Der perfekte OpSec Guide

Traditionelle Computer-Setups haben mehrere Schwachstellen:

• Proprietäre Firmware: Intel ME/AMD PSP können als Backdoors fungieren
• Windows: Geschlossenes System mit Telemetrie und Backdoors
• Unverschlüsselte Daten: Bei Beschlagnahme sind Daten lesbar
• Direkte Netzwerk-Verbindungen: IP-Adressen können dich identifizieren
• Physischer Zugriff: Unverschlüsselte Geräte sind sofort kompromittiert

Mit perfekter OpSec werden alle diese Schwachstellen eliminiert:

• ✅ Libreboot statt Intel ME/AMD PSP → Keine proprietären Backdoors
• ✅ Linux statt Windows → Open Source, keine Telemetrie
• ✅ LUKS-Verschlüsselung → Physischer Zugriff nutzlos
• ✅ VPN/Tor → IP-Adressen können dich nicht identifizieren
• ✅ Separate Geräte → Sensible Daten sind isoliert

Effektive OpSec beginnt nicht mit Tools, sondern mit Threat Modeling. Stelle dir diese fünf Fragen:

1. Was willst du schützen? (Assets)

   • Persönliche Daten? Kommunikation? Identität? Finanzielle Informationen?

2. Vor wem willst du dich schützen? (Adversaries)

   • Kriminelle? Staatliche Behörden? Unternehmen? Überwachungs-Apps?

3. Wie wahrscheinlich ist die Bedrohung?

   • Hoch? Mittel? Niedrig? Abhängig von deinen Aktivitäten?

4. Was sind die Konsequenzen eines Versagens?

   • Identitätsdiebstahl? Verhaftung? Finanzieller Verlust? Rufschädigung?

5. Wie viel Aufwand bist du bereit zu investieren?

   • Tägliche Gewohnheiten? Komplexe Setup-Prozesse? Separate Geräte?

Wichtig: Nicht jede Bedrohung erfordert die gleichen Maßnahmen. Ein normales OpSec-Setup für alltägliche Privatsphäre sieht anders aus als ein extremes Setup für Aktivisten oder Journalisten unter staatlicher Überwachung.

Bedrohungen lassen sich in verschiedene Kategorien einteilen, die unterschiedliche Maßnahmen erfordern:

• Corporate Surveillance (Datenbroker, Werbenetzwerke): Basis-Privacy-Tools (VPN, Ad-Blocker, Privacy-Focused Browser)
• Law Enforcement (Polizei, Strafverfolgung): OpSec-Praktiken (Verschlüsselung, anonyme Zahlungen, separate Identitäten)
• Intelligence Agencies (Geheimdienste): Erweiterte Hardening-Maßnahmen (Qubes OS, Tor, Air-Gap-Systeme)
• Targeted Nation-State Actors (Zielgerichtete staatliche Angreifer): Extreme Maßnahmen oder Umzug

Wichtig: Implementiere nicht blind alle möglichen Schutzmaßnahmen. Jede Maßnahme sollte spezifische identifizierte Bedrohungen adressieren. Die Verwendung aller möglichen Schutzmaßnahmen schafft Komplexität, ohne dein tatsächliches Risikomodell zu adressieren.

NSA’s Tailored Access Operations (TAO) ist eine spezialisierte Abteilung mit über 1.000 Mitarbeitern (Computer-Hacker, Ingenieure, Intelligence-Analysten), die seit mindestens 1997-1998 aktiv ist.

Der Prozess:

1. Überwachungssysteme erkennen Bestellung: Wenn Überwachungssysteme erkennen, dass eine Zielperson neue Computer-Ausrüstung bestellt
2. Paket wird abgefangen: Das Paket wird zu einer geheimen NSA-Einrichtung (“Load Station”) umgeleitet
3. Gerät wird geöffnet: Agenten öffnen das Paket und entfernen das Gerät
4. Malware/Backdoor wird installiert: Malware oder Hardware-Backdoors werden installiert
5. Wieder verpackt und geliefert: Das Gerät wird wieder verpackt und an die ursprüngliche Adresse geliefert

Zielgeräte:

• Laptops und Computer
• Router und Netzwerkgeräte (Cisco, Huawei)
• Firewalls (Juniper Networks)
• Storage-Produkte (Western Digital, Seagate, Maxtor, Samsung)
• Server und andere Netzwerkgeräte

Wichtig: Diese Praxis wird nicht nur für internationale Exporte verwendet, sondern auch für inländische Bestellungen von Überwachungszielen.

Um NSA-Interzeption zu vermeiden, solltest du:

Refurbished Geräte bar in Person kaufen:

• ✅ Keine Online-Bestellungen: Keine Online-Bestellungen von elektronischen Geräten, die sensible Daten verarbeiten werden
• ✅ Barzahlung: Barzahlung statt Kreditkarte oder andere nachverfolgbare Zahlungsmethoden
• ✅ In Person: Persönlicher Kauf in Geschäften, keine Lieferung nach Hause
• ✅ Refurbished: Refurbished Geräte sind weniger verdächtig und schwerer zu verfolgen
• ✅ Verschiedene Geschäfte: Verschiedene Geschäfte für verschiedene Geräte, um Muster zu vermeiden

Zusätzliche Maßnahmen:

• ✅ Hardware-Audit: Hardware-Audit durchführen, um unbekannte Komponenten zu identifizieren
• ✅ Firmware-Reset: Firmware zurücksetzen oder Libreboot installieren, wenn möglich
• ✅ Vollständige Neuinstallation: Vollständige Neuinstallation des Betriebssystems von vertrauenswürdigen Quellen
• ✅ Hardware-Verschlüsselung: Hardware-Verschlüsselung aktivieren (LUKS)

Alternative Mainboards mit offenen Bootloadern:

• ✅ Community-Mainboards: Mittlerweile gibt es alternative Mainboards (z.B. für ThinkPad X200/X230 und ähnliche Modelle), die moderne CPUs unterstützen und offene Bootloader haben
• ✅ Keine Intel ME/AMD PSP: Diese Mainboards sind ohne proprietäre Firmware wie Intel ME oder AMD PSP
• ✅ Libreboot-kompatibel: Viele dieser Mainboards sind direkt Libreboot-kompatibel oder haben bereits offene Bootloader vorinstalliert
• ✅ Moderne Hardware: Ermöglichen die Nutzung moderner CPUs in bewährten Gehäusen mit maximaler OpSec

Wichtig: Refurbished Geräte bar in Person sind nicht perfekt, aber sie reduzieren das Risiko erheblich, dass Geräte von Behörden infiziert werden, bevor sie dich erreichen. Alternative Mainboards bieten zusätzlich moderne Hardware mit offenen Bootloadern und ohne proprietäre Firmware.

