Wie wichtig im Überwachungszeitalter digitale Verschlüsselung ist, zeigt nicht nur der Fall Edward Snowden. Wie gefährlich es in Diktaturen und Autokratien ist, sich mit dem Thema zu beschäftigen, zeigen die aktuellen Fälle des Berliner Menschenrechtlers Peter Steudtner und der türkischen Mitglieder von amnesty international, die sich mit Verschlüsselungstechniken beschäftigt haben und deshalb in der autokratischen Türkei inhaftiert wurden. Bastian Ballmann ist u.a. Autor des Buches "Network Hacks - Attack and defense with Python". Für die GWR schreibt er ab sofort eine Artikelreihe zum Thema "Digitale Selbstverteidigung". Den Auftakt bietet der folgende Einführungstext. (GWR-Red.)
Einführung
Die wichtigste Regel lautet: “Je weniger Software Du installierst, desto weniger Angriffsmöglichkeiten gibt es”, gleich gefolgt von dem Prinzip: “Je weniger Einsatzgebiete, desto weniger Risiko”. Diese Regel bedeutet, dass Du am sichersten bist, wenn Du für kritische Sachen wie Online-Banking oder politische Aktionen einen eigenen Computer / Smartphone (samt Google oder Apple Account) verwendest, der nur die Software installiert hat, die Du dafür brauchst und Du ihn auch für nichts anderes benutzt. Die meisten von uns benutzen mehrere Geräte für alles. Auch wenn das unsicherer ist, sollte man realistisch bleiben, denn politische AktivistInnen haben meist nicht genug Geld um sich mehrere Geräte zu leisten.
Die drittwichtigste Regel sollte bekannt sein: “Installiere immer alle Sicherheitsupdates.” So einfach wie diese Regel zu sein scheint, so selten wird sie jedoch leider in der Praxis befolgt. Der Grund kann sein, dass Du gar nicht weißt, dass es ein Update gibt (hier sollte Dich jedes moderne Betriebssystem allerdings drauf hinweisen). Vielleicht hast Du Angst das Update könnte etwas kaputt machen oder es gibt schon Berichte, dass dem genauso ist. Das Problem könnte aber auch sein, dass der Hersteller für Dein Gerät gar kein Update zur Verfügung stellt. Letzteres bringt uns zu Punkt drei, der kontrovers ist und auf der persönlichen Erfahrung des Autors über beinahe zwei Jahrzehnte hinweg basiert: Für sicherheitsrelevante Systeme sollte ausschließlich Open Source Software verwendet werden.
Es gab und gibt immer wieder Beweise für Hintertüren in propietärer Software, egal ob von Microsoft (NSA-Key (1)), Apple (gelöschte Dateien in der iCloud werden nicht gelöscht (2)), Google, Apple (und andere) kooperieren mit der NSA (3) oder Cisco, dem wichtigsten Hersteller von Internet-Routern und -Firewalls, der seine Law Interception Backdoor sogar standardisiert (4).
Bei Open Source Software haben zigtausende von freiwilligen Software EntwicklerInnen, als auch White-Hat-Hackern die Möglichkeit leicht Sicherheitslücken zu entdecken und jeder, der in der entsprechenden Sprache programmieren kann, kann die gefundenen Lücken schließen. Schauen wir uns als Beispiel aktuelle Sicherheitslücken wie Stack Clash (5) oder WPA2 KRACK (6) an, wird schnell klar, dass Apple bei weitem am längsten zum Beheben dieser Sicherheitslücken benötigt und diese nicht mal kommuniziert, weswegen der Autor ausdrücklich von Apple Software für politischen Aktivismus abrät.
