Die richtige Distribution wählen

Für einen Einstieg ohne Vorkenntnisse sind Ubuntu, Linux Mint oder Fedora die naheliegenden Optionen. Linux Mint ist dabei oft die empfehlenswerteste Wahl für Windows-Umsteiger: Die Oberfläche ist vertraut, die Installation ist geführt, und es gibt kaum etwas, das man falsch machen kann.

Wer einen alten Rechner wiederbeleben will, ist mit Xubuntu oder Linux Lite gut bedient - leichtgewichtige Systeme, die auf Hardware laufen, die Windows 11 längst aufgegeben hat.

Was die Installation braucht

Einen USB-Stick mit mindestens 8 GB, einen Rechner und etwa 30 Minuten Zeit. Das ISO-Image der gewählten Distribution wird heruntergeladen, mit einem Tool wie Balena Etcher auf den USB-Stick geschrieben, und dann bootet man davon. Die meisten Distributionen bieten dabei die Möglichkeit, das System erst auszuprobieren, bevor man es installiert - das ist eine gute Gelegenheit, sich zu orientieren.

Die Installation selbst folgt einem geführten Prozess: Sprache wählen, Zeitzone festlegen, Festplatte auswählen, Benutzerdaten eingeben. An keinem dieser Schritte braucht man Spezialkenntnisse.

Was man danach hat

Ein vollständig eingerichtetes System mit Browser, Office-Anwendungen, Mediaplayer und E-Mail-Client - alles dabei, nichts extra zu kaufen. Software wird über einen zentralen App-Store oder Paketmanager installiert, was sicherer ist als das Herunterladen von Programmen aus dem Internet.

Updates kommen regelmäßig, sind aber leise. Sie passieren im Hintergrund oder dann, wenn man es möchte - nicht dann, wenn der Rechner gerade gebraucht wird.

Was es einem bringt

Zunächst: Kontrolle. Man entscheidet, was auf dem Rechner läuft, was er sendet und wie er aussieht. Wer einmal ein System ohne Werbung in der Taskleiste, ohne zwangsweise Microsoft-Account-Anmeldung und ohne ungewollte Datensammlung benutzt hat, will nicht zurück.

Dann: Kosten. Linux selbst kostet nichts, und die Software-Ökosysteme rund darum sind in den meisten Bereichen vollständig kostenlos und gut genug für den täglichen Einsatz.

Und schließlich: Langlebigkeit. Hardware, die von Microsoft aufgegeben wurde, läuft unter Linux oft noch Jahre problemlos weiter. Das ist nicht nur wirtschaftlich — es ist auch eine Form von Unabhängigkeit von Upgrade-Zyklen, die mehr dem Hersteller nützen als dem Nutzer.

Was Play Integrity bedeutet

Google hat mit Play Integrity ein System eingeführt, das Geräte bewertet: Ist das Gerät zertifiziert? Läuft ein autorisiertes Betriebssystem? Wurden systemnahe Modifikationen vorgenommen? Apps können diese Bewertung abfragen und sich weigern zu starten, wenn das Ergebnis nicht ihren Erwartungen entspricht.

Das klingt zunächst nach Sicherheit. Es ist aber auch ein Mechanismus, mit dem Google definiert, was ein "legitimes" Android-Gerät ist - und was nicht. Geräte ohne Google-Zertifizierung, Custom-ROMs und alternative App-Stores werden zunehmend als verdächtig eingestuft.

Was das für F-Droid bedeutet

F-Droid ist ein App-Store für freie und quelloffene Android-Software. Er ist kein Konkurrent zu Google Play im kommerziellen Sinne - er hat keine Werbung, keine Tracking-SDKs, keine Monetarisierung. Er ist einfach ein Weg, Software zu installieren, die nicht Googles Zertifizierungsprozess durchlaufen hat oder durchlaufen will.

Viele Apps in F-Droid sind technisch identisch mit ihren Play-Store-Versionen, aber ohne die Telemetrie, die im offiziellen Build vorhanden ist. Signal, Nextcloud, DeltaChat - all das läuft über F-Droid.

Wenn Geräte-Zertifizierung zur Voraussetzung für grundlegende App-Funktionalität wird, ist F-Droid nicht mehr gleichwertig. Apps, die Play Integrity voraussetzen, laufen einfach nicht - unabhängig davon, ob das technisch notwendig wäre.

