Tipps & Tools fürs Internet

Der kompakte Ratgeber erklärt wesentliche Aspekte der Internet-Nutzung hinsichtlich Effizienz und Sicherheit. Neben typischen Client-Rollen mit Browser und Mail geht es auch um öffentliche Home- und Web-Server.

Das öffentliche Netz, sprich: Internet, scheint auf den ersten Blick unkomplizierter als das lokale Netzwerk. Der Aspekt Hardware fällt unter den Tisch, denn dafür sorgen der Internet-Provider beziehungsweise die Millionen Web-Server mit ihren Mail-, Download-, Kommunikations-, Info-Diensten. Wer nur Download-technisch unterwegs ist, hat nur die Sicherheitssorge: Er muss dafür sorgen, dass kein digitaler Schmutz im eigenen lokalen Netz landet – und dabei ist Linux per se ein effizienter Schutzwall. Aber Internet ohne Uploads ist nicht realistisch: Mail, Cloud, soziale Netzwerke, Banking, Online-Konten und Synchronisierungsdienste summieren sich zu einer Entropie-Wolke veröffentlichter Upload-Daten. Hier geht es um Datenschutz, also um Schutz durch Verschlüsselung, um Überblick und um Reduktion der Datenmenge. Technisch anspruchsvoll wird es, wenn Daten von Home-Servern und Web-Servern über das Internet erreichbar sein sollen, aber vielleicht nicht für alle und jeden.

Internet-Grundlagen

Bandbreiten und MBit/s

Die Währung der Internet-Provider sind die relativ unhandlichen MBit/s, Megabits pro Sekunde. Um aus MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10 und runden großzügig auf: Bei 16 MBit/s gehen also gut 1,6 MB (2,0) pro Sekunde durch die Leitung, bei 50 MBit/s gut 5 MB (6,25). Aktuell reichen die angebotenen Bandbreiten von 2 bis 400 MBit/s. Welche Bandbreite wofür notwendig ist, soll folgende Grobübersicht zeigen:

Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe wird aber bereits bei mäßiger Qualität grenzwertig.

16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und mit Abstrichen den Zugang zu IPTV und TV-Mediatheken.

25-50 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.

100-200 MBit/s sind Bandbreiten für anspruchsvolles Home-Office und Download-Junkies mit keinerlei Limits auf der Empfängerseite. Noch schnellere Leitungen sind derzeit kaum sinnvoll, weil Internetserver solche Datenmengen selten ausliefern.

Die Übertragungstechniken

DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kommt aber durch technische Optimierung auf maximal 52 MBit/s.

Internet via Fernsehkabel ist schneller als (V)DSL und mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Vodafone und Unitymedia reichen derzeit von 32 bis 400 MBit/s.

Glasfaser direkt zum Endkunden (Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze sind in Deutschland nur sporadisch anzutreffen.

Das Funknetz UMTS erzielt theoretisch bis zu 42 MBit/s. Typische Angebote liegen bei 7, 14 und 21 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem knappen Downloadlimit auskommen. Wer dies überschreitet, wird auf mageren Kilobyte-Durchsatz gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.

Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert – in der Theorie – bis zu 375 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich überwiegend zwischen 7 und 50 MBit/s. Auch hier gibt es enge Downloadlimits, deren Überschreitung die Leitung drosselt.

Verfügbarkeit prüfen: Simpelster Rat ist es, positive Erfahrungen der Nachbarn zu erfragen. Eine systematische Recherche-Quelle ist der Breitbandatlas unter www.zukunft-breitband.de, der Techniken und Anbieter für die Region anzeigt und dabei auch einen Filter für die gewünschte Bandbreite vorsieht. Mit einer Verfügbarkeitsprüfung beim passenden Anbieter mit genauer eigener Adresse erhalten Sie dann zuverlässige Auskunft.

Downloads und Uploads: Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen Server betreibt oder beruflich große Datenmengen an Server verschicken muss, sollte auch an die Upload-Leistung denken. Die liegt oft nur bei 1 bis 3 MBit/s. Schnellere Uploads sind in der Regel nicht gesondert, sondern nur über teurere Gesamtpakete zu erreichen, die dann zugleich schnellere Downloads erlauben.

