DIE Heiligen Schriften für Anonymität

<< Stand: 01.01.2023 >>

Einleitung
Im realen Leben ist Anonymität die tagtäglich erlebte Erfahrung. Wir ge-
Einleitung hen eine Straße entlang, kaufen eine Zeitung, ohne uns ausweisen zu
müssen, beim Lesen der Zeitung schaut uns keiner zu. Das Aufgeben von
Windows Einrichten
Anonymität (z.B. mit Rabatt-karten o.ä.) ist eine aktive Entscheidung.
Verschlüsselung
VPNs Im Internet ist es genau umgekehrt. Von jedem Nutzer werden Profile er-
Linux Distributionen stellt. Website-betreiber sammeln Informationen (Surfverhalten, E-Mail-
Kryptowährung Adressen), um beispiels-weise mit dem Verkauf der gesammelten Daten
Kommunikation ihr Angebot zu finanzieren. Betreiber von Werbe-Servern nutzen die Mög-
lich-keiten, das Surfverhalten website-über-greifend zu erfassen und Ge-
heim-dienste sammeln anlasslos alle Informationen, die sie zu fassen krie-
gen mit ihren Abhörnetzwerken.

Verglichen mit dem Zeitunglesen läuft es auf dem Daten-highway so, dass
uns Zeitungen in großer Zahl kostenlos aufgedrängt werden. Beim Lesen
schaut uns ständig jemand über die Schulter, um unser Interessen- und
Persönlichkeits-profil für die Einblendung passender Werbung zu analysie-
ren oder um es zu verkaufen (z.B. an zukünftige Arbeit-geber). Außerdem
werden unsere Kontakte zu Freunden ausgewertet, unsere Kommunika-
tion wird gescannt, Geheimdienste sammeln kompromittierendes Mate-
rial…

Neben den Big Data Firmen werden auch staatliche Maßnahmen zur
Überwachung immer weiter ausgebaut und müssen von Internet
Providern unterstützt werden. Nicht immer sind die vorgesehenen Maß-
nahmen rechtlich unbedenklich.

Windows Einrichten
Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatz-
gebiete, für die es Windows benötigt wird. Wer aber vertraulich arbeiten
und kommunizieren muss, oder die Sicherheit des eigenen Netzwerks
überwachen will, greift lieber zu speziellen Linux-Distributionen.

Windows 10
In Windows 10 wurde das Device-based Tracking weiter ausgebaut. Es
wird für jeden Account auf dem Rechner eine "Unique Advertising ID" ge-
neriert. Diese ID wird auch Dritten zur eindeutigen Identifikation zur Ver-
fügung gestellt.

Privaten Daten, die Microsoft in der Standardkonfiguration sammelt:

➢ Standortdaten aller Geräte mit Windows werden an Microsoft

übertragen. Es wird bevorzugt GPS oder die WLANs der Umge-
bung genutzt, um den Standort so genau wie möglich zu bestim-
men.

➢ Der Windows Defender übermittelt alle installierten Anwendun-

gen.

➢ Kontaktdaten der Freunde und Bekannten werden an Microsoft

übertragen, wenn man Tools von Microsoft als Adressbuch nutzt.

➢ Die eindeutige UUID, die Windows bei der Kommunikation mit

Microsoft-servern sendet (z.B. bei Softwareupdates), wird vom
NSA und GCHQ als Selektor für Taylored Access Operations (TAO)
verwendet, um gezielt die Computer von interessanten Personen
oder Firmen anzugreifen.

➢ Als besonderes Highlight gehören auch die automatisch generier-

ten Recovery Keys der Festplattenverschlüsselung Bitlocker zu den
Daten, die MS in seiner Cloud sammelt und NSA/FBI/CIA zur Ver-
fügung stellt.

Windows 10 den Daten Hahn abzuschrauben würde hier den Rahmen

sprengen, weshalb ich auf die Orientierungshilfe zur datenarmen Konfigu-
ration von dem Arbeitskreis Informationssicherheit der deutschen For-
schungseinrichtung (AKIF) verweise.
Hosts Datei
Das Projekt WindowsSpyBlocker bietet Listen von DNS-Namen und IP-Ad-
ressen, die zu Microsoft-Servern gehören und an die Windows 10 Daten
übermittelt. Weiterhin werden unterschiedliche Möglichkeiten vorge-
stellt, um die Verbindung zu den Microsoft-Server zu unterbinden. Per-
sönlich halte ich die Kombination aus Hosts-Datei und Firewall Regeln für
eine sinnvolle Kombination, die ich euch im Folgenden näher vorstellen
möchte.
Mitunter ist die Hosts-Datei eines Betriebssystem ein geeigneter Ort, um
systemweit Adressen zu blockieren. Unter Windows 10 liegt diese Hosts-
Datei unter folgendem Pfad:C:\Windows\System32\drivers\etc\hosts
Auf der Projektseite von WindowsSpyBlocker werden Blockierregeln für
unterschiedliche Microsoft- und Drittanbieter-Adressen bereitgestellt:
- Windows 10 Spionage / Telemetrie
- Windows 10 Update Server (Wenn Windows 10 euer Hauptsystem ist,
dann solltet ihr die Update-Server nicht blockieren)
- Windows 10 Drittanbieter

Sobald Windows 10 an einen Hostnamen Daten übermitteln möchte, ver-

sucht das System die Internetadresse bzw. den Hostnamen in eine IP-Ad-
resse aufzulösen. Allerdings verhindert die feste Zuordnung, innerhalb der
Windows Hosts-Datei, die Auflösung von einem Hostnamen zur eigentlich
korrekten IP-Adresse.

Beispiel: Windows 10 möchte an den Hostnamen »telemetry.micro-

soft.com« Telemetrie-Daten übermitteln. Ohne den Eintrag in der Hosts-
Datei würde Windows den Hostnamen in die IP-Adresse »65.52.100.9«
auflösen, eine Verbindung mit der Gegenstelle aufbauen und anschlie-
ßend die Daten übermitteln. Die modifizierte Hosts-Datei weist dem Host-
namen »tele-metry.microsoft.com« allerdings die IP-Adresse »0.0.0.0« zu.
Folglich kann keine Verbindung mit der regulären Gegenstelle aufgebaut
werden und eine Datenübermittlung bleibt aus. Die Hosts-Datei sorgt also
dafür, dass eine Verbindung mit Microsoft Servern erst gar nicht zu
Stande kommt und folglich keine Daten übermittelt werden können.

