Smartphone, don't spy!
✔ Eine Checkliste für deine mobile Sicherheit

Diese Checkliste soll dir helfen deine Smartphone-Sicherheit zu überprüfen, damit du ein Gefühl für die Thematik entwickeln kannst. Die Liste enthält konkrete Vorschläge zur Verbesserung deiner Sicherheit in verschiedenen Szenarien. Dies ist die Druckversion der Liste. Du kannst die einzelnen Punkte mit einem Stift abhaken.

Bitte sei dir bewusst, dass Sicherheit immer auch von individuellen Risiken abhängt. Nicht alle Aufgaben werden für dich relevant sein. Nutze die Filter, um nur die Aufgaben zu zeigen, die für dich passend sind. Einige der hier beschriebenen Aufgaben schließen sich eventuell gegenseitig aus. Am Ende ist Sicherheit immer eine Abwägung. Absolute Sicherheit gibt es nicht.


Legende zu Themen und Szenarien

Wichtige Basics Journalismus, Regimekritik und Exil Politischer Aktivismus Migration, Flucht und Asyl Hausdurchsuchungen und Beschlagnahmungen Stalking und Frauenhäuser Werbung und Marketing Betrug und Abzocke Verhaltensbasierte Risiken Gefahren durch direkte Zugriffe Gefahren im Mobilfunknetz Gefahren im Internet Apps und Betriebssystem Eher einfach Eher komplizierter Ist eher teurer

1 Allgemeine Tipps

1.1 Du interessierst dich für deine Sicherheit

100 Punkte

Offenbar ist dir deine Sicherheit wichtig. Sonst würdest du hier nicht weiter lesen. Der erste Schritt für mehr Sicherheit ist getan.

1.2 Du machst dir Gedanken über deine Bedrohungslage

600 Punkte

Nicht alle Aufgaben in dieser Liste sind für dich auch relevant. Mache dir Gedanken um deine aktuelle Bedrohungslage und priorisiere die Aufgaben mit den Icons an den Aufgaben! Eine Legende findest du oben. So bekommst du eine bessere Übersicht und vermeidest Überforderung.

1.3 Du teilst dieses Wissen mit anderen

100 Punkte

Wenn wir es schaffen die Sicherheit aller Menschen zu erhöhen werden sich Überwachungsmaßnahmen weniger lohnen. Das kommt auch deiner Sicherheit zugute. Teile diese Liste daher in deinen Kanälen oder drucke den Flyer aus.

1.4 Du prüfst diese Liste von Zeit zu Zeit

200 Punkte

Genauso, wie sich die Technologie und diese Liste ständig wandelt wird sich dein Leben, deine Gewohnheiten und deine Geräte in Zukunft ändern. Nimm dir daher einmal im Jahr Zeit und prüfe diese Liste.

1.5 Du hast schon mal an einer Cryptoparty teilgenommen

400 Punkte

Cryptoparties sind Events auf denen du lernst deine Geräte und deine Kommunikation zu schützen.

Wenn du dich für Cryptoparties interessierst und Gleichgesinnte treffen möchtest kannst du dich zum Beispiel auf der Seite cryptoparty.in über bevorstehende Events informieren. Oder du folgst dem verlinkten Guide und veranstaltest gleich selbst eine Cryptoparty.

1.6 Du kennst deine wichtigsten Kontakte und Logins auswendig

400 Punkte

Du kennst die wichtigsten Nummern und Namen deiner Freund*innen, deiner Familie und deinen Bekannten auswendig. Du kannst dich außerdem in deine wichtigsten Accounts wie z.B. E-Mail auswendig einloggen. Solltest du dein Telefon oder sämtliche Geräte verlieren, hast du so eine Möglichkeit deine Kontakte wiederherzustellen.

1.7 Entferne vor sensiblen Besprechungen den Akku aus deinem Telefon

400 Punkte

Entferne den Akku aus deinem Gerät oder lagere es etwas entfernt, um vertrauliche Besprechungen zu schützen.

Bedenke, dass andere Personen nicht wissen können wie gut du dich selbst mit deinem Telefon auskennst. Es ist daher immer ein Zeichen des gegenseitigen Vertrauens Telefone aus sensiblen Gesprächen heraus zu halten. Grundsätzlich sollte gelten: Vertraue Personen eher als ihren Geräten.

1.8 Du nutzt die "NO STALK" App

400 Punkte

Die NO STALK App des Weissen Rings kann dir helfen unerwünschte Ereignisse wie Anrufe, SMS und Chat-Nachrichten gerichtsfest zu dokumentieren.

Alle weiteren Informationen findest du auf der Website der NO STALK APP.


2 Gefahren durch direkte Zugriffe

2.1 Du verwendest kein Dumbphone

400 Punkte

Nicht smarte Tasten-Geräte werden oft leichtfertig als "sicher" eingestuft. Diese lassen sich aber oft nicht verschlüsseln und bieten keine sichere Kommunikation.

Bei Beschlagnahmungen oder Diebstahl können Kontakte, SMS und Anruflisten ausgelesen werden. Darüber hinaus sind Dumbphones ohne weitere Schutzmaßnahmen genauso anfällig für Angriffe im Mobilfunknetz. Dumbphones lassen sich nicht verschlüsseln, du kannst keine Apps wie Passwortmanager darauf installieren, du kannst deine Bilder nicht von Metadaten bereinigen und kannst keine sicheren Messenger nutzen. Auf der einen Seite haben diese Telefone also Nachteile. Auf der anderen Seite muss aber auch festgehalten werden, dass nicht smarte Geräte einige Gefahren komplett ausschließen. Zum Beispiel ist hier die Gefahr durch Infektionen mit Malware sehr viel geringer. Verschlüsselung und sichere Kommunikation erscheint aber angesichts inflationärer Beschlagnahmungen und Überwachung so wichtig, dass ein smartes Gerät unbedingt zu bevorzugen ist.

2.2 Du hast deine Simkartennummer entfernt

200 Punkte

Auf der Rückseite deiner Simkarte befindet sich eine unscheinbare Nummer. Zerkratze sie, damit du im Falle einer Beschlagnahmung nicht über sie und deinen Provider identifiziert werden kannst.

Sei dabei bitte vorsichtig und achte darauf den Chip nicht zu zerstören. Kratze also nicht zu tief! Selbstverständlich gilt das nur für physische Simkarten. eSims haben eine solche Nummer nicht.

2.3 Du hast eine Displaysperre eingerichtet

400 Punkte

Der Display deines Gerätes schaltet sich nach einer Weile automatisch ab. Um diesen wieder zu entsperren nutzt du komplexe Muster oder alphanumerische Passworte.

Dein Passwort sollte mindestens 20 Zeichen lang sein.

2.4 Deine Smartphones sind verschlüsselt

800 Punkte

Verschlüssel deine Smartphones mit einem starken alphanumerischen Passwort das mindestens 20 Zeichen lang ist. Dies verhindert das Auslesen von Daten sehr effektiv.

Eine starke Verschlüsselung ist wichtig. Eine Bildschirmsperre ist nicht ausreichend und nicht das gleiche wie eine Verschlüsselung. Aktiviere die Verschlüsselung in deinen Einstellungen! Professionelle mobilforensische Software wie Cellebrite kann über die USB-Schnittstelle die meisten Bildschirmsperren einfach umgehen, indem es Sicherheitslücken ausnutzt oder versucht deinen Pin zu erraten. Alle Polizeibehörden in Deutschland verfügen über diese Software. Alle deine Daten, Kontakte, Anruflisten, Standortdaten, Login-Daten und vieles mehr könnten dann automatisiert via USB gesammelt, aufbereitet und visuell dargestellt werden. Dein Verschlüsselungspasswort sollte daher besonders stark sein. Nutze ein sehr komplexes Muster oder ein alphanumerisches Passwort zur Verschlüsselung! Aber was ist der Unterschied zwischen Verschlüsselung und Pin bzw. Passwort? Vereinfacht ausgedrückt ist ein Passwort- oder Pin-Schutz wie ein abgeschlossener Raum. Angreifer*innen können aber trotzdem durch das Fenster oder die Wand brechen, um an deine Daten zu kommen. Bei einer Verschlüsselung hingegen wird der ganze Raum in kleine Teile gehackt und gleichmäßig auf dem Boden verstreut. Ein Auslesen dieses Daten-Chaos ist ohne den richtigen Schlüssel, der alles wieder sortiert, nicht möglich.

  1. 2024-04-03 - Google Warns: Android Zero-Day Flaws in Pixel Phones Exploited by Forensic Companies - https://thehackernews.com/2024/04/google-warns-android-zero-day-flaws-in.html
  2. 2024-02-12 - Netzpolitik: Sachsen-Anhalt - Alle 3,5 Stunden durchsucht die Polizei ein Smartphone - https://netzpolitik.org/2024/sachsen-anhalt-alle-35-stunden-durchsucht-die-polizei-ein-smartphone/
  3. 2023-12-29 - 37c3: Gläserne Geflüchtete - Mit Computern das Leben zum Schlechteren verändern - https://media.ccc.de/v/37c3-12306-glaserne_gefluchtete
  4. 2023-06-28 - Netzpolitik: Abschiebung von Geduldeten: Berlin durchsucht weiter Handys - https://netzpolitik.org/2023/abschiebung-von-geduldeten-berlin-durchsucht-weiter-handys/
  5. 2016-12-08 - Phone-Cracking Cellebrite Software Used to Prosecute Tortured Dissident - https://theintercept.com/2016/12/08/phone-cracking-cellebrite-software-used-to-prosecute-tortured-dissident

2.5 Du kannst deine Geräte schnell abschalten

200 Punkte

Eine Verschlüsselung ist nur effektiv, wenn das Telefon ausgeschaltet ist. Übe daher wie du dein Telefon in Stresssituationen schnell abschalten kannst.

