Andere Sammlungen von Sicherheitstipps (alle englisch)

securityplanner.org. Das ist ein interessanter Zugang: Die Benutzer werden mittels 3 gezielten Fragen durch eine persönliche Bedrohungsanalyse geschickt und bekommen dann gezielte Tipps für IHRE Situation. (So eine Bedrohungsanalyse (Threat Modelling) ist immer der erste Schritt. Für die in der Überschrift genannten Zielgruppen habe ich diese bereits implizit durchgeführt.

Einen recht erfrischenden Zugang bietet Security Advice for Congressional Campaigns. Das ist ein kurzer Text mit m.E. guten Vorschlägen für Mitarbeiter von US-Wahlteams. Das ist keine reguläre Situation: Der Trainer hat 1 Std Zeit einige Tipps rüberzubringen, die Wahlteams sind häufiges Ziel von Phishing-Attacken und es geht nicht um reguläre IT-systeme für alles was man im Internet so tut. Daher halte ich die konkreten Vorschläge: Beschränkung auf iOS + Signal + Win10 mit Google, Gmail und Google Docs, Passwort Manager + 2-Faktor-Login überall in der konkreten Situation (ohne eine dedizierte Infrastruktur, nur Cloud-Dienste) für durchaus akzeptabel.

John Scott-Railton's 'Digital Security Low Hanging Fruit.'. Der Autor geht von der gleichen Annahme aus wie ich bei meinem Basisschutz: Es gibt einige einfache Tricks die mit wenig Aufwand den Schutz deutlich erhöhen - er listet und erklärt:

  • 2-Faktor-Authentisierung
  • Smartphone-Verschlüsselung
  • sichere Messaging Apps

Electronic Frontier Foundation EFF: SSD - Surveillance Self-Defense. Ein sehr umfassendes Projekt sowohl für Profis und Admins wie auch für fortgeschrittene Enduser die sich besser schützen wollen. Sie bieten animierte oder nicht-animierte Tutorials und Schulungen zu allen Themen der Informationssicherheit, zusätzlich mit speziellen Infos für LGBT-Personen in arabischen Ländern oder Afrika - Sehr umfassend, sehr empfehlenswert.

DIY ONLINE SECURITY GUIDE FOR EVERY WOMAN. Diese Website richtet sich mit ihren Tipps vor allem an Frauen, die bedroht sind und ihren digitalen Fußabdruck im Netz deutlich verkleinern wollen ohne die Kontakt- und Vernetzungsmöglichkeiten die das Internet bietet aufzugeben. Die Tipps gelten aber nicht nur für Frauen, sondern für jede/jeden der sicherer im Internet unterwegs sein möchte. Speziell natürlich für Opfer von Stalking oder Menschen, die von Ex-Partnern bedroht werden.

"Digital Security and Privacy for Human Rights Defenders". Dort gibt es für Menschenrechtsaktivisten viele Angebote, nicht nur Training, sondern sogar finanzielle Unterstützung zur Stärkung ihrer digitalen Sicherheit. Sie bieten sogar einen telefonischen Emergency Kontakt.

Security without borders. Die nicht-kommerzielle Organisation bietet konkrete Hilfe für politische Organisationen und Journalisten: "We can help with penetration testing, digital forensics, malware analysis, and advanced operational security advice".

AccessNow. Eine weitere Organisation die sich kostenlos um durch Cyber-Attacken bedrohte Aktiviten und Organisationen kümmert: "We defend and extend the digital rights of users at risk around the world".

digital security guide by Motherboard. Langer gründlicher text, korrekt beginnend mit einer Bedrohungsanalyse (threat modelling).

Hier der Link zu einen Privacy Test mit deren Hilfe jede/jeder sehen kann, welche Daten fremde Personen über uns sehen können. Die Website gehört wohl zu dem Buch "violet blue: the smart girl's guide to privacy - practical tips for staying safe online".

 

 

Fortgeschrittener Schutz im Internet

Wie kann man sich gegen professionelle, d.h. gezielte Überwachungen und Angriffe schützen?

Weiterführende Tipps für exponierte Personengruppen wie Journalisten, Rechtsanwälte, politische und LGBTQ-Aktivisten, Personen die vor Ex-Partnern flüchten, etc.

Autor: Philipp Schaumann

Letzte Änderungen: Juni 2018

Wenn es um eine sichere Nutzung des Internets geht, so muss sich jeder die Frage stellen: "Vor wem muss/will ich mich eigentlich schützen?". Denn der Schutz im Internet ist (wie fast überall) etwas unbequemer als wenn ich einfach unbesorgt durch das Leben und das Internet ziehe. Das heißt, dass ich "wie im richtigen Leben" eine kurze "Bedrohungsanalyse" durchführen muss. (Das tun wir eigentlich grundsätzlich, z.B. wenn wir entscheiden, ob wir für unsere Wohnung bessere Schlösser installieren oder für das Eigenheim eine Warnanlage).