Intel Management Engine und AMD PSP sind separate Prozessoren auf modernen Mainboards, die:

• ✅ Vor dem Betriebssystem starten
• ✅ Eigene Netzwerk-Stack haben
• ✅ Unabhängig vom Hauptprozessor operieren können
• ✅ Nicht deaktivierbar sind (außer auf speziellen Systemen)
• ✅ Proprietärer Code sind, der nicht auditiert werden kann

Das Problem: Diese Komponenten können theoretisch als Backdoors fungieren, da sie:

• Unabhängig vom Betriebssystem kommunizieren können
• Nicht vom Benutzer kontrolliert werden können
• Vulnerabilities haben, die ausgenutzt werden können

Bekannte Schwachstellen:

• CVE-2017-5705: Bug in Intel MEv11, der unautorisierte Code-Ausführung im frühen Boot-Prozess ermöglicht
• Intel Boot Guard: Wird von Libreboot als “Angriff auf Freie Software” charakterisiert, nicht nur als Sicherheitsfeature

Libreboot ist eine freie und Open-Source BIOS/UEFI-Firmware-Ersetzung, die:

• Auf coreboot basiert: Coreboot ist ein Open-Source-Projekt, das proprietäre BIOS/UEFI-Firmware ersetzt
• Binary Blobs minimiert: Libreboot’s strikte Policy priorisiert freie Software, wann immer möglich
• Hardware-Support bietet: Läuft auf spezifischen Laptops und Desktop-Mainboards (z.B. Lenovo ThinkPad T400, verschiedene x86- und ARM-Systeme)
• ME/PSP deaktiviert: Auf unterstützten Systemen kann Intel ME komplett deaktiviert werden, indem modifizierte Descriptors verwendet werden

Wichtig: Libreboot ist nicht für alle Hardware verfügbar. Du musst kompatible Hardware kaufen oder vorhandene Hardware prüfen, ob sie unterstützt wird.

Vorkonfigurierte Systeme: Minifree Ltd bietet Systeme mit vorinstalliertem Libreboot an.

Standard BIOS/UEFI:

• ❌ Proprietärer Code, nicht auditierbar
• ❌ Intel ME/AMD PSP aktiv und nicht deaktivierbar
• ❌ Potenzielle Backdoors
• ❌ Keine Kontrolle über Boot-Prozess

Libreboot:

• ✅ Open Source, vollständig auditierbar
• ✅ Intel ME/AMD PSP deaktiviert (auf unterstützten Systemen)
• ✅ Keine proprietären Backdoors
• ✅ Vollständige Kontrolle über Boot-Prozess
• ⚠️ Hardware-Limitierung: Nicht für alle Hardware verfügbar (siehe Accordion “Libreboot: Was ist das genau?” für Details)

Qubes OS priorisiert Sicherheit durch Isolation:

• VM-basierte Isolation: Läuft verschiedene Anwendungen in separaten virtuellen Maschinen
• Xen Hypervisor: Nutzt Xen Hypervisor für VM-Isolation
• Compartmentalization: Verhindert, dass Malware-Kompromittierung das gesamte System betrifft
• Template-VMs: Wiederverwendbare Template-VMs für verschiedene Zwecke

Vorteile:

• ✅ Isolation: Eine kompromittierte Anwendung kann nicht auf andere Anwendungen zugreifen
• ✅ Sicherheit: Selbst wenn eine VM kompromittiert wird, sind andere VMs geschützt
• ✅ Flexibilität: Verschiedene VMs für verschiedene Zwecke (Banking, Browsing, Sensible Daten)

Nachteile:

• ❌ Ressourcen-intensiv: Benötigt viel RAM und CPU
• ❌ Lernkurve: Komplexer als normale Linux-Distributionen
• ❌ Hardware-Support: Nicht alle Hardware wird unterstützt

Tails fokussiert auf Anonymität und Privacy:

• Live-System: Läuft von USB/DVD, hinterlässt keine Spuren
• Amnesia: Löscht alle Session-Daten beim Shutdown
• Tor-Integration: Routet automatisch alle Netzwerk-Verbindungen über Tor
• Keine Spuren: Hinterlässt keine Spuren auf dem Host-System

Vorteile:

• ✅ Anonymität: Alle Verbindungen gehen über Tor
• ✅ Keine Spuren: Hinterlässt keine Spuren auf dem Host-System
• ✅ Einfach: Kann von USB gestartet werden, keine Installation nötig

Nachteile:

• ❌ Performance: Langsamer als normale Installationen
• ❌ Keine Persistenz: Alle Daten gehen beim Shutdown verloren (außer mit Persistent Volume)
• ❌ Schutz nur auf Netzwerk-Ebene: Kann nicht vor Benutzer-Fehlern schützen (z.B. Einloggen mit echtem Namen)

Wichtig: Tails bietet Anonymität auf Netzwerk-Ebene, kann aber nicht vor Benutzer-Fehlern schützen. Wenn du dich mit deinem echten Namen einloggst, ist die Anonymität weg.

Kali Linux und ParrotSec sind Security-Focused Distributionen:

• Penetration Testing Tools: Spezialisierte Tools für autorisierte Security-Assessments
• Forensics Tools: Tools für digitale Forensik
• Privacy Features: ParrotSec hat zusätzliche Privacy-Features

Wichtig: Diese Distributionen sind nicht für Privacy gedacht, sondern für Security-Profis und Penetration Testing. Sie bieten keine automatische Anonymität wie Tails.

Für OpSec: Wenn du Security-Tools benötigst, können diese Distributionen nützlich sein, aber sie bieten keine automatische Privacy wie Tails oder Isolation wie Qubes OS.

Ubuntu und Debian sind exzellente Wahl für normale Anwender, die OpSec verbessern wollen:

Ubuntu:

• ✅ Benutzerfreundlich: Einfach zu installieren und zu verwenden
• ✅ Gute Hardware-Unterstützung: Funktioniert auf den meisten Hardware
• ✅ Regelmäßige Updates: Sicherheitsupdates werden regelmäßig bereitgestellt
• ✅ Große Community: Viele Ressourcen und Support

Debian:

• ✅ Sehr stabil: Extrem stabile Basis
• ✅ Minimal: Weniger Angriffsfläche als andere Distributionen
• ✅ LUKS-Unterstützung: Native Unterstützung während Installation
• ✅ Open Source: Vollständig Open Source, keine Telemetrie

Für OpSec: Beide Distributionen bieten gute Basis für OpSec, wenn du:

• LUKS-Verschlüsselung aktivierst
• Privacy-Focused Browser verwendest
• VPN/Tor nutzt
• Firewall-Regeln setzt

Wichtig: Ubuntu und Debian bieten keine automatische Anonymität wie Tails oder Isolation wie Qubes OS, aber sie sind viel benutzerfreundlicher und bieten gute Basis für OpSec.

Apple-Geräte haben mehrere Sicherheitsrisiken für OpSec:

Staatliche Verbindungen:

• Israelische Technologie: Apple hat mehrere israelische Firmen aufgekauft und betreibt drei große R&D-Zentren in Israel. Wie wir in unserem Artikel über Netanyahus Smartphone-Statement und Apples Verbindungen zu Israel detailliert beschrieben haben, sind die Verbindungen tiefer, als viele Menschen wissen.
• Chip-Entwicklung in Israel: Die M1/M2/M3 Prozessoren wurden “hier in Israel gebaut”, wie Apple’s israelischer Chip-Chef Johny Srouji erklärte.
• NSO Group und Pegasus: Zero-Click Exploits wie ForcedEntry und BlastPass zeigen, dass auch Apple-Geräte angreifbar sind.

Geschlossenes System:

• ❌ Keine Custom ROMs: Apple-Geräte erlauben keine Custom ROMs, du hast keine Kontrolle über das Betriebssystem
• ❌ Proprietäre Software: Geschlossenes System mit Telemetrie und eingeschränkter Kontrolle
• ❌ Vendor Lock-in: Abhängigkeit von Apple’s Ökosystem und Policies

Für OpSec: Apple-Geräte bieten keine Flexibilität für Custom-Konfigurationen und haben tiefe Verbindungen zu staatlichen Akteuren, die Sicherheitsrisiken darstellen können.

