Mediakar

Informationssicherheit : Sicher surfen, mailen und telefonieren

Wie schützen Journalisten und einfache Nutzer ihre Privatsphäre im Internet? Wie geht man mit Emails, Chats und Web-Suche um? Und soll ich nun mein Smartphone wegschmeißen, damit ich nicht abgehört werde? Diese Fragen beantwortete in diesem Interview Anne Roth. Sie arbeitet als Researcher für Tactical Technology Collective und beschäftigt sich unter anderem mit Netzpolitik und Informationssicherheit. Den ersten Teil des Interviews über die Lage der Datensicherheit in Deutschland und weltweit, Sicherheitslücken im Internet und das Ausspähen durch Geheimdienste und Unternehmen lesen Sie hier.

Natalia Karbasova: Wie können Nutzer, die keine speziellen Kenntnisse haben, ihre Privatsphäre im Internet schützen?

Anne Roth: Es gibt viele Möglichkeiten, sich gegen Überwachung zu schützen. Dabei hängt viel davon ab, wie das Internet genutzt wird. Allgemein gesagt sieht das für politische Aktivisten in repressiven Staaten natürlich völlig anders aus als für Otto Normalbürger in Deutschland, der sich vor allem für Bundesliga-Ergebnisse interessiert. Wichtig ist also, sich zunächst klar zu machen, auf welchem Weg kommuniziert wird und sich dann zu informieren, ob es sicherere Alternativen gibt.

Eine einfache Möglichkeit sich zu schützen, ist die Verwendung von Pseudonymen für Chats, für Mail-Adressen oder oft, wenn im Internet ein Log-In nötig ist. Es ist in den meisten Fällen nicht illegal, einen falschen Namen zu verwenden. Der kann aber vor Profilbildung etwa durch Firmen schützen, die mit Daten handeln. Dabei ist auf der anderen Seite aber wichtig zu realisieren, dass die Firmen noch andere Möglichkeiten haben, Daten über Nutzer zu sammeln, etwa über durch Gerätenummern, die bei vielen Formen der Kommunikation weitergegeben werden.

Und verschlüsseln Sie Ihre Festplatte: das ermöglichen inzwischen die meisten Betriebssysteme über die Einstellungen. Sollte Ihr Rechner verloren gehen oder gestolen werden, sind Ihre Daten gesichert. Denken Sie an regelmäßige Back-Ups.

Auch der eigene WLAN-Router sollte unbedingt geschützt werden – wie das geht, steht in den jeweiligen Anleitungen zur Einrichtung.

Welche Programme, Apps und Plug-Ins gehören in den Alltag aller Nutzer, die ihre Privatsphäre schützen möchten?

Ich würde hier gern auf mehrere Zusammenstellungen von Tactical Tech verweisen: Security in-a-box ist eine Übersicht über Programme, die beim Verschlüsseln von E-Mail, Dateien und Chat hilft, außerdem beim sicheren Entfernen von Dateien, für das Verwalten sicherer Passwörter, dem anonymen Surfen und vieles mehr:

Wichtige Browser-Erweiterungen haben wir auf der Seite Me and My Shadow zusammengestellt, die außerdem dabei hilft zu erkennen, wo und wie wir im Netz digitale Spuren hinterlassen und wie wir das vermeiden können.

Mit dem Bekanntwerden von Prism und Tempora erreichten uns viele Fragen danach, welche Alternativen zu Facebook, Google oder Skype wir empfehlen. Sie sind hier zu finden.

Wie schütze ich meine Kommunikation?

In der Regel empfiehlt es sich, für E-Mail ein Mail-Programm wie Thunderbird zu benutzen und nicht Webmail. Hier unsere englische Anleitung mit vielen Screenshots. Wenn aber Webmail benutzt wird, ist wichtig, dass die Übertragung der Daten per SSL geschützt wird. Mittlerweile werden Nachrichten oft der Bequemlichkeit halber als Facebook-Messages oder Twitter Direct Message geschickt: besser ist, wieder zur E-Mail zurückzukehren.

Mittlerweile ist bekannt, dass Skype vielen Behörden und Geheimdiensten Informationen weitergibt. Es lohnt also darüber nachzudenken, ob wirklich soviel Voice- bzw. Videochat nötig ist, gerade bei vertraulichen Gesprächen. Wir wissen jetzt, dass Google, Facebook und viele anderen US-amerikanische Firmen direkt mit dem amerikanischen Geheimdienst NSA kooperieren (müssen), der wiederum mit deutschen Behörden zusammenarbeitet. Wer also vermeiden möchte, dass Kommunikationsinhalte bekannt werden oder nur, dass ein umfangreiches Profil der eigenen Person entsteht, das die Nutzer und Nutzerinnen selbst überhaupt nicht beeinflussen können, sollte möglichst wenig über sich auf diesen Plattformen preisgeben. Vielen ist bspw. nicht bekannt, dass etwa Google etwa die Inhalte aller über Gmail verschickten E-Mails scannt und auswertet – das ist nicht erst seit dem NSA-Skandal öffentlich.

