Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Grundbedingung ist der Basis-Schutz für alle Internet-Nutzer

Bevor Sie sich über den Schutz gegen NSA High Tech Überwachungen Gedanken machen, müssen Sie zuerst ihre IT-Geräte mittels Basis Hygiene Regeln absichern, sonst sind sie nicht nur für die Profis der NSA transparent, sondern auch für alle anderen "Bösen" im Internet, von denen es genug gibt.

Ein wichtiger Punkt für die Zielgruppe mit erhöhtem Schutzbedarf: Schutz von Daten bei Grenzübertritten. Kurzfassung: Keine sensiblen Daten mit sich tragen.

Ebenfalls zur Grundhygiene gehören vernünftige Passworte, unterschiedlich für alle Websites. Wer hier schlampt, der ist gegenüber Angreifern aller Art wehrlos, nicht nur gegenüber der NSA.

Denn auch die NSA und die anderen Dienste bevorzugen low-tech Angriffe - wenn der PC oder der Web-Account schlecht geschützt ist, so wird die NSA nicht versuchen, Verschlüsselungen zu knacken.

Ein ehemaliger Chef der NSA hat jetzt ausdrücklich erklärt: Angriffe über Zero-Days sind teuer und gar nicht so wichtig, Angriffe mittels Social Engineering und Passwort-Schlampereien sind viel einfacher.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

 

 

 

 

 

Wie kann man sich gegen professionelle, d.h. gezielte Überwachungen und Angriffe schützen?

Autor: Philipp Schaumann

Letzte Änderungen: Juli 2017

Anlass dieses Artikels sind die Veröffentlichungen durch Edward Snowden (und spätere Whistleblower), die aufgezeigt haben, dass die Geheimndienste mit ihren Angriffen viel tiefer in die IT-Infrastruktur eingedrungen sind, als das bisher angenommen wurde. An anderer Stelle gibt es Details zu den Angriffen durch die NSA. Ebenfalls getrennt schreibe ich über die Frage, ob wir Verteidiger eigentlich noch in der gleichen Liga spielen wie die NSA?

Tipps für Opfer von Stalking oder Menschen, die von Ex-Partnern bedroht werden und andere die ihren Fußabdruck im Netz verkleinern wollen

Die folgende Website richtet sich mit ihren Tipps vor allem an Frauen, die bedroht sind und ihren digitalen Fußabdruck im Netz deutlich verkleinern wollen ohne die Kontakt- und Vernetzungsmöglichkeiten die das Internet bietet aufzugeben: DIY ONLINE SECURITY GUIDE FOR EVERY WOMAN. Die Tipps gelten aber nicht nur für Frauen, sondern für jede/jeden der sicherer im Internet unterwegs sein möchte.

Hier der Link zu einen Privacy Test mit deren Hilfe jede/jeder sehen kann, welche Daten fremde Personen über uns sehen können. Die Website gehört wohl zu dem Buch "violet blue: the smart girl's guide to privacy - practical tips for staying safe online".

Die Kernfrage dieses Artikels hier ist, kann ich mich gegen Überwachung durch Profis, z.B. die Geheimdienste wie NSA, GCHQ, China aber auch die kleineren, aber durchaus sehr aktiven Geheimdienste von Ländern wie Iran, Saudi Arabien, usw. und auch gezielte Angriffe zwecks Industriespionage wirklich schützen? Einige Antworten auf diese Frage gibt ein Mitarbeiter der kanadischen Organisation Citizen Lab, die sich um den Schutz von kritischen Journalisten bemühen, deren Geräte von ihren Regierungen, auch mit Hilfe von westlichen Zero-Day Händlern wie Vupen, FinFisher, Revulvn und Hacking Team infiziert und übernommen werden. Hier der Artikel Security for the High-Risk User.

Für alle die weniger ehrgeizig sind und sich mit der Fragestellung begnügen "wie kann ich meinen Daten-Footprint reduzieren und mich etwas weniger transparent machen" folgt ein spezieller Abschitt weiter unten. Ende 2014 im Spiegel die Zusammenfassung eines Vortrags vom CCC-Event zur Frage, welche Verschlüsselungen noch sicher sind.