GrapheneOS ist eine Privacy-Focused Android-Distribution für Google Pixel Geräte:

Sicherheitsfeatures:

• ✅ Hardware-Verschlüsselung: Hardware-Verschlüsselung für zusätzliche Sicherheitsebene
• ✅ Gehärtetes Betriebssystem: Reduzierte Angriffsflächen, keine unnötigen Services
• ✅ Keine Telemetrie: Keine Telemetrie oder Tracking-Funktionen
• ✅ Sichere App-Isolation: App-Isolation zum Schutz vor Malware
• ✅ Regelmäßige Updates: Schnelle Sicherheitsupdates für Betriebssystem und Apps
• ✅ Sandboxing: Verbesserte Sandboxing für Apps

Vorteile:

• ✅ Maximale Sicherheit: Beste Security-Features für Android-Geräte
• ✅ Privacy-Focused: Keine Telemetrie, keine Tracking-Funktionen
• ✅ Hardware-Support: Nur für Google Pixel Geräte, aber beste Hardware-Unterstützung

Nachteile:

• ❌ Begrenzte Hardware: Nur für Google Pixel Geräte verfügbar
• ❌ Lernkurve: Etwas komplexer als Standard-Android

CalyxOS ist eine Privacy-Focused Android-Distribution für ausgewählte Android-Geräte:

Sicherheitsfeatures:

• ✅ MicroG statt Google Services: MicroG bietet Google Services-Kompatibilität ohne Google-Tracking
• ✅ Privacy-Focused: Keine Telemetrie, keine Tracking-Funktionen
• ✅ Sichere App-Isolation: App-Isolation zum Schutz vor Malware
• ✅ Regelmäßige Updates: Schnelle Sicherheitsupdates

Vorteile:

• ✅ Mehr Hardware-Support: Mehr Geräte als GrapheneOS unterstützt
• ✅ MicroG: Google Services-Kompatibilität ohne Google-Tracking
• ✅ Privacy-Focused: Keine Telemetrie, keine Tracking-Funktionen

Nachteile:

• ❌ Weniger Security-Features: Weniger Security-Features als GrapheneOS
• ❌ MicroG-Komplexität: MicroG kann komplexer sein als Standard-Google Services

LineageOS mit MicroG ist eine Open Source Android-Distribution mit MicroG statt Google Services:

Sicherheitsfeatures:

• ✅ Open Source: Vollständig Open Source, auditierbarer Code
• ✅ MicroG statt Google Services: MicroG bietet Google Services-Kompatibilität ohne Google-Tracking
• ✅ Große Hardware-Unterstützung: Viele Geräte werden unterstützt
• ✅ Community-getrieben: Große Community, regelmäßige Updates

Vorteile:

• ✅ Große Hardware-Unterstützung: Viele Geräte werden unterstützt
• ✅ Open Source: Vollständig Open Source, auditierbarer Code
• ✅ Community-getrieben: Große Community, regelmäßige Updates

Nachteile:

• ❌ Weniger Security-Features: Weniger Security-Features als GrapheneOS oder CalyxOS
• ❌ MicroG-Komplexität: MicroG kann komplexer sein als Standard-Google Services

Android mit Custom ROM:

• ✅ Custom ROMs: Vollständige Kontrolle über das Betriebssystem
• ✅ Open Source: Auditierbarer Code, keine proprietären Backdoors
• ✅ Keine Telemetrie: Privacy-Focused ROMs haben keine Telemetrie
• ✅ Hardware-Verschlüsselung: Hardware-Verschlüsselung für zusätzliche Sicherheitsebene
• ✅ Flexibilität: Verschiedene ROMs für verschiedene Zwecke

Apple:

• ❌ Keine Custom ROMs: Keine Kontrolle über das Betriebssystem
• ❌ Geschlossenes System: Proprietäre Software mit Telemetrie
• ❌ Staatliche Verbindungen: Tiefe Verbindungen zu Israel und anderen staatlichen Akteuren
• ❌ Vendor Lock-in: Abhängigkeit von Apple’s Ökosystem

Für OpSec: Android mit Custom ROM bietet bessere OpSec als Apple-Geräte, da du vollständige Kontrolle über das Betriebssystem hast und keine staatlichen Verbindungen bestehen.

LUKS verschlüsselt gesamte Block-Devices und bietet:

Verschlüsselungs-Spezifikationen:

• Standard-Cipher: aes-xts-plain64 mit 512-Bit-Key-Größe
• Alternative Cipher: Twofish, Serpent
• Key-Slots: LUKS1 bietet 8 Key-Slots, LUKS2 bietet bis zu 32 Key-Slots
• Backup-Keys: Mehrere Passphrasen können für Backup-Zwecke verwaltet werden

Kritische Limitierung: LUKS schützt Daten nur, wenn das System offline ist. Sobald entschlüsselt, sind Dateien für jeden mit System-Zugriff zugänglich. LUKS ist nicht geeignet für Szenarien, die Datei-Level-Verschlüsselung benötigen oder wo mehrere Benutzer unterschiedliche Zugriffs-Keys für dasselbe Device benötigen.

Praktische Konsequenz: Wenn du eingeloggt bist, sind unverschlüsselte Daten sofort zugänglich – auch bei verschlüsselten Festplatten. Deshalb sind USB Dead Man Switches und automatische Logout-Mechanismen essentiell (siehe Abschnitt “Physische Sicherheit”).

Kritische Best Practices für LUKS:

1. LUKS-Header sichern: WICHTIGSTE Empfehlung – Sichere den LUKS-Header vor potenziell gefährlichen Operationen. Beschädigung des LUKS-Headers führt oft zu permanentem Datenverlust ohne Wiederherstellungsmöglichkeiten.

2. Vorsicht bei Disk-Cloning: Das Kopieren eines LUKS-Containers erhält den Master-Key. Wenn du Images auf mehrere Maschinen verteilst, teilen sie alle denselben Verschlüsselungs-Key.

3. Vermeide Debug-Commands mit Passphrasen: Tools wie strace können deine vollständige Passphrase in Logs und Mailing-Listen leaken.

4. SSD/Flash-Drive-Überlegungen: Es bleibt unklar, wie volle Sicherheitsgarantien aufrechterhalten werden können, wenn LUKS auf SSDs und Flash-Drives verwendet wird.

5. Starke Passphrasen: Verwende mindestens 20 Zeichen, zufällig generiert, für maximale Sicherheit.

6. Mehrere Key-Slots: Nutze mehrere Key-Slots für Backup-Passphrasen, aber stelle sicher, dass alle Passphrasen stark sind.

Für perfekte OpSec solltest du LUKS auf allen Ebenen verwenden:

• ✅ Host-System: Hauptfestplatte mit LUKS verschlüsseln
• ✅ Separate Geräte: Alle Geräte für sensible Daten mit LUKS verschlüsseln
• ✅ Backup-Medien: Alle Backup-Medien mit LUKS verschlüsseln
• ✅ USB-Sticks: USB-Sticks für sensible Daten mit LUKS verschlüsseln

Anwendung: Für zusätzliche Sicherheit solltest du auch Datei-Level-Verschlüsselung (z.B. Veracrypt, EncFS) verwenden.

USB Dead Man Switches lösen automatische Schutzmaßnahmen aus, wenn ein USB-Gerät getrennt wird:

BusKill (Hardware-basiert):

• Magnetisches Breakaway-USB-Kabel: Trennt sich physisch, wenn gezogen wird
• Aktionen: Kann Laptop sperren, herunterfahren oder selbst zerstören
• Open Source: CC-BY-SA lizenziert, GPLv3 Code

usbkill (Software-basiert):

• USB-Port-Überwachung: Überwacht USB-Ports auf Änderungen
• Sofortiges Herunterfahren: Fährt Computer sofort herunter, wenn Änderung erkannt wird
• Anti-Forensik: Verhindert unautorisierte USB-Geräte-Verbindungen oder Daten-Transfers

deadman (Software-basiert):

• Cross-Platform: Windows, Linux, macOS
• USB-basiert: Überwacht USB-Geräte-Verbindungen
• Verschiedene Aktionen: Kann verschiedene Aktionen auslösen (Sperren, Herunterfahren, Daten löschen)

Hinweis: Kombiniere diese Tools mit LUKS-Verschlüsselung (siehe Abschnitt “Daten-Ebene”), um Daten zu schützen, die sonst während der Shutdown-Verzögerung zugänglich wären.