Auch wenn dein Telefon verschlüsselt ist kann professionelle mobilforensiche Software wie Cellebrite via USB darauf zugreifen. Solange dein Telefon eingeschaltet ist, ist die Verschlüsselung wirkungslos, da die Daten entschlüsselt sind. Erst wenn es abgeschaltet ist, ist Verschlüsselung wirklich effektiv. Schalte dein Telefon unbedingt ab, bevor du es in fremde Hände gibst! Wenn du auf Nummer sicher gehen willst kannst du auch einen Killswitch an deinem Telefon anbringen. So lässt sich der Akku in Gefahrensituationen schnell entfernen. In den weiterführenden Informationen findest du mehr Details zu dieser Idee.

2.6 Du verwendest eine Blickschutzfolie

200 Punkte

Du kannst eine spezielle Folie auf deinen Display kleben, die verhindert, dass umstehende Personen oder Kameras mitlesen können. Diese Folien gibt es für viele Modelle. Sie verwenden optische Effekte, die dazu führen, dass dein Display nur aus einem bestimmten Winkel sichtbar ist.

2.7 Deine Simkarte ist mit einer Pin geschützt

400 Punkte

Du solltest den Pin-Schutz deiner Simkarte niemals deaktivieren. Bei deaktiviertem Pin können Behörden oder andere Personen die Karte selbst nutzen, um sich beispielsweise Zugriff auf Messenger zu verschaffen.

Hinweis für anonyme Simkarten: Wenn du anonyme Simkarten verwendest kannst du die Pin-Sperre oft nicht aktivieren, da du die zur Karte gehörige Pin / PUK oft nicht kennst. Du erhältst diese Karten oft mit deaktiviertem Pin. Du solltest in diesem Fall darauf achten, dass alle deine Messenger mit einem zweiten Faktor (z.B. Pin) abgesichert sind und dass du die Karte nicht selbst für eine Zwei-Faktor-Authentifizierung nutzt.

2.8 Du verzichtest auf Speicherkarten

600 Punkte

Nicht auf allen Geräten lassen sich Speicherkarten zuverlässig verschlüsseln. Zudem lassen sich Daten wiederherstellen, die bei einer früheren Nutzung mit anderen Geräten darauf gespeichert wurden. Nutze Speicherkarten daher nur, wenn du weißt was darauf gespeichert wird und wenn du diese vorher überschrieben hast.

Einige ältere Android-Geräte erzeugen auch eine Signatur über verwendete Apps auf deiner Speicherkarte indem sie dort für verwendete Apps eigene Ordner anlegen. Dadurch können Rückschlüsse auf deine verwendeten Apps gezogen werden. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben.

2.9 Verzichte auf biometrische Freischaltung

600 Punkte

Du solltest nie deinen Fingerabdruck oder dein Gesicht nutzen, um dein Telefon freizuschalten. Behörden mit Zugriff auf Fingerabdrücke oder Bildmaterial können das Gerät sonst entsperren. Nutze daher komplexe Muster oder alphanumerische Passworte.

Fingerabdrücke und Gesichtserkennung sind keine sicheren Methoden, um das eigene Gerät zu entsperren. Sie sind wie Passwörter, die du niemals ändern kannst. Durch Datenlecks oder Malware könnten diese sensiblen Informationen abhanden kommen und dir so zum Nachteil werden. Zudem darf auch die Polizei deine Fingerabdrücke nutzen, um dein Gerät zu entsperren. In Deutschland und den USA gab es dazu bereits Gerichtsurteile. Wenn du ein iPhone hast kannst du durch das betätigen einer speziellen Tastenkombination Face ID und Fingerabdruck temporär sperren. Für Android ist auf einigen Geräten der Lockdown-Mode verfügbar mit dem du diese Funktionen im Notfall schnell abschalten kannst.

  1. 2024-04-19 - Heise: US-Gericht billigt erzwungenen Fingerabdruck zum Entsperren des Smartphones - https://www.heise.de/news/US-Gericht-billigt-erzwungenen-Fingerabdruck-zum-Entsperren-des-Smartphones-9691611.html
  2. 2024-02-21 - Golem: Forscher erzeugen Fingerabdrücke aus Wischgeräuschen - https://www.golem.de/news/security-forscher-erzeugen-fingerabdruecke-aus-wischgeraeuschen-2402-182449.html
  3. 2024-01-11 - Heise: Grundannahme widerlegt: KI findet Muster bei Fingerabdrücken einer Person - https://www.heise.de/news/Mit-KI-ermittelt-Mehrere-Fingerabdruecke-einer-Person-haben-doch-Gemeinsamkeiten-9594962.html
  4. 2023-06-29 - How to use Android's lockdown mode (and why) - https://www.zdnet.com/article/how-to-use-the-android-lockdown-mode-and-why-you-should/
  5. 2023-03-10 - Netzpolitik: Polizei darf Fingerabdrücke nehmen, um Handy zu entsperren - https://netzpolitik.org/2023/gerichtsbeschluss-polizei-darf-fingerabdruecke-nehmen-um-handy-zu-entsperren/
  6. 2022-06-29 - Tipp: So sperrt ihr Face ID und Touch ID innerhalb von 2 Sekunden - https://www.macerkopf.de/2022/06/29/tipp-so-face-id-touch/

2.10 Du hast die Entwickler*innen-Features deaktiviert

600 Punkte

Deaktiviere unbedingt USB-Debugging auf deinem Android-Gerät, wenn du dich damit auskennst. Normalerweise ist diese Funktion auf allen Geräten standardmäßig deaktiviert und muss von dir bewusst aktiviert werden.

2.11 Du verwendest nur dein eigenes Ladekabel

200 Punkte

Verwende nur Netzteile und Kabel zum laden, denen du vertraust. Markiere Kabel und Netzteil, um ein Austauschen zu verhindern.

Wenn möglich nutze ein USB-Kabel ohne Datenfunktion zum Laden. Manipulierte Kabel oder USB-Dosen in Hotels, Bussen oder Bahnen könnten Daten auslesen oder unerwünschte Software installieren. Wenn du dir nicht sicher bist kannst du dein Telefon für den Ladevorgang einfach abschalten. So kann nichts installiert oder ausgelesen werden und es wird trotzdem geladen.

2.12 Dein Betriebssystem verfügt über verified Boot

200 Punkte

Verified Boot verhindert Manipulationen an deinem Betriebssystem. Du solltest dich vergewissern, dass dein Gerät damit abgesichert ist. Wenn du selbst ein eigenes System installiert hast, solltest du verified Boot aktivieren.

Ob dein Gerät verified Boot unterstützt oder nicht erfährst du bei der herstellenden Firma. Wenn du ein eigenes Betriebssystem auf deinem Gerät installiert hast solltest du sicherstellen, dass verified Boot für dein Gerät unterstütz wird.

2.13 Du hast dein Gerät versiegelt

200 Punkte

Eine Versiegelung kann dir helfen nach einer Rückgabe deines Gerätes festzustellen, ob Hardware manipuliert wurde. Gib z.B einen Tropfen speziellen Siegellack oder Nagellack auf die Nahtstellen deines Geräts. So kannst du feststellen, ob es geöffnet wurde.

2.14 Du hast die eindeutigen Nummern deines Gerätes notiert

200 Punkte

In den Einstellungen deines Telefons findest du eindeutige, unveränderliche Hardwarenummern wie Seriennummer, Wi-Fi-Mac-Adresse, Bluetooth-Mac-Adresse und IMEI. Notiere diese Nummern. So kannst du dir jederzeit sicher sein, dass dein Gerät nicht heimlich ausgetauscht wurde.

Achte darauf, dass du diese Nummern an einem geheimen Platz ablegst. Speichere sie am besten verschlüsselt. So musst du nicht befürchten, dass diese Nummern in Zukunft genutzt werden, um dir ein bestimmtes Telefon zuordnen zu können.

2.15 Du fertigst regelmäßig Backups an

800 Punkte

Erstelle von deinen wichtigsten Daten regelmäßig Backups. Dein Backup muss nicht perfekt sein. Ein schlechtes Backup ist besser als kein Backup!

Du solltest bei deinem Backup auch an wichtige Apps wie 2-Faktor-Apps oder Passwortmanager denken. Die Einstellungen lassen sich daraus meist leicht exportieren. Nutze wenn möglich quelloffene Backup-Software wie "oandbackup" oder "Neo Backup". Diese benötigen allerdings Root-Rechte. Eine einfache regelmäßige Kopie deiner wichtigsten Daten auf einen USB-Stick ist aber auch ein guter Anfang! Denke daran, dass "No Backup, No Mercy" eine arrogante Haltung ist. Nicht alle Menschen haben das Wissen und die technischen Möglichkeiten für Backups. Helft euch gegenseitig!