Breitbandatlas

 

Die zwei IP-Adressen (LAN und WAN)

Im lokalen Netzwerk (LAN – Local Area Network) hat jedes Gerät hat seine IP-Adresse. Der Zugang ins Internet bedeutet den Schritt in ein anderes Netzwerk – ins WAN (Wide Area Network), und dafür ist eine zweite, öffentliche IP-Adresse notwendig. Alle PCs, Tablets oder sonstige Geräte in Ihrem Heimnetz gehen mit dieser einen WAN-IP ins Internet. Die öffentliche IP-Adresse können Sie nicht beeinflussen: Sie wird dem Router einmal täglich neu vom Provider zugewiesen. Auch beim manuellen Neustart des Routers erhalten Sie eine neue öffentliche WAN-IP. Feste WAN-IPs gibt es nur noch bei einigen Uralt- oder teuren Business-Verträgen.

Für typische Internet-Nutzung ist es unerheblich, seine WAN-IP zu kennen: Das Gerät im lokalen Netz fordert eine Seite im öffentlichen Internet an (meist via Browser), der Router merkt sich die lokale IP, geht mit der öffentlichen WAN-IP zum angefragten Internet-Server, der schickt die angefragten Daten über die WAN-IP zum Router zurück, und der Router leitet sie schließlich an jenes Gerät weiter (an dessen lokale IP-Adresse), das die Anfrage ausgelöst hatte.
Der skizzierte Vorgang der „Network Address Translation“ (NAT) des Routers sorgt dafür, dass der Benutzer über den permanenten Wechsel vom lokalen Netz ins öffentliche Netz und wieder zurück nichts wissen muss. NAT sorgt ferner dafür, dass das lokale LAN-Netz und die dort befindlichen Teilnehmer vor unerwünschten Anfragen aus dem Internet abgeschottet sind: Alle Teilnehmer (IPs) im lokalen Netz sind nicht direkt erreichbar, sondern nur über die WAN-IP. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Router verwirft alle Datenpakete aus dem Internet an die öffentliche WAN-IP, die von keinem Gerät im lokalen Netzwerk angefordert wurden.

Externe WAN-IP ermitteln

Die externe WAN-IP wird wichtig, wenn Sie über das Internet auf irgendeinen Serverdienst Ihres lokalen Netzwerks zugreifen oder die Sicherheit Ihres Netzes von außen prüfen wollen (etwa mit nmap). Die WAN-IP zeigt der Router in seiner Konfigurationsoberfläche, so etwa die Fritzbox unter „Übersicht“. Ferner gibt es zahlreiche Webdienste wie etwa www.browsercheck.pcwelt.de/firewall-check, welche die öffentliche IP via Browser zurückliefern.
Auf der Kommandozeile genügt der Befehl:

curl ifconfig.co

Sie erhalten ohne Umschweife die öffentliche WAN-IP. Auch das beliebte Kommandozeilen-Tool inxi, das über den gleichnamigen Paketnamen schnell nachinstalliert ist, beherrscht mit Parameter inxi -i die Abfrage der WAN-IP.

Das Heimnetz über Portfreigaben öffnen

Wer Daten oder Dienste seines lokalen Heimnetzes unterwegs aus dem öffentlichen Internet erreichen will, steht vor technischen und sicherheitstechnischen Problemen. Hinsichtlich der Benutzerauthentifizierung müssen weit strengere Regeln gelten als im lokalen Netz, da mit permanenten Einbruchsversuchen zu rechnen ist. Daher verbieten sich standardisierte User-Namen wie „root“ oder „gast“, und bei den Zugangskennwörtern sind komplexe Passwörter zwingend, an denen Wörterbuchattacken scheitern. Technisch entstehen drei Aufgaben:

1. Der Router benötigt eine Portfreigabe. Welche Portnummer (1- 65535) Sie nach außen öffnen, ist unerheblich – Sie müssen sie sich nur merken. Mit einer Portnummer größer 1000 erhöhen Sie theoretisch die Sicherheit, da Portscanner oft nur prominente Standardports abfragen (etwa 21 FTP, 22 SSH, 80 HTTP, 110 POP-Mail, 143 IMAP-Mail) oder die ersten 1000. Die Portfreigabe geschieht im Router, in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Bei anderen Routern mag das „Portforwarding“, „Portmapping“ oder „Virtual Server“ heißen, das hier für die Fritzbox erklärte Prinzip ist aber überall gleich: Sie tragen neben „von Port“ und „bis Port“ eine frei gewählte Portnummer ein, die nach außen geöffnet wird. Unter „an Port“ müssen Sie genau den Port-Kanal angeben, mit dem der Serverdienst arbeitet. Das kann beispielsweise 22 für SSH oder 80 für einen Webserver sein. Die Abbildung zeigt ein Beispiel für den SSH-Fernzugriff.

