Wahrscheinlich könnten wir zum Thema digitale Überwachung, Datenschutz und Datensicherheit einen eigenen SOOC veranstalten, so viel lässt sich darüber erzählen. Soweit ist es zwar (leider) noch nicht, aber zumindest konnten wir uns in der ersten Live-Session des zweiten Themenblocks dank eines Vortrags von Marius Melzer vom Chaos Computer Club Dresden mit diesen hochaktuellen und spannenden Themen beschäftigen und Vieles darüber lernen. Marius zeigte uns dabei im Vortrag die einzelnen Bestandteile eines Netzwerks, die prinzipiell geschützt werden müssen (die Clients, die Server sowie die Verbindungen zwischen diesen), und wie man diese Komponenten schützen kann.
Die Clients
Clients, das sind primär unsere PCs/Laptops/Smartphone sind prinzipiell nur sicher, wenn keine Datenverbindungen nach außen bestehen, d. h. das Gerät ist mit keinem Netzwerk verbunden und niemand kann physisch (etwa per USB-Stick) Daten auf das Gerät spielen. Das Problem ist dann aber, dass wir dann auch nicht wirklich viel damit anfangen können. Da diese Variante wenig praktikabel ist, müssen wir uns auf andere Weise schützen. Wir haben im Vortrag gelernt, dass wir zum einen Virenscanner und Firewalls einsetzen sollen und das Open-Source-Software meist sicherer ist als Closed-Source-Software – zumindest wenn sie aktuell ist.
Wichtig ist auch die Wahl des Betriebssystems. An dieser Stelle widerspreche ich aber Marius. Linux ist meiner Meinung nach nicht besser und nicht schlechter als Windows (7/8). Das Gerücht einer möglichen NSA-Windows-Backdoor schwirrt zwar schon seit der Einführung von Windows XP durch die Netzgemeinde, Beweise dafür wurden aber in den letzten 10 Jahren nicht gefunden. Und die Backdoor dürfte auch nicht unbedingt nötig sein. Wir können davon ausgehen, dass gerade die NSA über genug Wissen und Mittel verfügen dürfte, um jedes gängige Betriebssystem zu knacken. Und auch bei Linux ist nicht alles paradiesisch: Bestes Beispiel dafür ist das viel kritisierte Verhalten von Ubuntu-Distributor Canonical etwa bei der Einführung der Amazon-Shopping-Lens in Ubuntu 12.10 oder beim Schwenk von Wayland auf Mir im Unterbau des Betriebssystems. Empfehlenswerter sind in der Linux-Ecke eher Debian, OpenSuse und Fedora und wer wirklich freie Distributionen sucht, findet eine Auswahl auf den Webseiten der Free Software Foundation. Übrigens gibt es mit ReactOS auch seit vielen Jahren ein Projekt, dass sich zum Ziel, setzt ein Open-Source-Betriebssystem zu entwickeln, welches auf der Windows-NT-Architektur beruht und damit kompatibel zu Windows 7 und Co. sein soll. Leider ist ReactOS noch nicht für den tägliche Arbeit verwendbar.
Bei Smartphones ist das aktuell Halten, zumindest des Betriebssystems, leider etwas komplizierter. Gerade bei Android-Geräten halten sich die Hersteller mit Updates stark zurück. Patches erhält man bei einigen Geräten sogar nur ein halbes Jahr lang. Von den Support-Zeiträumen eines herkömmlichen PCs sind wir damit Lichtjahre entfernt. Daher dürften auch noch viele User Geräte nutzen, bei denen Lücken wie etwa die Android-Steuercode-Schwachstelle nicht behoben sind. Hier bleibt nur der Wechsel auf alternative ROMs wie Cyanogenmod, der aber stellenweise tiefere IT-Kenntnisse erfordert und teilweise auch zum Verlust der Herstellergarantie führen kann. Nutzbare Open-Source-Betriebssysteme gibt es wie Marius erwähnt hat zwar, aber Sailfish OS und Firefox OS sind noch ein Stück weg davon, mit Android konkurrieren zu können.