Da Microsoft die Adressen ständig erweitert, solltet ihr die Hosts-Datei ak-
tuell halten. Ihr könnt diesen Vorgang bspw. mit dem Tool HostsMan au-
tomatisieren.

Firewall Regeln
Über die Hosts-Datei findet eine Zuordnung von Hostname zur jeweiligen
IP-Adresse statt. Mitunter nutzt Microsoft allerdings direkt die IP-Adresse
und erspart sich den Umweg über die Namensauflösung. Über die Hosts-
Datei lassen die IP-Adressen leider nicht blockieren. Doch auch für diesen
Zweck bietet der WindowsSpyBlocker eine entsprechende Lösung an:
Über das Tool werden der in Windows integrierten Firewall Regelsätze
hinzugefügt und so ausgehende Verbindungen zu Microsoft IP-Adressen
blockiert:
Zusätzliche Versicherung
Die Kombination aus Hosts-Datei und Firewall Regeln ist eine zusätzliche
Versicherung vor dem ungewollten Datenabfluss an Microsoft. Denn
wenn ein Schieberegler nicht korrekt ge-setzt ist oder ein Registry-Eintrag
vergessen wurde, würden womöglich unkontrolliert Daten abfließen – ein
Graus, für den datenschutzbewussten Anwender.
Doch auch diese Maßnahmen schützen uns nicht gänzlich vor dem unge-
wollten Datenabfluss. Nach meiner Auffassung ist die vollständige Herr-
schaft und (Daten-)Kontrolle über Windows 10 erst dann gegeben, wenn
wir Level 3 umgesetzt haben.
Zusätzlich können alle unnötige Apps deinstalliert werden:
App 3D Builder löschen
App Feedback Hup löschen
App Finanzen löschen
App Get Office löschen
App Get Started löschen
App Groove Musik löschen
App Kalender löschen
App Kamera löschen
App Karten löschen
App Kontakte löschen
App Leseliste-App löschen
App Mail löschen
App Microsoft Edge löschen
App Microsoft Solitaire löschen
App Nachrichten blau löschen
App Nachrichten rot löschen
App OneDrive löschen
App OneNote löschen
App Reisen löschen
App Scanner löschen
App Skype Preview löschen
App Sprachrekorder löschen
App Sticky Notes löschen
App Store löschen
App Support kontaktieren löschen
App Verbinden löschen
App Wetter löschen
App Windows Feedback löschen
App Xbox löschen
Mit diesem Befehl löscht ihr alle Apps auf einen Schlag in der PowerShell
(Windows-Taste, tippe powershell ein und mit der rechten Maustaste als
Administrator öffnen.)
Get-AppxPackage -AllUsers | where-object {$_.name –notlike“*store*”}
| Remove-Ap-pxPackage

Nützliche Programme
Es gibt verschiedene Programme für Windows welche die Sicherheitsvor-
kehrungen noch einmal erhöhen. Password Manager, Spoofer oder Daten
eraser sind ein Teil davon. Einige dieser Programme möchte ich euch vor-
stellen und erklären was sie ausmacht.

MAC-Adresse
Theoretisch lässt sich jedes Netzwerkgerät auf der Welt über seine MAC-
Adresse identifizieren. Eine Motivation, die eigene MAC-Adresse zu ver-
schleiern, ist der Schutz der Privatsphäre in öffentlichen WLAN-Netzen z.
B. beim Nachbarn.
Ein Grund dafür ist, dass MAC-Adressen in öffentlichen LAN- oder WLAN-
Netzen in der Regel unverschlüsselt versendet werden. Jeder Netzwerk-
teilnehmer kann so nachvollziehen, welches Gerät im Netzwerk angemel-
det ist, die jeweiligen Hardware- Adressen auslesen.

Der Technitium MAC Address Changer ermöglicht es Anwendern, Netz-

werkkarten bequem über eine übersichtliche Benutzeroberfläche zu ver-
walten. Das Freeware-Tool bietet eine Übersicht aller Verbindungen, gibt
die aktuellen MAC-Adressen der verwendeten Hardware aus und enthält
eine Funktion, um diese per Knopfdruck zu ändern.

XP-AntiSpy Windows 10
Es geht im Grunde genommen um Funktionen, die in Windows-Kompo-
nenten wie dem Internet Explorer eingebaut sind und dazu dienen, sich
mit anderen Computern im Internet zu verbinden. Vorwiegend wollen sich
diese Funktionen mit Microsoft verbinden, um z.B. Fehlerprotokolle nach
einem schweren Programm/Systemfehler oder die Anfrage nach neuen
Updates zu senden. Leider kann man nicht sagen, ob wirklich nur Fehler-
protokolle und Updateanfragen gesendet werden, und welche Daten des
Benutzers mitgesandt werden. Ich habe diese Installationsanleitungen
nicht geschrieben, aber ich habe mich damit beschäftigt, diese doch recht
aufwändigen Schritte zu vereinfachen.
KeePassXC – Password Manager
KeePassXC Für die meisten Programme und Internetdienste benötigt man
heutzutage aus Sicherheitsgründen viele und vor allem unterschiedliche
Passwörter. "KeePassXC" ist perfekt, um bei einer größeren Liste an Zu-
gangsdaten den Überblick zu behalten.

Die Passwörter werden in einer Datenbank gespeichert und mit Rijndael

256-Bit verschlüsselt. Diese Verschlüsselung ist überdurchschnittlich si-
cher und wird unter anderem auch von Banken eingesetzt. Damit nur Sie
an Ihre Daten kommen, versiegeln Sie die Datenbank mit einem Master-
Passwort oder legen eine Key-Datei an, um KeePass mittels einem USB-
Stick oder einer DVD freizuschalten.
Privazer
Privazer ist ein Sicherheits-Tool für Windows, das in der Lage ist, verschie-
dene Arten von sensiblen
Daten zu löschen und so die Privatsphäre des Anwenders zu schützen. Die
auch mit deutscher Oberfläche verfügbare Software berücksichtigt zu die-
sem Zweck Informationen wie Cookies, Messenger-Logs, Speicherbelegun-
gen, Starteinträge oder Index-Listen. Dazu scannt die Software sowohl in-
terne als auch extern verbundene Laufwerke, beispielsweise Festplatten,
SSDs und USB-Sticks

Die Software scannt potenziell alle angesteckten Datenträger (Interne

Laufwerke, Externe Laufwerke, USB-Sticks, MP3-Player, SD-Karten, Netz-
werkspeicher) nach Internet-Spuren, Cookies, Messenger-Logs, Spuren bei
Software-Nutzung, Einträgen in der Registry, Windows-Verlauf, Speicher-
Belegungen,

Starteinträgen, Index-Listen, temporäre Dateien oder Log-Dateien. Unnö-

tige Dateien oder Dateien die Ihre Privatsphäre einschränken, löschen Sie
so sehr bequem.