Diese Bedrohungsanalyse wird für exponierte Personengruppen wie Journalisten, Rechtsanwälte, politische Aktivisten, und z.B. Personen die vor Ex-Partnern flüchten zum dem Schluss kommen, dass schlimmstenfalls nicht nur die üblichen Kriminellen es auf meine Datenabgesehen haben, sondern dass auch gezielte Angriffe durch Profis möglich sind.

 

Grundbedingung ist der Basis-Schutz wie für alle Internet-Nutzer

Bevor Sie sich über den Schutz gegen NSA High Tech Überwachungen Gedanken machen, müssen Sie zuerst ihre IT-Geräte mittels Basis Hygiene Regeln absichern, sonst sind sie nicht nur für die Profis der NSA transparent und leicht angreifbar, sondern auch für alle anderen "Bösen" im Internet, von denen es genug gibt.

Ebenfalls zur Grundhygiene gehören vernünftige Passworte, ein eigenes FÜR JEDE Website. Wer hier schlampt, der ist gegenüber Angreifern aller Art wehrlos, nicht nur gegenüber der NSA.

Die Grundhygiene ist das allerwichtigste ist weil auch die NSA und die anderen Dienste low-tech Angriffe jederzeit bevorzugen - wenn ein PC oder Web-Account schlecht geschützt sind, so wird die NSA sich nicht die Mühe machen, Verschlüsselungen zu knacken.

Ein ehemaliger Chef der NSA hat ausdrücklich erklärt: Angriffe über Zero-Days sind teuer und gar nicht so wichtig, Angriffe mittels Social Engineering und das Ausnützen von Passwort-Schlampereien sind viel einfacher.

 

Etwas mehr Schutz, z.B. 2-Faktor Authentisierung

Wem das zu wenig Schutz ist und wer bereit ist, auch etwas unbequemere Lösungen zu nutzen, für den ist die nächste Sicherheitsstufe definitiv, bei allen Cloud-Diensten die 2-Faktor Authentifizierung zu aktivieren - weiter unten mehr Details zu 2-Faktor Authentisierung. (Bei der 2-Faktor Authentifizierung reicht ein Passwort für den Zugriff nicht aus, der Nutzer muss noch einen zweiten Faktor eingeben, z.B. einen Code der über SMS kommt.) Zum Pro und Contra der Nutzung von Cloud-Diensten weiter unten ein ganzer Abschnitt. (Für alle die weniger ehrgeizig sind und sich mit der Fragestellung begnügen "wie kann ich meinen Daten-Footprint reduzieren und mich etwas weniger transparent machen" folgt ein spezieller Abschitt weiter unten.)

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Zwei-Faktor Authentifizierung ist definitiv ein MUSS für alle, die davon ausgehen müssen, dass auch gezielte Angriffe durch Profis ein Problem sein können (z.B. für Journalisten, politische Aktivisten, Firmenmanager, und Politiker, bzw. Wahlkampfmanager). Zwei-Faktor Authentifizierung macht das Leben auch für die Angreifer deutlich komplizierter, sie müssen zusätzlich zum Passwort, das sich oft über Phishing bekommen, noch an den 2. Faktor kommen. Für echte Profis ist aber auch das evt. möglich, daher gibt es noch sicherere Methoden, z.B. Google Authenticator mit Hardware-Token (siehe weiter unten).

Ein weiterer Punkt für die Zielgruppen mit erhöhtem Schutzbedarf: Schutz von Daten bei Grenzübertritten. Kurzfassung: Keine sensiblen Daten mit sich tragen.

 

Verschlüsselungen der Daten und der Kommunikation

Wie gut ist eigentlich die Internetbanking-Website ihrer Hausbank?

Das prüft man am leichtesten mit Hilfe dieser URL: Qualys SSL Labs Server Test. Sie geben einfach den vorderen (Domain-)Teil der URL ein die Sie während der Banking-Session und/oder beim Login im Browser angezeigt bekommen. Wichtig ist nicht nur, dass dort starke Algorithmen angeboten werden, sondern auch, dass schwache Ziffern gar nicht erlaubt sind.

Denn ein Man-in-the-Middle Angreifer wird versuchen, den Server in Ihrem Namen zu überzeugen, dass ihr Browser nur schwache Verschlüsselungen kann. Dann sollte ihre Bank die Verbindung ablehnen. Falls die Server ihrer Bank schlecht abschneiden, dann sollten Sie diese kontaktieren.

