In den vergangenen Monaten mussten wir lernen, dass wir den Überwachern erschreckend hilflos gegenüber stehen und auf politische Hilfe nicht vertrauen können. Wir zeigen Euch, was Ihr tun könnt, um ein Mindestmaß an Sicherheit zu erlangen.
Man muss beim Thema Sicherheit im Zusammenhang mit Computern und Netzen grundlegend zwischen zwei Seiten der selben Medaille unterscheiden: Daten und Metadaten. Das eine sind die Inhalte von E-Mails, Telefonaten, SMS-Nachrichten und so weiter. Das andere Informationen über diese Kommunikationen. Also wer hat wann wem eine wie lange E-Mail gesendet. Dagegen, dass diese Metadaten Geheimdiensten aller Länder (egal ob „Freund“ oder „Feind“) anheim fallen, sind wir relativ machtlos. Das ist vorwiegend ein politisches Problem, auf dessen Lösung wir nicht vertrauen können. Zumindest aber unsere Inhalte können wir bis zu einem gewissen Grad schützen.
Linktipp – Google will E-Mails sicher verschlüsseln – wir glauben kein Wort
Zwar mussten wir lernen, dass Verschlüsselungen längst nicht mehr so sicher sind, wie wir geglaubt haben. Aber es braucht immer noch jede Menge Rechen-Power um sie zu brechen. Und wenn jemand Willens ist, diese Leistung (und damit verbunden: jede Menge Geld) aufzubringen, um gerade Eure E-Mail zu lesen, dann habt ihr ohnehin ganz andere Probleme.
Metadaten nicht vernachlässigen
Metadaten. Das klingt immer sehr abstrakt und wird deshalb gerne mit „nicht wichtig“ gleichgesetzt. Es gibt eine Twitter- Nachricht mit dem Bild einer Vortragsfolie vom Chaos Communication Congress des letzten Jahres, die etwa folgenden Text zeigt: „Sie wissen, dass ihr um 2:24 Uhr für 18 Minuten die Telefonsex-Hotline angerufen habt. Aber Sie wissen nicht, worüber ihr gesprochen habt. Sie wissen, dass ihr die „suicide prevention hotline“ von der Hochbrücke aus angerufen habt. Aber das Thema des Gesprächs bleibt geheim. Sie wissen, dass ihr mit einem HIVTestlabor, dann mit eurem Hausarzt und dann mit eurer Krankenkasse telefoniert habt. Aber Sie wissen nicht, worüber ihr gesprochen habt.“ Ihr als Leser dieser Zeilen hattet bestimmt sofort ein relativ klares Bild davon im Kopf, worum es bei diesen Gesprächen ging, obwohl ihr nur die Metadaten kanntet.
Versucheeuch vorzustellen, was man mit der Rechenleistung diverser Computer, komplexen Algorithmen und viel Erfahrung aus wesentlichen abstrakteren Metadaten lesen kann. Genau deshalb sind Metadaten in Hinblick auf Sicherheit und persönlichen Datenschutz nicht zu vernachlässigen.
Sicherheitsmerkmale des Mac
Solange ihr das öffentliche Telefonnetz und das allgemein zugängliche Internet nutzt wird es nur schwer möglich sein, eure Metadaten hinreichend und gleichzeitig komfortabel zu verschleiern. Mit euren Inhalten geht das wesentlich einfacher. Vier äußerst hilfreiche Funktionen hat euer Mac von Haus aus an Bord. Die ersten drei davon findet ihr in den Systemeinstellungen unter „Sicherheit“.
FileVault
FileVault ist Apples Lösung, um eure komplette Festplatte zu verschlüsseln. Wenn nach Aktivierung dieser Funktion jemand in den Besitz eures Mac gelangt, hat er keinen Zugriff auf Ihre Daten. Zumindest, so lange er euer Passwort nicht kennt. Vor der Verschlüsselung eurer Daten legt Apple einen Wiederherstellungsschlüssel an, mit dem ihr auch an eure Daten kommt, falls ihr selbst euhr Passwort vergessen solltet. Als Komfortmerkmal bietet Apple an, diesen Schlüssel – geschützt durch eure Apple ID – in der iCloud abzulegen.
