Sind meine Daten sicher?

desktopdiorama_small,

Die Ausstellung „Außer Kontrolle – Was das Netz über dich weiß“ führt bereits seit April 2012 vor Augen, was Regierungen und Unternehmen mit unseren Daten und Bewegungen im Web anstellen. FH-Prof. DI Robert Kolmhofer von der FH OÖ Campus Hagenberg erklärt, wie wir unsere Daten am besten schützen und präsentiert seine 10 besten Links zum Thema „Sicherheit im Internet“.

Spielfiguren bewachen die Daten des Künstlers Hiroto Ikeuchi (JP) in der Ausstellung „Außer Kontrolle“

Nach den Enthüllungen des US-amerikanischen Whistleblowers Edward Snowden zeigt sich, dass die Anonymität von Systemen wie dem TOR-Netzwerk, das bis dahin als besonders abhörsicher galt, nicht mehr gewährleistet werden kann. Anonym im Web surfen – ist das eigentlich noch möglich?

Die Dokumente zeigen, dass – insbesondere wegen TOR – das anonyme Surfen heutzutage einfacher ist als früher. Die Mittel dazu sind – zumindest bei uns – einfach verfügbar. Das TOR-Netzwerk zeigt sich derzeit noch als robust. Einzelne, aber zumeist nicht ausreichend viele TOR-Knotenpunkte können attackiert werden. Und genau so ist TOR konzipiert, denn einzelne Komponenten im TOR-Netz dürfen unsicher werden, ohne die Sicherheit des Systems zu gefährden. Wie jedes andere System ist TOR jedoch auch angreifbar. Der wahrscheinlichste Grund, warum anonymes Surfen auch mit TOR nicht gelingt, werden auf absehbare Zeit aber Fehler beim Benutzer bleiben. Persönliche Informationen haben in TOR-Sessions nichts verloren; TOR-Browser sollen keine Cookies speichern, außerhalb von TOR sollte ein anderer Browser verwendet werden. Sich vor gezielten Angriffen gegen die eigene Person zu schützen, ist aber tatsächlich ein schwieriges Unterfangen, da hier natürlich Angriffe – insbesondere Trojaner, Keylogger und so weiter – auf allen Ebenen denkbar sind.

Was kann ich tun, um meine E-Mails zu verschlüsseln, damit nur der richtige Empfänger den Inhalt lesen kann? Wie installiert man diese Software? Und bremst das das System nicht umständlich ein?

Eine Möglichkeit zur Verschlüsselung von E-Mails ist die Benutzung von PGP (Pretty Good Privacy). Alle erforderlichen Downloads und Anleitungen sind beispielsweise gratis auf www.gnupt.de zu finden. Die Installation läuft dann vollautomatisch ab. Das Schreiben und Lesen von E-Mails wird dadurch um einen Klick langsamer vonstattengehen. Wichtig ist, zu beachten, dass die gängigsten E-Mail-Clients PGP nicht standardmäßig unterstützen. Die entsprechenden Erweiterungen müssen also auf jedem System installiert werden, wo man Verschlüsselung nutzen möchte. Auch auf Smartphones und Tablets kann es mit PGP Probleme geben. Da helfen oft aber die On-Board-Mittel, um signierte und verschlüsselte Mails bei iOS oder bei Android zu erstellen. Daneben unterstützen E-Mail- Clients wie Outlook die Verschlüsselung und Signatur von E-Mails via S/MIME. Eine Anleitung dazu gibt es hier.

Wenn wir uns im Web bewegen, kommen wir nicht darum herum, uns für verschiedene Services neue Benutzernamen und Passwörter auszudenken. Ein und dasselbe Passwort zu verwenden, wäre mit einem hohen Risiko für Identitätsdiebstahl verbunden. Und wie der „Passwort Hacker“ bei „Außer Kontrolle“ zeigt, sind komplizierte Zeichenfolgen am besten. Wie merken Sie sich Ihre Passwörter?

Als Basis verwende ich ein oder zwei Worte. Am besten Worte, die als Kombination nicht in Wörterbüchern stehen, die weit verbreitet sind. Mundart oder Schreibfehler sind gut. Dann lege ich mir Regeln für ein einmaliges Festlegen der Strukturveränderung fest. So schreibe ich beispielsweise AllE VOkAlE grOß. Oder ich ersetze „a“ durch „@“ oder „i“ durch „!“. Dann kommt eine Kombination von Sonderzeichen oder Zahlen hinzu (z. B. „+13“), die ich immer nach der dritten Stelle oder am Ende mit dem Wort mische. Aus „hoamatland“ wird „hO@m@tl@nd+13“. Das ist leicht zu merken. Und dann kommt nach einem von mir definierten Regelwerk auch noch ein Teil der Bezeichnung jeder einzelnen Web- Anwendung ins Passwort mit hinein. So habe ich für jede Anwendung ein eigenes Passwort. Für Amazon „hO@m@tl@nd+13:Amaz“, für Google „hO@m@tl@nd+13:Goog“.

