Erfahrungsbericht nach vollständiger Umstellung des Betriebes auf Open Source Software

Nun ist es doch schon länger her, dass eine vollständige Umstellung der Software im Hause der CTS GMBH und auch im privaten Bereich durchgeführt wurde. Es gibt aktuell keine einzige kommerzielle Software und viele der früher auftretenden Probleme sind, ohne jegliche Lizenzkosten, einfach verschwunden.

Der Anfang

Schon seit dem Anfang der 90er Jahre wird bei CTS FreeBSD (https://freebsd.org) und Debian Linux (https://debian.org) auf den Servern verwendet und im Serverbereich wurde schon damals, mit wenigen Ausnahmen, jegliche proprietäre Software ausgemustert. Die Schwierigkeiten waren hier natürlich weit geringer, denn die meisten Webserver im Internet werden mit Open Source BSD, bzw. Linux Betriebssystemen betrieben. Die PHP Programmiersprache, der MySQL oder PostgresQL Datenbankserver und viele weitere Open Source Softwareprodukte sind Standard beim Einsatz mit direktem Internetanschluss. DNS Infrastrukturen und weitere für den Betrieb eines Netzes erforderliche Dienste werden zum größten Teil auch mit besagten Komponenten betrieben.

Da ich generell der Meinung bin, dass eigene vertrauliche Daten nur im eigenen Haus gespeichert werden dürfen und die Auslagerung auf fremde Rechner im Internet (aka Cloud oder Hosting) keine Option ist, war schon sehr bald der Betrieb einer eigenen DNS Infrastruktur, eines auf FreeBSD basierenden Mail Servers, inklusive einer vor Spam- und Viren schützenden, selbst entwickelten MailWall ein konsequenter Weg. Der Einsatz von PGP (https://de.wikipedia.org/wiki/OpenPGP) als von Betriebssystem unabhängigem Verschlüsselungssystem auch für E-Mails begann bereits sehr früh. Nicht verschlüsselte E-Mails sind wie ein Postkarte und man wundert sich, welche sensible Daten unverschlüsselt per E-Mail versendet werden. Hier kann man erwarten, dass es in nicht allzu ferner Zeit einen gröberen Vorfall geben wird, denn wo Daten sind gibt es jemand, der diese haben will.

Im Laufe der Zeit kamen, da proprietäre Dokumente auf der MailWall geblockt werden, zum Datenaustausch mit Partnern ein eigener OwnCloud (https://owncloud.org) Server, betrieben hier im Haus, hinzu. Damit können Dateien über eine DMZ sehr sicher mit Dritten ausgetauscht werden und man vermeidet die Unhöflichkeit von riesigen E-Mail Attachments.

In den Anfängen der VoIP Telefonie wurde unser Telefonsystem bereits auf eine Asterisk Installation umgestellt und wir agieren auch hier vollkommen Anbieter befreit. Mittlerweile ist der Asterisk direkt via IAX2 und SIP, natürlich eingeschränkt auf deren und unsere statischen IP Adressen, bei zwei Providern angebunden.

Weitere Schritte

Ein, natürlich auch selbst betriebener Home Assistant (https://www.home-assistant.io/) Automationsserver, welcher keine Daten an Dritte überträgt in Verbindung mit einer eigenen MQTT Infrastruktur zeigte, dass es natürlich möglich ist, ohne schlecht programmierte IoT Geräte und Wanzen, welche alle Daten durch den Server des Anbieters senden, bzw. einen Zugriff zur Anlage über diesen ermöglichen, sehr einfach realisiert werden kann. Dort wo keine statische IP Adressen vorhanden sind, kann der Zugriff sauber über Tor Hidden Services realisiert werden.

Als Firewalls mit HA Setup werden FreeBSD basierende PFSense ( https://www.pfsense.org/) Lösungen eingesetzt. Damit ist der automatische Sync verschiedener Firewalls und der Aufbau von WAN, LAN, DMZ, WEBNET und rein virtuellen Netzen, ala separierten Anonymisierungslösungen mit Tor und Linux Terminal Server in einem hermetisch abgeschlossenem Netz leicht möglich. Netzseparation ist in jedem Fall zwingend!

Hausintern kann die komplette SSL Zertifikats Infrastruktur ohne Dritte sehr einfach aufgebaut werden. Für öffentliche Server benutzt man am besten kostenlose Letsencrypt Zertifikate.

Damit sind Sie dem Projekt “Null Lizenzkosten” schon viele Schritte näher.

Das komplette Setup ist für professionelle Administratoren sehr einfach und übersichtlich einzurichten und die Wartung kann, insbesondere, wenn man, wie bei uns im Haus, die kostenlose Open Source Virtualisierung Proxmox (https://proxmox.com) verwendet, sehr einfach mit Snapshots (speichert binnen Sekunden ein Abbild des Systems, auf das man in Sekundenschnelle wieder zurücksetzen kann.) umgesetzt werden.

Mit der PFSense Lösung kann sehr einfach eine komplette Abschottung des LAN erfolgen und ein Zugang für reisende Mitarbeiter und Telearbeitsplätze über die inkludierte OpenVPN (https://en.wikipedia.org/wiki/OpenVPN) Lösung realisiert werden. Damit ist es möglich, sich komplett geschützt von einem Notebook oder Mobilgerät unter Windows, OSX, Linux, Android und IOS Zugang zum LAN zu verschaffen und der Administrator kann auf der Firewall den externen Rechnern, z.B. nur den Zugriff auf den Terminal Server erlauben. Vielfältige, sichere Szenarien sind hier die Standardsetups guter Administratoren. Das Interface für das VPN kann eigenständig mit Firewall Regeln bespielt werden.

Durch die Leistungsfähigkeit neuerer Hardware und die Möglichkeit der Virtualisierung können einzelne Services auf einzelnen virtuellen Systemen betrieben werden. Dadurch wird die Wartung dramatisch vereinfacht und die Kosten für Ausfälle und Stehzeiten gehen gegen Null.

