Smartphone, halt's Maul!

✔ Eine Checkliste für deine mobile Sicherheit

1. Flyer: Smartphone, halt's Maul! - https://smartphone-halts-maul.de/flyer

Wenn du dich für Cryptoparties interessierst und Gleichgesinnte treffen möchtest kannst du dich zum Beispiel auf der Seite cryptoparty.in über bevorstehende Events informieren. Oder du befolgst den Guide unten und veranstaltest gleich selbst eine.

1. 2019-12-21 - Digitalcourage: How To CryptoParty - https://digitalcourage.de/digitale-selbstverteidigung/how-to-cryptoparty
2. Nächte Cryptoparties auf cryptoparty.in - https://www.cryptoparty.in/parties/upcoming

Bei Beschlagnahmungen oder Diebstahl können Kontakte, SMS und Anruflisten ausgelesen werden. Darüber hinaus sind Dumbphones ohne weitere Schutzmaßnahmen genauso anfällig für Angriffe im Mobilfunknetz. Dumbphones lassen sich nicht verschlüsseln, du kannst keine Apps wie Passwortmanager darauf installieren, du kannst deine Bilder nicht von Metadaten bereinigen und kannst keine sicheren Messenger nutzen. Auf der einen Seite haben diese Telefone also Nachteile. Auf der anderen Seite muss aber auch festgehalten werden, dass nicht smarte Geräte einige Gefahren komplett ausschließen. Zum Beispiel ist hier die Gefahr durch Infektionen mit Malware sehr viel geringer. Verschlüsselung und sichere Kommunikation erscheint aber angesichts inflationärer Beschlagnahmungen und Überwachung so wichtig, dass ein smartes Gerät unbedingt zu bevorzugen ist.

Sei dabei bitte vorsichtig und achte darauf den Chip nicht zu zerstören. Kratze also nicht zu tief!

Eine starke Verschlüsselung ist wichtig. Eine Bildschirmsperre ist nicht ausreichend. Software wie Cellebrite kann über die USB-Schnittstelle die meisten Bildschirmsperren einfach umgehen. Alle deine Daten, Kontakte, Anruflisten, Standortdaten, Login-Daten und vieles mehr können dann durch automatisierte Software wie Cellebrite Pathfinder via USB gesammelt und aufbereitet dargestellt werden. Dein Verschlüsselungspasswort sollte besonders stark sein. Nutze ein sehr komplexes Muster oder ein alphanumerisches Passwort zur Verschlüsselung.

1. 2024-04-03 - Google Warns: Android Zero-Day Flaws in Pixel Phones Exploited by Forensic Companies - https://thehackernews.com/2024/04/google-warns-android-zero-day-flaws-in.html
2. 2024-02-12 - Netzpolitik: Sachsen-Anhalt - Alle 3,5 Stunden durchsucht die Polizei ein Smartphone - https://netzpolitik.org/2024/sachsen-anhalt-alle-35-stunden-durchsucht-die-polizei-ein-smartphone/
3. 2023-12-29 - 37c3: Gläserne Geflüchtete - Mit Computern das Leben zum Schlechteren verändern - https://media.ccc.de/v/37c3-12306-glaserne_gefluchtete
4. 2023-06-28 - Netzpolitik: Abschiebung von Geduldeten: Berlin durchsucht weiter Handys - https://netzpolitik.org/2023/abschiebung-von-geduldeten-berlin-durchsucht-weiter-handys/
5. 2016-12-08 - Phone-Cracking Cellebrite Software Used to Prosecute Tortured Dissident - https://theintercept.com/2016/12/08/phone-cracking-cellebrite-software-used-to-prosecute-tortured-dissident

Auch wenn dein Telefon verschlüsselt ist kann Software wie Cellebrite via USB darauf zugreifen. Solange dein Telefon eingeschaltet ist, ist die Verschlüsselung wirkungslos. Erst wenn es abgeschaltet ist, ist Verschlüsselung wirklich effektiv. Schalte dein Telefon unbedingt ab, bevor du es in fremde Hände gibst! Wenn du auf Nummer sicher gehen willst kannst du auch einen Killswitch an deinem Telefon anbringen. So lässt sich der Akku in Gefahrensituationen schnell entfernen. Damit verschwindet dann der Schlüssel vom Speicher deines Geräts.

1. 2023-10-30 - Netzpolitik: Beschlagnahmte Smartphones: Ein Grundrechtseingriff unbekannten Ausmaßes - https://netzpolitik.org/2023/beschlagnahmte-smartphones-ein-grundrechtseingriff-unbekannten-ausmasses/
2. 2020-01-26 - Ein Killswitch für dein Smartphone - https://steampixel.de/ein-killswitch-fur-dein-smartphone/

Hinweis für anonyme Simkarten: Wenn du anonyme Simkarten verwendest kannst du die Pin-Sperre oft nicht aktivieren, da du die zur Karte gehörige Pin / PUK oft nicht kennst. Du erhältst diese Karten oft mit deaktiviertem Pin. Du solltest in diesem Fall darauf achten, dass alle deine Messenger mit einem zweiten Faktor (z.B. Pin) abgesichert sind und dass du die Karte nicht selbst für eine Zwei-Faktor-Authentifizierung nutzt.

Einige ältere Android-Geräte erzeugen auch eine Signatur über verwendete Apps auf deiner Speicherkarte indem sie dort für verwendete Apps eigene Ordner anlegen. Dadurch können Rückschlüsse auf deine verwendeten Apps gezogen werden. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben.

