Skip to main content

Vollständige Unsichtbarkeit im Internet – Technisches Handbuch 2025/2026

Ein vollständiges technisches Handbuch – von einfachen Browser-Einstellungen bis hin zu operativer Sicherheit auf Geheimdienstniveau. Jede Technik erklärt, jedes Tool bewertet, alle Grenzen benannt.

Inhaltsverzeichnis

  1. Bedrohungsmodell bestimmen
  2. Netzwerk-Anonymität: VPN, Tor, I2P
  3. Browser-Fingerprinting verhindern
  4. DNS-Verschlüsselung & Leaks
  5. E-Mail-Anonymität
  6. Pseudonyme Konten & Aliase
  7. Anonymes Bezahlen
  8. Geräte & Betriebssysteme
  9. Operative Sicherheit (OpSec)
  10. Metadaten eliminieren
  11. Physische Überwachung
  12. Vollständige Checkliste

1. Bedrohungsmodell bestimmen

Der häufigste Fehler beim Aufbau von Anonymität ist das Fehlen eines klaren Bedrohungsmodells. Wer sich gegen Datenmakler schützen will, braucht andere Werkzeuge als jemand, der vor staatlicher Überwachung flieht. Übertriebene Maßnahmen erzeugen Komfortverlust ohne Sicherheitsgewinn – unzureichende Maßnahmen schaffen ein falsches Sicherheitsgefühl.

Die vier Stufen des Bedrohungsmodells

Stufe Bedrohung durch Empfohlene Werkzeuge
Stufe 1 – Datenmakler Werbeindustrie, Datenmakler, HR-Abteilungen Ad-Blocker, E-Mail-Aliase, Incogni / DSGVO-Anfragen, Privacy Browser
Stufe 2 – Doxxing / Stalker Privatpersonen, Doxxer, Ex-Partner, Arbeitgeber VPN, separate Identitäten, Pseudonyme, Auskunftssperre, keine sozialen Metadaten
Stufe 3 – Strafverfolgung Behörden, Geheimdienste, MLAT-Anfragen Tor, Qubes OS, Hardware-Trennung, Cash-only, keine Metadaten
Stufe 4 – Nation-State NSA, BND, GCHQ, feindliche Staaten Air-Gap, Tails OS, kein Smartphone, physische Isolation, kein Internet

Wichtig: Vollständige Anonymität gegen Stufe-4-Bedrohungen ist für normale Privatpersonen nicht praktikabel. Dieses Handbuch deckt Stufen 1–3 vollständig ab und gibt Einblicke in Stufe 4 – ohne zu versprechen, dass sie erreichbar ist.

Anonymitätsniveau verschiedener Techniken

Technik Anonymitätsniveau
Normales Surfen ~5 %
VPN allein ~35 %
VPN + Browser-Hardening ~55 %
Tor Browser ~75 %
Tor + Tails OS ~90 %
Air-Gap + Tails + kein Netz ~99 %

2. Netzwerk-Anonymität: VPN, Tor & I2P

VPN: Was es kann – und was nicht

Ein VPN ersetzt die IP-Adresse des ISPs durch die des VPN-Servers und verschlüsselt den Datenverkehr zwischen Gerät und VPN-Server. Es ist kein Anonymisierungswerkzeug – es verlagert nur das Vertrauen vom ISP zum VPN-Anbieter. Wenn der VPN-Anbieter Logs führt, ist die Anonymität aufgehoben.

VPN-Mythen: Ein VPN versteckt keine Aktivitäten vor dem VPN-Anbieter selbst. Es schützt nicht vor Browser-Fingerprinting, Cookies oder Account-basiertem Tracking. Es schützt nicht, wenn man sich mit dem echten Account anmeldet.

Empfohlene VPN-Anbieter (No-Log, auditiert)

Anbieter Land Preis Besonderheit
Mullvad VPN Schweden €5/Monat Konto-Nummern statt E-Mail, Bargeld/Monero-Zahlung, Polizeirazzia 2023 ohne Datenfund, RAM-only Server. mullvad.net
Proton VPN Schweiz Kostenlos / Plus ab €4,99/Monat Open Source, auditiert, Schweizer Datenschutzrecht, Netshield (Malware/Tracker-Blocking). protonvpn.com
IVPN Gibraltar $6/Monat Konto-IDs ohne E-Mail, Monero-Zahlung, Multi-Hop eingebaut, Open-Source-Clients. ivpn.net

WireGuard vs. OpenVPN: WireGuard ist moderner, schneller und hat weniger Code (4.000 vs. 400.000 Zeilen bei OpenVPN) – weniger Code bedeutet weniger Angriffsfläche. OpenVPN ist älter, flexibler und kompatibel mit mehr Netzwerken. Für maximale Anonymität: WireGuard über 443/TCP oder OpenVPN mit Obfsproxy/Shadowsocks-Verschleierung.

