Verschlüsselung Authentifizierung Anonymisierung
Im Zeitalter von digitalen Kopiertechniken und umfassenden Überwachungskonzepten ist Datensicherheit ein sehr hohes Gut geworden, auch wenn viele das noch nicht realisieren. Ich will deshalb hier mal eine (hoffentlich) allgemeinverständliche Anleitung geben, wie man seine Daten im Internet am besten schützen kann. 100% Sicherheit wird es nicht geben und es ist auch nicht möglich, sich einfach ein oder zwei Programme zu installieren und alles ist gut, wie uns das die Hersteller von Personalfirewalls versprechen wollen. Sicherheit entsteht dadurch, dass man Dinge versteht, deshalb will ich hier versuchen, einige Programme zu erklären und nicht einfach nur eine Installationsanleitung, wie man sie ohnehin schon im Internet finden kann, aufzuschreiben.
Wenn man eine Webseite mit dem Browser aufruft, kann ein Fremder dies mitlesen. Auch alle Informationen, die verschickt werden, wie z.B. eine Suchanfrage bei google, können mitgelesen werden. Bei Passwörtern von Mail-Adressen kann dies besonders ärgerlich sein. Deshalb können Daten bei einigen Seiten auch verschlüsselt übertragen werden, so dass zwischen dem eigenen Rechner und der Webseite niemand mitlesen kann. Dazu wird SSL (Secure Sockets Layer) benutzt. Ob Ihr SSL gerade verwendet, seht ihr daran, dass in Eurem Browser Internetadressen mit https anstatt http angezeigt werden. Meist nimmt die Adresszeile Eures Browsers dabei auch eine andere Farbe an und es wird ein kleines Schloss eingeblendet. Einige Webseiten schalten automatisch auf eine SSL-geschützte Verbindung um, sobald man sie aufruft, bei anderen muss man dies explizit einstellen.
Eine solche Verschlüsselung der Verbindung von aufgerufener Seite und aufrufendem Browser kann ein potentieller Schnüffler und Datendieb jedoch einfach umgehen, indem er Euch auf seine eigene Seite umleitet, die der gewünschten Webseite zum Verwechseln ähnlich sieht, und dort dann alle Eure Eingaben protokolliert. Um dies zu verhindern, wird mit sogenannten Zertifikaten sichergestellt, dass man sich auch mit der richtigen Webseite verbindet. Diese Zertifikate werden von Firmen an Banken, Webmail-Dienste etc. vergeben, die im Browser normalerweise als vertrauenswürdig gekennzeichnet sind bzw. werden sollen. Da diese Firmen allerdings viel Geld für die Zertifikate verlangen, signieren einige Webnutzer Seiten Administratoren wie z.B. die der Leipziger Universität ihre Seiten selbst oder nutzen unkommerzielle Zertifikate. Letztlich muss man beim Besuch von Internetseiten immer abwägen, ob man dem angezeigten Zertifikat wirklich vertraut. Bei Seiten einer Bank sollte es aber definitiv keine Probleme mit dem Zertifikat geben, sonst ist Vorsicht angebracht. Einige interessante Seiten wie freifunk.net oder de.indymedia.org benutzen Zertifikate von cacert.org, einer gemeinnützigen Zertifizierungsstelle aus Australien. Diese werden zwar im Normalfall als nicht gültig angezeigt, das kann man jedoch ändern, indem man cacert.org aufruft, dort auf „Root Certificate“ klickt und dann auf die Zertifikate. Diese sollten dann automatisch in Euren Browser importiert werden.
Eine Verbindungs-Verschlüsselung via SSL mit durch Zertifikate authentifizierten Seiten schützt zwar vor dem Mithören von Dritten beim Surfen, viele sensible Daten entstehen aber vor allem Dingen beim Mailverkehr. Und E-Mails können ganz einfach beim Versenden zwischen zwei Anbietern wie gmx.de und web.de mitgelesen werden. Für die Polizei muss bei deutschen Freemailern sogar immer eine Schnittstelle zum Überwachen eingerichtet werden. Um solche und andere Lauschangriffe zu verhindern, sollten E-Mails mit GPG (Gnu Privacy Guard) verschlüsselt werden. GPG ist ein freies Kryptographiesystem, d.h. es dient zum Ver- und Entschlüsseln von Daten sowie zum Erzeugen und Prüfen elektronischer Signaturen. Um GPG benutzen zu können, muss das Programm auf dem eigenen Rechner installiert werden. Es ist kostenlos über gpg4win.de erhältlich. Dort findet man auch eine Anleitung, deswegen werde ich hier nur kurz das Prinzip von GPG erklären. Theoretisch würde ein gutes Passwort, das beide Kommunikationspartner kennen, zur verschlüsselten Kommunikation ausreichen. Da jedoch auch zwei sich vollkommen unbekannten Menschen ein sicherer Datenaustausch ermöglicht werden soll, verwendet GPG ein asymmetrisches Verschlüsselungsverfahren. Das bedeutet, der Anwender erzeugt zwei Schlüssel, einen öffentlichen und einen privaten. Auf den privaten Schlüssel darf nur der Eigentümer Zugriff haben. Daher wird dieser in der Regel auch mit einem Passwort geschützt. Mit diesem können Daten entschlüsselt und signiert werden. Der öffentliche Schlüssel dient dazu, Daten zu verschlüsseln und signierte Daten zu überprüfen. Er muss jedem Kommunikationspartner zur Verfügung stehen, der diese beiden Aktionen durchführen will, deshalb sollte er im Internet auf speziell dafür vorgesehenen Webseiten veröffentlicht
> z.B. keyserver.pgp.com
oder von Euch anderweitig frei verbreitet werden. Die Daten können mit dem öffentlichen Schlüssel weder signiert noch entschlüsselt werden, daher ist seine Verbreitung auch mit keinem Sicherheitsrisiko behaftet. Mit ein paar Mausklicks können dann Menschen, die sich noch nie gesehen haben, abhörsicher kommunizieren. Dazu müssen allerdings Versender und Empfänger ein E-Mail-Programm wie Thunderbird oder Outlook verwenden.