Fingerabdrücke und Gesichtserkennung sind keine sicheren Methoden, um das eigene Gerät zu entsperren. Sie sind wie Passwörter, die du niemals ändern kannst. Durch Datenlecks oder Malware könnten diese sensiblen Informationen abhanden kommen und dir so zum Nachteil werden. Zudem darf auch die Polizei deine Fingerabdrücke nutzen, um dein Gerät zu entsperren. In Deutschland und den USA gab es dazu bereits Gerichtsurteile. Wenn du ein I-Phone hast kannst du durch das betätigen einer speziellen Tastenkombination Face ID und Fingerabdruck temporär sperren. Für Android ist auf einigen Geräten der Lockdown-Mode verfügbar mit dem nu diese Funktionen im Notfall schnell abschalten kannst.

1. 2024-04-19 - Heise: US-Gericht billigt erzwungenen Fingerabdruck zum Entsperren des Smartphones - https://www.heise.de/news/US-Gericht-billigt-erzwungenen-Fingerabdruck-zum-Entsperren-des-Smartphones-9691611.html
2. 2024-02-21 - Golem: Forscher erzeugen Fingerabdrücke aus Wischgeräuschen - https://www.golem.de/news/security-forscher-erzeugen-fingerabdruecke-aus-wischgeraeuschen-2402-182449.html
3. 2024-01-11 - Heise: Grundannahme widerlegt: KI findet Muster bei Fingerabdrücken einer Person - https://www.heise.de/news/Mit-KI-ermittelt-Mehrere-Fingerabdruecke-einer-Person-haben-doch-Gemeinsamkeiten-9594962.html
4. 2023-06-29 - How to use Android's lockdown mode (and why) - https://www.zdnet.com/article/how-to-use-the-android-lockdown-mode-and-why-you-should/
5. 2023-03-10 - Netzpolitik: Polizei darf Fingerabdrücke nehmen, um Handy zu entsperren - https://netzpolitik.org/2023/gerichtsbeschluss-polizei-darf-fingerabdruecke-nehmen-um-handy-zu-entsperren/
6. 2017-09-15 - Heise: Face ID: Not-Tastenkombination deaktiviert Gesichtserkennung - https://www.heise.de/news/Face-ID-Not-Tastenkombination-deaktiviert-Gesichtserkennung-3833463.html

1. 2022-02-14 - Heise: Android: Entwickleroptionen aktivieren/deaktivieren - https://www.heise.de/tipps-tricks/Android-Entwickleroptionen-aktivieren-deaktivieren-4041510.html

Wenn möglich nutze ein USB-Kabel ohne Datenfunktion zum Laden. Manipulierte Kabel oder öffentliche Ladepunkte könnten Daten auslesen oder unerwünschte Software installieren. Wenn du dir nicht sicher bist kannst du dein Telefon für den Ladevorgang einfach abschalten. So kann nichts installiert werden und es wird trotzdem geladen.

1. 2023-04-12 - Tarnkappe: FBI warnt vor der Nutzung öffentlicher Handy-Ladestationen - https://tarnkappe.info/artikel/it-sicherheit/fbi-warnt-vor-der-nutzung-oeffentlicher-handy-ladestationen-272873.html

1. 2020-08-09 - Steampixel: Schon mal über Hardware-Versiegelungen nachgedacht? - https://steampixel.de/schon-mal-uber-hardware-versiegelungen-nachgedacht/

Du solltest bei deinem Backup auch an wichtige Apps wie 2-Faktor-Apps oder Passwortmanager denken. Die Einstellungen lassen sich daraus meist leicht exportieren. Nutze wenn möglich quelloffene Backup-Software wie "oandbackup" oder "Neo Backup". Diese benötigen allerdings Root-Rechte. Eine einfache regelmäßige Kopie deiner wichtigsten Daten auf einen USB-Stick ist aber auch ein guter Anfang! Denke daran, dass "No Backup, No Mercy" eine arrogante Haltung ist. Nicht alle Menschen haben das Wissen und die technischen Möglichkeiten für Backups. Helft euch gegenseitig!

1. F-Droid: Neo Backup - https://f-droid.org/de/packages/com.machiav3lli.backup/
2. F-Droid: oandbackup - https://f-droid.org/de/packages/dk.jens.backup/

Die Android-App Neo Backup unterstützt Verschlüsselung von Haus aus. Du kannst aber auch verschlüsselte Zip-Archive von Hand erstellen oder gleich ganze USB-Sticks verschlüsseln. Unter Linux, MacOS und einigen Windows-Versionen geht das ganz einfach über eine grafische Oberfläche. Du kannst aber auch eine Verschlüsselungssoftware für deine Sticks wie VeraCrypt einsetzen, die auf den meisten Betriebssystemen funktioniert. Wenn du dich tiefer mit der Materie befassen möchtest und die Kommandozeile nicht scheust kannst du dir professionelle Software wie Restic (Linux) oder duplicity (Linux) ansehen. Dafür musst du dein Gerät dann mit einem Computer verbinden.