Die Netzwerkverbindungen
Die Ziele für sichere Netzwerkverbindungen lauten Vertraulichkeit, Integrität und Anonymität. Die Vertraulichkeit, also dass nicht jeder meine Nachrichten mitlesen kann, lässt sich über Verschlüsselung erreichen. Hierzu können wir über verschlüsselte Verbindungen surfen (SSL/TLS), welche am https in der Webadresse erkennbar sind, oder wir können unsere E-Mails verschlüsseln. Unsere Anonymität können wir mit Hilfe von Anonymisierungsdiensten wie TOR schützen, welche dafür sorgen, dass die Verbindungen so verschlüsselt und umgeleitet werden, dass der einzelne Nutzer und seine Aktivitäten nur noch schwer identifizierbar sind.
Leider sind auch diese Techniken nicht hundertprozentig sicher. Gerade die SSL-Zertifikate, welche für die Integrität von SSL-Verschlüsselungen wichtig sind, waren in den letzten Jahren oft Ziel von gezieltem Missbrauch und auch TOR wird mittlerweile gezielt von der NSA angegriffen, wenn auch bisher nur mäßig erfolgreich.
Die Server
Server sind die dritte große Schwachstelle im System. Je mehr Leute einen zentralen Dienst nutzen, desto lukrativer wird der Angriff auf die Server des Dienstes und desto größer wird auch der Schaden, der entstehen kann. Daher wäre es sinnvoll, wenn man denn die Möglichkeit hat, einen eigene Server zu betreiben und die Dienste möglich dezentral zu verteilen. Das gilt sowohl für E-Mail-Dienste, wie auch für Soziale Netzwerke. Die Idee eines dezentralen Sozialen Netzwerks als Konkurrenz zu Facebook und Co, verfolgt etwa Diaspora.
Tracking
Ein weiteres Thema, welches Marius in seinem Vortrag behandelt hat, ist das Tracking, also das gezielte Verfolgen/Erfassen von Nutzern und ihrem Verhalten über mehrere Webseiten hinweg. Um sich vor Tracking zu schützen, gibt es verschiedene Plugins, wie Ghostery, welche verschiedene Tracking-Techniken (z.B. Cookies) blockiert. Allerdings gibt es mittlerweile Forschungen, die untersuchen, inwieweit statt Cookies der Fingerabdruck des Browsers für das Tracking genutzt werden kann. Sollte so etwas flächendeckend eingesetzt werden, dann wird es schwer, sich dem zu entziehen.
Nutzerverhalten
Ein ebenfalls elementarer Bestandteil für sicheres Surfen ist das Nutzerverhalten. Dabei gilt der Grundsatz, dass nichts geöffnet/ausgeführt werden sollte, was aus unbekannten und/oder nicht vertrauenswürdigen Quellen stammt. Passwörter sollten nicht im Browser gespeichert werden, sondern in separaten Passwort-Managern wie Keepass, Diese können bei Bedarf noch mit Festplattenverschlüsselern wie TrueCrypt kombiniert werden. Zudem sollten gleiche Passwörter nicht für verschiedene Dienste verwendet werden und 123456 ist kein sicheres Passwort. Und ebenfalls wichtig: Nicht immer müssen die Angaben, die bestimmte Online-Dienste von uns haben wollen, korrekt angegeben werden. Lügen ist da an der ein oder anderen Stelle nicht verkehrt, genauso wie wir die geplante Wiedereinführung der Vorratsdatenspeicherung nicht einfach so hinnehmen sollten.
Fazit
Wirklich sicher wird man im Netz wohl nie mehr unterwegs sein, aber wir haben diverse Möglichkeiten zur Verfügung, um uns ein wenig zu schützen. Und was die NSA betrifft, vielleicht sollten wir ihr einfach mal schreiben. Über ein paar Millionen Briefe aus Europa, die sie beantworten muss, freut sie sich sicher.
PS: Die Aufzeichnung der Live-Session mit Marius sowie die Slides könnt ihr euch natürlich auch gern nochmal anschauen.