Tor: Echte Anonymität durch Onion Routing

Tor leitet Datenverkehr durch drei zufällig gewählte Server (Nodes): Guard → Middle → Exit. Kein einzelner Node kennt sowohl Absender als auch Ziel. Der Exit-Node sieht Ziel und Inhalt (wenn kein HTTPS), nicht aber die Quelle. Der Guard-Node sieht Quelle, nicht das Ziel. Tor ist das stärkste kostenlose Anonymisierungswerkzeug für normale Nutzer.

Tor Browser herunterladen: Immer direkt von torproject.org – niemals aus App-Stores.

Tor – Verhaltensregeln

Aktion Erlaubt? Begründung
Browser-Fenster maximieren ❌ Nein Bildschirmgröße ist Fingerprint-Merkmal
Erweiterungen installieren ❌ Nein Bricht Uniformität der Tor-Browser-Nutzer
JavaScript deaktivieren (Safest Mode) ✅ Ja Eliminiert JS-basierte Angriffe
BitTorrent über Tor ❌ Nein Umgeht Tor, leakt echte IP via DHT
Sich mit echtem Account anmelden ❌ Nein De-anonymisiert sofort
Onion-Services (.onion) nutzen ✅ Ja Kein Exit-Node, Ende-zu-Ende verschlüsselt
HTTPS-Seiten besuchen ✅ Ja Verschlüsselt Inhalt auch vor Exit-Node

Tor über VPN vs. VPN über Tor

Merkmal VPN → Tor Tor → VPN
ISP sieht Tor-Nutzung? ✅ Nein (nur VPN sichtbar) ❌ Ja
VPN sieht Tor-Traffic? ❌ Ja ✅ Nein
Exit-Node sieht unverschl. Inhalt? ❌ Ja (wenn kein HTTPS) ✅ Nein (VPN verschlüsselt)
Empfehlung ✅ Standard – VPN verschleiert Tor-Nutzung Fortgeschritten – kaum Anbieter

I2P: Das Darknet für interne Dienste

I2P (Invisible Internet Project) ist ein Overlay-Netzwerk primär für interne Dienste (Eepsites). Stärker für interne Kommunikation als für normales Web-Browsing. Verwendet Garlic Routing (gebündelte verschlüsselte Nachrichten). Träger und komplexer als Tor, aber dezentraler. Geeignet für: verteilte Dateisysteme, anonymes Messaging.

3. Browser-Fingerprinting verhindern

Browser-Fingerprinting ist die Technik, Nutzer anhand der einzigartigen Kombination von Browser-Eigenschaften zu identifizieren – ohne Cookies. Selbst hinter einem VPN oder Tor kann Fingerprinting zur Re-Identifikation führen.

Fingerprint-Signale und Gegenmaßnahmen

Signal Entropie Gegenmaßnahme
User-Agent String Hoch Tor Browser / Brave normalisieren
Canvas Rendering Sehr hoch Canvas-Randomisierung (Brave/Tor)
WebGL Renderer Sehr hoch Randomisierung oder Blockierung
Installierte Fonts Sehr hoch Tor Browser limitiert Font-Set
Bildschirmauflösung Mittel Tor Browser: kein Vollbild
Zeitzone Mittel Tor → immer UTC
AudioContext Fingerprint Sehr hoch Brave / Tor randomisieren
WebRTC IP-Leak Kritisch WebRTC deaktivieren (about:config)
Battery API Mittel In Firefox / Brave entfernt

⚠ WebRTC IP-Leak – sofort prüfen: WebRTC kann die echte IP-Adresse auch hinter einem VPN leaken. Test: browserleaks.com/webrtc – wenn dort eine nicht-VPN-IP erscheint, ist das VPN wertlos. Fix in Firefox: about:configmedia.peerconnection.enabled = false