USB-Stick als Boot-Partition ist eine Alternative zu USB Dead Man Switches:

Konzept:

• Boot-Partition auf USB-Stick: Das Betriebssystem bootet von einem USB-Stick
• LUKS-Key auf USB-Stick: Der LUKS-Key liegt auf dem USB-Stick
• Automatische Entschlüsselung: Bei Reboot wird automatisch entschlüsselt, wenn USB-Stick vorhanden ist

Vorteile:

• ✅ Automatische Entschlüsselung: Keine manuelle Passwort-Eingabe nötig
• ✅ Portable: USB-Stick kann mitgenommen werden
• ✅ Sicherheit: Ohne USB-Stick kann System nicht gestartet werden

Nachteile:

• ❌ USB-Stick muss verfügbar sein: USB-Stick muss physisch verfügbar sein
• ❌ Verlust-Risiko: Wenn USB-Stick verloren geht, kann System nicht gestartet werden
• ❌ Backup nötig: Du musst Backup des USB-Sticks haben

Für OpSec: USB-Stick als Boot-Partition ist weniger sicher als USB Dead Man Switch, aber bequemer für tägliche Nutzung.

Zusätzliche physische Sicherheitsmaßnahmen umfassen metallische Faraday-Käfige oder Faraday-Taschen, um mobile Geräte zu schirmen und Funk-Signale zu blockieren. Physische Zugriffskontrolle stellt sicher, dass nur autorisierte Personen physischen Zugriff auf deine Geräte haben, während sichere Aufbewahrung in verschlossenen Räumen zusätzlichen Schutz bietet. Wireless-Hardware (Wi-Fi, Bluetooth) sollte physisch entfernt werden, oder es sollten Computer ohne eingebaute Wireless-Funktionen verwendet werden. Ephemerale Betriebssysteme wie Tails hinterlassen keine Spuren und bieten zusätzliche Sicherheitsebene.

Zusammenhang: Physische Sicherheit ergänzt digitale Sicherheit. Ohne Verschlüsselung (siehe Abschnitt “Daten-Ebene”) sind unverschlüsselte Daten bei physischem Zugriff sofort kompromittiert.

Mullvad ist ideal für OpSec, weil:

Privacy-Features:

• ✅ Keine Logs: Mullvad speichert keine Logs über deine Aktivitäten
• ✅ Anonyme Zahlung: Akzeptiert Kryptowährungen (Monero, Bitcoin) für maximale Anonymität
• ✅ Keine Account-Registrierung: Account-Nummer statt E-Mail, keine persönlichen Daten nötig
• ✅ WireGuard-Unterstützung: Native WireGuard-Integration für moderne, sichere Verbindungen

Technische Features:

• ✅ Multi-Hop: Optional Multi-Hop für zusätzliche Anonymität
• ✅ Kill Switch: Verhindert Daten-Leaks, wenn VPN-Verbindung abbricht
• ✅ DAITA: Data-Channel Anonymized Traffic Architecture für zusätzliche Anonymisierung
• ✅ Infrastructure Security: 2023 Penetration Test identifizierte und adressierte zahlreiche Infrastructure-Level-Sicherheitsfindungen

Wichtig: Mullvad bietet gute Basis für OpSec, aber keine vollständige Anonymität wie Tor. Für maximale Anonymität solltest du Tor oder VPN über Tor verwenden.

Warnung: Viele kommerzielle VPN-Dienste sind nicht sicher. Siehe unseren Artikel über Teddy Sagi und sein VPN-Imperium, der zeigt, warum viele VPN-Dienste wie ExpressVPN, CyberGhost und PIA Sicherheitsrisiken darstellen.

Tor (The Onion Router) bietet maximale Anonymität durch:

• Onion-Routing: Traffic wird über mehrere Relays geroutet, jedes Relay kennt nur vorheriges und nächstes Relay
• Anonymität: Kein einzelner Relay kann Quelle und Ziel gleichzeitig sehen
• Hidden Services: Ermöglicht Services ohne öffentliche IP-Adressen

Tor vs. VPN:

• Tor: Bietet Anonymität, aber langsamer und weniger flexibel
• VPN: Bietet Privacy, aber keine vollständige Anonymität

Tor + VPN:

• VPN über Tor: Verbinde zu VPN über Tor-Proxy (SOCKS5 auf Port 9150)
• Tor über VPN: Verbinde zu Tor über VPN (weniger sicher, nicht empfohlen)

Wichtig: Tor bietet Anonymität auf Netzwerk-Ebene, kann aber nicht vor Benutzer-Fehlern schützen. Wenn du dich mit deinem echten Namen einloggst, ist die Anonymität weg.

Vertiefung: Für einen tiefen Einblick in strukturelle Herausforderungen des Tor-Netzwerks siehe unseren Artikel über Tor-Netzwerk: Gedanken zur Zukunft der Anonymität.

Netzwerk-Diversität bedeutet, verschiedene Netzwerke zu verwenden und nicht immer das gleiche Netzwerk zu nutzen:

Öffentliche Netzwerke sollten an verschiedenen Standorten und zu verschiedenen Zeiten genutzt werden, wobei immer VPN oder Tor verwendet werden muss. Die meisten öffentlichen Hotspots verschlüsseln Daten nicht, was unverschlüsselte Verbindungen ermöglicht, die durch Wireless Sniffing abgefangen werden können. Evil Twin Attacks nutzen Netzwerke mit ähnlichen Namen oder stärkeren Signalen, während Man-in-the-Middle-Angriffe Geräte über Bluetooth, öffentliches Wi-Fi und NFC kompromittieren können.

Best Practices erfordern immer VPN oder Tor auf öffentlichen Netzwerken, HTTPS-Verschlüsselung auf jeder Seite, deaktivierte Auto-Connect-Features und deaktiviertes Wi-Fi/Bluetooth/NFC, wenn nicht in Gebrauch. Sensible Aktivitäten wie Online-Banking, Shopping oder Arbeit, die Passwörter oder Kreditkarten erfordern, sollten nie über öffentliches Wi-Fi durchgeführt werden.

Wichtig: Netzwerk-Diversität macht es schwieriger, deine Aktivitäten zu verfolgen, da du nicht immer das gleiche Netzwerk verwendest. Aber VPN/Tor ist immer noch essentiell.

Alternative Kommunikation: Für infrastrukturfreie Kommunikation ohne Internet siehe unseren Artikel über Meshtastic: Wie Kriminelle LoRa-Mesh-Netzwerke nutzen, um Strafverfolgung zu umgehen, der zeigt, wie LoRa-Mesh-Netzwerke verschlüsselte Kommunikation ohne zentrale Infrastruktur ermöglichen.

