Die wichtigste Regel lautet: \u201cJe weniger Software Du installierst, desto weniger Angriffsm\u00f6glichkeiten gibt es\u201d, gleich gefolgt von dem Prinzip: \u201cJe weniger Einsatzgebiete, desto weniger Risiko\u201d. Diese Regel bedeutet, dass Du am sichersten bist, wenn Du f\u00fcr kritische Sachen wie Online-Banking oder politische Aktionen einen eigenen Computer \/ Smartphone (samt Google oder Apple Account) verwendest, der nur die Software installiert hat, die Du daf\u00fcr brauchst und Du ihn auch f\u00fcr nichts anderes benutzt. Die meisten von uns benutzen mehrere Ger\u00e4te f\u00fcr alles. Auch wenn das unsicherer ist, sollte man realistisch bleiben, denn politische AktivistInnen haben meist nicht genug Geld um sich mehrere Ger\u00e4te zu leisten.<\/p>\n
Die drittwichtigste Regel sollte bekannt sein: \u201cInstalliere immer alle Sicherheitsupdates.\u201d So einfach wie diese Regel zu sein scheint, so selten wird sie jedoch leider in der Praxis befolgt. Der Grund kann sein, dass Du gar nicht wei\u00dft, dass es ein Update gibt (hier sollte Dich jedes moderne Betriebssystem allerdings drauf hinweisen). Vielleicht hast Du Angst das Update k\u00f6nnte etwas kaputt machen oder es gibt schon Berichte, dass dem genauso ist. Das Problem k\u00f6nnte aber auch sein, dass der Hersteller f\u00fcr Dein Ger\u00e4t gar kein Update zur Verf\u00fcgung stellt. Letzteres bringt uns zu Punkt drei, der kontrovers ist und auf der pers\u00f6nlichen Erfahrung des Autors \u00fcber beinahe zwei Jahrzehnte hinweg basiert: F\u00fcr sicherheitsrelevante Systeme sollte ausschlie\u00dflich Open Source Software verwendet werden.<\/p>\n
Es gab und gibt immer wieder Beweise f\u00fcr Hintert\u00fcren in propiet\u00e4rer Software, egal ob von Microsoft (NSA-Key ((1))), Apple (gel\u00f6schte Dateien in der iCloud werden nicht gel\u00f6scht ((2))), Google, Apple (und andere) kooperieren mit der NSA ((3)) oder Cisco, dem wichtigsten Hersteller von Internet-Routern und -Firewalls, der seine Law Interception Backdoor sogar standardisiert ((4)).<\/p>\n
Bei Open Source Software haben zigtausende von freiwilligen Software EntwicklerInnen, als auch White-Hat-Hackern die M\u00f6glichkeit leicht Sicherheitsl\u00fccken zu entdecken und jeder, der in der entsprechenden Sprache programmieren kann, kann die gefundenen L\u00fccken schlie\u00dfen. Schauen wir uns als Beispiel aktuelle Sicherheitsl\u00fccken wie Stack Clash ((5)) oder WPA2 KRACK ((6)) an, wird schnell klar, dass Apple bei weitem am l\u00e4ngsten zum Beheben dieser Sicherheitsl\u00fccken ben\u00f6tigt und diese nicht mal kommuniziert, weswegen der Autor ausdr\u00fccklich von Apple Software f\u00fcr politischen Aktivismus abr\u00e4t.<\/p>\n
Bei Open Source Software werden solche Sicherheitsl\u00fccken in der Regel – und je nach Komplexit\u00e4t – in wenigen Tagen bis Wochen geschlossen und auch dar\u00fcber informiert. Deshalb empfiehlt der Autor ein freies Betriebssystem wie Linux (f\u00fcr Anf\u00e4ngerInnen: Ubuntu oder Fedora, f\u00fcr Fortgeschrittene: Debian \/ Arch oder Gentoo) oder BSD (bevorzugt HardenedBSD \/ OpenBSD – ebenfalls f\u00fcr Fortgeschrittene) einzusetzen. Von FreeBSD wird abgeraten, da es bei diesem Betriebssystem nicht viel besser als bei Apple Produkten um die verwendeten Sicherheitstechniken bestellt ist (wohl aber um deren Kommunikation).<\/p>\n