Für unabhängige Bookmark Synchronisation (https://www.xbrowsersync.org/), Fakturierung, ERP Lösung, Fahrzeugtracking (https://www.traccar.org/) betreiben wir eigene virtuelle Maschinen und testweise wurde auch ein eigener Cryptowährungs Zahlungssystem Server (https://btcpayserver.org/) eingerichtet. Damit kann man vorzeigen, wie einfach und sicher eine Zahlung im Internet, ohne Drittanbieter und ohne Spesen, abgewickelt werden kann.

Storage / NAS

Um den rasant wachsenden Datenmengen Herr zu werden, wurden unsere seit längerem betriebenen FreeNAS (https://freenas.org) Storage Systeme (selbst zusammengestellte Hardware aus Einzelkomponenten) auf Hochverfügbarkeit umgestellt. Wir betreiben nun 2 NAS, je mit 12 TB auf ZFS Dateisystem und NAS-zu-NAS HA Replikation. Die Datensicherung erfolgt auf verschlüsselte externe Datenträger mit Auslagerung. Sensible virtuelle Maschinen werden mit verschlüsselten virtuellen Festplatten betrieben.

Dezentralisierung

Facebook und Twitter Alternativen

In den letzten Jahren wurde massive Kritik an den großen “sozialen” Netzwerken, insbesondere im Bereich Datensicherheit und Privatsphäre laut. Ich selbst war nie ein besonderer Nutzer dieser Systeme und hatte nur einen Facebook Account, welcher aber seit April 2018 komplett leer ist.

Angespornt durch diese Kritik in Verbindung mit aufgedeckter Datensammelwut, Daten Leaks und der Willkür einiger Betreiber, welche Benutzer durch die Sperre Ihrer Accounts eine unschöne Überraschung bereiteten, entstand das Fediverse mit dem ActivityPub Protokoll.

Mastodon, eine dezentralisierte, Open Source, Twitter und Facebook Alternative ist die klare Nummer eins und auch wir betreiben eine eigene Mastodon Instanz.

Mein Fediverse/ActivityPub Profil auf der CTS Mastodon Instanz finden Sie hier:

Es hat etwas gedauert, bis Firmen, politische Gruppierungen und andere diesen riesigen Vorteil verstanden haben und dann hat es nochmal etwas gedauert bis die “das hat ja keiner, alle sind dort Lemminge” aktiv wurden. Wir immer ein Henne und Ei Problem, denn so lange Personen, Firmen, Institutionen die etwas mitteilen möchten, nicht aktiv werden, wird es auch keine Nutzer geben. Das Problem ist mittlerweile Vergangenheit und die Interaktivität im Fediverse ist sehr hoch und mit guter Qualität.

Kurz zusammengefasst funktioniert das Fediverse so ähnlich wie sie es von E-Mail kennen. Es gibt einen Server mit der Domain meinedomain.com und alle Benutzer die einen Account auf diesem Server haben, bekommen @benutzer@meinedomain als Adresse. Die Fediverse Instanzen kommunizieren wie E-Mail Server über der Domain Teil, somit kann jeder Benutzer, jedem anderen Benutzer im Fediverse, sogar über verschiedene Software Lösungen (Mastodon, Pixelfed (Foto), PeerTube (Video), etc.) folgen und erhält die Neuigkeiten ungefiltert in der Timeline. Kein Datensammler der sortiert, filtert oder vorschreibt was Ihnen wichtig ist.

Und das beste, wenn Sie als Anbieter eine eigene Instanz betreiben kann niemand Ihre Accounts sperren, denn Sie sind der Admin Ihrer Instanz! Auch wird der Aufwand von Kontrolle und Löschungen einzelner Postings dramatisch reduziert, da Sie nur für die Postings auf Ihrer Instanz verantwortlich sind! Die Sichtbarkeit ist, richtig eingesetzt, auch viel höher da die federierten Zeitleisten Postings abbilden. Kommerzieller Support und Consulting gerne über support@cts-solutions.at .

Sicherer Messenger

Um das Gesamtbild abzurunden fehlte nun noch ein sicherer, End-zu-End verschlüsselter Messenger, bei dem niemand mitlesen kann, der dezentral aufgebaut ist und selbst betrieben werden kann. Durch die gesetzlichen Vorgaben in den USA ist es mehr als zweifelhaft, dass die E2E Verschlüsselung großer Anbieter wirklich keine Backdoor zum Mitlesen hat. Gerade bei der Kommunikation ist es für mich zwingen, dass jeder Zweifel ausgeschlossen ist.

Schon sehr lange bevor die französische Regierung auf die gewählte Lösung aufgesprungen ist und das deutsche Milität die Lösung in der engsten Auswahl testet, wurde in unserem seit jeher sehr innovativem Hause auf das Matrix Protokoll (https://matrix.org) in Verbindung mit dem Matrix Server Synapse und dem Messenger Riot (https://riot.im) gesetzt.

Für den Benutzer ist nur der Riot Messenger (Windows, MAC, Linux, Android, IOS) sichtbar. Dieser kommuniziert über das Matrix Protokoll mit dem Synapse Matrix Server. Wir auch bei Mastodon oder E-Mail können Server mit anderen Servern kommunizieren und damit ist eine uneingeschränkte Kommunikation mit allen Benutzern in der Matrix möglich.

Die Adressen bauen sich so auf, dass einem @ der Benutzername am Server folgt, danach ein : gefolgt von der Domain.

Meine Adresse ist z.B.:

  • @karl:matrix.ctseuro.com

Es gibt drei Arten von Adressen:

  • 1:1 Chat Adressen starten mit einem @, wie oben bei meiner Adresse

  • Gruppenchats starten mit einer #

Ich habe z.B. einen Raum #kmj:matrix.ctseuro.com angelegt, welcher öffentlich zugänglich ist. Am einfachsten Betreten können Sie Räume in dem Sie

/join #kmj:matrix.ctseuro.com

in der Box eingeben, in der Sie sonst schreiben.

  • Communities starten mit einem +

Die Auswahl fiel auf Matrix/Riot da oben genannte Anforderungen erfüllt werden und:

  • Multi Device fähig, d.h. Sie können von PC, Tablet und Smartphone, bei Bedarf auch von mehreren davon, gleichzeitig eingelogged sein und alle Geräte sind in Sync. Egal welches Gerät gerade verwendet wird, es wird nie etwas verloren.