Der im vorigen Abschnitt geschilderte Schutz durch 2-Faktor setzt natürlich voraus, dass der/die Betroffene Vertrauen in die (US-)Cloud-Dienste hat (aber das haben ja sehr viele, z.B. John Podesta, der Wahlkampfmanger von Hillary Clinton, der sich seinen Gmail-Account von (vermutlich) russischen Hackern mittels Phishing hat abnehmen lassen).

Für alle, für die ein Cloud-Dienst nicht in Frage kommt gilt es, erstens die eigenen Computer und Smartphones (und die Daten auf den Geräten) so sicher und unangreifbar wie möglich zu machen und zweitens alle externe Kommunikation verschlüsselt und ohne Spuren durchzuführen. Für die Absicherung der eigenen Systeme und ihrer Daten verwendet man Festplatten- oder Verzeichnisverschlüsselung (wie das derzeit nicht mehr gepflegte Truecrypt, oder das Nachfolgeprodukt Veracrypt.

Für den sicheren Transport von Daten im Internet zu (hoffentlich ebenfalls abgesicherten) Kommunikationspartnern kann man Produkte mit Ende-zu-Ende Verschlüsselung einsetzen. Z.B. PGP für Email-Austausch.

Die Verschlüsselungen, bei denen die NSA zum Zeitpunkt der letzten Snowden-Papiere noch Probleme hatte sind Truecrypt, PGP/GPG, ZRTP für sicheres Telefonieren (z.B. in Redphone) und für Messaging alle Produkte auf der Basis von OTR (off the record) messaging (hier die Liste der Implementierungen). An anderer Stelle ist eine Diskussion über die Sicherheit der vielen anderen Messaging-Systeme. Gemeinsam haben diese Protokolle folgende Features: Sie sind End-to-End und die Schlüssel liegen beim End-Anwender, d.h. nicht bei einem großen Anbieter, der angegriffen oder unterwandert werden könnte. D.h. dies scheint gute Strategie gegen das Abgehört-Werden zu sein.

Natürlich ist auch die Position richtig, die hier 2016 in einem Vortrag präsentiert wird: Wer explizite Verschlüsselungen wie PGP nutzt ist für die Abhörer deutlich sichtbar, auch wenn sie nicht an die Inhalte kommen. Wer anderseits PGP nicht nutzt um nicht aufzufallen, der hat sich schon an die Überwachungsgesellschaft angepasst, die Überwacher sind ihrem Ziel wieder einen Schritt näher.

Auf ZDNet wurde da z.B. die Frage aufgeworfen, mit welchen Apps man sich dem Abhören entziehen kann: Top four anti-surveillance apps. In dem Artikel werden 4 Smartphone Apps vorgestellt, die eine sichere End-to-End- (d.h. Peer-to-Peer) Verbindung aufbauen, die zwar über die öffentlichen Datennetze läuft, aber verschlüsselt ist und (hoffentlich) erst am Endpunkt (d.h. beim Gesprächspartner) wieder entschlüsselt wird. Die dort gelisteten Apps decken mehrere Kommunikationswege ab, von Gesprächen bis Text-Chats. Einige beruhen auf dem durchaus empfehlenswerten TOR-Projekt, mit dessen Hilfe die eigene IP-Adresse verborgen werden kann.

Eine andere Option, die eigene IP zu verschleiern sind die sog. VPNs (Virtual Private Networks). Sie erstellen einen Tunnel vom eigenen Gerät zu einem Endpunkt typischerweise in einem anderen Land. Sie werden z.B. auch verwendet, wenn ein Dienst im eigenen Land blockiert wird. Hier eine Warnung dass bei einer Untersuchung von 238 VPN-Apps im Playstore die meisten der von den Forschern analysierten Apps schwere Mängel aufweisen. So verschlüsseln ganze 18% den Datenverkehr gar nicht, nur 16% verschlüsseln IPv6-Pakete und 66% tunneln keine DNS-Anfragen. Einige manipulieren den HTTP-Verkehr um Werbung oder Tracking unterzubringen. Der Tipp: nur Apps von Herstellern verwenden, die eine gute Reputation genießen – auch wenn dies mit Kosten verbunden sein sollte.

 

Zusätzliche Anonymisierung durch TOR und Tails

TOR (The Onion Router) verschleiert den Ursprung eines Datenverkehrs im Internet dadurch, dass der Vekehr vom Webbrowser des Nutzers verschlüsselt über eine Reihe von Zwischenstationen (TOR-Servern verschlüsselt weitergeleitet wird, bis er bei einem TOR-Endpunkt wieder im offenen Internet erscheint (oder im TOR-Netz verbleibt und dort zu einer der dort verborgenen Website, einem sog. "Hidden Service" geleitet wird). Durch dieses ständige Weiterleiten zu immer anderen TOR-Servern ist es selbst für Angreifer wie die NSA, die einen großen Teil des Datenverkehrs mithören können, recht schwer, den Ursprung der Anfrage zu erkennen). D.h. die eigene IP-Adresse wird verschleiert. Mehr Details zu TOR schreibe ich an anderer Stelle.