Passw\u00f6rter sind die wichtigste Art der Authentifizierung – also der Art und Weise wie man einem Computer erlaubt etwas auszuf\u00fchren. Mittlerweile d\u00fcrfte sich herumgesprochen haben, dass sogenannte 2-Factor-Authentifizierung – sprich zwei verschiedene Verfahren in Kombination – besser sind als eine. Letzteres ist zu begr\u00fc\u00dfen, jedoch noch lange nicht jeder Computer- oder Dienste-Anbieter bietet einem die M\u00f6glichkeit dazu.Grunds\u00e4tzlich sollte ein halbwegs sicheres Passwort aus mindestens zehn Zeichen bestehen und mindestens ein Zeichen aus Klein- \/ Grossbuchstaben, Zahlen und Sonderzeichen enthalten. Da solche Passw\u00f6rter in der Regel schwer zu merken sind, haben sich Programme oder gar Online-Dienste angeboten sich alle Passw\u00f6rter zu merken. Von solchen Programmen und Diensten r\u00e4t der Autor ausdr\u00fccklich ab. Nicht nur, weil es sich in der Regel um Software mit nicht einsehbarem Quellcode handelt, sondern auch, weil man als Anwender nicht wirklich nachvollziehen kann, ob sie sicher arbeiten und die Passw\u00f6rter nicht dennoch f\u00fcr Bedarfstr\u00e4ger im Klartext – sprich unverschl\u00fcsselt und f\u00fcr jedermann lesbar – speichern.<\/p>\n
Eine Studie des NIST (das US-amerikanische National Institute of Standards and Technology) kam 2017 zu dem Ergebnis, dass Passw\u00f6rter zusammengesetzt von vielen W\u00f6rtern, die einen zusammenh\u00e4ngenden Satz ergeben (der keine bekannte Eselsbr\u00fccke o.\u00e4. sein sollte) und somit l\u00e4nger sind als zehn Zeichen viel sicherer seien als die bisherigen Empfehlungen ((7)). Solcher Art Empfehlungen basieren vor allem darauf, dass Anwender bei neuen Passw\u00f6rtern meist nur die letzte Zahl \u201cz.B. IchBin$Sicher-123\u201d erh\u00f6hen und als neues Passwort \u201cIchBin$Sicher-124\u201d verwenden oder bei zu komplexen Passw\u00f6rtern diese aufschreiben und an den Monitor heften (oder von einem externen Passwortdienst verwalten zu lassen). Generell gilt: Je l\u00e4nger ein Passwort und je mehr verschiedene Zeichenklassen (Buchstaben inklusive Gro\u00df- \/ Kleinschreibung, Zahlen, Sonderzeichen) desto sicherer ist es, wobei L\u00e4nge wichtiger ist als Komplexit\u00e4t, denn der Angreifer wei\u00df in der Regel nicht, ob Du Sonderzeichen verwendest.F\u00fcr jeden Dienst und jede Anwendung sollte ein eigenes Passwort verwendet werden, damit ein m\u00f6glicher Angreifer bei der Erlangung eines Passworts nicht Zugriff auf alles hat.<\/p>\n
Sp\u00e4testens jetzt w\u00fcnscht sich wahrscheinlich jeder die M\u00f6glichkeit Passw\u00f6rter speichern zu k\u00f6nnen. Der Autor empfiehlt dazu eine verschl\u00fcsselte Datei auf einem externen Datentr\u00e4ger wie einem USB-Stick oder einer SD-Karte. Programme zum Verschl\u00fcsseln sollten wie gesagt m\u00f6glichst freie Software sein, weshalb sich f\u00fcr diesen Einsatzzweck vor allem GnuPG anbietet. Es ist sowohl f\u00fcr Windows, Mac, Linux als auch BSD verf\u00fcgbar. Ein weiterf\u00fchrender Artikel wird sich in einer der n\u00e4chsten Ausgaben der Graswurzelrevolution intensiver mit dieser Software auseinandersetzen. Abzuraten ist der Gebrauch von Anbietern, die alle Passw\u00f6rter f\u00fcr einen speichern, insbesondere, wenn sie wie Microsoft, Apple oder Lastpass im Hoheitsgebiet der NSA beheimatet sind. Das gilt auch f\u00fcr die Verwendung von Cloud-Speichern.<\/p>\n
Virenscanner sind ein zweischneidiges Schwert. Diese Aussage mag manchen schockieren, da Virenscanner zumindest unter Windows als selbstverst\u00e4ndlich gelten. Jedoch erh\u00f6ht eine Virenscanner-Software immens die Komplexit\u00e4t des Codes, der auf einem Computer ausgef\u00fchrt wird. Sie kann unter Umst\u00e4nden sogar dazu f\u00fchren, dass er einzig und allein durch die Verwendung eines Virenscanners oder einer Personal Firewall angreifbar wird.<\/p>\n