  • Riot kann auch Telefonie (1:1 und Gruppe), sowie Video (1:1), wobei die VoIP Kommunikation in verschlüsselten Räumen auch verschlüsselt ist.

  • Wenn man sich angewöhnt, pro Projekt, Agenda, oder Todo einen Raum anzulegen, bleibt alles total übersichtlich und die Arbeit wird brutal erleichtert. Ich habe zusätzlich viele Räume nur für mich, als eine Art Notiz.

  • Setup und Wartung des Servers ist extrem einfach und bis auf die Updates und einige smarte Cron Jobs ist dieser weitestgehend Wartungsfrei.

  • Der Riot Messenger wird von Jung und Alt sofort verstanden und setzt Null IT-Wissen voraus. Das erleichtert es sehr, dass auch unbedarfte Anwender auf Riot wechseln.

  • Kommunikation zwischen Benutzern am eigenen Server verlässt den Server nicht, andernfalls sind nur die beteiligten Server in die Kommunikation eingebunden. Damit ist auch ein zentrales Sammeln von Metadaten ausgeschlossen. Sicherheit und Privatsphäre wie sie sein sollte.

  • Automatisierung mit Bots. Wir haben z.B. verschiedene Räume für News, Security, Softwareupdates und vieles mehr, bei dem der Bot definierte RSS Feeds einspielt. So hat man in einem System alles im Überblick und verschwendet keine Zeit.

  • Es gibt noch viele gute Gründe, insbesondere auch die DSGVO, die zum Umstieg von zentralisierten Messengern bewegen sollte. Leute die Ihr Adressbuch inklusive meiner privaten Kontaktdaten, eventuell sogar eines Bildes, ohne zu fragen an Dritte übermitteln waren mir schon immer ein Dorn im Auge. Mit dem Bild kann z.B. eine Gesichtskennung durchgeführt werden und wie der letzte aktuelle Fall zeigt, hat eine US Firma Millionen von Bildern genau für so etwas gesammelt.

https://www.onvista.de/news/presse-us-firma-sammelte-milliarden-fotos-fuer-gesichtsdatenbank-320518431

Ich habe Whatsapp oder andere Messenger, außer Tox über das Tor Netzwerk und ähnliche, insbesondere für Journalisten oft wichtige Anonymisierungslösungen, nie verwendet und sollte jemand Riot und PGP Mail ablehnen, gibt es ja noch immer das Telefon :-).

Für alle Freunde und Selbsthoster finden sich hier Anleitungen für Server und Client:

Server:

Client:

Kommerzieller Support und Consulting gerne über:

  • support@cts-solutions.at oder Riot: @karl:matrix.ctseuro.com

Arbeitsplätze

Problematischer wurde die Umstellung bei den Arbeitsplätzen, da es in früheren Zeiten einige proprietäre Softwareprodukte ohne Open Source Alternative gab. Viele dieser Anbieter haben sich, aufgrund falscher Programmierung, bzw. fehlender Innovation und Ausbildung der Programmier mit anderen proprietären Softwarelösungen und Betriebssystemen so verbunden, dass ein Entkommen nicht mehr möglich ist.

Alle diese Firmen, inklusive vieler Banksoftwareanbieter, werden ohne Angebot für andere Betriebssysteme in den nächsten Jahren vom Markt verdrängt werden. Auch wenn mir bewusst ist, dass Linux noch kein Massenmarkt ist, diese Anbieter haben mit Produkten aus dem Hause Apple unter OSX genau dasselbe Problem. Apple ist mittlerweile in einigen Branchen durchaus eine nennenswerte Stückzahl und bei Linux ist der Start in den Massenmarkt nicht mehr weit.

In unserem Hause gab es aufgrund der Verwaltung von mehreren 100.000 Bildern unserer 270 Fotografen im Geschäftsbereich Bildagentur und im Bereich Desktop Publishing im Bereich der veröffentlichten Bücher Anfangsprobleme geeignete Software zu finden. Die Fakturierung wurde bereits früh auf eine Web basierte InHouse PHP Lösung, welche weitestgehend automatisiert ist, umgestellt.

Nach vielen Tests der Softwarebestandteile wurden nun alle Arbeitsplätze und Notebooks auf Debian Linux mit XFCE Desktop umgestellt. Für Anfänger empfiehlt sich eher KDE als Desktop.

Es folgt eine kurze Liste an verwendeter Software, welche intuitiv, performant und Arbeitszeit schonend auch von Mitarbeitern mit geringen IT Kenntnissen rasch eingesetzt werden kann. Für alle Softwareprodukte können Arbeitsanweisungen leicht erstellt und Einschulungen auch durch Mitarbeiter mit Basis IT Kenntnissen einfachst durchgeführt werden.

Die Verwendung von privatem Equipment, Notebooks, PCs, Tablets, Smartphones und dergleichen ist in jedem Fall zu verbieten und ein Zugang von diesen Geräten zum LAN über Kabel oder WLAN muss verhindert werden. Zusätzlich darf kein Gerät, welches außerhalb des LAN Netzwerkes eine Netzwerkverbindung hatte, jemals wieder im LAN angeschlossen werden.

Softwareliste (Alle Open Source und Lizenzkostenfrei)

  • https://debian.org Betriebssystem Debian Linux mit XFCE (als Anfänger verwenden Sie ev. KDE)

  • https://www.veracrypt.fr/ VeraCrypt portable Datei, USB Stick und Festplattenverschlüsselung für Windows, Mac OSX and Linux

  • https://www.libreoffice.org Office Suite mit kompatibler Textverarbeitung, Kalkulation, etc. für Windows, Mac OSXund Linux

  • https://www.scribus.net/ Scribus ist ein professionelles freies Desktop-Publishing-Programm für Linux-, Unix-, macOS-, OS/2-, Haiku- und Windows-Systeme, das unter der GNU General Public License. Wir erstellen damit z.B. die druckfertigen PDF für unsere Hardcover Bücher.

  • http://www.calibre-ebook.com/ zur Verarbeitung, Konvertierung und Verwaltung von E-Books für Linux, Mac OSX und Windows.

