Ursprünglich veröffentlicht: https://www.kuketz-blog.de/it-sicherheit-ist-nie-fertig-ein-persoenlicher-weg-ueber-viele-jahre/
1. Der Hallo-Wach-Moment Wenn ich heute auf die letzten Jahrzehnte meines Umgangs mit IT-Sicherheit zurückblicke, wirkt vieles wie ein langsames Abschälen alter Gewohnheiten und Bequemlichkeiten. Die wirklich groben Patzer liegen weit zurück – allen voran der Moment, in dem ich mir als Jugendlicher aus purer Neugier einen Virus (getarnt als nützliche Software) auf meinen Gaming-PC geladen habe, der anschließend die komplette Festplatte ausgelöscht hat. Kein Backup, keine Sicherung, alles weg: Spielstände, Dokumente, Fotos. Heute ist das eine Anekdote, damals war es ein Schock. Und doch war genau dieser Vorfall der Augenblick, an dem mir zum ersten Mal dämmerte, dass »wird…
Ja, für Itler oder software Enthusiasten sicher nachvollziehbar. Normal arbeitende Menschen benötigten schlich etwas was out of the Box funktioniert.
Weder haben die meisten Menschen Spass, noch Lust oder gar Zeit sich um IT Sicherheit zu bemühen.
Man kauf ein Smartphone, einen Computer und es muss funktionieren - mehr nicht.
Also macht alles keinen Sinn, wenn man nichts im Handel anzubieten hat - GrapheneOS scheint da jetzt einen anderenWeg mit einem großen OEM einzuschlagen, das ist gut so.
Heute noch auf X von einer bekannten Persönlichkeit (Politik / Investor) gelesen, das zum Glück Telegram eine dezentrale KI anbietet und man jetzt neben Grok eine weitere hätte.
Das Thema Synchronisierung ist bei mir derzeit noch die größte Baustelle. Das ist der Grund, warum ich Bitwarden neben KeePass nutze und im Allgemeinen Backups immer noch manuell erstelle.
Überhaupt die Orga der Daten bzw. Anwendungen ist eigentlich der Grundpfeiler. (Wo entsteht was, was muss/soll wohin ausgetauscht werden. Dazu dann das Wie, dass ich je nach OS & Gerät unterscheidet).
Mittlerweile bin ich dazu übergegangen Anwendungen je nach Gerät & OS zu trennen und nicht mehr Überall Alles machen zu können und wollen. Somit ergeben sich getrennte Datenquellen und Silos, die dann nicht zwingend ausgetauscht werden. Wäre manchmal praktischer, aber der Aufwand für Datenschutz und Sicherheit macht es am Ende doch unpraktisch.
Der effektivste Schritt wäre komplett auf Streaming (Datenschutz & Profilbildung) zu verzichten, wozu ich mittlerweile mein iPad nutze. Musikstreaming klappt über eine alternative App auch mit GOS ohne Play Services, aber behebt kein ursächliches Problem vom Streaming selbst.
Am liebsten hätte ich überall GOS (Tablet, Handy, Desktop). Praktisch nutzbar ist es aber nur fürs Handy. Das Pixeltablet läuft zwar super mit GOS, bloß für deren Nutzung (reine Komsumfreude) ist es nicht passend. Daher der biss in den sauren Apfel. Am Desktop läuft dann alles „Produktive“, was trotz diverser Versuche mit Handy/Tablet in Summe nicht gut genug funktioniert.
Aber schon beim Thema Passwörter (inkl. 2FA/Passkeys) brauche ich dadurch drei verschiede Ansätze.
Mittlerweile versuche ich, so viel wie möglich analog zu machen, was aber im Grunde fast nie klappt.
Es wäre ein Traum nur noch ein Gerät (+ Backup) und ein OS zu haben.
In meinem Umfeld bin ich mit GOS quasi der Exot (aber immerhin kennen es hier und da mal welche!) und „Experte“, während ich im Vergleich zu echten ITlern quasi ein Anfänger bin. Im Endeffekt möchte ich IT sicher und datenschutzfreundlich (aber zumindest autark entscheidend!) anwenden.
In diesem Sinne finde ich diese Plattform hier extrem wertvoll! Man findet Informationen, die nicht zwingend tieferes Verständnis erfordern und sich meistens gut anwenden lassen bzw. zum Anwendungsfall passen.