Viren gelangen in den meisten F\u00e4llen \u00fcber unbedarfte Downloads, verseuchte Emails und Datentr\u00e4ger, sowie \u00fcber die Online-Werbung auf das System. Letzteres kann mit einem Ad-Blocker im Browser elegant umgangen werden, die anderen durch bewussten Umgang mit externen Medien. Der Autor verwendet seit 16 Jahren keinen Virenscanner mehr und musste sich Viren zu Forschungszwecken aus dem Internet laden. Das mag auch daran liegen, dass er seitdem ausschlie\u00dflich freie Betriebssysteme wie Linux und BSD einsetzt.<\/p>\n
Personal Firewalls sind Virenscanner f\u00fcr Netzwerkverkehr anstatt f\u00fcr Dateien. Somit gelten f\u00fcr sie dieselben Bestimmungen. Der Autor m\u00f6chte nicht grunds\u00e4tzlich von Virenscannern abraten, h\u00e4lt sie jedoch f\u00fcr \u00fcberfl\u00fcssig, da sie nur vor Massenattacken sch\u00fctzen, die leicht vereitelt werden k\u00f6nnen. Bei gezielten Angriffen wird in der Regel ein speziell angepasster Exploit mit manipuliertem Payload (bekanntes Angriffsprogramm aber mit umgeschriebenem Code) oder ein eigens f\u00fcr diesen Einsatzzweck geschriebener Virus \/ Trojaner eingesetzt, der von Virenscannern nicht erkannt wird. Zus\u00e4tzlich sei erw\u00e4hnt, dass es Dienste im Internet gibt, mit denen ein Angreifer untersuchen kann, ob der verwendete Code bemerkt wird.<\/p>\n
Cloud-Speicher wie Apples iCloud, Google Drive, Dropbox oder Microsofts OneDrive erfreuen sich gro\u00dfer Beliebtheit. Sie sind praktisch, um Daten zwischen Ger\u00e4ten oder Personen auszutauschen oder f\u00fcr Backups. All diese erw\u00e4hnten Dienste speichern ihre Daten in den USA – dem Hoheitsgebiet der NSA. Aber selbst wenn sie die Daten in L\u00e4ndern mit anerkannten Datenschutzgesetzen wie Deutschland oder der Schweiz speichern: Die Daten liegen – meist vollkommen ungesch\u00fctzt – au\u00dferhalb der Kontrolle ihrer BenutzerInnen. Was der Dienstanbieter mit den Daten anstellt und wem er sie weiter gibt, wei\u00df der Benutzer nicht – Vertr\u00e4ge und AGBs hin oder her – solche Anbieter sind an die Gesetze ihres Landes gebunden. Sofern ein solcher Dienst verwendet wird, sollten die Daten mit brauchbaren Verschl\u00fcsselungstechniken (AES256 oder RSA Keys ab 2048 Bit sind die g\u00e4ngigsten Varianten) gesichert werden mit einem Passwort \/ Private Key, der dem Cloud Anbieter nicht bekannt ist. Kann der Verwender eines Cloud Dienstes dies nicht gew\u00e4hrleisten, ist die Verwendung solch eines Dienste abzulehnen und stattdessen ein eigener Dienst mittels ownCloud oder nextCloud (oder \u00e4hnlicher Open Source Software) auf eigenen Computern zu empfehlen.<\/p>\n
F\u00fcr das Smartphone gelten generell dieselben Regeln wie f\u00fcr einen normalen Computer, mit dem Zusatz, dass es meist mehr Funktionalit\u00e4t anbietet und portabler ist. Generell sollte die Mitnahme von Smartphones \/ Smartwatches mit integrierter Sim-Karte und anderen Handys zu Demonstrationen wohl \u00fcberlegt sein, da \u00fcber die IMSI auf der Sim-Karte eine Zuordnung der Person zu der Demo vorgenommen werden kann – geschehen unter anderem bei \u201cFreiheit statt Angst\u201d-Demonstrationen \u00fcber massenhafte Funkzellen-Abfragen (mehr dazu gibt es bei der Digitalen Gesellschaft https:\/\/digitalegesellschaft.de\/wp-content\/uploads\/2014\/08\/2014-Demotipps-Mobiltelefone.pdf).<\/p>\n
Sollte ein Smartphone v\u00f6llig unkonfiguriert benutzt werden, speichert es so ziemlich s\u00e4mtliche Aktionen, die man damit ausf\u00fchrt und sendet die meisten davon auch noch an Server in den USA, was jedoch in den Privatsph\u00e4re-Einstellungen des Telefonbetriebssystem-Anbieters (sprich bei Google und Apple) ge\u00e4ndert werden kann. Ein gesonderter Artikel wird sich in einer der n\u00e4chsten Ausgaben der GWR ausf\u00fchrlich mit der Absicherung von Smartphones besch\u00e4ftigen.<\/p>\n