Unter den Erweiterten Optionen ändert ihr noch die lösch Durchgänge,
damit sicher keine Daten wiederhergestellt werden können.

Browser einrichten
FireFox Anleitung:
Wer sich nicht mit den Details beschäftigen möchte, kann diese Anleitung
zur Schnellkonfiguration nutzen, um Firefox privacy-freundlich zu konfigu-
rieren. Die ausführlichen Erläuterungen kann man bei Interesse lesen oder
überspringen und im nächsten Kapitel weiterlesen.
Tor Anleitung:
Das TorBrowserBundle enthält einen modifizierten Firefox sowie den Tor
Daemon für verschiedene Betriebssysteme. Die Installation ist einfach.
Man lädt das passende Archiv von der Downloadseite herunter, entpackt
es und ruft das Startscript des TorBrowser auf.

Tor Onion Router

nutzt ein weltweit verteiltes Netz von 6.000-7.000 Nodes. Aus diesem
Pool werden jeweils 3 Nodes für eine Route ausgewählt, die häufig wech-
selt. Die zwiebelartige Verschlüsselung sichert die Anonymität der Kom-
munikation. Selbst wenn zwei Nodes einer Route kompromittiert wurden,
ist eine Beobachtung durch Dritte nicht möglich. Da die Route ständig
wechselt, müsste ein großer Teil des Netzes kompromittiert worden sein,
um einen Nutzer zuverlässig deanonymisieren zu können.

Man kann davon auszugehen, dass die Geheimdienste verschiedener Län-

der ebenfalls im Tor-Netz aktiv sind und sollte die Hinweise zur Sicherheit
beachten: sensible Daten nur über SSL-verschlüsselte Verbindungen über-
tragen, SSL-Warnungen nicht einfach wegklicken, Cookies und Javascript
deaktivieren… Dann ist Tor für anonyme Kommunikation geeignet. Tor
Onion Router schützt den Datenverkehr auch gegen Angriffe potenter Ge-
heimdienste wie die NSA. Es ist nach dem aktuellen Stand der Technik na-
hezu unmöglich, die Verschlüsselung mathematisch zu berechen und Nut-
zer anhand des Datenflusses zu deanonymisieren.
Angriffe zur Deanonymisierung von Tor Nutzern konzentrieren sich daher
üblicherweise auf die Client Anwendung (z. B. den Webbrowser). In meh-
reren bekannten Fällen wurde durch Ausnutzung von Security Bugs im Tor
Browser ein kleiner Trojaner auf dem Rechner von Zielpersonen installiert,
der IP- und MAC-Adressen des Rechners ermittelt und an einen Server des
Angreifers sendet.

Whonix setzt das Konzept für hohe Sicherheitsansprüche bei der Nutzung
von Tor Onion Router für den "Hausgebrauch" mit virtuellen Maschinen
um. Eine virtuelle Maschine (VM) ist einfach gesagt ein kleiner, gekapsel-
ter Computer im Computer mit eigenen Dateien, Betriebssystem usw. der
von einer Virtualisierungsumgebung bereitgestellt wird.

Whonix stellt zwei vorbereitet virtuelle Maschine bereit:

1. Die virtuelle Maschine "Gateway" enthält den Tor Daemon, der
die Verbindung zum Tor Netzwerk herstellt und den Datenverkehr
verschlüsselt ins Internet schickt.
2. Die virtuelle Maschine "Workstation" enthält alle Programme zur
Internetnutzung (TorBrowser, Thunderbird, OnionShare usw.)
Diese VM kommuniziert ausschließlich mit dem Tor Gateway und
hat keine direkte Verbindung zum Internet. Jeder Datenverkehr,
der diese VM verlässt, wird vom Tor Daemon in der Gateway VM
verschlüsselt und durch das Tor Netzwerk gejagt.
Um Whonix zu nutzen, muss man zuerst VirtualBox als Virtualisierungs-
umgebung installieren. Dann kann man die beiden Whonix VMs herunter-
laden, im VirtualBox GUI importieren und starten. Die Whonix Dokumen-
tation ist umfangreich und erklärt detailliert die einzelnen Schritte.

Verschlüsselung
Windows ist ein unsicheres Betriebssystem, da kann auch das Passwort
beim Einrichten von Windows nicht viel erledigen. Daher sollten Eure Ge-
heimnisse gut behütet sein. Mit dieser Anleitung verschlüsselt ihr die
ganze Festplatte mit VeraCrypt.

Ladet euch VeraCrypt runter und startet die Software. Im Hauptbildschirm

klickt ihr im Menü auf System und danach System-Partition/Laufwerkver-
schlüsseln.

Art der Systemverschlüsselung

Die Option Normal völlig ausreichend. Versteckte Verschlüsselung macht
nur Sinn, wenn jemand unter Androhung von Gewalt oder rechtlichen
Konsequenzen zur Entschlüsselung gezwungen werden könnten.

Bereich der Verschlüsselung

Wählt Gesamtes Laufwerk verschlüsseln, damit wird der Bootloader
gleich mit verschlüsselt. Sollte das nicht zur Verfügung stehen liegt es da-
ran, dass im BIOS der Bootloader deaktiviert/aktiviert ist oder wegen
secure-boot.
Dies tritt auch auf, wenn mehr als eine Festplatte verbaut ist.

Sollte das euch überfordern ist die Windows-Partition verschlüsseln auch

eine sehr gute Wahl und sicher gegen jeglicher Penetrationsversuch die
Festplatte zu entschlüsseln.
Anzahl der Betriebssysteme
Die Standardoption ist Ein Betriebssystem. Mehrere Betriebssysteme ist,
wenn mehrere Betriebssysteme auf eurem Rechner gleichzeitig installiert
ist.
Verschlüsselungsalgorithmus auswählen
Hier solltet ihr die Kuznyechik und RIPEMD-160 übernehmen. Nur ein mit
diesen Technologien verschlüsseltes System wie z.B. AES ist selbst nur
schwer zu knacken.