Linktipp – So funktioniert das Festplattendienstprogramm
Ein solches Vorgehen ist zwar durchaus ein Zugewinn an Komfort, konterkariert jedoch den Sicherheitsaspekt der Verschlüsselung. Denn wenn man den Schlüssel aus der Hand gibt, selbst wenn man Apple voll und ganz vertraut, dann ist das Schloss eigentlich nichts mehr wert.
Firewall
Eine Firewall kontrolliert eingehende Kommunikationen eures Mac und kann es einzelnen Programmen untersagen, Daten aus dem Netz zu empfangen. Außerdem könnt ihr mit einem Klick allen Programmen den Hahn abdrehen. Ausgenommen sind davon lediglich Systemdienste, die für Standard-Internetanwendungen erforderlich sind. Darüber hinaus könnt ihr hier festlegen, dass signierter Software, also beispielsweise Programmen aus dem Mac App Store, soweit vertraut werden kann, dass diese trotzdem eingehende Verbindungen empfangen können.
Schließlich könnt ihr hier noch den „Tarnmodus“ eures Mac aktivieren. Damit wird er in dem lokalen Netzwerk in dem ihr euch befindet, praktisch unsichtbar. Zumindest kann er nicht ohne gesteigerten Aufwand von potenziellen Angreifern gefunden werden. Wie schon oben erwähnt: Wenn ihr das konkrete Ziel einer solchen Operation sein solltet, bringt Ihnen dieser Schutzmechanismus freilich wenig. Denn dann spielt der nötige Aufwand meist keine Rolle.
Privatsphäre
Der letzte wichtige Punkt unter „Systemeinstellungen > Sicherheit“ ist der Reiter „Privatsphäre“. Hier könnt ihr sehen, welchen Programmen ihr jemals Zugriff auf Kontakte, Kalender, Ortungsdienste und mehr gewährt habt und könnt diese Erlaubnis mit einem einfach Klick wieder entziehen.
Firmware-Passwort
Mit FileVault und einem guten Passwort habt ihr eure Daten schon ganz ordentlich geschützt. Wenn ihr zusätzlich auch noch verhindern möchtet, dass euer Rechner von einem externen Medium (beispielsweise einem USB-Stick oder einer CD/DVD) gestartet werden kann, benötigt ihr ein Firmware-Passwort. Nach diesem wird dann verlangt, wann immer ihr den Mac neu startet, noch bevor irgendetwas anderes geladen wird.
Linktipp – So eignet sich euer Mac zur Produktion von Podcasts
Schaltet zum Setzen eines Firmware- Passworts euren Mac komplett aus. Drückt und haltet die Tasten „CMD“ und „R“ und startet euren Mac jetzt wieder. Nach einiger Zeit des Wartens bei gedrückter Tastenkombination „CMD+R“ gelangt ihr in den so genannten „Recovery-Modus“, das Wiederherstellungssystem von OS X. Nachdem ihr hier eure Sprache ausgewählt habt, wählt ihr am oberen Bildschirmrand „Dienstprograme“ und dann „Firmware-Kennwort“. OS X wird euch darüber informieren, dass der Kennwortschutz derzeit deaktiviert ist und bietet die Option, dies zu ändern. Gebet in der nächsten Maske euer gewünschtes Kennwort ein.
Achtet dabei unbedingt darauf, dass im Recovery-Modus standardmäßig das amerikanische Tastaturlayout ausgewählt ist. Wenn ihr eine deutsche Tastatur verwendet, solltet ihr unbedingt vorher oben rechts in der Ecke auf das deutsche Layout umstellen. Klickt danach auf „Kennwort festlegen“, dann auf „Firmware-Kennwort beenden“. Das war ’s. Ihr könnt euren Mac jetzt über das Apfel-Menü oben links neu starten und – nach der Eingabe eures Firmware- Passworts – normal weiter arbeiten.