Von daher hoffe ich, dass die Unterstützung wächst und mehr Artikel, Anleitungen und bspw. Appanalysen möglich werden!
Und was genau ist jetzt dein Punkt?
Es gibt doch reichlich Produkte die “Out of the Box” hervoragend funktionieren. Und das auch in fast allen Preisklassen. Keiner zwingt irgendwen die von Mike Kuketz aufgezeigten Vorgehensweisen auf sich anzuwenden.
Wer jedoch wert auf die Sicherheit und den Schutz seiner Daten legt wird sich dann wohl mit alternativen zu den “Out of the Box” Varianten auseinandersetzen müssen. Das nennt man nach meinem Verständnis Eigenverantwortung.
Aber genau das ist das Problem, wer 8 Stunden arbeitet hat keine Zeit für “Eigenverantwortung” - er ist angewiesen das ein funktionierenden Staat der ihn vor Übergriffen jeglicher Art schützt, auch der von Big Tec.
Mal abgesehen von dem enormen technischen Verständnis das er sich aneignen müsste.
Ungefähr so, als würde man ein Auto als Bausatz kaufen - würde zumindest den öffentlichen Nahverkehr stärken 
Schöne Idee, einen solchen Artikel zu schreiben. Passt auch zum Jahreswechsel, wo man sich ja gewisse Dinge vornimmt. Da kann so eine Übersicht den Startschuss beflügeln. Erreicht der Artikel aber die Richtigen?
Ich stimme @Flow insoweit zu, dass Mikes Vorgehen (das meinem persönlichen ziemlich nahe kommt) sicherlich nicht für Jedermann geeignet ist. Das ist aber auch gar nicht nötig! Für eine sehr große Anzahl an Leuten wäre es schon ein riesiger Schritt, endlich mal nicht sofort jede x-beliebige App zu installieren. Das ist nur ein einziger Punkt und schon der ist SO wirkungsvoll! Wer diesen Schritt bereits erledigt hat, bemerkt vielleicht etwas anderes, was stört, z.B. E-Mail-Spam. Das hat mich zumindest zur Nutzung von addy.io geführt. Auch das allein ist ein gigantischer Schritt! Super zeitaufwändig in der Umstellung, aber wenn das erledigt ist, kehrt eine Ruhe ein, die super angenehm ist. Und diese Ruhe ist absolut nachhaltig, wenn eben auch künftig für alles ein eigener Alias verwendet wird.
Daher wäre vielleicht so eine Liste an kleinen und größeren Maßnahmen eine Sache für einen IT-Weihnachtskalender (ja, ausgelutscht, für zu viel wird ein Weihnachtskalender erzeugt). Für jeden Tag eine Maßnahme, bei der man dann überlegen kann, ob das damit gelöste Problem einen betrifft oder nicht und dann kann man aussuchen.
Müsste halt jemand machen und dann noch die richtige Zielgruppe erreichen. Da wäre so eine von @Flow in der ersten Antwort erwähnte Persönlichkeit vielleicht geeigneter (ohne jetzt zu wissen, um wen es geht).
Letztlich ist es den absolut meisten Leuten aber halt wirklich scheißegal, Hauptsache es funktioniert alles…
Die Menschen verstehen es nicht. Jetzt hat mir im Abstand von ca. Jahren 2 unterschiedliche Geschäftspartner gesagt, sie hätten sich in einer Gruppe unterhalten, am nächsten Tag wäre auffällige, weil nicht passende Werbung gekommen, die direkt auf die zuvor geführte Unterhaltung zurück geführt wurde.
Einzige Handlung, Siri wurde deaktiviert. Mit mehr will man sich auch nicht auseinander setzen.
Danke dir für den Bericht. Meine Reise ist ähnlich (etwas weniger proffessionell) wie deine.
Natürlich bringt das alles nur etwas, wenn es praktisch nutzbar bleibt. Der nächste Schritt war deshalb die Frage: Wie bekomme ich diese Datenbank auf mehreren Geräten synchron, ohne sie in irgendeinen x-beliebigen Cloudspeicher zu kippen? Die Lösung war Syncthing. Statt anonyme Server in irgendwelchen Rechenzentren als Zwischenstationen zu nutzen, synchronisiere ich die Datenbank direkt zwischen meinem Linux-Desktop und meinem Android-Gerät. Das passiert so zuverlässig im Hintergrund, dass ich im Alltag gar nicht mehr darüber nachdenke – genau so, wie es sein soll. Komfort und Kontrolle schließen sich nicht aus, sondern müssen nur bewusst selbst gestaltet werden.