Air-Gap-Systeme bieten physische Isolation:

Physische Sicherheit:

• Sichere Aufbewahrung: System in verschlossenem Raum mit einzigem kontrolliertem Zugang aufbewahren
• Wireless-Hardware entfernen: Wi-Fi, Bluetooth physisch entfernen oder Computer ohne eingebaute Wireless-Funktionen verwenden
• Festplatte entfernen: Optional Festplatte komplett entfernen und von ephemeralem OS wie Tails booten, um keine Spuren zu hinterlassen
• Faraday-Käfige: Nutze metallische Faraday-Käfige oder Faraday-Taschen, um mobile Geräte zu schirmen

Operational Security:

• Minimale Internet-Verbindung: Minimiere Internet-Verbindung während initialem Setup; konfiguriere alles in einer anonymen Session
• Nur essentielle Software: Installiere nur essentielle Software und deaktiviere unnötige Betriebssystem-Services
• Need-to-Know-Basis: Halte strikte Need-to-Know-Basis-Protokolle aufrecht und begrenze physischen Zugriff auf autorisierte Personen

Wichtig: Die primäre Schwachstelle von Air-Gap-Systemen ist das Übertragen von Dateien auf und vom Computer. Jede Datei-Übertragung stellt ein potenzielles Angriffsvektor dar, wo Malware Schwachstellen in Wechselmedien ausnutzen kann.

Separate Geräte für normales Internet und sensible Daten bieten Isolation:

Normales Internet-Gerät:

• Tägliche Nutzung: E-Mails, Social Media, normale Browsing
• Weniger Sicherheit nötig: Basis-Privacy-Tools (VPN, Ad-Blocker)
• Kann kompromittiert werden: Weniger kritisch, wenn kompromittiert

Sensible Daten-Gerät:

• Hochsensible Daten: Kommunikation, Dokumente, Finanzdaten
• Maximale Sicherheit: Qubes OS, Tails, Air-Gap, LUKS-Verschlüsselung
• Nie mit Internet verbinden: Air-Gap-System, das nie mit Internet verbunden wird

Vorteile:

• ✅ Isolation: Kompromittierung eines Geräts betrifft nicht das andere
• ✅ Risiko-Minimierung: Sensible Daten sind von normalen Aktivitäten getrennt
• ✅ Flexibilität: Verschiedene Geräte für verschiedene Zwecke

Wichtig: Separate Geräte sind essentiell für OpSec, wenn du hochsensible Daten hast. Air-Gap-Systeme bieten maximale Isolation, sind aber weniger bequem für tägliche Nutzung.

Trotz Air-Gap sind bekannte Breaches dokumentiert:

Stuxnet (Iranian Nuclear Facility):

• USB-Stick-basierter Angriff: Stuxnet wurde über USB-Stick auf Air-Gap-System übertragen
• Zero-Day-Exploits: Nutzte mehrere Zero-Day-Exploits für Windows
• Ziel: Iranian Nuclear Facility, die Air-Gap hatte

Agent.btz (U.S. Military Networks):

• USB-Stick-basierter Angriff: Agent.btz wurde über USB-Stick auf Air-Gap-System übertragen
• Militärische Netzwerke: Infiltrierte U.S. Military Networks, die Air-Gap hatten

Lesson Learned: Air-Gap ist sehr effektiv, aber nicht unfehlbar. Datei-Übertragungen auf und von Air-Gap-Systemen stellen kritische Schwachstellen dar. Jede Datei-Übertragung muss kritisch geprüft werden.

Praktisches Beispiel: Der Fall Sinaloa-Kartell zeigt, wie verschlüsselte Netzwerkstrukturen infiltriert werden können. Siehe unseren Artikel über Wie das FBI ein verschlüsseltes Drogen-Ghost-Network geknackt hat, der zeigt, warum Verschlüsselung allein nicht reicht und warum die Verantwortung des IT-Experten zentral ist.

Identity Compartmentalization bedeutet, separate Identitäten für verschiedene Aktivitäten zu verwenden:

Separate Identitäten:

• Legale Identität: Für legale Aktivitäten, Arbeit, soziale Medien
• Sensible Aktivitäten: Separate Identität für sensible Aktivitäten
• Verschiedene Geräte: Verschiedene Geräte für verschiedene Identitäten
• Verschiedene Standorte: Verschiedene Standorte für verschiedene Aktivitäten
• Verhaltensmuster: Verschiedene Verhaltensmuster, um Cross-Contamination zu verhindern

Vorteile:

• ✅ Isolation: Kompromittierung einer Identität betrifft nicht andere Identitäten
• ✅ Risiko-Minimierung: Sensible Aktivitäten sind von normalen Aktivitäten getrennt
• ✅ Flexibilität: Verschiedene Identitäten für verschiedene Zwecke

Wichtig: Identity Compartmentalization ist essentiell für OpSec, wenn du verschiedene Aktivitäten hast, die nicht verknüpft werden sollen.

Device Security Hierarchy bedeutet, verschiedene Geräte für verschiedene Sicherheits-Level zu verwenden:

Burner Phones:

• Temporäre Nutzung: Für sensible Operationen, temporäre Nutzung
• Wegwerfbar: Kann nach Nutzung weggeworfen werden
• Keine Verbindung zu Identität: Keine Verbindung zu deiner echten Identität

Gehärtete Systeme:

• GrapheneOS/CalyxOS: Privacy-Focused Android-Distributionen
• Tails: Anonymität und Privacy, Live-System
• Qubes OS: Security durch Isolation, VM-basierte Isolation
• Für sichere Aktivitäten: Banking, sensible Kommunikation, hochsensible Daten

Standard-Geräte:

• Tägliche Nutzung: E-Mails, Social Media, normale Browsing
• Weniger Sicherheit nötig: Basis-Privacy-Tools (VPN, Ad-Blocker)
• Kann kompromittiert werden: Weniger kritisch, wenn kompromittiert

Wichtig: Device Security Hierarchy ist essentiell für OpSec, wenn du verschiedene Sicherheits-Level benötigst.

Software Security Audit ist essentiell für OpSec, weil:

Bekannte Schwachstellen:

• ❌ Ungefangene Exceptions: Stack-Traces, die Datenbank-Host, User und Passwort im Klartext zeigen
• ❌ Fehlerseiten: Fehlerseiten, die interne IPs, Docker-Hostnamen oder interne Service-URLs leaken
• ❌ Debug-Modi: Debug-Modi, die versehentlich in Produktion aktiv bleiben

Solche Leaks reichen oft für:

• Vollständige Datenbank-Kompromittierung: Angreifer können auf Datenbank zugreifen
• IP-Leaks: IP-Leaks von eigentlich versteckten Services
• Pivot-Angriffe: Pivot-Angriffe auf interne Infrastruktur

Lesson Learned: Ein gutes Infrastruktur-Setup (LUKS, Proxmox, VPN, Tor, Cloudflare/DDoS-Guard) kann vieles abfangen – aber es kompensiert keine unsichere Applikation. Zu echter OpSec gehört immer auch ein Software Security Audit.

Moderne Bedrohungen: AI-Agenten in der Softwareentwicklung bringen neue Sicherheitsrisiken mit sich. Siehe unseren Artikel über AI Prompt Injection: Die versteckte Gefahr im Code, der zeigt, wie AI-Systeme über versteckte Prompts manipuliert werden können.

DNS-OpSec ist essentiell für OpSec, weil:

Das Problem: DNS ist oft ein blinder Fleck. Wer die DNS-Resolver kontrolliert, hat sehr viel Macht über das, was du im Netz siehst – oder eben nicht siehst.

Best Practices:

• Eigene DNS-Server betreiben: z.B. mit PowerDNS oder Unbound, idealerweise im eigenen, isolierten Netz
• Root-Hints selbst pflegen: Direkt mit den offiziellen DNS-Root-Servern sprechen, statt blind Provider-DNS zu vertrauen
• DoH/DoT-Resolver nutzen: Wenn externe Resolver nötig sind, dann über verschlüsselte Protokolle (DoH/DoT) zu vertrauenswürdigen Anbietern
• Alternative, neutrale DNS-Roots: Projekte wie OpenNIC bieten zensurresistente, community-getragene DNS-Infrastruktur

Wichtig: So stellst du sicher, dass nicht dein ISP, ein Staat oder ein Drittanbieter still und leise entscheidet, welche Domains auflösbar sind – und welche nicht.

