die erhälst du, indem du mit der rechten Maustaste auf das Menü des Nextcloud-Kalenders klickst - sie endet auf
/?export
- Öffne "Simple Calendar Pro"
- Gehe zu Einstellungen - Klicken auf das 3-Punkt-Menü in der oberen rechten Ecke
- Suchen nach "Verwaltung der synchronisierten Kalender" und aktiviere die Kalender
Linux mit Gnome
*Getestet auf Gnome Version 42.5*
- [Liste der Linux-Distributionen, die Gnome verwenden](https://www.gnome.org/getting-gnome/) =>- Öffne die Kalender-App
- Klicke auf die Schaltfläche neben dem Menü und klicken Sie auf "Kalender verwalten"
- Klicke auf "Neuen Kalender hinzufügen" unten
- Füge die Abonnement-URL ein, die erhälst du, indem du mit der rechten Maustaste auf das Menü des Nextcloud-Kalenders klickst - sie endet auf
/?export
- Klicken auf den Kalender, der hinzugefügt wurde (er ist nach der ID benannt)
- Ändere den Namen und die Farbe des Kalenders
Apple (MacOS & iOS)
Windows (über Outlook)
Andere Linux-Systeme
Es gibt auf anderen Linux-Systemen keinen gemeinsamen Standart für installierte Kalender-Anwendungen. Suche nach der WebCal-Abonnement-Funktion. einige Apps
Kalender in Websites einbetten
via IFrame
Wenn Kalender auf einer Website einbettet sind, wird dieselbe Ansicht angezeigt wie bei Freigabe des Kalenders. In der Theorie ist es einfach, den "iFrame"-Code, an die gewünschte Stelle auf der Website einzufügen. Du kannst dafür jedoch auch ein Plugin verwenden.
Alternativ via ICS-Plugin (WordPress)
Es können mehrere Kalender gleichzeitig eingebettet werden, indem alle IDs in die Quelle einfügt werden. So kann auch die Ansicht geändert werden. Siehe die offizielle Dokumentation
Matrix (Element) - Messenger
Was ist Matrix und warum nutzen wir es?
Matrix
Matrix ist ein dezentrales, föderiertes Kommunikationsprotokoll. Damit ist es im Prinzip wie E-Mail, nur moderner und mit viel mehr Möglichkeiten.
- Dezentral: Jedes kann einen eigenen Server betreiben. Es gibt also keine zentrale Organisation, die alle Server kontrolliert.
- Föderiert: Die Server können miteinander kommunizieren. Menschen müssen also nicht alle auf den selben Servern angemeldet sein, um miteinander kommunizieren zu können.
Stark gegen Zensur: Der dezentrale Aufbau ist besonders dann von Vorteil, wenn Dienste in Ausnahmezuständen von Regierungen blockiert werden sollen.
Was kann Matrix?
Matrix bietet Möglichkeiten eure Kommunikation auf einer Plattform zu bündeln und dadurch eure Zusammenarbeit zu optimieren.
- private Ende-zu-Ende verschlüsselte Räume
- öffentliche Räume (unverschlüsselt, kann nachträglich aktiviert werden)
- Text, Links, Bilder, Videos, Sprachnachrichten, Umfragen
- Formatierung mit Markdown (Wie diese Anleitung) => Tutorial, Cheat-Sheet
- verschlüsselte Sprach- und Videokonferenzen
- Spaces als Ordner für Räume, damit ihr Arbeitsgruppen bilden könnt
- Andere Programme, Messenger und Webseiten einbinden wie z.B. Pads, Telegram, Signal, Blog-Feeds oder E-Mail-Newsletter.
Was kann Matrix (noch) nicht?
- Metadaten (Zeitpunkte, Kommunikationspartner*innen...) verschleiern
- Verschwindende Nachrichten, die sich selbst löschen
- Große Dateien > 100MB versenden
Alternativen:
Metadaten verschleiern | Verschwindende Nachrichten | Große Dateien senden |
---|---|---|
cwtch.im | signal.org | kiki.lecomitedeschats.com |
jami.net | bin.disroot.org | upload.disroot.org |
simplex.chat | paste.systemli.org | onionshare.org |
briarproject.org | pb.envs.net | file.io |
Datenschutz-Hinweis
Die Ende-zu-Ende-Verschlüsselung verhindert zwar, dass ohne Zugriff auf ein Endgerät Überwachende eure Nachrichten lesen können, es ist aber - wie bei fast allen anderen Online-Aktivitäten auch - trotzdem möglich zu überwachen welcher Account mit wem wann kommuniziert hat (siehe Metadaten). Ihr könnt eure IP-Adresse verschleiern, indem ihr ein VPN oder Tor benutzt, dann lassen eure Metadaten weniger Rückschlüsse auf eure Identität zu. Bei manchen Servern (z.B. Systemli, Hackliberty) ist dies nicht notwendig, weil die IP-Adresse nicht gespeichert wird.
Beispielraum All Cats Are Beautiful: @Alice:matrix.org -- @Bob:systemli.org -- @Carol:systemausfall.org => Der Chatverlauf liegt hier auf allen drei Servern (verschlüsselt), sowie auf allen Endgeräten von Alice, Bob und Carol, die eingeloggt sind (verschlüsselt, zusammen mit den Schlüsseln). Eure Endgeräte sind also der beste Angriffspunkt um eure Nachrichten zu lesen.
Der Matrix beitreten
Zusammenfassung von Oben
Matrix ist wie E-Mail in modern. Ein gutes Tool um damit unverschlüsselte E-Mail-Listen oder Telegramgruppen zu ersetzen, da es mehr Verschlüsselung und Datenschutz bietet. Es ist einfacher einen Matrix-Raum zu erstellen als eine E-Mail-Liste. Es braucht keine Telefonnummern und kein Smartphone und ihr habt freie Server-Wahl.
Um Metadaten zu verschleiern und für verschwindende Nachrichten würde ich Signal oder andere Alternativen empfehlen, weil es schwer ist Chats aus Matrix komplett zu löschen - der beste Weg ist, wenn alle aus einem Raum rausgehen und ihn vergessen, weil dann niemand mehr Zugriff auf die verschlüsselten Nachrichten hat. Irgendwann löschen die Server sie dann automatisch.
1. Einen Server auswählen
Um dich zu registrieren, musst du einen von mittlerweile über 40.000 "Homeservern" (siehe Glossar) auswählen. Dieser ist vergleichbar mit deinem Email-Anbieter.
Empfehlungen:
- systemausfall.org (Nachrichten werden nach 1 Jahr gelöscht)
- fairydust.space
- gemeinsam.jetzt
- tchncs.de
- envs.net
- digitalprivacy.diy
- systemli.org (Du brauchst einen Einladungscode, Nachrichten werden nach 30 Tagen gelöscht).
- Weitere Server: https://servers.joinmatrix.org/
- einen eigenen Server hosten
2. Verschlüsselung einrichten
Das Verschlüsselungssystem von Matrix basiert auf Cross-Signing. Das heißt, jedes Mal, wenn du dich einloggst, musst du mit einem anderen Gerät oder einem Passwort verifizieren, dass du auch wirklich du bist. Erst dann hast du Zugriff auf verschlüsselte Nachrichten. Das ist ähnlich wie PGP-Verschlüsselung, nur leichter zu benutzen.
Damit Verschlüsselung immer in allen Sitzungen (siehe Glossar) funktioniert, solltest du ein per Passwort verschlüsseltes Backup auf deinem Homeserver einrichten.
1. Klicke auf: Profilbild > Einstellungen > Sicherheit > Sicheres Backup
2. Alles abspeichern: Den angezeigten Schlüssel und das eingegebene Passwort kopieren und in einem Passwort-Manager abspeichern - Empfehlung: KeepassXC, KeepassDX (Android), Keepassium (iOS).