Firefox Hardening – about:config Einstellungen

// WebRTC deaktivieren
media.peerconnection.enabled = false

// Canvas Fingerprinting blockieren
privacy.resistFingerprinting = true

// Telemetrie vollständig deaktivieren
toolkit.telemetry.enabled = false
datareporting.healthreport.uploadEnabled = false

// Referrer-Header einschränken
network.http.referer.XOriginPolicy = 2
network.http.referer.XOriginTrimmingPolicy = 2

// DNS über HTTPS
network.trr.mode = 3
network.trr.uri = https://dns.quad9.net/dns-query

// First-Party Isolation (Cookies isoliert pro Domain)
privacy.firstparty.isolate = true

// HTTPS-Only Mode
dom.security.https_only_mode = true

💡 Schnellstart: arkenfox user.js – Das Projekt github.com/arkenfox/user.js enthält eine kuratierte Firefox-Konfiguration mit ~400 Privacy-Einstellungen, regelmäßig von Experten gepflegt. Ideal statt manueller about:config-Einstellungen.

Fingerprint-Tests

  • coveryourtracks.eff.org – EFF-Test, gibt Score und Einzigartigkeit
  • browserleaks.com – Detailliert: WebRTC, Canvas, Fonts, WebGL, Network
  • arkenfox.github.io/TZP/tzp.html – Testet arkenfox-spezifische Einstellungen
  • amiunique.org – Globale Fingerprint-Datenbank
  • ipv6leak.com – IPv6-Leak prüfen (oft übersehen!)

4. DNS-Verschlüsselung & Leak-Prävention

DNS-Anfragen gehen standardmäßig unverschlüsselt über Port 53 – jede besuchte Domain ist für ISP, Netzwerk-Admin und potenzielle Angreifer sichtbar. Selbst mit aktivem VPN können DNS-Anfragen am VPN vorbeigehen (DNS Leak).

DNS-Hierarchie der Sicherheit

  1. Standard-DNS (Port 53, unverschlüsselt) – Alle Anfragen im Klartext. Niemals verwenden.
  2. DNS over TLS (DoT, Port 853) – Verschlüsselt, aber erkennbarer Port. Gut für Router-Konfiguration.
  3. DNS over HTTPS (DoH, Port 443) – Verschlüsselt und ununterscheidbar von HTTPS-Traffic. Empfohlen für Einzelnutzer.
  4. DNS over QUIC (DoQ, Port 853) – Modernster Standard, geringste Latenz. AdGuard Home und ControlD bieten DoQ.

Empfohlene DNS-Anbieter

Anbieter IP Sitz Logs Besonderheit
Quad9 9.9.9.9 Schweiz (Non-Profit) Keine Malware-Blocking, 90+ Länder, kostenlos
Mullvad DNS Variabel Schweden Keine Werbung/Tracker/Malware-Blocking konfigurierbar, kostenlos
ControlD Variabel Kanada Optional Sehr flexibel, DoH/DoT/DoQ, ab $2/Monat

DNS-Leak erkennen und beheben

# DNS-Leak testen:
# 1. Öffne dnsleaktest.com
# 2. "Extended Test" durchführen
# 3. Wenn dein ISP-DNS-Server erscheint → Leak vorhanden

# Linux: systemd-resolved für DoT konfigurieren
# /etc/systemd/resolved.conf

[Resolve]
DNS=9.9.9.9#dns.quad9.net
FallbackDNS=149.112.112.112#dns.quad9.net
DNSOverTLS=yes
DNSSEC=yes

5. E-Mail-Anonymität

Standard-E-Mail (Gmail, GMX, Web.de) leakt: IP-Adresse in E-Mail-Headern, Tracking-Pixel, Metadaten (Absender, Empfänger, Zeitstempel, Betreff) und Anhang-Metadaten (EXIF bei Bildern, Dateipfade in Dokumenten). Selbst verschlüsselte E-Mails übertragen Metadaten im Klartext.

