IT & IT-Sicherheit: Ausführliche Ergänzungen zum Kapitel 6.4 von Michael G. SCHMIDT, IT-Experte, Datenschützer und Journalist

Vorbemerkung – von Johannes LUDWIG:

Sicherheit im Internet gibt es oder kann es – vermutlich jedenfalls – nicht zu 100% geben. Wer sich etwas Schlaues einfallen lässt, muss damit rechnen, dass ein anderer – irgendwann – das wieder knackt. Das Ganze ähnelt dem sagenumwobenen Wettlauf zwischen Hase und Igel. Und nur wenn der Igel richtig clever ist, kann er – vorübergehend jedenfalls – einen (kleineren oder auch größeren) Vorsprung an Zeit und Know-how heraussholen.

Ob und inwieweit der Hase da mitmacht, hängt auch davon ab, wie intensiv er an dem interessiert ist, was der Igel treibt. Insofern gilt die grundsätzliche Empfehlung Nr. 1: Der Umfang an Datensicherung und technischen Vorkehrungen, um nIcht beobachtet werden zu können, hängt davon ab, wie sensibel das Thema ist, an dem man arbeitet. Bzw. wie sensibel das von anderen gesehen wird, die sich dafür interessieren (könnten). Also der Hase bzw. die (vielen) Hasen. So ist diese ‘Philosophie’ auch im Buch auf S. 215 skizziert: potenziell mögliche Maßnahmen sind als Option zu verstehen.

Dass das, „was gedacht werden kann, auch gemacht wird“, hat auch Michael HANGE, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), deutlich zum Ausdruck gebracht: in einem Interview im SPIEGEL (H. 32/2014; S. 32 f). Darauf sollte man sich einstellen.

Wie die technischen Probleme im Detail aussehen und was es – tatsächlich, wenn überhaupt – an technischen Vorkehrungen – derzeit – gibt, wird im Folgenden beschrieben von Michael G. Schmidt, einem IT-Experten und Datenschützer, der zugleich als Journalist arbeitet. U.a. für das netzwerk recherche. Er ist auch Mitbetreiber von www.JoSec.de – IT-Security für Journalisten. Dort finden sich weitere Materialien.

Michael G. SCHMIDT betreut dieses Kapitel und hält es auf dem laufenden Stand. Weil es umfangreich ist, steht eine Gliederung voran.

***********

Recherche mit Computern

Rechner vorbereiten:

  • Betriebssysteme
  • BIOS und UEFI
  • Sichere Passwörter erstellen
  • Speichermedien „reinigen“
  • Verbindung nach außen
  • Kamera und Mikrofon
  • PC mit Internetzugang
  • Etwas mehr Sicherheit durch einen offline PC
  • Virtuelle Maschinen
  • Konfigurationsvorschlag
  • Daten speichern
  • TrueCrypt
  • LUKS

Sicherungsmaßnahmen für die Kommunikation mit dem PC

Recherche im Internet
Identifikation von außen:

    • IP-Adresse
  • MAC-Adresse

Sicherer Datenverkehr:

  • 2 neue Entwicklungen (2014): Detekt und Nitrokey
  • Verstecken mit TOR
  • JonDoNym – Alternative zu TOR
  • Sicherer E-Mailen
  • Grundsätzliches
  • Es gibt Abhilfe
  • Thunderbird mit OpenPGP
  • GPG4win
  • Noch einfacher – Tutanota
  • Alternative Bitmessage
  • Steganographie – Daten in Bildern und Musik verstecken

Auch wichtig für sicherere E-Mails:

  • Keine Empfangsbestätigung
  • Kein HTML für E-Mails
  • Keine Bilder automatisch nachladen
  • Nur Anbieter mit „Perfect Forward Secrecy“ nutzen

Datenkraken vermeiden

Möglichst nie mit eigener Identität

Telefonieren:

  • Festnetz
  • Handys und Smartphones
  • Wie ein Smartphone ohne Mikrofon zur Wanze mutiert
  • Sprachbefehle und Diktieren
  • Grundlegende Hinweise
  • Apps
  • SMS extra
  • Telefone

*****

Recherche mit Computern

Aus Sicherheitsgründen empfiehlt es sich zwei separate Computer für a) Recherche und b) Arbeiten am konkreten Fall zu nutzen. Ein Recherche-Computer ist durch seinen Zugang zum Internet besonders leicht angreifbar. Daher sollten Sie Ihre Rechercheergebnisse lieber auf einem Rechner ablegen, der keine Verbindung zum Internet hat.

Rechner vorbereiten:

Betriebssysteme

Die gängigsten Betriebssysteme sind Microsoft Windows, iOS auf einem Apple Macintosh und Linux. Es empfiehlt sich, das eigene Betriebssystem immer auf dem neuesten Stand zu halten. Welches Sie einsetzen ist Geschmacks-, oftmals auch „Glaubenssache“. Schlecht sind sie alle nicht, allerdings fiel iOS im Frühjahr 2014 dadurch auf, dass bekannte Sicherheitslücken lange Zeit unbeachtet blieben. Mein Favorit ist Linux, weil es durch seine Struktur die meiste Sicherheit bietet. Für den „normalen“ Betrieb empfehle ich hier Ubuntu, am besten in einer LTS-Version. LTS steht für „Long Term Support“, dass heißt, dass es besonders lange Zeit Sicherheitsupdates für diese Version gibt: http://www.ubuntu.com/download/desktop

 BIOS und UEFI

Bevor Sie mit Ihrer Arbeit beginnen, sollten Sie Ihre Rechner sicher konfigurieren. Dazu gehört als Erstes, dass Sie im BIOS oder UEFI die Möglichkeit blockieren, dass Ihr Rechner von einer CD/DVD oder einem externen USB Gerät gestartet werden kann. BIOS steht für Basic Input Output System. Diese Bezeichnung ist inzwischen nicht mehr aktuell und findet sich bei älteren Rechnern. Bei modernen Computern finden Sie das Unified Enhanced Firmware Interface. Beides sind Bereiche mit Einstellungen, die dem Computer sagen, dass er ein Computer ist, welche Maus und Tastatur und andere Geräte an ihn angeschlossen sind.

Sie erreichen diese Einstellungen kurz nach dem Einschalten des Computers. Die dafür notwendigen Tastenkombinationen lesen Sie beim Start auf dem Bildschirm. Häufig sind dies die F2 und die Entf Tasten die Sie möglichst schnell nach dem Start des Rechners drücken müssen. Diese Einstellungen sind wichtig, weil Sie hier auch die Reihenfolge festlegen, welche Speichermedien der Rechner zuerst abfragt um ein Betriebssystem zu starten. Die Formulierung „ein Betriebssystem“ ist bewusst anstelle von „Ihr Betriebssystem“ gewählt. Wenn ein potentieller Angreifer eine CD/DVD oder ein USB-Speichermedium an den Rechner anschließt, kann er darauf ein eigenes Betriebssystem abgelegt haben und den Rechner damit starten.

Das macht es möglich, alle Daten Ihrer Festplatte auszulesen, und zu kopieren, ohne Passwörter zu kennen. Auch Ihr Startpasswort kann ein Angreifer so verändern. Sollte der Angreifer das Startpasswort verändern, merken Sie das natürlich. Es geht aber auch raffinierter – mit der Software „ophcrack“, die Sie kostenlos aus dem Internet laden können (http://ophcrack.sourceforge.net/). Wenn Sie einen Windows-Rechner damit starten, verrät Ihnen der Bildschirm innerhalb kürzester Zeit nicht nur, welche Benutzer auf diesem Rechner registriert sind, sondern auch deren Passwörter, auch kryptische. Sicherer ist hier das Betriebssystem Linux.