Bei Verlust kannst du alte verschlüsselte Nachrichten nicht mehr lesen, weil deine Schlüssel fehlen (neue aber schon)! Zudem können andere sehen, dass du dich nicht verifiziert hast, und werden dir gegebenenfalls nicht mehr Vertrauen. Unter Verschlüsselung steht, was du in so einem Fall tun kannst, um deinen Account zu retten.
3. Client Installieren
Clients (siehe Glossar) werden wie E-Mail-Clients unabhängig vom Chat-Protokoll entwickelt und unterstützen deshalb nicht alle die selben Features.
Empfehlungen
- Element: Empfehlung, wenn du mit deiner Gruppe auf Matrix wechselst und alle Features nutzen möchtest. Kein Multi-User-Support. => hat eine gute Bedienungsanleitung
Ich empfehle anfangs Element auszuprobieren, um einen Überblick zu bekommen was alles möglich ist. Andere Clients sind Datenschutzfreundlicher haben aber keine Integrationen.
Alternativen
- FluffyChat:
Empfehlung, wenn du vor allem mit deinen Freund*innen chatten und/oder mehrere Accounts gleichzeitig nutzen möchtest. Hat eine Oberfläche, die an Signal erinnert. - Cinny: Empfehlung wenn du einen Client möchtest, der wie Slack, RocketChat oder Mattermost aussieht. Nur für Desktop verfügbar. Keine Sprach-Anrufe.
Liste mit weiteren Clients & Feature-Übersicht. Wähle mit Bedacht, die Sicherheit deiner Kommunikationspartner*innen und deine Möglichkeiten hängen davon ab.
4. Kontakt aufnehmen
Per Matrix-ID:
Nun kannst du deine Matrix-ID (siehe Glossar) teilen und warten bis du eingeladen wirst. @username:homeserver.tld
Per Einladungslink (matrix.to): Dein persönlicher Einladungslink ist https://matrix.to/#/ gefolgt von deiner Matrix-ID:
https://matrix.to/#/@username:homeserver.tld
Navigation & Tipps und Tricks
Du hast es geschafft? Glückwunsch! 🎉 Falls du nach dem Lesen immernoch Probleme hast, oder du Hilfe für deine Gruppe möchtest - egal ob Bridges oder komplexere Spaces einrichten, schreib mir gerne eine Mail 🤗 Auch Feedback, Änderungsvorschläge und Übersetzungen gerne per Mail an helpmewithmatrix@riseup.net (PGP-Key)
Weiter mit einer kurzen Einführung
Räume
Alle Chats, egal wie öffentlich - egal ob Kanal oder Gruppe, sind in Matrix Räume. Alle Räume können entweder verschlüsselt oder unverschlüsselt genutzt werden. Für Private Räume und Direktnachrichten ist die Verschlüsselung standardmäßig aktiviert. Bei öffentlichen Räumen kannst du die Verschlüsselung nachträglich aktivieren - bedenke aber, dass der Chatverlauf dann nicht sichtbar ist wenn Menschen beitreten.
Private Räume
Direktnachrichten (in manchen Clients so genannt): Das sind Chats zwischen zwei Accounts - sie können jederzeit um weitere Accounts erweitert werden, und werden dann automatisch zu privaten Räumen.
Private Räume: Der Standard, wenn du einen Raum erstellst. Alle müssen manuell eingeladen werden, du kannst einen Raumnamen und -Thema festlegen und viele Einstellungen vornehmen.
Öffentliche Räume
"Space-Räume"
Diese Räume sind für alle in einem Space sichtbar. Dies geht sowohl für öffentliche, als auch vormals private Räume. Zuerst musst du die Räume einem Space hinzufügen, das machst du über das jeweilige Space-Menü. Dann stellst du in jedem Raum den Raumzugang über die Einstellungen auf "für den Space sichtbar". Einfacher ist es erst den Space zu erstellen, und dann direkt im Space solche Räume zu erstellen.
Versteckte Räume mit Einladungslink:
Diese Räume haben nur einen menschlich nicht lesbaren Einladungslink, die !raum-id
wirkt dabei wie ein Passwort: https://matrix.to/#/!raum-id:homeserver.domain
Du erstellst so einen Raum, indem du einen privaten Raum erstellst, und ihn danach auf Öffentlich umstellst. Das hat zudem den Vorteil, dass er dann verschlüsselt ist und somit einer Signal-Gruppe mit Link ähnelt. Den Einladungs-Link erhältst du wenn du in der Raumbeschreibung rechts oben auf das Teilen-Symbol gehst (Element/Smartphone). Beachte: Dieser Raum ist in Spaces auch allen im Space zugänglich!
Lokal öffentlich zugängliche Räume:
Diese Räume haben einen menschlich lesbaren Alias als Einladungs-Link, der sie über das Raumverzeichnis auf dem eigenen Homeserver sichtbar macht, worüber sie gefunden werden können: https://matrix.to/#/#raumname:homeserver.domain
Der Raum kann von anderen Homeservern aus betreten werden, wenn Menschen den genauen Link kennen. In diesem Fall fungiert also der #raumname
als (meist schwaches) Passwort. Beachte: So einen Raum zu erstellen, bedeutet, dass er allen Menschen auf dem Server einfach zugänglich ist. Ein Raum kann auf mehreren Servern so eingestellt sein. Dafür brauchst du Accounts auf jedem der Server.
Global (wirklich komplett öffentlich):
Diese Räume haben einen Alias, der im öffentlichen Raumverzeichnis von matrix.org veröffentlicht ist. Dort kann der Raum von allen Homeservern aus eingesehen werden, und über Suchmaschinen (also auch im Browser) gefunden werden. Du erstellst so einen Raum, in dem du den Haken bei "im Raumverzeichnis veröffentlichen" setzt.
Kanäle (nur bestimmte Menschen können senden): Hierfür stelle in den Einstellungen unter Raum-Berechtigungen die Berechtigung zum Nachrichten senden auf "Admin", und befördere alle die senden dürfen sollen.
Kanäle in Matrix haben einen entscheidenden Datenschutz-Mangel: Alle können sehen wer wann was gelesen hat und wer im Kanal ist, und es gibt keine Möglichkeit anonym zu posten, außer mit Extra dafür registriertem Account. Ich würde stattdessen Telegram empfehlen, evtl. mit Bridge in einen versteckt öffentlichen Raum in eurem Space.
Spaces
Spaces können benutzt werden um Räume besser zu organisieren. Alle im Space können alle Räume sehen, die dafür zugänglich sind und frei ein- und austreten - wie Räume in einem Seminarhaus. Spaces können so eine Community oder eine Gruppe abbilden, in der alle Menschen sind die dazu gehören, um sich in Arbeitsgruppen oder themenbezogenen Räumen auszutauschen und zu organisieren.
Personal Spaces: Optimiert für dich. Nur du kannst sie sehen.
Private Spaces: Optimiert für Gruppen. Alle müssen eingeladen werden.
Öffentliche Spaces: Optimiert für Communities. Es gibt einen Einladungslink.
Tipp: Wenn ihr mit Spaces anfangt, erstellt einfach einen privaten, fügt darin einen Hauptraum hinzu und dann lasst das ganze organisch wachsen, je nach Bedürfnissen.
Fun Fact gefällig? Spaces sind auch nur eine Abwandlung von Räumen 🤦 Daraus folgt, dass fast alles was auf Räume zutrifft, auch auf Spaces zutrifft :) Deshalb hab ich mich hier kurz gehalten - hier sind noch ein paar Infos.