Die eigentliche Frage

Wem gehört ein Smartphone? Dem Menschen, der es gekauft hat - oder dem Unternehmen, das das Betriebssystem darauf entwickelt hat? Die Antwort war lange implizit klar: Man kauft ein Gerät, man besitzt es, man entscheidet, was darauf läuft.

Diese Annahme wird gerade aktiv in Frage gestellt. Remote-Attestation, Play Integrity und die damit verbundenen Einschränkungen sind technische Mechanismen, die das Eigentum am Gerät effektiv von der Kontrolle darüber entkoppeln.

Was man tun kann

GrapheneOS ist ein gehärtetes Android-Derivat, das ohne Google-Dienste auskommt und aktiv an Privatsphäre und Sicherheit arbeitet. Es unterstützt eine begrenzte Zahl von Geräten, vorrangig Google Pixel - ironischerweise die Hardware, die Google selbst herstellt.

Wer kein Custom-ROM flashen will, kann mit einem bewusst eingesetzten F-Droid und minimalen Google-Diensten zumindest den Datenhunger reduzieren. Das löst das Grundproblem nicht, aber es ist besser als nichts.

Das eigentliche Problem ist struktureller Natur: Ein Ökosystem, das von einem einzelnen Unternehmen kontrolliert wird, folgt den Interessen dieses Unternehmens. Das war bei Android immer so - es wird nur zunehmend sichtbar.

Die grundlegende Einrichtung

Auf dem Server, der die Daten bereitstellt, genügen wenige Zeilen in /etc/exports. Wichtig ist dabei die Angabe der erlaubten IP-Ranges und die Optionen rw,sync,no_subtree_check und sync sorgt dafür, dass Schreiboperationen erst bestätigt werden, wenn sie physisch auf dem Medium angekommen sind. Das kostet etwas Performance, schützt aber vor Datenverlust bei Abstürzen.

In der VM selbst kommt der Mount-Eintrag in die /etc/fstab, mit _netdev als Option Damit wartet das System beim Boot auf die Netzwerkverbindung, bevor es versucht, das Laufwerk einzuhängen. Ohne diese Option kann ein Boot mit abgeschaltetem NFS-Server in einem hängenden System enden.

Was sich in der Praxis verändert

In einem stabilen Heimnetz funktioniert NFS so still, dass man es vergisst. Probleme tauchen auf, wenn der NFS-Server vor der VM neu gestartet wird, wenn DHCP-Adressen sich ändern, oder wenn Netzwerkpakete verloren gehen. Ein einfaches mount -a hilft in den meisten Fällen wieder auf die Beine.

Wer mehrere VMs mit demselben NFS-Mount betreibt, sollte darauf achten, dass keine der VMs gleichzeitig schreibend auf dieselben Dateien zugreift - NFS bietet kein automatisches Locking auf Anwendungsebene. Für rein lesende Workloads wie Medienserver ist das kein Thema.

Technischer Wert

NFS-Mounts entkoppeln Daten von VMs. Eine VM kann neu aufgesetzt, geklont oder migriert werden, ohne dass die Nutzdaten angefasst werden müssen. Das vereinfacht Wartung erheblich und macht Backups übersichtlicher: Die VM-Backups enthalten nur das System, die Daten liegen separat und können mit einem eigenen Backup-Job gesichert werden.

Kaufmännischer Wert

Wer für Kunden oder Kollegen Dienste betreibt, profitiert davon, dass NFS-gemountete Daten unabhängig von der VM-Lebenszeit sind. Ein defektes System lässt sich ersetzen, ohne Daten zu riskieren. Das reduziert die mittlere Ausfallzeit und damit den Aufwand, der bei einem Vorfall entsteht.

In kleinen Unternehmen mit einem einzigen Administrator bedeutet das: Selbst wenn derjenige im Urlaub ist, ist die Datenlage klar. Wer die Daten und das System sauber trennt, schafft Wiederherstellbarkeit, die auch jemand anderes versteht.

Das ist seine Stärke. Es ist auch das, was CrowdSec verwirren kann.

Wie DeltaChat kommuniziert

DeltaChat verbindet sich mit hoher Frequenz per IMAP mit dem Mailserver - es überprüft ständig auf neue Nachrichten, um Echtzeit-Kommunikation zu simulieren. Aus Sicht eines Intrusion-Detection-Systems sieht das nach wiederholten Login-Versuchen aus einer möglicherweise unbekannten IP aus.