2.16 Deine Backups sind verschlüsselt

400 Punkte

Wenn du die Möglichkeit hast solltest du deine Backups unbedingt verschlüsseln, um diese vor ungewollten Zugriffen zu schützen.

Die Android-App Neo Backup unterstützt Verschlüsselung von Haus aus. Du kannst aber auch verschlüsselte Zip-Archive von Hand erstellen oder gleich ganze USB-Sticks verschlüsseln. Unter Linux, MacOS und einigen Windows-Versionen geht das ganz einfach über eine grafische Oberfläche. Du kannst aber auch eine Verschlüsselungssoftware für deine Sticks wie VeraCrypt einsetzen, die auf den meisten Betriebssystemen funktioniert. Wenn du dich tiefer mit der Materie befassen möchtest und die Kommandozeile nicht scheust kannst du dir professionelle Software wie Restic (Linux) oder duplicity (Linux) ansehen. Dafür musst du dein Gerät dann mit einem Computer verbinden.

2.17 Deine Backups sind dezentral gelagert

400 Punkte

Du solltest deine Backups unbedingt dezentral und auch außerhalb deiner Wohnung speichern, damit du bei Diebstahl oder Beschlagnahmung schnell darauf zugreifen kannst.

Verschaffe dir einen Überblick über die Wichtigkeit deiner jeweiligen Daten und lagere sie entsprechend. Lagere z.B. unwichtigere Kopien deiner Musik- oder Bildersammlung weiter entfernt bei Freund*innen. Kritische Backups von Zugangsdaten oder wichtige Dokumenten solltest du eher redundant und auch in deiner Nähe lagern. Generell solltest du eine Kopie deiner Backups auch außerhalb deiner Wohnung aufbewahren.

2.18 Du übst die Wiederherstellung deiner Backups

400 Punkte

Die Wiederherstellung deiner Daten ist das Wichtigste an einem Backup. Übe diese Situation! So kannst du sehen, ob dein Backup intakt ist. Stelle sicher, dass du dein Backup ohne Zugriff auf andere Backups, Passwortmanager und Zwei-Faktor-Apps wiederherstellen kannst.

Du fragst dich wie das gehen soll, wenn doch alles verschlüsselt ist? Hier folgt eine Idee: Erstelle dir eine separate Passwortdatenbank. In diese Datenbank legst du alle wichtigen Haupt-Passworte für Computer, Telefon, andere Passwort-Datenbanken und auch für deine Backup-Archive. Erstelle dir nun eine Liste von 10-20 persönlichen Fragen, die nur du selbst beantworten kannst. Die Antworten auf die Fragen ergeben zusammengeschrieben dein Masterpasswort für Notfälle. Kopiere diese kritische Datenbank auf einen USB-Stick und lagere die Fragen daneben. Wenn du willst kannst du die Fragen auch mit Partner*innen, Freund*innen oder Familienmitgliedern gemeinsam erarbeiten. So sind Daten wiederherstellbar, selbst wenn dir etwas zustoßen sollte.

2.19 Du lagerst nicht genutzte Geräte nicht in deiner Wohnung

400 Punkte

Im Falle einer Hausdurchsuchung, eines Einbruchs, einer Überschwemmung oder anderer Notlagen werden oft alle Geräte entwendet oder zerstört. Bereite dich darauf vor, indem du nicht genutzte Geräte bei deinen Freund*innen lagerst. So hast du schnell Ersatz.

2.20 Du entsperrst dein Smartphone nicht auf Verlangen

800 Punkte

Bei Beschlagnahmungen auf richterliche Anordnung oder bei Sicherstellungen eines Smartphones fragt die Polizei oft nach Pins und Passworten. Sage nichts. Entsperre nichts. Kontaktiere Anwält*innen.

Du solltest auch dann nicht reagieren, wenn du einen Brief von der Polizei erhältst in dem du zur Heruasgabe der Pin aufgefordert wirst. Die Polizei könnte zudem versuchen dich verbal unter Druck zu setzen. Sie erzählen dir vielleicht, dass sich die Heruasgabe des Passwortes strafmildernd auswirken wird. Oder sie erzählen dir, dass du dein Telefon dann schneller wieder hast. Oder sie behaupten, dass es für dich teuer werden kann dein Smartphone professionell knacken zu lassen. Bleibe standhaft und verweigere die Herausgabe! Kontaktiere im Zweifel Anwält*innen. Bitte bedenke, dass bei der Einreise in andere Länder wie die USA oder China dein Telefon durchsucht werden darf. Möglicherweise wirst du zur Herausgabe deines Passwortes gezwungen. In diesem Fall kannst du ein frisch zurückgesetztes Telefon mitnehmen, dass gefahrlos durchleutet werden kann. Installiere nach dem Übertritt der Grenze alle Apps neu.

2.21 Du hast dein Telefon einmal überschrieben

200 Punkte

Du hast das Telefon gebraucht gekauft? Dann solltest du einmal den kompletten Speicher überschreiben, um zu vermeiden, dass ungewollte Daten auf deinem Gerät gefunden werden.

Gebrauchte Telefone könnten illegale Daten enthalten haben, die wiederhergestellt und ausgewertet werden könnten. Um zu vermeiden, dass dir das zum Verhängnis wird solltest du das Telefon einmal komplett überschreiben. Wenn du die Möglichkeit hast generiere dir große Zufallsdateien und kopiere diese auf dein Telefon, bis es voll ist. Andernfalls kannst du dir auch große Testdaten aus dem Internet herunterladen und damit den Speicher deines Telefons überschreiben. Achtung! Das Überschreiben von Flash-Speichern ist oft nicht zu 100% möglich. Es können trotzdem Daten zurück bleiben. Bei moderneren Android-Geräten und iPhones ist das wegen des verschlüsselten Dateisystems für gewöhnlich nicht notwendig. Achte aber in diesem Fall darauf, dass das Telefon ordnungsgemäß auf Werkseinstellungen zurückgesetzt wurde. Solltest du dir nicht sicher sein, kannst du es trotzdem überschreiben.

2.22 Deaktiviere nicht genutzte Schnittstellen

400 Punkte

Du solltest Positionierung, Wi-Fi, Bluetooth oder NFC nur aktivieren, wenn du es wirklich benötigst.

Über Wi-Fi kannst du in bestimmten Fällen wiedererkannt werden. Im extremsten Fall kann sogar deine Wohnadresse ermittelt werden. Einige Geräte verraten die eindeutige Hardwarenummer deiner Wi-Fi-Schnittstelle sowie die Liste deiner bekannten Wi-Fi-Netze. Auf Websites wie wigle.net kannst du einfach nach den physischen Standorten der Wi-Fi-Netze suchen. Google und Apple nutzen ihre Marktmacht, um die Standorte von benachbarten Wi-Fis durch ihre Geräte in ihren eigenen Datenbanken zu speichern. Betreibst du ein eigenes W-Lan? Google, Apple und sämtliche Geheimdienste kennen dadurch seine Koordinaten. Aber auch Bluetooth und andere Schnittstellen bergen Gefahren. Bluetooth ist zum Beispiel Anfällig für Bluesnarfing (Öffnung eigentlich geschlossener Ports durch Befehle von Außen), Bluejacking (Zusendung unerwünschter Nachrichten), Bluebugging (Ausnutzen einer Backdoor), Bluesmacking (Denial of Service) oder Car Whispering (Abhören der Freisprecheinrichtung).

  1. 2024-01-26 - Heise: Bluetooth zu unsicher: US Navy sucht Alternative - https://www.heise.de/news/Bluetooth-zu-unsicher-US-Navy-sucht-Alternative-9609217.html
  2. 2023-12-11 - Heise: Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar - https://www.heise.de/news/Bluetooth-Luecke-erlaubt-Einschleusen-von-Tastenanschlaegen-9570583.html
  3. 2023-10-30 - Heise: Von wegen privat: iPhones verrieten physische MAC-Adresse - https://www.heise.de/news/iPhone-Datenschutzpanne-Private-WLAN-Adresse-war-gar-nicht-so-privat-9349123.html
  4. 2023-09-01 - Golem: Bluetooth-Spam gelingt jetzt auch per Android-App - https://www.golem.de/news/kein-flipper-zero-noetig-bluetooth-spam-gelingt-jetzt-auch-per-android-app-2311-178988.html
  5. 2020-06-28 - Warum eine versteckte SSID keine Sicherheit bringt, sondern sogar Bewegungsprofile ermöglicht - https://www.wlan-blog.com/sicherheit/warum-eine-versteckte-ssid-keine-sicherheit-bringt-sondern-sogar-bewegungsprofile-ermoeglicht
  6. Wigle.net - All the networks. Found by Everyone. - https://wigle.net/

2.23 Verzichte wenn möglich auf Bluetooth-Geräte wie Earbuds

200 Punkte

Wenn du dir sicher sein möchtest, dass du nicht über Bluetooth abgehört wirst, solltest du eine Kabelverbindung für deine Kopfhörer nutzen.

Bluetooth-Geräte wie Earbuds können möglicherweise beim Austausch ihrer geheimen Schlüssel belauscht werden. Angreifer*innen in Reichweite könnten so unbemerkt mithören.

