TL;DR

Intro

Als jemand, der immer ein Auge auf den Schutz privater Daten hat, nicht nur für die Kunden, Partner und Mitarbeiter unseres Unternehmens, sondern auch für mich selbst, habe ich mir im Laufe der Jahre einige Tools angesehen und einige davon auch in meine privaten Arbeitsabläufe integriert. Aber bevor ich über einige von ihnen spreche, möchte ich ein paar Punkte klarstellen.

Warum Apple?

Zunächst einmal bin ich ein Apple-Nutzer. Und das aus Überzeugung. Ich bin kein Apple-Fanboy, der immer das neueste iPhone, iPad, die neueste Watch oder den neuesten Mac braucht und der vor einem Apple Store schläft, um der Erste zu sein, der die neuesten Modelle kaufen kann. Aber ich arbeite seit rund 14 Jahren mit MacBooks und habe den Umstieg von Linux nie bereut. Mein Smartphone ist ein iPhone und mein Tablet ist ein iPad Pro. Ich hatte auf einem Linux-Rechner oder einem Android-Gerät nie so wenig Probleme wie auf meinen Apple-Geräten. Natürlich gab es unter Linux nie ein Problem, das ich nicht selbst lösen konnte, aber wenn ich auf die Zeit zurückblicke, in der ich Linux als Desktop-System zum Arbeiten verwendete, sehe ich viele verlorene Stunden, die ich damit verbracht habe, Fehler und unerwünschte Verhaltensweisen zu beheben, die nicht selten durch inkompatible Updates entstanden. Seit ich Macs benutze, hatte ich nie wieder ähnliche Probleme, was mir viel Zeit spart. Deshalb bin ich ein überzeugter Apple-Nutzer, wenn es um meine Desktop-Geräte geht. Auf Servern nutze ich aber weiterhin bevorzugt Linux oder BSD. Im Allgemeinen ist macOS auch ein BSD-ähnliches System und ich mag es, wie reibungslos die verschiedenen Apple-Geräte zusammenarbeiten. Aus diesem Grund wird die Software, über die ich hier sprechen werde, hauptsächlich für Apple-Geräte sein. Einige Tools sind aber auch auf anderen Systemen und Plattformen verfügbar.

Zweitens möchte ich anmerken, dass meine Softwareempfehlungen rein subjektiv sind. Ich behaupte nicht, dass dies die beste Software ist, die es für bestimmte Aufgaben gibt. Es mag bessere geben, aber die, über die ich hier schreibe, gefallen mir einfach besonders gut.

Und zu guter Letzt bin ich mir bewusst, dass ich viel kommerzielle Software benutze, wo ich auch OSS-Alternativen verwenden könnte. Aber es gibt Gründe, warum ich in vielen Fällen kommerzielle Software der Open-Source-Software vorziehe. Meiner Erfahrung nach ist Software, für die du bezahlen musst, meistens besser in die Eigenheiten von macOS integriert als die verfügbaren OSS-Alternativen und auch der Support ist meist besser. Die meisten OSS-Projekte entwickeln ihre Software für Linux und sie wird dann erst im Nachhinein auf macOS portiert, wodurch sie sich z.B. bei Shortcuts und Design nicht unbedingt an die Apple-typischen Verhaltensweisen halten.

Aber jetzt... lasst uns anfangen...