Diese Fragestellung versucht auch Krypto-Experte Matthew Green in einem ausführlichen Artikel zu bantworten (und zwar nach der Veröffentlichung einer neuen Serie von Snowden-Dokumenten im Spiegel). Seine Kernpunkte sind: es gibt 3 Methoden um Verschlüsselungen zu "knacken". Erstens der Angriff gegen die Mathematik dahinter, dies scheint auch der NSA nur in ganz wenigen Ausnahmefällen gelungen zu sein. Zweitens die Implementierung, d.h. Programmierfehler bei der Umsetzung der Mathematik, z.B. Angriffe die darauf beruhen, die Gegenstelle dazu zu bringen, eine andere, schwächere Verschlüsselung zu verwenden ("Fallback"). Solche Tricks werden vermutlich, wo möglich, häufig ausgenützt, können aber durch Patchen von Problemen wie Heartbleed behoben werden. Der dritte Angriff ist das Stehlen von Schlüsseln und das scheint eine der Hauptattacken gegen starke Verschlüsselung zu sein. Dies scheint eine der wichtigen Aufgaben ihrer Abteilungen für technische Angriffe zu sein.

Und in wichtigen Firmen hat die NSA Mitarbeiter an technischen Schlüsselpositionen, die für sie z.B. die Master-Schlüssel für die HTTPS-Verbindungen stehlen. Außerdem hält Matthew Green es für beachtlich, dass die NSA zum Zeitpunkt als die neuen Snowden-Papiere geschrieben wurden, noch keine größeren Fortschritte bei der De-Anonymisierung von TOR gemacht hatten. Die Anonymität in TOR verlässt sich darauf, dass es keinen Angreifer gibt, der eine große Zahl von Knoten und/oder deren Datenverkehr überwachen kann. Genau das scheint aber für die NSA der Fall zu sein, d.h. die Sicherheit von TOR gegen "durch die NSA abgehört werden" ist fraglich.

Die Verschlüsselungen, bei denen die NSA zum Zeitpunkt der letzten Snowden-Papiere noch Probleme hatte sind Truecrypt, PGP/GPG, ZRTP (z.B. in Redphone) in OTR (off the record) messaging (hier die Liste der Implementierungen). Gemeinsam haben diese Protokolle folgende Features: Sie sind End-to-End und die Schlüssel liegen beim End-Anwender, d.h. nicht bei einem großen Anbieter, der angegriffen oder unterwandert werden könnte. D.h. dies scheint eine Strategie gegen das Abgehört-Werden zu sein.

Natürlich ist auch die Position richtig, die hier 2016 in einem Vortrag präsentiert wird: Wer explizite Verschlüsselungen wie PGP nutzt ist für die Abhörer deutlich sichtbar, auch wenn sie nicht an die Inhalte kommen. Wer anderseits PGP nicht nutzt um nicht aufzufallen, der hat sich schon an die Überwachungsgesellschaft angepasst, die Überwacher sind ihrem Ziel wieder einen Schritt näher.

Wie gut ist eigentlich die Internetbanking-Website ihrer Hausbank?

Das prüft man am leichtesten mit Hilfe dieser URL: Qualys SSL Labs Server Test. Sie geben einfach den vorderen (Domain-)Teil der URL ein die Sie während der Banking-Session und/oder beim Login im Browser angezeigt bekommen. Wichtig ist nicht nur, dass dort starke Algorithmen angeboten werden, sondern auch, dass schwache Ziffern gar nicht erlaubt sind.

Denn ein Man-in-the-Middle Angreifer wird versuchen, den Server in Ihrem Namen zu überzeugen, dass ihr Browser nur schwache Verschlüsselungen kann. Dann sollte ihre Bank die Verbindung ablehnen. Falls die Server ihrer Bank schlecht abschneiden, dann sollten Sie diese kontaktieren.

