All posts under Verschlüsselung

Partnerschaft mit Cryptokitties: Blockchain-Smartphone HTC Exodus angekündigt

Exodus

Der taiwanische Hersteller HTC hatte sein erstes natives Blockchain-Smartphone Exodus bereits am Rande des Presseevents zum U12+ angekündigt. HTC möchte noch in diesem Quartal – vielleicht im Oktober – das Blockchain-Ökosystem um ein Mobiltelefon für dezentrale Anwendungen und Sicherheit bereichern. Darunter kann man sich viel vorstellen, aber für die meisten Leute klingt Blockchain erstmal nur nach viel heißer Luft. Was will HTC damit, was soll der User damit konkret? Das HTC Exodus soll wohl unter anderem den Vertrieb von digitalen Produkten auf dem Smartphone voran bringen.

HTC Exodus Features
Die Funktionen und Features des HTC Exodus. Image by HTC

Dazu kooperiert HTC nun mit dem Games-Publisher Animoca und setzt auf das recht populäre Cryptokitties-Spiel, das dann exklusiv auf dem HTC Exodus angeboten wird. Außerdem arbeitet HTC mit dem Bitmark-Projekt zusammen. Mit der Bitmark-Software lassen sich nicht nur digitale Güter sondern auch alle persönliche Daten dezentral verwalten.

HTC Exodus: So viel steht fest

Wie kalt ein Smartphone als Wallet sein kann, muss sich jeder Nutzer selbst beantworten, aber das HTC Exodus wird über ein virtuelles Portemonnaie für Krypto-Währungen verfügen. Und laut HTC soll das ein Cold-Wallet sein, also ein Währungs-Speicher, der nicht mit dem Internet verbunden und damit vor Angriffen geschützt ist. Mit den angeschlossenen Partnerschaften soll das HTC Exodus dann zur Schnittstelle zum gesamten Blockchain-Asset-Marktplatz oder kurz; zur Schaltzentrale eines digitalen Lebens in der Ledger werden. Auch für HTCs Chief Crypto Officer Phil Chen ist das Exodus mehr als ein Smartphone:

Im neuen Internetzeitalter sind sich die Menschen der Bedeutsamkeit ihrer Daten im Allgemeinen bewusster, dies ist eine perfekte Gelegenheit, den Benutzer in die Lage zu versetzen, seine digitale Identität wirklich zu besitzen.

Das HTC Exodus sei ein großartiger Ausgangspunkt, so Chen, denn das Smartphone sei das persönlichste Gerät, und der Ort, von dem alle Daten stammen.

Strategische Partnerschaften sollen Vertrieb von digitalen Gütern voranbringen

Chen geht aber auch davon aus, dass Mobiltelefone der Hauptvertriebspunkt für digitale Güter sind und um einen neuen Vertriebskanal für digitale Assets zu schaffen, setzt HTC auf das Cryptokitties-Spiel. Der Handel mit den digitalen Katzen soll dann über mehrere HTC- Geräte möglich sein, angefangen mit dem U12+. Dazu ist HTC eine Partnerschaften mit dem Games-Publisher Animoca eingegangen, der das Spiel von Entwickler Axiom Zen exklusiv vertreibt. Ebenfalls kooperiert der Hersteller mit dem Projekt Bitmark.

Bei Bitmark handelt es sich um Software für die dezentrale Verwaltung von persönlichen Daten und digitalem Eigentum – wie eben der Cryptokitties. Auch eine eigene Krypto-Währung gehört dazu. Ob die Cryptokitties mit dieser Partnerschaft eine neue Zielgruppe erreichen oder inwiefern sich die bisherige Zielgruppe vom HTC Exodus angesprochen fühlt, wird auch von den Spezifikationen des Smartphones abhängen. Zu denen will HTC  in den nächsten Monaten mehr Details veröffentlichen. Wer schon jetzt Interesse am Projekt Exodus hat, kann sich unter htcexodus.com registrieren, ein Smartphone reservieren und hier dem Exodus auf Twitter folgen.

Wer braucht ein Blockchain-Smartphone?

Der Hype um Kryptowährungen und virtuelle Kätzchen ist zwar längst abgeflaut. Aber das Thema dezentrale Kontobuchführung beschäftigt weiterhin nicht nur das HTC-Team. Das das Sirin-Lab hat gerade erst das Blockchain-Smartphone Finney vorgestellt, das auf dem SRN-Token basiert und im Novemeber des Jahres in den Handel kommen soll. Wenn es also um die Frage geht, ob wir die Kluft zwischen Massenmarkt und Crypto-Community mit einem smarten Device überwinden können, dann darf es uns alle beschäftigen.

