Andere Sammlungen von Sicherheitstipps (alle englisch)securityplanner.org. Das ist ein interessanter Zugang: Die Benutzer werden mittels 3 gezielten Fragen durch eine persönliche Bedrohungsanalyse geschickt und bekommen dann gezielte Tipps für IHRE Situation. (So eine Bedrohungsanalyse (Threat Modelling) ist immer der erste Schritt. Für die in der Überschrift genannten Zielgruppen habe ich diese bereits implizit durchgeführt. Einen recht erfrischenden Zugang bietet Security Advice for Congressional Campaigns. Das ist ein kurzer Text mit m.E. guten Vorschlägen für Mitarbeiter von US-Wahlteams. Das ist keine reguläre Situation: Der Trainer hat 1 Std Zeit einige Tipps rüberzubringen, die Wahlteams sind häufiges Ziel von Phishing-Attacken und es geht nicht um reguläre IT-systeme für alles was man im Internet so tut. Daher halte ich die konkreten Vorschläge: Beschränkung auf iOS + Signal + Win10 mit Google, Gmail und Google Docs, Passwort Manager + 2-Faktor-Login überall in der konkreten Situation (ohne eine dedizierte Infrastruktur, nur Cloud-Dienste) für durchaus akzeptabel. John Scott-Railton's 'Digital Security Low Hanging Fruit.'. Der Autor geht von der gleichen Annahme aus wie ich bei meinem Basisschutz: Es gibt einige einfache Tricks die mit wenig Aufwand den Schutz deutlich erhöhen - er listet und erklärt:
Electronic Frontier Foundation EFF: SSD - Surveillance Self-Defense. Ein sehr umfassendes Projekt sowohl für Profis und Admins wie auch für fortgeschrittene Enduser die sich besser schützen wollen. Sie bieten animierte oder nicht-animierte Tutorials und Schulungen zu allen Themen der Informationssicherheit, zusätzlich mit speziellen Infos für LGBT-Personen in arabischen Ländern oder Afrika - Sehr umfassend, sehr empfehlenswert. DIY ONLINE SECURITY GUIDE FOR EVERY WOMAN. Diese Website richtet sich mit ihren Tipps vor allem an Frauen, die bedroht sind und ihren digitalen Fußabdruck im Netz deutlich verkleinern wollen ohne die Kontakt- und Vernetzungsmöglichkeiten die das Internet bietet aufzugeben. Die Tipps gelten aber nicht nur für Frauen, sondern für jede/jeden der sicherer im Internet unterwegs sein möchte. Speziell natürlich für Opfer von Stalking oder Menschen, die von Ex-Partnern bedroht werden. "Digital Security and Privacy for Human Rights Defenders". Dort gibt es für Menschenrechtsaktivisten viele Angebote, nicht nur Training, sondern sogar finanzielle Unterstützung zur Stärkung ihrer digitalen Sicherheit. Sie bieten sogar einen telefonischen Emergency Kontakt. Security without borders. Die nicht-kommerzielle Organisation bietet konkrete Hilfe für politische Organisationen und Journalisten: "We can help with penetration testing, digital forensics, malware analysis, and advanced operational security advice". AccessNow. Eine weitere Organisation die sich kostenlos um durch Cyber-Attacken bedrohte Aktiviten und Organisationen kümmert: "We defend and extend the digital rights of users at risk around the world". digital security guide by Motherboard. Langer gründlicher text, korrekt beginnend mit einer Bedrohungsanalyse (threat modelling). Hier der Link zu einen Privacy Test mit deren Hilfe jede/jeder sehen kann, welche Daten fremde Personen über uns sehen können. Die Website gehört wohl zu dem Buch "violet blue: the smart girl's guide to privacy - practical tips for staying safe online". |
Fortgeschrittener Schutz im Internet
Wie kann man sich gegen professionelle, d.h. gezielte Überwachungen und Angriffe schützen?
Weiterführende Tipps für exponierte Personengruppen wie Journalisten, Rechtsanwälte, politische und LGBTQ-Aktivisten, Personen die vor Ex-Partnern flüchten, etc.
Autor: Philipp Schaumann
Letzte Änderungen: Juni 2018
Wenn es um eine sichere Nutzung des Internets geht, so muss sich jeder die Frage stellen: "Vor wem muss/will ich mich eigentlich schützen?". Denn der Schutz im Internet ist (wie fast überall) etwas unbequemer als wenn ich einfach unbesorgt durch das Leben und das Internet ziehe. Das heißt, dass ich "wie im richtigen Leben" eine kurze "Bedrohungsanalyse" durchführen muss. (Das tun wir eigentlich grundsätzlich, z.B. wenn wir entscheiden, ob wir für unsere Wohnung bessere Schlösser installieren oder für das Eigenheim eine Warnanlage).