Anlass dieses Abschnitts sind die vielen Artikel in 2013 rund im PRISM, die immer wieder gute Tipps geben, ob und wie wir uns gegen solche Überwachungen schützen können. Viele der Artikel greifen aber zu kurz, d.h. sie geben schnelle Antworten wie z.B. Emails verschlüsseln und TOR einzusetzen; Lösungen,die aber oft nur sehr unvollständige Lösungen sind [Für alle, die auf verschlüsselte Emails umsteigen wollen habe ich an anderer Stelle ein paar Tipps]. (Der hier verlinkte Artikel bringt übrigens einige Beispiele von Österreichern, die überwacht wurden und denen z.B. die Einreise in die USA verweigert wurde.) Hier übrigens der Artikel von Secorvo in Deutschland, der (wie üblich) sehr korrekt, umfassend und voll mit guten Tipps ist: Secorvo Newsletter August 2013.

Eine juristisch-politische Lösung ist notwendig

Eines der größten Probleme bei der Umsetzung einer politischen Lösung ist das Theater der Angst, das bewusst erzeugt wird und das ich an anderer Stelle beschreibe.

An anderer Stelle berichte ich ausführlich, welche vielfältigen Spuren wir im Internet hinterlassen. Um ALLE diese Spuren zu verwischen oder gar nicht erst entstehen zu lassen wäre ein erheblicher Aufwand notwendig. Letztendlich müsste man aus der modernen Informationsgesellschaft aussteigen, denn beim Absichern von Kommunikation müssen die Gesprächspartner mitspielen auch mitspielen - ich kann verschlüsselte Emails nur mit Menschen austauschen, die auch zu diesem Aufwand bereit sind. Das mag für einige wenige Menschen akzeptabel sein, ist aber sicher nicht die große Lösung für die Gesellschaft.

Die große Lösung kann nur darin bestehen, dass die Wild-West-Mentalität, dass das nur marginal eingeschränkte Sammeln von Daten und das Tracken der Menschen im Internet legitim ist, gesetzlich eingebremst wird. Das betrifft die professionellen Datensammler genauso wie die Social Network-Betreiber und auch die (Sicherheits-)Behörden und "Law Enforcement".

Das könnte z.B. beim Datenschutz so aussehen, wie die neue geplante EU-Datenschutzverordnung das vorsieht, gültig aber bitte weltweit. Und beim Zugriff der Sicherheitsbehörden auf Kommunikationsdaten muss zurückgekehrt werden zu einem Stand, bei dem dringender Verdacht auf ein schweres Verbrechen, bestätigt durch einen unabhängigen Richter, besteht - auch weltweit.

Den Punkt, dass nur eine grundlegende Änderung der gesetzlichen Regelungen die Privatsphäre (die durch die Social Network + flächendeckende Überwachung durch Regierungen und Firmen verletzt wurde) wiederherstellen kann, den macht auch Bruce Schneier in 2 sehr guten Vorträgen: 12 Minuten Bruce Schneier auf TEDxund 1 Std Bruce Schneier in Lausanne bei der EPFL.

Sommer 2014 veröffentlicht eine kritische US-Organisation eine Studie zu den Kosten die die Überwachung für die Wirtschaft der USA, die Interessen der US-Außenpolitik und die grundsätzliche Sicherheit im Internet haben: Personal Privacy Is Only One of the Costs of NSA Surveillance. Natürlich ist auch diese Analyse nur aus Sicht und Interessenlage der USA geschrieben, aber aus genau diesen Interessen fordert die Studie, dass Garantien für die Privatsphäre von US- und Nicht-US-Bürgern benötigt werden, um diese Schäden für die USA zu beheben, bzw. zu begrenzen. (Der Artikel verlinkt auf den Gesamttext der Studie mit den Vorschlägen).

An anderer Stelle mehr zu wer hat die Macht im Internet?