Find my Apple-Gerät
Ein weiteres Sicherheitsmerkmal hat Apple in den iCloud-Dienst integriert. In den Systemeinstellungen könnt ihr unter „iCloud“ auf jedem eurer Apple- Geräte mit aktuellem Betriebssystem – egal ob Mac oder iOS-Gerät – die Suche nach eurem Gerät aktivieren. Nach der Aktivierung könnt ihr euch auf iCloud.com mit eurer Apple-ID anmelden und unten links unter „Mein iPhone“ all eure Geräte lokalisieren lassen. Wenn ihr auf einen der grünen Standort- Punkte und dann auf das „i“ klickt, seht ihr Informationen zu dem Gerät. Zum Beispiel wann es zuletzt geortet wurde und den Füllstand des Akkus.
Außerdem könnt ihr einen Ton abspielen und i-Geräte in den Modus „Verloren“ versetzen. Danach wird auf dem iPhone eine Meldung (zum Beispiel: „Ich habe dieses iPhone verloren. Bitte rufen Sie mich an. 0431-200766-68.“) angezeigt. Zusätzlich habt ihr die Option, alle Daten auf Ihrem Apple-Gerät direkt aus dem iCloud-Dienst heraus zu löschen, damit diese nicht in falsche Hände fallen.
E-Mails verschlüsseln
E-Mail gilt unter Sicherheitsexperten nicht erst seit den Snowden-Veröffentlichungen als vollständig kompromittierte Infrastruktur in der jeder angreifbar ist. E-Mails werden zwar gerne als Briefe dargestellt, sind aber eher mit Postkarten vergleichbar. Zwar kann der Transport von eurem E-Mail-Programm zum Betreiber verschlüsselt werden. Ein verschlüsselter Transport zwischen den einzelnen Servern kann indes nicht garantiert werden. Wie eingangs bereits beschrieben, sind Metadaten genau so wichtig wie die Inhalte selbst. Aus den Snowden- Dokumenten wissen wir, dass von gewöhnlichen Mails die Metadaten gespeichert werden und dass verschlüsselte Mails bis auf weiteres komplett gespeichert bleiben.
Über den Sinn und Unsinn der Verschlüsselung muss somit jeder für sich selbst ein Urteil fällen. Solltet ihr euch für die Verschlüsselung Ihrer E-Mails entscheiden, dann stehen euch grundsätzlich zwei Methoden zur Verfügung. GPG und S/MIME.
Mails mit GPG
GPG steht für GNU Privacy Guard (GNUPrivatsphärenschutz). GNU ist dabei ein so genanntes rekursives Akronym und steht für „GNU (is) Not Unix“ als Abgrenzung zu Unix-basierten Betriebssystemen. GPG ist eine Open-Source- Alternative zu dem kommerziellen PGP (Pretty Good Privacy, etwa: Ziemlich gute Privatsphäre). GPG ist ein Verfahren bei dem ein privater Schlüssel zum Verschlüsseln und ein öffentlicher Schlüssel zum Entschlüsseln von Nachrichten verwendet wird.
Dieses Verfahren erfordert zusätzlich Software wie die „GPG Suite“ von gpgtools.org. GPG hat zwei große Nachteile: Um es effektiv und effizient zum Einsatz zu bringen, müsst ihr euer Umfeld erziehen, sich diese Software (oder ähnliche Programme anderer Anbieter) ebenfalls zu installieren. Außerdem lässt sich GPG nicht in das Standard-E-Mail-Programm eures iPhone oder iPad integrieren. Dafür gilt es bislang als „sicher genug“.