Datenschutzfreundliche E-Mail-Anbieter im Vergleich

Anbieter Serverstandort Preis Verschlüsselung Anonyme Registrierung Anonyme Zahlung
Proton Mail Genf, Schweiz Kostenlos / €3,99/Monat E2E (OpenPGP) Teilweise (Kein Name) Bitcoin, Bargeld
Tuta (Tutanota) Hannover, DE Kostenlos / €3/Monat Post-Quanten (TutaCrypt) – Betreff verschlüsselt! Teilweise (Kein Name) Krypto/Bargeld
Posteo Berlin, DE €1/Monat PGP optional, IP-Stripping ✅ Vollständig anonym ✅ Bargeldbrief per Post

E-Mail-Alias-Dienste

Dienst Kostenlos Aliase Besonderheit
SimpleLogin (simplelogin.io) 10 Aliase Unbegrenzt (Premium €2,99/Monat) Quelloffen, Reply-Funktion, Schweiz
addy.io Unbegrenzt Unbegrenzt (Pro $1/Monat) Quelloffen, auditiert, Niederlande
DuckDuckGo Email Protection Unbegrenzt @duck.com + Einweg-Adressen Tracker-Entfernung, kostenlos, USA
Guerrilla Mail ✅ Kostenlos Temporär (1 Stunde) Keine Registrierung, auch als .onion

PGP-Verschlüsselung einrichten

# GPG-Schlüsselpaar erstellen (Ed25519 – moderner Algorithmus)
gpg --full-generate-key
# → Key type: 9 (ECC) → Curve: 1 (Curve 25519) → Expiry: 2y

# Öffentlichen Schlüssel exportieren
gpg --armor --export deine@email.de > mein_pubkey.asc

# Schlüssel hochladen
gpg --keyserver keys.openpgp.org --send-keys DEINE_KEY_ID

6. Pseudonyme Konten & Identitätssegregation

Identitätssegregation bedeutet: Jede Identität (beruflich, privat, Online-Communities, Einkaufen, politische Aktivität) verwendet vollständig getrennte Konten, E-Mail-Adressen, Telefonnummern und Browser-Profile. Kreuzkontamination ist der häufigste Deanonymisierungsfehler.

❌ Kreuzkontaminations-Beispiele: Die Pseudonym-E-Mail-Adresse bei einem Dienst angeben, wo auch der echte Name hinterlegt ist. Denselben Nutzernamen auf verschiedenen Plattformen verwenden. Profilbilder zwischen Identitäten teilen. Auf das pseudonyme Konto zugreifen, während man im echten Konto eingeloggt ist.

Werkzeuge für Identitätsmanagement

  1. Separate Browser-Profile oder Browser – Firefox Multi-Account Containers isoliert Cookies pro Tab-Gruppe. Brave-Profile sind vollständig isoliert. Für maximale Trennung: separate Browser-Instanzen pro Identität.
  2. Passwort-Manager pro Identität – Bitwarden (quelloffen, kostenlos, selbst-hostbar) oder KeePassXC (lokal, kein Cloud-Sync). Niemals Passwörter zwischen Identitäten teilen.
  3. 2FA-Schlüssel trennen – Aegis Authenticator (Android, quelloffen) oder Raivo OTP (iOS). Niemals Google Authenticator oder SMS-2FA für anonyme Konten.
  4. Fake-Personendaten generieren – fakepersongenerator.com oder fakenamegenerator.com für plausible Namen, Adressen, Geburtstage (für nicht-deutsche Plattformen).

Temporäre Telefonnummern für Registrierungen

Dienst Land Preis SMS-Empfang Anonym?
sms-activate.org Weltweit ab €0,05/SMS ✅ Ja Zahlung per Krypto möglich
receive-smss.com Weltweit Kostenlos ✅ Ja ❌ Nein – Nummern öffentlich!
MySudo USA / CAN / UK $4,99–$14,99/Monat ✅ Ja ✅ Sehr gut
JMP.chat USA / CAN $4,99/Monat ✅ Ja ✅ Monero-Zahlung möglich
Satellite App (DE) Deutschland Kostenlos ❌ Kein SMS DE-Postadresse nötig

⚠ Hinweis DE: Seit Juli 2017 schreibt §172 TKG eine Identitätsverifikation für alle deutschen SIM-Karten vor. Es gibt keine legal anonyme deutsche Telefonnummer. EU-Länder ohne Registrierungspflicht (z. B. Niederlande, Österreich, Schweden): Dort gekaufte SIMs funktionieren per EU-Roaming in Deutschland.