Also versuchen Sie, Nachrichten vor allem per E-Mail zu versenden und nutzen sie lieber einen kleinen lokalen Provider anstelle der großen Anbieter wie Gmail, Hotmail oder Yahoo. Sinnvolle Mail-Verschlüsselung erfordert, dass alle Beteiligten das Programm benutzen. Es ist nicht ganz einfach, aber wenn es einmal installiert ist, ist für jede verschickte E-Mail nur ein zusätzlicher ‘Knopfdruck’ nötig, die Empfänger müssen dann nur noch ein zusätzliches Passwort eingeben.

Wenn Sie gern chatten: nutzen Sie die Chat-Verschlüsselung OTR, für Windows mit dem Programm Pidgin, für Mac mit Adium oder Jitsi.

Wie kann ich sicherstellen, dass die Internet-Seite, die ich gerade aufrufe, nicht von schädlicher Software betroffen ist?

Das ist fast unmöglich. Ich kann aber Vorsichtsmaßnahmen treffen: Schadsoftware kann entweder in Dateien enthalten sein, die ich von einer Seite herunterlade, etwa in PDF-Dateien oder natürlich Word. Wie auch bei E-Mail-Anhängen sollten alle Dateien erst mit einem Virenscanner geprüft werden bevor sie geöffnet werden – auf keinen Fall sollten sie durch direktes Anklicken direkt von der Website geöffnet werden. Ein wichtiges Browser-Add-On (Zusatzprogramm), das vor Schadsoftware schützt, ist NoScript, das es für den Firefox-Browser gibt. Es verhindert, dass Skripte, die für die Darstellung bestimmter Inhalte im Browser nötig sind, Schadsoftware übertragen.

Was sind die ersten Schritte auf dem Weg zu mehr Datensicherheit beim Surfen?

In den Einstellungen der Browser kann festgelegt werden, dass ich keine Cookies von Drittanbietern speichere. Cookies sind kleine Dateien, die wir beim Surfen ohne es zu merken auf unserem Gerät speichern, auf die die Betreiber der Websites zugreifen können, wenn wir die Website das nächste Mal ansurfen. Drittanbieter sind Betreiber Servern oder Unternehmen, die bspw. Werbung schalten und ebenfalls wissen möchten, was wir wann und wie lange angesehen haben. Das kann einfach deaktiviert werden. Oft sind Cookies nötig, etwa wenn wir uns irgendwo einloggen müssen – deswegen empfiehlt sich nicht, sie vollständig zu deaktivieren. Der Firefox-Browser bietet aber etwa die Option, dass ich jedes Mal, wenn ein Cookie installiert werden soll, gefragt werde und zustimmen muss. Das reduziert die Zahl schon erheblich.

Ganz wichtig ist auch, niemals etwas in Web-Formulare einzutragen, wenn kein SSL aktiviert ist, zu erkennen daran, dass in der Web-Adresse https:// statt http:// steht. Denken Sie daran, komplexe Passwörter zu benutzen und nutzen Sie verschiedene! Das Programm KeePass bzw. KeePassX für Mac hilft beim Erstellen und Verwalten.

Welche Alternativen für die Internet-Suche würden Sie empfehlen, damit keine Nutzerinformationen gespeichert werden?

DuckDuckGo und Startpage, wobei DuckDuckGo ebenfalls ein US-amerikanischer Service ist.

Wie wichtig ist es, ein eigenes Smartphone zu schützen?

Smartphones werden oft unterschätzt. Dabei speichern inzwischen viele ihre Kontakte häufig mit deren persönlichen Daten, dazu den eigenen, Firmen- oder Familienkalender, Fotos, E-Mails und noch anderes auf dem mobilen Gerät. Viele später installierte Apps verlangen Zugriff auf diese Daten und kaum jemand macht sich klar, was das bedeutet. Ein Beispiel: Um ‘What’s App’ zu nutzen, müssen wir erlauben, Telefonnummern und anderen Daten aller unserer auf dem Telefon gespeicherten Kontakte an das Unternehmen weiterzugeben. Ob das allen unseren Bekannten eigentlich recht ist, wird aber nie gefragt.