Sichere Passwörter erstellen

Daher ist es unabdingbar, auch den Zugang zum BIOS oder UEFI mit einem guten Passwort zu schützen. Wer es sich nicht zutraut, ein sicheres Passwort selber zu generieren, der kann das Programm „pwgen“ nutzen. Es erstellt auf dem eigenen Rechner Passwörter unterschiedlicher Sicherheitsstufen, die Sie vorher selber einstellen können (http://pwgen-win.sourceforge.net/). Generieren Sie NIE Passwörter online, weil Sie anhand Ihrer „IP-Adresse“ und anderer Faktoren wie der Nummer Ihrer Netzwerkkarte oder an Hand des Cache Speichers Ihres Browsers identifizierbar sind und potentielle Angreifer dann gleich wissen, zu welchem Rechner das frische Passwort gehört.

Sie sollten darauf achten, dass Sie für jede Anwendung, jeden Bereich, eigene Passwörter nehmen. Sonst könnte jemand Ihre digitale Identität rauben, indem er mit einem Passwort Ihre Zugänge zu sozialen Netzwerken, Onlinegeschäften und E-Mailadressen übernehmen kann. Es ist schwierig sich eine große Menge komplexer Passwörter zu merken. Daher gibt es Programme wie „KeePass“ (http://keepass.info/), in denen Sie Passwörter speichern können. Damit müssen Sie sich wiederum nur ein einziges Passwort merken, denn KeePass steuert zu jeder Anwendung das richtige Passwort automatisch bei, wenn Sie es wollen. Wenn Sie KeePass zusätzlich auf einem USB-Stick bei sich tragen, können Sie auf einfache Art Ihr digitales Leben schützen. Denken Sie dabei auch daran, Ihre Passwörter in möglichst kurzen Abständen zu erneuern. Sinnvoll sind etwa alle drei Wochen.

Absolut sichere Passwörter gibt es nicht, denn es gibt Programme, die sehr gut darin sind Passwörter zu knacken. Kostenlos und „state of the art“ sind hier „John the Ripper“ (http://www.openwall.com/john/), Hydra (https://www.thc.org/thc-hydra/) oder „oclHashcat-plus“ (http://hashcat.net/oclhashcat/).

Speichermedien “reinigen”

Bevor Sie mit Ihrer Arbeit beginnen, sollten Sie Ihre Speichermedien reinigen. Damit sind die Festplatte und Sicherungsmedien wie USB-Sticks oder externe Festplatten gemeint. Beides nenne ich im weiteren Verlauf nur Festplatte.

Entgegen weitläufiger Auffassung reicht es NICHT aus, eine Festplatte zu formatieren um alle Daten darauf zu löschen. Beim Formatieren unterscheidet man zwischen „Lowlevel“ und „Highlevel“ Formatierung. Die Lowlevel Formatierung schreibt eine neue Aufteilung von Spuren und Sektoren in den Startbereich der Festplatte. Die Highlevel Formatierung ist eine Formatierung, die ein Betriebssystem vornimmt. Sie löscht lediglich alle Einträge im „Inhaltsverzeichnis“ der Festplatte. Bei beiden Varianten ist es denkbar, dass vorhandene Daten wiederhergestellt werden können. Somit bestünde die, zumindest theoretische Gefahr, dass Schadsoftware reaktiviert werden könnte. Besonders groß ist dieses Risiko bei SSD (Solid State Disks) und USB-Sticks, die auf Grund Ihrer Struktur besonders viele Daten nach einer Formatierung „behalten“.

Weiterhin haben moderne Festplatten oft zwei geschützte Bereiche. Den DCO (Device Configuration Overlay) und die HPA (Host Protected Area). Der DCO ist eher unverdächtig, da er dafür vorgesehen ist, technische Daten für die Festplatte zu speichern. Mit Hilfe der Daten des HPA können aber auch „gelöschte“ Dateien auf der Festplatte wiederhergestellt werden, da beide Bereiche von einer Formatierung NICHT betroffen sind. Der HPA kann also auch gezielt ausgenutzt werden.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat auf seiner Site folgende Hinweise zum Löschen von Daten hinterlegt:

So löschen Sie Daten richtig:

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html

Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02167.html

Überblick über Methoden zur Löschung und Vernichtung von Daten:

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02433.html

Ebenfalls interessant zu diesem Thema ist die Technische Leitlinie des BSI mit der Bezeichnung „BSI – TL 03420 Version 2.0“ oder neuer, die bisher nicht auf der Homepage eingestellt war. In Kurzform heißt das, dass Daten durch Software nur mit „Dariks’s Boot and Nuke“ (DBAN – http://www.heise.de/download/dariks-boot-and-nuke-dban.html) oder dem Programm „Parted Magic“ (https://partedmagic.com/downloads/) sicher zu löschen sind. Wenn Sie damit Daten löschen, achten Sie darauf, die Länge der Sektoren richtig einzustellen, damit auch wirklich alle Daten gelöscht werden. Es reicht nicht aus, Daten mit Nullen „0“ zu überschreiben. Um Daten wirksam zu löschen, müssen Sie sie mindestens einmal, besser zweimal, mit Zufallszahlen überschreiben.

Als „sicheres“ Löschen gilt auch, Daten auf einem Speichermedium hochgradig zu verschlüsseln. Lesen Sie dazu weiter unten den Abschnitt „Daten speichern“.

Stecken Sie NIE einen USB-Stick, den Sie nicht selbst vorher gereinigt haben, an Ihren PC, egal ob es ein on- oder offline PC ist. Eine beliebte Einbruchsmethode ist es, auf einem USB-Stick, Programme abzulegen, die selbst aktiv werden, sobald sie an einen Rechner angeschlossen sind. Das kann Ihren Rechner angreifbar machen. Es ist sogar schon mehrfach vorgekommen, dass entsprechend präparierte USB-Sticks „gefunden werden sollten“. Für externe Festplatten und CD/DVD gilt natürlich das Gleiche. Wenn Sie dafür dennoch Bedarf haben, setzen Sie diese „Geräte“ nur in einer „virtuellen Maschine“ ein. Dazu weiter unten mehr.

 Verbindung nach außen

Sollte Ihr Computer oder Notebook über „WiFi“, „Bluetooth“, RFID (Radio Frequency Identification) oder „NFC“ (Nearfield Communication) verfügen, schalten Sie es grundsätzlich ab. Nur, wenn Sie eine dieser Funktionen konkret benötigen, aktivieren Sie diese. Sonst sind es Einfallstore für potentielle Angreifer.

Sollten Sie GPS in ihrem Computer oder Notebook eingebaut haben, schalten Sie auch dieses ab, sofern Sie es nicht konkret benötigen, da Sie sonst zu orten sind und Dritte so in der Lage sind ein Bewegungsprofil von Ihnen zu erstellen. Fotos die Sie mit den genannten Geräten aufnehmen, würden mit großer Wahrscheinlichkeit in den EXIF-Daten auch die Geoposition speichern. Das kann unerwünscht sein. EXIF-Daten sind Daten, die als zusätzliche Informationen in Bildern gespeichert sind.

Kamera und Mikrofon

Sollte Ihr Notebook oder Tablet eine eingebaute Kamera haben, kleben Sie diese mit einem schwarzen Klebestreifen, am besten Isolierband wie es Elektriker benutzen, zu. Die Kamera könne sonst zu einem Spion in Ihrem persönlichen Bereich mutieren. Wenn Ihr Rechner ein Mikrofon eingebaut hat, schalten Sie es aus, um sich keine „Wanze“ in Ihr Umfeld zu holen

PC mit Internet-Zugang (Online-PC)

Wenn Sie einen PC mit Internetzugang nutzen, sollten Sie neben einem aktuellen Antivirenprogramm möglichst auch eine Hardware-Firewall nutzen. Die Firma Cisco hat bei Firewalls einen recht guten Ruf, ist aber auch nicht bei den preisgünstigen Produkten anzusiedeln.