  • https://www.thunderbird.net/ Thunderbird Email Programm mit WebDAV Kalender und Adressbücher (Cardbook Addon). PGP mit Enigmail Addon. Verfügbar für Windows, Mac OSX und Linux.

  • https://www.mozilla.org/ der Firefox Browser (ohne Anonymisierung)

  • https://www.torproject.org/ der Tor Browser (Anonym) Alle Systeme inkl Android

  • https://joplinapp.org/ Notizen verschlüsselt auf WebDAV speichern und synchronisieren

  • https://www.gimp.org/ Gimp Bildbearbeitung

  • https://www.digikam.org/ Fotomanagement, Leuchttisch, Bearbeitung, Stapelverarbeitung, u.v.m.

  • https://rawtherapee.com/ Foto RAW Dateien bearbeiten

  • Mat2 EXIF Cleaner (Debian Package)

  • https://www.shotcut.org/ Shotcut Video Editor - richtig professionell. Selbst damit Videos mit Special-Effects gemacht. Direkter Vergleich mit dem proprietären Produkt braucht nicht gescheut werden.

  • https://www.blender.org/ eine freie, mit der GPL lizenzierte 3D-Grafiksuite, mit welcher sich Körper modellieren, texturieren und animieren lassen. Diese können in Grafiken, Animationen und Software systematisiert werden. Geschaffene Bildsynthesen können mit Hilfe des integrierten Compositors und Videoschnittprogramms nachbearbeitet werden

  • VLC Video Player

  • https://handbrake.fr/ Videos in verschiedene Formate konvertieren, auch Stapelverarbeitung

  • https://www.audacityteam.org/ eine Digital Audio Workstation. Auf beliebig vielen Spuren können Audiodateien gemischt und bearbeitet werden.

  • https://www.hohnstaedt.de/xca/ X - Certificate and Key management

Im Detail findet sich noch weitere, aber aufgrund der Spezialisierung im IT Bereich für normale Benutzer nicht verständliche Software. Wer sich einmal als Hacker versuchen will, für den gibt es Kali Linux mit bereits installierter Software wie Metasploit.

Anmerkungen:

  • LibreOffice deckt die Anforderungen von 99% der Benutzer ohne Probleme ab. Der Spruch beim anderen Office kenne ich mich aus, geht glatt ins Leere, denn die meisten mit dieser Aussage versagen bei einem Versionswechsel des proprietären Produktes, da dann auch alles anders aussieht.

Wir haben mit LibreOffice alle Anforderungen abgedeckt und wenn die Formatierung anders aussieht, dann installiert der, der sich auskennt den passenden, aber eventuell fehlenden, Font und das Dokument sieht identisch aus. Zusätzlich kann LibreOffice PDF erstellen und bearbeiten und vieles mehr. Wer dann eventuell mit riesigen Kalkulationstabellen ein Problem hat, dem sei gesagt, dass Kalkulationen die nicht mehr nachvollziehbar sind, so und so anders gelöst werden müssen. Denn ein blindes Vertrauen in das Sheet des 3. Vorgängers ohne alles selbst nachrechnen zu können ist Selbstmord. Wir hatten bis jetzt kein einziges Problem mit LibreOffice und dieses erfüllt ohne Lizenzkosten alle Anforderungen.

  • Thunderbird ist ein E-Mail Client auf dem selben Hause wie der Firefox Browser und ist für Endanwender ohne IT Kenntnisse einfach zu bedienen. Für Profis bietet Thunderbird extrem viele Features, welche alle Anforderungen von IT-Pros und IT-Semi-Pro Benutzen abdecken.

  • Zum Firefox Browser und empfohlene Plugins gibt es auf der Seite einen Eintrag: https://kmj.at/mehr-privatsphaere-und-sicherheit-mit-kostenlosen-firefox-add-ons/

  • Den Tor Browser sollten Sie bei Recherchen oder heiklen Suchen, wie z.B. Medizin, Job und ähnliches, verwenden. Glauben Sie keine dummen Aussagen wegen illegal, Darknet, etc. von Personen ohne Kenntnisse von Overlay Netzwerken. Der Tor Browser anonymisiert Ihre IP Adresse und macht es auf der Webseite die besuchen unmöglich Sie aufgrund der IP zurück zu verfolgen. Zusätzlich verhindert der Tor Browser das Tracking und Sie könnten auch .onion Webseiten im Tor Netzwerk besuchen. Auch hier wird von IT ungebildeten immer Illegalität und Darknet beschworen. Ignorieren Sie diese Aussagen mit einem Lächeln und zeigen Sie, dass Sei mehr wissen!

  • https://de.wikipedia.org/wiki/Tor_(Netzwerk)

  • https://de.wikipedia.org/wiki/Anonymit%C3%A4t_im_Internet

Eine Tor Netz Adresse sieht z.B. so aus. Hier die Adresse der identen KMJ.at Seite im Tor Netzwerk:

Weiterführende Literatur, insbesondere für Journalisten:

Smartphone und Tablet

Dieser Bereich ist der schwierigste, denn man riskiert die Garantie des Gerätes und die Installation ist nicht für jedermann einfach durchzuführen. Lernwille, Geduld und Pioniergeist sind ein Muss um sich von den großen Datensammlern zu befreien. Mittelfristig, nach deren Fertigstellung, ist geplant auf Linux Smartphones wie das Librem5 (https://puri.sm/products/librem-5/) oder das Pinephone (https://www.pine64.org/pinephone/) umzusteigen.

Aktuell werden alle Geräte mit LineageOS ohne Google Apps (gapps) betrieben. Da es sich hier um ein sehr spezielles technisches Gebiet handelt verweise ich auf andere Artikel hier im Blog:

GPS Tracking

Professionelles GPS Tracking für Privat und Business ohne Lizenzkosten und ohne Daten an Dritte zu senden! Auch hier ein Verweis auf einen anderen Beitrag:

Geschafft

Das Ziel wurde im Oktober 2018 erreicht und, obwohl viel gelernt und getestet werden musste, wurde dieser Schritt keine Sekunde bereut!