7. Anonymes Bezahlen

Zahlungsmethoden nach Anonymitätsgrad

Zahlungsmethode Anonymität Hinweis
Kreditkarte / SEPA ~2 % Vollständig nachverfolgbar
PayPal ~5 % Vollständige Identitätsbindung
Bitcoin (BTC) ~30 % Pseudonym, aber Blockchain öffentlich – Chainanalysis möglich
Paysafecard (bar gekauft) ~75 % Bis €100 ohne Ausweis, 70.000+ Verkaufsstellen DE
Bargeld ~90 % Kein digitaler Trail, CCTV möglich
Monero (XMR) ~98 % Ring Signatures, Stealth Addresses, RingCT – nicht nachverfolgbar

Monero: Das einzige wirklich private Krypto

Bitcoin ist pseudonym, nicht anonym – alle Transaktionen sind dauerhaft auf der öffentlichen Blockchain einsehbar. Chainanalysis-Firmen de-anonymisieren BTC-Transaktionen routinemäßig.

Monero verwendet drei Technologien: Ring Signatures (verschleiern Absender), Stealth Addresses (neue Einmal-Adresse pro Transaktion), RingCT (Beträge unsichtbar). Besitz und Verwendung von Monero ist in Deutschland und der EU vollständig legal.

⚠ Monero in der EU 2025/2026: Kraken delistete XMR im EWR (Oktober 2024). Binance entfernte Spot-Paare (Februar 2024). Verbleibende Optionen: Non-KYC-Swaps (ChangeNOW, SideShift), P2P-Handel, direkte Miner oder Münzkauf gegen Bargeld bei Meetups.

Paysafecard: Einfachste anonyme Online-Zahlung

Paysafecard-Vouchers sind an über 70.000 Verkaufsstellen in Deutschland (Tankstellen, Kioske, dm) bar erhältlich. Werte: €10, €25, €50, €100 – für €100 kein Ausweis nötig. VPN-Anbieter wie Mullvad akzeptieren Paysafecard direkt.

8. Geräte & Betriebssysteme

Desktop-Betriebssysteme nach Sicherheit

OS Typ Anonymität Beschreibung
Tails OS Live-USB, amnesisch Sehr hoch Hinterlässt keine Spuren auf Host. Aller Traffic über Tor. RAM beim Herunterfahren überschrieben. tails.boum.org
Whonix VM-basiert (Gateway + Workstation) Sehr hoch DNS-Leaks physikalisch unmöglich. Persistenz möglich. Whonix.org
Qubes OS Xen-Hypervisor, Isolation Höchste (mit Persistenz) Jede App in separater VM. Kompromittierung isoliert. qubes-os.org
Fedora Workstation Reguläres Linux Mittel SELinux aktiv, automatische Updates, Firewalld. Besser als Windows/macOS.

Smartphone-Betriebssysteme

OS Status 2026 Unterstützte Geräte Anonymität
GrapheneOS ✅ Aktiv, empfohlen Pixel 6–9 (Pixel 10 experimentell) Sehr hoch
/e/OS (Murena) ✅ Aktiv 250+ Geräte (Fairphone, Samsung) Hoch
CalyxOS ⚠ Hiatus seit Aug 2025 Pixel, Fairphone Hoch
DivestOS Community-Projekt Viele ältere Geräte Mittel-Hoch
Stock Android / iOS Standard Alle Gering

GrapheneOS: Erste Schritte nach der Installation

  1. Netzwerk-Berechtigungen konfigurieren: Einstellungen → Apps → [App] → Berechtigungen → Netzwerk: für jede App individuell aktivieren. Standard: alle gesperrt.
  2. Sandboxed Google Play (optional): Play Store läuft in isolierter Sandbox ohne Systemrechte. Google hat keinen privilegierten Zugriff.
  3. Duress-Passwort einrichten: Einstellungen → Sicherheit → Duress-Passwort. Setzt Gerät bei Eingabe sofort auf Werkseinstellungen zurück.
  4. DNS-over-HTTPS global setzen: Einstellungen → Netzwerk → Private DNS → Hostname: dns.quad9.net oder doh.mullvad.net

9. Operative Sicherheit (OpSec)

Operative Sicherheit (Operations Security) ist die Disziplin, sensitive Informationen vor Gegnern zu schützen – durch Verhaltensänderungen, nicht nur Technologie. Die stärkste Verschlüsselung nutzt nichts, wenn man unbewusst Kontext-Informationen leakt.

