Der Privacy-Stack rund um dein Usenet-Setup, neu gedacht
SSL allein ist keine Privacy-Strategie. Wo dein Setup 2026 wirklich Metadaten verliert — und was sich zu fixen lohnt.
Die meisten Usenet-Nutzer haben ihre Privacy-Frage vor Jahren abgehakt: Verbindung über SSL, fertig. 2012 war diese Antwort gut genug. 2026 liegen die interessanten Lecks nicht auf der NNTP-Verbindung — sie liegen überall drumherum.
SSL ist Grundausstattung, keine Strategie
Verschlüsseltes NNTP verbirgt Artikelinhalte vor deinem ISP, mehr nicht. Dein Provider sieht weiterhin, was du wann herunterlädst — verknüpft mit einem zahlenden Account. Ob das relevant ist, hängt von Logging-Policy und Jurisdiktion des Providers ab — zwei Dinge, die man regelmäßig nachlesen sollte, weil sie sich still ändern. Die Aufbewahrung von Verbindungslogs ist eine andere Frage als die Retention von Artikeln, und mit Ersterem werben Provider selten.
Dein Indexer sieht mehr als dein Provider
Ein Indexer kennt deine Suchen, deine Grabs, deine API-Nutzungsmuster und meist deine E-Mail-Adresse. Dieses Profil ist deutlich reicher als alles, was ein NNTP-Provider hat. Praktische Konsequenzen:
- Behandle Indexer-Accounts wie die sensiblen Accounts, die sie sind: eigene E-Mail-Aliasse, eigene Passwörter.
- Achte darauf, was deine Automatisierung sendet. User-Agent und API-Key jedes
*arr-Requests identifizieren deinen Haushalt so präzise wie ein Cookie. - Wenn ein Indexer stirbt oder beschlagnahmt wird, verschwindet seine Datenbank nicht. Geh davon aus, dass alles drinsteht, was du je gesucht hast.
Die VPN-Frage, eng beantwortet
Für die NNTP-Verbindung selbst bringt ein VPN wenig — die ist bereits verschlüsselt, und dein Provider weiß ohnehin, wer du bist, weil du ihn bezahlst. Wo ein VPN wirklich hilft, ist alles andere: Indexer-Browsing, API-Traffic, und dass dein ISP aus SNI- und DNS-Metadaten kein sauberes „dieser Haushalt nutzt Usenet”-Flag bauen kann. Wenn du nur eines durchs VPN routest, dann die Web-Seite, nicht die Download-Seite.
Und der langweilige Teil, den alle überspringen: Prüfe DNS- und IPv6-Leaks auf der Maschine, auf der dein Stack läuft, nicht auf deinem Laptop. Ein sauber getunneltes SABnzbd neben einem leckenden Prowlarr ist der klassische Fehlermodus.
Selbstgehostete Tools schneiden in beide Richtungen
Der eigene Stack hält deine Bibliotheksdaten aus fremden Clouds heraus — das ist der Gewinn. Aber selfhosted heißt nicht stumm. Update-Checks, Metadaten-Lookups und Analytics-Beacons telefonieren alle nach Hause, jedes davon ein kleiner Zeitstempel-Beleg, dass dein Stack existiert. Die meisten Tools lassen Analytics abschalten; bei wenigen ist es ab Werk aus. Einmal auditieren, dokumentieren, nach großen Updates erneut prüfen.
Nichts davon ist Grund zur Paranoia. Es ist Grund für eine Stunde bewusster Konfiguration — und die schlägt jede Menge VPN-Marketing.