Um ins Internet zu gelangen empfiehlt es sich den Zugang über einen deutschen Provider zu verwirklichen, weil der an die strengen deutschen Datenschutzbestimmungen gebunden ist. Wenn es möglich ist, verwenden Sie einen Router, der sowohl den Zugang per Kabel als auch per W-LAN ermöglicht. Das W-LAN sollte mit der höchsten möglichen Verschlüsselung gesichert sein. Derzeit ist das WPA2. Sie bauen Ihre eigene Sicherheit aus, indem Sie Ihrem „Wohnumfeld“ erlauben Ihren Internetzugang per W-LAN und natürlich einem sicheren Passwort, zu nutzen, während Sie selber einen Kabelanschluss verwenden um schwerer „belauscht“ werden zu können. W-LAN Verbindungen sind mit Programmen wie der „aircrack-ng“ Suite (http://www.aircrack-ng.org/) angreifbar. Dadurch, dass Sie anderen erlauben Ihren Internetzugang zu nutzen, erzeugen Sie viel „Verkehr“ auf Ihrem Anschluss. Dass macht es schwieriger ein Profil von Ihnen anzulegen, da ja die Interessen vieler Anderer mit im „Durchgangsverkehr“ erscheinen.

Wähnen Sie sich aber nie sicher dabei, denn es gibt Distributionen wie blackarch (http://www.blackarch.org/) oder Kali Linux (http://www.kali.org/), die bis zu über 600 professionelle Hackerprogramme enthalten, die auch von Nachrichtendiensten genutzt werden. Wer sich damit auskennt, „kommt überall rein“. Wenn Sie die Verlässlichkeit Ihres eigenen Systems testen wollen, hilft Ihnen dabei das Buch „Kali Linux Cookbook“ von PACKT publishing (http://www.packtpub.com/networking-and-servers/kali-linux-cookbook). Das würde ich nicht schreiben, da der Preis sich ändern kann. Wer Interesse daran hat, sieht nach.

Etwas mehr Sicherheit durch einen Offline-PC

Ihre eigentliche Arbeit können Sie schützen, indem Sie sie an einem offline PC ausführen. Dies reduziert das Risiko einer Ausspähung. Dennoch besteht die technische Möglichkeit, dass unerwünschte, heimliche Besucher Ihren offline PC „aufrüsten“ ohne das Sie es merken. Das könnte durch eine per USB angesteckte W-LAN-Antenne, oder eine heimlich eingebaute W-LAN-Karte passieren. Ein USB-Adapter ist heute kleiner als der Nagel eines kleinen Fingers. Sie würden diesen nur finden, wenn Sie danach suchen. Ebenso könnten „Stecker“ zwischen Tastatur und Computer oder Monitor und Computer eingebaut werden, die selbstständig Daten weiter funken oder zumindest bis zur „Abholung“ speichern. Noch leichter ist es, wenn Sie eine Funkmaus oder Funktastatur verwenden, da Angreifer deren Signale abfangen können.

Es hilft auch nichts, wenn Sie in ihrem Umfeld gar kein W-LAN aktiviert haben. Dieses kann per Handy und entsprechendem Verstärker „für Sie“ jemand anderes machen. So ein Handy in einem geparkten Auto hat über die Autobatterie sehr viel Strom zum funken.

Wer ganz auf Nummer sicher gehen will, der sollte eine mechanische Schreibmaschine benutzen.

Virtuelle Maschinen

Nicht jeder kann es sich leisten mehrere Rechner zu betreiben. Unterwegs ist dies nahezu unmöglich. Für dieses Problem gibt es eine Lösung. Sie können „virtuelle Maschinen“ installieren. Das heißt, dass Sie auf einem Rechner einen zweiten Rechner simulieren, den es physikalisch nicht gibt.

Für diese Simulation bieten sich zwei kostenlose Systeme an. Das sind der „VMWare Player“ (https://my.vmware.com/de/web/vmware/free#desktop_end_user_computing/vmware_player/6_0) oder die „Virtual Box“ (https://www.virtualbox.org/wiki/Downloads). Um den VMWare Player nutzen zu können, müssen Sie sich mit einer gültigen E-Mailadresse registrieren. Welche der beiden Versionen Sie nutzen ist Geschmackssache. Wenn Sie mehr Möglichkeiten haben wollen, können Sie diese durch ein kostenpflichtiges Upgrade erhalten.

Unter beiden Lösungen können Sie ein beliebiges Betriebssystem installieren, das, wenn Sie es richtig einstellen, keinen Kontakt zum physikalischen Rechner hat.

Konfigurationsvorschlag

Wenn Sie nur einen physikalischen Rechner nutzen möchten, dennoch Arbeit und Surfen trennen wollen, könnten Sie Ihren Rechner als Arbeitsrechner nutzen und eine virtuelle Maschine zum Surfen einsetzen. Diese Reihenfolge ist wichtig, weil Sie vom physikalischen Rechner aus die virtuelle Maschine kopieren können. Wenn Sie also mit dem physikalischen Rechner im Internet surfen und die virtuelle Maschine zum arbeiten nutzen, könnte ein potenzieller Angreifer Ihre virtuelle Maschine kopieren und hätte damit auf einen Schlag Ihren gesamten Arbeitsrechner kopiert.

Von der virtuellen Maschine aus ist allerdings der physikalische Rechner nicht sichtbar, wenn Sie alles richtig eingestellt haben.

Als Betriebssystem zum Surfen empfiehlt sich „tails“, das Sie sich möglichst von einer Heft-DVD besorgen sollten, weil die NSA die Seite von der Sie tails (https://tails.boum.org/) herunterladen können, mit ihrem Programm „XKeyscore“ überwacht und alle Besucher automatisch als „Extremisten“ einstuft, die anschließend in die Überwachung der NSA fallen: http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html. Tails hat den Vorteil, dass es alle „Spuren“ selbstständig löscht, wenn Sie die virtuelle Maschine ausschalten.

Daten speichern

Wenn Sie sich dazu entschließen einen PC zu nutzen, sollten Sie Ihre relevanten Daten verschlüsselt speichern. Die maximale Sicherheit vor Ausspähung bietet eine komplette Verschlüsselung der Festplatte, aber zumindest Ihre relevanten Dateien sollten Sie verschlüsseln. Ein Risiko für Ihre Daten besteht darin, dass Ihr Speichermedium mechanische Fehler bekommt. Dadurch, dass sich die Metallscheiben auf denen Ihre Daten gespeichert werden ständig drehen, unterliegen sie einer mechanischen Abnutzung. Irgendwann kann der Lese-/Schreibkopf nicht mehr exakt genug auf die einzelnen Sektoren zugreifen.Dann könnte es sein, dass Sie Ihre Daten nicht mehr entschlüsseln können. Daher empfiehlt es sich, regelmäßig Sicherungen anzulegen, die Sie an einem sicheren Ort lagern.

Vermeiden Sie den Einsatz WiFi-fähiger Speichermedien, weil es schon vorgekommen ist, dass auf diesen schon bei der Produktion versteckt Skripte abgelegt waren, mit deren Hilfe die Speichermedien von außen zu beherrschen waren. Das heißt, dass ein Angreifer die Daten von den betreffenden Medien ohne Ihr Zutun versenden oder manipulieren konnte.

Um Daten oder ganze Speichermedien zu verschlüsseln gibt es zwei Methoden, die empfehlenswert sind. Zum einen „TrueCrypt“ in der Version 7.1a und „LUKS“ (Linux Unified Key Setup).