Hidden Services sind Webserver, die im "richtigen" Web gar nicht zu finden sind, sie stellen das sog. Darknet dar. Diese Webserver finden sich unter der Endung .onion. Die meistgenutzte Website im Darknet ist übrigens Facebook. D.h. es finden sich nicht nur illegale Drogensites dort. Auch der als recht sicher eingestufte Mailservice Protonmail und der von mir genutzte deutsche Mailprovider Mailbox.org sind dort ebehso zu finden wie z.B. Suchmaschinen wie DuckDuckGo und Whistleblowing Websites. (hier eine Liste von Hidden Services)

Fehler bei der Nutzung von TOR

Der Artikel in Golem.de zeigt, wie selbst bei den Drogenhändlern im Darknet immer wieder falsche Tipps kursieren (der Artikel korrigiert die Fehler und könnte daher für TOR-Nutzer hilfreich sein).

Die falschen Tipps erklären evt. auch die durchaus häufigen Fandungserfolge selbst bei Darknet-Nutzern.

An anderer Stelle beschreibe ich, wie schwer wirkliche Anonymität im Internet ist.

An anderer Stelle auch mehr Beispiele zur Falle "Nicknames".

Allerdings stellt das Verschleiern der eigenen IP-Adresse allein noch keine Anoymität her, wie ich unter Spuren im Internet zeige - dafür sind die Trackingmöglichkeiten einfach zu zahlreich. Das bestätigen auch NSA-Researcher deren Aufgabe das Aufdecken von Darknet-Nutzern ist. Wenn genügend Daten verknüpft werden, kommt irgendwann die wirkliche Identität heraus, spätestens dann, wenn irgendwo bezahlt werden muss oder der Benutzer einen kleinen Fehler gemacht hat. Das wäre z.B. wenn sie ihren Facebook-, Twitter- oder Gmail-Account ein einziges mal ohne Nutzung von TOR aufgerufen haben und der Dienst dann die IP-Adresse in seinen Logs hat.

Eine recht gute Einführung zu TOR findet sich im Artikel Everything you need to know about using TOR. Auch der Artikel weist darauf hin, dass trotz der Nutzung von TOR z.B. immer noch Cookies gesetzt werden und andere Spuren im System bleiben können.

Daher sagen viele Profis, dass TOR nur in Verbindung mit Tails (The Amnesic Incognito Live System) sicher ist. Bei Tails handelt es sich um ein Linux System, das von einem nicht beschreibbaren Datenträger gestartet wird (CD-ROM oder USB-Stick mit Schreibsicherung) und auf dem wirklich keine Spuren, z.B. Cookies verbleiben können. Jeder Neustart liefert das Originalsystem. Das heißt, ich kann mir auch nichts abspeichern. Tails ist wirklich nur für die Kommunikation mit anderen im Internet gedacht (z.B. über Messagingdienste), kann aber dafür auch keine Spuren im Rechner hinterlassen. Wenn ich mir was abspeichern will, so muss ich ein separates Gerät verwenden, dass dann über eine Verschlüsselung wie Truecrypt oder Veracrypt separat gesichert ist. (An anderer Stelle schreibe ich über Plausible Denialbility.)

Wichtig: Es ist fraglich, ob jemand, der seine Privatsphäre bedroht sieht und eine verschlüsselte Kommunikation will, überhaupt ein Handy/Smartphone benutzen sollte. Denn ein Handy, egal ob anonyme Wertkarte oder Vertrag, muss um erreichbar zu sein, seinen Standort an die nächste Base Station liefern. Überwacher, die darauf Zugriff haben, können sich ein sehr schönes Bewegungsprofil erstellen und nach einigen Tagen Beobachtung ist sehr leicht, auf der Basis des Bewegungs- und Aufenthaltsprofils auch einen Namen dazu zu schreiben.

 
 

Ganz wichtig: 2-Faktor Authentisierung

Wer die Mail- oder Cloud-Dienste von Google, Apple, etc oder die verschlüsselnden Messenger Systeme benutzt, der sollte zum eigenen Schutz zumindest die 2-Faktor Authentisierung aktivieren.