Passwort auswählen
Dies ist ein besonders wichtiger Schritt. Haltet euch an die im Fenster an-
gegebene Empfehlung und nutzt ein mindestens zwanzig-stelliges Pass-
wort mit einer Kombination von Groß- und Kleinbuchstaben, Zahlen und
Sonderzeichen. Die komplizierteste Verschlüsselung ist nutzlos, wenn
man euer Passwort leicht knacken kann
Zufällige Daten Sammeln
VeraCrypt erzeugt in diesem Schritt den Verschlüsselungscode mit zufällig
generierten Daten durch Mausbewegungen. Automatisch erzeugte Schlüs-
sel gelten als unsicherer. Beweget eure Maus einfach eine Weile zufällig
und klickt dann auf Weiter.

Schlüssel erstellen
VeraCrypt zeigt hier einen Teil des erzeugten Schlüssels zur Kontrolle an.
Klickt auf Weiter.
Rettungsdatenträger
In diesen Schritt erstellt VeraCrypt einen Rettungsdatenträger. Dieser
Schritt kann übersprungen werden, es wäre ja nicht sinnlich klug für Be-
hörden einen Rescue Disk zu haben mit der sie euer System entschlüsseln
können oder?

Sicher Löschen
Bei der Verschlüsselung kopiert VeraCrypt alle Daten in kodierter Form
auf neue Festplattenbereiche. Daten werden mit der Voreinstellung None
werden nur einfach gelöscht und könnten theoretisch mit Spezialtools
wiederhergestellt werden. Wir wählen deshalb 35-Gutmann aus.
Systemverschlüsselungsvortest
Verschlüsselungs-Testdurchlauf starten Bevor VeraCrypt mit der Ver-
schlüsselung startet, steht noch ein Sicherheitstest an. Der Computer boo-
tet dabei neu und ihr müsst das vorher gewählte Passwort eingeben. Be-
ginnt den Vorgang mit einem Klick auf Test.

System neu starten und Passwort angeben

Beim Neustart des Rechners erscheint noch vor dem Windows-Logo die
Passwortabfrage von VeraCrypt. Gebt hier das vorher gewähltes Passwort
ein und drückt auf Enter.
Vortest abgeschlossen
Nach dem Bootvorgang lädt VeraCrypt automatisch. Gab es keine Prob-
leme, könnt ihr die Verschlüsselung beginnen. Klickt dazu auf Verschlüs-
seln.
Eure Festplatte wird nun komplett verschlüsselt. Bei jedem Systemstart
müsst ihr das Passwort angeben. Nur dann könnt ihr auf eure Daten zu-
greifen. Auch durch einen Ausbau der Festplatte und Zugriff von Linux auf
das Dateisystem kommt man nicht an die Daten heran.

Windows User Tipps!

Windows "Auto-Update" Funktion abschalten (Wichtig für Win10 Benut-
zer, um nach einem Automatischem Update nicht in den Reparatur-Loop
zu geraten nach einer Ver-schlüsselung mit VeraCrypt):
"Windows-Suche">"Computerverwaltung">"Dienste und Anwendung-
gen">"Dienste">Eintrag "Windows Update" suchen>Doppelklick>"Start
typ" auf "deaktiviert" stellen>"Übernehmen">mit "OK" bestätigen.

Meldung "Datenträger formatieren" Pop-Up abschalten (z.B. bei VC ver-

schlüsselten USB-Sticks, sobald diese eingesteckt werden):
"Windows-Suche">"services.msc" mit "Enter" bestätigen>Eintrag "Shell-
hardwareerkennung" suchen>Doppelklick>auf "Beenden" drücken
>"Start typ" auf "deaktiviert" stellen>"Übernehmen">mit "OK" bestäti-
gen
(Diese Einstellung sorgt auch dafür das der POP-UP, egal welcher Daten-
träger eingesteckt wird deaktiviert ist. USB-Sticks, die vom Windows Sys-
tem regulär erkannt werden findet ihr trotz allem in der Auflistung unter
"Computer"
 Virtual Private Networks
Virtual Private Networks (VPNs) wurden entwickelt, um vertrauenswür-
dige Endpunkte über unsichere Netzwerke zu verbinden. Ein VPN schützt
gegen folgende Angriffe:

➢ Ein VPN schützt konzeptuell gegen Angreifer, die nur den ver-
schlüsselten VPN Traffic beschnüffeln könnten. Das ist das Angrei-
fer Modell, welches die Grundlage für das Konzept ist.

➢ Außerdem ändern VPNs die eigene IP-Adresse, die ein Internet-

dienst sehen kann. Ein VPN kann gegen Tracking anhand der IP-
Adresse schützen und einige Geo-IP Sperren umgehen.

➢ Ein VPN schützt NICHT gegen Angreifer, die neben dem verschlüs-
selten VPN Traffic auch den unverschlüsselten Traffic beobachten
können, der hinter dem Server rauskommt. Als billige Anonymisie-
rungsdienste sind VPNs daher NICHT geeignet.

Sicherheitsempfehlunge von BSI und NSA für VPNs mit "military

grade security"
Das BSI und die NSA geben in ihren Empfehlungen für VPNs mit hohen Si-
cherheitsanforderungen (für Regierungen, Militär u.ä.) einige allgemeine
Hinweise, die man teilweise auch dann beachten und einfach umsetzen
kann, wenn man keine extremen Sicherheitsanforderungen hat.

Kurze Zusammenfassung der BSI und NSA Empfehlungen für sichere VPNs:

➢ Die Verwendung von irgendwelchen TLS Tunneln auf OSI Layer 4

für VPN Verbindungen sollte vermieden werden. Das kommt
auch als nicht als Fallback in Frage (also kein OpenVPN). Die Ver-
schlüsselung muss auf Layer 3 erfolgen, damit auch die TCP Hea-
der verschlüsselt sind.

➢ Für hohe Sicherheitsanforderungen wird IPsec/IKEv2 empfohlen

mit aktuellen Ciphersuiten.

➢ IP-Adressen der Endpunkte sind fest zu konfigurieren und sollten

nicht von der DNS-Namensauflösung von DNS Servern abhängen,
über die man keine Kontrolle hat.

➢ Die Authentifizierung von Nutzern sollte nicht mit Passwörtern

erfolgen, sondern mit Zertifikaten, die in einem externen Hard-
ware Security Modul gespeichert sind (also z.B. Nitrokey HSM).
Die PKI zur Verwaltung der Zertifikate für die Nutzer darf nicht ins
Internet exponiert werden.
 ➢ Funktionen für die Remote Administration der VPN Server dürfen
nur via VPN zugänglich sein und nicht in das Internet exponiert
werden, egal welche Authentifizierung eingesetzt wird.