1. 2022-12-29 - Windows: How to encrypt a USB flash drive—and why you should - https://www.microsoft.com/en-us/microsoft-365-life-hacks/privacy-and-safety/how-and-why-to-encrypt-usb-flash-drive
2. 2022-03-30 - Windows: How to password protect ZIP files and folders on PC - https://nordvpn.com/de/blog/how-to-password-protect-a-zip-file/
3. 2021-09-01 - Linux: How to encrypt a USB disk - https://medium.com/tech-notes-and-geek-stuff/how-to-encrypt-a-usb-disk-47f6a4166f03
4. MacOS: Verschlüsseln und Schützen eines Speichermediums mit einem Passwort mit dem Festplattendienstprogramm auf dem Mac - https://support.apple.com/de-de/guide/disk-utility/dskutl35612/mac
5. VeraCrypt - https://veracrypt.fr/en/Downloads.html
6. duplicity - https://duplicity.us/
7. restic - https://restic.net/

Gebrauchte Telefone könnten illegale Daten enthalten haben, die wiederhergestellt und ausgewertet werden könnten. Um zu vermeiden, dass dir das zum Verhängnis wird solltest du das Telefon einmal komplett überschreiben. Wenn du die Möglichkeit hast generiere dir große Zufallsdateien und kopiere diese auf dein Telefon, bis es voll ist. Andernfalls kannst du dir auch große Testdaten aus dem Internet herunterladen und damit den Speicher deines Telefons überschreiben. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben.

1. Hier findest du große Test-Dateien - https://fastest.fish/test-files

Über WiFi kannst du in bestimmten Fällen wiedererkannt werden. Im extremsten Fall kann sogar deine Wohnadresse ermittelt werden. Einige Geräte verraten die eindeutige Hardwarenummer deiner WiFi-Schnittstelle sowie die Liste deiner bekannten WiFi-Netze. Auf Websites wie wigle.net kannst du einfach nach den physischen Standorten der Netze suchen. Aber auch Bluetooth und andere Schnittstellen bergen Gefahren. Bluetooth ist zum Beispiel Anfällig für Bluesnarfing (Öffnung eigentlich geschlossener Ports durch Befehle von Außen), Bluejacking (Zusendung unerwünschter Nachrichten), Bluebugging (Ausnutzen einer Backdoor), Bluesmacking (Denial of Service) oder Car Whispering (Abhören der Freisprecheinrichtung).

1. 2024-01-26 - Heise: Bluetooth zu unsicher: US Navy sucht Alternative - https://www.heise.de/news/Bluetooth-zu-unsicher-US-Navy-sucht-Alternative-9609217.html
2. 2023-12-11 - Heise: Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar - https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
3. 2023-10-30 - Heise: Von wegen privat: iPhones verrieten physische MAC-Adresse - https://www.heise.de/news/iPhone-Datenschutzpanne-Private-WLAN-Adresse-war-gar-nicht-so-privat-9349123.html
4. 2023-09-01 - Golem: Bluetooth-Spam gelingt jetzt auch per Android-App - https://www.golem.de/news/kein-flipper-zero-noetig-bluetooth-spam-gelingt-jetzt-auch-per-android-app-2311-178988.html
5. 2020-06-28 - Warum eine versteckte SSID keine Sicherheit bringt, sondern sogar Bewegungsprofile ermöglicht - https://www.wlan-blog.com/sicherheit/warum-eine-versteckte-ssid-keine-sicherheit-bringt-sondern-sogar-bewegungsprofile-ermoeglicht
6. Wigle.net - All the networks. Found by Everyone. - https://wigle.net/

Bluetooth-Geräte wie Earbuds können möglicherweise beim Austausch ihrer geheimen Schlüssel belauscht werden. Angreifer*innen in Reichweite könnten so unbemerkt mithören.

1. 2023-11-30 - Heise: BLUFFS: Neue Angriffe gefährden Bluetooth-Datensicherheit auf Milliarden Geräten - https://www.heise.de/news/BLUFFS-Neue-Angriffe-gefaehrden-Bluetooth-Datensicherheit-auf-Milliarden-Geraeten-9544862.html
2. 2020-05-21 - Heise: Bluetooth-Sicherheitslücke ermöglicht unerkannte Angriffe - https://www.heise.de/news/Bluetooth-Sicherheitsluecke-ermoeglicht-unerkannte-Angriffe-4726211.html

Wenn du in Deutschland wohnst kannst du dir beim Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) kostenlos wiederablösbare Spezialaufkleber für deine Smartphone-Kameras bestellen. Achte darauf, dass du nicht den unscheinbaren Helligkeitssensor überklebst! Dies führt dazu dass einige Smartphones den Display abschalten, da diese sich in einer Hosentasche wähnen.

1. 2020-05-21 - Heise: Bluetooth-Sicherheitslücke ermöglicht unerkannte Angriffe - https://www.heise.de/news/Bluetooth-Sicherheitsluecke-ermoeglicht-unerkannte-Angriffe-4726211.html
2. BMFSFJ: Webcamsticker-Karte TOP SECRET - https://www.bmfsfj.de/bmfsfj/service/publikationen/webcamsticker-karte-top-secret-96100

Frag bei den Provider*innen nach wie lange die Daten in den verschiedenen Tarifen gespeichert werden und mit wem sie geteilt werden. Es gibt auch extra datenschutzfreundliche Provider*innen wie z.B. "Wetell" in Deutschland. Trotzdem schützen diese nicht vor den zahlreichen Überwachungsmöglichkeiten im Mobilfunknetz! Anonyme Simkarten sind daher immer zu bevorzugen.

1. 2018-02-09 - Mobilfunkanbieter: Widerspruch gegen Erhebung von Bewegungsdaten - https://www.kuketz-blog.de/mobilfunkanbieter-widerspruch-gegen-erhebung-von-bewegungsdaten/

Wenn du gerade weder telefonierst, keine SMS schreibst bzw. empfängst und die mobilen Daten nicht nutzt, ist dein Telefon im sogenannten "idle state". Es entsteht dann keine Historie über deine Funkzellen-Position bei deinem Provider. Will dich eine Behörde oder eine Angreifer*in dann finden, sind diese oft auf stille SMS (silent pings) angewiesen.