Bei Open Source Software werden solche Sicherheitslücken in der Regel – und je nach Komplexität – in wenigen Tagen bis Wochen geschlossen und auch darüber informiert. Deshalb empfiehlt der Autor ein freies Betriebssystem wie Linux (für AnfängerInnen: Ubuntu oder Fedora, für Fortgeschrittene: Debian / Arch oder Gentoo) oder BSD (bevorzugt HardenedBSD / OpenBSD – ebenfalls für Fortgeschrittene) einzusetzen. Von FreeBSD wird abgeraten, da es bei diesem Betriebssystem nicht viel besser als bei Apple Produkten um die verwendeten Sicherheitstechniken bestellt ist (wohl aber um deren Kommunikation).
Passwörter
Passwörter sind die wichtigste Art der Authentifizierung – also der Art und Weise wie man einem Computer erlaubt etwas auszuführen. Mittlerweile dürfte sich herumgesprochen haben, dass sogenannte 2-Factor-Authentifizierung – sprich zwei verschiedene Verfahren in Kombination – besser sind als eine. Letzteres ist zu begrüßen, jedoch noch lange nicht jeder Computer- oder Dienste-Anbieter bietet einem die Möglichkeit dazu.Grundsätzlich sollte ein halbwegs sicheres Passwort aus mindestens zehn Zeichen bestehen und mindestens ein Zeichen aus Klein- / Grossbuchstaben, Zahlen und Sonderzeichen enthalten. Da solche Passwörter in der Regel schwer zu merken sind, haben sich Programme oder gar Online-Dienste angeboten sich alle Passwörter zu merken. Von solchen Programmen und Diensten rät der Autor ausdrücklich ab. Nicht nur, weil es sich in der Regel um Software mit nicht einsehbarem Quellcode handelt, sondern auch, weil man als Anwender nicht wirklich nachvollziehen kann, ob sie sicher arbeiten und die Passwörter nicht dennoch für Bedarfsträger im Klartext – sprich unverschlüsselt und für jedermann lesbar – speichern.
Eine Studie des NIST (das US-amerikanische National Institute of Standards and Technology) kam 2017 zu dem Ergebnis, dass Passwörter zusammengesetzt von vielen Wörtern, die einen zusammenhängenden Satz ergeben (der keine bekannte Eselsbrücke o.ä. sein sollte) und somit länger sind als zehn Zeichen viel sicherer seien als die bisherigen Empfehlungen (7). Solcher Art Empfehlungen basieren vor allem darauf, dass Anwender bei neuen Passwörtern meist nur die letzte Zahl “z.B. IchBin$Sicher-123” erhöhen und als neues Passwort “IchBin$Sicher-124” verwenden oder bei zu komplexen Passwörtern diese aufschreiben und an den Monitor heften (oder von einem externen Passwortdienst verwalten zu lassen). Generell gilt: Je länger ein Passwort und je mehr verschiedene Zeichenklassen (Buchstaben inklusive Groß- / Kleinschreibung, Zahlen, Sonderzeichen) desto sicherer ist es, wobei Länge wichtiger ist als Komplexität, denn der Angreifer weiß in der Regel nicht, ob Du Sonderzeichen verwendest.Für jeden Dienst und jede Anwendung sollte ein eigenes Passwort verwendet werden, damit ein möglicher Angreifer bei der Erlangung eines Passworts nicht Zugriff auf alles hat.
Spätestens jetzt wünscht sich wahrscheinlich jeder die Möglichkeit Passwörter speichern zu können. Der Autor empfiehlt dazu eine verschlüsselte Datei auf einem externen Datenträger wie einem USB-Stick oder einer SD-Karte. Programme zum Verschlüsseln sollten wie gesagt möglichst freie Software sein, weshalb sich für diesen Einsatzzweck vor allem GnuPG anbietet. Es ist sowohl für Windows, Mac, Linux als auch BSD verfügbar. Ein weiterführender Artikel wird sich in einer der nächsten Ausgaben der Graswurzelrevolution intensiver mit dieser Software auseinandersetzen. Abzuraten ist der Gebrauch von Anbietern, die alle Passwörter für einen speichern, insbesondere, wenn sie wie Microsoft, Apple oder Lastpass im Hoheitsgebiet der NSA beheimatet sind. Das gilt auch für die Verwendung von Cloud-Speichern.