Jeder kann sich ein Exodus oder Finney zulegen und es zur verschlüsselten Verwaltung seiner persönlichen Daten oder Katzenzüchten nutzen. Die Investitionskosten dürften bei jeweils rund 1.000 US-Dollar liegen. Gelingt es HTC mit dem Exodus, die Vorzüge der Blockchain dem breiten Publikum zugänglich zu machen, haben wir eine Win-Win-Win-Situation. Erstens hätte HTC ein absolut innovatives Produkt geschaffen. Zweitens hätten die User mehr Kontrolle über ihre persönlichen Daten. Und die würden damit drittens die entsprechenden Anbieter und Währungen mit ihrem Vertrauen unterstützen.


Images by HTC

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • REDDIT t3n: Kein Reddit für Nazis: Onlineplattform schließt rechtsradikale Foren: Die Onlineforen-Plattform Reddit ist ein wahrer Pool an verschiedenen Themen, Gruppierungen und Meinungen. In sogenannten Subreddits kann sich zu allerlei möglichen Themen ausgetauscht werden, manchmal sucht man in diesen Unterforen aber vergeblich nach Moral wie man sie im richtigen Leben erwarten würde – und manchmal sind solche Inhalte sogar gesetzeswidrig, gewaltverherrlichend etc.. Reddit hat jetzt aber einen bedeutenden Schritt gegen Hassbotschaften im Netz gestartet und seine Richtlinien dementsprechend geändert. Denn zuvor waren rechtsradikale Inhalte auf der Plattform zumindest geduldet. Etliche Hass- und Nazi-Foren, wie /r/NationalSocialism und /r/ Rechtsradikalismus – sogenannte „Subreddits“ – wurden jetzt geschlossen. Ex-Chef Yishan Wong lehnt eine solche Art der „Zensur“ – selbst bei solchen Inhalten – jedoch ab.

  • EPRIVACY wired: Die ePrivacy-Verordnung macht das Netz datenschutzfreundlicher: Das EU Parlament hat sich gestern mit 318 gegen 280 Stimmen für besseren Schutz gegen Tracking und für verschlüsselte Kommunikation entschieden. Netz- und Werbeunternehmen müssen jetzt strengere Richtlinien befolgen und das Surfen im Interent und der Umgang mit Apps wie WhatsApp, Google Mail etc. sollte jetzt ein Stück weit sicherer sein. Ein Stück mehr ePrivacy für Europa, jedoch erst einer von vielen, die noch getätigt werden müssen.

  • TWITTER zeit: Twitter verbannt RT und Sputnik als Werbekunden: Wer, wie, wo, was bei der US-Wahl 2016 beeinflusst oder manipuliert hat ist nicht ganz klar. Vor allem russischen Medienquellen werden Beeinflussugnsversuche vorgeworfen. Auch die beiden Medienunternehmen RT und Sputnik sollen mutmaßlich manipuliert haben. Twitter zieht jetzt zur Verantwortung und last beide Medienhäuser nicht länger Werbung auf ihrer Plattform schalten. Twitter bestätigte im Vorfeld, dass zur US-Präsidentschaftswahl im letzten November gezielt russisch finanzierte Inhalte zugunsten des Kandidaten Donald Trump platziert wurden.

Weiterlesen »

EU plant Überwachung per Software-Exploit

Women look at security cameras (adapted) (Image by Matthew Henry [CC0 Public Domain] via Unsplash)

Auch auf EU-Ebene wird derzeit über Angriffe auf verschlüsselte Kommunikationsdienste mit dem Ziel der Telekommunikationsüberwachung diskutiert. Zwar geht es in erster Linie um das Ausnutzen vorhandener Schwachstellen, nicht um den absichtlichen Einbau von Hintertüren. Doch auch dieses Vorgehen, das zwangsläufig im Verzicht auf die Behebung von Software-Schwachstellen resultiert, hat sich in den letzten Jahren als sehr gefährlich erwiesen. Im Sinne der IT-Sicherheit wie der Bürgerrechte sollte die EU von ihrem Vorhaben abrücken.

