Der vollständige Leitfaden zur digitalen Härtung
Ein praktischer, bedrohungsmodellgesteuerter Leitfaden. Keine Paranoia — nur methodische Risikominimierung.
Schritt 1: Threat Modeling — Das Fundament
Bevor Sie ein Tool herunterladen, müssen Sie Ihr Bedrohungsmodell definieren. Das EFF's Surveillance Self-Defense Guide empfiehlt fünf Fragen:
- Was möchte ich schützen? Finanzdaten, Browserverlauf, Standort, Kommunikation, Quellenidentität.
- Vor wem? Werbetreibende, Datenhändler, Hacker, Ex-Partner, Strafverfolgung, Nachrichtendienste.
- Wie wahrscheinlich ist ein Angriff? Ein Journalist in einem repressiven Regime hat ein anderes Risikoprofil als jemand, der Werbe-Tracking vermeiden möchte.
- Wie schwer sind die Konsequenzen? Peinliche Werbung vs. Jobverlust vs. Inhaftierung vs. physische Gefahr.
- Wie viel Aufwand akzeptiere ich? Nicht nachhaltiger Aufwand wird aufgegeben.
Bedrohungsmodell-Stufen
- Stufe 1 — Alltäglich: Werbe-Tracking und Datenhändler vermeiden. Tools: Firefox + uBlock Origin, NextDNS, Passwort-Manager, Signal.
- Stufe 2 — Datenschutzbewusst: Verhaltens-Profiling und Identitätsverknüpfung verhindern. Zusätzlich: Firefox-Container, E-Mail-Aliasing, keine Google/Meta-Konten.
- Stufe 3 — Hochrisiko: Journalist, Aktivist, Anwalt. Zusätzlich: Tor Browser, Tails OS, Signal mit verschwindenden Nachrichten, Wegwerfgeräte.
- Stufe 4 — Staatliche Bedrohung: Erfordert professionelles Training — kein Online-Leitfaden ist für diese Stufe ausreichend.
Schritt 2: Kommunikation absichern
Messaging
- Signal: Goldstandard. Open-Source, E2EE standardmäßig, Sealed Sender. Erfordert Telefonnummer — realer Identitätsanker. Verschwindende Nachrichten für sensible Themen aktivieren.
- Session: Signal-abgeleitet, ohne Telefonnummer. Dezentrales Onion-Routing-Netzwerk.
- Briar: P2P-Mesh — funktioniert über Bluetooth/WLAN ohne Internet. Für Aktivisten in verbindungsbeschränkten Umgebungen.
- Matrix/Element: Föderiert, selbst-hostbar. Gut für Teams mit Datensouveränität.
- ProtonMail (Schweiz) / Tutanota (Deutschland): Zero-Knowledge E2EE zwischen Nutzern desselben Anbieters. Beide Open-Source.
- E-Mail-Aliasing: SimpleLogin oder AnonAddy — ein einzigartiger Alias pro Dienst. Bei einem Datenleck: Alias deaktivieren, nicht die echte Adresse.
Schritt 3: Browser-Härtung & Kompartimentierung
Empfohlener Browser-Stack
- Alltägliches Surfen: Firefox mit uBlock Origin (Hard Mode), Multi-Account Containers,
privacy.resistFingerprinting = true. Blockiert über 95% aller Tracker. - Finanzielle Konten: Separates Firefox-Profil — nie gemischt mit allgemeinem Surfen.
- Sensible Recherche: Tor Browser — Fenstergröße nie ändern, nie einloggen, JavaScript nur wenn nötig.
- Niemals: Chrome (Google-Telemetrie), Edge (Microsoft-Telemetrie).
Schritt 4: Betriebssystemsicherheit
- Ubuntu / Fedora: Weit weniger Telemetrie als Windows. Gut als Einstieg.
- Tails OS: Bootet von USB, leitet gesamten Traffic über Tor. Amnestisch — hinterlässt keine Spuren auf der Host-Hardware.
- Qubes OS: Jede Anwendung läuft in isolierter VM. Browser-Exploit im untrusted Qube erreicht den persönlichen Qube nicht.
- Whonix: Zwei-VM-Setup — Gateway (Tor) und Workstation. Gesamter Workstation-Traffic über Tor.
Schritt 5: Netzwerkebene — VPNs, Tor und DNS
Ein VPN verlagert das Vertrauen vom ISP zum VPN-Anbieter — es beseitigt die Überwachung nicht. Für kommerzielle VPNs: nur solche mit unabhängig geprüfter No-Logs-Policy (Mullvad, ProtonVPN). Kostenlose VPNs niemals verwenden — ihr Geschäftsmodell ist der Verkauf Ihrer Daten.
Tor leitet Traffic durch drei freiwillig betriebene Relays. Kein einzelner Knoten kennt sowohl Ihre IP als auch Ihr Ziel. Für DNS-Privatsphäre: DNS-over-HTTPS mit Quad9 (9.9.9.9) oder NextDNS.
Schritt 6: Finanzielle Privatsphäre
Das traditionelle Bankensystem ist eine der umfassendsten Überwachungsarchitekturen im zivilen Leben. Banken melden Transaktionen, teilen Daten mit Auskunfteien, und müssen automatisch Verdachtsmeldungen einreichen — ohne Sie zu informieren.
- KYC: Lichtbildausweis, Biometrie, Adressnachweis — auf unbestimmte Zeit gespeichert, häufig Ziel von Datenlecks.
- Alternativen: Prepaid-Karten (keine Namensverknüpfung), Bargeld, Monero (datenschutzorientierte Kryptowährung mit Ring Signatures und Stealth Addresses).
Für nüchterne Finanzbildung ohne Behavioral Tracking: Anon Invest DE und Anon Invest.
Schritt 7: Identitätshygiene
- E-Mail-Aliase: SimpleLogin, AnonAddy oder Firefox Relay — ein eindeutiger Alias pro Dienst.
- Einzigartige Benutzernamen: Niemals plattformübergreifend wiederverwenden — primärer Vektor für Identitätskorrelation.
- Telefonnummern: Universeller Identitätsanker. Für Dienste, die eine Nummer erfordern: VoIP (JMP.chat, MySudo).
- Passwort-Manager: KeePassXC (lokal) oder Bitwarden (Open-Source, selbst-hostbar).
Schritt 8: Physische Sicherheit & OpSec
- Vollverschlüsselung: VeraCrypt (Windows/plattformübergreifend), LUKS (Linux), FileVault (macOS).
- Kamera-Abdeckungen: Günstiger Schutz gegen kompromittierte Software.
- Sichere Dateilöschung: "Löschen" markiert nur Speicherplatz als verfügbar. BleachBit,
shred, oder Vollverschlüsselung verwenden. - OpSec-Mindset: Sicherheits-Setup nicht öffentlich teilen. Sensible Pläne nicht auf ungesicherten Kanälen besprechen. Anonyme Persona niemals mit der echten Identität verknüpfen.