2. Der Heimserver benötigt eine feste lokale IP. Damit der Router Anfragen aus dem Web über die definierte Portnummer (frei wählbar) an das richtige Gerät schickt, ist es zuverlässiger, sich nicht auf dessen Hostnamen zu verlassen, sondern mit einer festen IP zu arbeiten. Die Fritzbox erledigt dies unter „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen“ mit der Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

3. Für den Fernzugriff auf den heimischen Server benötigen Sie die öffentliche WAN-IP. Der Fernzugriff für das abgebildete SSH-Beispiel kann dann mit ssh -p [Port] [User]@[WAN-IP] erfolgen, also etwa mit:

ssh -p 10880 ha@178.27.34.204

Dabei stellt sich jedoch das Problem, dass Sie die aktuelle WAN-IP Ihres Heimnetzes nicht ermitteln können, wenn Sie sich außerhalb Ihres Netzwerks befinden. Dafür gibt es zwei Lösungen:

3a. Sie registrieren eine Pseudo-Domain etwa bei www.noip.com oder www.dlinkddns.com (für D-Link-Router). Kontodaten und Hostnamen geben Sie dann in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigaben -> Dynamic DNS“. Der Router wird ab sofort bei jeder Einwahl seine WAN-IP an diesen Dienst weitergeben. Folglich führt die Angabe der Pseudo-Domain weltweit in Ihr Heimnetz.
3b. Sie sorgen selbst dafür, dass die aktuelle WAN-IP Ihres Netzwerks irgendwo im Internet hinterlegt ist. Für diese Methode ohne externe Fremdhilfe liefert der nachfolgende Haupttext dieses Artikel Tipps und Anregungen.

Portfreigabe

Speedtest mit und ohne Browser

Wie schnell ist die Internetverbindung? Als aussagekräftig haben sich die Messwerte von Speedtest.net erwiesen (www.speedtest.net), und viele Provider, die scheinbar eigene Speedtests anbieten, nutzen im Hintergrund ebenfalls Speedtest.net. Die typische Messung erfolgt mit dem Browser, der dazu aktuelles Adobe Flash benötigt. Auf Linux-Systemen, zumal auf Servern ohne grafische Oberfläche, gibt es eine universellere Testmethode im Terminal. Das Python-Script speedtest.py benötigt keinen Browser, lässt sich mit

wget -O speedtest.py https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

in das aktuelle Verzeichnis laden und danach mit

python speedtest.py

starten. Durch Pings ermittelt das Script den optimalen Testserver und führt dann die Messungen für die Download- und Upload-Geschwindigkeit durch. Technische Basis ist auch hier der weltweite Web-Service von speedtest.net.

Speedtest

Wie schnell ist der Web-Server?

Wer seinen eigenen Webserver testen will, nutzt am besten das Kommandozeilen-Tool Siege, das unter diesem Paketnamen überall unter Linux verfügbar ist. Siege erzeugt auf dem Zielserver mit einer konfigurierbaren Flut von Anfragen eine ordentliche Last. Siege hat die Anlagen eines Denial-of-Service-Tools und sollte nur zeitlich und numerisch begrenzt, außerdem nur auf eigene Server losgelassen werden. Einen Stresstest mit 50 Verbindungen startet dieses Kommando:

siege -c50 -b www.meinserver.de

Die Anfragen laufen endlos, bis Sie mit Strg-C abbrechen. Nach Abbruch der Belagerung zeigt Siege eine Statistik der Messwerte an. Weitere Server-Tests mit zusätzlichen Ratschlägen zur Leistungsverbesserung bieten Web-Dienste wie https://developers.google.com/speed/pagespeed/insights von Google oder die Pingdom-Analysen unter http://tools.pingdom.com/fpt/.

Downloads und Uploads mit wget und curl

Für automatisierte Downloads und Uploads sind Browser und grafische FTP-Programme ungeeignet. Die wichtigsten Kommandozeilen-Werkzeuge wget und curl sind daher auf den meisten Linux-Systemen standardmäßig installiert. Wget beherrscht den rekursiven Download und kann somit eine komplette Website lokal speichern:

wget –r -l8 http://meineseite.de

Dieser Befehl holt bis in die achte Verzeichnisebene (-l8) alle Dateien von der angegebenen Website. Einzeldownloads sind natürlich mit wget http://seite.de/Datei.txt ebenfalls möglich. Über wget-Downloads lassen sich auch PHP-Scripts auf Web-Servern auslösen. Wo nötig, kann sich wget über die Parameter „–user=“ und „–password==“ auf dem Webserver ausweisen.