1. Location Area - https://de.wikipedia.org/wiki/Location_Area

Das gilt auch dann, wenn du anonyme Simkarten nutzt. Durch die gezielte Verfolgung (zum Beipiel auf dem Heimweg) einzelner Personen mit sogenannten IMSI-Catchern lässt sich eine Telefonnummer einer Person zuordnen. Egal, ob die Simkarte anonym ist oder nicht.

Zunächst einmal ist an Apps wie "SnoopSnitch" generell nichts verkehrt. Wir können froh sein, dass es Menschen gibt, die sich mit dieser Materie befassen und solche Apps bauen. Trotzdem musst du verstehen, dass derartige Apps in den allermeisten Fällen völlig wirkungslos sind. SnoopSnitch zum Beispiel funktioniert nur in 2G und 3G Netzen, wenn dein Telefon Root hat und wenn auf dem Mainboard deines Gerätes ein ganz spezieller Chip verbaut ist. Du musst verstehen, dass die Kommunikation mit dem Mobilfunknetz für dein Betriebssystem eine völlig intransparente Blackbox ist. Dein Betriebssystem und deine Apps sind nicht in der Lage die Kommunikation mit einem Funkturm (Basisstation) im Detail zu steuern oder zu überwachen. Das bedeutet das Funknetzwerk kann mit dem Chip auf deinem Gerät kommunizieren ohne, dass dieses etwas davon mitbekommt. Schuld daran ist proprietäre, kommerzielle Hardware, die nicht quelloffen ist. So kommt es auch, dass du durch Stille SMS (Stealth Ping) grob geortet werden kannst. Der Funkchip in deinem Telefon registriert das zwar, meldet das aber nicht an dein Betriebssystem weiter. Nur einige wenige Chips haben Schnittstellen, die dem Betriebssystem eine Beobachtung erlauben. Nur dafür gibt es SnoopSnitch. Die einzig sinnvolle Verteidigung ist eine anonyme Simkarte.

1. 2024-04-03 - Stille SMS & Co.: Regierung erklärt heimliche Überwachung komplett für geheim - https://www.heise.de/news/Stille-SMS-Co-Regierung-erklaert-heimliche-Ueberwachung-komplett-fuer-geheim-9674437.html
2. 2018-08-07 - Süddeutsche Zeitung: Alle eineinhalb Minuten pingt der Staat - https://www.sueddeutsche.de/digital/stille-sms-alle-eineinhalb-minuten-pingt-der-staat-1.4085229

Das Thema der Mobilfunküberwachung ist komplex und kann in diesem Rahmen nicht komplett behandelt werden. Wichtig zu verstehen ist aber, dass Security-Apps gegen derartige Überwachung nichts ausrichten können, weil z.B. Daten betroffen sind, die ohnehin bei deinem Provider liegen und nicht auf deinem Telefon. Oder weil die Apps selbst keinen Zugriff auf den proprietären Funkchip deines Telefons haben und so z.B. stille SMS nicht sehen können. Oder weil sich der Angriff im Funknetzwerk zwischen Netzanbieter*innen abspielt. Oder weil deine Mobilfunkanbieter*in deine Daten einfach weiter verkauft. Hier auf Apps oder Verhaltensänderungen zu setzen bringt also nichts. Die einzige Verteidigung sind anonyme Simkarten. Bedenke auch, dass in Deutschland über 100 staatliche Stellen die Personen zu Telefonnummern und andersherum ohne Gerichtsbeschluss abfragen können.