Denn größer als die Gefahr dass die Admins ihre Mails lesen oder auf ihre Fotos zugreifen ist mit Abstand, dass Kriminelle ihnen den Account abnehmen wollen. Und falls das technisch nicht klappt, auch unter Zuhilfenahme des jeweiligen Helpdesks, viel schneller als Sie glauben würden, hier ein Beispiel.

Die Organisation AccessNow berichtet von Angriffen auf politische Aktivisten, denen (vermutlich) mittels Social Engineering-Angriffen ihre Twitter- oder Facebook-Accounts abgenommen wurden. Die Accounts werden dann von politischen Gegnern verwendet um die Aktivisten zu diskreditieren und Verwirrung zu verbreiten. 2-Faktor Login macht solche Angriffe deutlich schwerer.

Noch strenger: Hardware-Token Einsatz, z.B. Google Authenticator

2-Faktor Authentication kann aber immer noch Schwächen haben, z.B. wenn der 2. Faktor auf ein Smartphone gesendet wird, das auch für die Zugriffe genutzt werden. Dann reicht evt. der Diebstahl der Smartphones bereits für vollen Zugriff. Deswegen gibt es z.B. von Google einen Hardware-Token der entweder in einen PC/Laptop eingesteckt werden muss oder sich über Bluetooth mit dem Smartphone verbindet.

Über eine geeignete Software kann sogar verhindert werden, dass ein sehr mächtiger Angreifer den Datenverkehr mittels Man-in-the-Middle Angriff beim (möglicherweise staatlichen) Netzprovider abfängt.

Nachteil der erhöhten Sicherheit: Das Login ist deutlich komplizierter, man muss den Token immer dabei haben (und dabei sicher aufbewahren). Und selbst für den Fall dass man das Passwort vergessen hat oder den Token verloren ist der sog. Account-Recovery Prozess deutlich komplizierter (und damit weniger angreifbar - verglichen mit dem normalen Vorgang dass man sich über eine verlinkte zweite Mail-Adressen ein neues Passwort zuschicken lassen kann).

Ãœber Webmail-, Social Network- und andere Cloud-Dienste, in USA oder in Europa

Der Sicherheitsexperte Bruce Schneier fast die Problematik von Cloud-Diensten so zusammen: Meine Daten auf einem fremden Server.

Wer einen Webmailer nutzt, von dem liegen alle Emails unverschlüsselt bei dem jeweiligen Anbieter. Natürlich kann man einen Service wie Hotmail oder Gmail nutzen und als Inhalte immer nur verschlüsselte Daten senden (z.B. mit GnuPG), aber das bedeutet, dass bereits bei einer oberflächlichen Analyse dieser Account ganz laut ruft "ich habe was zu verbergen". Und außerdem ist das nicht wirklich praktikabel - das ist recht mühsam und die wenigsten Email-Partner können damit umgehen.

Email-Nutzer die nicht ganz transparent sein wollen sollten sich ernsthaft überlegen, ob eine kostenlose amerikanische Email-Adresse bei einem der großen US-Anbieter eigentlich die richtige Wahl für ihre wirklich private Kommunikation ist. Bitte bedenken Sie die alte Regel: "Da wo ich nichts zahle, da bin ich nicht Kunde sondern die Ware". Wollen Sie ihre persönliche Kommunikation wirklich zur Auswertung durch Datenhändler zur Verfügung stellen?

Es gibt als Alternative deutsche Anbieter die zwar nicht kostenlos, aber durchaus erschwinglich sind: 1 Euro pro Monat pro Mailbox. Die Stiftung Warentest hat 15 Dienste geprüft und 2 davon als sehr empfehlenswert beurteilt: Posteo und Mailbox.org. Diese Firmen unterliegen dem europäischen Datenschutzvorschriften und leben auch nicht davon, dass sie die Kundendaten für Werbung verwenden müssen. Ich persönlich bin seit einigen Jahren zufriedener Kunde von mailbox.org. Beide bieten Webzugang und die Unterstützung von Mailprogrammen wie Outlook oder Mozilla Thunderbird, und auch verschlüsselte Emails.

Email-Verschlüsselung ist leider auch nach Jahrzehnten der Verfügbarkeit immer noch nicht wirklich einfach zu nutzen. Hier ist eine Verlinkung auf einen Artikel der die alternativen Optionen zu Email-Verschlüsselung darstellt.

Eine wichtige Entscheidung ist, ob man die sicherste Methode verwenden will: nämlich Entschlüsselung der Mails nur auf dem eigenen Gerät zu Hause oder Entschlüsselung auch auf dem Webserver des Mailbetreibers. Beide oben empfohlenen deutschen Anbieter unterstützen beide Optionen. Bei Ver- und Entschlüsselung auf dem Webserver des Anbieters liegt natürlich der private Schlüssel (auch) dort. Ich selbst verwende GnuPG als Plugin zu Outlook, was aber den Nachteil hat, dass ich von unterwegs keine verschlüsselten Mails senden und entziffern kann.

