Von Patrick Knight

Zwei Ereignisse der jüngsten Zeit werfen ein Schlaglicht darauf wie es um unser aller Online-Sicherheit und Privatsphäre tatsächlich bestellt ist. Das erste von ihnen: die WikiLeaks-Enthüllungen vom 7. März 2017 [1]. Die veröffentlichten CIA-Unterlagen zeigten unter anderem, in welchem Ausmaß Geheimdienste in der Lage sind, gebräuchliche elektronische Geräte und Applikationen auszuspionieren.

Zwar zielen die betreffenden Taktiken und Technologien in erster Linie auf auswärtige Geheimdienste und deren gegen die Vereinigten Staaten von Amerika gerichtete Aktivitäten. Aber die Enthüllungen zeigen die Anfälligkeit der Technologien, die wir ganz selbstverständlich täglich nutzen – und welche potenziellen Folgen es für die eigene Privatsphäre haben kann, wenn böswillige Akteure die Schwachstellen ausnutzen.

Auch wenn Hersteller und Marketingkampagnen gerne das Gegenteil für sich in Anspruch nehmen: Mobiltelefone, Smart-TVs, Browser, Messenger und eine Vielzahl von Applikationen – sie alle sind anfällig für derlei Angriffsszenarien.

Absolute Privatsphäre gibt es nicht

Das zweite bedeutsame Ereignis fand am 8. März 2017 im Boston College im Rahmen der „Boston Conference on Cyber Security“ statt. FBI Direktor James Comey hielt einen 45-minütigen Vortrag zur Rolle des FBI und zu den Herausforderungen in einer sich wandelnden Cyber-Bedrohungslandschaft. Fünf Minuten seines Vortrags widmete er dem Thema individuelle Privatsphäre aus Sicht des FBI. In diesem Teil sprach Comey davon, dass es so etwas wie eine „absolute Privatsphäre“ in Amerika nicht gebe. Er sagte dies vor dem Hintergrund, dass das Justizsystem die Möglichkeit hat, Überwachungen zum Zweck strafrechtlicher Ermittlungen zu gestatten. Gleichzeitig kann die Gerichtsbarkeit eine Person dazu zwingen, ihre private Kommunikation im Rahmen einer Beweisführung oder Zeugenaussage offenzulegen.

Das gilt sogar für die Art von Informationen, die im Allgemeinen der Schweigepflicht unterliegen und somit bei Vorladungen normalerweise nicht herangezogen werden können, wie beispielsweise die Konversation mit Ärzten oder Geistlichen sowie die unter Eheleuten.

Comey legte ebenfalls dar, dass es dem FBI innerhalb der letzten vier Monate aufgrund von standardmäßiger oder starker Verschlüsselung in etwa 43% aller Fälle nicht gelungen ist, auf die zu untersuchenden Geräte zuzugreifen. Was für die Stärke von Verschlüsselung spricht.

Datenschutz: Simple Maßnahmen erfolgreich

Unabhängig vom eigenen politischen Standort und der eigenen Ansicht in welchem gesetzlichen Rahmen eine Gesellschaft das Recht hat, sich zu schützen, zeigt das Statement aber noch etwas. Nämlich, dass vergleichsweise simple Maßnahmen zum Schutz der eigenen Privatsphäre erfolgreicher sind, als man auf Anhieb denken mag.

Dass es keine absolute Privatsphäre gibt, ist wohl nicht besonders überraschend. Trotzdem sollte die schiere Zahl der Schwachstellen in alltäglich genutzten elektronischen Geräten, gepaart mit der Tatsache, dass Regierungen den Schutz der Privatsphäre nicht garantieren können, jeden motivieren, sein Netzwerk – nebst der eigenen Gewohnheiten – zu überprüfen. Wie Freiheit ist Privatsphäre kein Gut, dass anstrengungslos zu haben ist.

Als Einstieg sollen folgende 10 Methoden dazu beitragen, die Privatsphäre besser zu schützen. Für keine von ihnen lässt sich eine Garantie geben, aber jede einzelne ist ein Schritt in die richtige Richtung und problemlos umzusetzen.

1) Software-Updates regelmäßig einspielen, auf allen Geräten

Veraltete Software-Versionen sind noch immer einer der wichtigsten Angriffsvektoren, wenn Hacker versuchen, an Informationen zu gelangen. Jedes digitale Gerät, das wir heutzutage üblicherweise benutzen (Wi-Fi Router, Mobiltelefone, Smart-TVs, Blu-ray-Player, private Überwachungssysteme, Spielekonsolen, PCs, etc.), sie alle basieren auf Soft- oder Firmware, die regelmäßig auf den neuesten Stand gebracht werden muss. Entweder, indem man sich die Updates von der Webseite der entsprechenden Firmen herunterlädt und sie in einigen Fällen anschließend manuell installiert, oder über automatische Updates.