1. 2024-04-02 - Überwachung ab jetzt komplett geheim - https://www.nd-aktuell.de/artikel/1181145.kleine-anfragen-ueberwachung-ab-jetzt-komplett-geheim.html
2. 2024-01-23 - Netzpolitik.org: Erstmals Pegasus-Infektionen in Togo enthüllt - https://netzpolitik.org/2024/ueberwachung-mit-staatstrojanern-erstmals-pegasus-infektionen-in-togo-enthuellt/
3. 2024-01-18 - Netzpolitik.org: Staatstrojaner bedrohen Grundrechte in der EU - https://netzpolitik.org/2024/eu-parlament-staatstrojaner-bedrohen-grundrechte-in-der-eu/
4. 2023-12-09 - Golem: Angreifer können 714 Smartphone-Modelle vom 5G-Netz trennen - https://www.golem.de/news/dos-schwachstellen-angreifer-koennen-714-smartphone-modelle-vom-5g-netz-trennen-2312-180183.html
5. 2023-10-27 - Heise: Forscher: Sicherheitslücken beim Roaming bleiben auch bei 5G eine große Gefahr - https://www.heise.de/news/Forscher-Sicherheitsluecken-beim-Roaming-bleiben-auch-bei-5G-eine-grosse-Gefahr-9347577.html
6. 2023-09-16 - Tarnkappe: Mobilfunkanbieter gaben erneut Daten illegal an die Schufa - https://tarnkappe.info/artikel/rechtssachen/mobilfunkanbieter-gaben-erneut-daten-illegal-an-die-schufa-280583.html
7. 2023-09-14 - Netzpolitik.org: Russische Exil-Journalistin mit Pegasus gehackt - https://netzpolitik.org/2023/meduza-russische-exil-journalistin-mit-pegasus-gehackt/
8. 2023-06-27 - Netzpolitik.org: Firma legt Scoring-Profile der Hälfte aller weltweiten Handynutzer an - https://netzpolitik.org/2023/datenschutzbeschwerde-gegen-telesign-firma-legt-scoring-profile-der-haelfte-aller-weltweiten-handynutzer-an/
9. 2022-06-21 - Netzpolitik.org: Behörden fragen jede Sekunde, wem eine Telefonnummer gehört - https://netzpolitik.org/2022/bestandsdatenauskunft-2021-behoerden-fragen-jede-sekunde-wem-eine-telefonnummer-gehoert/
10. 2019-08-28 - Die 5-G Überwachungsstandards - https://invidious.lunar.icu/watch?v=_2HOcuH5rKc
11. 2018-12-29 - 35C3 - Die verborgene Seite des Mobilfunks - https://yt.artemislena.eu/watch?v=CSZWTaTu9As
12. 2017-08-02 - Interaktive Karte: Registrierungspflicht für Prepaid-SIM-Karten in Europa weit verbreitet - https://netzpolitik.org/2017/interaktive-karte-registrierungspflicht-fuer-prepaid-sim-karten-in-europa-weit-verbreitet/
13. 2017-07-11 - Süddeutsche Zeitung: Das Ende der Anonymität - https://www.sueddeutsche.de/digital/prepaid-sim-karten-das-ende-der-anonymitaet-1.3564334
14. 2016-09-20 - Informatik-Gutachten: Eine Telefonnummer ist ausreichend, um eine Person mit einer Drohnen-Rakete zu treffen - https://netzpolitik.org/2016/informatik-gutachten-eine-telefonnummer-ist-ausreichend-um-eine-person-mit-einer-drohnen-rakete-zu-treffen/
15. 2014-12-28 - Tobias Engel: SS7: Locate. Track. Manipulate - https://yt.oelrichsgarcia.de/watch?v=-wu_pO5Z7Pk
16. Bundesnetzagentur: Häu­fig ge­stell­te Fra­gen: All­ge­mein und SI­NA-An­bin­dung - https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Autom_Auskunftsverfahren/FAQ/start.html
17. Wikipedia: Was ist RRLP? - https://en.wikipedia.org/wiki/Radio_resource_location_services_protocol

Da in den Verkehrsdaten deiner Netzanbieter*in immer die IMSI zusammen mit der IMEI auftaucht solltest du beim Wechsel deiner Simkarte auch dein Telefon wechseln. Wie du dir sicher vorstellen kannst ist es aufwändig und auch teuer das Telefon von Zeit zu Zeit zu wechseln. Du müsstest ja ständig deine Apps neu einrichten und viel Geld für ein neues Telefon ausgeben. Um die Kosten gering zu halten kannst du mit Proxy-Telefonen arbeiten. Und das geht so: Du hast ein teureres Gerät für deine reguläre Nutzung auf dem all deine Apps installiert sind. In diesem Telefon befindet sich keine Simkarte. Es ist also für das Mobilfunknetzwerk unsichtbar. Internet bekommst du über ein günstiges Zweitgerät, in welches eine Simkarte eingelegt ist. Dieses Telefon braucht nicht viel Leistung. Dieses kann dir aber einen WiFi Hotspot und damit Internet bereitstellen. Außerdem kannst du damit ganz normal telefonieren, wenn du willst. Dieses Telefon lässt sich mit samt der eingelegten Simkarte schnell austauschen. Einziger Nachteil: Du hast immer zwei Smartphones dabei.

Wer deine Telefonnummer kennt kann dich leicht angreifen. Auf Seiten wie cell-track.com oder phone-location.info kann zum Beispiel einfach herausgefunden werden, ob sich ein Gerät im Ausland befindet oder nicht oder ob ein Gerät gerade eingeschaltet ist. Alles was du brauchst ist die Nummer. Du kannst nichts dagegen tun als deine Nummer geheim zu halten. Das ist eventuell noch nicht wirklich gefährlich. Aber staatliche Akteure haben noch ganz andere Möglichkeiten wie z.B. die Infektion des Gerätes mit einem Zero-Click-Exploit. Nur eine anonyme Simkarte schützt dich effektiv vor staatlichen Übergriffen.

Vor AML standen den Rettungsleitstellen lediglich extrem ungenaue Funkzellendaten zur Verfügung (wenn überhaupt), um Personen in Notsituationen orten zu können. AML dagegen ist fest in moderne Telefone und deren Betriebssysteme integriert: Wird eine Notrufnummer gewählt aktiviert das Telefon selbstständig GPS und WiFi, um die eigene Position bestimmen zu können. Diese wird dann via Internet oder SMS automatisch an die Leitstelle übertragen. Diese extrem genaue Ortung wird nur durch das wählen der Notrufnummern aktiviert und ist nicht von außen ohne dein aktives Handeln nutzbar. Du kannst in den meisten Fällen nichts dagegen tun, dass du beim Wählen dieser Nummern automatisch geortet wirst. Leider werden so aber auch anonyme Meldungen erschwert. Du solltest daher immer abwägen, ob die Wahl von Notrufnummern durch dein eigenes Telefon wirklich notwendig ist. Auf Wikipedia findest du eine Liste mit allen Ländern in denen es AML gibt. AML ist auf Android Teil der Play-Services und kann über die Notfalleinstellungen deaktiviert werden.