Curl beherrscht Uploads und Downloads, allerdings nicht rekursiv. Da Sie alle Downloads mit wget erledigen können, ist Curl vor allem für automatische Uploads relevant. Der entscheidende Parameter für Uploads ist „-T“. Die meist nötige Authentifizierung für FTP-Uploads beherrscht Curl über den Parameter „–user [ftpuser]:[kennwort]“. Das folgende konkrete Beispiel

curl -T ha.kbdx ftp://meinserver.de/ordner/ha.kbdx --user ha:geheim

ist im nachfolgnden Haupttext genauer erläutert.

Domain-Abfragen mit Host und Whois

Das standardmäßig installierte Tool host gibt die IP-Adresse einer Web-Domain zurück:

host google.de

Wer weitere Details erfragen will, sollte whois nachinstalieren, das mit gleichnamigen Paketnamen unter jedem Linux zu beziehen ist. Das Tool liefert zur angegebenen Site mindestens ausführliche Angaben zum Hoster, oft aber weitere Infos zum Domain-Besitzer einschließlich Adresse und Telefon. Whois ist auch hilfreich, um bei Spam-Mails mit gefälschten Adressen den realen Web-Server zu ermitteln.

 

Tipps und Tricks fürs Internet

1. Sicherheit im Browser: Die Schutzmechanismen

Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der durch Add-ons erweitert werden sollte. Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option “ Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß die Option technisch klarer „Phishing- und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden.

Weitere empfohlene Browser-Erweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium. Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten die Scripts explizit erlaubt werden müssen. Einmal erlaubte Sites landen aber in der Whitelist und müssen später nicht mehr bestätigt werden.

Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Web-Seiten nicht mehr funktionieren (etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung, steht nach der Einstellung von Notscript 2014 aus.
HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Daten eingeben.

Die über Jahre empfohlene Erweiterung Web of Trust (WOT) ist nach Bekanntwerden zweifelhafter Verkaufspraktiken disqualifiziert. WOT basiert auf einer an sich zuverlässigen Community-Datenbank mit betrügerischen oder jugendgefährdenden Websites und warnt vor dem Betreten solcher Seiten. Ende 2016 wurde allerdings bekannt, dass WOT die gesammelten Benutzerdaten an Big-Data-Kollektoren verkauft. Mozilla Firefox nahm WOT umgehend aus seinem Add-on-Angebot, und wo es bereits läuft, rät der Browser zur Abschaltung. Für Google Chrome ist es weiter erhältlich. WOT erhöht weiterhin die Sicherheit bei der Internet-Nutzung, ist aber aus Datenschutzgründen mehr als bedenklich.

Firefox blockt WOT: Die Browser-Erweiterung WOT verkauft gesammelte Nutzerdaten und hat sich damit aus Datenschutzgründen disqualifiziert.

2. Maximale Sicherheit: Banking mit Livesystem

Die Mehrzahl der Bankgeschäfte – Überweisungen, Buchungen, Daueraufträge – werden heute online mit SMS-TANs erledigt. In diesem Fall ist der Browser die Schnittstelle zur Bank, und dessen Sicherheitslücken können potenzielle Angreifer ausnutzen. Voraussetzung bei allen bisher bekannten Angriffsmethoden war aber immer, dass unabhängig von der eigentlichen Banking-Aktion bereits vorher schädlicher Code auf dem System eingeschleust wurde. Daher bietet das virenresistente Linux deutlich höhere Sicherheit als Windows. Überhaupt keine Chance haben Schädlinge, wenn Sie Bankgeschäfte mit Linux und einem schreibgeschützten Livesystem erledigen.
Spezialisierte Livesysteme mit Sicherheitsfokus sind Tails (https://tails.boum.org/index.de.html), Porteus (www.porteus.org) oder Trusted End Node Security (früher Lightweight Portable Security, https://www.spi.dod.mil/lipose.htm). Im Prinzip minimiert aber jedes beliebige Livesystem alle Risiken drastisch. Auf Livesystemen überleben Systemveränderungen vom Benutzer oder von einem Virus keinen Neustart. Da Sie als Software nicht mehr als den Browser benötigen, eignen sich am besten kleine, schnell startende Livesysteme wie etwa Puppy Linux, Quirky, Antergos oder Bunsenlabs.