Kann der eigene PC zur sicheren Festung werden?

Viele von uns denken an Virenschutz auf dem eigenen PC, aber wie sehr muss ich mein Smartphone schützen? Geht das?

Es gibt verschiedene Virenscanner-Produkte für Android und mittlerweile auch für iOS. Experten sind sich uneins, ob man einen Virenscanner am Smartphone oder Tablet braucht oder nicht. Auch die diversen Testberichte über die Produkte geben leider ein uneinheitliches Bild hinsichtlich der Qualität der Erkennung. Bei Apple/iOS sind nach aktuellem Stand keine brauchbaren Produkte verfügbar bzw. ist die Erkennungsrate mehr als schlecht. Und es gibt auch praktisch keine Schadsoftware, die herumgeistert. Bei Android ist die Situation etwas anders, hier gibt es sehr wohl einige „bösartige“ Apps. Wichtig ist beim Einsatz eines Virenscanners auf jeden Fall, dass es ein Produkt eines anerkannten Herstellers ist. Hände weg von Freeware oder Testversionen, die können selbst „Schadsoftware“ sein. Wichtig ist auch, dass es regelmäßige Updates für die Virenscanner gibt, die man einspielt. Noch wichtiger ist es, nur die Apps zu verwenden, die man wirklich braucht, und vor der Installation einer App zu schauen, ob über sie irgendwelche Sicherheitslücken oder andere Mängel oder Gefahren bekannt sind. Eine Google-Recherche hilft immer. Einen Hinweis auf die App-Sicherheit können auch Bewertungen geben.

Digitale Daten sind schnell kopiert und sobald sie in der Wolke bzw. auf Servern außerhalb meiner vier Wände gespeichert sind, habe ich persönlich keine Kontrolle mehr darüber. Wie schütze ich meine Daten?

Indem ich Daten nur verschlüsselt in die Cloud ablege und nur solche dort speichere, bei denen es egal ist, wenn sie in falsche Hände geraten – da kann man die Dinge dann aber auch gleich auf Facebook stellen. Gut geeignet sind ZIP/RAR-Archive, die man mit einem guten Passwort verschlüsselt – mit WinZIP, WinRAR oder 7-Zip – und dann in der Cloud ablegt. Noch sicherer ist es, die Cloud-Services einfach nicht zu verwenden.

Die 10 besten Links zum Thema „Sicherheit im Internet“.

https://www.onlinesicherheit.gv.at/
Offizielle IT-Sicherheits-Info-Page der Österreichischen Regierung mit zielgruppen-spezifischen Themenbereichen. Sehr informativ und wirklich brauchbar für alle Lebenslagen.

https://www.sicherheitshandbuch.gv.at/
Österreichisches Informationssicherheitshandbuch, von der österreichischen Regierung erstellt und kostenlos erhältlich

http://www.bsi.bund.de/
„Die Quelle“ im deutschsprachigen Raum für sämtliche Themen rund um Informationssicherheit

http://www.us-cert.gov/
Das „Ur-CERT“ (CERT = Computer Emergeny Response Team) mit vielen aktuellen Sicherheitwarnungen im IT-Bereich (für Experten)

http://www.cert.at/
Die österreichische Variante einer CERT-Info

http://nvd.nist.gov/
Datenbank mit bekannten Schwachstellen in IT-Systemen (eher für Experten)

http://www.cvedetails.com/
Auch eine gute Quellen für Security-Schwachstellen-Infos

http://www.fh-ooe.at/sib
Homepage unseres Departments an der FH mit Infos zum Studieren, News, Events, …

http://www.microsoft.com/security/default.aspx
Security-Tipps von Microsoft

http://technet.microsoft.com/en-us/security/dn440717
Technische Security Homepage von Microsoft

http://support.apple.com/kb/ht1222
Apple Security Update Infos

http://developer.android.com/guide/faq/security.html
Security-Infos für Android. Leider nicht sehr hilfreich, weil die Gerätehersteller für die Updates zuständig sind

Am SA 8. und SO 9. Februar 2014 rücken die „Science Days“ im Ars Electronica Center die Ausstellung „Außer Kontrolle – Was das Netz über dich weiß“ mit Vorträgen und Führungen zum brandaktuellen Thema Überwachung und Sicherheit im Internet in den Mittelpunkt.

,