Wenn man konkreten Angeboten von VPN-Anbietern mit dieser Liste ver-
gleicht, dann löst sich das PR-Geblubber von "military grade security" in
der Regel ganz schnell in Luft auf.

VPN Technologien
Die für ein VPN notwendige Software steht für unterschiedliche Standards
als Open Source Software zur Verfügung:

➢ OpenVPN: ist ein Klassiker. Die Software arbeitet auf OSI Layer 4
(TCP, UDP) und nutzt TLS, um den Datenverkehr zwischen zwei
Endpunkten zu verschlüsseln. Es funktioniert ähnlich wie HTTPS
im Browser. Nachdem ein verschlüsselter TLS Tunnel aufgebaut
wurde, werden Daten durch diesen verschlüsselten Tunnel ge-
schickt. Bei HTTPS im Browser wird HTTP Traffic durch diesen Tun-
nel transportiert und bei OpenVPN werden alle Daten durch den
TLS Tunnel gejagt.
Es werden Client-2-Server und Server-2-Server Verbindungen un-
terstützt.

➢ IPsec: arbeitet einen Level tiefer auf IP-Ebene (OSI Layer 3) und
bietet daher eine höhere Robustheit gegen Lauscher, da auch die
TCP-Header verschlüsselt werden. Der IPsec Standard ist komplex
und besteht aus mehreren, eigenständigen Teilen:
o Internet Key Exchange (IKE v1/v2) für Schlüsseltausch und
-verwaltung
o Authenticated Header (AH) für die Authentifizierung von
Geräten und Nutzern
o Encapsulating Security Payload (ESP) für die Verschlüsse-
lung der Daten
IPsec kann nicht nur Punkt-zu-Punkt Verbindungen absichern,
sondern auch komplexe Multi-Side Topologien realisieren. Es wird
von Regierungen und NATO bis VS-GEHEIM verwendet.

➢ WireGuard: ist ein relativ junges Projekt, das wie IPsec auf OSI
Layer 3 arbeitet. Ziel von WireGuard ist eine VPN Lösung mit ge-
ringer Komplexität in der Protokoll Spezifikation und Implementie-
rung sowie einer einfachen Anwendung und hoher Performance.
Der Quellcode umfasst derzeit nur 4.000 Zeilen Code (Open-
VPN+OpenSSL: 292.000 Zeilen).
Wireguard ist ein Peer-2-Peer VPN. Jeder Peer stellt einen IP-Ad-
ressbereich zur Verfügung, der transparent mit den Netzen der
anderen Peers über eine verschlüsselte Verbindung gekoppelt
wird. Authentifizierung von Nutzern wie bei OpenVPN und IPsec
gibt es nicht.
 ➢ OpenConnect: wurde ursprünglich von Cisco entwickelt. Es arbei-
tet mit UDP (OSI Layer 4) und nutzt DTLS, um den Datenverkehr
zwischen einem Client und einem Server zu verschlüsseln. Es ist
nicht für Server-2-Server Verbindungen geeignet, sondern nur für
Client-2-Server.

➢ Iodine: versteckt den VPN Traffic im DNS Datenverkehr, um VPN-

Sperren zu umgehen. Der Datendurchsatz ist wesentlich kleiner,
als bei anderen VPNs.

➢ PPTP: Microsofts Point-to-Point-Tunneling-Protocol (PPTP) ist

konzeptuell kaputt und sollte nicht mehr verwendet werden.

Linux Distributionen
Eine Linux-Distribution ist eine Auswahl aufeinander abgestimmter Soft-
ware um den Linux-Kernel, bei dem es sich dabei in einigen Fällen auch
um einen mehr oder minder angepassten und meist in enger Abstimmung
mit Upstream selbst gepflegten Distributionskernel handelt.

Whonix Workstation – Whonix Gateway

Mithilfe von Whonix Workstation + Whonix Gateway erzielen Sie auch auf
herkömmlichen Linux-Systemen ein hohes Maß an Anonymität im Inter-
net. Im Gegensatz zu externen Speziallösungen wie gehärteten Distributi-
onen auf USB-Sticks, die im Nur-Lese-Modus arbeiten, eignet sich Whonix
auch für stationäre Rechner. Dem Anwender bleibt dabei erspart, zum
Wechsel auf das sichere System neu Booten zu müssen. Dabei isoliert sich
Whonix völlig vom Wirtsrechner, sodass sich zwischen der Whonix-VM
und dem Host keine Daten austauschen lassen – sei es gewollt oder un-
gewollt.

Zudem halten die Entwickler aus Dresden das Debian-Derivat stets auf
dem aktuellen Stand. Das einzige Manko stellen die durch Virtualbox und
die zwei darin laufenden virtuellen Maschinen bedingten hohen Hard-
ware-Anforderungen dar: Für flüssiges Arbeiten sollte der Computer über
einen halbwegs aktuellen Prozessor, reichlich RAM und viel Speicherplatz
verfügen. Sind diese Voraussetzungen erfüllt, stellt Whonix eine der bes-
ten Möglichkeiten dar, jederzeit einen anonymen Internetzugang aufzu-
bauen.

Funktionsweise
Whonix leitet den gesamten Datenverkehr mithilfe voreingestellter Fire-
wall-Regeln über die im Gateway konfigurierte Tor-Verbindung, während
die Whonix-Workstation als dem Gateway nachgeschaltetes Bedieninter-
face für den Anwender dient. Die Workstation verbindet sich dabei über
ein vom Host-System isoliertes Netz mit dem Internet.

Das Gateway verfügt dazu über zwei virtuelle Netzwerkschnittstellen. Da-

mit möchte das Projekt größtmögliche Sicherheit für den Anwender
erreichen: Dieser Aufbau verhindert unter anderem, dass Unbefugte IP-
Adressen oder besuchte Webseiten abgreifen. Zudem wendet die vom
Host-System abgekoppelte VM, sollte ein Angreifer sie denn wirklich un-
bemerkt mit Malware kompromittieren, Schaden vom Host-System ab.
So verhindert das System DNS- und IP-Protokoll-Leaks und unterbindet
mittels Stream Isolation eine sogenannte Identity Correlation. Diese Tech-
nik ermöglicht beim Verwenden identischer Übertragungswege im Tor-
Netzwerk für verschiedene Applikationen einem Angreifer Rückschlüsse
auf die Identität des Anwenders.