Räume im Space erkunden
Element auf dem Handy: Klicke auf das Space-Menü (Drei Kacheln + Kreis rechts unten), dann lange auf den Space und dann auf "Räume erkunden (und verwalten)" => das #-Symbol mit der Lupe. Elenent auf dem Laptop: Klicke ganz links mit Rechtsklick auf den Space, dann auf "Räume erkunden und verwalten" => das #-Symbol mit der Lupe.
Verschlüsselung
Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass Nachrichten wirklich nur von denen gelesen werden können, für die sie bestimmt sind. Das setzt vorraus, dass die Schlüssel nur auf den Endgeräten vorhanden sind. So weit - so gut. Sobald mehrere Endgeräte (Sitzungen) ins Spiel kommen, wirds tricky, denn dann müssen Schlüssel von einem Gerät aufs andere übertragen werden. Ein Schlüssel-Backup hilft dir dabei.
Zum Einrichten und Verstehen (mit Screenshots):
-
https://samuels-blog.de/sichere-chats-mit-matrix-matrix-teil-2/#cross-signing
-
https://doc.matrix.tu-dresden.de/encryption/
-
https://matrix-help.envs.net/first-steps/#convenient_use_of_end-to-end_encryption_e2ee
Hilfe! Ich habe das Passwort für das Schlüssel-Backup verloren und mein Handy ist kaputt gegangen, jetzt komm ich nicht mehr an meine Nachrichten und alle denken ich wurde gehackt - weil ich natürlich nicht den Passwort-Manager benutzt habe! 😖
Schritte um dich zu verifizieren:
- Klicke auf: Profilbild > Einstellungen > Sicherheit > Sitzungen (evtl. musst du suchen)
- Melde deine alten Sitzungen ab, indem du dein Login-Passwort eingibst.
- Richte das Schlüssel-Backup neu ein (siehe auch Anleitungen oben).
Sprach- und Videoanrufe
Das Matrix-Protokoll ermöglicht Sprach- und Videoanrufe, die je nach Unterstützung von Server und Client unverschlüsselt oder verschlüsselt sein können. Es gibt mindestens drei bekannte inkompatible Varianten.
Eine Möglichkeit ist, Jitsi-Widgets einzubinden . Es ist möglich ganze Plena inklusive Call und Pad via Matrix zu halten. ➡️ Anleitung
Integrationen
Für Integrationen wird ein Integrationsmanager benötigt. Von deinem Home-Server wird meist bereits ein Integrationsmanager mitgeliefert, dieser heißt bei matrix.org scalar.vector.im
(Böse). Wenn du auf einem anderen Server bist, heißt dieser meist dimension.homeserver.tld
(Gut). Hier findest du mehr Infos darüber, welche Meta-Daten auf dem Server anfallen wenn du Integrationen nutzt.
Widgets
Ein Widget ist ein Ausschnitt einer App, die in einem anderen Programm angezeigt wird. Ihr kennt das vielleicht vom Startbildschirm eures Handys. In Element könnt ihr zu einem Raum z.B. ein Pad hinzufügen, und dort eure Protokolle ablegen. Es funktioniert gut mit Etherpad (unverschlüsselt) und CryptPad (verschlüsselt, rote Box beachten!). ➡️ Zur Cryptpad-Einführung.
Wie nutze ich Widgets?
1. Aktivieren: Avatar > Einstellungen > Allgemein > "Integrationen verwalten" 2. Laptop (Element): In Räumen rechts oben das kleine ℹ️ > Widgets verwalten. 2. Handy (Element): Rechts oben im Raum auf die drei Punkte klicken > Integrationen verwalten. 3. Custom Widget hinzufügen und Link eures Pads einfügen.
Wenn du Widgets nutzst, ist die URL der eingebundenen Webseite nicht Ende-zu-Ende-verschlüsselt. Bei z.B. Croodle-Umfragen oder Cryptpads wird das Passwort für die Verschlüsselung im Link mitgesendet, was bedeutet das Passwort mit den Admins aller beteiligten Homeserver eines Raumes zu teilen. In CryptPad kannst du ein zusätzliches Passwort festlegen. Dies ist in diesem Fall sinnvoll!
Die Webseite, die als Widget eingebunden wird, kann deine IP-Adresse sehen. Das wäre aber auch der Fall, wenn du die Webseite einfach im Browser aufrufst 🤷.
Bots
Bots sind Programme, die innerhalb eines Matrix-Raumes Nachrichten senden können. Du kannst z.B. Blogposts oder E-Mail-Newsletter/Listen in einen Raum integrieren.
- https://t2bot.io/
- https://hilfe.systemausfall.org/matrix/features/ (Nur für systemausfall.org Accounts)
- https://matrix.org/bots/
Es macht aus Datenschutz-Gründen Sinn, dies in einem Extra-Raum zu tun, weil Bots eure Nachrichten lesen & an den Server übermitteln (auch verschlüsselte).
Bridges
Bridges zu anderen Kommunikations-Protokollen ermöglichen, dass von einem Matrix-Raum aus mit Gruppen und Channels auf Telegram, Signal, Mattermost und vielen weiteren Plattformen kommuniziert werden kann, meist in beide Richtungen.
- https://hilfe.systemausfall.org/matrix/telegram/ (nur für systemausfall.org)
- https://hilfe.systemausfall.org/matrix/signal/ (nur für systemausfall.org)
- https://gitlab.com/etke.cc/postmoogle
- einen Server mieten (inkl. Bridges)
- https://matrix.org/bridges/
Verschwindende Nachrichten auf Telegram oder Signal werden damit hinfällig, weil sie auf Matrix-Server verteilt werden!
Weitere Ressourcen/Links
- Einführung: https://matrix.org/faq/#intro
- Matrix-Wikis:
Glossar
- matrix.org: Die Organisation, die das Projekt leitet und den größten Homeserver bereitstellt, genau wie Gmail den E-Mail-Verkehr dominiert. Dort einen Account zu haben ist nicht notwendig und nicht zu empfehlen.
- Matrix: Das Protokoll, mit dem du kommunizierst. Ähnlich wie E-Mail.
- Homeserver: Dein Matrix-Server. Ähnlich wie dein E-Mail-Anbieter.
-
Matrix-ID: Deine einzigartige Adresse, mit der du gefunden werden kannst.
@username:homeserver.topleveldomain
. Ähnlich wie deine E-Mail-Adresse.
-
Top-Level-Domain (tld):
Der letzte Teil einer Domain, z.B.
.com, .org, .de, .chat, .im
- Client: Eine App um Matrix-Nachrichten zu lesen. Ich empfehle dir einen Client auf dem Handy oder PC zu installieren. Es gibt aber auch Clients, die du aus dem Browser nutzen kannst.
- Sitzung: Jedes mal wenn du dich neu einloggst, erstellst du eine Sitzung. (z.B. Browser + Handy + Laptop)
- Element: Einer von vielen Matrix-Clients. Element ist auf fast allen Betriebssystemen verfügbar und ist der am weitesten entwickelte Client. Vergleichbar mit Thunderbird für E-Mail.
- Element X: Ein anderer von vielen Matrix-Clients. Teilweise inkompatibel mit dem ursprünglichen "Element" Client (z.B. VoIP Funktionen).
- Raum: Das, was in anderen Messengern Channel oder Gruppe heißt.
- Space: Ein Ordner für Räume. Räume können so eingestellt werden, dass alle im Space die Räume sehen und beitreten können. Du kennst das vielleicht von Slack, RocketChat, Mattermost, Discord, etc.