Die fünf OpSec-Regeln

  1. Separate physische Geräte für separate Identitäten – Niemals dasselbe Gerät für eine anonyme und eine echte Identität verwenden. Browser-Exploits, Firmware-Kompromisse und Fingerprinting können Sessions verknüpfen.
  2. Schreibstil anonymisieren – Schreibmuster (Wortwahl, Satzlänge, Grammatikfehler, Interpunktionsstil) sind analysierbar und können zur Identifikation führen. Niemals auf anonymen Plattformen im gleichen Stil wie auf echten schreiben.
  3. Metadaten vor dem Teilen entfernen – Jede Datei kann Metadaten enthalten: GPS-Koordinaten in Fotos, Autorname in Dokumenten, Erstellungsdatum, Softwareversion, Druckerseriennummer in PDFs.
  4. Zeitmuster beachten – Wenn eine anonyme Aktivität immer zwischen 18:00–22:00 Uhr stattfindet, lässt sich die Zeitzone ableiten. Regelmäßige Post-Zeiten verraten Schlafrhythmen.
  5. Niemals dasselbe Passwort, denselben Nutzernamen, dasselbe Profilbild – Wiederverwendete Nutzernamen sind das häufigste De-Anonymisierungsmuster. Tool: Sherlock durchsucht 300+ Plattformen automatisch.
# Sherlock: Nutzernamen-Suche vor Nutzung eines Pseudonyms
pip3 install sherlock-project
sherlock dein_nutzername

# Ausgabe zeigt alle Plattformen, auf denen der Name existiert

10. Metadaten eliminieren

Metadaten in Dateitypen

Dateityp Mögliche Metadaten Werkzeug
JPEG / PNG / HEIC GPS-Koordinaten, Kameramodell, Seriennummer, Aufnahmedatum ExifTool, MAT2
PDF Autor, Erstellungsdatum, Software, Druckerseriennummer (Yellow Dots!), Bearbeitungshistorie MAT2, pdftk
DOCX / XLSX Autorenname, Firma, letzter Editor, Revisions-ID, versteckte Textebenen MAT2, LibreOffice
MP3 / Audio ID3-Tags: Kommentar, Aufnahmeort, verwendete Software MAT2, EasyTag
MP4 / Video GPS, Kamera-ID, Aufnahmedatum, Schnitt-Software ExifTool, FFmpeg

MAT2 und ExifTool verwenden

# MAT2 installieren (Debian/Ubuntu)
sudo apt install mat2

# Einzelne Datei bereinigen
mat2 foto.jpg

# Verzeichnis bereinigen
mat2 --inplace *.jpg *.pdf *.docx

# Verbleibende Metadaten prüfen
mat2 --show foto.jpg

# ExifTool: GPS-Daten aus ganzem Verzeichnis entfernen
exiftool -gps:all= -r ./fotos/

⚠ Druckerseriennummer in PDFs (Yellow Dots / MIC): Viele Farblaserdrucker (Canon, HP, Xerox, Epson) drucken unsichtbare gelbe Punkte auf jede Seite – erkennbar mit UV-Licht. Diese kodieren Seriennummer und Druckdatum. Vermeidung: Schwarzweiß-Laserdrucker oder Tintenstrahldrucker verwenden.

11. Physische Überwachung

Smartphone als Tracking-Gerät

Was dein Smartphone verrät: Mobilfunknetz-Standortdaten (Funkzellen-Triangulation, ±50–500 m) werden von Anbietern gespeichert und sind per Beschluss abrufbar. IMSI (SIM-ID) und IMEI (Geräte-ID) sind per IMSI-Catcher sichtbar. Wi-Fi-Probing: Geräte senden ständig Probe-Requests für gespeicherte Netzwerke – erkennbar ohne aktive Verbindung.

Faraday-Tasche: Wann sinnvoll?

Eine Faraday-Tasche blockiert alle RF-Signale (GSM, WiFi, Bluetooth, GPS). Sinnvoll wenn das Gerät mitgeführt werden muss, aber keine Kommunikation erfolgen soll. Die letzte bekannte Position vor dem Einlegen bleibt beim Anbieter gespeichert. Ein tatsächlich ausgeschaltetes Telefon (Akku entfernt bei alten Modellen) ist die bessere Option.

Bargeld und physische Anonymität

Jede Kartenzahlung erstellt einen Datensatz mit Zeitpunkt, Ort, Betrag und Händler. Kundenkarten (Payback, DeutschlandCard, Lidl Plus) sind umfangreiche Verhaltenstracker. Bargeld hinterlässt keinen digitalen Trail – kaufe sensible Güter (SIM-Karten, USB-Sticks, Prepaid-Karten) immer bar.

