Infosec-101-Leitfaden für Aktivist:innen

 (infosecforactivists.org)
2 Punkte von GN⁺ 2025-02-06 | 1 Kommentare | Auf WhatsApp teilen

Einführung

  • Die USA haben eine starke Tradition des Aktivismus, die mit Sklavenaufständen und Erhebungen indigener Gemeinschaften begann.
  • Auch heute ist Aktivismus in den USA weiterhin wichtig, und Straßenproteste sind ein wesentliches Instrument, um Bewusstsein zu schaffen und institutionellen Wandel voranzutreiben.
  • Doch die bestehenden Machtstrukturen herauszufordern, bringt Risiken mit sich, und Offenlegung kann zu Belästigung, Festnahme oder der Preisgabe persönlicher Daten führen.
  • Dieses Dokument konzentriert sich auf digitale Sicherheit und Informationssicherheit, mit denen Aktivist:innen konfrontiert sind.

Zu verwendende Tools

  • BitWarden: Passwortmanager, kostenlos, zusätzliche Funktionen 1 $/Monat
  • DuckDuckGo: Websuche, kostenlos
  • DuckDuckGo Maps: Karten und Routenplanung, kostenlos
  • Firefox: Web-Browsing, kostenlos
  • Jitsi: Online-Meetings, kostenlos
  • ProtonMail: E-Mail, kostenlos, zusätzliche Funktionen 5 $/Monat
  • ProtonVPN: VPN, kostenlos, zusätzliche Funktionen 5 $/Monat oder 10 $/Monat
  • Signal: Messaging, kostenlos

Nicht zu verwendende Tools

  • Google Maps: Verfolgt den Standort der Nutzer:innen und speichert die Daten dauerhaft.
  • Telegram: Hat Sicherheitsprobleme, und für Gruppennachrichten wird keine Verschlüsselung angewendet.
  • WhatsApp: Wird aufgrund ähnlicher Sicherheitsprobleme ebenfalls nicht empfohlen.

Was man wissen sollte

  • Mobiltelefone sind eine Goldgrube an Tracking- und Identifikationsinformationen.
  • Nachrichten, Telefonate usw. können von der Polizei protokolliert werden.
  • Aktualisiere auf das neueste Betriebssystem, und wenn ein Telefon keine Software-Updates mehr erhält, ist es besser, es nicht mitzunehmen.

Teilnahme an Aktionen

Vor der Aktion

  • Auf Facebook nicht als „Teilnehmend“ markieren.
  • Details auf einem privaten Gerät oder auf Papier speichern.
  • Bei Internetsuchen DuckDuckGo und eine private Browsing-Sitzung verwenden.
  • Geräte auf die neueste OS-Version aktualisieren.
  • Ein Signal-Konto einrichten; zur Registrierung kann man mit Google Voice eine neue Telefonnummer erstellen.

Während der Aktion

  • Gemeinsam mit einer Protestbegleitung handeln.
  • Apple Maps oder DuckDuckGo Maps zur Orientierung verwenden.

Nach der Aktion

  • Die für den Protest eingerichtete Signal-Gruppe verlassen und löschen.
  • Keine Protestfotos in sozialen Medien posten.

Das Mobiltelefon vorbereiten

Digitale Spuren

  • Den GPS-Empfänger ausschalten und Bluetooth, Wi‑Fi sowie Ultra-Wideband-(UWB)-Funk deaktivieren.
  • Mobilfunkanbieter können den Standort des Telefons verfolgen, und die Polizei kann dies nutzen.
  • Den Flugmodus aktivieren, um alle Funkverbindungen zu deaktivieren.

Schutz vor Zugriff

  • Eine Displaysperre einrichten und biometrische Entsperrung deaktivieren.
  • Vollständige Festplattenverschlüsselung verwenden, um Daten zu schützen.

Sicherheitsideen

Verschlüsselte Nachrichten

  • Für die Verschlüsselung privater Kommunikation Ende-zu-Ende-Verschlüsselung (E2EE) verwenden.

Online-Meetings

  • Jitsi verwenden, da Inhalte von Meetings nicht aufgezeichnet oder gespeichert werden.

Passwortsicherheit

  • Zwei-Faktor-Authentifizierung (2FA) aktivieren, lange Passwörter verwenden und einen Passwortmanager nutzen.

Weitere Tipps

  • Sorgfältig überlegen, mit wem sich die Teilnahme an Aktionen sicher teilen lässt.
  • Für protestbezogene Gespräche keine E-Mail verwenden.
  • Den eigenen Namen bei Google suchen, um zu sehen, welche Informationen auftauchen.
  • Nicht bei Protesten einchecken.
  • Keine Fotos in sozialen Medien posten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-06
Hacker-News-Kommentare

  • Es fällt schwer, Proton zu empfehlen, da das Unternehmen in politische Themen verwickelt ist; erwähnt wird, dass Mullvad solche Fehler nicht gemacht hat

    • Als weiterführende Quellen werden EFFs "Activist or Protester?" und Privacy Guides' "The Protester's Guide to Smartphone Security" empfohlen
    • Man sollte ein Bedrohungsmodell festlegen und erkennen, dass diese Maßnahmen im aktuellen Umfeld nicht ausreichen
    • Es wird gewarnt, dass manche Maßnahmen Aufmerksamkeit auf sich ziehen können

  • Es wird darauf hingewiesen, dass der Artikel die Notwendigkeit betont, mit einem vertrauenswürdigen Freund an Protesten teilzunehmen, aber nicht erklärt, wie man solche Freunde findet und die Beziehung aufrechterhält

    • Obwohl Firefox als aktivisten- und datenschutzfreundlicher als Chrome wahrgenommen wird, verfügt Chrome über ausgefeiltere und besser getestete Runtime-Schutzfunktionen

  • Es wird angenommen, dass grundlegende Maßnahmen gegen ausgefeilte Gegner wie staatliche Akteure nicht wirksam sein werden

    • Es wird erklärt, dass moderne Smartphones voller proprietärer Firmware mit vielen Sicherheitslücken sind und Schwachstellen für Remote Code Execution existieren
    • Es wird gewarnt, dass Apples Find My-Netzwerk auch auf ausgeschalteten Geräten funktionieren kann und staatliche Akteure möglicherweise Hintertüren haben, um dies zu umgehen

  • Es wird darauf hingewiesen, dass die Empfehlungen zu iCloud-Backups Fehler enthalten

    • Es wird behauptet, dass die Erklärung, iCloud-Backups speicherten den Schlüssel für die vollständige Festplattenverschlüsselung und Strafverfolgungsbehörden könnten diesen anfordern, nicht zutrifft
    • Es wird empfohlen, Advanced Data Protection zu aktivieren, damit Daten Ende-zu-Ende-verschlüsselt werden

  • Es wird die Frage aufgeworfen, ob iCloud-Backups das Entsperren eines physischen Geräts ermöglichen können

    • Ein Backup kann kompromittiert werden, und über das Backup lassen sich zwar die meisten Daten des Geräts erhalten, aber man möchte mehr über den Zusammenhang mit dem Entsperren des physischen Geräts wissen

  • Es wird gefragt, wie sich die Kosten von 0-Day-Schwachstellen für Firefox und Chrome vergleichen