Es gibt durchaus Applikationen, die den Nutzer nicht von sich aus über Patches und Updates informieren oder bei denen diese Funktion unbeabsichtigt deaktiviert wurde. Jeder Nutzer sollte seine Geräte dahingehend überprüfen. Im Idealfall erfolgen die Updates automatisch sobald sie verfügbar sind. Sollte der Support für eine bestimmte Software auslaufen, empfiehlt es sich zeitnah über ein Geräte- oder Software-Upgrade nachzudenken.

2) Passwörter effektiv verwalten

Wir neigen letztendlich alle dazu, schwache Passwörter zu benutzen, weil wir sie uns leichter merken können. Einmal vergeben, werden sie dann aus Bequemlichkeit selten geändert. Ein anderes bekanntes Problem: die Passwörter, die wir uns gut merken können, verwenden wir auch für weitere  Konten und Geräten. Cyberkriminelle profitieren nach wie vor von Verhaltensweisen wie diesen.

Jedes einigermaßen starke Passwort sollte ausreichend lang sein, Groß- und Kleinbuchstaben, alphanumerische Kombinationen und Sonderzeichen enthalten. Verwenden Sie für jedes Konto und jedes Gerät ein eigenes Passwort. So vermeiden Sie, dass Cyberkrimelle im Falle eines gelungenen Angriffs gleich auf eine Vielzahl sensibler Informationen zugreifen.

Bei häufig wechselnden Passwörtern und zahlreichen Konten unterstützen Passwort-Manager das Gedächtnis. Es gibt etliche taugliche Passwort-Manager kostenlos oder gegen eine geringe Gebühr.

3) Separieren Sie Konten und Geräte von Familienmitgliedern voneinander

Im Hinblick auf Sicherheit ist das Smartphone der Eltern nicht unbedingt ein geeignetes Kinderspielzeug. Sind die Kinder alt genug, sollten sie ein eigenes Mobiltelefon bekommen. Wenn möglich eines, das nicht zwingend einen WiFi-Zugang verlangt.

Wenn Kinder auf dem elterlichen Laptop spielen wollen, richten Sie ihnen dafür ein eigenes Konto ein. Damit minimieren Sie das Risiko, versehentlich sensible Daten preiszugeben. Eltern sollten jedes Gerät überprüfen – ebenso, welchen Online-Aktivitäten die Kinder im Detail nachgehen. Das schützt die Privatsphäre der gesamten Familie.

4) Separate WiFi-Netzwerke für Gäste und Kinder

Richten Sie für Gäste und andere Familienmitglieder zusätzliche WiFi-Netzwerke ein und separieren sie diese von solchen, über die Online-Banking, finanzielle Transaktionen, Online-Shopping und so weiter abgewickelt werden. Netzwerke, über die Kreditkarteninformationen fließen, sollten grundsätzlich von anderen getrennt werden. So schützen Sie sensible Daten auch dann, wenn das Passwort eines Gäste-Accounts gehackt werden sollte.

5) Benutzen Sie separate E-Mail-Konten für weniger kritische Kommunikation

E-Mail-Adressen werden in großer Zahl und mit erschreckender Regelmäßigkeit auf dem Schwarzmarkt angeboten und verkauft; eine gängige Praxis vieler Malware-Autoren. Meistens kommen diese Adressen aus erfolgreichen Spam-, Phishing- und/oder Malwareangriffen. Verstopfen Sie E-Mail-Konten in denen Sie wertvolle Daten kommunizieren, nicht mit überflüssigen Newslettern, Angeboten oder weniger kritischen Konversationen. Legen Sie lieber weitere E-Mail-Adressen an. Das ist simpel, und Sie können die Konten einfach löschen, wenn ein Account gehackt oder die Adresse an andere Marketer weiter gegeben worden ist.

6) Nutzen Sie die Geräteverschlüsselung

Die meisten Smartphones, PCs und Laptops bieten die Möglichkeit, die Festplatte oder das Gerät zu verschlüsseln. Wenn dann ein Gerät verloren geht oder gestohlen wird, reduziert diese Art der Verschlüsselung den Verlust von sensiblen Daten ganz erheblich. Typischerweise nutzt man Verschlüsselung auf den persönlichen Geräten. Auf Geräten wie dem iPhone (oder bei neueren Android-Versionen) ist Verschlüsselung bereits standardmäßig installiert. Bei anderen Geräten muss man sie unter Umständen in den Einstellungen aktivieren.