Mit einem Linux-Livesystem sicher zur Bank: Da nur ein Browser notwendig ist, genügt jedes minimale Livesystem wie hier Puppy Linux.

3. Datenschutz durch Spezialsystem Tails

Tails (The Amnesic Incognito Live System) ist eine populäre Linux-Distribution im Zeichen von Anonymität und Datenschutz. Wenn Sie auf der Projektseite https://tails.boum.org auf „Installieren Sie Tails“ klicken, startet ein deutschsprachiger Installations-Assistent, der Sie Schritt für Schritt bei der Erstellung eines USB-Sticks begleitet. Tails erfüllt als Livesystem alle Sicherheitsansprüche, geht aber wesentlich weiter: Es nutzt das Tor-Netzwerk, das sämtlichen Internetverkehr (Browser, Mail, FTP) über jeweils drei Zwischenstationen abwickelt. Zielserver erfahren also nie Ihre öffentliche WAN-IP, sondern nur die des letzten Tor-Knotens.

Das Livesystem ist vorab so konfiguriert, dass alle Internet-Programme wie Browser oder Mail-Client das Tor-Netzwerk einsetzen. Sobald Sie sich angemeldet haben, dauert es ein paar Sekunden und Sie erhalten die Benachrichtigung, dass Tor gestartet ist. Das Zwiebelsymbol im Systempanel färbt sich grün. Ein Rechtsklick und der Aufruf des „Kontrollpanel“ bestätigt die Verbindung zum Tor-Netz. Somit können Sie mit dem anonymisierten Surfen beginnen. Wenn Sie eine der zahlreichen Seiten zur Ermittlung Ihrer externen IP-Adresse aufrufen (www.wieistmeineip.de), werden Sie sehen, dass sich die externe Adresse regelmäßig ändert.

Als Tor-Knoten kann sich allerdings jeder zu Verfügung stellen („Einstellungen -> Beteiligung -> Relais-Verkehr…“). Es gibt keine technische (Bandbreite) oder personelle Kontrolle. Die Surfgeschwindigkeit kann daher je nach Zwischenstationen beträchtlich sinken. Gelingt es Überwachungsstellen, Tor-Knoten zu kontrollieren, können Nutzer wieder de-anonymisiert werden. Außerdem ist es bei strafrechtlichen Tatbeständen zwar ein ungleich höherer Aufwand, aber keineswegs ausgeschlossen, durch Analyse aller Tor-Verbindungsdaten die Spur zum Täter zurückzuverfolgen.
Für (technische) Sicherheit im Web ist Tails nicht notwendig. Es handelt sich um ein Anonymisierungswerkzeug für besonders misstrauische Nutzer, die dafür auch langsame Verbindungen in Kauf nehmen. Wer nur Datensammler wie Google mit Re-Targeting und nachfolgender Werbebelästigung loswerden will, kommt mit dem „Private“- oder „Inkognito“-Modus von Firefox und Chrome aus (-> Punkt 5).

4. Datenschutz im Browser: Verschlüsselte Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Online-Kennwörtern, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.
Der Mozilla-Browser Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf Mozilla zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
In Chrome/Chromium werden standardmäßig nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterten Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Keine Infos an Google verschenken: Die Browser-Synchronisierung in Chrome und Chromium lässt sich so einstellen, dass Google nichts mehr zu lesen hat.

5. Datenschutz im Browser: „Inkognito“ und „Do not Track“

„Inkognito“ Surfen bietet keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen. Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist aber eine nützliche Datenschutzmaßnahme: Es unterbindet den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Web-Protokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Online-Shops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.

Neben dem nützlichen Inkognito-Modus bietet mittlerweile fast jeder Browser eine „Do not track“-Option. Dieser Info-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, diese Bitte zu berücksichtigen. In Chrome/Chromium wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Auch beim Firefox ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“.

6. Datenschutz: Mailverschlüsselung mit Thunderbird

Das Verschlüsseln der Mail-Korrespondenz ist wie jede Datenschutzmaßnahme mit gewissem Mehraufwand verbunden. Die Kombination von GnuPG plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, erfordert aber etwas Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Thunderbird und GnuPG (GNU Privacy Guard) sind auf Linux-Desktops meist vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet (für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie in Thunderbird über „Add-ons“.