TrueCrypt

TrueCrypt galt bis heute als sichere Möglichkeit Daten zu verschlüsseln. Sie sollten aber auch wissen, dass die Herausgeber die Entwicklung dieser Software im Frühjahr 2014 eingestellt haben. Daher ist es wichtig, die vorletzte Version „7.1a“ zu verwenden. Die aktuelle Version bietet nur noch einen stark eingeschränkten Funktionsumfang. Einige weitere Informationen zu TrueCrypt finden Sie am Ende der nachfolgenden Website http://www.heise.de/download/truecrypt.html verlinkt.

Truecrypt speichert Daten in Containern. Diese Container können wiederum Container enthalten und Sie können die Container so ablegen, dass Sie für einen unbefugten Betrachter unsichtbar sind. Für den Fall, dass jemand Sie zwingt einen Container zu entschlüsseln, bietet TrueCrypt die bereits erwähnte Möglichkeit eines Containers im Container. Dann geben Sie ein Passwort ein und es öffnet sich ein Container mit vermeintlich geheimen Daten. Das haben Sie vorher so festgelegt. Hätten Sie ein anderes Passwort eingegeben, hätte sich der zweite Container, mit den wirklich vertraulichen Daten geöffnet.

Jetzt gibt es aber neue Informationen zu TrueCrypt:

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat seinen Bericht zur Analyse von TrueCrypt vorgestellt. Der Bericht kommt zu dem Ergebnis, dass TrueCrypt in seinen letzten beiden vollständigen Versionen 7.0a und 7.1a 15 Sicherheitsmängel hat. Einer davon sei so schwerwiegend, dass der Gebrauch von TrueCrypt nicht als sicher anzusehen ist. Dies betrifft den Zufallszahlengenerator. Eine konkrete Alternative zu TrueCrypt benennt das BSI nicht. Es beschränkt sich auf den Hinweis, dass eine Zwei-Faktor-Authentifizierung aktuellen Sicherheitsstandards entspräche, und dass das Produkt TrustedDisk (der Firma Sirrix AG, die TrustedDisk im Auftrag des BSI entwickelt hat – d. Red.) diesen erfülle. TrustedDisk baut auf den Grundlagen von TrueCrypt 7.0a auf. Hier findet sich die Sicherheitsanalyse des BSI.

Während TrueCrypt allen Nutzern kostenlos zur Verfügung steht, verlangt die Sirrix AG für die Einzelplatzversion von TrustedDisk, mit Zwei-Faktor-Authentifizierung und drei Jahren Support, 600 Euro. Die bereits im Sommer 2014 am Rande der Datenschutzakademie des ULD (Unabhängiges Landeszentrum für Datenschutz in Schleswig-Holstein) angekündigte kostenlose Version von TrueCrypt, gibt es bis heute nicht. Ein Mitarbeiter der Sirrix AG nannte zwar immer wieder inoffiziell Termine, zu denen das kostenlose TrustedDisk erscheinen sollte, jedoch gibt es das kostenlose TrustedDisk bis heute nicht. Die kostenlose Version muss allerdings auch auf die Zwei-Faktor-Authentifizierung verzichten.

Eine kürzere Information findet sich bei heise.de

LUKS

LUKS können Sie sowohl unter Linux mit dem Programm „cryptsetup“ (http://linuxwiki.de/cryptsetup) als auch unter Windows mit dem Programm „FreeOTFE“ (http://www.heise.de/download/freeotfe-1136630.html) nutzen. LUKS verschlüsselt Ihre Daten und bietet Ihnen die Möglichkeit zur „Selbstzerstörung“ an. Wenn Sie ein vorher festgelegtes Passwort eingeben, vernichtet das System alle Schlüssel, die für die Entschlüsselung der Daten erforderlich sind. Die verschlüsselten Datenblöcke bleiben zwar bestehen, sind aber – nach derzeitigem Ermessen – nie mehr lesbar zu machen. Und auch deshalb empfiehlt sich die mehrfache Sicherung aller relevanten Daten – jeweils an geeigneten Orten. Zu letzterem finden sich Hinweise im Buch auf den Seiten 184, 205f, 222.

Sicherungsmaßnahmen für die Kommunikation mit dem PC

Elektronische Kommunikation ist immer angreifbar. Allerdings gibt es Möglichkeiten es potentiellen Angreifern schwerer zu machen. Davon sollen in den folgenden Abschnitten einige erklärt werden.

Recherche im Internet

Sicherheit fängt mit der Auswahl des Browsers an. Empfehlenswert sind der Mozilla Firefox und Google Chrome. Von Microsofts Internet Explorer (IE) und Apples Safari ist abzuraten. Firefox und Chrome erhalten in kurzen Abständen Updates von den Anbietern. Bei entsprechender Konfiguration erfolgt die Installation der Updates automatisch. Der Internet Explorer bleibt im Gegensatz dazu oft zu lange unverändert. Das führt dazu, dass Sicherheitslücken längere Zeit ausnutzbar sind. Im Frühjahr 2014 gab das Bundesamt für Sicherheit in der Informationstechnik sogar eine ausdrückliche Warnung vor dem Einsatz des IE heraus. Auch der Safari fällt immer mal wieder durch riskante Sicherheitslücken auf.

Außerdem sind Firefox und Chrome schneller und bieten mehr Möglichkeiten Sicherheits- und Recherchetools einzusetzen. Diese zusätzlichen Programme heißen Add-ons. Hier beschränke ich mich auf Erklärungen für den Firefox. Die Add-ons heißen für Google Chrome ähnlich und können über das Einstellungsmenü installiert werden.

Im Firefox wählen Sie den Menüpunkt Extras → Add-ons. Hier geben Sie im Suchfeld den jeweiligen Namen des Add-ons ein und nehmen die Installation vor, die selbsterklärend ist.

Empfehlenswert um die Sicherheit zu erhöhen sind beispielsweise folgende Add-ons:

  • Add Block Plus
    Dieses Add-on sperrt einen großen Teil lästiger Werbung aus, die auch immer ein „Spion“ sein kann.
  • Cookie Monster
    Cookie Monster löscht Cookies nach Beendigung einer Sitzung, oder lässt sie gar nicht erst zu. Das können Sie selber konfigurieren. Cookies sind Miniprogramme, die Informationen über Sie, Ihren Rechner und Ihr Surfverhalten speichern. Damit haben Beobachter die Möglichkeit ein Persönlichkeitsprofil von Ihnen anzulegen. Diese Cookies befinden sich im Browser selbst.
  • Ghostery
    Bei Ghostery streiten sich die Geister, denn, wenn Sie No Script nutzen, können Scripte nicht mehr ungehindert ausgeführt werden. Ich halte es dennoch für sinnvoll, weil auch vermeintlich freundlich gesonnene Seiten verseucht sein könnten. Ghostery löscht Flash Cookies, die auch LSOs (Local Shared Objects) heißen. LSOs haben etwa zehnmal so viel Speicherplatz wie herkömmliche Cookies und vor allem können sie Java Script ausführen, was richtig unangenehme Folgen haben kann. LSOs liegen in der Registry eines Windows Systems (Linux und Mac sind auch anfällig dafür). Um sie zu löschen, müssen Sie eine Adobe Flash Website aufrufen. Da sich der Pfad in der Vergangenheit geändert hat, überlasse ich es hier Ihrer Recherche den aktuellen zu finden.
  • No Script
    Diese Erweiterung ist besonders wichtig. Sie verhindert die Ausführung von Scripten in Ihrem Browser und auf Ihrem Rechner. Wenn eine Website ein Script ausführen will, bestimmen Sie manuell, ob sie das darf oder nicht. Sie haben die Wahl zwischen einer temporären oder dauerhaften Erlaubnis oder einem entsprechenden Verbot. So dass mit der Zeit alle Seiten, denen Sie vertrauen, ihre Scripte ungefragt ausführen dürfen.
  • RefControl
    Wenn Sie von einer Website eine andere aufrufen, verrät die vorhergehende Seite der nachfolgenden, von wo Sie gerade kommen. Das geht niemanden etwas an. Daher sorgt RefControl dafür, dass diese Daten entweder gar nicht, oder vollkommen falsche Daten übertragen werden, je nach Ihrer persönlichen Einstellung des Add-ons.
  • HTTPS-Everywhere
    Dieses Add-on finden Sie nicht über das beschriebene Menü. Sie müssen es von der Site der EFF (Electronic Frontier Foundation https://www.eff.org/https-everywhere) selbst installieren, was ähnlich einfach wie vorher beschrieben funktioniert. HTTPS-Everywhere gibt es zur Zeit für Firefox, Android, Chrome und Opera. Die EFF ist eine amerikanische Bürgerrechtsorganisation. HTTPS-Everywhere fragt, wenn Sie eine Website aufrufen, ob es diese auch über eine verschlüsselte Leitung zu haben gibt. Meistens ist das der Fall. Dann bekommen Sie die Site https://www.google.de statt http://www.google.de. Das ist wichtig, damit potentielle Angreifer sich nicht schon beim Aufruf einer Seite in Ihre Sitzung einschleichen können. Wenn Sie eine Seite unverschlüsselt aufrufen und von hier aus eine verschlüsselte Anmeldung durchführen, hat ein Angreifer leichtes Spiel, da er sich an dieser Stelle bereits in Ihre Sitzung eingeklinkt haben kann. Rufen Sie die Seite verschlüsselt auf, machen Sie es einem potentiellen Angreifer schwerer. Aber: Natürlich gibt es auch Programme, die solche Verbindungen knacken können.