Seit der Komplettumstellung ist unsere IT seit über einem Jahr störungsfrei, einfach und immer aktuell in Betrieb. So gut wie alle Projekte haben eine engagiert Community und helfen über Foren, IRC, Riot und Mailinglisten bei Problemen. Bugtracker listen bekannte Probleme und Sicherheitsupdates sind meist raschest verfügbar. Es benötigt keine Lizenzverwaltung mit dem damit verbundenen Aufwand. Die eingesparten Lizenzkosten sind für gute Administratoren, bzw. Einsparungen, in jedem Fall besser angelegt. Im worst case kann man die Software selbst umprogrammieren, da man ja den Source Code verfügbar hat.

Zusätzlich finden sich viele Spezialisten, welche sich für Support, Hilfe, oder Projekte auch freiberuflich anwerben lassen.

Firmen wie die CTS (https://cts-solutions.at) bieten zum Beispiel auch reine Level 2 und 3 Remotewartungen, Schulungen, Consulting und Planungshilfe um lokale Administratoren zu unterstützen.

Es sei mir noch ein Verweis auf einen Übersichtartikel zum generellen Verhalten im Netz erlaubt:

Zum Abschluss sollten Sie noch prüfen, ob Ihre Lieblingsseiten Ihr Surfverhalten an Dritte weiterreichen und durch schlechte Programmierung oder Vorsatz Ihr Vertrauen missbrauchen.

Noch ein Hinweis: Im Blog Bereich der Webseite finden sich zu fast allen genannten Themen Einzelartikel und Anleitungen. Fragen gerne im Riot Raum #kmj:matrix.ctseuro.com, den sie mit

/join #kmj:matrix.ctseuro.com

betreten können. Bitte beachten Sie, das E-Mails bei mir nicht mehr wirklich verwendet werden und 90% der Kommunikation, inkl. des Kundensupports auf Riot umgestellt ist. Gerne können Sie kommerzielle Anfragen für die CTS GMBH via Riot @karl:matrix.ctseuro.com an mich adressieren.

Natürlich wird die E-Mail Adresse support@cts-solutions.at ein bis zweimal am Tag auch abgerufen.

Wer bis hierher gelesen hat, ist vermutlich vom der Befreiung durch diesen Umstieg genauso fasziniert wie ich und ich hoffe, dass einige derer, die bis zum Ende lesen, den Schritt auch wagen.

Step-by-Step, es muss ja nicht alles auf einmal sein und lassen Sie sich nicht von Halbwissen, oder reflexartigen Abwehrhaltungen durch die dem Menschen angeborene Faulheit, von diesem Weg abbringen.

Ich freue mich auf Feedback im Raum #kmj:matrix.ctseuro.com!

Wie smarte Menschen das Internet, Computer, Handies und Software nutzen!

Eine Zusammenfassung

Ich wurde vielfach um eine Zusammenfassung der Schritte zu einem intelligenten, sicheren Leben im Internet mit maximaler Privatsphäre gebeten. Da mit klar ist, dass für Endanwender diese Schritte einen durchaus beachtlichen Lernaufwand erfordern gibt es hier eine Zusammenfassung der notwendigen Schritte für Endanwender. Dieser Blog Beitrag wird von Anfängern öfter gelesen werden müssen. Sie sollten die Schritte Step-by-Step durchführen. Alles auf einmal wäre wie Führerschein machen, Auto kaufen und erste Fernreise in einem Tag schaffen zu wollen.

Gehen Sie einfach davon aus, dass wenn Sie ein Auto lenken möchten, Sie zuerst den Führerschein machen müssen und danach das Lesen des Handbuches des Fahrzeuges, bzw. eine professionelle Einschulung notwendig ist. Andernfalls gefährden Sie andere, das Eigentum anderer und natürlich auch sich selbst, bzw. Ihr Eigentum. Primär zählt immer der Schaden den Sie anderen zufügen weit höher, als Schaden, den Sie selbst erleiden. Wenn Sie jemanden von einer Brücke stoßen oder zum Beispiel das Auto einer anderen Person zerstören, ist das kriminell und Sie werden sich mit Haftstrafe oder Zahlung dafür verantworten müssen. Wenn Sie selbst springen, bzw. Ihr Auto kaputt machen, ist es für Ihr Umfeld traurig, bzw. im Fall des Autos, einfach nur Ihr Problem.

Es gilt immer – UNWISSENHEIT SCHÜTZT VOR STRAFE NICHT - auch wenn einige glauben, dass – ich bin gehackt worden – eine Ausrede ist. 90% der Vorfälle sind keine Hacks, sondern Benutzer die irgendwo drauf klicken, bzw. wischen. Nur 10% sind Angriffe von außen, durch Zugriff auf den PC über das Netzwerk. D.h. 90% haben meist durch Unwissenheit, oder Selbstüberschätzung das Problem selbst ausgelöst. Das Internet ist, wie das richtige Leben auch, kein Ponyhof. Sie geben Ihre Geldbörse im richtigen Leben ja auch keinem Fremden und glauben, dieser wird darauf aufpassen?

Bei Computern ist es so, dass es den Fall, wo Sie sich nur selbst schaden, so gut wie nicht gibt! Trojaner senden Chat Protokolle, Bilder und Texte an Dritte, versenden E-Mails und vieles mehr. Dadurch schaden Sie immer auch Dritten, sei es durch Bilder, die nicht für die Öffentlichkeit bestimmt waren und durch Ihren Fehler an Unbekannte verteilt werden, durch die Veröffentlichung von Dokumenten und Protokollen. Sehr unangenehm für Serverbetreiber sind auch der Versand von 100.000enden Mails und anderem mehr, ausgelöst durch Ihren Computer.

Computersysteme, Handies und andere Gerätschaften sind mittlerweile weit komplexer als Autofahren und auch wenn die Hersteller versuchen die Anwendung einfach zu halten, sollten Sie verstehen was Sie tun. Insbesondere die meisten kostenlosen Dienste, bei denen Sie natürlich mit Ihren Daten viel mehr bezahlen, als der Dienst in Euros monatlich wert wäre, versuchen für Laien ohne Computerwissen die Einstiegshürde ganz nieder zu legen. Die so gesammelten Daten der im Computerbereich ungebildeten Masse ist das Gold der Zukunft für diese Datenssammler.