Suche nach Software-Schwachstellen gefordert

Auch auf EU-Ebene stößt die aktuelle Tendenz, private Kommunikation zunehmend zu verschlüsseln, bei Politik und Ermittlungsbehörden auf wenig Begeisterung. Statt diesen Trend als Schritt hin zu besserem Datenschutz und effektiverem Schutz vor Online-Kriminalität zu sehen, befürchten die EU-Behörden vor allem eine Behinderung der Strafverfolgung. Dementsprechend suchen aktuell sowohl der EU-Rat als auch die EU-Kommission nach Lösungen, wie die Verschlüsselung bei populären Kommunikationsdiensten umgangen werden kann. 

Das geht aus einem Dokument, welches das Generalsekretariat des Rates an die Mitgliedstaaten versandt hat, hervor. In diesem wird dazu aufgerufen, „Schwächen bei Algorithmen und Implementierungen“ gängiger Kommunikations-Verschlüsselungslösungen zu suchen, um diese im Bedarfsfall ausnutzen zu können. Zu diesem Zweck steht sowohl die Forschung im Bereich der IT-Sicherheit als auch die Investition in moderne, leistungsstarke Hardware im Mittelpunkt der Pläne.

Beteiligung des deutschen ZITiS?

Die Pläne der EU tragen zweifellos die gleiche Handschrift wie die aktuellen Programme einiger nationaler Behörden, darunter der deutschen „Zentralen Stelle für IT im Sicherheitsbereich“ – kurz ZITiS. Vielfach wird spekuliert, dass diese gestaltend mitgewirkt hat.

Auch ohne Behörden-Backdoors gefährlich

Zwar geht es der EU derzeit „nur“ um das Ausnutzen bereits vorhandener Sicherheitslücken, nicht um den absichtlichen Einbau von Hintertüren für die Ermittlungsbehörden – noch, denn einige EU-Länder, insbesondere Frankreich, Großbritannien, Italien, Ungarn und Polen fordern, die Platzierung solcher „Backdoors“ in den Maßnahmenkatalog mit aufzunehmen. Doch auch diese Vorgehensweise hat sich in den letzten Jahren als äußerst riskant erwiesen. Sicherheitslücken, die die Behörden nutzen wollen, werden von diesen bei der Entdeckung nicht an die zuständigen Entwicklerfirmen gemeldet. Dementsprechend bleiben sie oft jahrelang offen. Werden sie dann kriminellen Dritten bekannt – sei es durch deren eigene Forschung oder den Leak von Behörden-Dokumenten -, können sie beispielsweise zur massenhaften Verbreitung von Schadsoftware genutzt werden. So waren die massenhaften Ransomware-Epidemien des letzten Jahres unter anderem Folge des bedenklichen Umgangs der Ermittlungsbehörden mit Software-Schwachstellen.

Eine Politik für die Wissensgesellschaft fordern

Sicherheitslücken offen zu lassen und mit Staatstrojanern oder ähnlichen Werkzeugen zur Telekommunikationsüberwachung auszunutzen, ist angesichts der Bedeutung von IT für unsere Gesellschaft verantwortungslos und gefährlich. Schon im Sinne der IT-Sicherheit und des angemessenen Schutzes kritischer Infrastrukturen sollte die EU von ihren aktuellen Plänen dringend abrücken, bevor sie ernsthaften Schaden anrichtet. Hinzu kommen die psychologischen und sozialen Folgen einer massiven staatlichen Überwachung und die bekanntermaßen oft intransparente und vorschriftswidrige Arbeit der Nachrichtendienste. All das sind Gründe genug, eine andere Politik zu fordern – eine Politik, die die digitale Wissensgesellschaft fördert und schützt, statt sie in Gefahr zu bringen.


Image (adapted) „Women look at security cameras“ by Matthew Henry (CC0 Public Domain)


Weiterlesen »

Verschlüsselung: Misstrauen gegen NSA-Fachleute

Security(adapted)(Image by pixelcreatures [CC0 Public Domain] via Pixbay)

Eine Gruppe internationaler Fachleute hat die US-Sicherheitsbehörde NSA in der Diskussion um zukünftige Verschlüsselungs-Standards zum (zumindest teilweisen) Einlenken gezwungen. Die von der NSA vorgeschlagenen Krypto-Standards wurden abgelehnt. Die Expertinnen und Experten fürchten, die NSA habe die Standards nicht ihrer technischen Qualität wegen vorgeschlagen, sondern weil sie womöglich die Mittel habe, diese Verschlüsselung zu brechen. Der Vorfall zeigt, wohin das unehrliche Verhalten von Regierungsbehörden und ihr verantwortungsloser Umgang mit dem Thema IT-Sicherheit führen.