Signal - Messenger
Überblick (Vor-/Nachteile, Fazit und Tricks)
Auf dieser Seite findest du eine Übersicht der Vor- und Nachteile von Signal, sowie ein Fazit für welche Anwendungsfälle es gut geeignet ist und welche Tricks es gibt um häufig auftretende Probleme zu umgehen :)
Vorteile:
- Vergänglichkeit: verschwindende Nachrichten & temporäres Speichern auf Servern
- Daten-Sicherheit: Ende-zu-Ende-Verschlüsselung & Open Source Software
- Zugänglichkeit - klassisches, einfaches Design mit vielen Features
- Bekanntheit - 12% in DE, in sozialen Bewegungen weltweit stark verbreitet
- Stabilität - Funktioniert seit 10 Jahren, steht auf relativ soliden Beinen, Spenden ist gut
- Dokumentation - Eine der besten Dokumentationen für Messenger, die es gibt
- Anonymität - Keine Metadaten-Leaks möglich & Telefonnummer ist nicht für Kontakte sichtbar
Nachteile
- Kollaboration und Teams - Es kann im Chat schnell unübersichtlich werden, weil es kaum Features gibt die über Messaging hinaus gehen. Aber immerhin gibt es jetzt Call-Links für Meetings.
- Widerstandsfähigkeit - zentrale Server, die in manchen Ländern blockiert werden
Fazit:
Signal ist ein guter Allrounder wenn es darum geht sich sicher, unkompliziert und einfach zu verständigen.
Signal ist super für alle Anwendungsfälle, in denen:
- ihr eine Telefonnummer für die Registrierung nutzen könnt
- eure Handys wahrscheinlich nicht in falsche Hände geraten werden
- ihr mit einer einzigen Gruppe auskommt und nicht mehrere Untergruppen benötigt
- ihr euch in einem Land befindet, in dem die Regierung Signal nicht blockiert
Tipps & Tricks
- Signal lässt sich mit jeder beliebigen Telefonnummer nutzen, auch mit Festnetznummern, einmaligen Nummern oder anonymen SIM-Karten
- Es ist möglich zwei Signal-Accounts auf einem Gerät zu haben: Android, Linux
- Wenn Signal blockiert wird, gibt es die Möglicheit einen TLS-Proxy zu nutzen
Warum Signal benutzen?
Signal ist ein Messenger mit Fokus auf Sicherheit und Datenschutz. Signal ist einfach zu installieren und leicht zu verwenden, da es sehr ähnlich wie weit verbreitete Messenger (Whatsapp, Telegram) funktioniert. Hinter Signal steht eine gemeinnützige Firma (Sitz Kalifornien) ohne Profitinteresse.
Anrufe & SMS sind unsicher
Rechtliche Situation in Deutschland
Mit richterlichem Beschluss bekommt die Polizei sehr leicht Zugriff auf alle SMS-Inhalte sowie Telefon-Metadaten (wer wann mit wem telefoniert hat). Das passiert über den Provider und ihr könnt es nicht bemerken. Schlechter Empfang oder komische Geräusche sind kein Zeichen von Überwachung. Falls ein Beschluss zur Überwachung eurer Telefonate vorliegt, wird fast immer die normale Telekommunikationsüberwachung (TKÜ) eingesetzt. Das bedeutet, dass Ende-zu-Ende-verschlüsselnde Messenger-Apps einschließlich Signal weiterhin sicher sind, solange keine Quellen-TKÜ eingesetzt wird (sehr selten). Auch auf das Mikro und die Kamera vom Handy hat die Polizei nur bei Quellen-TKÜ Zugriff, nicht bei normaler TKÜ.
Signal Installieren
- Installiere die Signal App aus dem Appstore/Playstore.
Falls du ein Android Handy ohne Playstore verwendest, kannst du auch direkt die APK herunterladen. - Zur Registrierung benötigst du eine Telefonnummer
Signal sicher verwenden
Signal ist an sich bereits deutlich sicherer als andere Messenger. Allerdings gibt es noch einige Dinge die du bei der Verwendung beachten solltest.
Signal-Username verwenden
Um nicht deine Telefonnummer preisgeben zu müssen, kannst du bei Signal einen Usernamen einrichten:
Android: 3-Punkt-Icon -> Einstellungen -> Aufs Profilbild klicken -> @Nutzername
IOS: Profil-Icon -> Einstellungen -> Aufs Profilbild klicken -> @Nutzername
Zum teilen kannst du entweder das Kürzel (@abcd.1234), den Link oder den QR Code verwenden
Du kannst den Usernamen jederzeit wieder löschen und einen neuen Vergeben.
Pin und Registrierungssperre
Es ist wichtig, dass du in Signal eine PIN einrichtest. Diese schützt vor unberechtigter Neuregistrierung. Dein Netz-Provider muss auf richterlichen Beschluss hin SMS an die Polizei umleiten. Ohne PIN kann die Polizei Signal mitlesen - aber das merkst du, weil du dann selbst aus Signal rausfällst: es kann nur ein Handy bei Signal registriert sein.
Android: 3-Punkt-Icon -> Einstellungen -> Konto -> Registrierungssperre
IOS: Profil-Icon -> Einstellungen -> Konto -> Registrierungssperre
Verschwindene Nachrichten
Falls dein Handy doch mal im entsperrten Zustand in die falschen Hände gerät, kannst du den Schaden eingrenzen, in dem du die die Chat-Historie auf ein paar Tage/Wochen gegrenzt.
Android: 3-Punkt-Icon -> Einstellungen -> Datenschutz -> Standardablaufzeit für Chats
IOS: Profil-Icon -> Einstellungen -> Datenschutz -> Standardablaufzeit für Chat
Gruppen einrichten
Gruppen Links
Über Einladungs Links wird die Gruppenbeschreibung geteilt. Wenn der Link in die falschen Hände gerät, werden auch alle Informationen aus der Beschreibung preisgegeben!
Proxy verwenden, Snowflake
Referenzen
https://ssd.eff.org/module/how-to-use-signal
https://wiki.letztegeneration.org/de/oeffentlich/AGs/IT-Hilfe/Signal/Signal-sicher-benutzen
https://activisthandbook.org/tools/chat-apps/signal
https://www.kicksecure.com/wiki/Signal
Verschwindende Nachrichten (Funktionsweise)
Verschwindende Nachrichten in Signal funktionieren so:
- Die Nachricht wird an den Server übermittelt (wenn sendendes Gerät Online ist)
- Der Server speichert die Nachricht so lange verschlüsselt zwischen, bis er sie an mind. 1 Gerät aller Accounts in dem Chat geschickt hat. Dafür muss jeder Account mal kurz online sein mit einem Gerät. Dies führt dazu, dass die Nachricht auch nach Monaten noch zugestellt werden kann, wenn der Account so lange offline war.
- Das Gerät 1 der Accounts in der Gruppe, das die Nachricht als erstes empfängt speichert die Nachricht so lange (verschlüsselt im Speicher & entschlüsselt wenn die App offen ist) bis sie gelesen wurde + die Zeit die eingestellt wurde.
- Andere Geräte der Accounts synchronisieren die Nachrichten von dem Gerät 1 auf dem sie empfangen wurden - nach X Zeit geht das aber nicht mehr, weil die Nachricht ja auf Gerät 1 garnicht mehr existiert (Also das keine Angriffsfläche).
Verschwindende Nachrichten verhindern nicht, dass Menschen Screenshots machen können (auch nach X Zeit nach absenden) - es verhindert nur, dass Nachrichten gelesen können werden, wenn bspw. ein Handy in deren Finger gerät und die Nachricht von diesem Account bereits vor länger als X Zeit gelesen wurde. Wenn sie jedoch nicht gelesen wurde, ist die Nachricht auch nicht sicher gelöscht.
Alternativen
Mit paste.systemli.org/ würde mensch aber erreichen, dass der Inhalt in jedem Fall nach X Zeit nach abschicken gelöscht wird. Es gibt dort auch die Möglichkeit Kommentare zu erlauben. Zudem steht dort kein Signal-Name dabei wenn die Nachricht gescreenshottet wird. Das Tool basiert auf privatebin.info und wird von vielen linken Tech-Kollektiven gehostet.