Ich nutze Git LFS in privatem Git Repo.
Eine zu bequeme Sache? Muss ich auf https://syncthing.net/ umsteigen?
Eine FritzBox 4040, die ich mit OpenWrt geflasht habe, übernahm die Aufgaben, die mir wichtig wurden: Segmentierung, feinere Firewallregeln, eigene DNS-Konfiguration, Trennung von Zonen. Aus einem homogenen Heimnetz wurde nach und nach eine Sammlung verschiedener Bereiche, in denen nicht jedes Gerät alles sehen und ansprechen kann.
Leider habe ich noch keine Netz-Segementierung. Ist auf meiner TODO-Liste 
Der Staat schützt dich nicht oder kaum. Er beteiligt sich am Datensammeln, denn viele Daten von Google, Microsoft und Co fliessen zum Staat.
@kuketzblog Danke für diesen Klasse-Artikel mit dem Blickwinkel des eigentlich nicht-technischen Wandels hin zu mehr Sicherheit und Datenschutz.
Was mich daran begeistert sind eben genau der nicht-technische Blickwinkel und die Story, dass jeder Stück für Stück voran kommen kann auch ohne Experte sein zu müssen.
Manches wie ein Passwort-Manager oder einfach weniger Accounts macht Sicherheit sogar komfortabler.
Ein Passwort-Manager ist schon eine prima Sache! Nicht mehr auszudenken die Zeiten davor…!
Und weniger Accounts: einmal im Jahr gehe ich bei mir und meinem Vater den Passwort-Safe und das Adressbuch auf veraltete oder nicht mehr relevante Einträge durch (OK, das Adressbuch ist nicht sicherheitsrelevant im Inhalt…). Das Ziel ist, dass beide nicht einfach so unbegrenzt wachsen.
Mir gefällt der Artikel! Zeigt, jeder hat mal klein angefangen. Aber damals waren noch nicht soviele Dinge offensichtlich, gegen die man sich wehren musste. Also ging Step-by-step ganz gut. Heute ist man leicht überwältigt von dem großen Berg, den man angehen muss. Die Artikelserien sind da ganz gut, wenn man sich erstmal die Themen festgelegt hat, um die man sich zunächst vorrangig kümmern will. Und da finde ich die Einordnung in Einsteiger/Fortgeschrittene ganz gut (nur ein bisschen Konkretisierung wäre da manchmal hilfreich, wer da jeweils gemeint ist. Ich hab z.b. bei der letzten Browserserie lang gerätselt, ob ich jetzt Einsteiger oder Fortgeschrittener bin, da wäre eine Konkretisierung à la „muss mind. das und das schon umgesetzt haben“ gut))
Man kann ja erstmal die tiefhängenden Früchte einfahren: Mal die Empfehlungsecke überfliegen, was da einfach scheint (z.B. „Frank geht ran“). Den Rest kann man ja später machen. Außerdem gab es im Sommer 24 (oder 23?) im August (?) eine Seire auf Mastodon mit ähnlich einfachen Sachen.
Woran ich ein bisschen struggele, womit mach ich nach xy weiter?
Wenn es jetzt möglich wäre, Footer zu verwenden (=Vorschlag), könnte jeder reinschreiben, wie er angefangen hat, womit er weitermacht hat und wo er jetzt steht. Wenn das bei vielen Leuten steht, kann man sich an der Entwicklung ähnlich stehender Personen orientieren. (gibt ja in manchen Züchterforen so „Massbänder“ wo man eintragen kann, wie groß heute und in der Vergangenheit etwas war (Hund, Pflanze, Baby…) So analog. Oder „viele Leute haben erst das gemcht, dann das“. Gibt einem vielleicht dann eine Idee…
Die Frage, die ich mir auf meinem Weg immer wieder stelle, lautet: Wo endet sinnvolle Vorsorge, und wo beginnt Selbstbetrug durch Überoptimierung?
Den im Blogbeitrag beschriebenen Prozess habe ich selbst durchlaufen. Anfangs vermittelten mir selbstgehostete Lösungen das Gefühl, die Kontrolle über meine Daten zu behalten. Doch sie erforderten ständige Wartung, und mein Perfektionismus führte zu immer komplexeren Setups. Statt diese zu vereinfachen, versuchte ich, sie mit zusätzlicher Technik abzusichern – und übersah dabei, dass ich selbst zum größten Risikofaktor wurde.