Installation: Whonix Gateway + Windows

Installation: Whonix Gateway + Whonix Workstation

Qubes OS
Qubes OS bietet in Kombination mit dem anonymisierenden Whonix
vermutlich das sicherste Betriebssystem auf dem Markt. In Verbindung
mit einem Librem-Notebook von Purism lässt sich die Sicherheit durch
Coreboot, TPM und Killswitches weiter erhöhen. Für Security-Enthusiasten
und Anwender, die Sicherheit ernst nehmen (müssen) und über die pas-
sende Hardware verfügen, bieten die Entwickler von Qubes OS das opti-
male System.

Linux-Einsteiger sollten allerdings noch abwarten: Von der Vorgabe der

Entwicklerin Rutkowska, Qubes OS solle sich so einfach wie Ubuntu bedie-
nen lassen, ist das System derzeit noch Lichtjahre entfernt. Im Moment
brauchen auch Linux-Profis einige Tage zum Einarbeiten und Verstehen
des Systems. Für Qubes OS 4.1 arbeitet das Team an einer eigenen GUI-
Domain, die dom0 verkleinern und somit noch weniger Angriffsfläche bie-
ten soll. Zudem soll die Distribution in Zukunft Container anderer Hypervi-
soren wie etwa KVM unterstützen.

Funktionsweise
Die isolierten Einheiten heißen Qubes, abgeleitet von Cubes, zu Deutsch
Würfel. Sie könnten beispielsweise einen Würfel für unsichere Webseiten
einrichten und einen weiteren für Bankgeschäfte, jeweils mit unter-
schiedlichen Berechtigungen. Im Fall der Kompromittierung des Würfels
für unsichere Webseiten durch Malware, bleibt dem Angreifer der Zugriff
auf den Würfel für Bankgeschäfte verwehrt.

Die Entwickler verhindern das, indem ein Würfel nur Lesezugriff auf das
Dateisystem des VM-Templates erhält, auf dem er basiert, sodass ein
Würfel eine solche Vorlage in keiner Weise verändern kann. Zusätzlich
bietet Qubes die Option, sogenannte “disposable VMs” zu erstellen. Diese
Wegwerf-Würfel dienen etwa dazu, bei Bedarf E-Mail-Anhänge oder ver-
dächtige Dateien sicher zu öffnen und hinterher samt der VM zu entsor-
gen.
Grundsätzlich kapselt Qubes neben dem Wirtssystem mit der GUI auch
die Netzwerk- und Storage-Subsysteme in jeweils eigene Domänen, wie
bei Xen die virtuellen Maschinen heißen. Die verschiedenen Domänen ba-
sieren dabei auf VM-Templates, welche die Rechte der Domäne regeln
und das Basisgerüst liefern. Das minimale Wirtssystem mit XFCE läuft da-
bei in der privilegierten Admin-VM dom0. Mit Qubes OS 4.0 wurde das
System der Domänen nun signifikant ausgebaut.

Vorher belesen
Bevor Sie loslegen, bietet es sich im Fall von Qubes an, in der gut gestal-
teten Dokumentation zu stöbern. Die Installation selbst dauert auf aktu-
eller Hardware rund eine halbe Stunde, nach dem üblichen Reboot folgt
die initiale Einrichtung. Hier sollten Sie als Neuling die Voreinstellungen
übernehmen. Falls Sie am Anfang der Installation Whonix gewählt haben,
sollten Sie es hier aktivieren. Die Einrichtung dauert dann nochmals rund
zehn Minuten.

Nach Abschluss der initialen Einrichtung finden Sie sich in einer Umgebung
wieder, die leicht an Fedora erinnert. Alle Bedienelemente sitzen in einer
Leiste am oberen Bildschirmrand. Zunächst sollten Sie durch Klick auf das
Q oben rechts den Qube-Manager starten, der alle verfügbaren Domänen
auflistet. Jede davon, oder nach Belieben auch Würfel, öffnet eine eigene
VM.

Dokumentation: Qubes-OS Dokumentation

Installation: Qubes-OS Installieren

Kryptowährung

Wie wohl jeder inzwischen weiss ist BTC alles andere als Anonym. Durch
die Blockchain ist es möglich BTC Transaktion bis zu ihren Ursprung zurück
zu verfolgen. Der Aufwand dafür ist derzeit noch relativ hoch, weshalb es
auch nur bei großen Projekten angewandt wird.

Monero
Wer nun Anonym mit Kryptowährungen bezahlen möchte greift hier auf
die Monero Währung zu. Durch verschiedene Methoden ermöglicht sie es
die Transaktion zu verschleiern.

Schattenadressen
Schattenadressen sind ein wichtiger Teil von Moneros inhärenter Pri-
vatsphäre. Dem Sender wird ermöglich und abverlangt, im Namen des
Empfängers für jede Transaktion zufällige Einmal-Adressen zu erstellen.
Der Empfänger kann so lediglich eine Adresse veröffentlichen und nichts-
destotrotz gehen all seine eingehenden Zahlungen an einmalige Adressen
auf der Blockchain. Von dort aus können sie weder zur veröffentlichten
Adresse des Empfängers noch zu einer anderweitigen Adresse irgendeiner
anderen Transaktion zurückverfolgt werden. Unter der Verwendung von
Schattenadressen können ausschließlich der Sender und der Empfänger
ausmachen, wohin eine Zahlung geschickt wurde.
Wenn du ein Monero-Konto erstellst, wirst du einen privaten View Key,
einen privaten Spend Key und eine öffentliche Adresse erhalten. Der
Spend Key wird zum Senden von Zahlungen, der View Key zum Anzeigen
von auf deinem Konto eingehenden Transaktionen und die öffentliche Ad-
resse zum Empfangen von Zahlungen verwendet. Sowohl der Spend- als
auch der View-Key werden zum Erstellen deiner Monero-Adresse genutzt.
Du kannst ein View-Only-Wallet haben, welches lediglich den View Key
verwendet. Diese Funktion kann zu Zwecken der Buchhaltung oder Be-
triebsprüfung genutzt werden, ist derzeit allerdings unverlässlich, da ab-
gehende Transaktionen nicht abgebildet werden können. Du kannst mit
der Weitergabe deines View Keys entscheiden, wer dein Monero-Gutha-
ben sehen kann. Monero ist standardmäßig privat und optional halbtrans-
parent!