Praktisches Beispiel: In Deutschland sperrt die CUII (Clearingstelle Urheberrecht im Internet) ohne richterliche Kontrolle Webseiten über DNS-Sperren. Siehe unseren Artikel über CUII: Wie Konzerne heimlich Webseiten in Deutschland sperren, der zeigt, wie alternative DNS-Server diese Sperren umgehen können.

Metadaten-Entfernung sollte immer durchgeführt werden, bevor du Bilder oder Dateien abspeicherst oder versendest:

EXIF-Metadaten enthalten:

• GPS-Koordinaten: Exakter Standort (Längen- und Breitengrad)
• Aufnahmezeit: Datum und Uhrzeit der Aufnahme
• Kameramodell: Hersteller und Modell der Kamera
• Software-Version: Software-Informationen (z.B. Photoshop-Version)
• Thumbnails: Vorschaubilder können zusätzliche Informationen enthalten
• Orientierung: Bildausrichtung und Rotation

Tools zur Metadaten-Entfernung:

• exiftool: Kommandozeilen-Tool für Linux/Mac/Windows
• ImageOptim: GUI-Tool für Mac
• mat2: Metadata Anonymisation Toolkit für Linux
• Online-Tools: Verschiedene Online-Tools (aber Vorsicht – Dateien werden hochgeladen)

Best Practices:

• ✅ Metadaten entfernen vor Upload: Immer Metadaten entfernen, bevor du Dateien hochlädst oder versendest
• ✅ Automatisierung: Nutze automatische Tools, die Metadaten beim Speichern entfernen
• ✅ Verifizierung: Verifiziere, dass Metadaten tatsächlich entfernt wurden (z.B. mit exiftool)
• ✅ Vorsicht bei fremden Tools: Fremdkontrollierte Tools können Metadaten erfassen, bevor sie entfernt werden (siehe Abschnitt “Hansa Market”)

Wichtig: Metadaten-Entfernung ist essentiell für OpSec, besonders wenn du Bilder von sensiblen Standorten aufnimmst oder versendest. GPS-Tags können deinen exakten Standort preisgeben.

Hansa Market zeigt, warum Metadaten-Entfernung so wichtig ist:

Das Problem:

• ❌ Manipulierte Tools: Das Tool zur Entfernung von Foto-Metadaten wurde so verändert, dass Geolocation und andere Metadaten erfasst wurden, bevor sie entfernt wurden
• ❌ Vertrauen in fremde Tools: Nutzer vertrauten fremdkontrollierten Tools, ohne zu verifizieren, dass Metadaten tatsächlich entfernt wurden
• ❌ Keine Verifizierung: Nutzer konnten nicht verifizieren, ob Metadaten wirklich entfernt wurden

Was hätte helfen können:

• ✅ Eigene Tools: Eigene Tools zur Metadaten-Entfernung verwenden (z.B. exiftool, mat2)
• ✅ Verifizierung: Verifizierung, dass Metadaten tatsächlich entfernt wurden (z.B. mit exiftool)
• ✅ Metadaten entfernen vor Upload: Immer Metadaten entfernen, bevor du Dateien hochlädst oder versendest
• ✅ Vorsicht bei fremden Tools: Fremdkontrollierte Tools können Metadaten erfassen, bevor sie entfernt werden

Wichtig: Vertraue niemals fremdkontrollierten Tools zur Metadaten-Entfernung, ohne zu verifizieren, dass Metadaten tatsächlich entfernt wurden. Eigene Tools (z.B. exiftool, mat2) sind sicherer.

Praktische Implementierung von Key Management erfordert systematische Herangehensweise:

PGP-Key-Setup: Erstelle einen Master-Key mit starker Passphrase (mindestens 20 Zeichen, zufällig generiert) und offline aufbewahren. Subkeys für Verschlüsselung und Signierung sollten auf verschlüsselten Geräten gespeichert werden. Key-Expiration sollte regelmäßig überprüft werden, und revoked Keys müssen sofort veröffentlicht werden.

SSH-Key-Setup: Verwende verschiedene SSH-Keys für verschiedene Server oder Server-Gruppen. Passphrase-geschützte Keys sind essentiell, auch wenn sie weniger bequem sind. SSH-Config sollte strikte Host-Key-Checking aktivieren, um Man-in-the-Middle-Angriffe zu verhindern.

Backup-Strategien: Verschlüsselte Backups auf mehreren, physisch getrennten Locations (z.B. verschlüsselte USB-Sticks in verschiedenen Safe-Deposit-Boxen). Paper Backups für Master-Keys in physisch gesicherten Locations. Regelmäßige Verifizierung, dass Backups funktionieren und nicht korrupt sind.

Wichtig: Key Management ist nicht einmalig, sondern kontinuierlicher Prozess. Regelmäßige Rotation, Monitoring auf Kompromittierung und Anpassungen sind essentiell.

Praktische Tools für Secure Deletion:

Linux: shred (mehrfaches Überschreiben), wipe (spezialisiertes Tool), dd (Low-Level-Überschreiben), secure-delete (Suite von Tools). SSD Secure Erase: hdparm für ATA Secure Erase, nvme format für NVMe Secure Erase.

Windows: Cipher /w (überschreibt freien Speicher), SDelete (Sysinternals), physische Zerstörung für hochsensible Daten.

Verschlüsselung als Secure Deletion: Wenn Daten verschlüsselt sind, ist Key löschen effektiver als Daten überschreiben. LUKS-Header löschen macht gesamte Partition unlesbar, ohne Daten physisch zu überschreiben.

Wichtig: Secure Deletion ist nicht perfekt, besonders auf SSDs. Verschlüsselung macht Secure Deletion einfacher und effektiver. Physische Zerstörung ist sicherste Methode.

Browser Fingerprinting funktioniert durch Sammlung einzigartiger Browser-Eigenschaften:

Canvas Fingerprinting: Canvas-API rendert verstecktes Bild und analysiert Pixel-Unterschiede, die durch Hardware, Treiber und Browser-Implementierung entstehen. WebGL Fingerprinting funktioniert ähnlich mit 3D-Rendering.

Audio Fingerprinting: Audio-Context-API generiert Audio-Signal und analysiert Frequenz-Response, die durch Hardware und Treiber beeinflusst wird.

Font Fingerprinting: Installierte Fonts werden durch CSS Font-Detection identifiziert. Einzigartige Font-Kombinationen können Nutzer identifizieren.

Hardware Fingerprinting: Bildschirmauflösung, Farbtiefe, CPU-Kerne, RAM-Größe, GPU-Modell können Hardware-Profile erstellen.

Wichtig: Einzelne Eigenschaften sind nicht einzigartig, aber Kombinationen können sehr einzigartig sein. Tor Browser eliminiert meiste Fingerprinting-Vektoren durch einheitliche Konfiguration.

Praktische Beispiele für Behavioral OpSec:

Time-based OpSec: Wenn du regelmäßig zu bestimmten Zeiten sensible Aktivitäten durchführst, können Timing-Patterns dich identifizieren. Zufällige Verzöderungen und verschiedene Zeiten können helfen, aber Vorsicht – unnatürliche Patterns können verdächtig sein.

Location-based OpSec: Wenn du immer von gleichen Standorten aus sensible Aktivitäten durchführst, können geografische Patterns dich identifizieren. Verschiedene Standorte und öffentliche Netzwerke können helfen, aber Vorsicht – geografische Clustering kann identifizierbar sein.