1. 2024-03-20 - Heise: Datenschützer erlauben bundesweite Notruf-Ortung - https://www.heise.de/news/Streit-um-110-Datenschuetzer-erlauben-bundesweite-Notruf-Ortung-9659860.html
2. 2023-12-31 - Heise: Notruf 112: Android kann im Notfall mehr Daten an Leitstelle senden ​ - https://www.heise.de/hintergrund/Notruf-112-Android-kann-im-Notfall-mehr-Daten-an-Leitstelle-senden-9583718.html
3. Der Notfall-Standortdienst liefert schnell genaue Standortinformationen - https://www.android.com/intl/de_de/safety/emergency-help/emergency-location-service/how-it-works/
4. ILS Freiburg: Standortdaten beim Notruf 112 - https://ils-freiburg.de/standortdaten.php
5. Wikipedia: Advanced Mobile Location - https://de.wikipedia.org/wiki/Advanced_Mobile_Location

Wenn du eine solche Sperre einrichten möchtest kannst du dich online oder telefonisch an deinen Provider wenden.

1. 2024-02-19 - Mimikama: Smartphone-Fallen: Schutz vor Abofallen mit Drittanbietersperre - https://www.mimikama.org/drittanbietersperre-schutz-abofalle-smartphone/

Wenn du dir unsicher bist welches System du installieren solltest so lautet die klare Empfehlung derzeit grapheneOS auf einem der kompatiblen Telefone zu installieren. Mehr Informationen findest du in den Links.

1. 2022-04-25 - Golem: Datenschutz gibt's nur mit alternativem Android - https://www.golem.de/news/smartphone-ohne-google-datenschutz-gibt-s-nur-mit-alternativem-android-2204-164785.html
2. 2020-11-17 - Kuketz: GrapheneOS: Das Android für Sicherheits- und Datenschutzfreaks - https://www.kuketz-blog.de/grapheneos-das-android-fuer-sicherheits-und-datenschutzfreaks/
3. GrapheneOS - https://grapheneos.org/
4. DivestOS - https://divestos.org/
5. CalyxOS - https://calyxos.org/

Derartige Beträge lohnen sich natürlich nur wenn das einen Nutzen hat: Die vorinstallierte Software sammelt muter Daten und verwertet eure Gewohnheiten. Ihr solltet Bloatware daher entfernen (Manchmal ist das ohne Root-Berechtigungen nicht möglich) oder gleich ein custom Betriebssystem wie GrapheneOS installieren.

1. 2023-02-21 - Google zahlt Milliarden für Chrome unter iOS - https://www.onlinehaendler-news.de/digital-tech/unternehmen/137709-google-zahlt-milliarden-chrome-ios

Wenn du iOS oder Android verwendest überträgt dein Betriebssystem im Hintergrund eine Werbe-ID an deine Apps. Diese ID können an die Datensätze einzelner Apps gehangen werden. Wenn die Anbieter*in deiner Apps diese Daten dann verkauft können Broker diese mit anderen Datensätzen von dir zusammenführen. Dadurch entstehen regelrechte Halden aus deinen persönlichen Daten und Interessen, die online gehandelt werden.

1. 2024-01-12 - Heise: Sicherheitsrisiko: So einfach können Handy-Nutzer heimlich verfolgt werden​ - https://www.heise.de/news/Sicherheitsrisiko-So-einfach-koennen-Handy-Nutzer-heimlich-verfolgt-werden-9596230.html
2. 2022-01-24 - Mobilsicher: Werbe-ID: So funktioniert das Nummernschild fürs Smartphone - https://mobilsicher.de/ratgeber/smartphone-nutzer-sollten-jetzt-ihre-werbe-id-aendern
3. 2020-05-18 - Heise: DSGVO-Beschwerde: Datenschützer hält Android-Tracking für hochproblematisch - https://www.heise.de/news/DSGVO-Beschwerde-Datenschuetzer-haelt-Android-Tracking-fuer-hochproblematisch-4722862.html

Infizierte Apps haben viele Möglihkeiten dich anzugreifen. Sie können zum Beispiel Passworte stehlen.

1. 2023-12-10 - Heise: Black Hat Europe 2023: Neuer Angriff "AutoSpill" auf Android-Passwortmanager - https://www.heise.de/news/Black-Hat-Europe-2023-Neuer-Angriff-AutoSpill-auf-Android-Passwortmanager-9569772.html

1. 2024-04-01 - Malicious Apps Caught Secretly Turning Android Phones into Proxies for Cybercriminals - https://thehackernews.com/2024/04/malicious-apps-caught-secretly-turning.html
2. 2023-04-12 - Tarnkappe: Kriminelle verkaufen in Google Play Store eingeschleuste Malware - https://tarnkappe.info/artikel/it-sicherheit/malware/kriminelle-verkaufen-in-google-play-store-eingeschleuste-malware-272859.html
3. F-Droid herunterladen - https://f-droid.org/de/
4. Aurora Store über F-Droid herunterladen - https://f-droid.org/de/packages/com.aurora.store/

Du kannst dich davor schützen indem du Apps verwendest, die ohne Google bzw- Apple Services auskommen. Verzichte auch auf Alternativen wie microG, wenn du ein eigenes Betriebssystem installiert hast. Installiere zum Beispiel Apps aus F-Droid, die ohne diese Services auskommen. Messenger wie Telegram, Signal und Matrix bieten eigene Alternativen für zentralisierte Pushnachrichten an.