Mails mit S/MIME
MIME steht für „Multipurpose Internet Mail Extensions“ und definiert diverse Erweiterungen des Internetstandards RFC 5322, der das Datenformat von E-Mails definiert. MIME sorgen zum Beispiel für anbieterübergreifende Kompatibilität bei Sonderzeichen oder E-Mail- Anhängen. Das vorgeschaltet „S“ in S/ MIME steht schlicht für „Secure“, also „Sicher“. S/MIME basiert auf Zertifikaten. So ein Zertifikat könnt ihr auch in iOS hinterlegen und somit Mails auch vom iPhone und iPad aus verschlüsseln. Allerdings braucht ihr dafür ein Zertifikat einer vertrauenswürdigen Ausgabestelle.
Linktipp – TrueCrypt, Bitlocker und fileVault: Drei Programme um seine Daten vor Spionen zu sichern
Diese sind allerdings rar geworden, da in der Vergangenheit gleich mehrere dieser Dienste kompromittiert wurden. Comodo.com ist einer der wenigen Dienste, die noch ein relativ hohes Ansehen genießen und – für den privaten Einsatz – kostenfreie Zertifikate anbieten. Das kostenfreie Zertifikat läuft nach einem Jahr ab und muss dann (ebenfalls kostenfrei) verlängert werden. S/MIME als Verfahren ist wesentlich komfortabler als GPG, weil praktisch jedes moderne E-Mail-Programm S/MIME von Haus aus unterstützt – auch die Mail-App auf dem iPhone. Zusätzliche Programme sind also nicht nötig.
Asymetrische Verschlüsselung
Sowohl GPG als S/MIME sind so genannte asymmetrische Verschlüsselungsverfahren. Asymmetrisch, weil Absender und Empfänger nicht den gleichen Schlüssel verwenden. Ein Beispiel: Bob und Alice möchten verschlüsselt miteinander kommunizieren. Beide generieren jeweils ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Bobs privater Schlüssel verbleibt immer in seinem Besitz. Der öffentliche Schlüssel ist für die Öffentlichkeit bestimmt und wird von zum Beispiel von Alice benötigt, wenn sie Bob eine verschlüsselte Nachricht zukommen lassen möchte.
Damit Bob seinen öffentlichen Schlüssel nicht jeder Person einzeln zukommen lassen muss, kann er ihn auf einem von zahlreichen sogenannter Key-Server (Schlüssel-Server) hinterlegen. Die meisten GPG-Programme bieten das Ablegen auf einem Key-Server bei der Erstellung des Schlüsselpaars mit an. Alice schreibt nun ihre E-Mail wie immer in Apples Mail-Programm. GPG bietet eine Erweiterung für Mail an und klinkt sich automatisch beim Verfassen jeder neuen E-Mail mit ein.
Im Hintergrund überprüft GPG, ob Alice den öffentlichen Schlüssel von Bob an ihrem virtuellen Schlüsselbund hat. Wird der passende Schlüssel gefunden, wird die Nachricht an Bob automatisch verschlüsselt versendet. Eine Nachricht, die mit Bobs öffentlichem Schlüssel verschlüsselt wurde, kann einzig und allein mit Bobs privatem Schlüssel wieder entschlüsselt werden. Mails an Empfänger deren öffentlichen Schlüssel Alice nicht besitzt, kann sie mit GPG digital signieren. Anhand dieser Signatur kann der Empfänger den öffentlichen Schlüssel von Alice finden und ihr ab dann verschlüsselte Nachrichten schicken.
All dies funktioniert bei S/MIME grundsätzlich gleich. Viele dieser Prozesse laufen dabei jedoch völlig automatisiert im Hintergrund ab. Allerdings müsst ihr bei S/MIME im Vorweg mehr Aufwand treiben und euch um ein entsprechendes Zertifikat kümmern.
