Hinweis: Dieser Artikel ist ein Beitrag zum ScienceBlogs Blog-Schreibwettbewerb 2015. Hinweise zum Ablauf des Bewerbs und wie ihr dabei Abstimmen könnt findet ihr hier. Informationen über die Autoren der Wettbewerbsbeiträge findet ihr jeweils am Ende der Artikel.
——————————————
Angeregt von verschiedenen Blog-Posts, die ich in den letzten Monaten z. B. hier, beim Funkenstrahlen-Podcast oder bei Udo Vetter gelesen und gehört habe, möchte ich mich anlässlich des Schreibwettbewerbs bemühen, meinen eigenen Umgang mit Computersicherheit zu verbessern. Über die Erfahrungen, die ich dabei mache, berichte ich hier.
IST-Zustand
Ich befürchte, dass ich ein relativ durchschnittlicher Computerbenutzer bin, was Sicherheit am Computer und im Netz angeht. Ich benutze nur wenige unterschiedliche Passwörter, ich verschlüssele keine Mails, obwohl ich vor Jahren schon einmal einen Ausflug zu PGP gemacht habe, meine Daten auf Computer und Smartphone/Tablet sind nicht weiter verschlüsselt. Im beruflichen Umfeld bin ich an den Mailclient von Office gebunden, privat nutze ich auch andere Alternativen. Ich nutze einen PC im Büro, zwei Laptops zu Hause und für meine Nebentätigkeit, alle mit Windows 8. Ich betreibe ein Android-Tablet für die Arbeit und ein Android-Smartphone privat, die beide nicht mehr ganz taufrisch sind. Ach und noch etwas: Ich habe ein furchtbares Gedächtnis. Vielleicht liege ich einen Hauch über dem Durchschnitt, da ich meine Passwörter nirgends aufgeschrieben habe und einen Script-Blocker beim Surfen benutze. Auf meinen Rechnern läuft ein Virenscanner von Sophos, auf den Android-Geräten die Free-Version von AVG. Als Firewall benutze ich die von Windows (jaja, ich weiß), da mein Arbeitgeber und mein Router eine vorgeschaltete Firewall bereitstellen. E-Mails schicke ich hauptsächlich über den Exchange-Server des Arbeitgebers (den ich auch als Exchange-Server nutze, nicht nur über POP/IMAP) und meine eigenen Postfächer bei meinem Web-Hoster.
Baustellen
So wie sich mir beim ersten Hinschauen die Situation darlegt, habe ich folgende Baustellen:
Datenverschlüsselung
Mail-Verschlüsselung
Passwörter/PINs an den Geräten
Passwörter im Internet
Firewalls
Virenscanner auf den Android-Geräten
Möglichkeiten und Auswahl
Für dieses Projekt steht mir vorerst ein Monat zur Verfügung, um etwas zu tun und darüber zu schreiben. Ich habe einen Vollzeitjob und eine Familie. Ich werde also vermutlich am Ende kein perfekt abgeschottetes System mit geheimdiensttauglicher Sicherheit haben, aber einen Schritt in die richtige Richtung möchte ich schon machen. Die Baustellen mit dem geringsten Aufwand bzw. dem größten Effekt scheinen mir die Passwörter zu sein. Damit fange ich an. Bei der Datenverschlüsselung kommt es wohl hauptsächlich darauf an, welches Tool man benutzt und wie viele seiner Daten man verschlüsseln sollte/kann/will/muss. Ich schaue mal, wieviel Zeit ich finde. Interessant und wichtig finde ich die Mail-Verschlüsselung. Ich habe da ja schon einmal dran gearbeitet, aber es ist damals daran gescheitert, dass nur eine Person, die ich kannte, mitgemacht hat. Da würde ich gerne wieder dran, da ja immer mehr über die Geheimdienste herauskommt. Firewalls will ich erst einmal ausklammern, aber bei zu viel Zeit schaue ich mir das Thema Virenscanner auf Android-Geräten noch einmal an. Mein Fokus liegt aus dem PC, ich achte aber darauf, dass es auch Umsetzungen für Android gibt.