Personalausweis vs. Reisepass

Der Personalausweis enthält die vollständige Meldeadresse auf der Rückseite. Der Reisepass enthält keine Wohnadresse. Für Identifikationszwecke, bei denen die Adresse nicht offengelegt werden soll, ist der Reisepass vorzuziehen.

Eine Auskunftssperre im Melderegister verhindert die Adressherausgabe an Privatpersonen. Voraussetzung: Glaubhafte Darlegung einer Gefahr (z. B. Stalking). Gültigkeit: 2 Jahre, verlängerbar. Beantragung beim Bürgeramt, kostenfrei.

12. Vollständige Checkliste nach Stufe

Stufe 1 – Datenmakler-Schutz (1–2 Stunden)

  • Browser auf Firefox oder Brave wechseln
  • uBlock Origin installieren und konfigurieren
  • DNS auf Quad9 oder Mullvad DNS wechseln (Router-Ebene)
  • Privatsphäre-Einstellungen in allen Social-Media-Konten maximieren
  • DSGVO-Auskunftsanfragen bei Schufa, CRIF und infoscore stellen
  • Incogni (€7,99/Monat) oder manuell Datenmakler-Opt-Outs durchführen
  • Google-Aktivitätsverlauf löschen und deaktivieren
  • ACR auf Smart-TV deaktivieren

Stufe 2 – Pseudonymität und Identitätstrennung (1 Tag)

  • Separates Pseudonym mit eigenem E-Mail-Account (Tuta / Posteo) erstellen
  • E-Mail-Aliasing für alle Service-Registrierungen einrichten (SimpleLogin / addy.io)
  • KeePassXC oder Bitwarden einrichten, alle Passwörter ändern (einmalig, stark)
  • 2FA auf alle wichtigen Konten aktivieren (Aegis, nicht SMS)
  • Auskunftssperre im Melderegister beantragen (falls Bedrohung vorhanden)
  • Separates Browser-Profil für pseudonyme Aktivitäten
  • Pi-hole oder AdGuard Home im Heimnetzwerk einrichten
  • Proton VPN oder Mullvad VPN für alltägliches Surfen aktivieren
  • WebRTC in Firefox deaktivieren (about:config)

Stufe 3 – Anonymes Publizieren / Kommunizieren

  • Tor Browser für alle anonymen Online-Aktivitäten
  • Tails OS auf USB-Stick erstellen
  • MAT2 für alle Dateien vor dem Teilen verwenden
  • EXIF-Daten aus Fotos entfernen (ExifTool)
  • PGP-Schlüssel erstellen und für E-Mail-Kommunikation nutzen
  • Monero oder Bargeld für alle Zahlungen in sensiblen Bereichen
  • Schreibstil analysieren und anonymisieren
  • Kein Smartphone bei sensitiven Treffen
  • Sherlock-Scan für alle verwendeten Pseudonyme durchführen
  • GrapheneOS auf dediziertem Gerät installieren

Stufe 4 – Extreme Privatsphäre (Nation-State-Level)

  • Qubes OS als Hauptbetriebssystem
  • Air-Gap-Computer ohne je ein Netzwerkkabel angeschlossen zu haben
  • Kein Smartphone, kein IoT-Gerät in Wohn-/Arbeitsumfeld
  • Kommunikation nur über Tails OS + Tor
  • Physische Daten-Übertragung nur über neue USB-Sticks (Einweg)
  • Keine Google/Apple-Accounts, Cloud-Dienste oder Social Media
  • Alle Einkäufe bar bezahlen
  • Reisen ausschließlich mit Fahrzeug (kein Zug / Flugzeug)
  • Wohnung auf juristische Person anmieten (z. B. Liechtensteinische Stiftung)
  • Regelmäßige OpSec-Audits durchführen

Abschlusswort: Vollständige Anonymität ist kein Zustand, sondern ein Prozess. Jede Maßnahme reduziert das Risiko – keine eliminiert es vollständig. Beginne mit Stufe 1 und steigere die Maßnahmen entsprechend deinem konkreten Bedrohungsmodell. Technologie allein genügt nicht: Verhaltensänderungen (OpSec) sind mindestens genauso wichtig wie technische Werkzeuge.

Back to top