E-Mail-Verschlüsselung

Ich könnte ohne E-Mail-Verschlüsselung nur begrenzt kommunizieren. Leider ist das eine Aufgabe, die die meisten Linux-Rechner mit freier / Open-Source-Software besser erledigen können als ein Mac. Daher nutze ich einen E-Mail-Anbieter, der GPG / PGP sogar in seinem Webmailer anbietet. Wenn du jemals gedacht hast, dass E-Mail-Verschlüsselung kompliziert ist, probiere Mailbox.org als E-Mail-Provider aus. Du musst für das Verfahren nur verstehen, dass es sich um eine asynchrone Verschlüsselung handelt. Das bedeutet: Der öffentliche Schlüssel wird verwendet, um eine Nachricht an den Eigentümer des Schlüssels zu verschlüsseln. Der private Schlüssel hingegen wird verwendet, um die Nachricht wieder zu entschlüsseln. Das ist im Grunde alles, was man wissen muss. Daraus ergibt sich natürlich auch, dass du deinen privaten Schlüssel nie an eine andere Person weitergibst, denn nur du solltest in der Lage sein, eine Nachricht zu entschlüsseln, die von jemandem mit deinem öffentlichen Schlüssel verschlüsselt wurde. Außerdem solltest du diesen Schlüssel natürlich irgendwo sicher ablegen, damit er nicht gestohlen werden kann. In Mailbox.org gibt es dafür einen speziellen geschützen Speicherbereich. Auf einem Mac hilft ein verschlüsseltes Image oder die im Folgenden beschriebene App Standardnotes für verschlüsselte Notizen.

Notizen machen

Bevor ich Standardnotes gefunden hatte, nutzte ich Evernote. Und immer wenn ich Daten / Notizen sichern wollte, zum Beispiel Seriennummern, habe ich sie mit den GPG CLI-Tools verschlüsselt, bevor ich sie einer Notiz hinzugefügt habe. Ich konnte der eingebauten Funktion zum Verschlüsseln von Notizen einfach nicht trauen und wollte sicherstellen, dass Evernote meine privaten Daten nicht lesen kann. Der Workflow war aber dadurch entsprechend umständlich. Hinzu kam dann später, dass die Software in eine Richtung entwickelt wurde, die nicht mehr der Einfachheit entsprach, wie ich sie von einer Notiz-App erwarte. Umso glücklicher bin ich, dass ich Standardnotes gefunden habe. Mit diesem Tool ist mein Leben einfacher geworden. Selbst einen meiner Blogs auf der Blogging-Plattform Listed.to verwalte ich vollständig über diese App. Standardnotes zeigt, dass auch offene Software ziemlich gut sein kann. Gerade wenn es um den Einsatz von Verschlüsselung geht, sind offene Quellen durchaus von Vorteil. Für mich ist es auch in Ordnung, wenn ein solches Projekt zusätzlich kostenpflichtige Funktionen anbietet. Meiner Meinung nach sollte gute Arbeit auch belohnt werden. Deshalb bezahle ich dafür, dass ich die verfügbaren Erweiterungen nutzen kann. Alle wichtigen Grundfunktionen sind aber kostenlos verfügbar.

2-Faktor- / Multi-Faktor-Authentifizierung

Was ich von meinen Kolleginnen und Kollegen bei der Arbeit erwarte, verwende ich auch im Privatleben, zumindest wenn es um die Informationssicherheit geht. Das bedeutet auch, dass ich 2FA/MFA-Authentifizierung benutze, wo immer es möglich ist. Aber ich bin kein Fan von rein softwarebasierten Lösungen wie der Google Authenticator App, Authy oder der eingebauten 2FA von 1password und ähnlichen Tools. Erlangt ein Angreifer Zugriff auf die Software, z.B. mittels eines Supply-Chain-Angriffs oder durch Zugriffs auf's Handy, kommt er bei solchen Apps auch an die Tokens. Ich benutze daher lieber einen Yubikey von Yubico. Natürlich kenne ich die kontroversen Diskussionen um Yubico. Aber generell glaube ich nicht, dass man irgendeinem Stück Computerhardware auf unserem Planeten trauen kann. Vor allem die US-Geheimdienste haben in der Vergangenheit zu oft Hardware manipuliert (wie durch Whistleblower bekannt wurde) und deshalb sollten wir immer skeptisch sein, wenn wir neue Hardware kaufen, egal um welche Art von Hardware es sich handelt. Yubikeys sind, meiner Meinung nach, nicht unsicherer als andere Hardware-Token.