WLAN und GPS sollten auf jeden Fall ausgeschaltet werden, sofern sie momentan nicht gebraucht werden, da \u00fcber sie eine Standortbestimmung vorgenommen und bei den Standard-Einstellungen in der Cloud gespeichert werden. Das automatische Backup sollte ebenfalls deaktiviert werden, da es s\u00e4mtliche Keys und Passw\u00f6rter, die zur Verschl\u00fcsselung verwendet werden, in der Cloud speichert. Bluetooth deaktiviert man ebenfalls am besten und nicht nur aus Gr\u00fcnden des Energiesparens, sondern auch, weil Bluetooth ein hervorragendes Angriffsziel sein kann wie die k\u00fcrzlich ver\u00f6ffentlichten Blueborne-Attacken beweisen. Falls Du ein Technik begeisterter Anwender bist, deaktiviere USB Debugging, da Bedarfstr\u00e4ger dadurch Dein Telefon mittels USB-Kabel fernsteuern und sicherheitsrelevante Einstellungen wie einen PIN-Code einfach l\u00f6schen k\u00f6nnen. Ein gesonderter Artikel wird sich in einer der n\u00e4chsten GWR-Ausgaben ausf\u00fchrlicher mit dem Thema Smartphone auseinandersetzen.<\/p>\n
Digitale Assistenten, die mit sogenannter k\u00fcnstlicher Intelligenz dem Benutzer das Leben erleichtern sollen, sind der neueste Hype der IT-Industrie. Egal ob Siri, Alexa oder die neueste Barbie Puppe (www.spiegel.de\/spiegel\/print\/d-140390019.html), allen ist gemein, dass sie auf Sprache reagieren und Aktionen ausl\u00f6sen. Dazu belauschen sie alles, was in ihrer Umgebung gesprochen wird und senden die Daten in die Cloud. Dort wird mit Hilfe von propriet\u00e4ren Algorithmen analysiert, \u201cob sie sich angesprochen f\u00fchlen sollen\u201d, sprich, ob der Benutzer ihnen einen Befehl gesendet hat. Zumindest Befehle werden in der Regel in der Cloud gespeichert, damit man auch in f\u00fcnf Jahren noch wei\u00df, welche Pizza o.\u00e4. man an jenem Tag dank des Assistenten bestellt hat. Den Autor erinnern solche Ger\u00e4te sehr an die Teleschirme aus dem Roman 1984 von George Orwell, und er lehnt es grundweg ab, ein digitales Ohr in seiner Wohnung zu installieren.<\/p>\n
Vergleichbar zu den digitalen Assistenten lassen sich auch Smartfernseher per Sprache bedienen und schicken dazu jedes gesprochene Wort zu Servern des Anbieters. Bekannt geworden ist ein Fall von Samsung TVs ((8)). Im Zuge des Vault7 Leaks ((9)) durften wir au\u00dferdem erfahren, dass der CIA dazu in der Lage ist, bestimmte Samsung TVs zu hacken und als Wanze zu verwenden.<\/p>\n
Wer die Firewall seines Routers selbst\u00e4ndig konfigurieren kann, sollte daher allen Netzwerkverkehr seines Fernsehers sperren und nur die n\u00f6tigen Verbindungen zulassen, die es zum fernsehen ben\u00f6tigt. Allen anderen bleibt nur, den Netzwerkstecker zu ziehen, solange der nicht f\u00fcr das Fernsehen notwendig ist.<\/p>\n
Ein Auto ist heutzutage ein kleines Rechenzentrum auf R\u00e4dern. Rund 50 Sensoren und unz\u00e4hlige Chips sind in ihm verbaut. Automechatroniker spielen schon seit vielen Jahren mehr Software-Updates ein, als dass sie Werkzeug in die Hand nehmen. Das Auto speichert viele Daten wie Beschleunigungs- und Bremsverhalten oder H\u00f6chstgeschwindigkeit zu bestimmten Zeiten. Manche melden gar autonom dem Hersteller, dass ein Bauteil bald kaputt geht oder spielen ohne Zutun des Benutzers Software Updates ein – auch w\u00e4hrend der Fahrt. Es gibt Fantasien – deren Realisierung eigentlich schon Realit\u00e4t ist, dass Autos untereinander vor Staus oder gef\u00e4hrlichen Situationen warnen oder auf der Autobahn auf den Pannenstreifen fahren, wenn sie f\u00fcrchten einen Schaden zu erleiden. Und bei alldem wurde das Thema selbstfahrende Autos noch nicht einmal erw\u00e4hnt. Viel wichtiger f\u00fcr uns sind allerdings die Daten, die das Navigationssystem generiert. Es speichert nicht nur gefahrene Routen, sondern auch Parkpositionen. Routen k\u00f6nnen durch digitale Forensik auch dann meist wieder rekonstruiert werden, wenn diese vom Benutzer gel\u00f6scht worden sind.<\/p>\n