2.24 Nicht genutzte Kameras sind abgedeckt

400 Punkte

Du solltest nicht genutze Kameras einfach mit Stickern abdecken. Zum Beispiel, wenn du die Selfie-Kamera nicht oder nur kaum nutzt.

Wenn du in Deutschland wohnst kannst du dir beim Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) kostenlos wiederablösbare Spezialaufkleber für deine Smartphone-Kameras bestellen. Aber auch normale Sticker erledigen diese Aufgabe. Achte darauf, dass du nicht den unscheinbaren Helligkeitssensor überklebst! Dies führt dazu dass einige Smartphones den Display abschalten, da diese sich in einer Hosentasche wähnen. Wenn du Probleme mit Stalking hast oder von Ex-Partner*innen verfolgt wirst solltest du deine Kameras zur Sicherheit komplett abkleben.


3 Gefahren im Mobilfunknetz

3.1 Du nutzt datensparsame Telefon-Tarife

200 Punkte

Eine Flatrate erzeugt in der Regel weniger Daten als ein Tarif mit minutengenauer Abrechnung oder Einzelverbindungsnachweisen. Denn diese müssen erfasst und gespeichert werden. Flatrates erzeugen weniger Daten. Prepaid-Tarife erzeugen in der Regel nicht mal Rechnungsdaten und sind daher sehr datensparsam.

3.2 Du hast der Vermarktung deiner Bewegungsdaten widersprochen

200 Punkte

Viele Netzbetreiber*innen verkaufen eure Bewegungsdaten an diverse Werbefirmen weiter. Ihr könnt dieser Weitergabe widersprechen.

Frag bei den Provider*innen nach wie lange die Daten in den verschiedenen Tarifen gespeichert werden und mit wem sie geteilt werden. Es gibt auch extra datenschutzfreundliche Provider*innen wie z.B. "Wetell" in Deutschland. Trotzdem schützen diese nicht vor den zahlreichen Überwachungsmöglichkeiten im Mobilfunknetz! Anonyme Simkarten sind daher immer zu bevorzugen.

3.3 Du hast deine mobile Datenverbindung nicht durchgehend aktiviert

200 Punkte

Deaktiviere mobile Daten, wenn du diese nicht brauchst. Eine aktivierte mobile Internetverbindung hinterlässt eine durchgehende Aufzeichnung deiner genutzten Funkzellen in den Verkehrsdaten deines Providers.

Wenn du gerade weder telefonierst, keine SMS schreibst bzw. empfängst und die mobilen Daten nicht nutzt, ist dein Telefon im sogenannten "idle state". Es entsteht dann keine Historie über deine Funkzellen-Position bei deinem Provider. Dem Funknetzwerk ist nur die letzte sogenannte Location Area bekannt. Dies ist ein Verbund aus einer Vielzahl von Funktürmen, die keinen verlässliche Aussage über deinen genauen Standort liefert. Will dich eine Behörde oder eine Angreifer*in dann finden, sind diese oft auf stille SMS (silent pings) angewiesen. Erst dadurch wird dein Telefon wieder mit einer konkreten Funkzelle verbunden.

3.4 Du nimmst dein Handy nicht mit zur Demo

400 Punkte

Du solltest dein Telefon nicht mit zur Demo nehmen oder es einige Zeit vorher in den Flugmodus schalten bzw. es ganz ausschalten und es auch nach der Demo noch einige Zeit so belassen.

Der Grund ist, dass viele Telefone schlicht von der Polizei sichergestellt oder beschlagnahmt werden. Aber auch sogenannte IMSI-Catcher sind ein Problem. Das gilt auch dann, wenn du anonyme Simkarten nutzt. Durch die gezielte Verfolgung (zum Beipiel auf dem Heimweg) einzelner Personen mit IMSI-Catchern lässt sich eine Telefonnummer einer Person zuordnen. Egal, ob die Simkarte anonym ist oder nicht. IMSI-Cathcer können in Rucksäcken oder sogar auf Drohnen befinden. Ein IMSI-Catchers erzeugt eine Fake-Funkzelle mit der sich dein Telefon verbindet, weil das Signal des IMSI-Catchers stärker ist als das der umliegenden echten Funkzellen. Wirst du lange genug verfolgt müssen die Angreifer*innen nur noch nachschauen welches Telefon am längsten eingeloggt war. Deine IMSI ist den Angreifer*innen dadurch dann bekannt. Auf dieser Basis können dann Funkzellenauswertungen, Telekommunikationsüberwachung oder andere Maßnahmen folgen. Du hast in der Regel keine einfache Möglichkeit festzustellen, ob dein Telefon mit einer Fake-Funkzelle verbunden ist.

3.5 Du verzichtest auf Apps wie "SnoopSnitch"

400 Punkte

Apps, die potentiell IMSI-Catcher oder Stille SMS detektieren können werden dir in den allermeisten Fällen nichts bringen. Du solltest auf diese Apps verzichten und stattdessen lernen warum sie nicht viel bringen und was die Alternative ist.

Zunächst einmal ist an Apps wie "SnoopSnitch" generell nichts verkehrt. Wir können froh sein, dass es Menschen gibt, die sich mit dieser Materie befassen und solche Apps bauen. Trotzdem musst du verstehen, dass derartige Apps in den allermeisten Fällen völlig wirkungslos sind. SnoopSnitch zum Beispiel funktioniert nur in 2G und 3G Netzen, wenn dein Telefon Root hat und wenn auf dem Mainboard deines Gerätes ein ganz spezieller Chip verbaut ist. Du musst verstehen, dass die Kommunikation mit dem Mobilfunknetz für dein Betriebssystem eine völlig intransparente Blackbox ist. Dein Betriebssystem und deine Apps sind nicht in der Lage die Kommunikation mit einem Funkturm (Basisstation) im Detail zu steuern oder zu überwachen. Das bedeutet das Funknetzwerk kann mit dem Chip auf deinem Gerät kommunizieren ohne, dass dieses etwas davon mitbekommt. Schuld daran ist proprietäre, kommerzielle Hardware, die nicht quelloffen ist. So kommt es auch, dass du durch Stille SMS (Stealth Ping) grob geortet werden kannst. Der Funkchip in deinem Telefon registriert das zwar, meldet das aber nicht an dein Betriebssystem weiter. Nur einige wenige Chips haben Schnittstellen, die dem Betriebssystem eine Beobachtung erlauben. Nur dafür gibt es SnoopSnitch. Die einzig sinnvolle Verteidigung ist eine anonyme Simkarte.

3.6 Du verwendest anonyme Simkarten

800 Punkte

Anonyme Simkarten erschweren staatlichen Akteuren und anderen Angreifer*innen die Auswahl ihrer Ziele erheblich. Ob stille SMS, IMSI-Catcher, Bestandsdatenauskunft, Verkehrsdatenauskunft, Funkzellenauswertungen, Quellen-TKÜ, Staatstrojaner oder Standortüberwachung. Eine anonyme Simkarte ist oft die einzig sinnvolle Verteidigung gegen derartige Überwachung.

Das Thema der Mobilfunküberwachung ist komplex und kann in diesem Rahmen nicht komplett behandelt werden. Wichtig zu verstehen ist aber, dass Security-Apps gegen derartige Überwachung nichts ausrichten können, weil z.B. Daten betroffen sind, die ohnehin bei deinem Provider liegen und nicht auf deinem Telefon. Oder weil die Apps selbst keinen Zugriff auf den proprietären Funkchip deines Telefons haben und so z.B. stille SMS nicht sehen können. Oder weil sich der Angriff im Funknetzwerk zwischen Netzanbieter*innen abspielt. Oder weil deine Mobilfunkanbieter*in deine Daten einfach weiter verkauft. Hier auf Apps oder Verhaltensänderungen zu setzen bringt also nichts. Die einzige Verteidigung sind anonyme Simkarten. Bedenke auch, dass in Deutschland über 100 staatliche Stellen die Personen zu Telefonnummern und andersherum ohne Gerichtsbeschluss abfragen können.