Nur weil Sie glauben zu wissen, wo Sie klicken, oder wischen, verstehen Sie noch nicht den Ablauf im Hintergrund. Lesen und lernen Sie, dann werden auch Sie aus der Masse ausbrechen und Dinge sinnvoll, bei gleichzeitigem Schutz der Privatsphäre, nutzen können.

Als Grundregel gilt, wenn Sie einem Spezialisten nicht erklären können, was durch den Klick, oder Wisch, ausgelöst wird, wissen Sie nicht wirklich, was Sie tun und sollten massive Vorsicht walten lassen.

Und hier sind wirkliche Spezialisten gemeint!

Generelle Regeln für das Leben im Netz

  • Denken Sie nach, bevor Sie klicken! Niemand schickt ihnen 1,000.000 $, braucht Ihre Hilfe bei einer Transaktion und wenn Sie eine Rechnung von jemandem erhalten, mit dem Sie nicht arbeiten, löschen Sie die Mails einfach.
  • Sind Sie nicht neugierig! Neugier und Gier haben, nicht nur bei Computern, schon viele riesige Probleme ausgelöst. Kein Mädel das Sie nicht kennen schickt ihnen ein Nacktbild, oder will mit ihnen ins Bett, weil Sie so gut und scharf sind.
  • Verfallen Sie nicht in Panik, wenn Sie wo drauf klicken und ein Fenster mit einer Frage aufgeht! Klicken Sie das Fenster nicht weg. Wenn Sie etwas nicht verstehen, dann gestehen Sie sich das ein und fragen einen Experten und damit sind nicht Wischerkönige gemeint, sondern Menschen welche die Hintergründe verstehen! In Firmennetzen kontaktieren Sie sofort Ihren Administrator oder Helpdesk! Nur wenn das Fenster noch am Bildschirm steht, kann der Experte das beurteilen. Mit – Da war etwas, ich habe es weg geklickt und weiß nicht mehr was da stand – schießen Sie sich selbst ins Aus und Ihre Anwesenheit bei der nächsten Weihnachtsfeier ist um ein paar Punkte unwahrscheinlicher. Insbesondere Trojaner, Crypto Malware und anderes zieht meist erst, nachdem Sie in der Box auf Ja, oder OK geklickt haben. Wie oben geschrieben, Gehirn einschalten, lesen, gegebenfalls fragen und dann entscheiden.
  • Reduzieren Sie alle Möglichkeiten, das sie von Ihren eigenen Geräten (TV, Sprachsteuerungen, Mobiltelefonen, Tablets, Computer, IoT Systeme, etc.) gefilmt, oder abgehört werden auf ein Minimum. Kaufen Sie nur Geräte die Daten nicht an Dritte senden und bei denen die gesamte Kommunikation in Ihrem Bereich bleibt. Leider gibt es viele Menschen, die sich freiwillig Wanzen in der Form von Sprachsteuerungen ins Haus stellen. Zusätzlich sind alle Produkte bei denen Sie sich zum Server des Herstellers zur Steuerung verbinden so aufgebaut, dass dieser alle Daten sammeln, bzw. aufzeichnen kann. Und sogar, wenn dieser seriös ist, was passiert, wenn der Server schlecht gesichert ist und Dritte Zugriff zu den Daten, oder den Steuerungen bekommen. Auch hier gilt, fragen Sie Spezialisten, keine selbsternannten Experten ohne Wissen.
  • Versuchen Sie jede Weitergabe von Daten an Dritte zu verhindern. Insbesondere GPS Positionsdaten, Surfverhalten, u.v.m. Ich behaupte, jeder hat etwas zu verbergen! Und sollten Sie die Ausnahme sein, dann müssen andere trotzdem nicht Ihr ganzes Leben kennen und die Daten frei Haus geliefert bekommen. Es besteht immer das Risiko, dass die Daten in die Hände von Kriminellen kommen.
  • Vermeiden Sie Cloud Speicherungen und sonstiges abspeichern auf fremden Computern im Internet. Cloud ist nichts anderes, als ein Rechner bei dem jemand anderer als Sie das Administrator-Passwort hat. Auf diesen Rechnern können fremde Menschen, die Sie nicht kennen, Ihre Mails, Ihre Kommunikation und Ihre Dokumente lesen und Sie wissen noch nicht einmal, wenn Dritte durch einen Hack Zugriff erhalten! Der Equifax Hack in den USA gefährdet die Lebensumstände von Millionen US Bürgern! Ähnliche Szenarien sind viele denkbar.
  • Generell gilt die Regel, dass Ihre Daten in Ihrem Haus gespeichert sein sollen und nie auf Rechnern von Dritten.