Sicherheitswerkzeuge sind wichtig und gut. Allerdings machen Sie es potentiellen Angreifern auch leichter Sie zu identifizieren, denn mit jedem Aufruf einer Website überträgt Ihr Rechner Daten. Die Website https://panopticlick.eff.org/ verrät Ihnen, wie einmalig Ihr Browser ist. Je weniger Nutzer die gleichen Einstellungen haben wie Sie, desto leichter ist es Sie zu identifizieren. Daher sollten Sie mehrere Browserinstallationen vorhalten und je nach Einsatz abwägen, was für Sie wichtiger ist.

Ein weiterer Sicherheitshinweis betrifft den Cache Ihres Browsers. Das ist ein Zwischenspeicher in dem Daten zu Ihrem Surfverhalten abgelegt sind. Dadurch wird der Aufruf einiger Seiten beschleunigt. Die Daten des Cache nutzen im Moment vor allem Werbeunternehmen, denen es damit möglich ist, Sie mit einer Wahrscheinlichkeit von bis zu 97% zu identifizieren. Daher ist es empfehlenswert den Cache über „Extras → Einstellungen → Datenschutz“ regelmäßig, nach zwei drei Aufrufen von Websites, zu löschen. Stellen Sie beim „Reiter“ Datenschutz unter „Chronik“ ein, dass Sie immer den „privaten Modus“ verwenden und keine Cookies von Drittanbietern akzeptieren. Ein Drittanbieter Cookie wäre, wenn Sie www.amazon.de aufrufen und gleichzeitig einen Cookie von www.zalando.de erhielten, obwohl Sie diese Seite nie angesurft haben. Danach stellen Sie ein, dass Firefox nie eine Chronik anlegen soll. Beim Eintrag „Adressleiste“, am Ende der Maske, stellen Sie ein, dass die Adressleiste nie Vorschläge machen soll, denn dafür wäre es auch notwendig, einen Teil Ihrer Surfdaten zu speichern.

Sie sollten sich nicht in falscher Sicherheit wähnen, wenn Sie auf Websites irgendwelche Sicherheits- oder Gütesiegel finden. Die machen Hackern die Arbeit lediglich leichter, weil die dann auf Anhieb wissen, mit welchen Angriffen Sie auf diesen Seiten keine Chance haben. Dann können sie sofort zu effizienteren Methoden greifen. Echte Sicherheit bieten solche Siegel nie.

Identifikation von außen:

IP-Adresse

Wenn Sie mit dem Internet Kontakt aufnehmen, gibt es zwei wesentliche Aspekte, die zu Ihrer Identifikation beitragen können. Das sind zum einen die IP-Adresse. Die sollen Internetprovider nach dem Willen der EU einige Monate speichern, um in der Zeit nachweisen zu können, dass eine bestimmte IP-Adresse zu einem bestimmten Nutzer gehört. Das ist die bekannte „Vorratsdatenspeicherung“. Die IP-Adresse erhält in der Regel der Router über den Sie ins Internet gehen. Je mehr Rechner über einen Router ins Internet gehen, desto schwieriger ist es, nachzuvollziehen, wer tatsächlich welche Kommunikation geführt hat.

MAC-Adresse

Die MAC-Adresse (Media – Access – Control) ist die Adresse Ihrer Netzwerkkarte, egal ob es eine W-LAN- oder eine Kabel gebundene Karte ist. Die Adresse ist weltweit einmalig. Sie können die Adresse aber ändern. Dafür gibt es mehrere Möglichkeiten. Am einfachsten dürfte es unter Linux mit dem Programm „macchanger“ gehen. Für Windows 7 gibt es ebenfalls ein entsprechendes Programm, über das ich jedoch nichts sagen kann. Wenn Sie für eine Sitzung die MAC-Adresse ändern, findet niemand diese Netzwerkkarte je wieder, da es sie real gar nicht gibt. Arbeiten können Sie dennoch.

Sicherer Datenverkehr

2 neue Entwicklungen (2014): Detekt und Nitrokey

1) Detekt

Detekt ist eine Software die Spuren von Staatstrojanern auf dem untersuchten Windows Rechner finden kann. Hinter Detekt stehen namhafte Organisationen, die für Menschenrechte eintreten. Von daher ist davon auszugehen, dass sie vertrauenswürdig ist.

Grundsätzlich ist das ein guter Ansatz, der für viele Interessierte von Bedeutung ist. Wer also den Verdacht oder die Befürchtung hat, dass ein Staat ihn ausforscht, sollte Detekt ausprobieren. Bedauerlich an Detekt ist, dass die Anbieter selber häufig im Konjunktiv sprechen. Es gibt also keine Sicherheit, was das Ergebnis von Detekt anbelangt. Ein Anhaltspunkt kann eine Untersuchung mit Detekt auf jeden Fall sein.

2) Nitrokey

Der Nitrokey ist ein USB-Stick den eine Firma vertreibt, die sagt sie säße in Berlin. Das Impressum der Website verweist jedoch nach Biberach. Der Nitrokey bietet die Möglichkeit E-Mails auch an fremden Rechnern zu verschlüsseln, Einmal-Passwörter zu verwenden, sich an unterschiedlichen Logins zu authentifizieren. Das klingt alles interessant und positiv.

Die Passwörter und Schlüssel erstellt eine implementierte Smartcard, von der die Anbieter behaupten, dass sie dafür sorge, dass die geheimen Schlüssel vor Virenbefall und  Ausspähung geschützt seien. Vorausgesetzt, dass diese Angaben stimmen und sich dauerhaft verifizieren lassen, könnte der Nitrokey ein interessantes Instrument für vertrauliche Daten und vertrauliche Kommunikation sein.

Mich stört an dem Nitrokey zum einen der hohe Preis und die Darstellung der Anbieter, die mit absoluten Aussagen nicht geizt. Wie können sie so sicher sein, dass ausgerechnet der Nitrokey unangreifbar ist, obwohl sie selbst eine Reihe kompromittierter Systeme auflisten. Zumal der Nitrokey noch in der Beta-Phase steckt.