Erste Ernüchterung
Ich wollte mir mal eben einen PGP-Schlüssel generieren. Dabei merke ich gerade, dass man da ja eine Passphrase benötigt. Ich sollte die Baustellen doch in der richtigen Reihenfolge abarbeiten. Zuerst also die…
Passwörter
Passwörter sind das A und O, wenn man sich irgendwie im Internet bewegen will. Die meisten Angebote benötigen eins, sobald man etwas kaufen oder selbst veröffentlichen will ist es unabdingbar. Also frage ich mal die Suchmaschine meines Vertrauens nach “sicheres Passwort”. Einer der ersten Treffer ist eine Informationsseite des BSI. Das BSI empfiehlt:
mindestens 12 Zeichen
Groß- und Kleinbuchstaben, Sonderzeichen, Ziffern
nichts, was man aus Social Engineering bekommt
nichts aus Wörterbüchern
keine Tastenmuster
Die Vorgeschlagene Methode des BSI ist dann, aus einem merkbaren Satz die Wortanfänge zu nehmen und einige Buchstaben durch Ziffern/Sonderzeichen zu ersetzen. Unterschiedliche Universitäten empfehlen im Durchschnitt das gleiche mit 10 Buchstaben.
Gegen diese Methode stellt sich Randall Munroe bei XKCD:
Bild: xkcd, CC-BY-NC 2.5
Der Argumentation und ihrer Erklärung kann ich gut folgen. Ich möchte keine Passwortverwaltung mit kryptischen Passwörtern verwenden, weil ich auf vielen unterschiedlichen Systemen unterwegs bin und nicht auf einer Smartphonetastatur die Sonderzeichen suchen möchte. Ich entscheide mich also für die Methode von XKCD. Damit das Merken der Passwörter nicht zu schwierig wird, verzichte ich auf ein wenig Sicherheit und verpasse meinen Passwörtern ein System (ja, ich beschreibe hier nur ein ähnliches System, nicht meines): Ich lege Kategorien für die vier im Beispiel genutzten Wörter fest, z. B. bekanntes Gebäude/etwas an das mich der Dienst erinnert/Automarke/Land. Ein Problem bei dieser Methode ist, dass viele Webseiten und Dienste nach Zahlen und/oder Sonderzeichen verlangen. Hier streue ich dann an unterschiedlichen Stellen solche Zeichen ein.
Man soll ja für jeden Service ein eigenes Passwort benutzen. Das führt schnell zu einer riesigen Menge an Wortkombinationen, gegen die mein schwaches Hirn vermutlich nicht ankommen wird. Ich verzichte also auf noch ein wenig Sicherheit: Bei unkritischen Diensten (Hobbyforum, Flashgames…) werde ich jeweils nur das zweite Wort tauschen und drei gleich lassen. Zudem werde ich die Passwörter in einer verschlüsselten Datei ablegen. Das führt mich direkt zur zweiten Baustelle…
Dateiverschlüsselung
“Ich habe ja nichts zu verbergen!”, ist ein Argument, das man häufig hört, wenn es um Verschlüsselung geht. Ein paar Gegenargumente findet man z. B. bei den Piraten. Das Thema darf aber auch gerne in den Kommentaren diskutiert werden.
Egal, ob ich nun etwas zu verbergen habe oder nicht, zumindest meine Passwörter möchte ich nicht im Klartext ablegen (personenbezogene Daten mit denen ich im Beruf zu tun habe, möchte ich dann in Zukunft auch verschlüsselt speichern).
Also auf ins Netz und nach Datei- bzw. Laufwerksverschlüsselung gesucht. Dabei ist es nicht möglich, an TrueCrypt vorbeizukommen. Allerdings gab es da ja diesen Vorfall, dass die Entwickler so plötzlich die Entwicklung eingestellt haben. Ich entscheide mich auf dem PC für VeraCrypt einen freien Fork von TrueCrypt.
Um das Aufwand-Nutzen-Verhältnis nicht zu sehr zu strapazieren, entscheide ich mir vorerst dafür, mir “nur” verschlüsselte Container anzulegen und noch nicht ein ganzes Laufwerk bzw. sogar das ganze Betriebssystem zu verschlüsseln. Ich nehme auch kein verstecktes Volume, da ich die “glaubhafte Abstreitbarkeit” in meiner Position nicht für mich zu benötigen glaube.
Bild: xkcd, CC-BY-NC 2.5
Ich lade also den Installer herunter und lege los. Als Dateinamen kann man sich übrigens irgendetwas ausdenken, um so die Datei ein wenig zu tarnen. Für die Verschlüsselung wähle ich AES und SHA-512. Irgendwann kommt die Stelle, an der man das Passwort für den verschlüsselten Container eingeben soll. Frustriert stelle ich fest, dass VeraCrypt empfiehlt, keine zusammengesetzten Begriffe aus Wörterbüchern zu nehmen. Ich bleibe bei meinem System und streue Ziffern und Sonderzeichen ein. Jetzt kommt der lustigste Teil: Um Zufallszahlen zu generieren, bewegt man die Maus im Programmfenster hin und her; Achtung, man muss irgendwann auch auf “weiter” klicken. Jetzt kann man sich im Hauptfenster einen Laufwerksbuchstaben aussuchen und kann das Laufwerk “mounten” (verbinden). Dieses Verbinden dauert ein paar Sekunden, danach kann man wirklich wie mit einem normalen Laufwerk arbeiten. Achtung: Solange das Laufwerk verbunden ist, kann jeder, der am laufenden System sitzt, auf die Dateien im Container zugreifen. Man sollte also den Computer sperren, wenn man den Platz verlässt bzw. den Container schließen, wenn man ihn nicht mehr braucht. Für Android gibt es eine kostenpflichtige App, die VeraCrypt-Container unterstützt: EDS von sovworks.