Communication Patterns: Wenn du konsistenten Schreibstil in verschiedenen Kontexten verwendest, kann Schreibstil-Analyse dich identifizieren. Verschiedene Schreibstile für verschiedene Identitäten können helfen, aber Vorsicht – unnatürliche Variationen können verdächtig sein.

Wichtig: Behavioral OpSec erfordert Balance zwischen Sicherheit und Natürlichkeit. Zu viel Variation kann unnatürlich wirken, zu wenig Variation kann identifizierbar sein.

Nachhaltigkeit ist essentiell für OpSec, weil:

Das Problem: Komplexe OpSec-Setups sind schwer zu warten und können bei Stress versagen. Wenn du täglich komplexe Prozesse durchführen musst, wirst du irgendwann Fehler machen.

Best Practices:

• Tägliche Gewohnheiten: Integriere Privacy-Gewohnheiten in normale Routinen
• Wartbare Systeme: Baue Systeme, die langfristig wartbar sind
• Stress-resistent: Systeme, die Stress überleben (z.B. bei Beschlagnahme)
• Minimale Komplexität: Minimiere Komplexität, wo möglich
• Standardisierte Gewohnheiten: Standardisiere tägliche Gewohnheiten
• Backup-Systeme: Baue Backup-Systeme für kritische Komponenten

Wichtig: Nachhaltigkeit ist genauso wichtig wie Sicherheit. Ein unsicheres System, das langfristig wartbar ist, ist besser als ein sicheres System, das bei Stress versagt.

AlphaBay zeigt, warum physische Sicherheit genauso wichtig ist wie digitale Sicherheit:

Das Problem:

• ❌ Eingeloggt bei Verhaftung: Cazes war noch eingeloggt in AlphaBay, als Behörden zuschlugen
• ❌ Keine Verschlüsselung aktiv: Daten waren nicht verschlüsselt, während er eingeloggt war
• ❌ Keine Dead Man Switch: Kein Mechanismus, der System automatisch sperrt oder herunterfährt
• ❌ Keine Trennung: Sensible Systeme waren auf dem gleichen Computer wie normale Aktivitäten

Was hätte helfen können:

• ✅ USB Dead Man Switch und automatische Logout-Mechanismen (siehe Abschnitt “Physische Sicherheit”)
• ✅ Separate Geräte und Air-Gap-Systeme (siehe Abschnitt “Separate Geräte”)
• ✅ LUKS-Verschlüsselung (siehe Abschnitt “Daten-Ebene”)

Zusammenhang: Siehe Abschnitt “Daten-Ebene” für Details zur LUKS-Limitierung und Abschnitt “Physische Sicherheit” für Schutzmaßnahmen.

Hansa Market zeigt, warum fremdkontrollierte Plattformen ein kritisches Risiko darstellen:

Das Problem:

• ❌ Fremdkontrollierte Plattform: Nutzer vertrauten Hansa Market, ohne zu wissen, dass es von Behörden kontrolliert wurde
• ❌ Manipulierte Features: PGP-Verschlüsselung und Foto-Metadaten-Tools wurden so manipuliert, dass sie Nutzer identifizierten
• ❌ Booby-Trapped Dateien: Excel-Dateien wurden verwendet, um IP-Adressen zu enthüllen
• ❌ Keine Verifizierung: Nutzer konnten nicht verifizieren, ob die Plattform kompromittiert war

Was hätte helfen können:

• ✅ Eigene Infrastruktur: Eigene Server statt fremdkontrollierte Plattformen
• ✅ Verifizierung: Verifizierung von PGP-Keys und Metadaten-Entfernung vor Upload
• ✅ Vorsicht bei Dateien: Niemals Dateien öffnen von unbekannten Quellen, besonders Excel-Dateien
• ✅ Separate Identitäten: Separate Identitäten für verschiedene Aktivitäten
• ✅ Netzwerk-Diversität: Verschiedene Netzwerke, nicht immer das gleiche Netzwerk

Wichtig: Fremdkontrollierte Plattformen können jederzeit übernommen und manipuliert werden. Eigene Infrastruktur (z.B. Matrix Secure Chat auf eigenen Servern) ist sicherer, da du volle Kontrolle über die Plattform hast.

Password Reuse ist einer der häufigsten OpSec-Fehler:

Das Problem:

• ❌ Ein Kompromittierung = Alle kompromittiert: Wenn eine Plattform kompromittiert wird, sind alle Plattformen mit demselben Passwort gefährdet
• ❌ Einfach auszunutzen: Behörden können automatisiert Passwörter auf anderen Plattformen testen
• ❌ Keine Isolation: Keine Isolation zwischen verschiedenen Identitäten oder Aktivitäten

Was hätte helfen können:

• ✅ Password Manager: Password Manager mit zufällig generierten Passwörtern für jede Plattform
• ✅ Eindeutige Passwörter: Jede Plattform sollte ein eindeutiges, starkes Passwort haben
• ✅ Identity Compartmentalization: Separate Identitäten mit separaten Passwörtern für verschiedene Aktivitäten
• ✅ 2FA wo möglich: Zwei-Faktor-Authentifizierung wo möglich, um zusätzliche Sicherheitsebene zu schaffen

Wichtig: Password Reuse ist einer der einfachsten Fehler zu vermeiden, aber einer der häufigsten. Password Manager sind essentiell für OpSec.

Live-Interception ist eine kritische Bedrohung, die viele OpSec-Setups nicht berücksichtigen:

Das Problem:

• ❌ Eingeloggt = Zugänglich: Wenn du eingeloggt bist, sind unverschlüsselte Daten sofort zugänglich
• ❌ LUKS schützt nicht: LUKS-Verschlüsselung schützt nur, wenn das System offline ist
• ❌ Keylogger: Hardware-Keylogger oder Software-Keylogger können Passwörter erfassen
• ❌ Live-Monitoring: Behörden können Live-Monitoring durchführen, während du eingeloggt bist

Schutzmaßnahmen:

• ✅ USB Dead Man Switches: Automatisches Herunterfahren bei physischer Trennung
• ✅ Automatische Logout-Mechanismen: Automatisches Logout nach Inaktivität (z.B. 5 Minuten)
• ✅ LUKS-Verschlüsselung: Vollständige Verschlüsselung, die bei Reboot Passwort erfordert
• ✅ Separate Geräte: Sensible Systeme auf separaten, verschlüsselten Geräten, die nie mit Internet verbunden sind
• ✅ Physische Sicherheit: Physische Zugriffskontrolle (verschlossene Räume, Alarme)
• ✅ Faraday-Käfige: Metallische Faraday-Käfige oder Faraday-Taschen für mobile Geräte

Zusammenhang: Siehe Abschnitt “Daten-Ebene” für Details zur LUKS-Limitierung und Abschnitt “Physische Sicherheit” für USB Dead Man Switches und automatische Logout-Mechanismen.

Silk Road zeigt, warum Identity Compartmentalization so wichtig ist:

Das Problem:

• ❌ Echte E-Mail-Adresse: rossulbricht@gmail.com wurde mit “altoid”-Account verknüpft, der Silk Road bewarb
• ❌ Stack Overflow Post: Echter Name auf Stack Overflow, dann “frosty” – beide mit Silk Road verbunden
• ❌ Code-Match: Identischer Code auf Silk Road-Servern und in Stack Overflow-Post
• ❌ Unverschlüsselter Laptop: Laptop war unverschlüsselt und noch eingeschaltet bei Verhaftung

Was hätte helfen können:

• ✅ Identity Compartmentalization: Völlig separate Identitäten (siehe Abschnitt “Identity Compartmentalization”)
• ✅ LUKS-Verschlüsselung und USB Dead Man Switches (siehe Abschnitte “Daten-Ebene” und “Physische Sicherheit”)
• ✅ Separate Geräte (siehe Abschnitt “Separate Geräte”)

Wichtig: Ein einfacher Google-Search für Silk Road’s .onion-Adresse führte zu dem BitcoinTalk-Post von “altoid”, der direkt zu rossulbricht@gmail.com führte. Identity Compartmentalization ist essentiell.