„Simon“ und „Speck“ ernten Misstrauen

Eine Delegation von US-Verschlüsselungsfachleuten, darunter einige Angehörige der Behörde NSA oder ihrer Zulieferer-Firmen, setzt sich dafür ein, dass die „International Organization of Standards“ zwei neue Verschlüsselungs-Algorithmen mit den Codenamen „Simon“ und „Speck“ zum Standard erhebt. Diese Bemühungen stoßen jedoch in der Fachwelt auf erheblichen Widerstand. Grund dafür ist das Misstrauen des zuständigen Experten-Gremiums gegenüber der NSA.

Wie die Nachrichtenagentur Reuters unter Berufung auf E-Mails und Interviews berichtet, gehören dem fraglichen Gremium Fachleute unter anderem aus Deutschland, Japan und Israel an. Obwohl alle diese Länder grundsätzlich mit den USA verbündet sind, hegen rund ein Dutzend der beteiligten Kryptographie-Expertinnen und -Experten offenbar einiges Misstrauen gegen die NSA – was kaum verwundert angesichts der spätestens seit Edward Snowdens NSA-Leak bekannten Angewohnheit der USA, auch Verbündete auszuspähen. Die Fachleute befürchten, die NSA habe neue Verschlüsselungs-Werkzeuge womöglich nicht aufgrund ihres technischen Potentials vorgeschlagen, sondern weil sie wisse, wie diese zu umgehen seien.

Die NSA lenkt (teilweise) ein

Die fragliche Diskussion wird Reuters zufolge schon seit drei Jahren zwischen Fachleuten geführt. Da die Verhandlungen aber in geschlossenen Expertengesprächen stattfinden, wurde bislang nie öffentlich darüber berichtet.

Die NSA hat in der Diskussion ein Stück weit eingelenkt. Sie hat sich bereit erklärt, alle schwächeren Versionen der Verschlüsselungs-Werkzeuge aufzugeben. Lediglich die stärksten – und somit potentiell für Hacks am wenigsten anfälligen – Varianten sollen als neue Standards gefördert werden.

Krypto-Hintertüren? Für die NSA kein Neuland

Die Fachleute berufen sich in der Begründung ihrer misstrauischen Haltung vor allem auf die von Edward Snowden geleakten NSA-Interna. Diese belegen, dass die NSA die Umgehung und Schwächung von Sicherheitsstandards schon seit Jahren plant. Demnach beantragten NSA-Beamte unter anderem Finanzmittel, um „Schwachstellen in kommerzielle Verschlüsselungssysteme einzubringen“.

Die NSA hat entsprechende Absichten in Bezug auf „Simon“ und „Speck“ dementiert. Man wolle, dass kommerzielle Unternehmen auch die Regierung mit sicherer Software beliefern könnten, weswegen man sich für bessere Standards einsetze, und man gehe fest davon aus, dass „Simon“ und „Speck“ sicher seien, so die Behörde. Ob das allerdings die Zweifelnden überzeugen kann, bleibt mehr als fraglich.

Berechtigtes Misstrauen

In einer Zeit, in der Hintertüren in Verschlüsselungs-Standards weithin diskutiert werden, ist das Misstrauen der Fachleute gegenüber einer Behörde, die sich ohne konkrete Notwendigkeit für neue Standards in diesem Bereich einsetzt, gut zu verstehen. Gerade die USA haben sich in den letzten Jahren durch extrem unehrliches Verhalten in diesem Bereich ausgezeichnet, sei es durch das Geheimhalten von Software-Schwachstellen oder eben den Versuch, Verschlüsselungsstandards zu schwächen.

Dieses Verhalten hat schon das Vertrauen von Geschäftspartnerinnen und -partnern sowie Verbraucherinnen und Verbrauchern gegenüber US-Unternehmen, die häufig, freiwillig oder gezwungenermaßen, bei derartigen Aktionen mitwirken, nachhaltig geschwächt. Es verwundert nicht, dass dieses Misstrauen nun auch die US-Behörden selbst trifft.