Letztendlich machen meine Yubikeys mein Leben einfacher und sie verhindern zumindest, dass sich Hacker in meine Konten einloggen können, selbst wenn sie meinen Benutzernamen und mein Passwort bekommen. Was mir besonders gefällt, ist die Verfügbarkeit einer zusätzlichen Authentifizierungs-App, die deine 2FA-Informationen direkt auf dem Yubikey speichert. So kann ich das gleiche 2FA verwenden, egal auf welchem Gerät ich gerade arbeite. Erst wenn ich meinen Yubikey einstecke oder ihn per NFC mit der App auf meinem Computer/Smartphone/Tablet verbinde, sehe ich Konten in der Authenticator-App. Diese App ist deswegen hilfreich, weil nicht alle Plattformen mit 2FA auch Security-Keys unterstützen. Oft bieten sie nur eine Authenticator-App-Schnittstelle an. Außerdem kann ich meine Yubikeys verwenden, um meine Computer zu entsperren, ohne mein Passwort einzugeben. Damit es unter macOS funktioniert, musste ich ein bisschen basteln, aber die Blicke, die ich ernte, wenn ich meinen Laptop mit einem Schlüssel aufschließe, sind unbezahlbar. ;) Letztendlich ist also der Yubikey in Verbindung mit dem Yubico Authenticator eine perfekte Lösung, wenn man sowohl einen Security-Key als auch eine Authenticator-App benötigt. Steckt man seinen Key nur dann an, wenn man ihn wirklich gerade verwendet und trennt ihn danach sofort wieder vom Gerät, minimiert man die Angriffsfläche auf seine MFA-Token soweit, wie es nur möglich ist.

Sammeln von Informationen

Jeder, der schon einmal komplexere Recherche-Arbeiten erledigen musste, weiß, wie schnell man große Mengen an unstrukturierten Daten hat, bei denen man schnell den Überblick verlieren kann. Und manchmal musst du Recherche-Arbeiten erledigen, die nicht mit anderen Personen, wie z.B. den Mitarbeitern deines Providers geteilt werden sollten. Aus diesem Grund benutze ich ein Tool namens Yojimbo von Barebones (die auch den beliebten BBEdit anbieten). Es ist zwar nicht die neueste Software auf dem Markt, aber ich mag es, dass man eine Art Schublade an der Seite seines Desktops hat, in die Daten, die man aufbewahren möchte, einfach abgelegt werden können. Solche Daten können ein Dokument, eine URL, eine Seriennummer, ein Stück Text und so weiter sein. Später kann man die Daten mit Tags versehen, um sie leichter durchsuchen zu können. Aber auch die eingebaute Suche ist sehr gut geeignet, um Informationen anhand ihres Inhalts schnell wiederzufinden. Mit Tags kann man jedoch themenspezifische Listen von gesammelten Daten erstellen, auf die man ganz einfach über die linke Seite des Yojimbo-Fensters oder über die Schublade zugreifen kann. Wenn man sensible Daten hat, kann man sie mit einem einfachen Klick verschlüsseln (und entschlüsseln). Yojimbo nutzt keinen zentralen Server, um Daten zwischen Geräten zu synchronisieren. Die Daten bleiben immer auf dem jeweiligen Computer, auf dem man sie ablegt. So behält man die Kontrolle über die Daten, die man in diesem Tool organisierst. Es gibt aber auch eine iPad-App, mit der man seine Daten zwischen einem Mac und einem iPad synchronisieren kann, wenn man das möchte.