Deutlich sicherer wäre es, wenn man alle Mails nur auf seinem eigenen Rechner speichert, z.B. mittels Thunderbird oder Outlook. Die Verbindung vom Mail-Client zum Mailserver lässt sich heute fast immer verschlüsselt konfigurieren, aber danach hört es leider schon wieder auf. Es wäre leicht, für die Kommunikation zwischen Mail-Servern TLS/SMTP mit entsprechender Server-Authentifizierung zu nutzen, dies wird aber leider häufig nicht getan. Außerdem hängt die Sicherheit dann von meinem Kommunikationspartner ab. Wenn dieser seine Mails auf Gmail hat, so ist damit nicht viel gewonnen.

Da ist mein Vertrauen zu den deutschen Anbietern schon deutlich besser, auch wenn deren Admins natürlich auf unverschlüsselte Mails durchaus zugreifen könnten.

Welche Spuren wir in Social Networks hinterlassen, das steht in: Privatsphäre und Social Networks.

Ein weiteres düsteres Kapitel sind die übrigen Cloud-Dienste, zu denen natürlich auch die iCloud zählt. Sie behaupten alle, dass die Daten sicher sind, weil sie verschlüsselt übertragen werden. Das stimmt sogar häufig, auch wenn es dabei manchmal Schwächen gibt (siehe der vorige Link), aber auf den Servern sind die Daten dann doch wieder weitestgehend im Klartext und damit für die Administratoren und die Behörden leicht zugänglich (mehr dazu im vorigen Link). Cloud Speicher können unproblematisch genutzt werden (sogar Dropbox) falls die Daten vor dem Versand auf den eigenen Systemen sicher verschlüsselt werden und diese Schlüssel nicht durch den Dienst "recovered" werden können.

Das heißt, letztendlich kann die Antwort nur sein: Wenn ich in der modernen Informationsgesellschaft voll mitspielen möchte und integriert sein will, dann kann ich meine Daten nicht gegen die Behörden schützen. Dies wäre nur durch entsprechende Gesetze möglich (wie wir sie in Europa ja trotz Angriffen wie die Vorratsdatenspeicherung zum Glück durchaus noch haben).

 
 

Wie kann ich als Internet-Nutzer meinen Daten-Footprint etwas reduzieren und etwas weniger transparent sein

Jetzt die Variante denen die vollständige Anonymität und Verschlüsselung zu mühsam ist, die aber trotzdem etwas weniger durchsichtig erscheinen wollen, nicht nur gegen über den Profis von der NSA, sondern auch denen von Facebook, Google, etc.

Der Artikel in der Futurezone "NSA hat Kryptografie nicht geknackt" gibt gute Hinweise. Erich Möchel sagt, dass auf keinen Fall Grund dafür besteht, jetzt zu sagen, die können ja eh alles lesen, jetzt es ist sowieso egal. Zitat: "Die NSA sind auch nicht die Mathematik-Götter, die das Universum neu entdeckt haben".

Und dann bringt er einen simplen Punkt den ich hier als Basis aufgreifen möchte: Verwenden Sie viele unterschiedliche Browser, denn die kommunizieren nicht miteinander. Facebook ist daran interessiert, was Sie sonst noch alles im Web anschauen. Das muss nicht sein (außer Sie wollen mit Likes und Shares ihren Friends ihr Websurfing transparent machen, dann betrifft Sie das Folgende kaum). Sie können 1 Browser, z.B. Safari, dafür verwenden, in Facebook immer eingeloggt zu bleiben, das ist bequem. Wenn Sie aber das Web-Surfing ansonsten mit Firefox machen, dann bekommt Facebook das nicht mit, ansonsten schon.

Der Autor schlägt vor, 1 Browser für Online-Banking und auch sonstiges Browsen zu verwenden, davon rate ich sehr ab. Denn Banking Trojaner holt man sich auf Seiten, auf denen Werbung geschaltet ist, z.B. Zeitungen oder Kochrezepte oder Wetter, oder . . . Ich verwende 1 Browser dediziert nur für Banken, dort kann ich mir kaum einen Browser-plugin "eintreten" (Trojaner sehr wohl, siehe Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone)). D.h. egal wo ich vorher war, wenn ich meinen dedizierten Chrome öffne mit dem ich nur zu Banken gehe, so bin ich immer noch relativ sicher. Der Autor schlägt vor, den "verräterischen Chrome"-Browser für Google Websites zu reservieren (die wissen eh, was Sie auf ihren Seiten tun), aber die anderen Aktivitäten durch Nutzung anderer Browser nicht zu Google zurückzumelden.