CryptPad
CryptPad ist eine sichere, einfache Kollaborationsplattform.
- Sicher: CryptPad ist Ende zu Ende verschlüsselt. Das bedeutet, dass Dokumente, Chats und Dateien außerhalb der Sitzung, in der du angemeldet bist, nicht lesbar sind, es sei denn du teilst sie mit Menschen.
- Einfach: CryptPad benutzt weithin bekannte Dateitypen und ist insgesamt recht minimalistisch aufgebaut. Es gibt nicht unzählige Features, in die du dich erst einarbeiten musst.
CryptPad ist eine Spendenbasierte, freie, quelloffene Software. Wie du das Projekt unterstützen kannst findest du hier.
Warum CryptPad?
CryptPad ist eine sichere, einfache Kollaborationsplattform.
-
Sicher: CryptPad ist Ende zu Ende verschlüsselt. Das bedeutet, dass Dokumente, Chats und Dateien außerhalb der Sitzung, in der du angemeldet bist, nicht lesbar sind, es sei denn du teilst sie mit Menschen.
-
Einfach: CryptPad benutzt weithin bekannte Dateitypen und ist insgesamt recht minimalistisch aufgebaut. Es gibt nicht unzählige Features, in die du dich erst einarbeiten musst.
Was kann CryptPad?
Gemeinsame Arbeit in Teams an:
- Rich Text (Zum Brainstormen)
- Tabellen (Für strukturierte Daten)
- KanBan (Für To-Do-Listen)
- Code (Für formatierten Text, z.B. MarkDown) => Markdown-Tutorial
- Formular (Für Umfragen & Terminfindung)
- Whiteboard (Zum Zeichnen)
- Markdown-Folien (Für Präsentationen.) => Cheat-Sheet, Tutorial
- Kalendern
Was kann CryptPad (noch) nicht?
- Präsentationen (bald verfügbar) (Alternative => Markdown-Folien)
- Worddokumente (bald verfügbar) (Alternative => Rich Text)
- Videokonferenzen (Alternative => Jitsi)
- Strukturierten Team Chat (Alternative => Matrix)
- Viel Speicherplatz bieten (Alternative => Nextcloud)
- Angenehm auf Smartphones nutzbar (Alternative => Editor webxdcs in Delta Chat)
Cryptpad beitreten
Einen Acccount anlegen
CryptPad ist eine quelloffene Server-Software und kann auch auf einem eigenen Server betrieben werden. Einen Account auf cryptpad.fr kannst du hier anlegen.
Die folgenden Punkte findest du in deinem Benutzer*innenmenü (Avatar oben rechts)
Profile
Dein Profil kannst du mit anderen teilen, damit diese dir eine Kontaktanfrage senden können. Wenn du auf das Profil von anderen Menschen gehst, kannst du diese als Kontakt hinzufügen.
Kontakte
Mit Kontakten auf CryptPad ist die Zusammenarbeit sicherer und einfacher. Du kannst Dateien mit ihnen teilen oder sie in deine Teams einladen.
Teams
Als Team kannst du mit deiner Arbeitsgruppe zusammenarbeiten, ohne ständig Links durch die Gegend schicken zu müssen. Als Team habt ihr eine eigene CryptDrive und könnt Kalender miteinander teilen. Alle Mitglied*innen haben über ihr Benutzer*innenmenü Zugriff darauf. Beachte: Wenn du in einem Team arbeitest und eine neue Datei oder einen neuen Ordner erstellst, musst du diese noch explizit mit dem Team teilen, sonst sind sie nur für dich verfügbar!
Einstellungen
Die Standard-Einstellungen sind super, so wie sie sind. Solltest du trotzdem etwas ändern wollen, findest du hier Infos.
Crypt-Drive nutzen (Cloud Storage)
Deine Crypt-Drive ist deine persönliche Cloud. Hier werden alle Dateien die du erstellt oder gespeichert hast in Listen- oder Kachelform angezeigt.
Mit mir geteilte Dateien hinzufügen
- Manuell hinzufügen: > Die Datei öffnen > Datei (oben links) > In CryptDrive speichern.
- Automatisch hinzufügen: > Benutzermenü (Avatar oben rechts) > Einstellungen > Vertraulichkeit > Speichern von Pads in CryptDrive > Automatisch
Aktionen
Du kannst Dateien:
- Erstellen
- Öffnen
- Eine Kopie erstellen
- Herunterladen
- In Ordnern strukturieren
- Mit Tags in Kategorien stecken
- Teilen
- Zugriff beschränken
- Umbenennen (Nur Für Dich)
- In den Papierkorb verschieben (Nur Für Dich)
- Zerstören (Für Alle)
Dateien teilen
Bevor du eine Datei teilst, solltest du den Zugriff darauf beschränken. Hierfür hast du zwei Möglichkeiten:
- per Zugriffsliste (nur bestimmte Accounts)
- per Passwort
Nun kannst du die Datei teilen - dafür hast du folgende Möglichkeiten:
Dateien löschen
Es gibt in CryptPad zwei verschiedene Arten eine Datei zu löschen:
- In den Papierkorb verschieben: Dies löscht die Datei nur aus deiner persönlichen CryptDrive. User mit denen du die Datei geteilt hast, können weiterhin darauf zugreifen.
- Zerstören: Dies löscht die Datei vom gesamten Server, die Daten sind dann nur noch unterwegs, wenn Menschen diese aus der Datei extrahiert haben.
Medien
Es ist auch möglich jede beliebige andere Datei (Foto, Video, PDF, etc.) in deine CryptDrive hochzuladen und zu teilen. Beachte aber, dass der Speicherplatz aktuell auf 1 GB pro User/Team begrenzt ist. Als Alternativen bieten sich an:
- Lufi (temporär, Link zum Teilen)
- Mega (dauerhaft, Single-User)
- Nextcloud (dauerhaft, Multi-User)
- PeerTube (dauerhaft, öffentlich, nur Videos)
- MediaCMS (dauerhaft, öffentlich/privat, self-hosted)
- CrabGrass (dauerhaft, Multi-User, Kollaboration
Konferenztools
Hier findest du eine Einordnung von Konferenztools mit ihren Vor- und Nachteilen.
Jitsi Meet
Jitsi Meet ist eine WebRTC-basierende Software für Videokonferenzen.
Vorteile
- solide Ende-zu-Ende-Verschlüsselung für Metadaten, Audio & Video
- Android und iOS-Clients => angenehm vom Handy aus benutzbar
- Screen-Sharing & Videotelefonie
- Streaming to Youtube (Live)
- gemeinsam Youtube-Videos anschauen
- Telefoneinwahl (per Telefonnummer)
- Räume sind in Sekunden erstellt (einfach nur ein Link)
- Passwort für Räume und Lobby möglich
- Sehr sehr simpel zu benutzen, auch spontan
Nachteile
- Oft Probleme mit Bandbreite, besonders bei vielen Leuten im Raum
- etwas schwerer selbst zu hosten als Mumble
Empfehlung
Ich empfehle Jitsi für spontane, unregelmäßige Treffen mit wenigen Leuten in denen Videoübertragung zwar gewünscht ist, aber nicht zwingend notwendig ist. Es ist auch gut geeignet um regelmäßige Plena mit abzuhalten, da es sehr barrierearm benutzbar ist, sowohl mit dem Handy als auch mit dem Laptop. Ein eigener Server ist in der Regel nicht nötig und bietet wenig Vorteile.