Virenscanner / Personal Firewall
Virenscanner sind ein zweischneidiges Schwert. Diese Aussage mag manchen schockieren, da Virenscanner zumindest unter Windows als selbstverständlich gelten. Jedoch erhöht eine Virenscanner-Software immens die Komplexität des Codes, der auf einem Computer ausgeführt wird. Sie kann unter Umständen sogar dazu führen, dass er einzig und allein durch die Verwendung eines Virenscanners oder einer Personal Firewall angreifbar wird.
Viren gelangen in den meisten Fällen über unbedarfte Downloads, verseuchte Emails und Datenträger, sowie über die Online-Werbung auf das System. Letzteres kann mit einem Ad-Blocker im Browser elegant umgangen werden, die anderen durch bewussten Umgang mit externen Medien. Der Autor verwendet seit 16 Jahren keinen Virenscanner mehr und musste sich Viren zu Forschungszwecken aus dem Internet laden. Das mag auch daran liegen, dass er seitdem ausschließlich freie Betriebssysteme wie Linux und BSD einsetzt.
Personal Firewalls sind Virenscanner für Netzwerkverkehr anstatt für Dateien. Somit gelten für sie dieselben Bestimmungen. Der Autor möchte nicht grundsätzlich von Virenscannern abraten, hält sie jedoch für überflüssig, da sie nur vor Massenattacken schützen, die leicht vereitelt werden können. Bei gezielten Angriffen wird in der Regel ein speziell angepasster Exploit mit manipuliertem Payload (bekanntes Angriffsprogramm aber mit umgeschriebenem Code) oder ein eigens für diesen Einsatzzweck geschriebener Virus / Trojaner eingesetzt, der von Virenscannern nicht erkannt wird. Zusätzlich sei erwähnt, dass es Dienste im Internet gibt, mit denen ein Angreifer untersuchen kann, ob der verwendete Code bemerkt wird.
Cloud
Cloud-Speicher wie Apples iCloud, Google Drive, Dropbox oder Microsofts OneDrive erfreuen sich großer Beliebtheit. Sie sind praktisch, um Daten zwischen Geräten oder Personen auszutauschen oder für Backups. All diese erwähnten Dienste speichern ihre Daten in den USA – dem Hoheitsgebiet der NSA. Aber selbst wenn sie die Daten in Ländern mit anerkannten Datenschutzgesetzen wie Deutschland oder der Schweiz speichern: Die Daten liegen – meist vollkommen ungeschützt – außerhalb der Kontrolle ihrer BenutzerInnen. Was der Dienstanbieter mit den Daten anstellt und wem er sie weiter gibt, weiß der Benutzer nicht – Verträge und AGBs hin oder her – solche Anbieter sind an die Gesetze ihres Landes gebunden. Sofern ein solcher Dienst verwendet wird, sollten die Daten mit brauchbaren Verschlüsselungstechniken (AES256 oder RSA Keys ab 2048 Bit sind die gängigsten Varianten) gesichert werden mit einem Passwort / Private Key, der dem Cloud Anbieter nicht bekannt ist. Kann der Verwender eines Cloud Dienstes dies nicht gewährleisten, ist die Verwendung solch eines Dienste abzulehnen und stattdessen ein eigener Dienst mittels ownCloud oder nextCloud (oder ähnlicher Open Source Software) auf eigenen Computern zu empfehlen.
Smartphone
Für das Smartphone gelten generell dieselben Regeln wie für einen normalen Computer, mit dem Zusatz, dass es meist mehr Funktionalität anbietet und portabler ist. Generell sollte die Mitnahme von Smartphones / Smartwatches mit integrierter Sim-Karte und anderen Handys zu Demonstrationen wohl überlegt sein, da über die IMSI auf der Sim-Karte eine Zuordnung der Person zu der Demo vorgenommen werden kann – geschehen unter anderem bei “Freiheit statt Angst”-Demonstrationen über massenhafte Funkzellen-Abfragen (mehr dazu gibt es bei der Digitalen Gesellschaft https://digitalegesellschaft.de/wp-content/uploads/2014/08/2014-Demotipps-Mobiltelefone.pdf).