Zweite Ernüchterung
Man sollte so eine Aktion nicht am Arbeitsplatz kurz vor dem Wochenende starten!
Ich komme am Montag an meinen Rechner und möchte die Mailverschlüsselung (zu der ich gleich komme) in Betrieb nehmen. Bitte geben Sie das Passwort ein … Falsches Passwort! Oh je! Naja, ich habe die Passwörter in dem verschlüsselten Container abgelegt. Ich starte, mounte… Bitte geben Sie das Passwort ein … Falsches Passwort! Vielleicht eine Fehleingabe? Habe ich einen der Begriffe vertauscht? Nach einer Viertelstunde Ausprobieren habe ich dann alle Passwörter und Begriffe, an die ich mich noch erinnerte, auf einen Zettel geschrieben und systematisch alle Variationen ausprobiert. Nach einer weiteren Viertelstunde hatte ich es dann geschafft (Keine Angst, den Zettel habe ich verbrannt und die Asche in einer zufällig vorhandenen Pfütze zermatscht. Vielleicht sollte ich noch einmal an dem System arbeiten?
Mailverschlüsselung
Bei diesem Thema bin ich bei kurzer Recherche auf folgende drei Möglichkeiten gestoßen:
S/MIME
PGP
De-Mail (NICHT E-Postbrief)
De-Mail kann man, denke ich, gerne ausschließen, da eine Ende-zu-Ende-Verschlüsselung durch zwischenzeitliches Entschlüsseln zur Virenprüfung etc. nicht stattfindet. Um eine wirkliche Sicherheit herzustellen, müsste man zusätzlich verschlüsseln. Abgesehen davon scheint es mir auf den ersten Blick nicht E-Mail-kompatibel zu sein.
Für S/MIME brauche ich ein Zertifikat von einer Zertifizierungsstelle zusätzlich zu zwei Schlüsseln. Die meisten davon sind kostenpflichtig, die freien haben meist eine sehr kurze Gültigkeit. S/MIME hätte den Vorteil, dass Microsoft Office direkt damit umgehen kann und man keine weitere Software benötigt. Eine Anleitung zum Einrichten eines Zertifikats und zur Einbindung in Outlook gibt es z. B. beim Cyber Security Blog.
PGP ist eine Software zur Verschlüsselung und Signierung von Daten, es geht also über den Nutzen bei Mails hinaus. In der Hauptsache geht es aber wohl um Nachrichten. PGP ist eine asynchrone Verschlüsselung und benötigt (ebenso wie S/MIME) einen öffentlichen Schlüssel, mit dem Nachrichten an mich verschlüsselt werden, und einen privaten Schlüssel, mit dem ich diese Nachrichten wieder entschlüsseln kann:
Bild: Gregorerhardt, CC-BY-SA 4.0
Anders als S/MIME setzt PGP auf ein Web-of-Trust. Ich habe meinen öffentlichen Schlüssel und kann den an andere z. B. in der Signatur meiner Mails verteilen. Nun könnte ja jemand einen Schlüssel anlegen und behaupten er wäre ich. Dazu gibt es die Möglichkeit, Schlüssel zu signieren. Wenn Florian mit seinem Schlüssel auf einem Datenträger vorbei kommt, kann ich ihn mit meinem Schlüssel signieren und damit bestätigen, dass dies wirklich sein Schlüssel ist. Je öfter ein Schlüssel signiert ist (vor allem von Leuten, die ich auch kenne), umso sicherer ist es der richtige. Dieser Punkt ist natürlich recht schwierig zu erfüllen, wenn man gerade frisch anfängt und nur wenige Leute, die man kennt, auch mitziehen.
Dazu habe ich im Funkenstrahlen-Podcast von einer Alternative gehört: keybase.io. Hier verbindet man seinen öffentlichen Schlüssel mit verschiedenen Social-Media-Accounts, z. B. Twitter. Wenn also jemand seit längerer Zeit mit mir bei Twitter kommuniziert, dann kann er bei Keybase über meinen Twitter-Namen meinen Public-Key bekommen.