  1. 2024-09-24 - Tarnkappe: LG Regensburg: Funkzellenabfrage auch bei minderen Delikten erlaubt - https://tarnkappe.info/artikel/rechtssachen/lg-regensburg-funkzellenabfrage-auch-bei-minderen-delikten-erlaubt-302120.html
  2. 2024-04-02 - Überwachung ab jetzt komplett geheim - https://www.nd-aktuell.de/artikel/1181145.kleine-anfragen-ueberwachung-ab-jetzt-komplett-geheim.html
  3. 2024-01-23 - Netzpolitik.org: Erstmals Pegasus-Infektionen in Togo enthüllt - https://netzpolitik.org/2024/ueberwachung-mit-staatstrojanern-erstmals-pegasus-infektionen-in-togo-enthuellt/
  4. 2024-01-18 - Netzpolitik.org: Staatstrojaner bedrohen Grundrechte in der EU - https://netzpolitik.org/2024/eu-parlament-staatstrojaner-bedrohen-grundrechte-in-der-eu/
  5. 2024-01-08 - Netzpolitik: Bundesnetzagentur schaltet pseudonyme Mobilfunk-Anschlüsse ab - https://netzpolitik.org/2024/bestandsdatenauskunft-2023-bundesnetzagentur-schaltet-pseudonyme-mobilfunk-anschluesse-ab/
  6. 2023-12-09 - Golem: Angreifer können 714 Smartphone-Modelle vom 5G-Netz trennen - https://www.golem.de/news/dos-schwachstellen-angreifer-koennen-714-smartphone-modelle-vom-5g-netz-trennen-2312-180183.html
  7. 2023-10-27 - Heise: Forscher: Sicherheitslücken beim Roaming bleiben auch bei 5G eine große Gefahr - https://www.heise.de/news/Forscher-Sicherheitsluecken-beim-Roaming-bleiben-auch-bei-5G-eine-grosse-Gefahr-9347577.html
  8. 2023-09-16 - Tarnkappe: Mobilfunkanbieter gaben erneut Daten illegal an die Schufa - https://tarnkappe.info/artikel/rechtssachen/mobilfunkanbieter-gaben-erneut-daten-illegal-an-die-schufa-280583.html
  9. 2023-09-14 - Netzpolitik.org: Russische Exil-Journalistin mit Pegasus gehackt - https://netzpolitik.org/2023/meduza-russische-exil-journalistin-mit-pegasus-gehackt/
  10. 2023-06-27 - Netzpolitik.org: Firma legt Scoring-Profile der Hälfte aller weltweiten Handynutzer an - https://netzpolitik.org/2023/datenschutzbeschwerde-gegen-telesign-firma-legt-scoring-profile-der-haelfte-aller-weltweiten-handynutzer-an/
  11. 2022-06-21 - Netzpolitik.org: Behörden fragen jede Sekunde, wem eine Telefonnummer gehört - https://netzpolitik.org/2022/bestandsdatenauskunft-2021-behoerden-fragen-jede-sekunde-wem-eine-telefonnummer-gehoert/
  12. 2019-08-28 - Die 5-G Überwachungsstandards - https://invidious.lunar.icu/watch?v=_2HOcuH5rKc
  13. 2018-12-29 - 35C3 - Die verborgene Seite des Mobilfunks - https://yt.artemislena.eu/watch?v=CSZWTaTu9As
  14. 2017-08-02 - Interaktive Karte: Registrierungspflicht für Prepaid-SIM-Karten in Europa weit verbreitet - https://netzpolitik.org/2017/interaktive-karte-registrierungspflicht-fuer-prepaid-sim-karten-in-europa-weit-verbreitet/
  15. 2017-07-11 - Süddeutsche Zeitung: Das Ende der Anonymität - https://www.sueddeutsche.de/digital/prepaid-sim-karten-das-ende-der-anonymitaet-1.3564334
  16. 2016-09-20 - Informatik-Gutachten: Eine Telefonnummer ist ausreichend, um eine Person mit einer Drohnen-Rakete zu treffen - https://netzpolitik.org/2016/informatik-gutachten-eine-telefonnummer-ist-ausreichend-um-eine-person-mit-einer-drohnen-rakete-zu-treffen/
  17. 2014-12-28 - Tobias Engel: SS7: Locate. Track. Manipulate - https://yt.oelrichsgarcia.de/watch?v=-wu_pO5Z7Pk
  18. Bundesnetzagentur: Häu­fig ge­stell­te Fra­gen: All­ge­mein und SI­NA-An­bin­dung - https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Autom_Auskunftsverfahren/FAQ/start.html
  19. Wikipedia: Was ist RRLP? - https://en.wikipedia.org/wiki/Radio_resource_location_services_protocol

3.7 Du nutzt dein Smartphone exklusiv für eine Simkarte

400 Punkte

Nutze deine anonyme Simkarte nur in einem bestimmten Telefon. Verwende nie das gleiche Telefon für eine andere Simkarte. Denn die eindeutige Nummer der Sim und die eindeutige Nummer deines Telefons werden immer zusammen in den Verkehrsdaten des Providers gespeichert.

3.8 Du verwendest oft andere Simkarten und ein Proxy-Telefon

200 Punkte

Um die Sicherheit weiter zu erhöhen kannst du oft deine anonymen Simkarten wechseln. Bei jedem Wechsel solltest du auch das dafür verwendete Telefon wechseln.

Da in den Verkehrsdaten deiner Netzanbieter*in immer die IMSI zusammen mit der IMEI auftaucht solltest du beim Wechsel deiner Simkarte auch dein Telefon wechseln. Wie du dir sicher vorstellen kannst ist es aufwändig und auch teuer das Telefon von Zeit zu Zeit zu wechseln. Du müsstest ja ständig deine Apps neu einrichten und viel Geld für ein neues Telefon ausgeben. Um die Kosten gering zu halten kannst du mit Proxy-Telefonen arbeiten. Und das geht so: Du hast ein teureres Gerät für deine reguläre Nutzung auf dem all deine Apps installiert sind. In diesem Telefon befindet sich keine Simkarte. Es ist also für das Mobilfunknetzwerk unsichtbar. Internet bekommst du über ein günstiges Zweitgerät, in welches eine Simkarte eingelegt ist. Dieses Telefon braucht nicht viel Leistung. Dieses kann dir aber einen Wi-Fi Hotspot und damit Internet bereitstellen. Außerdem kannst du damit ganz normal telefonieren, wenn du willst. Dieses Telefon lässt sich mit samt der eingelegten Simkarte schnell austauschen. Einziger Nachteil: Du hast immer zwei Smartphones dabei.

3.9 Deaktiviere deine Simkarte wenn du dich mit einer Gruppe bewegst

400 Punkte

Wenn du mit Freund*innen, Bekannten, Familie oder Genoss*innen unterwegs bist solltest du deine anonyme Simkarte nicht verweden.

Du solltest nicht damit telefonieren, keine SMS schreiben und deine mobile Internetverbindung nicht nutzen. Entferne sie sicherheitshalber aus deinem Telefon. Bewegst du dich über einen längeren Zeitraum mit anderen Personen gemeinsam durch identische Funkzellen ist theoretisch eingrenzbar wer du sein könntest oder wer dein Familien- bzw. Freund*innenkreis ist. Gleiches gilt für eine mögliche zweite Simkarte, die auf deinen Namen registriert ist. Z.B. wenn du ein zweites nicht anonymes Telefon dabei hast. Bewegt sich diese Simkarte zusammen mit der anonymen Simkarte durch ein Gebiet ist anhand der gleichen Funkzellenwechsel bekannt wem die anonyme Karte gehört. Die Funkzellenwechsel werden möglicherweise in den Verkehrsdaten deines Providers geloggt. Lass dir von Bekannten einen Wi-Fi Hotspot bereitstellen, wenn du unterwegs bist und verwende diesen mit einem VPN oder Tor. Wenn du mit einer größeren Gruppe unterwegs bist sollte nur eine einzige Person einen Hotspot erstellen. Alle anderen sollten ihre Simkarten für diese Zeit entfernen.

3.10 Du gibst deine Telefonnummer nicht weiter

800 Punkte

Wer deine Telefonnummer kennt kann dich leicht angreifen. Halte deine Nummer wenn möglich geheim. Um trotzdem erreichbar zu sein kannst du auf Messenger mit Anruffunktion ausweichen, die keine Nummer benötigen oder bei denen sich die Nummer verbergen lässt.

Auf Seiten wie cell-track.com oder phone-location.info kann zum Beispiel einfach herausgefunden werden, ob sich ein Gerät im Ausland befindet oder nicht oder ob ein Gerät gerade eingeschaltet ist. Alles was du brauchst ist die Telefonnummer. Du kannst nichts dagegen tun als deine Nummer geheim zu halten. Staatliche Akteure haben zudem weitere Möglichkeiten wie z.B. die Infektion des Gerätes mit einem Zero-Click-Exploit (Staatstrojaner). Nur eine anonyme Simkarte und das Geheimhalten deiner Nummer schützen dich effektiv vor staatlichen Übergriffen.

3.11 Du telefonierst nicht mit deiner anonymen Karte

400 Punkte

Nutze deine anonyme Simkarte/Telefon nicht für reguläre Telefonate oder SMS. In den Verkehrsdaten ist ersichtlich wer die Zielkontakte sind, wenn diese nicht auch eine anonyme Karte haben. Dadurch ist evtl. eingrenzbar wer du bist. Nutze die Karte wenn möglich nur mit anderen anonymen Karten oder weiche auf Internet-Messenger für Nachrichten und Telefonate aus.

3.12 Du hast Simkarten und Telefone anonym bezogen

200 Punkte

Du solltest Simkarten und Telefone nie direkt an deine Adresse bestellen oder von deinen Konten bezahlen. Um keine Spuren zu hinterlassen kannst du Freund*innen bitten diese für dich zu bestellen oder abzuholen. Zahle in bar.

3.13 Du beziehst dein Telefon-Guthaben anonym

200 Punkte

Du solltest auch das Guthaben für deine Simkarte anonym oder über Mittelspersonen beziehen. Verwende daher Simkarten für die du Guthaben bar an Kassen kaufen kannst oder bitte Freund*innen dir den Guthaben-Code zu senden.

3.14 Du unterdrückst deine Rufnummer, wenn du telefonierst

200 Punkte

Du kannst deine Rufnummer unterdrücken, wenn du telefonierst. So kann die angerufene Person deine eigene Nummer nicht sehen. Das kannst du für bestimmte Personen oder für alle Anrufe einstellen.