GnuPG verwendet zwei Schlüssel: Der öffentliche Schlüssel eines Mail-Teilnehmers wird dafür genutzt, Nachrichten an diesen Teilnehmer zu verschlüsseln. Der Teilnehmer selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel.
Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch angebotenen Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später, um auf Ihre Schlüssel zugreifen zu können. Es bildet auch die Grundlage für die Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar (öffentlich/privat) an. Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn Ihnen dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche GnuPG-Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Enigmail lässt sich auch so einstellen, dass Mails automatisch verschlüsselt gesendet werden, wenn für die Empfänger-Adresse schon ein Schlüssel vorliegt („Enigmail -> Einstellungen -> Senden“). Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, aber kein Empfänger-Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine E-Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich dann auf dem nächsten Rechner in einem Rutsch importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

7. Datenschutz: Verschlüsseln der Cloud-Daten

Dateien auf Dropbox, Onedrive, Hidrive & Co. sollten verschlüsselt werden, zumindest jene mit sensiblem Inhalt. Ohne Vorbereitung praktikabel, aber etwas unkomfortabel sind passwortgeschützte Packer-Archive etwa mit 7-Zip. Wenn Sie eine Cloud wie Dropbox über einen lokalen Synchronisierungsordner nutzen, dann ist der Einsatz von EncFS (Encrypted File System) mit grafischem Frontend Cryptkeeper komfortabler. EncFS und Cryptkeeper sind unter Debian, Ubuntu oder Linux Mint mit

sudo apt-get install encfs cryptkeeper

schnell nachinstalliert. Die Ersteinrichtung müssen Sie auf der Kommandozeile mit encfs erledigen, da Cryptkeeper Quellordner und Mountordner auf gleicher Ebene anlegt. Das wäre in diesem Fall kontraproduktiv, weil die Cloud neben den verschlüsselten auch die unverschlüsselten Dateien erhielte:

 encfs ~/dropbox/privat ~/Dokumente/dropbox

Sie arbeiten dann unter „~/Dokumente/dropbox“ normal mit den Dateien, die unter „~/dropbox/privat“ verschlüsselt werden. In der Cloud landen demnach nur verschlüsselte Daten.
Den bequemen cryptkeeper mit seinem Schlüsselsymbol in der Systemleiste können Sie später über die Option „Importiere EncFS Ordner“ mit dem Dropbox-Ordner bekannt machen. Der erlaubt einfache Auswahl zwischen mehreren EncFS-Ordner und schnelles Mounten und Aushängen per Mausklick.
Beachten Sie, dass alle sonstigen Dateien im Cloud-Verzeichnis weiter unverschlüsselt bleiben. Wenn Sie diese nachträglich verschlüsseln möchten, müssen Sie diese in den verschlüsselten Unterordner verschieben.

8. Datenschutz: Keepass-X mit Synchronisierung

Die Browser-Synchronisierung (-> Punkt 4) ist eines der komfortabelsten Cloud-Angebote. Dennoch hat sie zwei Mängel: Erstens machen Sie sich abhängig von Google oder Mozilla, zweitens speichern Firefox und Chrome keine lokalen Kennwörter. Wenn Sie alle Passwörter im Griff haben wollen, brauchen Sie zusätzliche Hilfe.
Der Passwort-Manager Keepass-X, der in gängigen Distributionen in den Paketquellen liegt (Debian/Ubuntu/Mint: sudo apt-get install keepassx) arbeitet als lokale Software und öffnet die maßgebliche KBDX-Datenbankdatei nach Eingabe des Keepass-Masterpassworts. Eine Synchronisierung der KBDX-Datei über mehrerer Rechner ist leider nicht vorgesehen, lässt sich aber über einen Trick erreichen, etwa über den lokalen Synchronisierungs-Ordner von Dropbox. Dann genügt es, Keepass-X mit der aktuellen KBD-Datei über den Aufruf

keepassx ~/Dropbox/[name].kbdx

zu laden. Dieser direkte Aufruf der Datenbankdatei funktioniert auch unter Windows.
Wer selbst einen Server besitzt, kommt ohne Cloud-Dienst aus und kann mit einem simplen Bash-Wrapper wie

cd ~
curl -O ftp://server.de/ordner/[name].kbdx --user 
  ftpuser:ftpkennwort
keepassx ~/[name].kbdx
curl -T [name].kbdx ftp://server.de/ordner 
  /[name].kbdx --user ftpuser:ftpkennwort

dafür sorgen, dass Keepass immer die aktuelle Datenbank nutzt und Änderungen wieder auf den Server zurückschreibt. Die KBDX-Datei ist per se verschlüsselt und kann ohne weiteren Schutz auf jedem Server liegen.