Für die Verschlüsselung von E-Mails sieht der Nitrokey auch noch die Funktion S/MIME vor. Obwohl zu befürchten ist, dass diese bereits seit längerem von der NSA geknackt wurde.
Für die Verschlüsselung von Datenträgern und Dateien setzt der Nitrokey TrueCrypt ein. Die öffentlich finanzierte Untersuchung von TrueCrypt hat keine Programmierfehler aufdecken können. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat jedoch bei der Sirrix AG ebenfalls eine Untersuchung von TrueCrypt in Auftrag gegeben. Diese Untersuchung ist als vertraulich eingestuft und öffentlich nicht zugänglich. Es gibt Gerüchte die sich auf diese Studie beziehen und behaupten, dass die Sirrix AG Fehler im Programmcode von TrueCrypt gefunden hat. Wenn das stimmt, würde die Weigerung der Entwickler den Quellcode von TrueCrypt als OpenSource zur Verfügung zu stellen, verständlich sein. Diese Forderung kam Mitte 2014 auf, als die Entwickler von TrueCrypt kurzfristig dessen Entwicklung einstellten. Damals empfahlen sie ein Microsoft Produkt zur Verschlüsselung zu nutzen.

Zusammenfassend ist zu sagen, dass jeder selbst entscheiden muss, ob er für Funktionen die er auf dem eigenen (mobilen) Rechner implementieren kann, das Geld für einen Nitrokey ausgibt.

So bleibt als Empfehlung: Auf die bisher bewährten Sicherungstechniken zurückzugreifen. Zum Beispiel:

Verstecken mit TOR

Es gibt Möglichkeiten sich beim Surfen im Internet zu „verstecken“. Am bekanntesten dafür ist die Software TOR (The Onion Router – https://www.torproject.org/). Auch die Website von TOR wird von der NSA überwacht. Wenn Sie also nicht in das Fadenkreuz der NSA geraten wollen, besorgen Sie sich TOR über eine Heft DVD. Sehen Sie dazu auch die Ausführungen zu tails am Ende dieses Abschnitts. Für TOR gilt das Gleiche. Das TOR-Projekt verschlüsselt Ihre Anfragen nach Webseiten und schickt sie über mehrere Server, die die Anfrage jeweils neu verschlüsseln und mit einem neuen Schutzmantel umgeben. Ein Exit-Node leitet die Anfrage ins Internet weiter und so erreichen Sie einen hohen Grad an Anonymität. Dennoch sollten Sie auch diese Option kritisch betrachten. Einen Artikel dazu finden Sie hier: http://www.heise.de/security/meldung/Tor-Benutzer-leicht-zu-enttarnen-1949449.html

TOR für unterwegs bietet das Programm „tails“, das Sie ebenfalls von der Seite des TOR-Projects herunterladen können. Besser ist es jedoch, wenn Sie sich die Programme von
Heft-DVDs besorgen, weil die NSA die Site mit ihrem Programm „XKeyscore“ überwacht und alle Besucher automatisch als „Extremisten“ einstuft, die anschließend in die Überwachung der NSA fallen: http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html

JonDoNym – Alternative zu TOR

Es gibt eine Alternative zu TOR. Das ist das Projekt JonDoNym https://www.anonym-surfen.de/. JonDoNym ist kostenpflichtig und aus dem kostenlosen Projekt JAP hervorgegangen. Im Gegensatz zu TOR ist es ein rein deutsches Projekt, allerdings soll in JAP bereits eine Hintertür für „Strafermittler“ eingebaut gewesen sein. Damals galt dieser Aspekt als weniger bedeutsam, heute sollte sich jeder fragen, ob das nicht die Hintertür ist, die einen in Schwierigkeiten bringen kann

Sicherer E-Mailen

E-Mails sind wie Postkarten, da sie in der Regel unverschlüsselt übertragen werden. Beachten Sie bei dieser Einschätzung die Differenzierung zwischen Übertragungsweg und Inhalt der E-Mail. Übertragungswege sind zunehmend verschlüsselt, die Nachrichten selbst sind meistens immer noch Klartext. Stellen Sie als Übertragungswege in Ihrem E-Mailprogramm immer „Start-TLS/SSL“ ein. Diese Einstellung sollten Sie sowohl für den Empfang als auch für den Versand von E-Mails wählen, denn das macht es potentiellen Angreifern schwerer Ihre E-Mails auf dem Transportweg zu ergaunern.

Grundsätzliches

Nutzen Sie möglichst E-Mailadressen, die bei deutschen Providern gehostet sind, da diese den strengen deutschen Datenschutzvorschriften unterliegen. Provider wie Google, Yahoo oder Microsoft werten Ihre E-Mails semanthisch aus und erstellen damit Persönlichkeitsprofile von Ihnen.

Es gibt Abhilfe

Es gibt unterschiedliche Möglichkeiten E-Mails zu verschlüsseln. Der Klassiker ist „PGP“ (Pretty Good Privacy) mit seinen Geschwistern OpenPGP und GNUPG, beides Open Source Programme, die das Gleiche können, aber quelloffen sind. Das heißt, dass der Programmcode öffentlich bekannt und somit kontrollierbar ist. Jeder darf an dem Code mitentwickeln. Die Verschlüsselung funktioniert nur mit einem Kommunikationspartner, der ebenfalls eines der oben genannten Programme verwendet. Stellvertretend für alle Programme nenne ich ab jetzt OpenPGP.

Und so funktioniert es:

OpenPGP sorgt dafür, dass Sie E-Mails versenden können, die nur noch der rechtmäßige Empfänger lesen kann. Dafür erzeugt OpenPGP für Sie zwei Dateien: 1) den öffentlichen und 2) den privaten OpenPGP-Schlüssel. Der öffentliche Schlüssel muss für jedermann bekannt sein. Sie können ihn selber verteilen. Per E-Mail, USB-Stick oder wie auch immer. Der private Schlüssel bleibt geheim. Auf den privaten Schlüssel dürfen nur Sie als Eigentümer Zugriff haben.

Wenn Anna eine verschlüsselte E-Mail an Bert schreiben will, besorgt sie sich den öffentlichen OpenPGP-Schlüssel von Bert. Den kann sie von Bert persönlich bekommen, sie kann ihn aber auch von einem Schlüsselserver, der im Fachjargon Key-Server heißt, herunterladen. Bert hat seinen öffentlichen Schlüssel von OpenPGP bei der Erstellung gleich automatisch auf den Schlüsselserver laden lassen, damit jeder, der Berts E-Mailadresse kennt, danach gucken kann, um mit ihm verschlüsselt zu kommunizieren.

Der öffentliche Schlüssel, der nur zu genau einer ganz bestimmten E-Mailadresse passt, dient als eine Art Vorhängeschloss für die erstellte E-Mail. Ist die E-Mail so gesichert, kann nur noch Bert, dem der öffentliche Schlüssel gehört, dieses Vorhängeschloss öffnen. Das macht er mit seinem privaten Schlüssel. Daher muss der auch unbedingt geheim bleiben. Alle anderen haben keinen Zugriff auf den Inhalt der E-Mail, auch, wenn sie die E-Mail selbst abgefangen haben sollten.

Thunderbird mit OpenPGP

Empfehlenswert ist, OpenPGP in Kombination mit dem E-Mailprogramm „Thunderbird“ (https://www.mozilla.org/de/thunderbird/) zu nutzen. In Thunderbird müssen Sie dafür das Add-on „Enigmail“ installieren. Das funktioniert genauso, wie die Installation von Add-ons im Firefox, wie bereits oben beschrieben. Zusätzlich zu Enigmail müssen Sie dann noch „OpenPGP“ installieren. Eine Anleitung für Thunderbird finden Sie hier http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP.