Auf ZDNet wurde da z.B. die Frage aufgeworfen, mit welchen Apps man sich dem Abhören entziehen kann: Top four anti-surveillance apps. In dem Artikel werden 4 Smartphone Apps vorgestellt, die eine sichere End-to-End- (d.h. Peer-to-Peer) Verbindung aufbauen, die zwar über die öffentlichen Datennetze läuft, aber verschlüsselt ist und (hoffentlich) erst am Endpunkt (d.h. beim Gesprächspartner) wieder entschlüsselt wird. Die dort gelisteten Apps decken mehrere Kommunikationswege ab, von Gesprächen bis Text-Chats. Einige beruhen auf dem durchaus empfehlenswerten TOR-Projekt, mit dessen Hilfe die eigene IP-Adresse verborgen werden kann.

Eine andere Option, die eigene IP zu verschleiern sind die sog. VPNs (Virtual Private Networks). Sie erstellen einen Tunnel vom eigenen Gerät zu einem Endpunkt typischerweise in einem anderen Land. Sie werden z.B. auch verwendet, wenn ein Dienst im eigenen Land blockiert wird. Hier eine Warnung dass bei einer Untersuchung von 238 VPN-Apps im Playstore die meisten der von den Forschern analysierten Apps schwere Mängel aufweisen. So verschlüsseln ganze 18% den Datenverkehr gar nicht, nur 16% verschlüsseln IPv6-Pakete und 66% tunneln keine DNS-Anfragen. Einige manipulieren den HTTP-Verkehr um Werbung oder Tracking unterzubringen. Der Tipp: nur Apps von Herstellern verwenden, die eine gute Reputation genießen – auch wenn dies mit Kosten verbunden sein sollte.

Allerdings stellt das Verschleiern der eigenen IP-Adresse allein noch keine Anoymität her, wie ich unter Spuren im Internet zeige. Das sagen auch die NSA-Researcher. Wenn genügend Daten verknüpft werden, kommt irgendwann die wirkliche Identität heraus, spätestens dann, wenn irgendwo bezahlt werden muss. Eine recht gute Einführung zu TOR findet sich im Artikel Everything you need to know about using TOR. Auch der Artikel weist darauf hin, dass trotz der Nutzung von TOR immer noch Cookies gesetzt werden und andere Spuren im System bleiben können. Daher sagen viele Profis, dass TOR nur in Verbindung mit Tails sicher ist. Bei Tails (The Amnesic Incognito Live System) handelt es sich um ein Linux System, das von einem nicht beschreibbaren Datenträger gestartet wird (CD-ROM oder USB-Stick mit Schreibsicherung) und auf dem wirklich keine Spuren, z.B. Cookies verbleiben können. Jeder Neustart liefert das Originalsystem. Mehr Details zu TOR finden sich an auch anderer Stelle.

Die "sicherheitskultur.at" ist voll von Geschichten, bei denen "professionelle" Hacker 1 Fehler gemacht haben und die Anonymität ist schon aufgeflogen. So ein Fehler kann z.B. sein, ein einziges Mal auf Facebook oder Twitter ohne TOR zugegriffen zu haben, oder die Nutzung eines Nicknames aus der Zeit vor der Hacker-Karriere oder ähnliches. An anderer Stelle gibt es mehr Beispiele zur Falle "Nicknames".

Wichtig ist jedoch der letzte Abschnitt des ganz oben zitierten Artikels: Es ist fraglich, ob jemand, der seine Privatsphäre bedroht sieht und eine verschlüsselte Kommunikation will, überhaupt ein Handy benutzen sollte. Denn ein Handy, egal ob anonyme Wertkarte oder Vertrag, muss um erreichbar zu sein, seinen Standort an die nächste Base Station liefern. Überwacher, die darauf Zugriff haben, können sich ein sehr schönes Bewegungsprofil erstellen und nach einigen Tagen Beobachtung ist sehr leicht, auf der Basis des Bewegungs- und Aufenthaltsprofils auch einen Namen dazu zu schreiben.

 

Ganz wichtig: 2-Faktor Authentisierung

Wer die Mail- oder Cloud-Dienste von Google, Apple, etc oder die verschlüsselnden Messenger Systeme benutzt, der sollte zum eigenen Schutz zumindest die 2-Faktor Authentisierung aktivieren.