Wenn externe Nutzer DeltaChat mit einem selbst betriebenen Mailserver nutzen, kommen ihre Verbindungen aus IPs, die CrowdSec nicht kennt und die in keiner Whitelist stehen. Je nach Konfiguration kann das zu Blocks führen, die sich anfühlen wie ein Verbindungsproblem oder ein Server-Ausfall.

Diagnose

Der erste Schritt ist immer die Prüfung der aktiven Decisions. cscli decisions list zeigt alle aktuellen Bans. Wenn eine IP dort auftaucht, die einem bekannten Nutzer gehört, ist das ein false positive.

Hilfreich ist auch ein Blick auf die Alerts: cscli alerts list --since 5h zeigt, welches Szenario ausgelöst hat. Das Szenario postfix-non-smtp-command taucht auf, wenn ein Client eine SMTP-Verbindung mit einem unerwarteten Protokollbefehl beginnt, was bei bestimmten Mail-Client-Implementierungen vorkommen kann.

Lösung

Bekannte IPs oder IP-Ranges können in die CrowdSec-Whitelist aufgenommen werden. Für Heimnetz-Nutzer reicht oft die Angabe des heimischen Netzes. Für externe Nutzer ist die sauberere Lösung, den betroffenen Nutzern einen fixen IP-Bereich zuzuweisen oder einen dedizierten IMAP-Port zu nutzen, der weniger aggressiv überwacht wird.

Alternativ kann das verantwortliche Szenario für bestimmte IPs deaktiviert werden, wenn der Nutzerkreis überschaubar und bekannt ist.

Technischer Wert

Wer einen eigenen Mailserver betreibt und DeltaChat aktiv einsetzt, gewinnt vollständige Kontrolle über den Kommunikationskanal. Keine zentralen Server, kein Anbieter, der Metadaten sammelt. Die Kombination aus DeltaChat und Postfix/Dovecot ist einer der wenigen praktikablen Wege zu echter kommunikativer Selbstbestimmung.

Kaufmännischer Wert

Für Unternehmen, die intern auf DeltaChat setzen wollen, ist die Einrichtung überschaubar, aber die Sicherstellung, dass CrowdSec die eigenen Nutzer nicht blockiert, ist ein notwendiger Schritt. Eine gut konfigurierte Umgebung schützt vor externen Angreifern, ohne die eigenen Nutzer auszusperren. Dieser Balanceakt ist der eigentliche Wert einer durchdachten Security-Konfiguration.

Was die Metriken bedeuten

Wenn cscli metrics zeigt, dass fast alle Bans von CAPI stammen statt von lokalen Szenarios, ist das kein Fehler - das ist das Feature. Die Community hat diese IPs bereits als bösartig identifiziert, und der eigene Bouncer profitiert davon ohne eigene Erfahrung.

Was auffallen sollte: Wenn lokale Parser wie sshd-logs installiert sind, aber null Zeilen parsen, ist etwas nicht in Ordnung. Der häufigste Grund ist ein Log-Format-Mismatch - systemd-journald schreibt Logs in einem anderen Format als klassisches Syslog, und manche Parser erwarten das ältere Format.

Parser debuggen

Der Befehl cscli parsers list zeigt, welche Parser aktiv sind. Für SSH-Logs unter systemd hilft es, den Parser explizit auf das journald-Format zu konfigurieren oder die Acquisition so einzustellen, dass sie direkt aus dem Journal liest statt aus /var/log/auth.log.

Dienste, die nicht mehr laufen, sollten aus der Acquisition-Konfiguration entfernt werden. CrowdSec liest sonst weiter alte Log-Dateien und erzeugt Overhead ohne Nutzen.

Was wirklich schützt

Die Community-Blocklist ist eine starke erste Linie. Lokale Erkennung ist die zweite Linie - sie greift bei Angriffen, die noch nicht Community-bekannt sind, und bei Mustern, die spezifisch für die eigene Infrastruktur relevant sind. Beide zusammen ergeben Schutz in der Tiefe.

Für einen Heimserver mit geschlossenen SSH-Ports nach außen ist der praktische Risikobeitrag lokaler SSH-Erkennung gering. Relevanter sind Parser für Webserver-Logs und Mailserver-Logs, da diese Dienste typischerweise nach außen exponiert sind.

Technischer Wert

CrowdSec ist einer der wenigen Security-Stacks, der mit minimalem Konfigurationsaufwand sofort wirksam ist und gleichzeitig tief erweiterbar bleibt. Der Firewall-Bouncer ist in Sekunden eingerichtet, und die Community-Blocklist liefert sofort greifbare Ergebnisse.