Verschlüsselte Keepass-Datenbank: Ohne Kenntnis des Datenbank-Kennworts bleibt der Keepass-Safe verschlossen. Die KBDX-Datei liegt daher auch auf öffentlichen Servern sicher.

9. Server: Homepage – öffentlich statt privat?

Eine Homepage kann neben öffentlichen Aufgaben auch dazu dienen, wichtige Downloads oder Infos bereitzustellen, die Sie überall erreichen wollen. Dabei sollten Sie aber sichergehen, dass nicht öffentlich wird, was Sie für den privaten Bedarf bevorraten. Google und andere Suchmaschinen durchsuchen praktisch alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF- und Postscript-Dateien. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen ist also eine Methode, um die Crawler von Privatinhalten fernzuhalten. Eine weitere, noch einfachere Lösung ist ein „Disallow“ in der robots.txt. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: *
Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar an die robots.txt halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

10. Server: Homepage ohne Dateiauflistung

Ohne spezielle Vorkehrungen ist theoretisch jede Datei im Web von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine index.php oder index.html verwenden, die den Inhalt des Verzeichnisses auflistet. Der für Websites meist verantwortliche Apache-Server kann sogar so eingestellt sein, dass er Verzeichnislisten automatisch anbietet, ohne dass dafür eine Index-Datei notwendig wäre („/etc/apache2/apache2.conf“ und Einstellung „Options Indexes FollowSymLinks“). Hier genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“, „uploads“), um den Inhalt anzuzeigen und herunterzuladen. Standardmäßig schalten die Web-Hoster diese Einstellung allerdings ab.

Ungewöhnlich benannte Verzeichnisse oder PHP- und HTML-Datei erschweren das Erraten von privaten Daten. Allerdings gibt es spezialisierte Tools wie Dirbuster, die öffentliche Webserver hartnäckig nach Verzeichnisnamen durchkämmen, die in einer Wörterbuchdatei definiert sind. Deutlich sicherer ist es, den Zugriff mit einer htaccess-Datei zu beschränken. Das müssen Sie nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bieten etwa Strato oder 1&1 einen „Verzeichnisschutz“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, danach das gewünschte Verzeichnis schützen und drittens dem vorher angelegten Benutzer eine Freigabe für das Verzeichnis erteilen.

Homepage als Cloud: Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist. Der Schutz via htaccess ist am einfachsten über das Kundencenter des Hosters zu aktivieren.

11. Server: Portfreigabe ohne Fremdhilfe

Wie Sie einen Web-, FTP- oder SSH-Server im heimischen Netzwerk für das Internet freigeben, ist im Kasten „Internet-Grundlagen“ beschrieben. Wie dort skizziert, ist das Problem der wechselnden WAN-IP durch die tägliche Zwangstrennung auch ohne Hilfe durch Dyndns-Anbieter wie www.noip.com zu lösen. Die Zutatenliste hierfür ist keine große technische Herausforderung. Im Wesentlichen geht es nur darum, dass Sie Ihre aktuelle WAN-IP zuverlässig irgendwo im Internet vorfinden. Damit und mit der Portnummer, die Sie im Router freigegeben haben, kommen Sie dann von außen an den Home-Server. Im einfachsten Fall erkundigt sich ein Rechner im Heimnetz einmal täglich bei einem Web-Dienst nach der WAN-IP und schreibt sie in eine Textdatei:

curl ifconfig.co > wan-ip.txt

Diese Textdatei kopieren Sie dann etwa in den lokalen Synchronisierungsordner der Dropbox, wonach sie umgehend im Internet erreichbar ist. Oder Sie kopieren sie mit

curl -O ftp://meinserver.de/ordner/wan-ip.txt  
  --user [user]:[ftpkennwort]

auf einen FTP-Server im Web.
Wenn Sie eine Webseite besitzen oder einen Bekannten, der Ihnen dort Zugriff und ein paar Kilobyte einräumt, dann geht es auch ganz ohne Cloud und Web-Dienste:
1. Die Abfrage der WAN-IP muss aus dem heimischen Netz erfolgen. Am besten erledigt das der Server, dessen Dienste Sie freigeben wollen, mit einem Cronjob (nach crontab -e):