Sein Vorschlag, viele Schattenprofile anzulegen ist nur sinnvoll, wenn ich mich gegen die Schnüffeleien einzelner Dienste wehren will, die NSA kann über den Vergleich der IP-Adressen die Nick-Names sehr wohl zusammenführen. Wer eber über seine Spuren im Internet erfahren möchte oder über Privatsphäre in Social Networks, für den habe ich separate Artikel geschrieben.

Aber auch wenn es fast unmöglich ist, keine Spuren zu hinterlassen, so kann man sie jedoch reduzieren, z.B. indem man für die Suche DuckDuckGo nutzt. Dieser Dienst bezieht zum Teil seine Antworten von Google, aber sie speichern nicht, wer was angefragt hat. Gute Tipps zur Datenvermeidung gibt prism-break.org.

Hier ein Artikel aus 2017 mit einem sehr optimistischen Titel: How to encrypt your entire life in less than an hour. Ganz so einfach sehe ich das nicht, aber die Tipps sind nicht schlecht und erhöhen die Sicherheit auf jeden Fall.

 
 

Die "BetterCrypto-Expertengruppe" - White Paper zu praktischer Kryptografie

Von der Arbeit der Administratoren der Systeme die wir im Internet nutzen hängt extrem viel ab. Ich kann mich als Internetnutzer nur wenig schützen, wenn die Websites auf die ich mich verbinde, ihre SSL (oder besser TLS) Einstellungen nicht korrekt gemacht haben. Leider hakt es dabei immer noch sehr, 90% der Systeme im Web werden in kurzer Zeit gepatcht, aber die letzten 2% nie.

Hier gibt ein Link zu ausführlichen und konkreten Anleitungen für Techniker. Das PDF beschreibt config settings für alle wichtigen Systeme und Lösungen: Applied Crypto Hardening (Liste der inkludierten Lösungen auf Seite 5).

 
 

 

Eine juristisch-politische Lösung ist notwendig

Eines der größten Probleme bei der Umsetzung einer politischen Lösung ist das Theater der Angst, das bewusst erzeugt wird und das ich an anderer Stelle beschreibe.

An anderer Stelle berichte ich ausführlich, welche vielfältigen Spuren wir im Internet hinterlassen. Um ALLE diese Spuren zu verwischen oder gar nicht erst entstehen zu lassen wäre ein erheblicher Aufwand notwendig. Letztendlich müsste man aus der modernen Informationsgesellschaft aussteigen, denn beim Absichern von Kommunikation müssen die Gesprächspartner mitspielen auch mitspielen - ich kann verschlüsselte Emails nur mit Menschen austauschen, die auch zu diesem Aufwand bereit sind. Das mag für einige wenige Menschen akzeptabel sein, ist aber sicher nicht die große Lösung für die Gesellschaft.

Die große Lösung kann nur darin bestehen, dass die Wild-West-Mentalität, dass das nur marginal eingeschränkte Sammeln von Daten und das Tracken der Menschen im Internet legitim ist, gesetzlich eingebremst wird. Das betrifft die professionellen Datensammler genauso wie die Social Network-Betreiber und auch die (Sicherheits-)Behörden und "Law Enforcement".

Das könnte z.B. beim Datenschutz so aussehen, wie die neue geplante EU-Datenschutzverordnung das vorsieht, gültig aber bitte weltweit. Und beim Zugriff der Sicherheitsbehörden auf Kommunikationsdaten muss zurückgekehrt werden zu einem Stand, bei dem dringender Verdacht auf ein schweres Verbrechen, bestätigt durch einen unabhängigen Richter, besteht - auch weltweit.

Den Punkt, dass nur eine grundlegende Änderung der gesetzlichen Regelungen die Privatsphäre (die durch die Social Network + flächendeckende Überwachung durch Regierungen und Firmen verletzt wurde) wiederherstellen kann, den macht auch Bruce Schneier in 2 sehr guten Vorträgen: 12 Minuten Bruce Schneier auf TEDxund 1 Std Bruce Schneier in Lausanne bei der EPFL.

Sommer 2014 veröffentlicht eine kritische US-Organisation eine Studie zu den Kosten die die Überwachung für die Wirtschaft der USA, die Interessen der US-Außenpolitik und die grundsätzliche Sicherheit im Internet haben: Personal Privacy Is Only One of the Costs of NSA Surveillance. Natürlich ist auch diese Analyse nur aus Sicht und Interessenlage der USA geschrieben, aber aus genau diesen Interessen fordert die Studie, dass Garantien für die Privatsphäre von US- und Nicht-US-Bürgern benötigt werden, um diese Schäden für die USA zu beheben, bzw. zu begrenzen. (Der Artikel verlinkt auf den Gesamttext der Studie mit den Vorschlägen).