Generelle Regeln unabhängig vom Betriebssystem

  • Verwenden Sie mindesten 10-stellige, komplexe, Passwörter.
  • Arbeiten Sie nie mit dem Administrator Account. Egal welches Betriebssystem sie verwenden, verwenden Sie den Administrator nie zum Arbeiten. Dieser hat Zugriff auf das gesamte System und Schadsoftware kann das gesamtre System zerstören! Lesen Sie einen Benutzer für sich an, der nicht in der Administratorengruppe ist. Damit reduzieren Sie den Schaden zumeist auf diesen Benutzer! -Sollten mehrere Personen mit einem Gerät arbeiten müssen Sie für jeden einen eigenen Benutzer, der nicht Administrator ist, anlegen. Damit kann ihr Kind im Normalfall nicht ihre Dokumente vernichten.
  • Der Administratoraccount darf nur zur Systemeinrichtung und zur Softwareinstallation verwendet werden. Dieser Account darf nie ins Internet. Wenn Sie eine Software downloaden, laden Sie diese als Benutzer, prüfen diese als Benutzer auf Viren und danach melden sie sich zur Installation als Administrator an. Am besten richten Sie einen Download- und Prüf-Benutzer ein, damit im Fall der Fälle nur dieser betroffen ist.
  • Wenn Sie Netzwerk Datenträger verwenden, z.B. ein sogenanntes NAS, erstellen Sie jede Freigabe mit eingeschränkten Benutzerrechten. D.h. auf das Netzwerklaufwerk Franz, darf nur der Benutzer Franz zugreifen, auf das Netzwerklaufwerk Rosi, nur der Benutzer Rosi. Wenn Franz und Rosi Daten austauschen richten Sie ein weiteres Laufwerk FranzundRosi ein und schränken den Zugriff auf diese beiden Benutzer ein. NIE sollten Sie Laufwerke für alle, vielleicht auch noch ohne Passwort freigeben!
  • Bewahren Sie immer mehrere Generationen von Datensicherungen auf. Ganz wichtig, diese Datensicherungen müssen Offline (abgesteckte USB Platte, USB Stick, etc.) sein! Denn nicht nur Malware, sondern auch Blitzschlag, Überspannung, etc. vernichtet Elektronik. Wenn Sie alle Datenträger angesteckt haben, dann kann ein Blitzschlag zum Totalverlust führen. Wechseln und Abstecken ist Ihnen zu viel Aufwand? Kein Problem, es sind Ihre Daten! Aber dann bitte auch nicht jammern, sollte alles weg sein. Wenn die vernünftige Vorgangsweise zu viel Aufwand ist, dann werden die Daten nichts wert sein und man kann den Blitzschlag als Entsorgung von Lebensmüll betrachten. Lächeln und sich über die leere Festplatte freuen ist angesagt.
  • Verwenden Sie freie Software wie z.B. CloneZilla zum duplizieren von Festplatten. Damit können Sie, sollte Ihre Festplatte wegsterben, das System wieder in Betrieb setzen. Zwischenzeitlich veränderte Daten sichern Sie zurück und alles ist wieder gut.
  • Zumindest eine Version der Datensicherung sollte regelmäßig außer Haus aufbewahrt werden. Nur so haben Sie, im Falle eines Einbruches, bzw. Brandes noch einen Datenträger mit all Ihren wichtigen Daten!
  • Richten Sie auf jedem Gerät eine Firewall ein um es vor Netzwerkangriffen zu schützen.
  • Die Verwendung von Virenscannern wird sehr differenziert betrachtet. Bei Windows sollte der mitgelieferte Scanner aktiviert werden, bei anderen Systemen sollte die Verwendung gut überdacht werden.

Tor Browser und das .onion Net

  • Verwenden Sie für sensible Webseiten und Suchvorgänge immer den Tor Browser (https://torproject.org). Damit surfen Sie komplett anonym im Netz und Ihre IP Adresse wird verschleiert. Ignorieren Sie Aussage, wie Darknet, illegal, oder ähnliches. Tor ist ein legales Anonymisierungsnetzwerk. Illegal ist, wie im normalen Leben auch, wenn Sie Dinge außerhalb des Gesetzes machen. Dann werden Sie sich, wenn Sie erwischt werden, verantworten müssen. Tor ist ein unbedingt zu empfehlendes Hilfsmittel, insbesondere, wenn Sie kritische Themen, wie zum Beispiel Krankheiten, im Internet nachlesen.

Zusätzlich kann man im Tor Netz, genau wie im Internet auch, Webserver betreiben. Diese erhalten dann, analog zu z.B. .com, eine .onion Endung und sind nur mit dem Tor Browser besuchbar. Diese Webseite finden Sie auch im Tor Netz unter der Adresse:

Auch große Anbieter, wie z.B. Facebook, betreiben eine .onion Adresse.

Besuchen Sie mich im Tor Netz!

Linux, LineageOS und Open Source Softwareinstallation

Vermutlich könnten über 70% der Anwender ohne Probleme auf das kostenlose Linux umsteigen und die großen Vorteile von Open Source Software nutzen. Eine Standard-Installation von Debian Linux mit der Oberfläche KDE und dem kompatiblen und freien Office Paket LibreOffice deckt alleine schon die Masse der Arbeitsplätze ab.

Details zu Arbeitsplätzen, Servern und Software

Infos für viele Handies und Tablets finden Sie viele Infos hier

Absicherung des Browsers mit Firefox Plugins:

Revolution bei Micro Blogging (Twitter Alternative) und Messenger (Whatsapp Alternative)

Mit den dezentralen Systemen Mastodon und Matrix wurde eine sehr erfolgreiche Revolution, welche die Daten den großen Datensilos entzieht, gestartet. Sogar die französische Regierung steigt auf Matrix Messenger um.

Weitere Informationen finden Sie unter:

Sonderlösungen

Abgesehen von Sonderlösungen, sollte es für die Masse der Anwender im privaten und gewerblichen Bereich möglich sein, umzustellen. Insbesondere Firmen ersparen sich dabei zusätzlich extrem hohe Lizenzkosten.

Es finden sich auf viele Speziallösungen als Open Source Software, wie z.B.:

Ich hoffe, dieser Artikel hat Ihnen einen Start für den Weg zu mehr Privatsphäre und die Hoheit über die eigenen Daten wieder zu erhalten aufgezeigt.

Gerne können wir im Matrix Raum

#kmj:matrix.ctseuro.com diskutieren. Verwenden Sie am besten den Riot Messenger um den Raum zu betreten. Sollten Sie Probleme mit Matrix/Riot haben, senden Sie mir eine Riot-1:1-Nachricht mit Chat starten an @karl:matrix.ctseuro.com

Abschliessend noch ein paar Regeln, die man beachten sollte:

  • Lassen Sie sich von niemandem zum Installieren von Apps oder Desktop Programmen verleiten! Eine App ist ein Programm, dass genauso wie das Desktop Programm am PC mit Ihren Berechtigungen läuft und alles darf, das Sie auch dürfen!
  • Verwenden Sie von Lieferanten und Geschäftspartnern immer die Webseite und nicht die App, oder das Desktop Programm! Der Browser ist viel sicherer und App/Programm können Daten sammeln und an Dritte übermitteln, ohne dass Sie das wollen, oder merken! Fremde Software öffnet teilweise Tür und Tor und ist oft ein Hochrisiko für den Angriff auf Ihr System! Zusätzlich kann ein komplettes forensisches Profil von Ihnen erstellt werden.
  • Vergessen Sie -alle anderen haben das auch - , denn nur weil es viele verwenden, ist es nicht automatisch für Sie gut. Sie wollen aus der Masse ausbrechen und zu den Leadern gehören.
  • Prüfen Sie z.B.ob Android apps auch im F-Droid Store gelistet sind.

