Datenschnüffelei schwerer machen!

Verschlüsselung Authentifizierung Anonymisierung

Im Zeitalter von digitalen Kopier­tech­niken und umfassenden Über­wachungs­konzepten ist Datensicherheit ein sehr hohes Gut geworden, auch wenn viele das noch nicht realisieren. Ich will deshalb hier mal eine (hoffentlich) all­ge­mein­ver­ständliche Anleitung geben, wie man seine Daten im Internet am besten schützen kann. 100% Sicherheit wird es nicht geben und es ist auch nicht möglich, sich einfach ein oder zwei Programme zu installieren und alles ist gut, wie uns das die Hersteller von Personalfirewalls versprechen wollen. Sicherheit entsteht dadurch, dass man Dinge versteht, deshalb will ich hier versuchen, einige Programme zu erklären und nicht einfach nur eine Installationsanleitung, wie man sie ohnehin schon im Internet finden kann, aufzuschreiben.

Wenn man eine Webseite mit dem Browser aufruft, kann ein Fremder dies mitlesen. Auch alle Informationen, die verschickt werden, wie z.B. eine Such­anfrage bei google, können mitgelesen werden. Bei Passwörtern von Mail-Adressen kann dies besonders ärgerlich sein. Deshalb können Daten bei einigen Seiten auch verschlüsselt übertragen werden, so dass zwischen dem eigenen Rechner und der Webseite niemand mitlesen kann. Dazu wird SSL (Secure Sockets Layer) benutzt. Ob Ihr SSL gerade verwendet, seht ihr daran, dass in Eurem Browser Internetadressen mit https anstatt http angezeigt werden. Meist nimmt die Adresszeile Eures Browsers dabei auch eine andere Farbe an und es wird ein kleines Schloss eingeblendet. Einige Webseiten schalten automatisch auf eine SSL-geschützte Verbindung um, sobald man sie aufruft, bei anderen muss man dies explizit einstellen.

Eine solche Verschlüsselung der Ver­bindung von aufgerufener Seite und aufrufendem Browser kann ein poten­tieller Schnüffler und Datendieb jedoch einfach umgehen, indem er Euch auf seine eigene Seite umleitet, die der gewünschten Webseite zum Verwechseln ähnlich sieht, und dort dann alle Eure Eingaben protokolliert. Um dies zu verhindern, wird mit sogenannten Zer­tifikaten sichergestellt, dass man sich auch mit der richtigen Webseite verbindet. Diese Zertifikate werden von Firmen an Banken, Webmail-Dienste etc. vergeben, die im Browser normalerweise als ver­trauenswürdig gekennzeichnet sind bzw. werden sollen. Da diese Firmen allerdings viel Geld für die Zertifikate verlangen, signieren einige Webnutzer Seiten Ad­ministratoren wie z.B. die der Leipziger Universität ihre Seiten selbst oder nutzen unkommerzielle Zertifikate. Letztlich muss man beim Besuch von Internetseiten immer abwägen, ob man dem angezeigten Zertifikat wirklich vertraut. Bei Seiten einer Bank sollte es aber definitiv keine Probleme mit dem Zertifikat geben, sonst ist Vorsicht angebracht. Einige inter­essante Seiten wie freifunk.net oder de.indymedia.org benutzen Zertifikate von cacert.org, einer gemeinnützigen Zertifizierungsstelle aus Australien. Diese werden zwar im Normalfall als nicht gültig angezeigt, das kann man jedoch ändern, indem man cacert.org aufruft, dort auf „Root Certificate“ klickt und dann auf die Zertifikate. Diese sollten dann auto­matisch in Euren Browser importiert werden.

Eine Verbindungs-Verschlüsselung via SSL mit durch Zertifikate authen­ti­fizierten Seiten schützt zwar vor dem Mithören von Dritten beim Surfen, viele sensible Daten entstehen aber vor allem Dingen beim Mailverkehr. Und E-Mails können ganz einfach beim Versenden zwischen zwei Anbietern wie gmx.de und web.de mitgelesen werden. Für die Polizei muss bei deutschen Freemailern sogar immer eine Schnittstelle zum Über­wachen eingerichtet werden. Um solche und andere Lauschangriffe zu verhindern, sollten E-Mails mit GPG (Gnu Privacy Guard) verschlüsselt werden. GPG ist ein freies Kryptographiesystem, d.h. es dient zum Ver- und Entschlüsseln von Daten sowie zum Erzeugen und Prüfen elek­tronischer Signaturen. Um GPG benutzen zu können, muss das Programm auf dem eigenen Rechner installiert werden. Es ist kostenlos über gpg4win.de erhältlich. Dort findet man auch eine Anleitung, deswegen werde ich hier nur kurz das Prinzip von GPG erklären. Theoretisch würde ein gutes Passwort, das beide Kommunikationspartner kennen, zur verschlüsselten Kommunikation aus­reichen. Da jedoch auch zwei sich vollkommen unbekannten Menschen ein sicherer Datenaustausch ermöglicht wer­den soll, verwendet GPG ein asym­metrisches Verschlüsselungsverfahren. Das bedeutet, der Anwender erzeugt zwei Schlüssel, einen öffentlichen und einen privaten. Auf den privaten Schlüssel darf nur der Eigentümer Zugriff haben. Daher wird dieser in der Regel auch mit einem Passwort geschützt. Mit diesem können Daten entschlüsselt und signiert werden. Der öffentliche Schlüssel dient dazu, Daten zu verschlüsseln und signierte Daten zu überprüfen. Er muss jedem Kommunikationspartner zur Verfügung stehen, der diese beiden Aktionen durch­führen will, deshalb sollte er im Internet auf speziell dafür vorgesehenen Webseiten veröffentlicht

> z.B. keyserver.pgp.com

oder von Euch ander­wei­tig frei verbreitet werden. Die Daten können mit dem öffentlichen Schlüssel weder signiert noch entschlüsselt werden, daher ist seine Verbreitung auch mit keinem Sicherheits­risiko behaftet. Mit ein paar Mausklicks können dann Menschen, die sich noch nie gesehen haben, ab­hörsicher kommuni­zieren. Dazu müssen allerdings Versender und Empfänger ein E-Mail-Programm wie Thunderbird oder Outlook verwenden.