Sollte ein Smartphone völlig unkonfiguriert benutzt werden, speichert es so ziemlich sämtliche Aktionen, die man damit ausführt und sendet die meisten davon auch noch an Server in den USA, was jedoch in den Privatsphäre-Einstellungen des Telefonbetriebssystem-Anbieters (sprich bei Google und Apple) geändert werden kann. Ein gesonderter Artikel wird sich in einer der nächsten Ausgaben der GWR ausführlich mit der Absicherung von Smartphones beschäftigen.
WLAN und GPS sollten auf jeden Fall ausgeschaltet werden, sofern sie momentan nicht gebraucht werden, da über sie eine Standortbestimmung vorgenommen und bei den Standard-Einstellungen in der Cloud gespeichert werden. Das automatische Backup sollte ebenfalls deaktiviert werden, da es sämtliche Keys und Passwörter, die zur Verschlüsselung verwendet werden, in der Cloud speichert. Bluetooth deaktiviert man ebenfalls am besten und nicht nur aus Gründen des Energiesparens, sondern auch, weil Bluetooth ein hervorragendes Angriffsziel sein kann wie die kürzlich veröffentlichten Blueborne-Attacken beweisen. Falls Du ein Technik begeisterter Anwender bist, deaktiviere USB Debugging, da Bedarfsträger dadurch Dein Telefon mittels USB-Kabel fernsteuern und sicherheitsrelevante Einstellungen wie einen PIN-Code einfach löschen können. Ein gesonderter Artikel wird sich in einer der nächsten GWR-Ausgaben ausführlicher mit dem Thema Smartphone auseinandersetzen.
Assistants
Digitale Assistenten, die mit sogenannter künstlicher Intelligenz dem Benutzer das Leben erleichtern sollen, sind der neueste Hype der IT-Industrie. Egal ob Siri, Alexa oder die neueste Barbie Puppe (www.spiegel.de/spiegel/print/d-140390019.html), allen ist gemein, dass sie auf Sprache reagieren und Aktionen auslösen. Dazu belauschen sie alles, was in ihrer Umgebung gesprochen wird und senden die Daten in die Cloud. Dort wird mit Hilfe von proprietären Algorithmen analysiert, “ob sie sich angesprochen fühlen sollen”, sprich, ob der Benutzer ihnen einen Befehl gesendet hat. Zumindest Befehle werden in der Regel in der Cloud gespeichert, damit man auch in fünf Jahren noch weiß, welche Pizza o.ä. man an jenem Tag dank des Assistenten bestellt hat. Den Autor erinnern solche Geräte sehr an die Teleschirme aus dem Roman 1984 von George Orwell, und er lehnt es grundweg ab, ein digitales Ohr in seiner Wohnung zu installieren.
Smartfernseher
Vergleichbar zu den digitalen Assistenten lassen sich auch Smartfernseher per Sprache bedienen und schicken dazu jedes gesprochene Wort zu Servern des Anbieters. Bekannt geworden ist ein Fall von Samsung TVs (8). Im Zuge des Vault7 Leaks (9) durften wir außerdem erfahren, dass der CIA dazu in der Lage ist, bestimmte Samsung TVs zu hacken und als Wanze zu verwenden.
Wer die Firewall seines Routers selbständig konfigurieren kann, sollte daher allen Netzwerkverkehr seines Fernsehers sperren und nur die nötigen Verbindungen zulassen, die es zum fernsehen benötigt. Allen anderen bleibt nur, den Netzwerkstecker zu ziehen, solange der nicht für das Fernsehen notwendig ist.