> Hier gibt es eine Liste von E-Mailprogrammen:
de.wikipedia.org/wiki/Kategorie:E-Mail-Programm
Wer viel unterwegs ist und seine E-Mails oft via Webinterface auf verschiedenen Computern liest, kann sich auch die Portable Edition von Thunderbird und GPG
> portableapps.com/de/apps/internet/thunderbird_portable
> portableapps.com/node/11402
auf einen USB-Stick spielen und so von jedem Rechner aus verschlüsselt mailen. Auch bei E-Mailprogrammen gilt natürlich: SSL-Verschlüsselung einschalten! GPG eignet sich übrigens auch, um alle möglichen gespeicherten Dateien für Unbefugte unzugänglich zu machen.
Nach den Abschnitten über Verschlüsselung nun zur Anonymisierung. Euer Internetanbieter muss spätestens ab dem 1.1.2009 speichern, welche Seiten Ihr wann und wie lange im Netz besucht (Gesetz zur Vorratsdatenspeicherung). Damit kann man ziemlich genaue Profile über Euch erstellen. Aber auch beispielsweise Onlineshops wissen aufgrund von Cookies (Eine Profildatei, die der Archivierung von Informationen dient) immer, für welche Dinge Ihr Euch schon alles interessiert habt. Um dies zu vermeiden, solltet ihr regelmäßig die Cookies auf Eurem Rechner löschen und TOR (The Onion Router) verwenden. TOR ist ein weltweites Netzwerk zur Anonymisierung und leitet Eure Internetverbindung durch drei zufällig ausgewählte Computer irgendwo auf der Welt (Proxy-Verbindung). Erst ab dem dritten Computer wird dann eine Verbindung ins Internet erstellt. Einen guten Einstieg zu TOR bietet:
> www.torproject.org/documentation.html.de
Dort findet ihr auch Beschreibungen, wie man TOR installiert und wie Programme dazu gebracht werden TOR zu benutzen. Allerdings sollte erwähnt werden, dass TOR sehr langsam ist und einem dadurch den Spaß am surfen verderben kann. Hier muss man halt immer abwägen, was einem lieber ist: Anonymität oder Geschwindigkeit. Man kann auch Firefox-Plugins installieren, mit denen man TOR recht einfach ein- bzw. ausschalten kann und so TOR nur für bestimmte Webseiten verwenden.
Auch zum Thema Chat will ich noch ein paar Zeilen verlieren. Instant Messenger wie ICQ oder auch Skype sind ja schon einige Jahre recht populär. Allerdings haben diese Dienste einige Nachteile. Der bedeutendste ist wahrscheinlich, dass die Betreiber den Inhalt kontrollieren können und sogar in ihren AGBs festschreiben, dass der Nutzer das Urheberrecht an den Betreiber abgibt. Doch es gibt eine freie und kostenlose Alternative: Jabber! Jabber funktioniert ähnlich wie kommerzielle Konkurrenten. Man muss sich ein Programm herunterladen
> de.wikipedia.org/wiki/Kategorie:Jabber-Client, oder wenn man noch andere Dienste nutzen möchte: de.wikipedia.org/wiki/Multi-Protokoll-Client
und kann sich dann bei einem beliebigen Server registrieren. Dort erhält man eine Jabber Identifier (JID), die einer E-Mail-Adresse ähnelt und sich auch so verhält. Anschließend können beliebig viele Kontakte hinzugefügt werden. Jabber bietet einige Vorteile gegenüber den etablierten Anbietern: Sicherheitstechnisch sind die Möglichkeiten einer Verschlüsselung mit GPG oder OTR (Off-the-Record, eine im Gegensatz zu GPG später nicht mehr rekonstruierbare Verschlüsselung) zu erwähnen. Ebenfalls kann die Verbindung zum Server mit dem oben schon erwähnten SSL verschlüsselt werden. Da die gesamte Netzarchitektur von Jabber dezentral funktioniert, ist auch eine Überwachung durch eine Firma oder den Staat nicht ohne weiteres möglich. Der Programmcode (OpenSource) der meisten Jabber-Programme ist auch offen und für jedermann einlesbar, es ist also davon auszugehen, dass im Gegensatz zu Skype oder ICQ keine Hintertürchen extra einprogrammiert wurden. Probiert es einfach einmal aus und nervt Eure Freunde so lange, bis sie auch auf das wesentlich sichere Jabber umsteigen.
Soweit erst mal mein kleiner Exkurs über das Internet und wie man seine Daten dort am besten schützt. Falls ihr euch etwas intensiver mit dem Thema beschäftigen wollt, findet ihr unter
> wiki.vorratsdatenspeicherung.de/Sichere_Kommunikation
noch eine sehr gut kommentierte Linksammlung zu dem Thema. Ich hoffe, die Zeit, die ich an dem Artikel gearbeitet habe, war nicht umsonst und der ein oder andere Leser bzw. Leserin befolgt meine Tipps. Tschau …
(peggy)