0 8 * * * wget --user=sepp --password=G3H3IM 
   http://server.de/ip/wan-ip.php

2. Das täglich um acht Uhr mit wget angestoßene PHP-Script liegt auf Ihrer oder Ihres Bekannten Website und enthält im Minimalfall folgende Zeilen:

Der Webserver ermittelt die WAN-IP Ihres Heimnetzes, da die Anfrage von dort kommt, und legt sie als TXT-Datei am Server ab – im gleichen Verzeichnis, wo auch das Script liegt. Somit können Sie die IP weltweit abgreifen und damit Ihr Heimnetz betreten.
Beachten Sie bei einer frei gewählten Nummer für die Portfreigabe (siehe „Internet-Grundlagen“), dass Sie beim Fernzugriff unbedingt auch den Port angeben müssen. Einen Apache-Webserver erreichen Sie dann etwa mit der Adresse http://[WAN-IP]:[Port] oder gegebenenfalls mit zusätzlicher Angabe des Verzeichnisses (etwa http://[WAN-IP]:[Port]/dokuwiki).

Portfreigabe und Adresse: Das im Router fürs Web freigebenene Wiki ist über die WAN-IP erreichbar. Die zusätzliche Port-Angabe ist erforderlich, weil der freigebenene Port auf 11080 gelegt wurde.

13. Server: Datentransfer über SSH (SFTP)

Ein über das Internet mit SSH zugänglicher Server bietet nicht nur Fernwartung im Terminal, sondern auch direkten Dateitransfer. Der verläuft verschlüsselt und ist somit sicherer FTP. Auf der Kommandozeile gibt es die Befehle scp (Secure Copy) und sftp (Secure File Transfer Protocol):

scp test.txt sepp@[WAN-IP]:~/sftp sepp@[WAN-IP]

Portfreigaben mit abweichender Portnummer (Standard ist 22) können Sie beiden Tools dem Parameter „-P“ mitteilen.

Weit komfortabler ist der Einsatz grafischer Dateimanager. Nautilus & Co. verstehen URLs wie ssh://[WAN-IP]:[Port] in der Adresszeile (die Adresszeile lässt sich mit Strg-L einblenden). Selbst unter Windows gibt es einen bequemen Zugriff: Filezilla beherrscht neben FTP auch SFTP: Sie können daher einen freigegebenen SSH-Server mit der WAN-IP, seinen Authentifizierungsdaten („Verbindungsart: Normal“) und SFTP-Protokoll in den Servermanager eintragen und sich verbinden.

Achtung: SFTP hat ein historisches Problem, das nach erfolgreicher Anmeldung zu Zeitüberschreitungsfehlern führt. Relativ einfache Abhilfe schafft eine Korrektur der Datei /etc/ssh/sshd_config auf dem SSH-Server. Ersetzen Sie dort

Subsystem sftp /usr/lib/openssh/sftp-server

durch „Subsystem sftp internal-sftp“ und starten Sie den SSH-Dienst mit sudo service ssh restart neu.

Via Internet am SSH-Server: Mit den Linux-Dateimanagern Nautilus & Co. gelingt der Datenaustausch problemlos und komfortabel. Unter Windows kann Filezilla aushelfen.

13. Server: Benutzer bei SSH ausschließen

Standardmäßig kann sich jeder Benutzer, der ein Konto auf einem Linux-Server hat, per SSH mit Kontonamen und Passwort anmelden. Im lokalen Heimnetz ist das meist in Ordnung, bei öffentlich erreichbaren Servern nicht. Der Benutzer root beispielsweise sollte sich nicht anmelden können, denn hier ist von den beiden Zugangshürden (Benutzer plus Kennwort) schon mal eine bekannt. Wenn ein Angreifer das root-Passwort durch eine Wörterbuchattacke errät, ist das System kompromittiert. Um root und andere Benutzer von SSH auszuschließen, ist eine Anpassung der Konfigurationsdatei /etc/ssh/sshd_config nötig. Tragen Sie die Zeile

 PermitRootLogin no

an einer beliebigen Position ein, um einen root-Login zu verbieten. Wichtige Voraussetzung für diese Maßnahme ist, dass sudo für einen oder mehrere Benutzer eingerichtet ist, damit man sich als Admin nicht selbst über das Netzwerk aussperrt. Weitere Benutzer schließen Sie durch die Zeile

DenyUsers [Benutzer1] [Benutzer2]

aus, wobei die Platzhalter [Benutzer] durch die tatsächlichen Namen der Benutzerkonten ersetzt werden. Die Einstellung wird nach

sudo service ssh restart

aktiv.