Diese Bedrohungsanalyse wird für exponierte Personengruppen wie Journalisten, Rechtsanwälte, politische Aktivisten, und z.B. Personen die vor Ex-Partnern flüchten zum dem Schluss kommen, dass schlimmstenfalls nicht nur die üblichen Kriminellen es auf meine Datenabgesehen haben, sondern dass auch gezielte Angriffe durch Profis möglich sind.
Grundbedingung ist der Basis-Schutz wie für alle Internet-Nutzer
Bevor Sie sich über den Schutz gegen NSA High Tech Überwachungen Gedanken machen, müssen Sie zuerst ihre IT-Geräte mittels Basis Hygiene Regeln absichern, sonst sind sie nicht nur für die Profis der NSA transparent und leicht angreifbar, sondern auch für alle anderen "Bösen" im Internet, von denen es genug gibt.
Ebenfalls zur Grundhygiene gehören vernünftige Passworte, ein eigenes FÜR JEDE Website. Wer hier schlampt, der ist gegenüber Angreifern aller Art wehrlos, nicht nur gegenüber der NSA.
Die Grundhygiene ist das allerwichtigste ist weil auch die NSA und die anderen Dienste low-tech Angriffe jederzeit bevorzugen - wenn ein PC oder Web-Account schlecht geschützt sind, so wird die NSA sich nicht die Mühe machen, Verschlüsselungen zu knacken.
Ein ehemaliger Chef der NSA hat ausdrücklich erklärt: Angriffe über Zero-Days sind teuer und gar nicht so wichtig, Angriffe mittels Social Engineering und das Ausnützen von Passwort-Schlampereien sind viel einfacher.
Etwas mehr Schutz, z.B. 2-Faktor Authentisierung
Wem das zu wenig Schutz ist und wer bereit ist, auch etwas unbequemere Lösungen zu nutzen, für den ist die nächste Sicherheitsstufe definitiv, bei allen Cloud-Diensten die 2-Faktor Authentifizierung zu aktivieren - weiter unten mehr Details zu 2-Faktor Authentisierung. (Bei der 2-Faktor Authentifizierung reicht ein Passwort für den Zugriff nicht aus, der Nutzer muss noch einen zweiten Faktor eingeben, z.B. einen Code der über SMS kommt.) Zum Pro und Contra der Nutzung von Cloud-Diensten weiter unten ein ganzer Abschnitt. (Für alle die weniger ehrgeizig sind und sich mit der Fragestellung begnügen "wie kann ich meinen Daten-Footprint reduzieren und mich etwas weniger transparent machen" folgt ein spezieller Abschitt weiter unten.)
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Zwei-Faktor Authentifizierung ist definitiv ein MUSS für alle, die davon ausgehen müssen, dass auch gezielte Angriffe durch Profis ein Problem sein können (z.B. für Journalisten, politische Aktivisten, Firmenmanager, und Politiker, bzw. Wahlkampfmanager). Zwei-Faktor Authentifizierung macht das Leben auch für die Angreifer deutlich komplizierter, sie müssen zusätzlich zum Passwort, das sich oft über Phishing bekommen, noch an den 2. Faktor kommen. Für echte Profis ist aber auch das evt. möglich, daher gibt es noch sicherere Methoden, z.B. Google Authenticator mit Hardware-Token (siehe weiter unten).
Ein weiterer Punkt für die Zielgruppen mit erhöhtem Schutzbedarf: Schutz von Daten bei Grenzübertritten. Kurzfassung: Keine sensiblen Daten mit sich tragen.
Verschlüsselungen der Daten und der Kommunikation
Wie gut ist eigentlich die Internetbanking-Website ihrer Hausbank?Das prüft man am leichtesten mit Hilfe dieser URL: Qualys SSL Labs Server Test. Sie geben einfach den vorderen (Domain-)Teil der URL ein die Sie während der Banking-Session und/oder beim Login im Browser angezeigt bekommen. Wichtig ist nicht nur, dass dort starke Algorithmen angeboten werden, sondern auch, dass schwache Ziffern gar nicht erlaubt sind. Denn ein Man-in-the-Middle Angreifer wird versuchen, den Server in Ihrem Namen zu überzeugen, dass ihr Browser nur schwache Verschlüsselungen kann. Dann sollte ihre Bank die Verbindung ablehnen. Falls die Server ihrer Bank schlecht abschneiden, dann sollten Sie diese kontaktieren. |
Der im vorigen Abschnitt geschilderte Schutz durch 2-Faktor setzt natürlich voraus, dass der/die Betroffene Vertrauen in die (US-)Cloud-Dienste hat (aber das haben ja sehr viele, z.B. John Podesta, der Wahlkampfmanger von Hillary Clinton, der sich seinen Gmail-Account von (vermutlich) russischen Hackern mittels Phishing hat abnehmen lassen).