Besonders wenn du von Stalking betroffen bist solltest du deine Nummer unterdrücken. Denn deine Nummer kann auf vielfältige Weise genutzt werden um dich anzugreifen. Sei dir auch im Klaren darüber, dass das Unterdrücken der Rufnummer lediglich dazu führt, dass diese auf dem Telefon der Gegenstelle nicht angezeigt wird. In den Anrufprotokollen (Verkehrsdaten) der beteiligten Provider*innen wird deine Nummer dennoch gespeichert. Für Behörden ist dein Anruf also trotz unterdrückter Rufnummer nachvollziehbar. Nutze anonyme Simkarten, wenn du auf wirkliche Anonymität angewiesen bist.

3.15 Du wählst Notrufnummern wie 110 und 112 mit bedacht

400 Punkte

Seit 2019 wird in Deutschland und vielen anderen Ländern Advanced Mobile Location (AML) eingesetzt und schrittweise ausgebaut, um Personen in Notsituationen zu orten. Wenn du das nicht möchtest solltest du dich darauf vorbereiten.

Vor AML standen den Rettungsleitstellen lediglich extrem ungenaue Funkzellendaten zur Verfügung (wenn überhaupt), um Personen in Notsituationen orten zu können. AML dagegen ist fest in moderne Telefone und deren Betriebssysteme integriert: Wird eine Notrufnummer gewählt aktiviert das Telefon selbstständig GPS und Wi-Fi, um die eigene Position bestimmen zu können. Diese wird dann via Internet oder SMS automatisch an die Leitstelle übertragen. Diese extrem genaue Ortung wird nur durch das Wählen der Notrufnummern aktiviert und ist nicht von außen ohne dein aktives Handeln nutzbar. Du kannst in den meisten Fällen nichts dagegen tun, dass du beim Wählen dieser Nummern automatisch geortet wirst. Leider werden so aber auch anonyme Meldungen erschwert. Du solltest daher immer abwägen, ob die Wahl von Notrufnummern durch dein eigenes Telefon wirklich notwendig ist. Auf Wikipedia findest du eine Liste mit allen Ländern in denen es AML gibt. AML ist auf Android Teil der Play-Services und kann über die Notfalleinstellungen deaktiviert werden.

3.16 Du hast eine Sperre für Drittanbieter*innen eingerichtet

400 Punkte

Mit einer Drittanbieter*innensperre kannst du verhindern, dass Apps, Websites oder Betrüger*innen Kosten für Abos oder sonstige Käufe über deine Telefonrechnung abbuchen können.

Wenn du eine solche Sperre einrichten möchtest kannst du dich online oder telefonisch an deinen Provider wenden.

3.17 Du nennst nicht sofort deinen Namen, wenn du ans Telefon gehst

200 Punkte

Du solltest nicht deinen Namen nutzen, um ein Gespräch anzunehmen. Nutze stattdessen allgemeine Floskeln wie 'Hallo'.


4 Apps und Betriebssystem

4.1 Du verwendest ein freies Betriebssystem

800 Punkte

Freie Android-basierte Betriebssysteme wie grapheneOS, CalyxOS oder DivestOS können dir helfen deine Privatsphäre zu schützen und sind nicht an Google, Apple oder Microsoft gebunden.

Wenn du dir unsicher bist welches System du installieren solltest so lautet die klare Empfehlung derzeit grapheneOS auf einem der kompatiblen Telefone zu installieren. Mehr Informationen findest du in den Links.

4.2 Du hast dein Telefon von Bloatware befreit

400 Punkte

Hersteller*innen von Smartphones erhalten von Google oder Apple Millionen bis Milliarden dafür, dass ihre Software fest auf deinem Telefonen platziert wird. Du solltest diese Apps unbedingt entfernen.

Derartige Beträge lohnen sich natürlich nur wenn das einen Nutzen hat: Die vorinstallierte Software sammelt Daten und verwertet eure Gewohnheiten. Ihr solltet Bloatware daher entfernen (Manchmal ist das ohne Root-Berechtigungen nicht möglich) oder gleich ein custom Betriebssystem wie GrapheneOS installieren.

4.3 Du hast deine Werbe-ID deaktiviert oder gelöscht

600 Punkte

Du solltest unbedingt deine „mobile advertising ID“ (MAID) löschen, öfters ändern (Android) oder deinen Apps das Tracking verbieten (iOS), wenn du nicht möchtest, dass die Daten aus verschiedenen Apps durch sogenannte Datenbroker wieder zusammengeführt und verkauft werden.

Wenn du iOS oder Android verwendest überträgt dein Betriebssystem im Hintergrund eine Werbe-ID an deine Apps. Diese ID können an die Datensätze einzelner Apps gehangen werden. Wenn die Anbieter*in deiner Apps diese Daten dann verkauft können Broker diese mit anderen Datensätzen von dir zusammenführen. Dadurch entstehen regelrechte Halden aus deinen persönlichen Daten und Interessen, die online gehandelt werden.

4.4 Sind deine Apps und dein System aktuell?

400 Punkte

Halte Apps und dein Betriebssystem aktuell. Malware und Staatstrojaner nutzen oft Schwachstellen in der Software aus. Aktuelle Apps und ein aktuelles Betriebssystem sind daher wichtig.

4.5 Nutze einen Passwortmanager

400 Punkte

Deine Sicherheit wird enorm erhöht, wenn du für alle Services im Internet ein anderes komplexes Passwort verwendest. Diese solltest du in einem Passwortmanager wie KeepassXC oder Bitwarden speichern.

Denke daran, dass dein Passwortmanager ein besonders sicheres Passwort braucht. Denke auch daran eine regelmäßige Sicherungskopie deiner Passwortdatenbank zu erstellen. Wenn du Probleme hast dir starke Passworte auszudenken kannst du das Diceware-Verfahren nutzen. Unten findest du einen Link mit einer Anleitung. Alles was du brauchst ist ein Spiel-Würfel.

4.6 Du installierst Apps nur aus vertrauenswürdigen Quellen

200 Punkte

Nutze nur offizielle App-Stores oder F-Droid, um deine Apps zu beziehen. Wenn du dich auskennst kannst du Apps auch direkt von den Websites der Hersteller*innen laden. Überlege immer, ob du eine App überhaupt brauchst.

Infizierte Apps haben viele Möglihkeiten dich anzugreifen. Sie können zum Beispiel Passworte stehlen.

4.7 Du prüfst Zugriffsrechte sorgfältig

200 Punkte

Deine Taschenlampen-App will auf den Speicher zugreifen? Keine gute Idee! Frage dich immer wozu eine App Berechtigungen benötigt und gib diese nur schrittweise oder bei Bedarf frei.

4.8 Du nutzt alternative App-Stores

400 Punkte

Über F-Droid oder Aurora Store kannst du die meisten Apps auch ohne Anmeldung in Google bzw. ohne Google-Services beziehen.

4.9 Du verzichtest auf Google-Play-Dienste und Apple-Services

800 Punkte

Google-Play-Services bzw. Apple-Services stellen zentrale Infrastrukturen für einige Apps bereit. Zum Beispiel werden darüber Push-Nachrichten versendet. Staatliche Stellen nutzen diese Tatsache, um damit iPhone- bzw. Android-Geräte zu überwachen.

Du kannst dich davor schützen indem du Apps verwendest, die ohne Google bzw- Apple Services auskommen. Verzichte auch auf Alternativen wie microG, wenn du ein eigenes Betriebssystem installiert hast. Installiere zum Beispiel Apps aus F-Droid, die ohne diese Services auskommen. Messenger wie Telegram, Signal und Matrix bieten eigene Alternativen für zentralisierte Pushnachrichten an.

  1. 2024-01-24 - Golem: Prominente iOS-Apps spähen heimlich Gerätedaten aus - https://www.golem.de/news/ueber-push-benachrichtigungen-prominente-ios-apps-spaehen-heimlich-geraetedaten-aus-2401-181574.html
  2. 2023-12-13 - Tarnkappe: Apple-Richtlinien: Gerichtliche Anordnung für Push-Daten Pflicht! -
  3. 2023-12-07 - Kuketz: Android: Abhilfe gegen staatliche Überwachung durch Push-Nachrichten - https://www.kuketz-blog.de/android-abhilfe-gegen-staatliche-ueberwachung-durch-push-nachrichten/
  4. 2023-12-07 - Golem: Behörden spionieren Nutzer über Push-Benachrichtigungen aus - https://www.golem.de/news/apple-und-google-behoerden-spionieren-nutzer-ueber-push-benachrichtigungen-aus-2312-180106.html
  5. 2023-12-06 - Netzpolitik: Behörden fragen Apple und Google nach Nutzern von Messenger-Apps - https://netzpolitik.org/2023/push-dienste-behoerden-fragen-apple-und-google-nach-nutzern-von-messenger-apps/

4.10 Du nutzt datenschutzfreundliche Apps

400 Punkte

Viele gängige Apps tracken deine Gewohnheiten und Vorlieben. Informiere dich über datenschutzfreundliche Alternativen und prüfe die Tracker vorher!