Denn größer als die Gefahr dass die Admins ihre Mails lesen oder auf ihre Fotos zugreifen ist mit Abstand, dass Kriminelle ihnen den Account abnehmen wollen. Und das, auch unter Zuhilfenahme des jeweiligen Helpdesks, viel schneller als Sie glauben würden, hier ein Beispiel. Ziemlich sicherer Schutz dagegen ist das Aktivieren der 2-Faktor Authentisierung.

Die Organisation AccessNow berichtet von Angriffen auf politische Aktivisten, denen (vermutlich) mittels Social Engineering-Angriffen ihre Twitter- oder Facebook-Accounts abgenommen wurden. Die Accounts werden dann von politischen Gegnern verwendet um die Aktivisten zu diskreditieren und Verwirrung zu verbreiten. 2-Faktor Login macht solche Angriffe deutlich schwerer.

Webmail-, Social Network- und andere Cloud-Dienste, in USA oder in Europa

Der Sicherheitsexperte Bruce Schneier fast die Problematik von Cloud-Diensten so zusammen: Meine Daten auf einem fremden Server.

Wer einen Webmailer nutzt, von dem liegen alle Emails unverschlüsselt bei dem jeweiligen Anbieter. Natürlich kann man einen Service wie Hotmail oder Gmail nutzen und als Inhalte immer nur verschlüsselte Daten senden (z.B. mit GnuPG), aber das bedeutet, dass bereits bei einer oberflächlichen Analyse dieser Account ganz laut ruft "ich habe was zu verbergen". Und außerdem ist das nicht wirklich praktikabel - das ist recht mühsam und die wenigsten Email-Partner können damit umgehen.

Email-Nutzer die nicht ganz transparent sein wollen sollten sich ernsthaft überlegen, ob eine kostenlose amerikanische Email-Adresse bei einem der großen US-Anbieter eigentlich die richtige Wahl für ihre wirklich private Kommunikation ist. Bitte bedenken Sie die alte Regel: "Da wo ich nichts zahle, da bin ich nicht Kunde sondern die Ware". Wollen Sie ihre persönliche Kommunikation wirklich zur Auswertung durch Datenhändler zur Verfügung stellen?

Es gibt als Alternative deutsche Anbieter die zwar nicht kostenlos, aber durchaus erschwinglich sind: 1 Euro pro Monat pro Mailbox. Die Stiftung Warentest hat 15 Dienste geprüft und 2 davon als sehr empfehlenswert beurteilt: Posteo und Mailbox.org. Diese Firmen unterliegen dem europäischen Datenschutzvorschriften und leben auch nicht davon, dass sie die Kundendaten für Werbung verwenden müssen. Ich persönlich bin seit einigen Jahren zufriedener Kunde von mailbox.org. Beide bieten Webzugang und die Unterstützung von Mailprogrammen wie Outlook oder Mozilla Thunderbird, und auch verschlüsselte Emails.

Email-Verschlüsselung ist leider auch nach Jahrzehnten der Verfügbarkeit immer noch nicht wirklich einfach zu nutzen. Hier ist eine Verlinkung auf einen Artikel der die alternativen Optionen zu Email-Verschlüsselung darstellt.

Eine wichtige Entscheidung ist, ob man die sicherste Methode verwenden will: nämlich Entschlüsselung der Mails nur auf dem eigenen Gerät zu Hause oder Entschlüsselung auch auf dem Webserver des Mailbetreibers. Beide oben empfohlenen deutschen Anbieter unterstützen beide Optionen. Bei Ver- und Entschlüsselung auf dem Webserver des Anbieters liegt natürlich der private Schlüssel (auch) dort. Ich selbst verwende GnuPG als Plugin zu Outlook, was aber den Nachteil hat, dass ich von unterwegs keine verschlüsselten Mails senden und entziffern kann.