Irgendwann fragte ich mich: Wofür optimiere ich eigentlich? Wenn ich meine gesamte Zeit in die Pflege privater und beruflicher IT-Systeme investiere, bleibt wenig Raum für andere Prioritäten. Welche Risiken würden mein Leben tatsächlich beeinträchtigen, und welche existieren nur als theoretische Szenarien?
Diese Woche habe ich damit begonnen, meine persönlichen Dokumente in physische Aktenordner mit Klarsichthüllen und Trennblättern zu überführen – eine Lösung, die mich etwa fünfzig Euro gekostet hat. Diese Entscheidung traf ich erst, nachdem ich mit Paperless-ngx an meine Grenzen gestoßen war. Ständige Updates, Backups, Kompatibilitätsprobleme und die Herausforderungen des Selbsthostings hatten mir mehr neue Probleme bereitet als gelöst. Aktenordner dagegen schaffen keine zusätzlichen Abhängigkeiten. Die Daten lassen sich problemlos kopieren und an einem anderen Ort aufbewahren.
Ich bin nach dem Prinzip „Vertraue niemandem“ vorgegangen und habe dabei meine eigenen Fähigkeiten überschätzt. Das vermittelte mir ein trügerisches Sicherheitsgefühl. Alles selbst zu betreiben, macht mich abhängig von meiner eigenen Zeit, Disziplin und Fachkenntnis.
Eigentlich würde ich meinen Alltag gerne nach höchsten Datenschutzstandards ausrichten – mit TuxedoOS und GrapheneOS. Doch in diesem Jahr habe ich gemerkt, dass ich den Druck nicht aufrechterhalten kann, mein Leben extrem sicher, aber gleichzeitig unpraktikabel zu gestalten, nur um mich vor abstrakten Risiken abzusichern. Ich habe erlebt, wie Stress und Überforderung zu Fehlern führten, die mir am Ende mehr schadeten als die vermeintlichen Bedrohungen, vor denen ich mich schützen wollte.
Wie geht ihr mit dem Grenzbereich zwischen sinnvoller Vorsorge und Überoptimierung um?
Mir geht es ähnlich. Rückblickend habe ich dieses Jahr sehr viel Zeit in die Themen GrapheneOS, Linux und das Finden von Open Source Software/Apps investiert. Und noch mit einmal habe ich mir die Frage gestellt, ob sich der Aufwand lohnt, oder ob ich ganz viel Zeit in Überoptimierung stecke. Ein Grund, warum ich zwar ein Pixel 9 mit GOS nutze, das iPhone aber immer noch hier liegt.
@Zen Ich finde Deinen Aspekt der Überschätzung der eigenen Fähigkeiten, aber eben auch @kuketzblog Hinweis darauf, dass Sicherheit ein fortlaufender Prozess ist, als etwas was in Foren wie diesem mehr Beachtung erfahren sollte.
Jeder hat andere Talente und Ressourcen die er einsetzen kann und steht an einem anderen Ausgangspunkt. Was für den Einen als die absolut notwendig Basis gilt, ist für den Anderen ggf. unvorstellbar oder auch tatsächlich unerreichbar.
Ich persönlich stelle bei mir fest, dass die Ressourcen alles selber zu betreiben und meine Systeme immer weiter zu optimieren mit dem zunehmenden Alter schwinden. Auch mache ich mir Gedanken darüber wie meine Familie zurecht kommt, wenn ich als Systemadministrator ausfallen würde. Daher nutzte ich tatsächlich häufiger Dienstleistungen die Firmen mir anbieten und versuche mit diesen ein für mich sinnvoll erreichbares Sicherheits- und Datenschutzniveau zu erreichen.
Geht mir ähnlich. Man verbraucht viel Lebenszeit, wenn man alles immer selbst optimieren will. Und hinterher kommt man irgendwie dich nicht. Ist man mit was fertig, gibt es irgendeine Änderung und muss wieder anpassen.
Bei Passwort Managern bin ich mir selbst immer unsicher. Sind diese wirklich so sicher? Bei einer Sicherheitslücke wären ja dann mit einem Mal alle offen. Ist die Variante mit festem Bestandteil kombiniert mit einem unmerkbaren Bestandteil (der dann auch in so einem Passwort Manager gespeichert sein kann oder „verschlüsselt“ in einem Notizbuch) nicht sicherer?