Auf privascore.org findest du alternative Apps und Dienste für zahlreiche Themen. Nutze z.B. Browser, wie den DuckDuckGo-Browser, die keine Daten über dich sammeln. Das Projekt εxodus gibt dir zudem Auskunft über verwendete Tracker und Berechtigungen vieler Apps. So verzichten Karten-Apps wie Organic Maps oder Magic Earth komplett auf Tracker und sind somit eine gute Alternative zu Google Maps.

4.11 Du verzichtest auf Root-Rechte

200 Punkte

Root-Rechte ermöglichen dir viele einzigartige Apps. Diese Rechte gelten dann aber eventuell auch für schadhafte Apps, weswegen du auf Root generell verzichten solltest.

Wenn du nicht weißt was Root ist, hast du es vermutlich nicht. Root muss bei den meisten Geräten aufwändig aktiviert werden. Leider benötigen auch einige Apps, die deine Sicherheit potentiell erhöhen können oft Root-Rechte. Zu nennen wären da zum Beispiel Backup-Anwendungen wie "Neo Backup" aber auch Apps wie "SnoopSnitch", die versuchen IMSI-Catcher oder Stille SMS zu erkennen. Du solltest immer genau abwägen, ob du wirklich Superuser-Rechte auf deinem Gerät benötigst. In den allermeisten Fällen gibt es dafür keine gute Begründung. Apps wie z.B. "SnoopSnitch" funktionieren sowieso nur in wirklich wenigen Software- und Hardwarekonstellationen. Deswegen Root einzurichten steht in keinem Verhältnis.

4.12 Du nutzt sichere Messenger

800 Punkte

Du solltest unbedingt quelloffene, verschlüsselte Messenger wie Briar, Signal, Threema, Element oder SimpleX nutzen. Verzichte auf unsichere kommerzielle Messenger wie WhatsApp und Co.

Wenn du dir unsicher bist welche Messenger gut sind oder wenn du Argumente brauchst, um Familie und Freud*innen zu überzeugen, solltest du dir unbedingt die Messenger-Matrix von Kuketz ansehen. Dort kannst du die einzelnen Messenger bequem nach Funktionen und Sicherheitsaspekten vergleichen.

4.13 Aktiviere die zweistufige Bestätigung in deinen Messengern

400 Punkte

Die zweistufige Bestätigung (Zwei-Faktor-Authentisierung) verhindert, dass deine Simkarte oder Kopien davon genutzt werden können, um an deine Nachrichten zu kommen.

In einigen Messengern funktioniert das über Mails. In anderen kannst du eine zusätzliche Pin vergeben. Wenn du deine Telefonnummer verlierst oder andere Menschen bzw. Behörden an deine Simkarte oder eine Kopie davon gelangen (Sim-Swapping), können sie sich mit der Telefonnummer anmelden und deine Nachrichten lesen bzw. in deinem Namen schreiben.

4.14 Du gibst deine Apple-ID nicht weiter und deaktivierst iMessage

400 Punkte

Du solltest iMessage nicht nutzen und deine Apple-ID geheim halten. iMessage wurde in den vergangenen Jahren immer wieder Ziel sogenannter Zero-Click-Angriffe.

Durch speziell präparierte Nachrichten für iMessage konnten in der Vergangenheit immer wieder Staatstrojaner auf iPhones installiert wedern. Du solltest diese Software daher meiden.

4.15 Du hast auf deinem iPhone den Lockdown-Mode aktiviert

600 Punkte

Der Lockdown-Mode (Blockierungsmodus) kann auf dem iPhone benutzt werden, um Infektionen mit Malware vorzubeugen. Hierbei werden einige Features stark eingeschränkt, um das System besonders zu schützen.

Für Android ist ein ähnliches Feature nicht verfügbar.

4.16 Du startest dein Telefon oft neu

200 Punkte

Du solltest dein Telefon öfter neu starten. Zum Beispiel jeden Morgen oder vor kritischen Gesprächen. Einige Staatstrojaner überleben Neustarts nicht, da diese oft nicht persistent sind. Obwohl später Neuinfektionen möglich sind, kann dir diese Strategie private Zeitfenster verschaffen.

4.17 Du hast dein Gerät auf Werkseinstellungen zurückgesetzt

400 Punkte

Du solltest dein Telefon auf Werkseinstellungen zurücksetzen, wenn du ihm nicht mehr traust. Diese Methode ist effektiv gegen handelsübliche Spionage-Apps aus dem App-Store, die sich womöglich auf deinem Gerät verstecken könnten.

Diese Methode entfernt in der Regel ungewollte Spionage- oder Stalking-Apps von deinem Telefon. Diese Apps wurden eventuell von Menschen aus deinem nahen Umfeld installiert, als sie direkten Zugriff auf dein Gerät hatten. Bitte sei dir bewusst darüber, dass diese Apps nicht vergelichbar sind mit professionellen Staatstrojanern, die auch nach einem Zurücksetzen des Telefons möglicheriweise aus der Ferne wieder installiert werden können. Trotzdem ist diese Möglichkeit ein guter Anfang, um aus toxischen Beziehungen zu entkommen oder um Stalking vorzubeugen. Bitte sichere deine wichtigsten Daten vor dem Zurücksetzen.


5 Gefahren im Internet

5.1 Du überträgst deinen Bildschirm nicht an einen Smart-TV

200 Punkte

Einige smarte TV-Geräte erstellen Screenshots sowie Audioaufnahmen und laden diese automatisch und ungewollt ins Internet hoch. Schütze dich indem du dein Smartphone nicht mit einem Smart-TV koppelst.

5.2 Du bist vorsichtig beim Scannen von QR-Codes

200 Punkte

Achte beim Scannen von QR-Codes auf die Echtheit der Zielseite und prüfe genau wohin der Code dich leitet. Sei skeptisch, wenn du nach dem Scannen persönliche Daten oder Bankinformationen eintippen sollst.

Immer wieder werden QR-Codes zum Beispiel an Ladesäulen oder Automaten überklebt. Sie werden aber manchmal auch mit Briefen versendet. So werden Menschen dazu gebracht persönliche Informationen auf Fake-Seiten einzugeben oder bösartige Apps zu installieren. Prüfe daher das Ziel genau. Sei skeptisch bei aufgeklebten Codes. QR-Codes sollten so gestaltet sein, dass sie fälschungssicher sind. Zum Beispiel sollten diese hinter einer Glasscheibe angebracht sein, um ein Austauschen zu verhindern.

5.3 Du trägst deine Bankkarte nicht direkt bei deinem Smartphone

200 Punkte

Du solltest deine Bankkarte nicht direkt neben deinem Smartphone tragen oder lagern. Malware könnte die Daten über NFC auslesen und verschicken. Nutze alternativ RFID-Schutzhüllen für deine Karten und deaktiviere NFC.

Malware kann die NFC-Schnittstelle deines Smartphones nutzen, um Daten von Bankkarten auszulesen. Du kannst dich schützen indem du die Karten nicht direkt neben deinem Smartphone aufbewarst. Online kannst du auch spezielle RFID-Schutzhüllen bestellen, die dich schützen können.

5.4 Du gehst achtsam mit deinen persönlichen Daten um

800 Punkte

Du solltest dir genau überlegen welche persönlichen Informationen du im Internet teilst. Bist du z.B. leicht über Suchmaschinen zu finden? Wenn ja solltest du versuchen diese Daten zu entfernen.

Spezialisierte Agenturen und Datenbroker sammeln öffentliche Informationen und Informationen aus Datenleaks über dich und verkaufen diese z.B. an Geheimdienste weiter. Unternehmen wie PimEyes, die auf Gesichtserkennung ausgerichtet sind, nutzen deine persönlichen Bilder, um ihre KIs zu trainieren. So werden die biometrischen Merkmale deines Gesichts erfasst und du kannst in Bruchteilen von Sekunden auf anderen Bildern identifiziert werden. Versuche dich selbst im Internet zu finden, identifiziere die Services und versuche deine persönlichen Daten von dort zu entfernen. Nutze zum Beispiel Google Alerts, um dich automatisch via E-Mail informieren zu lassen sobald dein Name oder andere persönliche Daten im Internet auftauchen. Du kannst manchmal auch DMCA-Takedown-Anfragen nutzen, um deine Daten von US-Websites löschen zu lassen.

5.5 Nutze alternative Frontends

600 Punkte

Alternative Frontends für Webservices wie YouTube, Twitter, TikTok und andere Websites können dir helfen deine Daten zu schützen.

Anstelle von Youtube kannst du zum Beispiel eine der zahlreichen Invidious-Instanzen wie yewtu.be im Browser oder die App FreeTubeAndroid nutzen. So kannst du Werbung vermeiden und gleichzeitig deine Privatsphäre schüzen. Du kannst auch LibRedirect für FireFox installieren. Dieses Plugin leitet dich beim Surfen im Internet automatisch auf ein alternatives Frontend um. Große Unternehmen wie YouTube unternehmen große Anstrengungen um alternative Frontend immer wieder unbrauchbar zu machen oder zu sperren. Gib nicht auf, wenn es nicht gliech beim ersten Versuch funktioniert!

5.6 Du nutzt Passkeys

600 Punkte

Passkeys können in manchen Anwendungen und Apps Passwörter ersetzen und machen diese komplett überflüssig. Sie können nicht wie Passwörter durch Pishing oder Datenleaks entwendet werden. Nutze sie, wenn sie angeboten werden!