Übersetzungen

Wenn du im WWW recherchierst, stößt du oft auf Informationen in Sprachen, die du nicht oder nur teilweise verstehst. Online-Übersetzer wie Google Translate sind zwar hilfreich, um zumindest die Essenz eines Textes zu erfassen, aber gute Übersetzungen liefert Google bekanntlich nicht. Ein kleiner Geheimtipp ist ein KI-gestütztes Übersetzungstool aus Deutschland: DeepL. Was damit besonders auffällt, ist, dass die von DeepL gelieferten Übersetzungen weitaus besser sind als die anderer Anbieter. Was hat das aber mit dem Datenschutz zu tun? Wenn du ein Pro-Konto für DeepL hast, werden deine Eingaben nicht gespeichert, wenn du das in deinen Kontoeinstellungen nicht erlaubst. Und da es sich um ein deutsches Unternehmen handelt, ist es für sie nicht so einfach, die von den Nutzern eingegebenen persönlichen Daten ohne explizite Einwilligung des Users zu speichern. Unsere Datenschutzgesetze sind sehr restriktiv. Die Strafen, die Unternehmen zahlen müssen, wenn sie Daten für Zwecke verarbeiten, denen der Nutzer nicht zugestimmt hat, können selbst für größere Unternehmen sehr schmerzhaft sein. Wenn du also einen privaten Text übersetzen musst, den außer dir niemand haben sollte, solltest du ein Pro-Konto auf DeepL nutzen. Die Übersetzungen sind zwar nicht perfekt (zum Beispiel wird das deutsche Wort "Datenträger" oft fälschlicherweise mit "data carrier" statt mit "storage device" oder "storage media" übersetzt), aber sie sind viel besser als die Ergebnisse von Google zum Beispiel. Außerdem kann man mittels eines Glossars auch eigene Übersetzungen für bestimmte Wörter festlegen und damit solche kleinen Fehler selbst korrigieren. Auch die Integration im Browser ist ziemlich praktisch. Mit ihr tauchen unter fremdsprachigen Texten kleine Links auf, mit denen man sie mittels DeepL übersetzen kann.

Kommunikation

Ein Großteil der digitalen Kommunikation wird heute über Instant Messenger abgewickelt. Leider bedeutet das, dass die Anbieter solcher Messenger meist in der Lage sind, deine Unterhaltungen mitzulesen, auch wenn Ende-zu-Ende-Verschlüsselung sich (glücklicherweise) bei einigen Anbietern bereits durchgesetzt hat. Eine relativ neue Lösung kommt aus der Schweiz. Sie heißt TeleGuard. Auch wenn die Funktionen bisher noch sehr einfach sind, verfolgt das Unternehmen hinter diesem Messenger (Swisscows) eine sehr strenge Datenschutzpolitik. Sie speichern keine Informationen über deine Chats auf ihren Servern, es sei denn, du erlaubst ihnen, Backups von deinen Unterhaltungen zu speichern, die du dann auf anderen Geräten wiederherstellen kannst. Aber auch diese Backups werden nur auf deinen Geräten verschlüsselt und entschlüsselt. Der zugehörige Schlüssel verlässt dich nie. Das bedeutet jedoch auch, dass du deine Daten komplett verlieren kannst, wenn du das Passwort vergisst, das du zum Verschlüsseln der Daten oder für den Zugriff auf dein Konto verwendet hast. In diesem Fall kann nicht einmal Swisscows deine Daten wiederherstellen. Entsprechend sorgsam sollte man damit also umgehen.

Übrigens bietet Swisscows auch eine Suchmaschine an, die sich auf Datenschutz konzentriert (zusätzlich zum Kinderschutz). Wenn du eine kinderfreundliche Suchmaschine mit Fokus auf Datenschutz brauchst, solltest du sie ausprobieren. Und wenn du mal eine E-Mail-Adresse brauchst, kannst du auch deren E-Mail-Service nutzen.