Übrigens lassen sich mithilfe von forensischen Methoden und Datenwiederherstellung gelöschte Daten auf ausgemusterten Rechnern wiederherstellen. Auch hier hätte eine Festplatten-Verschlüsselung geholfen …

7) Verschlüsseln Sie Dokumente, die sensible Daten und Informationen enthalten

Viele von uns fassen finanzielle Informationen und andere vertrauliche Daten in Tabellen oder anderen klarschriftlichen Dokumenten zusammen. Etliche der aktuellen Applikationen wie

Microsoft Office und LibreOffice unterstützen die Dateiverschlüsselung. Wenn dann eine vertrauliche Datei versehentlich an die falsche E-Mail-Adresse geschickt worden ist oder auf einem gestohlenen Rechner gespeichert wurde, sind die Chancen mit Verschlüsselung deutlich höher, den Zugriff auf diese Daten oder deren Diebstahl zu verhindern. Auf die Verschlüsselung von Dokumenten sollte man auch dann nicht verzichten, wenn die Festplatten-Verschlüsselung aktiviert ist.

8) Favorisieren Sie SSL/HTTPS beim Browsen

Etliche Webseiten bieten über HTTP den unverschlüsselten oder über SSL/HTTPS den verschlüsselten Zugriff an. Wo auch immer Sie sich einloggen: Wenn es um Online-Shopping, Bank- oder Finanztransaktionen jeglicher Art geht, sollte diese Kommunikation ausschließlich verschlüsselt ablaufen. Das grüne Schlosssymbol oder ein anderer Hinweis in der Adresszeile signalisieren dem Benutzer über den Browser, dass es sich um eine legitime Seite handelt.

Seiten, die nicht verschlüsselt sind oder potenzielle Sicherheitsrisiken bergen, werden oftmals mit gelben oder roten Warnsignalen im Browser gekennzeichnet. Darauf sollten Sie achten.

Google nutzt bei Suchen inzwischen standardmäßig SSL. Es existieren zudem Browser-Erweiterungen, die SSL-basierte Verschlüsselung auch für Seiten anbieten, die diese nicht offiziell unterstützen.

9) Setzen Sie Apps ein, die Ihre Privatsphäre schützen

Zum Glück werden mehr und mehr Applikationen entwickelt, die eine Verschlüsselung unterstützen oder andere Sicherheitsmaßnahmen integrieren. In der Regel sind diese Maßnahmen in anderen Applikationen nicht als Standard verfügbar. Prüfen Sie unbedingt bei jeder App, über die Sie Textnachrichten, E-Mails oder in anderer Weise persönlich kommunizieren, ob dies verschlüsselt möglich ist. Etliche sichere Applikationen sind inzwischen sogar ziemlich populär wie WhatsApp, Signal und TOR (oder der TOR-Browser).

10) Alternative Betriebssysteme in Erwägung ziehen

Die meisten Exploits können nur über ein bestimmtes Betriebssystem (OS) oder eine Anwendung ausgeführt werden, die auf diesem Betriebssystem läuft. Malware-Autoren richten sich im eigenen Interesse nach den Marktgesetzen und bevorzugen naturgemäß weit verbreitete Betriebssysteme und Applikationen. Wenn eine Applikation auf unterschiedlichen Betriebssystemen läuft, hat eine Schwachstelle innerhalb der App unter Umständen nicht dieselben Auswirkungen, je nachdem, welches Betriebssystem zugrunde liegt. Man reduziert das Risiko, wenn man sich statt für eines der populärsten Betriebssysteme wie Windows oder Apple IOS für ein anderes OS entscheidet.

OpenBSD, FreeBSD oder Linux sind weniger anfällig, weil Malware-Autoren und Hacker auf den Massenmarkt zielen. Ein anderes OS verlangt vom Nutzer zwar unter Umständen mehr technische Kenntnisse, ist aber ein kluger Schritt um die Privatsphäre dauerhaft besser zu schützen.

Fazit

Diese zehn Schritte umzusetzen, trägt ganz erheblich zum Schutz der Privatsphäre bei. Und nicht nur das: Sie helfen dabei, alle Mitarbeiter im Hinblick auf die Sicherheitskultur einer Firma zu sensibilisieren. Wer sich dergestalt darum bemüht, seine Privatsphäre zu schützen, wird auch am Arbeitsplatz  vorsichtiger mit seinen Daten umgehen.

Der Autor:
Patrick Knight ist Security Research Architect bei Cylance Inc.

Quellen:
[1] vgl. http://www.zeit.de/digital/datenschutz/2017-03/wikileaks-cia-vault7-android-iphone-hacker

[2] vgl. https://www.bc.edu/bc-web/bcnews/science-tech-and-health/technology/cybersecurity-conference-2017.html

Weitere Informationen:
Cylance Inc.
www.cylance.com
www.cylance.com/en_us/blog.html

Bildhinweis:
Thema Datenschutz – Symbolbild (Quelle: pixabay.com)