Du solltest PassKeys nicht an eine biometrische Entsperrung binden. Denke außerdem daran deine Passkeys zu sichern für den Fall, dass du dein Gerät verlieren solltest.

5.7 Du sicherst deine Accounts mit Zwei-Faktor-Authentifizierung

600 Punkte

Viele Dienste und Plattformen im Internet bieten eine Absicherung der Logins mit einem zweiten Faktor an. Nutze diese Möglichkeit wann immer es geht.

Bedenke dabei bitte auch, dass es möglich sein muss ein Backup von deinem zweiten Faktor zu erzeugen. Eine Handynummer ist kein wirklich guter zweiter Faktor. Erstens kannst du deine Nummer potentiell verlieren. Es kann aber auch sein, dass andere Menschen oder Behörden Zugriff auf deine Nummer erlangen können. Im Falle eins Verlustes deiner Simkarte kommst du erst mal nicht an deine Accounts. Solltest du einen Hardware-Token als zweiten Faktor nutzen, stelle bitte sicher, dass es für Notfälle noch einen zweiten gibt! Solltest du Softwarelösungen wie Time-Based-One-Time-Passwords nutzen, fertige bitte Backups in deinen OTP-Apps an! Die Android-App Aegis bietet zum Beispiel automatische Backups an.

5.8 Dein zweiter Faktor liegt auf einem separaten Gerät

200 Punkte

Deine Zwei-Faktor-App ist auf einem separaten Gerät installiert. So kann dein zweiter Faktor bei einer Kompromittierung deines Geräts nicht zum Einloggen in deine Accounts genutzt werden.

5.9 Du verwendest einen Werbeblocker

600 Punkte

Gezielte Werbekampagnen (Microtargeting) werden unter anderem von Geheimdiensten genutzt, um einzelne Geräte passgenau mit Malware zu infizieren. Schütze dich mit Werbeblockern!

Aber nicht nur Geheimdienste nutzen Werbung, um Menschen zu verfolgen. Sogenannte Datenbroker verkaufen außerdem aggregierte Daten über deine Person aus diversen Apps und Websites. Es gibt verschiedene Werbeblocker, die du auf unterschiedlichen Ebenen ausprobieren kannst. Netzwerkweite Lösungen wie eBlocker und Pi-hole schützen alle Geräte in deinem Heimnetzwerk. AdAway schützt dein Smartphone und uBlock Origin ist ein Plugin für den Firefox-Browser.

  1. 2024-03-18 - Golem: Der Spion aus dem Werbebanner - https://www.golem.de/news/standortdaten-aus-der-onlinewerbung-der-spion-aus-dem-werbebanner-2403-183217-2.html
  2. 2024-01-26 - Heise: Personalisierte Überwachung statt Werbung: Handydaten ausgewertet und verkauft - https://www.heise.de/news/Gezielte-Werbung-Israelischer-Verein-wirbt-mit-5-Milliarden-ueberwachten-Geraeten-9609259.html
  3. 2023-11-19 - Netzpolitik: Online-Werbung als „ernstes Sicherheitsrisiko“ - https://netzpolitik.org/2023/buergerrechtsorganisation-warnt-online-werbung-als-ernstes-sicherheitsrisiko/
  4. 2023-07-06 - Netzpolitik: The adtech industry tracks most of what you do on the Internet. This file shows just how much. - https://netzpolitik.org/2023/surveillance-advertising-in-europe-the-adtech-industry-tracks-most-of-what-you-do-on-the-internet-this-file-shows-just-how-much/
  5. 2021-10-26 - Kuketz: Für Anfänger/Bequeme: Werbung und Tracker unter iOS/Android systemweit verbannen - https://www.kuketz-blog.de/fuer-anfaenger-bequeme-werbung-und-tracker-unter-ios-android-systemweit-verbannen/
  6. eBlocker - https://eblocker.org
  7. Pi-hole - https://pi-hole.net/
  8. AdAway for Android - https://adaway.org/
  9. uBlock Origin for Firefox - https://addons.mozilla.org/de/firefox/addon/ublock-origin/

5.10 Du nutzt verschiedene Pseudonyme und Mailadressen

200 Punkte

Du kannst deine Sicherheit verbessern, indem du auf allen Plattformen einen anderen Namen und andere Mailadressen bzw. Mobilnummern für die Registrierung verwendest. So können deine Accounts durch Datenlecks nicht zusammengeführt werden.

5.11 Du nutzt deine Pseudonyme nicht zur gleichen Zeit

200 Punkte

Arbeite zeitversetzt wenn du in verschiedenen Kanälen oder Gruppen mit verschiedenen Pseudonymen die gleiche Nachricht teilen willst. Sonst ist ersichtlich dass eine Person hinter den diversen Pseudonymen steckt.

5.12 Du nutzt Tor oder den Tor-Browser

800 Punkte

Deine Internetzugangsprovider (Telekom, Vodafone, Telefonica, 1&1, etc...) können sehen welche Websites du besuchst. Tor (The Onion Router) kann dir helfen deine Anonymität im Internet stark zu verbessern. Nutze Websites über den Tor-Browser und leite Apps mit der Orbot-App über das Tor-Netzwerk um.

5.13 Du nutzt datenschutzfreundliche Suchmaschinen

400 Punkte

Google, Apple und andere Hersteller*innen geben Daten ohne zu zögern an Ermittlungsbehörden weiter. Verwende daher alternative Suchmaschinen wir duckduckgo.com oder stract.com

5.14 Du nutzt Cloud-Speicher nur verschlüsselt

600 Punkte

Viele Cloud-Anbieter*innen arbeiten vollumfänglich mit Ermittlungsbehörden zusammen und werden nicht zögern deine Daten auszuliefern. Lege dort nur verschlüsselte Daten ab.

Generell solltest du überlegen, ob du die entsprechenden Cloud-Dienste überhaupt brauchst. Du kannst zum Beispiel Apps wie "OpenKeychain" verwenden, um Dateien vor dem Upload in eine Cloud zu verschlüsseln. Für den Fall, dass du ein Apple-Gerät mit deiner iCloud nutzt aktiviere dort den erweiterten Datenschutz.

5.15 Du nutzt VPNs mit Bedacht

200 Punkte

Bedenke, dass du VPN-Anbieter*innen vertrauen musst. Du bezahlt sie, also kennen Sie deine Identität. Viele VPN-Dienste arbeiten vollumfänglich mit Ermittlungsbehörden zusammen. Wenn du kannst, nutze stattdessen das Tor-Netzwerk.

5.16 Du löschst Metadaten aus deinen Bildern

400 Punkte

Dein Smartphone heftet Metadaten wie Koordinaten, Kameratyp, Auflösung, Smartphone-Modell oder Betriebssystem unsichtbar an deine Bilder. Bei einigen Kamera-Apps lässt sich das teilweise oder ganz deaktivieren.

Wird dein Telefon entwendet können diese Daten Aufschluss über deine Herkunft geben. Nutze Apps wie "Imagepipe" um deine Bilder zu bereinigen bevor du diese ins Internet lädst. Imagepipe kannst du über den F-Droid auf deinem Android-Smartphone installieren.

5.17 Du ließt dir Datenschutzerklärungen durch

400 Punkte

Nimmst du dir Zeit Datenschutzerklärungen von neuen Apps und Services bei denen du dich registrierst zu lesen? Interessiert es dich mit wem deine Daten geteilt werden und was damit passiert?

5.18 Du verschlüsselst deine E-Mails

800 Punkte

Nutzt du E-Mails? Dann solltest du unbedingt über Verschlüsselung wie GPG/OpenPGP nachdenken.

Hast du gewusst, dass zum Beispiel in Deutschland viele E-Mail-Provider als Telekommunikationsdienst gelten? Damit dürfen Behörden deine Bestandsdaten und E-Mails anfordern. Aber auch ohne behördliche Überwachung sind E-Mails vielen Gefahren ausgesetzt. Eine E-Mail passiert beim Weg in ein Postfach viele Knotenpunkte und kann an zahlreichen Stellen mitgelesen werden. Zudem nutzen vermutlich zahlreiche Freemail-Services wie GMX.de oder WEB.de die Inhalte deiner Mails, um dir gezielt Werbung anzuzeigen.

5.19 Lösche nicht genutzte Accounts

400 Punkte

Es ist wichtig nicht mehr benötigte Accounts zu löschen. Nimm dir einmal im Jahr Zeit dafür. Egal, ob du diese für eine Website oder eine App benötigt hast. Wenn du sie länger nicht mehr genutzt hast, solltest du sie schließen. Das minimiert das Risiko von Datenlecks.

5.20 Du prüfst, ob du von Datenlecks betroffen bist

400 Punkte

Täglich leaken persönliche Daten aus Websites, Portalen und Onlineshops. Betroffne werden dabei selten informiert. Die Daten werden verkauft, gehandelt oder sind oft auch völlig frei zugänglich.

Auf der Website haveibeenpwned.com kannst du schnell und unkompliziert feststellen, ob deine Mailadresse in Datenlecks auftaucht. Du kannst dir dort auch einen Account zulegen, und dich bei neuen Funden automatisch benachrichtigen lassen.