Daten sicher in der Cloud
Ein anderes wichtiges Gebiet ist die Datensicherheit in der Cloud. Cloud- Dienste, allen voran Dropbox, sind vielen Menschen über die Jahre sehr ans Herz gewachsen. Man muss allerdings spätestes nun im Licht der Snowden-Veröffentlichungen hinterfragen, ob es einem wirklich egal ist, dass die eigenen Daten dort rumliegen, ohne dass man ihre Sicherheit selbst unter Kontrolle hätte. Einen maximal komfortablen Weg, dies zu erreichen, bieten Dienste wie zum Beispiel SafeMonk an.
Mit dem Tool, das ihr kostenlos unter SafeMonk.com herunterladen könnt, werden alle Daten unterhalb eines gewählten Ordners in eurer Dropbox automatisch verschlüsselt. Außerdem gibt es eine App für iPhone und iPad, damit ihr auch unterwegs Zugriff auf Ihre verschlüsselten Dropbox-Daten habt.
Linktipp – E-Mails mit PGP und Thunderbird sicher verschlüsseln
Wenn ihr noch mehr auf Nummer Sicher gehen wollt, solltet ihr euch TrueCrypt (www.truecrypt.org) näher anschauen. Das Werkzeug ist zwar weit weniger komfortabel als SafeMonk, wird dafür gemeinhin als sicher anerkannt. TrueCrypt erstellt so genannte „Container“ (virtuelle Festplatten) und verschlüsselt alle darin enthaltenen Daten. Außerdem können versteckte Container angelegt werden, die nahezu keine Spuren ihrer Existenz hinterlassen.
Noch mehr Sicherheit erreicht ihr lediglich durch das Betreiben eines eigenen Servers. Dabei dürften sich für die meisten Anwender Aufwand und Nutzen allerdings nicht mehr die Waage halten.
Fazit:
Man muss feststellen, dass vieles, was in den vergangenen 30 Jahren in dystopischen Science-Fiction-Romanen und -Filmen à la „1984“ erzählt wurde, längst Realität ist. Bei vielen Überwachungsmechanismen war auch unter Experten jahrelang klar, dass theoretisch vieles möglich ist, dass aber niemand die dafür erforderlichen Mengen an Geld aufbringen und den erforderlichen Aufwand treiben würde. In den vergangenen Monaten wurden alle eines besseren belehrt, so dass heute klar ist, dass alle immer überall überwacht werden.
„Sie“ wissen nicht nur, wer die Quellen von Journalisten sind, „sie“ wissen auch, dass sich Herr Martens trotz neuer Lebensabschnittsgefährtin immer noch verdächtig oft in der selben Handy- Zone wie seine Ex-Freundin aufhält. Auch dass Frau Martens, die unglücklich mit ihrem Job ist, in den vergangenen Wochen gleich mehrfach im Gebäude eines Konkurrenzbetriebs war, ist bekannt.
So lassen sich diverse Szenarien konstruieren, die klar machen, dass dieses Ausmaß an Überwachung alle angeht. Auch jene, die zu denen gehören, die stets mit „Ich habe doch nichts zu verbergen“ kontern. Von Seiten der Politik ist, wie bislang zu sehen ist, wenig zu erwarten, was die Situation verbessern könnte. Und auch aus der Wirtschaft kommen lediglich halbgare Vorschläge wie das „Deutschland-Netz“. Geändert werden kann diese Situation nur durch gesteigerte Nachfrage nach sicheren Produkten.
Firmen müssen merken, dass „Sicherheit“ auch im privaten Umfeld ein relevanter Markt ist, damit entsprechende Produkte entwickelt und angeboten werden. Die Wirtschaft ist es auch, die nach wie vor den größten Einfluss auf die Politik hat und Lobby-Arbeit für mehr Datensicherheit und Datenschutz leisten kann. Bis dies alles passiert, müssen wir, die Anwender, uns so gut es geht selbst helfen und wehren. Mit den von uns beschriebenen Tipps und Tricks bleibt ihr zumindest Herr der Inhalte eurer Daten, was immerhin ein erster guter Schritt ist.