Es ist daher zu empfehlen, das Navigationssystem auszuschalten bzw. – sofern m\u00f6glich – vom Fahrzeug zu trennen, falls dieses nicht ben\u00f6tigt wird. Autos k\u00f6nnen jedoch je nach Hersteller und Modell eigene SIM-Karten samt GPS eingebaut haben und insofern wie ein Smartphone funktionieren, v\u00f6llig ohne Wissen und Beteiligung des Fahrzeugbenutzer. Der sollte sich bei seinem Fahrzeuganbieter besser \u00fcber derlei \u201cZusatzfunktionen\u201d informieren. Der beste Schutz ist allerdings, das Auto einfach stehen zu lassen (bzw. keins zu besitzen) und stattdessen die Bahn, die F\u00fc\u00dfe oder das Fahrrad zu verwenden.<\/p>\n
Je mehr wir uns abh\u00e4ngig machen von sogenannten \u201cDigitalen Assistenten\u201d und \u201cSmart Devices\u201d, desto mehr Daten werden \u00fcber uns gesammelt. Je nach Anbieter und Ger\u00e4t haben wir eventuell die M\u00f6glichkeit dies per pers\u00f6nlicher Einstellung zu unterbinden. Es bleibt jedoch ein leicht bitterer Beigeschmack, ob sich der Dienste- \/ Ger\u00e4teanbieter wirklich an unsere \u201cBitte\u201d h\u00e4lt. F\u00e4lle wie das L\u00f6schen von Iphotos, die \u00fcber ein Tool von Elcomsoftware wiederhergestellt werden k\u00f6nnen, sprechen eine andere Sprache. Der Autor empfiehlt, Cloud-Anbietern generell zu misstrauen und generell auf Open Source Software zu setzen. Dies erfordert etwas Handarbeit, ist heutzutage aber nicht mehr so kompliziert wie vor ein paar Jahren. Bei Bedarf helfen Linux User Gruppen oder ERFAs und Chaostreffs des Chaos Computer Clubs bestimmt gerne weiter. Fragen ist auf jeden Fall besser, als sich der Ohnmacht eines externen Cloudanbieters zu ergeben.<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Einf\u00fchrung Die wichtigste Regel lautet: \u201cJe weniger Software Du installierst, desto weniger Angriffsm\u00f6glichkeiten gibt es\u201d, gleich gefolgt von dem Prinzip: \u201cJe weniger Einsatzgebiete, desto weniger Risiko\u201d. Diese Regel bedeutet, dass Du am sichersten bist, wenn Du f\u00fcr kritische Sachen wie Online-Banking oder politische Aktionen einen eigenen Computer \/ Smartphone (samt Google oder Apple Account) verwendest, … Weiterlesen<\/a><\/p>\n","protected":false},"author":502,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"slim_seo":{"title":"Digitale Selbstverteidigung - graswurzelrevolution","description":"Einf\u00fchrung Die wichtigste Regel lautet: \u201cJe weniger Software Du installierst, desto weniger Angriffsm\u00f6glichkeiten gibt es\u201d, gleich gefolgt von dem Prinzip: \u201cJe"},"footnotes":""},"categories":[1000,1060],"tags":[1472],"class_list":["post-17404","post","type-post","status-publish","format-standard","hentry","category-424-dezember-2017","category-bits-and-bytes","tag-open-source"],"_links":{"self":[{"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/posts\/17404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/users\/502"}],"replies":[{"embeddable":true,"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/comments?post=17404"}],"version-history":[{"count":0,"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/posts\/17404\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/media?parent=17404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/categories?post=17404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.graswurzel.net\/gwr\/wp-json\/wp\/v2\/tags?post=17404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}