Pentagon Leaks zeigt, warum fremdkontrollierte Plattformen und Identity Compartmentalization so wichtig sind:

Das Problem:

• ❌ Discord mit klassifizierten Dokumenten: Klassifizierte Dokumente auf fremdkontrollierte Plattform (Discord) gepostet
• ❌ Eigener Name als Billing: Eigener Name und Adresse als Billing-Informationen für Discord-Konto
• ❌ Regierungscomputer: “Leak” auf Regierungscomputer gesucht, was mit Discord-Account verknüpft wurde
• ❌ Weitergabe: Dokumente wurden auf 4chan und Telegram weiterverbreitet

Was hätte helfen können:

• ✅ Eigene Infrastruktur (siehe Abschnitt “Hansa Market”)
• ✅ Identity Compartmentalization (siehe Abschnitt “Identity Compartmentalization”)
• ✅ Separate Geräte (siehe Abschnitt “Separate Geräte”), nie Regierungscomputer verwenden

Wichtig: Fremdkontrollierte Plattformen wie Discord können jederzeit von Behörden subpoeniert werden. Eigene Infrastruktur ist sicherer.

Fundamentale Praktiken: Beginne immer mit Threat Modeling, um Bedrohungen zu identifizieren, bevor du Maßnahmen umsetzt. Auf Hardware-Ebene solltest du Libreboot statt Intel ME/AMD PSP verwenden, um proprietäre Backdoors zu eliminieren, und Linux statt Windows für Open Source, keine Telemetrie und vollständige Kontrolle.

Verschlüsselung und physische Sicherheit: Verwende LUKS auf allen Ebenen – Host-System, separate Geräte und Backup-Medien sollten verschlüsselt sein. USB Dead Man Switches bieten physische Sicherheit für Laptops und mobile Geräte, während separate Geräte normale Internet-Nutzung von sensiblen Daten trennen. Air-Gap-Systeme sind für hochsensible Daten reserviert, die nie mit dem Internet verbunden werden.

Netzwerk und Anonymität: Mullvad VPN oder Tor bieten Netzwerk-Anonymität und Privacy, während Netzwerk-Diversität – verschiedene Netzwerke statt immer das gleiche – Aktivitäten schwerer verfolgbar macht. Eigene DNS-Server (PowerDNS oder Unbound) mit neutralen DNS-Roots wie OpenNIC verhindern Zensur und Überwachung.

Identity und Device Management: Identity Compartmentalization bedeutet separate Identitäten für verschiedene Aktivitäten, während Device Security Hierarchy verschiedene Geräte für verschiedene Sicherheits-Level verwendet. Key Management mit sicheren PGP- und SSH-Keys ist essentiell, und Metadaten-Entfernung (EXIF-Daten und GPS-Tags) sollte vor jedem Upload oder Versand durchgeführt werden.

Software und Wartung: Software Security Audit mit Code-Review, Logging-Review und Secret-Handling verhindert Applikations-Schwachstellen. Nachhaltigkeit durch tägliche Gewohnheiten, wartbare Systeme und Stress-Resistenz ist genauso wichtig wie Sicherheit. Regelmäßige Updates, starke Passphrasen (mindestens 20 Zeichen, zufällig generiert), minimales Logging ohne persönliche Daten und strikte Firewall-Regeln sind fundamentale Best Practices.

Erweiterte Praktiken: Secure Deletion stellt sicher, dass gelöschte Daten nicht wiederhergestellt werden können, während Browser Fingerprinting Schutz (Tor Browser, Privacy-Extensions) Anonymität auch bei VPN/Tor erhält. Behavioral OpSec vermeidet Verhaltensmuster, die Identifikation ermöglichen, und Time-based OpSec verwendet verschiedene Zeiten für verschiedene Aktivitäten.

1. Intel ME/AMD PSP aktiv lassen: Proprietäre Backdoors auf Hardware-Ebene
2. Windows verwenden: Geschlossenes System mit Telemetrie und Backdoors
3. Unverschlüsselte Daten: Daten, die bei physischem Zugriff lesbar sind
4. Immer das gleiche Netzwerk: Macht es einfach, Aktivitäten zu verfolgen
5. Direkte Verbindungen: Verbindungen ohne VPN/Tor können dich identifizieren
6. Traditionelle Zahlungen: Kreditkarten, PayPal hinterlassen Spuren
7. Externe Logging-Services: Logs an Drittanbieter können kompromittiert werden
8. Personenbezogene Daten: Echte Namen, E-Mails in sensiblen Kontexten
9. Unverschlüsselte Backups: Alle Backups verschlüsseln
10. Schwache Passphrasen: Kurze, vorhersagbare Passphrasen
11. Fehlende Updates: Regelmäßige Sicherheitsupdates sind Pflicht
12. Provider-DNS: DNS-Resolver, die von ISP oder Drittanbietern kontrolliert werden
13. Debug-Modi in Produktion: Stack-Traces, die sensible Daten leaken
14. Komplexe Systeme ohne Wartbarkeit: Systeme, die bei Stress versagen
15. Cross-Contamination: Verbindung zwischen verschiedenen Identitäten oder Aktivitäten

Problem: Maßnahmen werden blind implementiert, ohne Bedrohungen zu identifizieren.

Lösung: Beginne immer mit Threat Modeling. Identifiziere Bedrohungen, bevor du Maßnahmen umsetzt. Nicht jede Bedrohung erfordert die gleichen Maßnahmen.

Problem: Proprietäre Backdoors auf Hardware-Ebene bleiben aktiv.

Lösung: Nutze Libreboot auf unterstützter Hardware, um Intel ME/AMD PSP zu deaktivieren. Wenn Libreboot nicht verfügbar ist, minimiere Risiko durch andere Maßnahmen.

Problem: Geschlossenes System mit Telemetrie und Backdoors.

Lösung: Nutze Linux (Ubuntu, Debian für normale Anwender, Qubes/Tails für maximale Sicherheit). Linux bietet Open Source, keine Telemetrie und vollständige Kontrolle.

Problem: Daten sind bei physischem Zugriff lesbar.

Lösung: Nutze LUKS-Verschlüsselung auf allen Ebenen (Host-System, separate Geräte, Backup-Medien). LUKS schützt vor physischem Zugriff, wenn System offline ist.

Problem: Macht es einfach, Aktivitäten zu verfolgen.

Lösung: Nutze Netzwerk-Diversität – verschiedene Netzwerke, nicht immer das gleiche Netzwerk. Aber VPN/Tor ist immer noch essentiell.

Problem: Verbindungen können dich identifizieren.

Lösung: Nutze immer VPN oder Tor für sensible Aktivitäten. Mullvad VPN bietet gute Basis, Tor bietet maximale Anonymität.

Problem: Verbindung zwischen verschiedenen Identitäten oder Aktivitäten.

Lösung: Nutze Identity Compartmentalization – separate Identitäten für verschiedene Aktivitäten, verschiedene Geräte, verschiedene Standorte.

Problem: Systeme versagen bei Stress oder sind schwer zu warten.

Lösung: Baue wartbare Systeme mit täglichen Gewohnheiten, die in normale Routinen integriert werden. Nachhaltigkeit ist genauso wichtig wie Sicherheit.