> Hier gibt es eine Liste von E-Mailprogrammen:

de.wikipedia.org/wiki/Kategorie:E-Mail-Programm

Wer viel unterwegs ist und seine E-Mails oft via Webinterface auf verschiedenen Com­putern liest, kann sich auch die Por­table Edition von Thunder­bird und GPG

> portableapps.com/de/apps/internet/thunderbird_portable

> portableapps.com/node/11402

auf einen USB-Stick spielen und so von jedem Rechner aus verschlüsselt mailen. Auch bei E-Mail­programmen gilt na­türlich: SSL-Ver­schlüsselung einschalten! GPG eignet sich übrigens auch, um alle möglichen ge­speicherten Dateien für Unbefugte unzugänglich zu machen.

Nach den Abschnitten über Ver­schlüs­selung nun zur Anonymisierung. Euer Internetanbieter muss spätestens ab dem 1.1.2009 speichern, welche Seiten Ihr wann und wie lange im Netz besucht (Gesetz zur Vorratsdatenspeicherung). Damit kann man ziemlich genaue Profile über Euch erstellen. Aber auch bei­spielsweise Onlineshops wissen aufgrund von Cookies (Eine Pro­fil­datei, die der Ar­chi­vierung von In­for­ma­tionen dient) immer, für welche Dinge Ihr Euch schon alles interessiert habt. Um dies zu ver­meiden, solltet ihr regelmäßig die Cookies auf Eurem Rechner löschen und TOR (The Onion Router) verwenden. TOR ist ein weltweites Netzwerk zur Ano­nymi­sierung und leitet Eure Internet­ver­bindung durch drei zufällig ausgewählte Computer irgendwo auf der Welt (Proxy-Verbindung). Erst ab dem dritten Com­puter wird dann eine Verbindung ins Internet erstellt. Einen guten Einstieg zu TOR bietet:

> www.torproject.org/documentation.html.de

Dort findet ihr auch Beschreibungen, wie man TOR installiert und wie Programme da­zu gebracht werden TOR zu benutzen. Aller­dings sollte erwähnt werden, dass TOR sehr langsam ist und einem dadurch den Spaß am sur­fen ver­derben kann. Hier muss man halt im­mer ab­wägen, was einem lieber ist: Ano­­nymi­tät oder Ge­schwin­digkeit. Man kann auch Fire­fox-Plug­ins installieren, mit denen man TOR recht ein­fach ein- bzw. aus­­schalten kann und so TOR nur für bestimmte Web­­sei­ten verwenden.

Auch zum Thema Chat will ich noch ein paar Zeilen verlieren. Instant Messenger wie ICQ oder auch Skype sind ja schon einige Jahre recht populär. Allerdings haben diese Dienste einige Nachteile. Der bedeutendste ist wahrscheinlich, dass die Betreiber den Inhalt kontrollieren können und sogar in ihren AGBs fest­schreiben, dass der Nutzer das Ur­heber­recht an den Betreiber abgibt. Doch es gibt eine freie und kostenlose Al­ter­native: Jabber! Jabber funktioniert ähnlich wie kommerzielle Konkurrenten. Man muss sich ein Pro­gramm herun­terladen

> de.wikipedia.org/wiki/Kategorie:Jabber-Client, oder wenn man noch andere Dienste nutzen möchte: de.wikipedia.org/wiki/Multi-Protokoll-Client

und kann sich dann bei einem beliebigen Server registrieren. Dort erhält man eine Jabber Identifier (JID), die einer E-Mail-Adresse ähnelt und sich auch so verhält. Anschließend können beliebig viele Kontakte hinzugefügt werden. Jabber bietet einige Vorteile gegenüber den eta­blier­ten Anbietern: Sicherheits­tech­nisch sind die Möglichkeiten einer Ver­schlüs­selung mit GPG oder OTR (Off-the-Record, eine im Gegensatz zu GPG später nicht mehr rekonstruierbare Ver­schlüs­selung) zu erwähnen. Ebenfalls kann die Ver­bindung zum Ser­ver mit dem oben schon er­wähnten SSL verschlüsselt werden. Da die gesamte Netzarchitektur von Jabber dezentral funktioniert, ist auch eine Überwachung durch eine Firma oder den Staat nicht ohne weiteres möglich. Der Programm­code (OpenSource) der meisten Jabber-Programme ist auch offen und für jeder­mann einlesbar, es ist also davon aus­zugehen, dass im Gegensatz zu Skype oder ICQ keine Hintertürchen extra ein­programmiert wurden. Probiert es einfach einmal aus und nervt Eure Freunde so lange, bis sie auch auf das wesentlich sichere Jabber umsteigen.

Soweit erst mal mein kleiner Exkurs über das Internet und wie man seine Daten dort am besten schützt. Falls ihr euch etwas intensiver mit dem Thema be­schäftigen wollt, findet ihr unter

> wiki.vorratsdatenspeicherung.de/Sichere_Kommunikation

noch eine sehr gut kommentierte Link­sammlung zu dem Thema. Ich hoffe, die Zeit, die ich an dem Artikel gearbeitet habe, war nicht umsonst und der ein oder andere Leser bzw. Leserin befolgt meine Tipps. Tschau …

(peggy)

Schreibe einen Kommentar