GPG4win

GPG4win stellt das BSI zur Verfügung (http://www.gpg4win.de/). Es integriert sich in Windows und bietet eine Erweiterung für Microsofts Outlook an.

Noch einfacher – Tutanota

Es geht noch komfortabler, E-Mails verschlüsselt zu senden. Das Programm „Tutanota“ von der Tutao GmbH (https://tutanota.de/#!home) gibt es in einer kostenlosen Webversion für Privatanwender und in einer kommerziellen Version, die mit Outlook zusammenarbeitet. Es funktioniert so, dass ein Anwender jemandem eine E-Mail schickt, für die er vorher ein Passwort vergeben hat. Der Empfänger erhält eine E-Mail mit einem Link über den er die Nachricht herunterladen kann. Um sie zu entschlüsseln muss der Sender dem Empfänger vorher auf irgendeine Art das Passwort mitgeteilt haben. Die kommerzielle Version stellt dafür einen SMS-Service zur Verfügung.

Die Übertragung selber erfolgt, nachdem Tutanota die Nachricht erst mit einem AES 256 und anschließend einem RSA 2048 Schlüssel verschlüsselt hat. Diese Verschlüsselung gilt bisher als unknackbar.

Tutanota bietet Ihnen so die Möglichkeit, verschlüsselte Nachrichten an Personen zu schicken, die bisher nicht einmal wissen wie man das Wort schreibt.

Alternative Bitmessage

Eine eher exotische Alternative, die auch bedingt, dass beide Kommunikationspartner damit arbeiten, ist das Programm Bitmessage. Sie finden es hier https://bitmessage.org/wiki/Main_Page.

Tipp:

Wem die Verschlüsselungs- und Anonymisierungstechniken zu unverständlich sind bzw. wer damit auf seinem PC nicht zurecht kommt, dem sei ein Anruf oder Besuch auf der Website des Chaos Computer Clubs empfohlen. Die Mitglieder, denen es um privaten Datenschutz sowie um Transparenz in öffentlichen Angelegenheiten geht, veranstalten regelmäßig entsprechende (Schulungs)Kurse. Da der CCC auch regional aufgestellt und in vielen Städten präsent ist, bieten sich hier entprechende Gelegenheiten.

Ein anderes Netzwerk ist erreichbar unter http://www.cryptoparty.in . Beispielsweise in Berlin unter www.cryptoparty.in/berlin.

Steganographie – Daten in Bildern und Musik verstecken

Eine weitere Methode Daten sicher zu transportieren ist die „Steganographie“. Dafür gibt es Programme, die Daten in Bildern, Musikstücken oder Filmen verstecken. Auf den ersten Blick speichern oder versenden Sie ein Bild, ein Musikstück oder einen Film. Tatsächlich ist im „Rauschen“ dieser Datei eine andere Datei versteckt. Sie können den Zugang zu dieser versteckten Datei mit einem Passwort schützen. Wenn Sie die versteckte Datei zusätzlich verschlüsselt speichern, ist die Wahrscheinlichkeit, dass jemand diese findet und auch noch entziffern kann minimal. Nähere Informationen zur Steganographie finden Sie hier https://de.wikipedia.org/wiki/Steganographie. Programme mit denen Sie arbeiten können sind beispielsweise „Steghide“ (http://steghide.sourceforge.net/) und „F5“ (http://parsys.informatik.uni-oldenburg.de/~stego/seminar/jpegsteg_CK_mbd_A.pdf) und (http://www.softpedia.com/get/Multimedia/Graphic/Graphic-Others/F5-Steganography.shtml). Es gibt aber auch andere Produkte dafür.

Auch wichtig für sichere E-Mails:

Keine Empfangsbestätigung

Senden Sie NIE Empfangsbestätigungen. Damit zeigen Sie dem Absender nur, dass es diese E-Mailadresse gibt und Sie sie auch nutzen. Wer Ihnen bekannt ist, weiß von dieser Adresse. Das reicht.

Sie stellen Thunderbird über „Extras → Einstellungen → Erweitert → Allgemein (hier am rechten oberen Rand → Empfangsbetätigungen)“ so ein, dass er keine mehr abschickt.

Will man doch dem Absender signalisieren, dass das „Paket“ angekommen ist, schreibt man eine neue Mail – natürlich verschlüsselt!

Kein HTML für E-Mails

Thunderbird erstellt E-Mails als „nur Text“ Nachrichten und zeigt HTML-Nachrichten standardmäßig auch als „nur Text“ an. Das heißt, dass schicke Bildchen, Fettschrift und Ähnliches nicht vorkommt. Das ist wichtig, weil in HTML verfasste Nachrichten Schadcode transportieren können. Außerdem gibt es Dienste, die es sich zu Nutze machen, dass die meisten Anwender von E-Mailprogrammen auf die schicken Nachrichten nicht verzichten wollen. Ein Beispiel ist „readnotify.com“ (http://www.readnotify.com/). Dieser Dienst bietet seinen Kunden an, deren E-Mails über die readnotify.com Server zu senden. Der Empfänger merkt davon in der Regel nichts. Der Absender erfährt jedoch im Anschluss Dinge wie diese:

  • wann Sie die E-Mail erhalten haben
  • wann Sie die E-Mail gelesen haben
  • wo Sie die E-Mail gelesen haben
  • wie lange Sie sie gelesen haben
  • wie oft Sie sie gelesen haben
  • ob Sie sie weitergeleitet haben
  • ob Sie die Anhänge gelesen haben, wie oft und wie lange
  • ob Sie Links aus der E-Mail angeklickt haben
  • welches E-Mailprogramm in welcher Version Sie nutzen
  • welches Betriebssystem Ihr Rechner hat
  • welchen Browser Sie nutzen
  • und einiges mehr …

Die Informationen über Ihr Betriebssystem und weitere Software, bieten einem potentiellen Angreifer wertvolle Informationen für einen elektronischen Angriff.

Vermeiden können Sie das, indem Sie alle E-Mails als „nur Text“ anzeigen lassen, denn dann funktionieren Dienste wie readnotify.com nicht mehr.

 Keine Bilder automatisch nachladen

Sorgen Sie dafür, dass Ihr E-Mailprogramm oder Webmailer so eingestellt, dass es Bilder nicht „automatisch nachlädt“. Das ist wichtig, weil „Bilder“ einen Pixel groß und genauso gefährlich wie HTML sein können. Bilder in der Größe eines Pixels nehmen Sie gar nicht wahr. Apples E-Mailprogramm lädt Bilder immer automatisch nach, ohne, dass es sich das abgewöhnen ließe.

Nur Anbieter mit „Perfect Forward Secrecy“ nutzen

Nutzen Sie nur Anbieter, die beim Transport Ihrer E-Mails die Funktion „perfect forward privacy“ nutzen. Was das ist, erklärt dieser Artikel https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy. Die Funktion garantiert, dass abgefangene Nachrichten auch im Nachhinein nicht dechiffriert und so kompromittiert werden können. Ob Ihr Anbieter Perfect Forward Secrecy einsetzt, können Sie selbst testen. Wie das geht beschreibt dieser Artikel http://www.heise.de/security/artikel/Forward-Secrecy-testen-und-einrichten-1932806.html.

 

Datenkraken vermeiden

Suchmaschinen wie Google, Yahoo oder soziale Netzwerke sammeln Daten, werten sie aus und leiten sie teilweise an Nachrichtendienste weiter. Dazu gibt es Alternativen über die Sie sich auf der Site http://www.prism-break.org/en/#de informieren können.

Möglichst nie mit eigener Identität

Versuchen Sie, wenn Sie sich in sozialen Netzen oder Ähnlichem anmelden möglichst virtuelle Identitäten anzunehmen. Achten Sie dabei aber darauf, dass Sie glaubwürdig bleiben und merken Sie sich Ihre Angaben genau. Hilfreich kann für virtuelle Identitäten die Webseite http://de.fakenamegenerator.com/ sein. Aber seien Sie auch hier vorsichtig, denn diese Seite könnte unter Beobachtung stehen.