Datenspeicherung

Die Datenspeicherung ist meiner Meinung nach eine der wichtigsten Infrastrukturen, die wir in unserem täglichen Leben nutzen. Natürlich können wir uns bei Netzwerkspeichern auf Lösungen wie Dropbox, Google Drive oder iCloud verlassen, aber am Ende wissen wir nicht, was die Anbieter wirklich mit den Daten machen, die wir auf ihren Plattformen speichern. Eine einfache Lösung ist die Verwendung deiner eigenen Server. Du kannst sie entweder zu Hause hosten (ein alter Laptop mit einer zusätzlichen externen Festplatte reicht für die meisten Anforderungen im privaten Bereich aus) oder du kannst Server in einem Rechenzentrum mieten, die du vollständig kontrollieren kannst. Aber Vorsicht: Versuche nie, einen Server zu betreiben, wenn du keine Ahnung von Systemadministration hast. Wenn du einen Server mietest, bist du auch dafür verantwortlich, was mit diesem Rechner gemacht wird. Und wenn ein Bot auf deinem Server eingeschleust wird, weil du ihn nicht fachgerecht abgesichert hast, und du dies nicht rechzzeitig bemerkst, kann es sehr teuer werden, wenn der Bot anderen IT-Infrastrukturen Schaden zufügt. Wenn du also keine Erfahrung mit der Einrichtung und Absicherung von Servern hast, überlasse das lieber einem Profi.

Eine andere Alternative kommt von meinem Internetanbieter, der Deutschen Telekom. Sie bietet einen Cloud-Speicher namens MagentaCloud zu moderaten Preisen an (z.B. 500 GB für 5 € / Monat). Und weil es sich um ein deutsches Unternehmen handelt, dessen Rechenzentren sich ausschließlich in Deutschland befinden, kann es einen sehr guten Datenschutz bieten. Selbst deutsche Geheimdienste können ohne die Zustimmung eines deutschen Gerichts nicht einfach auf die Daten zugreifen. Auch die Möglichkeiten, auf den Speicher zuzugreifen - rsync, scp, SFTP, WebDAV, deren Apps sowie das Webinterface - sind gut und für meine Zwecke ausreichend. Eine zusätzliche Sicherheitsebene kann mit einem Tool wie Boxcryptor hinzugefügt werden, um alle Dateien zu verschlüsseln.

Doch nicht alle Daten möchte ich auf einem Speicher im Internet oder LAN ablegen. So liegen z.B. meine gesamten Backups meiner Rechner und meines iCloud-Speichers sowie meine Datenarchive auf externen SSD. Hierfür kommt bei mir primär die G-Drive ArmorLock SSD zum Einsatz, die eine Hardware-Verschlüsselung bietet. Das heißt, dass alle Daten sofort verschlüsselt sind, sobald die SSD vom Rechner getrennt wird. Wird die Platte an einen Rechner angeschlossen, muss sie erst über eine App freigegeben werden, die man zusätzlich auf seinem Smartphone oder Rechner einrichten muss. Diese App prüft zuerst biometrische Daten zur Verifizierung des Anwenders, bevor sie die gespeicherten Daten entschlüsselt und den Datenträger dem Betriebssystem zur Einbindung freigibt. Mit ihr ist es auch möglich mehreren Anwendern den Zugriff auf den gleichen Datenträger zu erlauben. Für weniger sensible Daten oder TimeMachine-Backups nutze aber auch normale G-Drive SSD, die ich mit einer Software-Verschlüsselung eingerichtet habe. Damit ich besonders wichtige Daten auch in verschiedenen Versionen wiederherstellen kann, lege ich diese in lokalen Git-Repositories auf den externen SSD ab und führe nach jeder Backup-Prozedur ein Commit durch.

Auf diese Weise stelle ich sicher, dass ich immer auch Offline-Backups zur Verfügung habe. Dieses führe ich immer mit mir mit, wenn ich meine Wohnung verlasse.