Euch einen wunderbaren Tag 
Ich denke, das ist ein ganz wichtiger Aspekt. Ein heute eingerichtetes und optimiertes Setting wird in 20 oder 30 Jahren ganz anders aussehen (müssen). Die IT-Welt dreht sich ständig weiter, und ich gebe zu, dass es mir an der ein oder anderen Stelle schon schwerer fällt, den Optimierungsvorschlägen zu folgen. Und da es in meiner kleinen Familie niemand jüngeren gibt, die/der die Rolle des „Admins“ übernimmt, werde ich sicherlich irgendwann auf die Standard-Lösungen zurückgreifen. Aber wahrscheinlich wird es mir dann auch egal sein, ob Google, Apple oder sonstwer wissen, in welchem Stockwerk des Pflegeheims ich gerade mit 0,5 km/h unterwegs bin…
Wenn die Tastenanschläge mit dem gleichen Buchstaben hintereinander mehr werden, man zu laut spricht und Telefonate oft „Hä“ enthalten, verliert BigTech das Interesse an mir, weil Altenheim
Im Grunde ähnlich. Das was analog eh anfällt (Dokumente), bleibt auch analog. Digitales wird da genutzt, wo es in Summe mehr Vorteile bringt, oder eh digital anfällt.
Wichtige digitale Dokumente werden als Backup ausgedruckt. Klar ist es von Vorteil alle Dokumente digital zu haben, schnell und einfach (durch)suchbar zu haben usw. Aber letztendlich fängt es dann mit der Auswahl der Hardware an, geht in die Auswahl der Software über und verliert sich in Detailfragen zu Dateiformaten, Backups, Datenstruktur… Und schön wächst der Rattenschwanz an Aufwand über den Vorteil des Digitalen hinaus. Einfach wäre es, wenn man einfach alles bei MS, Google oder Apple hochlädt und deren goldene Käfige nutzt. Das ist für mich aber ein NoGo.
Daher wäre es toll, wenn im OpenSource-Bereich ganzheitliche Lösungen entstehen würden. Die dann bezahlt werden (müssen - Infrastruktur, Betrieb & Entwicklung), aber vertrauenswürdig und kontrollierbar sind.
Daher teile ich Nutzungsarten in Anwendungssilos auf, damit der Aufwand akzeptabel bleibt. Lieber ein paar Insellösungen, als Alles mit Allem vermischen.
Strategisch sehe ich darin langfristig einen Nachteil, weswegen ich auf Projekte wie GOS und eine Belebung von GNU/Linux im Desktopbereich hoffe.
Du triffst den Punkt, ich würde lieber Geld als Zeit in saubere Lösungen investieren wollen. Ich bastel gerne, aber ich mag es nicht immer nur im Internet zu lesen wie ich etwas tun darf damit es dann sicher ist. Ich merke im Moment sehr deutlich, dass mir etwas fehlt, an dem ich wachsen und basteln kann. Etwas, das sich gut anfühlt und nicht wie eine Flucht.
Früher war das anders. Als das iPhone 4 herauskam oder das MacBook Pro dieser Zeit aktuell war, hatte Apple jedes Jahr etwas wirklich Neues und Spannendes. Man hatte das Gefühl, in einem Ökosystem zu sein, in dem alles miteinander harmoniert und in dem echte Innovation passiert. Da konnte ich sagen: „Oh, toll, Apple hat wieder etwas herausgebracht, da richte ich mich mal gemütlich ein.“ Jetzt auf ein GrapheneOS Pixel oder einen Tuxedo umzusteigen fühlt sich an wie bei Null anzufangen und dabei vor etwas oder jemandem wegzurennen. Und wenn plötzlich alles von Angst überlagert ist, weiß ich manchmal nicht einmal mehr, wie ich das überhaupt noch in Worte fassen soll. Es ist einfach nicht das, was ich will. Aber vielleicht fehlt mir da die Peergroup um über diesen Anfangsmoment zu überwinden.
Vielleicht fällt es mir deshalb so schwer, beim Handy oder Laptop diese Verschiebung von Lust zu Last zu akzeptieren. Vielleicht trauere ich einfach nur um eine Zeit, in der Technik sich wie ein Abenteuer anfühlte. Aber der Kampf um die eigene Privatsphäre fühlt sich nicht an wie ein neues Spielfeld sondern wie ein erzwungener Rückzug.