Für alle, für die ein Cloud-Dienst nicht in Frage kommt gilt es, erstens die eigenen Computer und Smartphones (und die Daten auf den Geräten) so sicher und unangreifbar wie möglich zu machen und zweitens alle externe Kommunikation verschlüsselt und ohne Spuren durchzuführen. Für die Absicherung der eigenen Systeme und ihrer Daten verwendet man Festplatten- oder Verzeichnisverschlüsselung (wie das derzeit nicht mehr gepflegte Truecrypt, oder das Nachfolgeprodukt Veracrypt.
Für den sicheren Transport von Daten im Internet zu (hoffentlich ebenfalls abgesicherten) Kommunikationspartnern kann man Produkte mit Ende-zu-Ende Verschlüsselung einsetzen. Z.B. PGP für Email-Austausch.
Die Verschlüsselungen, bei denen die NSA zum Zeitpunkt der letzten Snowden-Papiere noch Probleme hatte sind Truecrypt, PGP/GPG, ZRTP für sicheres Telefonieren (z.B. in Redphone) und für Messaging alle Produkte auf der Basis von OTR (off the record) messaging (hier die Liste der Implementierungen). An anderer Stelle ist eine Diskussion über die Sicherheit der vielen anderen Messaging-Systeme. Gemeinsam haben diese Protokolle folgende Features: Sie sind End-to-End und die Schlüssel liegen beim End-Anwender, d.h. nicht bei einem großen Anbieter, der angegriffen oder unterwandert werden könnte. D.h. dies scheint gute Strategie gegen das Abgehört-Werden zu sein.
Natürlich ist auch die Position richtig, die hier 2016 in einem Vortrag präsentiert wird: Wer explizite Verschlüsselungen wie PGP nutzt ist für die Abhörer deutlich sichtbar, auch wenn sie nicht an die Inhalte kommen. Wer anderseits PGP nicht nutzt um nicht aufzufallen, der hat sich schon an die Überwachungsgesellschaft angepasst, die Überwacher sind ihrem Ziel wieder einen Schritt näher.
Auf ZDNet wurde da z.B. die Frage aufgeworfen, mit welchen Apps man sich dem Abhören entziehen kann: Top four anti-surveillance apps. In dem Artikel werden 4 Smartphone Apps vorgestellt, die eine sichere End-to-End- (d.h. Peer-to-Peer) Verbindung aufbauen, die zwar über die öffentlichen Datennetze läuft, aber verschlüsselt ist und (hoffentlich) erst am Endpunkt (d.h. beim Gesprächspartner) wieder entschlüsselt wird. Die dort gelisteten Apps decken mehrere Kommunikationswege ab, von Gesprächen bis Text-Chats. Einige beruhen auf dem durchaus empfehlenswerten TOR-Projekt, mit dessen Hilfe die eigene IP-Adresse verborgen werden kann.
Eine andere Option, die eigene IP zu verschleiern sind die sog. VPNs (Virtual Private Networks). Sie erstellen einen Tunnel vom eigenen Gerät zu einem Endpunkt typischerweise in einem anderen Land. Sie werden z.B. auch verwendet, wenn ein Dienst im eigenen Land blockiert wird. Hier eine Warnung dass bei einer Untersuchung von 238 VPN-Apps im Playstore die meisten der von den Forschern analysierten Apps schwere Mängel aufweisen. So verschlüsseln ganze 18% den Datenverkehr gar nicht, nur 16% verschlüsseln IPv6-Pakete und 66% tunneln keine DNS-Anfragen. Einige manipulieren den HTTP-Verkehr um Werbung oder Tracking unterzubringen. Der Tipp: nur Apps von Herstellern verwenden, die eine gute Reputation genießen – auch wenn dies mit Kosten verbunden sein sollte.