Anleitungen
Serverliste
- meet.systemli.org
- https://meet.in-berlin.de/
- https://calls.disroot.org/
- https://vc.autistici.org/
- jitsi.random-redirect.de/
BigBlueButton
Vorteile
- Viele Moderationstools für Vorträge, Konferenzen und Unterricht
- Breakout-Rooms (kleinere Unterräume)
- Passwort für Räume und Lobby möglich
- Relativ Simpel zu benutzen, auch spontan
- Räume sind relativ schnell erstellt
- gemeinsam Youtube-Videos anschauen
- Telefoneinwahl (per Telefonnummer)
- gut für viele Teilnehmende geeignet (200+)
- Multi-User-Whiteboard
Nachteile
- Nicht besonders barrierefrei, v.a. für die Benutzung mit dem Handy
- Nicht so leicht selbst zu hosten
- Nicht Ende-zu-Ende-verschlüsselt (Server-Admins und Angreifende können theoretisch mithören und aufzeichnen)
- Videoübertragung mit vielen Leuten funktioniert eher schlecht (wie bei anderen Tools auch)
Empfehlung
Ich empfehle BigBlueButton für Vorträge, Workshops und allgemein größere Meetings zu denen bspw. öffentlich eingeladen wird. Es ist auch für Plena geeignet, allerdings ist es vom Handy aus nur sehr nervig zu benutzen, weshalb ich hier eher Jitsi oder Mumble wählen würde. Ein eigener Server ist in der Regel nicht nötig und bietet wenig Vorteile.
Anleitungen
Serverliste
BigBlueButton mit Torbrowser, Tails oder whonix
(gilt auch für andere WebRTC basierenden Anwendungen)
Die Installation eines andern Browsers, wie firefox-esr, umgeht einen Großteil der Anonymisierungstechniken von Tails. Für den Betreiber einer BigBlueButton-Instanz, sind Nutzer dann eindeutig zuordenbar. Dieser Workaround sollte daher nur in Erwägung gezogen werden, wenn keine besseren Alternativen vorhanden sind.
1. Installieren von firefox-esr (oder via GUI z.B. Synaptic)
sudo apt-get update && sudo apt-get install firefox-esr
2. Konfigurieren von firefox-esr
Bei Tails und Whonix ist standardmäßig der Internetzugriff für zusätzliche Software deaktiviert. Um dies zu beheben, muss manuell ein SOCKS-Proxy in den Firefox-ESR-Einstellungen konfiguriert werden (unter "Network Settings" ganz unten in about:preferences#general) mit folgenden Angaben: SOCKS-Host: 127.0.0.1 und Port: 9050.
Eine weitere Option ist die Verwendung von BigBlueButton mit firefox in Whonix, die möglicherweise robuster gegen IP-Leaks, aber dennoch nicht vollständig anonym ist. Die beste Lösung für den Erhalt der Anonymität ist die Nutzung von Nicht-WebRTC-Protokollen oder der Verzicht auf Echtzeitkommunikation.
Zoom
Vor- und Nachteile
Be a cool kid - don't use Zoom!
- leitet Daten an Facebook und viele andere Firmen weiter
- ist zentralisiert, nicht Open Source und teilweise kostenpflichtig
- kann nicht ohne Zoom-Client benutzt werden, der sehr viele Rechte und Ressourcen braucht
- ...
Empfehlung
Zoom ist wirklich nicht zu empfehlen, es gibt eigentlich keine Gründe es zu nutzen anstatt eines der anderen Tools. Das was Zoom von der Idee her am nächsten kommt ist Big Blue Button.
Wenn du mehr wissen willst, lies dir gerne diese Blog-Artikel durch:
- https://www.kuketz-blog.de/zoom-uebermittelt-personenbezogene-daten-an-drittanbieter/
- https://www.kuketz-blog.de/zoom-analyse-des-datensendeverhaltens-der-android-app/
Weitere Alternativen
Diese Tools hab ich mir nicht näher angeschaut, weil sie nicht besonders verbreitet sind.
- https://galene.org/
- http://opentalk.eu/
eSIM
Anonym unterwegs mit eSIM-Karten
Menschen haben das Bedürfnis anonym zu sein. Sei es im Alltag, Demos oder während Aktionen. Mit dem Smartphone in der Tasche ist das schwer bis unmöglich. Dieser Text soll beschreiben, wie uns eine eSIM dabei helfen kann.
SIM-Karten und Anonymität – Was ist das Problem?
Ich empfehle dazu einen Netzpolitik-Artikel vom 06.07.2023 über die Bestandsdatenauskunft 2022. Ich zitiere ein paar einzelne Sätze daraus:
Seit 2017 müssen auch Prepaid-SIM-Karten mit einem amtlichen Ausweisdokument registriert werden. Staatliche Stellen wie Polizei, Geheimdienste und Zoll haben im vergangenen Jahr rund 22,7 Millionen Mal bei Telefonanbietern angefragt, wer eine bestimmte Telefonnummer registriert hat – im Schnitt ist das eine Anfrage pro Sekunde. Die Auskunft kann auch anders herum erfolgen: Über welche Telefonnummern verfügt eine bestimmte Person? Als Antwort erhalten die Behörden in der Regel einen Datensatz mit Name, Anschrift und weiteren Bestandsdaten. Statistisch gesehen ist jeder dritte Einwohner davon betroffen.
Was ist eine eSIM?
Eine eSIM (embedded-SIM) ist eine Software-SIM-Karte. Das eSIM-Feature muss vom Telefon unterstützt werden. Heißt es muss keine SIM-Karte mehr eingelegt werden, um unterwegs mobile Daten nutzen zu können.
Was wollen wir erreichen?
Anonymität. Mensch ist unterwegs und kann den Ausweis einfach zu Hause lassen. Das Handy zu Hause zu lassen geht theoretisch auch, ist dann aber im Detail auch oft nervig (z. B. lange Anreise zur Waldbesetzung). Was, wenn wir kontrolliert werden? Wir können unsere Personalien nicht angeben. Aber letztlich haben wir eine SIM-Karte dabei, die auf unseren Namen registriert ist. Genau da hilft uns jetzt aber die eSIM. Denn wenn der Cop den SIM-Karten-Slot aufmacht, wird er merken, dass da nix ist.
Wie komme ich an eine eSIM-Karte?
Mittlerweile bieten auch die günstigen Provider/Reseller (Aldi-Talk, Penny Mobil, ja! mobil, …) eSIM-Karten an. Ihr könnt einfach mal im Internet danach suchen oder beim Support nachfragen, ob ihr auf eine eSIM wechseln könnt. Aktuell gibt es noch nicht so viele Geräte, die eSIM-Karten unterstützen (hier eine Geräteliste). In Zukunft werden jedoch mehr und mehr Smartphones und Provider eSIMs unterstützen.
Wie richte ich eine eSIM ein?
Im Grunde klickst du im Android/iOS-Menü herum und scannst dann einen QR-Code oder gibst einen Aktivierungscode ein. Die Informationen dazu bekommst du vom Provider. Wie das dann konkret aussieht, sieht man hier (Vorsicht Werbung):
Nachteile, die weiter existieren
Wenn wir eine eSIM nutzen, die auf unseren Namen registriert ist, bleiben immer noch die altbekannten Probleme:
- Unser Standort (bzw. ein Bewegungsprofil) kann mittels Funkzellenabfrage ermittelt werden, wenn die Polizei unsere Telefonnummer kennt. Das liegt daran, dass unser Handy (so lange es nicht aus oder im Flugmodus ist) mit dem Mobilfunknetz verbunden ist (wir können ja theoretisch jederzeit angerufen werden). Der Mobilfunk-Provider weiß daher, wann wir mit welchen Mobilfunkmasten verbunden sind. Der Standort der Mobilfunkanlagen ist bekannt. Es gibt öffentliche Karten dazu, z. B. eine von der Bundesnetzagentur und eine auf Basis von OpenStreetMap. Sehr zu empfehlen ist auch dieser Vortrag über Funkzellenabfragen vom 35C3. Genauso kann durch eine Funkzellenabfrage festgestellt werden, wer an einer Demo teilnimmt (ohne, dass euer Telefonnummer bekannt sein muss).