Autos
Ein Auto ist heutzutage ein kleines Rechenzentrum auf Rädern. Rund 50 Sensoren und unzählige Chips sind in ihm verbaut. Automechatroniker spielen schon seit vielen Jahren mehr Software-Updates ein, als dass sie Werkzeug in die Hand nehmen. Das Auto speichert viele Daten wie Beschleunigungs- und Bremsverhalten oder Höchstgeschwindigkeit zu bestimmten Zeiten. Manche melden gar autonom dem Hersteller, dass ein Bauteil bald kaputt geht oder spielen ohne Zutun des Benutzers Software Updates ein – auch während der Fahrt. Es gibt Fantasien – deren Realisierung eigentlich schon Realität ist, dass Autos untereinander vor Staus oder gefährlichen Situationen warnen oder auf der Autobahn auf den Pannenstreifen fahren, wenn sie fürchten einen Schaden zu erleiden. Und bei alldem wurde das Thema selbstfahrende Autos noch nicht einmal erwähnt. Viel wichtiger für uns sind allerdings die Daten, die das Navigationssystem generiert. Es speichert nicht nur gefahrene Routen, sondern auch Parkpositionen. Routen können durch digitale Forensik auch dann meist wieder rekonstruiert werden, wenn diese vom Benutzer gelöscht worden sind.
Es ist daher zu empfehlen, das Navigationssystem auszuschalten bzw. – sofern möglich – vom Fahrzeug zu trennen, falls dieses nicht benötigt wird. Autos können jedoch je nach Hersteller und Modell eigene SIM-Karten samt GPS eingebaut haben und insofern wie ein Smartphone funktionieren, völlig ohne Wissen und Beteiligung des Fahrzeugbenutzer. Der sollte sich bei seinem Fahrzeuganbieter besser über derlei “Zusatzfunktionen” informieren. Der beste Schutz ist allerdings, das Auto einfach stehen zu lassen (bzw. keins zu besitzen) und stattdessen die Bahn, die Füße oder das Fahrrad zu verwenden.
Fazit
Je mehr wir uns abhängig machen von sogenannten “Digitalen Assistenten” und “Smart Devices”, desto mehr Daten werden über uns gesammelt. Je nach Anbieter und Gerät haben wir eventuell die Möglichkeit dies per persönlicher Einstellung zu unterbinden. Es bleibt jedoch ein leicht bitterer Beigeschmack, ob sich der Dienste- / Geräteanbieter wirklich an unsere “Bitte” hält. Fälle wie das Löschen von Iphotos, die über ein Tool von Elcomsoftware wiederhergestellt werden können, sprechen eine andere Sprache. Der Autor empfiehlt, Cloud-Anbietern generell zu misstrauen und generell auf Open Source Software zu setzen. Dies erfordert etwas Handarbeit, ist heutzutage aber nicht mehr so kompliziert wie vor ein paar Jahren. Bei Bedarf helfen Linux User Gruppen oder ERFAs und Chaostreffs des Chaos Computer Clubs bestimmt gerne weiter. Fragen ist auf jeden Fall besser, als sich der Ohnmacht eines externen Cloudanbieters zu ergeben.
(1) https://en.wikipedia.org/wiki/NSAKEY
(2) https://blog.elcomsoft.com/2017/05/we-did-it-again-deleted-notes-extracted-from-icloud/
(3) https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data)
(4) https://www.rfc-editor.org/rfc/rfc3924.txt
(5) https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
(6) https://www.krackattacks.com/
(7) http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf
(8) https://www.schneier.com/blog/archives/2015/02/samsung_televis.html
(9) https://wikileaks.org/ciav7p1/
Als Ergänzung zu diesem Artikel sei noch ein Dokument der Digitalen Gesellschaft in Zusammenarbeit mit der schweizerischen Wochenzeitung WOZ und dem CCC Zürich zu empfehlen: https://www.digitale-gesellschaft.ch/2017/09/11/eine-kurze-anleitung-zur-digitalen-selbstverteidigung/