Deutlich sicherer wäre es, wenn man alle Mails nur auf seinem eigenen Rechner speichert, z.B. mittels Thunderbird oder Outlook. Die Verbindung vom Mail-Client zum Mailserver lässt sich heute fast immer verschlüsselt konfigurieren, aber danach hört es leider schon wieder auf. Es wäre leicht, für die Kommunikation zwischen Mail-Servern TLS/SMTP mit entsprechender Server-Authentifizierung zu nutzen, dies wird aber leider häufig nicht getan. Außerdem hängt die Sicherheit dann von meinem Kommunikationspartner ab. Wenn dieser seine Mails auf Gmail hat, so ist damit nicht viel gewonnen.

Da ist mein Vertrauen zu den deutschen Anbietern schon deutlich besser, auch wenn deren Admins natürlich auf unverschlüsselte Mails durchaus zugreifen könnten.

Welche Spuren wir in Social Networks hinterlassen, das steht in: Privatsphäre und Social Networks.

Ein weiteres düsteres Kapitel sind die übrigen Cloud-Dienste, zu denen natürlich auch die iCloud zählt. Sie behaupten alle, dass die Daten sicher sind, weil sie verschlüsselt übertragen werden. Das stimmt sogar häufig, auch wenn es dabei manchmal Schwächen gibt (siehe der vorige Link), aber auf den Servern sind die Daten dann doch wieder weitestgehend im Klartext und damit für die Administratoren und die Behörden leicht zugänglich (mehr dazu im vorigen Link). Cloud Speicher können unproblematisch genutzt werden (sogar Dropbox) falls die Daten vor dem Versand auf den eigenen Systemen sicher verschlüsselt werden und diese Schlüssel nicht durch den Dienst "recovered" werden können.

Das heißt, letztendlich kann die Antwort nur sein: Wenn ich in der modernen Informationsgesellschaft voll mitspielen möchte und integriert sein, dann kann ich meine Daten nicht gegen die Behörden schützen. Dies ist nur durch entsprechende Gesetze möglich (wie wir sie in Europa ja weitgehend noch haben - die Vorratsdatenspeicherung betrifft zwar auch einige der Daten auf die in den USA zugegriffen wird, aber in Europa werden sie (noch) nicht ohne Gerichtsbeschluss übertragen und in Österreich sind kleinere Provider (< 277.000 Euro im Jahr) ganz von der Speicherpflicht ausgenommen, die Liste findet sich im Internet).

Aber auch wenn es fast unmöglich ist, keine Spuren zu hinterlassen, so kann man sie jedoch reduzieren, z.B. indem man für die Suche DuckDuckGo oder IXQuick genutzt. Die Dienste beziehen zum Teil ihre Antworten von Google, aber speichern nicht, wer was angefragt hat. Gute Tipps zur Datenvermeidung gibt prism-break.org.

Einen interessanten Artikel zur langfristigen Perspektive hat Wolfgang Michal geschrieben: Rote Cyber-Fraktion im Jahr eins nach Snowden. Er diagnostiziert eine Ernüchterung bei vielen ehemals Internet-Begeisterten, die zu einem Abrutschen in eine militante Netzguerilla münden könnte (Frage: Ist der Sony Angriff ein erstes Zeichen oder war das wirklich Nordkorea?).

 

 

 

 

Wie kann ich als Internet-Nutzer meinen Daten-Footprint etwas reduzieren und etwas weniger transparent sein

Jetzt die Variante denen die vollständige Anonymität und Verschlüsselung zu mühsam ist, die aber trotzdem etwas weniger durchsichtig erscheinen wollen, nicht nur gegen über den Profis von der NSA, sondern auch denen von Facebook, Google, etc.

Der Artikel in der Futurezone „NSA hat Kryptografie nicht geknackt“ gibt gute Hinweise. Erich Möchel sagt, dass auf keinen Fall Grund dafür besteht, jetzt zu sagen, die können ja eh alles lesen, jetzt es ist sowieso egal. Zitat: „Die NSA sind auch nicht die Mathematik-Götter, die das Universum neu entdeckt haben“.