- An Signal oder anderen Accounts, an denen eure Telefonnummer hängt, hängt damit auch unsere Identität. Bei Signal tut sich (endlich) was in Sachen Nutzernamen. Aktuell läuft das Feature in der Testphase. Heißt: Bald ist es möglich, Signal mit Nutzernamen anstatt Telefonnummern zu nutzen. Mehr Infos dazu gibt es in diesem heise-Artikel.
- TKÜ (Telekommunikationsüberwachung) nach §100a StPO: Die Polizei kann bei den Providern nach eurer Telefonnummer fragen. Mit einem richterlichen Beschluss kann sie das Telefon abhören lassen. Dazu geht sie mit dem Beschluss zum Provider und der speichert alle Telefonate/SMS. Zur Klarstellung: Damit ist die klassische Telefonie und Überwachung (keine Quellen-TKÜ, also Staatstrojaner) gemeint. Mit Ende-zu-Ende-Verschlüsselung (Signal, Element/Matrix, etc.) lässt sich das Problem der klassischen Überwachung einfach umgehen. Worauf ich aber hinaus möchte: Wenn wir eine SIM-Karte nutzen, die nicht auf unseren Namen läuft, kann sie auch nicht beim Provider angefragt/herausgegeben werden.
Wir müssen uns auch bewusst machen, dass die Überwachung in den nächsten Jahren zunehmen wird.
Funkzellenabfrage: Die alltägliche Rasterfahndung unserer Handydaten
Wie komme ich an eine anonyme eSIM-Karte?
Es gibt im Internet verschiedene Anbieter (und gar nicht wenige), die anonyme eSIMs anbieten. Die Bezahlung läuft über Kryptowährungen wie Bitcoin. Bitcoin ist Scheiße, Repression aber auch. Beispiele für solche Anbieter sind:
Mensch hat mal eine eSIM von Bitrefill ausprobiert. Die Einrichtung hat ca. 10 Minuten gedauert. Lief im Grunde wie in diesem (shady) Video zu sehen (braucht auch keine App, läuft einfach im Tor-Browser):
Sobald die eSIM im Handy eingerichtet wurde (einrichten heißt QR-Code scannen), ist sie aktiv und kann genutzt werden. Preislich ist das Ganze vergleichbar mit normalen SIM-Karten (1 GB 7 Tage ~2.50€, 5 GB 30 Tage 8€). Nach Ablauf der Zeit/Volumen verfällt die eSIM einfach. Es entstehen keine Folgekosten. Die eSIM von Bitrefill kommt übrigens ohne Telefonnummer. Und ihr bekommt via Mail (und auch via SMS) einen Link, mit dem zu sehen ist, wie viele Tage die eSIM noch gültig ist und wie viel Volumen bereits aufgebraucht wurde.
Eine Sache noch. Euer Smartphone hat eine IMEI (International Mobile Equipment Identity). Das ist eine weltweit eindeutige Nummer eures Endgerätes, die ihr auch nicht ändern könnt. Wenn ihr das Mobilfunknetz nutzt, loggt der Provider eure Nutzung zu Abrechnungszwecken in Form von Logdateien (nur die Metadaten, also wer hat sich wann wo verbunden). Bei den Datensätzen wird auch immer die IMEI mit gespeichert. Das wird auch im oben verlinkten Vortrag erklärt/gezeigt. Wenn ihr also von einer registrierten auf eine anonyme e/SIM umsteigt, solltet ihr auch auf ein Telefon wechseln, das sich euch nicht zuordnen lässt. Sonst gibt es Datensätze beim Provider mit eurer IMEI und registrierten SIM-Karte und anonymer SIM-Karte. Dennoch gilt: eine anonyme e/SIM-Karte ist viel besser als eine, die auf meinen Namen registriert ist.
Da wir keine Vorratsdatenspeicherung haben, sollten/dürfen die Provider die Logdateien eigentlich nicht so lange speichern. Sie tun es aber gerade trotzdem für ca. 3-6 Monate. Mehr dazu in diesem Artikel. Theoretisch kann Mensch auch sechs Monate warten und das Handy in der Zeit in der Schublade liegen lassen.
Übrigens: Im Klima-Antirepression-Newsletter #22 vom August 2023 geht es darum, wie die Polizei in der Praxis Menschen identifiziert, von denen sie keine Personalien bekommen hat.
Zum Thema Identifizierung mittels SIM-Karten steht nichts dabei. Die Daten sind wohl in der Praxis oft zu unzuverlässig, um sie zu nutzen. Falls dazu jemensch Erfahrungen hat, gerne teilen.
Sonstige Empfehlungen
- Schaut, dass euer Smartphone noch Updates bekommt!
- Hardware-Empfehlung: gebrauchtes Google Pixel mit GrapheneOS (Android mit Fokus auf Sicherheit)
- Android-Apps:
- findmydevice (damit kann mensch das Handy aus der Ferne löschen, hier ist mehr Doku dazu)
- Molly (damit hat mensch ein zweites Signal auf dem Handy)
Schaut auch gerne mal in dieses Zine über Smartphone Security rein (englisch):
Sichere Passwörter/Muster
Häufig genutzte Passwörter
Passwörter können heutzutage durch immer mehr Rechenleistung immer einfacher geknackt werden. Dabei sind kurze und vorhersehbare Passwörter natürlich deutlich leichter zu erraten als längere und komplexere.
In den meisten Fällen muss man davon ausgehen, dass eine Angreiferin unendlich viele Versuche hätte, um ein Passwort zu erraten. Sie könnte einen sehr leistungsfähigen Computer benutzen und diesen mit Wörterbüchern und Zeichen aus allen möglichen Sprachen füttern, und den Computer alle möglichen Kombinationen ausprobieren lassen. Dieses Vorgehen nennt man auch Brute Force, übersetzt rohe Gewalt. Ein solcher Computer könnte auch gezielt Kombinationen von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ausprobieren.
Vor solchen Methoden sind von Menschen ausgedachte Passwörter in der Regel nicht sicher. Um sich Passwörter merken zu können, helfen vertraute Muster, Laute, Zeichenfolgen oder Wörter. Hinzu kommt, dass sich die meisten Menschen nur eine begrenze Anzahl zufälliger Zeichenketten merken können.
Das führt dazu, dass Menschen oft den Fehler machen dieselben Passwörter für verschiedene Webseiten benutzen. Nicht selten gelingt es Hacker:innen die User-Datenbanken größerer Online-Dienste zu erbeuten. Die miteinander verknüpfen Mail-Addressen und Passwörter probieren sie dann direkt bei anderen Seiten aus, die zwar nicht vom eigentlichen Hack betroffen sind, wo die Anmeldedaten für viele User:innen aber dieselben sind.
Zufällige Passwörter leicht merken
Ein zufällig generiertes Passwort muss nicht immer schwer zu merken sein.
Diese beiden Passwörter beispielsweise sind etwa ähnlich „stark“:
KU6D7caw74B4pe7FLXLU
balsamic trailside frantic photo unexposed cloning mutable filler
Das erste ist eine zufällige Kombination von Buchstaben und Zahlen. Das zweite ist eine zufällige Aneinanderreihung von 8 Wörtern die aus einer Liste von knapp 8000 Wörtern ausgewürfelt wurde, auch Diceware-Passphrase genannt.
