Smartphones entwickeln sich zunehmend zum Hauptkommunikationsmittel. Leider sind die Geräte selbst auch sehr gesprächig und überwachen ihre Besitzer_innen auf Tipp und Klick. Die mit Abstand am häufigsten verwendeten Betriebssystem stammen von Google und Apple und senden selbst bei Nicht-Nutzung fleißig Daten an die Hersteller.
Noch umfassender wird die Überwachung durch die Apps aus den Appstores der beiden Unternehmen. So enthalten die Anwendungen häufig Trackingdienste wie Google Analytics (a.k.a. Firebase Analytics), Tracker von Facebook oder etlichen anderen, unbekannteren Unternehmen. Diesen wird teils jede Eingabe und jeder Klick übermittelt. Über eine gerätespezifische Werbe-ID können die Trackingdienste die gesammelten Daten appübergreifend zusammenführen: Beispielsweise den Namen der Nutzer_in aus der einen App und deren sexuellen Vorlieben und gesundheitlichen Probleme über die vermeintlich anonym genutzte Dating- oder Gesundheits-App – bei der der Name doch bewusst nicht angegeben wurde.
Datenschutz durch alternativen App Store, Ende-zu-Ende-Verschlüsselung und alternatives Android
Doch es geht auch anders: Es gibt reichlich Open-Source-Apps, die ihre Nutzer_innen nicht überwachen. Diese können unter Android am besten über den alternativen Appstore F-Droid installiert werden, der ausschließlich Open-Source-Apps enthält und auf Datenschutz ausgerichtet ist. Etliche der Apps gibt es auch im Play Store, dort enthalten manche Apps (z.B. Jitsi) – im Unterschied zu F-Droid – jedoch Tracker.
Entsprechend sollten Apps aus dem Play Store möglichst vermieden werden – unverzichtbare Apps können über den AuroraStore (auch im F-Droid) nachinstalliert und bestenfalls über ein Android-Arbeitsprofil von den anderen Apps und Daten auf dem Smartphone getrennt werden. Ein solches Profil lässt sich beispielsweise mit den Apps Shelter oder Insular aktivieren.
Daten behält man möglichst lokal auf seinem Smartphone oder überträgt sie Ende-zu-Ende-verschlüsselt. Das bedeutet, dass nur die Endgeräte von Sender_in und Empfänger_in die Daten entschlüsseln können – alle Verbindungen und Server dazwischen sehen nur verschlüsselten Datenwust. Denn neben zahlreichen Überwachungsfirmen interessieren sich auch staatliche Behörden für digitale Daten und Kommunikation.
Weitere Informationen
- Unsere App-Empfehlungen
- Kuektz-Blog: Android-Apps Empfehlungsecke
- Golem: Google weiß fast alles – aber nicht über mich
- Golem: Was hilft gegen den Staatstrojaner?
- Golem: Shelter – Apps unter Android isolieren
Den richtigen Messenger verwenden
Unsere Anforderungen an einen guten Messenger sind nicht gerade gering: Er soll standardmäßig alle Daten mit einer sicheren Ende-zu-Ende-Verschlüsselung übertragen, Metadaten reduzieren (wer, wann mit wem kommuniziert), Open-Source und auditiert, also geprüft sein. Obendrein sollte er auch noch leicht zu bedienen sein und über alle wichtigen Funktionen verfügen, dass viele Menschen ihn benutzten können.
Das alles trifft auf den Messenger Signal zu, der alle Anforderungen gut erfüllt und sich über Spenden finanziert. Signal hat mit dem Signal-Protokoll den Verschlüsselungsstandard für Messenger entwickelt und achtet bei neu eingeführten Funktionen sehr genau auf Datenschutz und Sicherheit. So gab es technisch lange keine Gruppen, sondern nur normale Nachrichten, die an viele Signal-Nutzer_innen geschickt wurden, damit auf dem Server keine unverschlüsselten Gruppenmitgliedschaften gespeichert werden müssen. Mittlerweile hat Signal dazu jedoch eine sichere Variante entwickelt, bei der die Gruppenmitgliedschaften verschlüsselt auf dem Server abgelegt werden und nur von den Gruppenmitgliedern entschlüsselt werden können.
Eine Alternative ist Threema, der Messenger muss allerdings einmalig bezahlt werden. Wer lieber auf zentrale Dienste verzichtet kann sich Matrix anschauen, bei dem ähnlich wie bei E-Mail zwischen verschiedenen Server-Betreiber_innen gewählt werden kann. Allerdings werden bei Matrix die Metadaten nicht reduziert und sind auf den Servern einsehbar. Das Technikkollektiv Systemli löscht daher alle Nachrichten nach 30 Tagen, um wenigstens einen Teil der Metadaten zu reduzieren.
Nicht zu empfehlen ist Telegram, das standardmäßig keine Ende-zu-Ende-Verschlüsselung verwendet, bei Gruppen wird sie nicht einmal angeboten. Aus Datenschutzperspektive ein Super-Gau. Nicht zuletzt hat das BKA auf diese Weise etliche Telegram-Gruppen ausspähen können. Ebenfalls nicht empfehlenswert sind Whatsapp, der Instagram- bzw. der Facebook-Messenger. Beide nutzen zwar das Signal-Protokoll für die Verschlüsselung (bei Instagram ist sie optional), analysieren allerdings die Metadaten ihrer Nutzer_innen – ein No-Go.
Weitere Informationen
- Messenger-Matrix
- Golem: Warum es okay ist, dass Signal Google-Server nutzt
- Kuketz-Blog: Threema: Instant-Messaging-Dienst aus der Schweiz – Messenger Teil2
- Kuketz-Blog: Telegram: »Sicherheit« gibt es nur auf Anfrage – Messenger Teil3
- Systemli: Matrix-Server des Technikkollektivs Systemli
Datenschutz durch Alternative Androids
Auch der Austausch des Betriebssystems ist empfehlenswert. So gibt es etliche sogenannte alternative Androids, die zwar auf dem von Google entwickelten System basieren, aber Google, seine Dienste und seine Überwachung daraus entferent haben. So gibt es mit GrapheneOS und CalyxOS einfach zu bedienende Alternativen, die die Daten auf dem Smartphone schützen, statt sie mit den Herstellern und anderen Unternehmen zu teilen. Dabei bleiben beide Systeme komfortabel und funktional. Wir empfehlen insbesondere GrapheneOS, dass umfangreiche Sicherheitsmaßnahmen umsetzt und als das sicherste Smartphone-Betriebssystem gilt und auch von Edward Snowden empfohlen wird.
GrapheneOS ist ausschließlich für Pixel Smartphones von Google verfügbar, CalyxOS noch für ein paar weitere Geräte. Wir empfehlen die Pixel-Smartphones trotz des Herstellers, da sie einfach von Google befreit werden können und gute Sicherheitsfunktionen, wie einen Sicherheitschip verfügen, der z.B. vor Brute-Force-Angriffen, also dem durchprobieren vieler Passwörter schützt.