Aber ich mache schon wieder den zweiten Schritt vor dem ersten: Zuerst müssen PGP installiert und ein Schlüsselpaar erzeugt werden.
Um unter Windows mit Outlook meine Mails verschlüsseln zu können, habe ich mir GPG4win und das OutlookPrivacyPlugin heruntergeladen und in dieser Reihenfolge installiert. In Kleopatra, das ist die Schlüsselverwaltung von PGP, kann man nun ein “Neues Zertifikat” (OpenPGP) erstellen. Dabei als Passphrase bitte ein sicheres, langes Kennwort verwenden (siehe oben). Nach Abschluss des Assistenten wird im Hauptfenster das Zertifikat angezeigt. Mit einem Rechtsklick kann man nun sowohl den öffentlichen als auch den privaten Schlüssel in eine Datei exportieren. Den privaten Schlüssel sollte man allerdings nur verschlüsselt ablegen, DENN: Jeder, der diesen Schlüssel hat, kann im Prinzip die Nachricht entschlüsseln. Zusätzlich kann man den öffentlichen Schlüssel auch auf Schlüsselserver (z. B. von Universitäten) hochladen, wo jeder nach Namen oder Adressen suchen kann. Zusätzlich habe ich in meine E-Mail-Signatur einen Link zu Keybase integriert, so dass mir jeder verschlüsselte Nachrichten schicken kann.
Unter Outlook wird nun das OutlookPrivacyPlugin eingerichtet. Dadurch erscheint oben in der Button-Leiste ein neuer Block “OpenPGP”. Hier kann ich auswählen, ob ich die Mail verschlüsseln oder nur signieren will. Dabei wird allerdings die Art der Nachricht auf “nur Text” umgestellt. Sobald ich auf “senden” klicke, werde ich noch gefragt, für wen ich die Mail verschlüsseln will, falls das Plugin den Schlüssel zur Mailadresse nicht automatisch ermitteln kann. Sobald meine Passphrase eingegeben ist, wird die Mail losgeschickt.
Bekomme ich eine geschützte Mail, reichen ein Doppelklick und die Eingabe der Passphrase zum Entschlüsseln. Die Passphrase muss nur einmal pro Session eingegeben werden.
Liebhaber von freier Software können ihre Mails unter anderem mit Thunderbird und Enigmail verschlüsseln. Auf Android-Geräten kann man z. B. APG mit K9-Mail benutzen, das schaffe ich allerdings diesen Monat noch nicht.
Kurz vor der Einreichung dieses Artikels flattert mir noch die Meldung ins Haus, dass 1&1 bei den Diensten web.de und GMX nun eine webmailerbasierte PGP-Lösung anbietet. Das Einrichten hat soweit geklappt. Ich konnte allerdings auf die Schnelle noch keine verschlüsselte Mail an eine Mailadresse eines anderen Anbieters versenden.
Fazit
So, der Monat ist fast rum, ich bin um einiges schlauer, was Sicherheit angeht und meine Daten sind jetzt ein wenig sicherer:
Ich benutze sicherere Passwörter. Noch nicht überall, aber so nach und nach werde ich alle Dienste umstellen.
Ich verschlüssele die wichtigsten Daten und werde beim nächsten Neuaufsetzen meines Rechners zumindest auf Laufwerksverschlüsselung umstellen und nicht mehr “nur” Containerdateien benutzen.
Ich kann auf meinem geschäftlichen Account mit PGP verschlüsselte Mails versenden und empfangen. In meinem Adressbuch befindet sich zwar noch kein Eintrag, der oder dem ich etwas Verschlüsseltes senden könnte, aber ich stelle allen Leuten zur Verfügung mir solche Nachrichten zu schicken. Meine privaten Mailer und die Smart-Geräte will ich bis Weihnachten aufrüsten.
Es wäre noch einiges zu tun, um wirklich abhörsicher zu werden, aber ich möchte auch nicht paranoid sein und handeln. Sobald die Krypto beginnt, mein Leben zu behindern, ist es eigentlich zu viel des Guten.
Ich hoffe, dass dieser Artikel anderen zeigt, dass es nicht zu schwierig ist, Daten ein wenig sicherer zu machen. Ich freue mich auf eine angeregte Diskussion in den Kommentaren. Für Vorschläge zu alternativer Software (z. B. auch für iOS), anderen Baustellen, Fehlern in meinen Entscheidungen/meinem Vorgehen wäre ich sehr dankbar.
P.S. In diesem Artikel taucht die Silbe “schlüss” 60-mal auf!
P.P.S. Danke an Florian für die Motivation zu und die Plattform für diesen Artikel.
————————————————-
Hinweis zum Autor: Dieser Artikel wurde von “Crazee” geschrieben.