Kaufmännischer Wert

Wer einen Server für andere betreibt - sei es als Freelancer mit eigenem Mailserver für Kunden oder als kleine IT-Abteilung - kann mit CrowdSec eine professionelle Sicherheitsebene aufbauen, die kommerziellen Lösungen in vielen Punkten nicht nachsteht, ohne deren Lizenzkosten. Das ist ein handfester Kostenvorteil, der sich über die Zeit akkumuliert.

Warum Unternehmen es verstehen

Unternehmen verschlüsseln ihre Daten nicht, weil sie etwas Illegales tun. Sie tun es, weil sie verstehen, dass Information Wert hat. Geschäftsgeheimnisse, Kundendaten, Verträge, Kalkulationen - das alles ist wertvoll, und zwar nicht nur für das Unternehmen selbst, sondern auch für Wettbewerber, Erpresser und Behörden aus fremden Rechtsräumen.

Ein Unternehmen, das seine Daten nicht verschlüsselt, handelt fahrlässig. Das ist keine Meinung - das ist die Rechtsauffassung der DSGVO, die technische Schutzmaßnahmen als Pflicht definiert. Bußgelder für Datenpannen sind real, und unverschlüsselte gestohlene Kundendaten sind ein klassischer Auslöser.

Warum Menschen es unterschätzen

Menschen denken anders. Der Satz "ich hab nichts zu verbergen" setzt voraus, dass Privatsphäre nur dann wichtig ist, wenn man etwas Verbotenes tut. Das ist eine Verwechslung von Privatsphäre mit Schuld.

Privatsphäre ist das Recht, selbst zu bestimmen, wer was über einen weiß. Das Gespräch mit dem Arzt. Die Finanzsituation. Die politische Überzeugung. Die Nachrichten an die Familie. Niemand von uns möchte, dass diese Dinge beliebig zugänglich sind - aber die meisten haben diese Zugänglichkeit einfach akzeptiert, weil sie unsichtbar ist.

Was tatsächlich passiert, wenn Daten ungeschützt sind

Unverschlüsselte Daten sind nicht sicher, nur weil niemand aktiv danach sucht. Sie sind eine passive Ressource, die bei einem Datenleck, einem Geräte-Diebstahl oder einem kompromittierten Account plötzlich sehr zugänglich wird. Dann zählt nicht mehr, ob man "etwas zu verbergen" hatte - dann zählt, was jemand anderes damit anfangen kann.

Identitätsdiebstahl. Phishing-Angriffe auf Basis echter Kontaktdaten. Erpressung mit privaten Fotos. Diese Dinge passieren Menschen, die nichts zu verbergen hatten.

Der eigentliche Unterschied

Unternehmen denken in Risiken und Konsequenzen. Menschen neigen dazu, Risiken zu unterschätzen, die abstrakt und zeitlich entfernt wirken. Das ist menschlich - aber es ist auch der Grund, warum Datenpannen fast immer die Menschen treffen, deren Daten bei einem Unternehmen lagen, nicht die Unternehmen selbst.

Verschlüsselung ist keine Paranoia. Sie ist die vernünftige Antwort auf die Tatsache, dass Daten Wert haben - auch wenn man selbst keinen Grund sieht, sie zu schützen.

Kontrolle über das eigene System

Linux gehört dem Nutzer. Nicht im rechtlichen Sinne des Kaufs, sondern im praktischen Sinne: Jedes Verhalten des Systems lässt sich nachvollziehen, anpassen oder abschalten. Es gibt keine Telemetrie, die sich nicht deaktivieren lässt. Keine Zwangs-Updates, die den Rechner neu starten, während man arbeitet. Keine vorinstallierten Apps, die man nicht loswird.

Windows ist ein Betriebssystem, das zunehmend Interessen seines Herstellers verfolgt, die sich nicht mit den Interessen des Nutzers decken. Das ist keine Verschwörungstheorie - das ist Geschäftsmodell.

Sicherheit durch Transparenz

Open Source bedeutet, dass jeder den Code einsehen kann. Das klingt nach einem akademischen Vorteil, hat aber praktische Konsequenzen: Sicherheitslücken werden gefunden und gemeldet, oft bevor sie ausgenutzt werden. Es gibt keine versteckten Hintertüren, die man nicht entdecken könnte. Die Community ist groß, aktiv und hat ein echtes Interesse daran, Probleme zu finden.

