Lieber Steffen,
Wie MaHa schon auf einem Netzpolitik Podcast sagte: Sicherheit ist kein Konzept sondern ein Prozess. Daher kann ich dem Vorredner nur beipflichten das du im immer Nachteil sein wirst wenn es darum geht die Angreifer aus deiner Burg fernzuhalten. Der Angreifer hat ja die Wahl einer Möglichkeit welcher er sich ausdenkt, du als Verteidiger den Nachteil alle Möglichkeiten in Betracht ziehen zu müssen. Auch der Begriff "Staatstrojaner" ist ein wenig irreführend. Handelt es sich ja nicht um ein einzelnes Programm welches der BND so einfach dir auf den Rechner schicken kann um dich auszuschnüffeln. ( Wobei auch so etwas möglich ist). Sichere Linux OS wie z.B. Tails oder Qubes , Kali oder Whonix , oder BSD sind relativ knifflig in der Aufsetzung und im Handling. Manche der Systeme nutzen z.B. eine Art Virtualisierung für jeden einzelnen Prozess. (jail) ; Dienen allerdings in spezialisierten Workflow z.B. für Wistelblower in repressiven Systemen als Schutz und Kommunikationsmöglichkeit. Bedeutet das du quasi Geräte ausschließlich nur für kritische Anwendungen verwendest.
Wie weit dein eigenes Sicherheitsbedürfnisse du einstufst, muss du vermutlich selbst erst herausfinden und wie weit du dich damit auseinandersetzen möchtest. Vielleicht kommst du mal im Hackersprache vorbei.

Wundervolle Grüße... Rainer S. (Orbit)

Am 6. September 2021 09:55:48 MESZ schrieb Andreas Delleske <delleske@vauban.de>:
Hallo Steffen,

ich würde gerne im Zeitbereich entweder noch bis Mitte Oktober oder im
Laufe des Dezember/Januar
meinen Laptop ins Internet hin sicherer machen und zwar insbesondere
sicherer gegen die
Fremdinstallation von (Staats-)Trojanern, gegen Viren wie z.B. auch in
Richtung Virenschutz gegen
Leute die meine Daten von außen verschlüsseln wollen.

Ich habe da leider nicht die nötige Erfahrung zum praktischen Härten
von Linux aber zwei Dinge:

Die Anforderungen liegen extrem weit auseinander:

1. Gegen Staatstrojaner absichern: Das wäre sehr schwer da wir nicht
wissen welchen Zero Exploit (ist Dir das schon ein Begriff?) die gegen
Linux in der Hand haben. Wenn sie einen haben: Wenig Chance das zu
verhindern da sich die Behörden auch beim Provider in Deinen
Datenstrom einklinken können um das - allerdings nur unter bestimmten
Umständen, klappt auch nciht immer - zu installieren.

Wer sich auf "Snowden Level" sogar gegen Staaten verteidigen muß, der
kommt um regelmäßige Benutzung von Tails und Tor (und selbst da kann
man geteilter Meinung sein da bei den Tor-Exit-Nodes praktisch der NSA
lauert) nicht umhin, TRennung von sensiblen Daten von normaler
Internetbenutzung. Es wäre auch extrem wichtig zu wissen, gegen welche
Art von Manipulation durch Statten Du Dich absichern mußt aber die
Frage will ich hier gar nicht beantwortet haben. Ich sage mal: Da
brauchst Du eine Expertise die auch in Freiburg nicht so häufig
anzutreffen ist.

Sicher ist aber, daß ein normales Linux von Haus aus schon viel besser
gegen solche Angriffe gefeit ist als Windows und wohl auch Mac OS da
amerikanische Konzerne grundsätzlich "kompromittiert" sind solange es
FISA-Geheimgerichte in den USA gibt und solange sie Nicht-US-Bürger
als Freiwild betrachten.

2. Gegen 95% der Verschlüsselungstrojaner bist Du schon recht sicher,
wenn Du z.B. root nur zur Installation benutzt, im Browser JavaScript
zumindest stark reduzierst und vor allem NIEMALS einen Link angeklickt
hast den Du nicht verlangt hast. Eventuell sollte man nur mit einem
extra Benutzer surfen oder eine Surfumgebung in eine virtuelle
Maschine packen, aber ich weiß das ist weng praktikabel.

Das meiste was als Linux-Schadsoftware herumgeistert wurde von
nichtsahnenden Users selbst installiert. Also nie Software benutzen
von den Du nciht genau weißt daß sie vertrauenswürdig ist (obwohl man
nie ausschließen kann daß sich ein Angrefer z.B. ins Softwareteam von
LibreOffice oder so einschleust).

Diesen Artikel würde ich bestätigen:

https://diesec.com/2020/09/linux-sicher/

Ich hoffe das hilft als erste Einordnung..

Falls es sinnvoll ist gerne auch bereits ab der von mir genutzten akt.
Fritzbox 7530 GF.

GF kenne ich nicht, es gibt nur eine 7530 AX, was Du siehst ist
vermutlich nur die Benennung Deines WLAN mit den zwei zusätzlichen
Buchstaben.

Eine Fritzbox 7530 ist schon sehr sicher, man sollte "Anwendungen den
Zugriff erlauben" auf jeden Fall ausschalten, Medienserver und
FTP-Dateiserver ausschalten.

Wenn Fritz kompromittiert wird, erfahren wir das weil es Millionen
Nutzys *) gibt.
.
Mir selbst traue ich das vor allem aus Zeitgründen und noch zu geringen
Linuxkenntnissen
nicht zu

Das verstehe ich aber die effektivste Sicherheitssoftware instalierst
Du wirklich in Deinem Kopf. Ohne diese sind auch alle technischen
Lösungen die es vielleicht gäbe sehr wenig wert!

Es gibt leider kein - verzeih den saloppen Ausspruch - Sicherheitsspray.

Ich nutze einen Lenovo-Laptop mit Linux Mint 19.3

Da wäre erst mal ein Update auf 20.2 zu empfehlen, geht direkt im System.

Vielleicht findet sich ja jemand der direkt helfen kann.. viel Erfolg!


*) Entgendern nach Hermes Phettberg ;-)
https://www.youtube.com/watch?v=1BfDggDMId4
-- 
Schönen Gruß
Andreas