An anderer Stelle mehr zu wer hat die Macht im Internet?

 

Kann man sich gegen professionelle, d.h. gezielte Überwachungen und Angriffe überhaupt schützen?

Einige Antworten auf diese Frage gibt ein Mitarbeiter der kanadischen Organisation Citizen Lab, die sich um den Schutz von kritischen Journalisten bemühen, deren Geräte von ihren Regierungen, auch mit Hilfe von westlichen Zero-Day Händlern wie Vupen, FinFisher, Revulvn und Hacking Team infiziert und übernommen werden. Hier der Artikel Security for the High-Risk User.

Ursprünglicher Anlass dieses Artikels waren die Veröffentlichungen durch Edward Snowden (und spätere Whistleblower), die aufgezeigt haben, dass die Geheimndienste mit ihren Angriffen viel tiefer in die IT-Infrastruktur eingedrungen sind, als das vorher angenommen wurde. An anderer Stelle gibt es Details zu den Angriffen durch die NSA. Ebenfalls getrennt schreibe ich über die Frage, ob wir Verteidiger eigentlich noch in der gleichen Liga spielen wie die NSA?

Die Fragestellung nach "Schutz auch vor gezielten Angriffen durch Profis" versucht auch Krypto-Experte Matthew Green in einem ausführlichen Artikel zu bantworten (und zwar nach der Veröffentlichung einer neuen Serie von Snowden-Dokumenten im Spiegel). Seine Kernpunkte sind: es gibt 3 Methoden um Verschlüsselungen zu "knacken". Erstens der Angriff gegen die Mathematik dahinter, dies scheint auch der NSA nur in ganz wenigen Ausnahmefällen gelungen zu sein. Zweitens die Implementierung, d.h. Programmierfehler bei der Umsetzung der Mathematik, z.B. Angriffe die darauf beruhen, die Gegenstelle dazu zu bringen, eine andere, schwächere Verschlüsselung zu verwenden ("Fallback"). Solche Tricks werden vermutlich, wo möglich, häufig ausgenützt, können aber durch Patchen von Problemen wie Heartbleed behoben werden. Der dritte Angriff ist das Stehlen von Schlüsseln und das scheint eine der Hauptattacken gegen starke Verschlüsselung zu sein. Dies scheint eine der wichtigen Aufgaben ihrer Abteilungen für technische Angriffe zu sein.

Und in wichtigen Firmen hat die NSA Mitarbeiter an technischen Schlüsselpositionen, die für sie z.B. die Master-Schlüssel für die HTTPS-Verbindungen stehlen. Außerdem hält Matthew Green es für beachtlich, dass die NSA zum Zeitpunkt als die neuen Snowden-Papiere geschrieben wurden, noch keine größeren Fortschritte bei der De-Anonymisierung von TOR gemacht hatten. Die Anonymität in TOR verlässt sich darauf, dass es keinen Angreifer gibt, der eine große Zahl von Knoten und/oder deren Datenverkehr überwachen kann. Genau das scheint aber für die NSA der Fall zu sein, d.h. die Sicherheit von TOR gegen "durch die NSA abgehört werden" ist fraglich.

Anlass dieses Abschnitts waren ursprünglich die vielen Artikel in 2013 rund im PRISM, die immer wieder gute Tipps geben, ob und wie wir uns gegen solche Überwachungen schützen können. Viele der Artikel greifen aber zu kurz, d.h. sie geben schnelle Antworten wie z.B. Emails verschlüsseln und TOR einzusetzen; Lösungen,die aber oft nur sehr unvollständige Lösungen sind [Für alle, die auf verschlüsselte Emails umsteigen wollen habe ich an anderer Stelle ein paar Tipps]. (Der hier verlinkte Artikel bringt übrigens einige Beispiele von österreichern, die überwacht wurden und denen z.B. die Einreise in die USA verweigert wurde.) Hier übrigens der Artikel von Secorvo in Deutschland, der (wie üblich) sehr korrekt, umfassend und voll mit guten Tipps ist: Secorvo Newsletter August 2013.

Einen interessanten Artikel zur langfristigen Perspektive hat Wolfgang Michal geschrieben: Rote Cyber-Fraktion im Jahr eins nach Snowden. Er diagnostiziert eine Ernüchterung bei vielen ehemals Internet-Begeisterten, die zu einem Abrutschen in eine militante Netzguerilla münden könnte (Frage: Ist der Sony Angriff ein erstes Zeichen oder war das wirklich Nordkorea?).

 


Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.