1. 2024-01-24 - Golem: Prominente iOS-Apps spähen heimlich Gerätedaten aus - https://www.golem.de/news/ueber-push-benachrichtigungen-prominente-ios-apps-spaehen-heimlich-geraetedaten-aus-2401-181574.html
2. 2023-12-13 - Tarnkappe: Apple-Richtlinien: Gerichtliche Anordnung für Push-Daten Pflicht! -
3. 2023-12-07 - Kuketz: Android: Abhilfe gegen staatliche Überwachung durch Push-Nachrichten - https://www.kuketz-blog.de/android-abhilfe-gegen-staatliche-ueberwachung-durch-push-nachrichten/
4. 2023-12-07 - Golem: Behörden spionieren Nutzer über Push-Benachrichtigungen aus - https://www.golem.de/news/apple-und-google-behoerden-spionieren-nutzer-ueber-push-benachrichtigungen-aus-2312-180106.html
5. 2023-12-06 - Netzpolitik: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps - https://netzpolitik.org/2023/push-dienste-behoerden-fragen-apple-und-google-nach-nutzern-von-messenger-apps/

1. How To Get the DuckDuckGo App on Android - https://duckduckgo.com/duckduckgo-help-pages/mobile/android/

Wenn du nicht weißt was Root ist, hast du es vermutlich nicht. Root muss bei den meisten Geräten aufwändig aktiviert werden. Leider benötigen auch einige Apps, die deine Sicherheit potentiell erhöhen können oft Root-Rechte. Zu nennen wären da zum Beispiel Backup-Anwendungen wie "Neo Backup" aber auch Apps wie "SnoopSnitch", die versuchen IMSI-Catcher oder Stille SMS zu erkennen. Du solltest immer genau abwägen, ob du wirklich Superuser-Rechte auf deinem Gerät benötigst. In den allermeisten Fällen gibt es dafür keine gute Begründung. Apps wie z.B. "SnoopSnitch" funktionieren sowieso nur in wirklich wenigen Software- und Hardwarekonstellationen. Deswegen Root einzurichten steht in keinem Verhältnis.

Wenn du dir unsicher bist welche Messenger gut sind oder wenn du Argumente brauchst, um Familie und Freud*innen zu überzeugen, solltest du dir unbedingt die Messenger-Matrix von Kuketz ansehen. Dort kannst du die einzelnen Messenger bequem nach Funktionen und Sicherheitsaspekten vergleichen.

1. 2024-03-26 - Techcrunch: Telegram’s peer-to-peer SMS login service is a privacy nightmare - https://techcrunch.com/2024/03/25/telegrams-peer-to-peer-sms-login-service-is-a-privacy-nightmare/
2. 2024-02-21 - Netzpolitik: Signal erlaubt bald Verbergen der Telefonnummer - https://netzpolitik.org/2024/messenger-signal-erlaubt-bald-verbergen-der-telefonnummer/
3. 2024-01-18 - Golem: Whatsapp lässt fremde Nutzer Geräteinformationen abgreifen - https://www.golem.de/news/missbrauch-moeglich-whatsapp-laesst-fremde-nutzer-geraeteinformationen-abgreifen-2401-181313.html
4. Messenger-Matrix - https://www.messenger-matrix.de/

In einigen Messengern funktioniert das über Mails. In anderen kannst du eine zusätzliche Pin vergeben. Wenn du deine Telefonnummer verlierst oder andere Menschen bzw. Behörden an deine Simkarte oder eine Kopie davon gelangen (Sim-Swapping), können sie sich mit der Telefonnummer anmelden und deine Nachrichten lesen bzw. in deinem Namen schreiben.

Durch speziell präparierte Nachrichten für iMessage konnten in der Vergangenheit immer wieder Staatstrojaner auf iPhones installiert wedern. Du solltest diese Software daher meiden.

1. 2024-01-07 - Aufregung über angebliche Hintertür in Apple-Chips für iPhones und Macs - https://www.derstandard.de/story/3000000201983/aufregung-um-vermeintliche-hintertuer-in-apple-chips-fuer-iphones-und-macs
2. Was ist eine Zero-Click-Malware und wie funktioniert sie? - https://www.kaspersky.de/resource-center/definitions/what-is-zero-click-malware

Anstelle von Youtube kannst du zum Beispiel eine der zahlreichen Invidious-Instanzen wie yewtu.be nutzen. So kannst du Werbung vermeiden und gleichzeitig deine Privatsphäre schüzen. Du kannst auch LibRedirect für FireFox installieren. Dieses Plugin leitet dich beim Surfen im Internet automatisch auf ein alternatives Frontend um.

1. 2024-03-25 - Heise: USA: Polizei will Daten zu allen, die bestimmte YouTube-Videos angesehen haben - https://www.heise.de/news/USA-Polizei-will-Daten-zu-allen-die-oeffentliche-YouTube-Videos-angesehen-haben-9664535.html
2. LibRedirect - https://libredirect.github.io/

Du solltest PassKeys nicht an eine biometrische Entsperrung binden. Denke außerdem daran deine Passkeys zu sichern für den Fall, dass du dein Gerät verlieren solltest.

1. 2023-10-19 - t3n: Internet ohne Passwörter: Was ihr jetzt über Passkeys wissen müsst - https://t3n.de/news/passkeys-android-ios-mac-windows-1583254/

Bedenke dabei bitte auch, dass es möglich sein muss ein Backup von deinem zweiten Faktor zu erzeugen. Eine Handynummer ist kein wirklich guter zweiter Faktor. Erstens kannst du deine Nummer potentiell verlieren. Es kann aber auch sein, dass andere Menschen oder Behörden Zugriff auf deine Nummer erlangen können. Im Falle eins Verlustes deiner Simkarte kommst du erst mal nicht an deine Accounts. Solltest du einen Hardware-Token als zweiten Faktor nutzen, stelle bitte sicher, dass es für Notfälle noch einen zweiten gibt! Solltest du Softwarelösungen wie Time-Based-One-Time-Passwords nutzen, fertige bitte Backups in deinen OTP-Apps an!