Ringsignatur
Eine Ringsignatur nutzt die Schlüssel deines Kontos und eine Anzahl von
der Blockchain gezogener öffentlicher Schlüssel (auch bekannt als Out-
puts) mithilfe einer Methode der Dreiecksverteilung. Im Laufe der Zeit
könnten vergangene Outputs mehrmals genutzt worden sein, um Grup-
pen möglicher Unterzeichner zu bilden. Innerhalb des "Rings" potenzieller
Unterzeichner sind alle Ringmitglieder gleichwertig und gleichberechtigt.
Es besteht keine Möglichkeit für einen Außenstehenden, auszumachen,
welcher der möglichen Unterzeichner in einer solchen Gruppe zu deinem
Konto gehören. Ringsignaturen stellen also sicher, dass Transaktionsout-
puts nicht zurückverfolgbar sind. Außerdem bestehen bei Monero keine
Schwierigkeiten mit Fungibilität, da jeder Transaktionsoutput glaubwür-
dige Bestreitbarkeit hat (z.B. kann das Netzwerk nicht ausmachen, welche
Outputs ausgegeben oder nicht ausgegeben sind).

Kommunikation

PGP
Es gibt nach wie vor zu viele Leute welche unsichere Dienste verwenden
um Ihre sensiblen Daten zu verschicken, darunter zählen auch Pri-
vnote.com und Temp.pm. Ihr solltet Eure sensiblen Daten viel eher über
PGP verschicken.
Was ist PGP eigentlich? PGP (Pretty Good Privacy) ist ein Programm, mit
dem sich Nachrichten wie E-Mails sowohl verschlüsseln als auch signieren
lassen. Es kann für eine sichere Kommunikation verwendet werden und
nutzt asymmetrische Verschlüsselungsverfahren mit öffentlichen und pri-
vaten Schlüsseln.
zahlreiche Programme gibt es dafür, ich stelle Euch hier die Webseite PGP
Tool vor. Der Vorteil ist, man kann sie von überall erreichen (vorausge-
setzt ist Internet...)
Schritt 1: Ihr erstellt Euch einen Privat und Public Schlüssel | den Public
Schlüssel könnt Ihr ruhigen gewissen rausgeben, der Privat Schlüssel
bleibt bei Euch!!!
- Schreibt Eure E-Mail-Adresse rein
- Nehmt ein sicheres Passwort (WICHTIG: wird zur Entschlüsselung von
Nachrichten benötigt!!!)
- Klickt auf "Generate PGP Keys"

Schritt 2: Nachrichten schreiben.

- Fügt den Public Key von der Person ein der Ihr eine Nachricht schrei-
ben wollt.
- Unten schreibt Ihr Eure Nachricht rein und klickt auf Encrypt Message
- Nun Kopiert Ihr die Encryptete Message und schickt Sie der Person
von der Ihr auch den Public Key verwendet habt.
Schritt 3: Nachrichten Lesen
- Ihr fügt Euren Privat Key ein
- Ihr gebt Euer gesetzes Passwort ein
- Ihr fügt die Encryptet Message ein die Ihr erhalteten habt
- Klickt auf "Decrypt Message"

Anonym VOIP Services

Ihr könnt Euch das Geld endlich sparen für teure Call Services, macht dies
nun endlich selber und seit Anonym!
Download: https://www.007voip.com/de/herunterladen
Jabber/XMPP
Die Software ist OpenSource und ein weltweites Netz von tausenden Ser-
vern stellt sicher, dass Jabber nicht juristisch durch gesetzliche Vorgaben
kompromittiert werden kann. Übergriffe auf die Privat-sphäre durch Da-
ten-dieb-stahl (z.B. Adress-bücher) hat es bei Jabber/XMPP nie gegeben.
Der Account kann frei gewählt werden, unabhängig von der Telefonnum-
mer.
Bei der Ende-zu-Ende Verschlüsselung gibt es mehrere Alternativen:

➢ Off-the-Record (OTR) wurde 2001 mit dem Ziel entwickelt, mög-

lichst einfach einsetzbar zu sein. OTR ist nicht Multi-Device fähig
und verschlüsselt nur direkte Chats. Gruppen-chats und Dateit-
ransfer werden nicht verschlüsselt.

➢ OpenPGP wurde bereits bei der Verschlüsselung von E-Mail be-

handelt. Die Erstellung und Austausch der Schlüssel ist etwas
komplizierter als bei OTR und OMEMO. Die Vertrauens-würdig-
keit der Verschlüsselung muss aber nicht extra verifiziert werden,
da sie durch das Vertrauen in die OpenPGP-Schlüssel gegeben ist.
OpenPGP verschlüsselt nur Chats. Bei OpenPGP gibt es zwei Stan-
dards. Die meisten Jabber Clients implementieren XEP-0027, der
inzwischen für obsolet erklärt wurde, da er einige Sicherheitslü-
cken enthält. Der neuer XEP-0373 ist bisher noch als "experimen-
tell" gekennzeichnet.

➢ OMEMO (OMEMO Multi-End Message and Object Encryption,

XEP-384) ist die neueste Ende-zu-Ende Verschlüsselung für Jab-
ber/XMPP. Sie basiert auf Axolotl Ratchet, das für Signal App ent-
wickelt wurde. Sie bietet wie OTR einen autom. Schlüsseltausch,
Forward Secrecy und Deniability. Zusätzlich bietet OMEMO ver-
schlüsselte

➢ Offline-nachrichten und verschlüsselten Datei-transfer via HTT-

PUpload. Mit XEP-391 gibt es einen Standard für den verschlüssel-
ten Jingle Dateitransfer, der bisher aber nur von wenigen Jabber
Clients umgesetzt wird. (Man kann sich nicht darauf verlassen, das
dieser Transfer von Dateien verschlüsselt erfolgt.)

Jabber/XMPP Server
Um Jabber/XMPP für die Kommunikation nutzen zu können, muss man
einen Account auf einem Jabber Server anlegen. Es gibt eine große Aus-
wahl von Servern und es fällt schwer, eine Auswahl zu treffen. Folgende
Kriterien sind zu beachten:

➢ Um die moderne OMEMO Verschlüsselung verwenden zu können,

muss der Server die notwendigen Erweiterungen XEP-0163 und
XEP-0280 unter-stützen. Ob der bevorzugte Server diese Extensi-
ons unterstützt, kann man entweder selbst mit dem Java Pro-
gramm Compliance Tester for XMPP prüfen oder auf der
 Webseite von D. Gultsch nachschauen, wo man Ergebnisse der
Tests für viele Server findet.