 

Telefonieren

Grundsätzlich

Halten Sie die Software Ihrer Telefonanlage, Ihres Routers und Ihre Apps immer auf dem neuesten Stand, weil es keine perfekte Software gibt. Immer wieder entdecken Hacker Sicherheitslücken, die für Sie gefährlich sein könnten. Wenn Sie regelmäßig und kurzfristig für Updates sorgen, erhalten Sie ein Stück mehr Sicherheit.

Festnetz

Wenn Sie telefonieren, sollten Sie immer davon ausgehen, dass jemand mithören kann. Wenn Sie einen Anschluss benutzen der mit IP-Telefonie funktioniert, ist es am leichtesten diesen zu belauschen. Weil diese Anschlüsse billiger sind, nimmt ihre Anzahl ständig zu. Etwas mehr Sicherheit bieten „echte“ ISDN-Anschlüsse, die es aber immer seltener gibt.

Handys und Smartphones

Bei Mobiltelefonen wird nicht nur die Telefonnummer der SIM-Karte übertragen, sondern auch jedes mal die Gerätenummer des Telefons, mit dem Sie telefonieren. Es nützt Ihnen also gar nichts, wenn Sie in Ihr eigenes Handy oder Smartphone eine nicht registrierte SIM-Karte einlegen, Ihr Gerät aber durch den Kauf registriert ist. Dies ist der Standardfall. Letzteres lässt sich umgehen, wenn Sie beispielsweise ein älteres Gerät gebraucht kaufen.

Sollte Ihr Handy oder Smartphone über „Bluetooth“, RFID (Radio Frequency Identification) oder „NFC“ (Nearfield Communication) verfügen, schalten Sie es grundsätzlich ab. Nur, wenn Sie eine dieser Funktionen konkret benötigen, aktivieren Sie diese. Sonst sind es Einfallstore für potentielle Angreifer.

Sollten Sie GPS in ihrem Handy oder Smartphone eingebaut haben, schalten Sie auch dieses ab, sofern Sie es nicht konkret benötigen, da Sie sonst zu orten sind und Dritte so in der Lage sind, ein Bewegungsprofil von Ihnen zu erstellen. Fotos die Sie mit den genannten Geräten aufnehmen, würden mit großer Wahrscheinlichkeit in den EXIF-Daten auch die Geoposition speichern. Das kann unerwünscht sein. EXIF-Daten sind Daten, die als zusätzliche Informationen in Bildern gespeichert sind.

Kleben Sie auch bei Ihren Mobiltelefonen und Smartphones die Kameras mit einem schwarzen Klebeband, am besten Isolierband wie Elektriker es verwenden, ab um nicht durch ein gekapertes Gerät ausspioniert zu werden.

Wie ein Smartphone ohne Mikrofon zur Wanze mutiert

Smartphones können auch ohne deren Kamera und Mikrofon zur Wanze werden. Das Betriebssystem Android lässt die Nutzung bestimmter Frequenzbereiche der Bewegungssensoren der Smartphones für zweckentfremdete Nutzungen zu. Diese Sensoren heißen Kreiselinstrument oder Gyroskop. Sie stellen fest, wie sich ein Smartphone gerade im Raum bewegt um eine Ortung möglich zu machen. Ein Teil der Arbeitskapazität des Gyroskops ist frei und lässt unter Android zu, die Schwingungen menschlicher Sprache zu registrieren und analysieren. Zur Zeit ist es nur möglich, einen Teil der Ziffern 0 bis 9 zu erkennen, aber eine Verbesserung der Software für die Analyse ist zu erwarten. Daher ist künftig davon auszugehen, dass auch Smartphones, deren Mikrofon zerstört ist, zu Wanzen mutieren.

Sprachbefehle und Diktieren

Vermeiden Sie Ihr Mobiltelefon oder Smarphone per Sprachbefehl zu steuern, da die Umsetzung der Laute in Sprache in Amerika erfolgt. Die Gefahr, dass jemand Ihre Spracheingaben auswertet und missbraucht ist groß.

Grundlegende Hinweise

iOS, Android und Windowsphone sind alle nicht als sicher zu bezeichnen. Sie haben alle Lücken, die eher größer als marginal sind. Daher sollten Sie möglichst keine Daten, Telefonate, Nachrichten, Recherchen die sicherheitsrelevant sind, über Ihr Smartphone oder Tablet durchführen.

Apps

Bevor Sie eine App installieren, schauen Sie sich genau an, welche Berechtigungen diese fordert. Eine Taschenlampen-App, die Zugang zum Internet haben will, Zugriff auf Ihre Kontaktdaten benötigt oder Ihren Kalender einsehen will, ist unbrauchbar. Ähnliches gilt natürlich für alle anderen Apps auch. Gewähren Sie Apps nur die Rechte, die Ihnen logisch erscheinen.

Die App „AppOps“ bietet für Android die Möglichkeit die Rechte aller installierten Apps genau einzustellen, so haben Sie ein wenig mehr Kontrolle über das, was auf Ihrem Mobilgerät passiert.

Ein absolutes Tabu auf Mobilgeräten die sicherheitsrelevante Daten enthalten, sind Apps sozialer Netzwerke und vor allem „WhatsApp“! Mit der Installation von WhatsApp willigen Sie ein, dass die gesamte Kommunikation, die Sie über WhatsApp führen öffentlich ist und kommerziell genutzt werden darf. Zusätzlich willigen Sie der Übertragung aller Einträge Ihres Adressverzeichnisses ein. Diese sind damit auch öffentlich und dürfen kommerziell genutzt werden. Die Einträge werden regelmäßig synchronisiert.

Wer dennoch nicht auf Text- und Chatnachrichten verzichten möchte, kann auf „Threema“ zurückgreifen. Diese App ist kostenplfichtig, aber verspricht eine Ende zu Ende Verschlüsselung der Nachrichten, ohne eine weitere Nutzung (https://threema.ch/de/) und natürlich im Playstore und bei Apple.

Die Firma „whispersystems“ bietet die App „RedPhone“ kostenlos an (https://whispersystems.org/). Mit deren Hilfe soll es möglich sein zwischen zwei Nutzern von RedPhone verschlüsselt zu telefonieren oder SMS zu senden.

SMS extra

Es gibt die Möglichkeit so genannte „stille SMS“ an Mobiltelefone zu senden. Der Empfänger bekommt nichts davon mit. Dem Sender bieten diese stillen SMS jedoch die Möglichkeit den Empfänger in vielfacher Hinsicht zu überwachen. Dies kann eine Standortfeststellung sein, es kann aber auch „Schadcode“ sein, der da per stille SMS angekommen ist und die Daten des Mobiltelefons oder Smartphones ausspioniert. „Wehren“ kann man sich dagegen nicht. Daher sollten Sie sich genau überlegen, ob es für Ihr aktuelles Vorhaben von Bedeutung sein könnte, dass dritte Personen wissen, wo Sie sich wann aufhalten. Legal dürfen die Polizei und Nachrichtendienste diese Möglichkeit nutzen, aber auch andere Personen sind technisch dazu in der Lage.

Telefone

Wer noch mehr Sicherheit sucht, der kann auf Cryptotelefone wie „Blackphone“ oder die Geräte der Telekom zurückgreifen. Sie sind aber recht teuer und das Gegenüber muss ebenfalls mit einem entsprechenden Gerät telefonieren.

 *****

Diese Ausführungen erheben keinen Anspruch auf Vollständigkeit. Anregungen, Fragen und Verbesserungsvorschläge sind mir herzlich willkommen unter mgs-nnr@tutanota.de.