1. 2024-01-23 - Heise: Gefälschter Tweet zur Freigabe von Bitcoin-ETFs: SEC Opfer von SIM-Swapping - https://www.heise.de/news/Gefaelschter-Tweet-zur-Freigabe-von-Bitcoin-ETFs-SEC-Opfer-von-SIM-Swapping-9605332.html

Aber nicht nur Geheimdienste nutzen Werbung, um Menschen zu verfolgen. Datenbroker verkaufen aggregierte Daten über dich weiter und legen Profile von dir an.

1. 2024-03-18 - Golem: Der Spion aus dem Werbebanner - https://www.golem.de/news/standortdaten-aus-der-onlinewerbung-der-spion-aus-dem-werbebanner-2403-183217-2.html
2. 2024-01-26 - Heise: Personalisierte Überwachung statt Werbung: Handydaten ausgewertet und verkauft - https://www.heise.de/news/Gezielte-Werbung-Israelischer-Verein-wirbt-mit-5-Milliarden-ueberwachten-Geraeten-9609259.html
3. 2023-11-19 - Netzpolitik: Online-Werbung als „ernstes Sicherheitsrisiko“ - https://netzpolitik.org/2023/buergerrechtsorganisation-warnt-online-werbung-als-ernstes-sicherheitsrisiko/
4. 2023-07-06 - Netzpolitik: The adtech industry tracks most of what you do on the Internet. This file shows just how much. - https://netzpolitik.org/2023/surveillance-advertising-in-europe-the-adtech-industry-tracks-most-of-what-you-do-on-the-internet-this-file-shows-just-how-much/
5. 2021-10-26 - Kuketz: Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen - https://www.kuketz-blog.de/fuer-anfaenger-bequeme-werbung-und-tracker-unter-ios-android-systemweit-verbannen/
6. eBlocker - https://eblocker.org
7. Pi-hole - https://pi-hole.net/
8. AdAway for Android - https://adaway.org/
9. uBlock Origin for Firefox - https://addons.mozilla.org/de/firefox/addon/ublock-origin/

1. 2020-10-13 - Polizei erhält Liste aller Nutzer, die nach einem Schlagwort gegoogelt haben - https://netzpolitik.org/2020/ermittlungen-in-den-usa-polizei-erhaelt-liste-aller-nutzer-die-nach-einem-schlagwort-gegoogelt-haben/
2. 2020-10-09 - Heise: Inverssuche: Google liefert Polizei Nutzerdaten auf Basis von Suchbegriffen - https://www.heise.de/news/Inverssuche-Google-liefert-Polizei-Nutzerdaten-auf-Basis-von-Suchbegriffen-4925754.html
3. duckduckgo.com - https://duckduckgo.com/
4. stract.com - https://stract.com/

Generell solltest du überlegen, ob du die entsprechenden Cloud-Dienste überhaupt brauchst. Du kannst zum Beispiel Apps wie "OpenKeychain" verwenden, um Dateien vor dem Upload in eine Cloud zu verschlüsseln. Für den Fall, dass du ein Apple-Gerät mit deiner iCloud nutzt aktiviere dort den erweiterten Datenschutz.

1. 2023-12-07 - Apple trommelt für Ende-zu-Ende-Verschlüsselung von Cloud-Daten - https://www.heise.de/news/Apple-trommelt-fuer-Ende-zu-Ende-Verschluesselung-von-Cloud-Daten-9567657.html
2. 2023-08-04 - BAMF soll Cloud-Speicher von Asylsuchenden auslesen - https://netzpolitik.org/2023/innenministerium-bamf-soll-cloud-speicher-von-asylsuchenden-auslesen/
3. F-Droid: OpenKeychain: Easy PGP - https://f-droid.org/de/packages/org.sufficientlysecure.keychain/
4. So aktivierst du den erweiterten Datenschutz für iCloud - https://support.apple.com/de-de/HT212520

Wird dein Telefon entwendet können diese Daten Aufschluss über deine Herkunft geben. Nutze Apps wie "Imagepipe" um deine Bilder zu bereinigen bevor du diese ins Internet lädst. Imagepipe kannst du über den F-Droid auf deinem Android-Smartphone installieren. F-Droid ist ein installierbarer Katalog für freie und Open-Source-Software.

1. F-Droid - https://f-droid.org/de/

Hast du gewusst, dass zum Beispiel in Deutschland viele E-Mail-Provider als Telekommunikationsdienst gelten? Damit dürfen Behörden deine Bestandsdaten und E-Mails anfordern. Aber auch ohne behördliche Überwachung sind E-Mails vielen Gefahren ausgesetzt. Eine E-Mail passiert beim Weg in ein Postfach viele Knotenpunkte und kann an zahlreichen Stellen mitgelesen werden.

1. 2024-02-27 - Heise: Mailbox.org: Rechtswidrige behördliche Auskunftsanfragen stark angestiegen - https://www.heise.de/news/Mailbox-org-Rechtswidrige-behoerdliche-Auskunftsanfragen-stark-angestiegen-9640860.html

Auf der Website haveibeenpwned.com kannst du schnell und unkompliziert feststellen, ob deine Mailadresse in Datenlecks auftaucht. Du kannst dir dort auch einen Account zulegen, und dich bei neuen Funden automatisch benachrichtigen lassen.

1. ';--have i been pwned? - https://haveibeenpwned.com/