Zusätzliche Anonymisierung durch TOR und Tails
TOR (The Onion Router) verschleiert den Ursprung eines Datenverkehrs im Internet dadurch, dass der Vekehr vom Webbrowser des Nutzers verschlüsselt über eine Reihe von Zwischenstationen (TOR-Servern verschlüsselt weitergeleitet wird, bis er bei einem TOR-Endpunkt wieder im offenen Internet erscheint (oder im TOR-Netz verbleibt und dort zu einer der dort verborgenen Website, einem sog. "Hidden Service" geleitet wird). Durch dieses ständige Weiterleiten zu immer anderen TOR-Servern ist es selbst für Angreifer wie die NSA, die einen großen Teil des Datenverkehrs mithören können, recht schwer, den Ursprung der Anfrage zu erkennen). D.h. die eigene IP-Adresse wird verschleiert. Mehr Details zu TOR schreibe ich an anderer Stelle.
Hidden Services sind Webserver, die im "richtigen" Web gar nicht zu finden sind, sie stellen das sog. Darknet dar. Diese Webserver finden sich unter der Endung .onion. Die meistgenutzte Website im Darknet ist übrigens Facebook. D.h. es finden sich nicht nur illegale Drogensites dort. Auch der als recht sicher eingestufte Mailservice Protonmail und der von mir genutzte deutsche Mailprovider Mailbox.org sind dort ebehso zu finden wie z.B. Suchmaschinen wie DuckDuckGo und Whistleblowing Websites. (hier eine Liste von Hidden Services)
Fehler bei der Nutzung von TORDer Artikel in Golem.de zeigt, wie selbst bei den Drogenhändlern im Darknet immer wieder falsche Tipps kursieren (der Artikel korrigiert die Fehler und könnte daher für TOR-Nutzer hilfreich sein). Die falschen Tipps erklären evt. auch die durchaus häufigen Fandungserfolge selbst bei Darknet-Nutzern. An anderer Stelle beschreibe ich, wie schwer wirkliche Anonymität im Internet ist. An anderer Stelle auch mehr Beispiele zur Falle "Nicknames". |
Allerdings stellt das Verschleiern der eigenen IP-Adresse allein noch keine Anoymität her, wie ich unter Spuren im Internet zeige - dafür sind die Trackingmöglichkeiten einfach zu zahlreich. Das bestätigen auch NSA-Researcher deren Aufgabe das Aufdecken von Darknet-Nutzern ist. Wenn genügend Daten verknüpft werden, kommt irgendwann die wirkliche Identität heraus, spätestens dann, wenn irgendwo bezahlt werden muss oder der Benutzer einen kleinen Fehler gemacht hat. Das wäre z.B. wenn sie ihren Facebook-, Twitter- oder Gmail-Account ein einziges mal ohne Nutzung von TOR aufgerufen haben und der Dienst dann die IP-Adresse in seinen Logs hat.
Eine recht gute Einführung zu TOR findet sich im Artikel Everything you need to know about using TOR. Auch der Artikel weist darauf hin, dass trotz der Nutzung von TOR z.B. immer noch Cookies gesetzt werden und andere Spuren im System bleiben können.
Daher sagen viele Profis, dass TOR nur in Verbindung mit Tails (The Amnesic Incognito Live System) sicher ist. Bei Tails handelt es sich um ein Linux System, das von einem nicht beschreibbaren Datenträger gestartet wird (CD-ROM oder USB-Stick mit Schreibsicherung) und auf dem wirklich keine Spuren, z.B. Cookies verbleiben können. Jeder Neustart liefert das Originalsystem. Das heißt, ich kann mir auch nichts abspeichern. Tails ist wirklich nur für die Kommunikation mit anderen im Internet gedacht (z.B. über Messagingdienste), kann aber dafür auch keine Spuren im Rechner hinterlassen. Wenn ich mir was abspeichern will, so muss ich ein separates Gerät verwenden, dass dann über eine Verschlüsselung wie Truecrypt oder Veracrypt separat gesichert ist. (An anderer Stelle schreibe ich über Plausible Denialbility.)
Wichtig: Es ist fraglich, ob jemand, der seine Privatsphäre bedroht sieht und eine verschlüsselte Kommunikation will, überhaupt ein Handy/Smartphone benutzen sollte. Denn ein Handy, egal ob anonyme Wertkarte oder Vertrag, muss um erreichbar zu sein, seinen Standort an die nächste Base Station liefern. Überwacher, die darauf Zugriff haben, können sich ein sehr schönes Bewegungsprofil erstellen und nach einigen Tagen Beobachtung ist sehr leicht, auf der Basis des Bewegungs- und Aufenthaltsprofils auch einen Namen dazu zu schreiben.