Und dann bringt er einen simplen Punkt den ich hier als Basis aufgreifen möchte: Verwenden Sie viele unterschiedliche Browser, denn die kommunizieren nicht miteinander. Facebook ist daran interessiert, was Sie sonst noch alles im Web anschauen. Das muss nicht sein (außer Sie wollen mit Likes und Shares ihren Friends ihr Websurfing transparent machen, dann betrifft Sie das Folgende kaum). Sie können 1 Browser, z.B. Safari, dafür verwenden, in Facebook immer eingeloggt zu bleiben, das ist bequem. Wenn Sie aber das Web-Surfing ansonsten mit Firefox machen, dann bekommt Facebook das nicht mit, ansonsten schon.

Der Autor schlägt vor, 1 Browser für Online-Banking und auch sonstiges Browsen zu verwenden, davon rate ich sehr ab. Denn Banking Trojaner holt man sich auf Seiten, auf denen Werbung geschaltet ist, z.B. Zeitungen oder Kochrezepte oder Wetter, oder . . . Ich verwende 1 Browser dediziert nur für Banken, dort kann ich mir kaum einen Browser-plugin "eintreten" (Trojaner sehr wohl, siehe Grundhygiene der verwendeten Geräte (PC, Mac, Smartphone)). D.h. egal wo ich vorher war, wenn ich meinen dedizierten Chrome öffne mit dem ich nur zu Banken gehe, so bin ich immer noch relativ sicher. Der Autor schlägt vor, den „verräterischen Chrome“-Browser für Google Websites zu reservieren (die wissen eh, was Sie auf ihren Seiten tun), aber die anderen Aktivitäten durch Nutzung anderer Browser nicht zu Google zurückzumelden.

Sein Vorschlag, viele Schattenprofile anzulegen ist nur sinnvoll, wenn ich mich gegen die Schnüffeleien einzelner Dienste wehren will, die NSA kann über den Vergleich der IP-Adressen die Nick-Names sehr wohl zusammenführen. Wer eber über seine Spuren im Internet erfahren möchte oder über Privatsphäre in Social Networks, für den habe ich separate Artikel geschrieben.

Hier ein Artikel aus 2017 mit einem sehr optimistischen Titel: How to encrypt your entire life in less than an hour. Ganz so einfach sehe ich das nicht, aber die Tipps sind nicht schlecht und erhöhen die Sicherheit auf jeden Fall.

 

 

 

 

Schutz für fortgeschrittene Internet-Nutzer und vor allem auch Admins

Die "BetterCrypto-Expertengruppe" - White Paper zu praktischer Kryptografie

Von der Arbeit der Administratoren der Systeme die wir im Internet nutzen hängt extrem viel ab. Ich kann mich als Internetnutzer nur wenig schützen, wenn die Websites auf die ich mich verbinde, ihre SSL (oder besser TLS) Einstellungen nicht korrekt gemacht haben. Leider hakt es dabei immer noch sehr, 90% der Systeme im Web werden in kurzer Zeit gepatcht, aber die letzten 2% nie.

Hier gibt ein Link zu ausführlichen und konkreten Anleitungen für Techniker. Das PDF beschreibt config settings für alle wichtigen Systeme und Lösungen: Applied Crypto Hardening (Liste der inkludierten Lösungen auf Seite 5).

Electronic Frontier Foundation: Surveillance Self-Defense

Ein sehr umfassendes Projekt sowohl für Profis und Admins wie auch für fortgeschrittene Enduser die sich besser schützen wollen, hat die EFF, die Electronic Frontier Foundation gestartet: EFF: SSD - Surveillance Self-Defense. Sie listen folgende Kapitel mit jeweils vielen Tipps auf:

  • Data Stored on Your Computer
  • Data on the Wire
  • Information Stored By Third Parties
  • Foreign Intelligence and Terrorism Investigations
  • Defensive Technology

Sehr umfassend, sehr empfehlenswert.

Und zuletzt, für Personen bei denen es extrem wichtig ist, dass sie anonym bleiben, der Link zu Security without borders. Die nicht-kommerzielle Organisation bietet Hilfe für politische Aktivisten und Journalisten.

Eine weitere Organisation die sich kostenlos um durch Cyber-Attacken bedrohte Aktiviten und Organisationen kümmert ist AccessNow.

 



Philipp Schaumann, http://sicherheitskultur.at/


Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.