➢ Wenn man Jabber/XMPP auch auf Android Smartphones verwen-

den möchte, kann ein Server mit Push Notifications (XEP-0357)
den Akku schonen.

➢ Der Server sollte eine SSL/TLS Verschlüsselung nach dem Stand

der Technik bieten. Das kann man beim IM Observatory prüfen
oder mit dem CryptCheck, indem man folgende URL aufruft:
https://tls.imirhil.fr/xmpp/<domain.tld>

➢ Für langfristige Nutzung ist es wichtig, ob es ein Konzept zur Fi-

nanzierung der Server gibt oder ob man mit dem Risiko leben
möchte, dass der Betrieb kurz-fristig eingestellt werden könnte
weil der Admin keine Lust mehr hat. Bei spenden-finanzierten Ser-
vern kann man für private Accounts 10-15 € pro Jahr investieren,
➢ um den Betreiber zu einem langfristigen und stabilen Betrieb des
Dienstes zu motivieren.

Off the Record (OTR)

Um OTR zu installieren installiert man zuerst das Plugin installieren. Da-
nach geht man in Pidgin auf den Reiter Extras und wählt den Punkt
Plugins. Dort scrollt man runter zu Off-the-Record Nachrichtenversand
und aktiviert es.
Nun Klickt man auf Plugin konfigurieren.

In der Konfiguration Generiert ihr nun einen Schlüssel für euren Jabber
Account und aktiviert alle Standard-OTR-Einstellungen.
Wird nun ein Chatgespräch gestartet findet ihr oben im Chatfenster nun
den Reiter OTR, diesen klickt ihr und wählt den Punkt Private Unterhal-
tung beginnen.

Matrix
ist eine moderne Alternative zu Jabber/XMPP. Die Server-komponenten
(Matrix) sind Open Source und es ist der Aufbau einer föderalen Infra-
struktur möglich. Jeder kann einen eigenen Server betreiben, der mit allen
anderen Servern kommunizieren kann. Es gibt mehrere Client-Apps, wo-
bei Element.io die größte Verbreitung hat.

Zentrales Konzept beim Chatten in [matrix] sind die "Räume". Man kann
sich auf seinem Home-server neue "Räume" einrichten und dort erstmal
Selbst-gespräche führen. Wenn man eine zweite Person in den Raum ein-
lädt und diese Person die Einladung annimmt, kann man chatten, Dateien
austauschen oder telefonieren. Wenn man mehrere Personen in den
"Raum" einlädt, hat man einen Gruppenchat. Innerhalb des "Raumes" las-
sen sich Rechte an die Mitglieder vergeben, wer administrieren darf, wer
neue Mitglieder einladen darf usw.

Konzeptuell ist [matrix] ein Multi-Cloud Messenger. Im Gegensatz zu

Threema oder Signal App, die keine Daten auf den Servern speichern, wer-
den bei [matrix] alle Kontaklisten, Mitglied-schaften in Gruppenchats und
persönlichen Informationen auf dem Home-server gespeichert. Außerdem
werden Räume inklusive der Nachrichten-inhalte für unbegrenzte Zeit auf
allen Matrix Servern in Kopie gespeichert, die an der Kommunikation be-
teiligt sind.

Neben den Techies (Admins der beteiligten Server) und Hackern haben
auch Behörden im Rahmen von Auskunftsersuchen darauf Zugriff. Mit
Umsetzung des im Dez. 2019 vorgelegten Gesetzes zur Bekämpfung von
Rechtsterrorismus und Hasskriminalität könnte jeder Dorf-polizist ohne
richterliche Prüfung die Daten von dem bevorzugten Server abrufen, der
sich juristisch in seiner Reichweite befindet. Sollten die Inhalte der Nach-
richten Ende-zu-Ende verschlüsselt sein, können trotzdem detaillierte Me-
tadaten der Kommunikation für die Kommunikations-analyse abgerufen
werden. (Wer, wie häufig, mit wem...?)

Nach der Rechtsprechung des BVerfG unterliegen Nachrichten nicht dem

Tele-kommunikations-geheimnis nach §10 GG, wenn der Empfänger die
Nachricht gelesen hat und die Gelegen-heit hatte, sie zu löschen. Auf dem
eigenen Home-server kann man Nachrichten löschen, indem man eine
Nachricht antippt und den Menüpunkt "Entfernen" wählt. Der Homeser-
ver wird diesen Löschwunsch auch an alle anderen Server weitergeben,
die Kopien der Nachricht gespeichert haben. Die Dokumentation von
[matrix] weist aber darauf hin, dass damit nur ein Wunsch des Nutzers
zum Ausdruck gebracht wird. Es kann nicht sicher-gestellt werden, dass
die anderen Server diesen Wunsch auch befolgen.
Gerüchte, dass Matrix in der Bundeswehr zugelassen sei
Es kursiert das Gerücht, [matrix] wäre aufgrund sicherer Krypto vom BSI
für klassifizierte Kommunikation der Einstufung VS-NfD in der Bundes-
wehr zugelassen. Das ist eine Legende bzw. irreführende Werbung, also
Fake News. Für die Nutzung des bwmessenger gelten in der Bundeswehr
die gleichen Regeln, wie für unverschlüsselte E-Mails. Faktencheck:

➢ [matrix] und der bwmessenger sind auf der Webseite des BSI
nicht als VS-NfD zugelassenes IT-Sicherheitsprodukt gelistet.

➢ Das Sicherheitskonzept von [matrix] erfüllt außerdem nicht die

Ansprüche des BSI für VS-NfD zugelassene Verschlüsselung.
➢ Das BWI als IT-Dienstleister der Bundeswehr schreibt in der Veröf-
fentlichung: „In einer weiteren Ausbaustufe können ab Herbst
dieses Jahres auch private Endgeräte für die offene Kommunika-
tion via Matrix genutzt werden.“

➢ In der Pressemitteilung der Bundeswehr vom Nov. 2020 werden

die Bedingungen für der Einsatz des bwmessengersfür VS-NfD
Kommunikation konkret genannt: „In den kommenden Wochen
wird [...] sowie zur Übertragung von Informationen bis zur Schutz-
klasse VS-NfD (Verschlusssache - Nur für den Dienstgebrauch) auf
dienstlichen Endgeräten für die "sichere mobile Kommunikation",
den sogenannten SMK-Geräten, nutzbar sein.“

Was also die Journalisten von Computerbase oder Linux News schreiben
ist nur Schall und Rauch was polarisieren soll und mehr nicht!