Wie kann ich die Ortung meines Handys vermeiden?

GPS-Funktion sollte deaktiviert werden. Generell übermitteln Mobil-Telefone ihren Standort an die Telekommunikationsdienstleister allein dadurch, dass sie sich regelmäßig bei den verschiedenen Funksendemasten ‘einbuchen’ – anders wäre das Telefonieren gar nicht möglich. Insofern ist die Ortung komplett nur zu vermeiden, indem das Telefon deaktiviert und die SIM-Karte entfernt wird.

Wie kann ich verhindern, dass meine Telefonate abgehört werden?

Dass Behörden Telefonate abhören, ist kaum zu vermeiden. Es gibt verschlüsselte Mobiltelefone, die aber ihren Preis haben. Für Mobiltelefone gibt es die Apps RedPhone und Ostel, die die Telefonate verschlüsseln. Außerdem ist natürlich Internet-Telefonie eine Option, die überhaupt nicht auf Telefon-Leitungen bzw. Mobilfunknetze zurückgreift. Um sich dabei vor dem Abhören zu schützen, sollte die SIM-Karte aus dem Telefon oder Tablet entfernt werden und eine Software verwendet werden, die Verschlüsslung erlaubt wie z.B. Jitsi.

Worauf muss ich achten, wenn ich mein Handy und Tablet schützen möchte?

Mobile Geräte gewinnen immer stärker an Bedeutung und weil sie inzwischen so viele Funktionen in der Kommunikation übernehmen, ist die Beantwortung nicht trivial. Das Smartphone-Kapitel von Security in-a-box beantwortet viele dieser Fragen. Außerdem verweisen wir gern auf The Guardian Project, das sichere Apps für Mobilgeräte entwickeln und umsonst anbieten.

Kann ich mich auch durch den Einsatz der portablen Apps schützen?

Portable Apps bieten nur einen marginalen Sicherheitsgewinn, wenn vertrauenswürdige Applikationen auf nicht vertrauenswürdigen Systemen eingesetzt werden. Was wirklich zählt, ist der eigenen Computer, dem man vollständig vertraut wird. Das ist leider bei Smartphones nur bedingt der Fall, viel besser ist hier ein kleines Notebook oder ein Tablet, mit möglichst freier Software ohne Zwangsanmeldung beim Hersteller (z.B. mit einer freien Android-Distribution), ohne UMTS und GPS.

Firmenrechner sollten (wie auch Firmennetzwerke) als nicht vertrauenswürdig behandelt werden. In Deutschland haben Arbeitgeber das Recht, die Tätigkeiten der Mitarbeiter am Firmen-PC zu überwachen und die dort erzeugten und gespeicherten Daten einzusehen, auch über das Netzwerk und auch ohne Wissen der Angestellten, dem das Gerät zur Verfügung gestellt wurde. In anderen Staaten gilt ähnliches Recht. Auch hier sollte idealerweise also besser ein eigenes Gerät mitgebracht werden, statt auf dem Firmen-PC mit privaten Daten zu hantieren. Ist das allerdings keine Option und ist wahrscheinlich, dass der Arbeitgeber keinen überwachenden Zugriff auf den Computer vornimmt, dann kann schon in Betracht gezogen werden, einen USB-Stick mit sich zu führen, der weitere Anwendungen bereit hält (z.B. mit Firefox oder Chromium, Thunderbird). Die meisten größeren Firmen verbieten allerdings den Einsatz eigener Software auf dem Arbeits-PC und insbesondere den Anschluss von USB-Sticks an die Firmenrechner um Vireninfektionen vorzubeugen.

Welche Cloud-Anbieter kann ich nutzen?

Grundsätzlich sind Cloud-Dienste immer problematisch. Mindestens die Anbieter haben Zugriff auf die Daten und in den meisten Fällen ist wahrscheinlich, dass auch die NSA Einsicht nehmen kann – das betrifft etwa auch Dropbox. Eine mögliche Alternative ist, selbst eine Cloud zu hosten, etwa über die Software von OwnCloud. Das erfordert aber natürlich ein gewisses technisches Wissen.

Wenn es sich gar nicht vermeiden lässt, sollten zumindest die Daten auf dem eigenen Rechner verschlüsselt werden, bevor sie in die Cloud geladen werden. Das schützt aber nicht davor, dass die Metadaten – also Dateinamen, Ort und Zeit des Uploads – sichtbar sind.

Leave a Reply

Your email address will not be published. Required fields are marked *