Diceware-Passphrases sind besonders nützlich für Festplatten-Verschlüsselung oder als Master-Passwort für Passwort-Datenbanken, also immer man keinen Passwort-Manager zur Hand hat. Der eingebaute Passwort-Generator (siehe Bild) von KeePassXC kann auch Diceware-Passphrases erstellen. Falls es dich interessiert, kannst du hier weiterlesen wie Diceware funktioniert und wieso sie so heißt.
Displaysperre/Muster
In deinem Handy sind auch Sensible Daten gespeichert. Im besten Fall hat niemand außer dir Zugriff darauf, allerdings kommt auch das auf dein Sperrmuster oder Pin an. Diese Muster sind besonders häufig und können dementsprechend einfach geknackt werden:
Im besten Fall benutzt du lieder einen Pin als ein Muster, wenn dieser Pin dann noch 12 oder mehr Zeichen hat, umso besser.
Passwortmanager
Passwortmanager sind Programme, die alle deine Passwörter, im besten Fall auch mit den zugehörigen Benutzernamen, speichert und durch ein "Masterpasswort" verschlüsselt.
Generell
Passwortmanager sind Programme, die alle deine Passwörter, im besten Fall auch mit den zugehörigen Benutzernamen, speichert und durch ein "Masterpasswort" verschlüsselt.
Eventuell kennst du dieses Prinzip schon, wenn du z.B. auf dem Handy oder in deinem Browser auf "Passwort speichern" geklickt hast. Das Problem daran ist, dass diese Datenbanken, besonders auf deinem Handy und bei Google Chrome von Google sind und dadurch nur durch dein Google-Mail-Account Passwort gesichert sind. Zusätzlich besteht bei Unternhemen die Gefahr, dass diese mit Sicherheitsbehörden zusammenarbeiten. Eine weitere Gefahr besteht darin, dass diese Datenbank online ist und so eine weitere Angriffsmöglichkeit bietet.
Im besten Foll sollte dein Passwortmanager also:
- offline/lokal
- unabhängig
- und Quelloffen sein
Keepass
Im folgenden stellen wir das KeePass Ökosystem vor. Alle folgenden Programme verwenden die .kdbx-Endung für Passwort-Datenbanken und sind deshalb kompatibel miteinander, ihr könnt also die gleiche Datenbank auf allen Geräten nutzen. Dafür müsst ihr sie synchronisieren, wie das geht zeigen wir auch am Ende.
Zur offiziellen KeePass-Dokumentation
KeepassXC (Mac, Windows, Linux)
-
Verwende ein sichere Haupt-Passphrase für deinen Passwortmanager (mind. 20 Zeichen)
- Nutze das Diceware Verfahren: https://diceware.dmuth.org/
- Oder schnapp dir ein Buch aus dem Regal und nimm Wörter von zufälligen Seiten
-
Generiere neue zufällige Passwörter für Accounts mit unsicheren Passwörten mit dem Passwortmanager oder pflege sie ein.
-
Erstelle unbedingt ein Backup deiner Datenbank (z.B. in deiner Nextcloud)!
Browserintegration
Auf dem PC lassen sich auch Browserintegrationen einstellen, d.h. du musst die Passwörter nicht immer herauskopieren, sondern sie werden nach dem Entsperren der Datenbank einfach eingefügt.
Automatische Backups bei jeder Änderungen
Auf dem PC lassen könnt ihr mit KeePassXC automatisch Backups nach jeder Änderung erstellen.
Die Aktivierung dieses Feature lässt euch sicher gehen, dass ihr Zugnang zu älteren Versionen eurer KeePass Datei habt. Und zudem habt ihr, wenn ihr die Haupt-Keepass-Datei verliert, ein Backup (wenn auch nicht eine aktuelle Version).
In den Datenbankeinstellungen unter der Kategorie "General" könnt ihr "Backup database file before saving" aktivieren und dann einen Pfad festlegen, wo diese Back-ups gespeichert werden. Verwendet in der Benennung eurer Datei auf jeden Fall die verschiedenen Platzhalter für z.B. den Dateinamen und den Tag der Speicherung (Ansonsten werden alte Versionen bei jeden Backup überschrieben!) Seht dafür das Beispielbild:
KeePassDX (Android)
ToDo
KeePassium (iOS)
ToDo
KeePass via Nextcloud synchronisieren
Für diese Variante benötigst du eine funktionierende Nextcloud-Synchronisation!
Desktop
Öffne die Datenbank direkt aus deinem WebDav-Ordner mit KeePassXC - sie sollte dann dort in der KeePass-History erscheinen und du kannst sie dann immer direkt dort auswählen
Android
Es könnte sein, dass es mittlerweile auch direkt funktioniert wenn man die .kdbx-Datei aus der Nextcloud-App öffnet.
Wir testen das weiter und updaten das dann hier.
- Öffne deine Nextcloud App und synchronisiere die KeePass-Datenbank (indem du draufklickst) - mit dieser Variante kannst du die Datenbank auch öffnen, aber nur einmalig.
- Öffne deinen Dateimanager > Interner Speicher > Android > media > com.nextcloud.client > user@cloud.example.com und suche die KeePass-Datei in deiner Ordner-Struktur > klicke darauf > Öffnen mit KeePassDX
- Die Datenbank sollte jetzt in deiner keePass-History erscheinen und von dort immer wieder zu öffnen sein.
VeraCrypt Container erstellen
Mit VeraCrypt einen verschlüsselten Container erstellen
Benenne deinen Container wie du magst.
Wähle hier den Encryption Algorithm aus. Du kannst den Container mehrfach verschlüsseln und somit eine kompliziertere Verschüsselungstecknik verwenden.
Gib an wie groß der Container sein soll.
Natürchlich solltest du ein gutes Passwort verwenden und es dir merken!
Ich würde empfehlen hier „Yes“ auszuwählen, damit du das richtige Formatsystem benutzt für große Dateien.
Ich empfehle nur mit Linux Betriebssystemen zu arbeiten, also wähle ich das hier mit aus.
An dieser Stelle wirst du aufgefordert deine Maus random hin und her zu bewegen, bis sich die blaue Anzeige auffüllt. Du musst nicht bis zum Ende hin diese Anzeige auffüllen, aber je mehr random gesetzte Werte, desto stärker ist der Encryptionkey.
Jetzt formatiere deinen Container und dann hast du es auch schon fast geschafft.
Wähle jetzt deinen erzeugten Container und entschlüssele ihn.
Klick auf „Mount“, um den Container als Laufwerk an dein Laufwerksystem anzuschließen.
Gib hier das Passwort ein um den Container zu entschlüsseln.
Geschafft! Wenn du jetzt auf den Container klickst, öffnet sich dein Container. Oder du findest diesen auch im Dateisystem.
Hier liegen deine Daten jetzt sicher und verschlüsselt, wenn du diese dort ablegst.
USB-Stick verschlüsseln (Linux)
Verschlüsselten USB-Stick mit Program Disks („Laufwerke“ auf deutsch)
Das ist das Programm „Disks“ oder auch „Laufwerke“ auf deutsch.
Links werden die eingehängten Laufwerke und Speichermedien angezeigt.
Wenn ein USB-Stick eingestekt wird, dann wird dieser aud der linken Seite angezeigt. Wähle deinen USB-Stick aus.
Als nächstes gib deinem USB-Stick einen Namen oder Bezeichnung und wähle den Formatierungstyp „Interne Disk für die ausschließliche Nutzung mit Linux-Systemen (Ext4)“ aus.
Makiere das Feld „Passwortgeschützter Datenträger (LUKS)“!!! Und weiter.
Gebe ein gutes Passwort ein, dass du dir gut merken solltest! Nur mit diesem Passwort kannst du auf Linux Betriebssystemen den USB-Stick entschlüsseln und auf die Daten zugreifen.
Herzlichen Glückwunsch! Wenn du jetzt auf Formatieren klickst hast du deinen verschlüsselten USB-Stick!