Dieser Artikel wird laufend upgedatet!

Professionellen Support für Unternehmen bieten weltweit viele Spezialisten. Seit 1985 bietet die https://CTS-Solutions.at Open Source Beratung, Umsetzung, Support und Fernwartung für Kunden aus vielen Ländern.

Frühere Artikel:

Es ist geschafft, Lizenzkostenfrei mit bester Privatsphäre am PC, Handy und Tablet

Der Einsatz hat sich gelohnt!

Nachdem bereits mehrere Blog Einträge erschienen sind, hier nun die Zusammenfassung der Installation, welche für Private und Business alle Anforderungen abdecken kann.

Server

Auf der Serverseite wurde ein PROXMOX-Cluster (proxmox.com) als Basis für die virtuellen Maschinen eingerichtet. Dadurch ist bereits auf der untersten Ebene der Systeme eine reine Open Source Umgebung verfügbar und es gibt keine bekannten Backdoors oder Datenübermittlungen an Dritte. Aktuell sind 4 Systeme im Cluster, welcher insgesamt 40 CPU‘s und 135 GB RAM besitzt. Zusammen befinden sich ca. 3 TB Raid Systeme im Cluster.

Zusätzlich wurden 2 FreeNAS Systeme mit je 4*3TB Festplatten eingerichtet. FreeNAS, ein auf FreeBSD basierendes Open Source NAS System ist extrem zuverlässig und und das ZFS Dateisystem synchronisiert sich automatisch vom NAS1 auf das NAS2 (Backup). Von diesem werden Datensicherungen auf USB3 Festplatten durchgeführt. Dabei werdne täglich ca. 2.5 TB auf die USB Platten bewegt.

Ein auf FreeBSD (https://FreeBSD.org) basierender Mail Server, eine Owncloud (https://owncloud.org) Installation, ein Asterisk Server, ein FreeBSD NFS Server, drei FreeBSD basierte LAMP Server, 3 auf PfSense (https://pfsense.org) basierende Firewalls und eine PI-Hole Lösung (https://pi-hole.net) sind die Basis des Netzwerkes.

Dazu wurden noch einige Server zum Betrieb einer sicheren MQTT Bridge, der beiden Matrix und Mastodon Server und des abgeschotteten Torified Netzwerkes benötigt. Viele Informationen zu diesen Diensten finden Sie in meinen E-Books https://kmj.at/buecher-und-ebooks/ .

Als Highlight befindet sich ein Debian Linux (Stretch) basierter Terminal Server im Netzwerk. Damit ist über eine Absicherung durch OpenVPN ein schneller Zugriff über das RDP Protokoll möglich.

Soweit als möglich, wurden alle Festplatten verschlüsselt.

Arbeitsplatz

Am Arbeitsplatz wurde Debian Linux (Sid) mit voll verschlüsselter Festplatte verwendet. Es wurden für alle Anforderungen Open Source Produkte gefunden, welche im professionellem Umfeld perfekt einsetzbar sind.

alle Lösungen kostenfrei und Open Source:

  • Office Paket: LibreOffice, welches auch doc, docx, xls,xlsx, etc. bearbeiten kann.
  • Bildbearbeitung: GIMP, DigiKam, RAW Therapie und Mat decken die Bedürfnisse von Profi Fotografen perfekt ab.
  • Video: Shotcut (Profi Schneidprogramm), Handbrake (Konvertierung), Blender (3D Animation) .
  • Internet: Firefox, Brave und Torbrowser als sichere und via Tor auch anonyme Browser.
  • Micro Blogging: Mastodon als dezentrale Twitter Alternative.
  • Messaging: Matrix mit Riot Client als sicheren Messenger ohne Mitleser!
  • Linphone als Telefon Nebenstelle.
  • KeePass als Password Safe.
  • xBrowsersync als Bookmark Sync Lösung über alle Geräte.
  • dazu noch einige Spezialanwendungen, welche nicht jeder benötigt, inkl. einem abgeschlossenem Tor Netzwerk.

Mobiltelefon und Tablet

Hier wurde wirklich tief in die Trickkiste gegriffen. Extrem genervt von Geräten, welche sich ohne Registrierung bei Hersteller nicht einmal einschalten lassen, begann eine lange Suche, welche mit LineageOS endete.

Es erfolgte eine Vollumstellung auf Samsung A5 (2017) und Galaxy Tab A (2016), welche komplett von der Originalsoftware befreit und mit LineageOS bespielt wurden (siehe hier im Blog).

Dadurch erfolgt der Betrieb gänzlich ohne Hersteller Software und auch ohne Google Libraries. Bezüglich der verwendeten Apps finden sich hier die Einträge:

https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/ https://kmj.at/2018-10-01-android-lineageos-privacy-teil2/

Zusammenfassend sei gesagt, dass es noch immer möglich ist, seine Privatsphäre zu schützen und keine Daten an Dritte weiterzugeben. Natürlich sollte man dazu noch weitere Regeln bei der Verwendung des Internets beachten, aber ich bin mit der Gesamtlösung sehr zufrieden und habe als Test noch die Open Source Tracking App Traccar installiert. Damit ist es möglich, ohne Daten an Dritte zu senden, Geräte zu verfolgen, bzw. zu orten.

https://kmj.at/2018-09-15-self-hosted-open-source-car-tracking-enterprise-ready/

https://kmj.at/2018-07-07-xbrowsersync-part-2-firefox/

https://kmj.at/2018-06-14-inhouse-nas-mit-verschluesseltem-software-raid-teil-1/

https://kmj.at/2018-06-11-kmj-at-nun-auch-im-tor-netz/

https://kmj.at/2018-04-17-xbrowsersync-die-loesung-fuer-self-hosted-bookmark-sync/

https://kmj.at/2018-04-04-ein-weiterer-schritt-in-eine-dezentrale-zukunft-ist-getan/

https://kmj.at/2018-03-12-riot-im-messenger-kurzanleitung-fuer-benutze-updated/