Windows ist Closed Source. Man muss Microsoft vertrauen, dass der Code das tut, was er tun soll - und dass er nichts anderes tut. Dieses Vertrauen wird regelmäßig auf die Probe gestellt.

Stabilität und Langlebigkeit

Linux-Server laufen jahrelang ohne Neustart. Das ist keine Übertreibung - es ist Alltag. Die meisten Server im Internet laufen auf Linux, und das nicht aus Tradition, sondern weil es funktioniert. Kernel-Updates können in vielen Fällen ohne Neustart eingespielt werden.

Für den Desktop-Einsatz bedeutet das: Kein "Windows muss jetzt neu starten" mitten in der Arbeit. Keine halbjährlichen Feature-Updates, die das System verlangsamen oder Einstellungen zurücksetzen.

Ressourceneffizienz

Linux läuft auf alter Hardware. Ein Rechner, der mit Windows 11 nicht mehr offiziell unterstützt wird, kann mit einer leichtgewichtigen Linux-Distribution noch Jahre produktiv betrieben werden. Das ist gut für den Geldbeutel und gut für die Umwelt.

Wer einen Heimserver oder eine NAS betreiben will, hat mit Linux die volle Kontrolle über jeden laufenden Prozess und jeden verbrauchten Megabyte RAM.

Kaufmännischer Wert

Linux ist kostenlos. Nicht kostenlos mit Einschränkungen, nicht kostenlos für den ersten Monat einfach kostenlos. Für Unternehmen, die viele Maschinen betreiben, ist das ein erheblicher Posten in der Kostenkalkulation. Hinzu kommen geringere Lizenzkosten für Server-Software, da viele Open-Source-Alternativen zu kommerziellen Windows-Produkten existieren und produktiv eingesetzt werden.

Ein gut eingerichtetes Linux-System hat außerdem eine deutlich niedrigere Angriffsfläche als ein Standard-Windows-System - was Kosten für Sicherheitsvorfälle reduziert, die schwer zu messen, aber real sind.

Was PBS-Verschlüsselung leistet

PBS verschlüsselt Backup-Chunks mit AES-256-GCM, noch bevor sie auf den Datastore geschrieben werden. Der Schlüssel verlässt den Client nie. Das bedeutet: Wer Zugang zum Backup-Server hat, sieht nur chiffrierten Datenmüll. Das ist keine Paranoia — das ist saubere Sicherheitsarchitektur.

Der Fingerprint des Schlüssels dient zur Verifikation. Er sollte an einem sicheren Ort abgelegt werden, der vom Backup-System selbst unabhängig ist — etwa in einem Passwort-Manager wie Vaultwarden als Secure Note.

Einrichtung Schritt für Schritt

Im Proxmox-Interface öffnet man den gewünschten Backup-Job und wählt im Reiter "Encryption" die Option "Encryption Key". PBS generiert daraufhin einen neuen Schlüssel, zeigt den Fingerprint an und speichert ihn lokal im PBS-Keystore.

Beim nächsten Backup-Durchlauf erscheint in den Logs die Zeile INFO: enabling encryption — das ist die Bestätigung, dass alles greift. Bestehende Snapshots bleiben unverschlüsselt und werden als "mixed" markiert, bis sie durch die Retention-Regeln auslaufen.

Was es bringt — technisch

Selbst wenn jemand physischen Zugang zur Festplatte bekommt, auf der die Backups liegen, sind die Daten wertlos ohne den Schlüssel. Das gilt auch für den Hosting-Anbieter, für Diebstahl, für kompromittierte Zugangsdaten zum Storage-Backend.

Außerdem schützt die Verschlüsselung bei der Übertragung zu einem externen Mirror: Daten verlassen den eigenen Perimeter in einem Zustand, den niemand anders lesen kann.

Was es bringt — kaufmännisch

Für jeden, der Daten von anderen Menschen oder Unternehmen verarbeitet, ist Backup-Verschlüsselung keine optionale Maßnahme. Die DSGVO verlangt geeignete technische Schutzmaßnahmen. Ein unverschlüsseltes Backup, das kompromittiert wird, ist ein meldepflichtiger Datenschutzvorfall mit möglichen Bußgeldern.

Wer als Freelancer oder kleines Unternehmen Kundendaten hält, schützt mit Backup-Verschlüsselung nicht nur die Daten — er schützt sich selbst vor Haftungsrisiken, die in keinem Verhältnis zum Aufwand der Einrichtung stehen.

Der Schlüssel kostet nichts. Das Vergessen des Schlüssels kann alles kosten.