Verschlüsselte Nachrichten mit PrivateBin

Manchmal komme ich in Situationen, in denen ich sensible Daten mit Leuten austauschen muss, die von Themen wie Verschlüsselung wenig Ahnung haben. In solchen Fällen nutze ich PrivateBin, das ich auf meinem eigenen Server laufen habe. Damit lassen sich Texte sehr einfach verschlüsseln und die Informationen in der Dauer ihrer Verfügbarkeit auf dem Server einschränken. Nach dem Absenden des Formulars erhält man einen Link angezeigt, den man einfach an die jeweilige Person, die die Daten erhalten soll, schicken kann. Im besten Fall aktiviert man vorher aber das Häkchen bei "Nach dem Lesen löschen" (dadurch kann die Nachricht nur ein Mal abgerufen werden und sie wird dann umgehend gelöscht), stellt eine möglichst kurze Speicherdauer ein und legt ein Passwort fest. Link und Passwort sollten, wenn möglich, auf 2 verschiedenen Kanälen gesendet werden (z.B. Link per E-Mail und Passwort per SMS). Das macht das Abfangen der Informationen für mögliche Angreifer schwieriger. Auf dem Server selbst werden die Informationen ausschließlich verschlüsselt abgelegt und nur so lange, wie es die Einstellungen der Nachricht zulassen. Selbst ein User mit Root-Rechten auf dem Server kann die gespeicherten Informationen nicht auslesen, weil sie verschlüsselt gespeichert werden.

Sichere Datei-Übertragung

Als jemand, der nicht nur im beruflichen Umfeld viel mit Servern zu tun hat sondern auch privat verschiedene Server betreibt, muss ich auch immer wieder Dateien zwischen meinem Desktop und den Servern oder mit Cloud-Speichern und virtuellen Maschinen austauschen. Damit das über verschlüsselte Protokolle wie SFTP, SCP, S3 oder WebDAV-HTTPS geschehen kann, nutze ich entweder entsprechende CLI-Tools (scp, sftp, curl, aws) oder Cyberduck als Client. Cyberduck bietet eine übersichtliche GUI und arbeitet auch mit Finder als Dateimanager problemlos zusammen. Außerdem unterstützt es auch klassische Cloud-Speicher wie Dropbox oder Google Drive.

Und der ganze andere Kram

Manchmal komme ich bei meiner Arbeit an Punkte, an denen die verfügbare Software meine Anforderungen überhaupt nicht erfüllt. In solchen Fällen schreibe ich oft kleine Skripte oder Tools mit Python, Go oder Perl, die genau das tun, was ich brauche. Wenn du die Zeit dazu hast, kann ich dir nur nahelegen, eine beliebige Programmiersprache zu lernen. So kannst du deine eigene Software schreiben, wenn du bestimmte Anforderungen oder spezielle Aufgaben hast. Ich habe zum Beispiel in jüngster Vergangenheit in Python eine kleine Software gebaut, die mir hilft, die Compliance von Cloud-Umgebungen zu analysieren. Ich kann einfach die erforderlichen Zugriffsschlüssel hinzufügen und die Software kann im Hintergrund laufen, bis sie einen Abschlussbericht für mich erstellt, den ich in verschiedenen Sicherheitsmanagement-Tools verwenden kann. Und auf meinem Rechner habe ich neben einer umfangreichen Skripte-Sammlung eine zusätzliche Shell (die BitSH) zur Verfügung, in die ich Builtin-Befehle für die Nutzung von ChatGPT, einen Hexeditor und einiges mehr integriert habe, was ich immer mal wieder brauche. Aber oft sind es einfach nur Einzeiler, die ich mal schnell durch den Interpreter schicke, wodurch ich auf Tools wie sed, awk, grep uvm. oft verzichten kann.

Muss mal etwas System-nah programmiert werden, greife ich bereits seit meinen x86-Anfangszeiten auf C zurück. C war auch die erste Programmiersprache, die ich vor über 20 Jahren erlernte.


Und bevor du fragst... meine bevorzugten Editoren für die Programmierung solcher Tools sind Sublime Text und Emacs.

Outro

Das sind also im Grunde meine wichtigsten Tools für mein Privatleben. Bei der Arbeit habe ich natürlich noch einige mehr datenschutzrelevante Tools, z.B. Software für das Risikomanagement, zur Erstellung eines Indexes der Datenverarbeitungstätigkeiten, zur Verwaltung von Sicherheitsvorfällen und vieles mehr. Vielleicht schreibe ich ja in Zukunft auch noch etwas über meinen "CISO-Toolkit".

In der Zwischenzeit... Lebe lang und in Frieden!