Das geringere Übel

Das Verhalten der Expertinnen und Experten, die keinen von NSA-Beamten befürworteten Krypto-Standard unterstützen wollen, ist verständlich und klug. Allzu oft haben diese Behörde und ihre Verbündeten versucht, auf Kosten der allgemeinen IT-Sicherheit Möglichkeiten für Kontrolle und Spionage zu schaffen.

Zwar wäre es wünschenswert, dass die Behörden demokratischer Länder eine starke Verschlüsselung fördern. Solange ihnen jedoch bei diesen Bemühungen derart bedenkliche Hintergedanken unterstellt werden müssen, ist es nur recht und billig, ihre Beiträge mit Skepsis zu betrachten.

Letztendlich profitieren vom Verhalten der NSA so oder so nur IT-Kriminelle, sei es, weil Hintertüren vorhanden sind, die auch Kriminelle ausnutzen können, oder weil aufgrund der Tatsache, dass der NSA nicht vertraut werden kann, auf die Einführung eigentlich sinnvoller Neuerungen verzichtet wird. All das belegt nur aufs Neue, wie destruktiv die Geheimdienste und ihre Arbeitsweise für die freie Wissensgesellschaft sind. Das jedoch ist ein langfristiges Problem. Kurzfristig bleibt nur, sich so zu verhalten, wie es die internationalen Expertinnen und Experten gerade tun, und die Gelegenheiten für die Agentinnen und Agenten, Schaden anzurichten, gering zu halten. Verschlüsselung ist eines der wichtigsten Werkzeuge zur digitalen Selbstverteidigung. Hintertüren in Krypto-Werkzeugen sind dementsprechend gefährlich und auf jeden Fall zu vermeiden.


Image (adapted) „Security“ by pixelcreatures (CC0 Public Domain)


Weiterlesen »

Ende-zu-Ende-Verschlüsselung ist nicht genug Sicherheit für ‚echte Menschen‘

Data Encryption (adapted) (Image by tashatuvango via AdobeStock)

Regierungsbeauftragte suchen die Hilfe von Technologiefirmen, um Terrorismus und Kriminalität zu bekämpfen. Allerdings würde die am häufigsten vorgeschlagene Lösung die Sicherheit für die Menschen in der Online-Kommunikation enorm einschränken. Außerdem ignoriert sie, dass Regierungen auch andere Möglichkeiten haben, um Ziele von Untersuchungen elektronisch zu überwachen.

Im Juni haben sich Geheimdienstmitarbeiter der Regierungen der Nationen der Five Eyes Alliance im kanadischen Ottawa getroffen, um darüber zu reden, wie sie Technologieunternehmen dazu überreden, „die Verschlüsselung der Nachrichten von Terroristen zu verhindern.“ Im Juli rief der australische Premierminister Malcolm Turnball Technologiefirmen dazu auf, dass man freiwillig alle Systeme, die Nachrichten komplett im Transit vom Sender zum Empfänger verschlüsseln – ein Ansatz, der auch als Ende-zu-Ende-Verschlüsselung bekannt ist, verbannen müsse. Die britische Innenministerin Amber Rudd machte am 31. Juli weltweite Schlagzeilen mit ihrer Aussage, dass echte Menschen keine Ende-zu-Ende-Verschlüsselungen benötigen.

Diese Behauptungen ignorieren komplett die eine Milliarde Menschen, die bereits sichere Nachrichten-Apps wie Signal oder WhatsApp benutzen. Außerdem lässt es keinen Freiraum für die Menschen, die sich dazu entscheiden, dass sie diese Art der Sicherheit in der Zukunft nutzen wollen. Trotzdem gibt es einige Technologieunternehmen, bei denen darüber nachgedacht wird, die Ende-zu-Ende-Verschlüsselung zu entfernen – und andere haben Hintertürchen für Zugang durch die Regierung vor Jahren eingebaut.

Es ist einige Jahrzehnte her, dass der sogenannte Clipper-Chip in den Schlagzeilen stand, aber es droht ein Wideraufleben des Krypto-Krieges der 1990er von Regierungsunternehmen und Konsumenten. Eine Sache ist für Computerwissenschaftler wie mich definitiv klar: Wir arbeiten daran, die Sicherheit dort, wo sie am verletzlichsten ist, zu verbessern – auf unseren eigenen Geräten.

Endpunkte sind die schwächsten Punkte

Zumindest haben wir im Moment gute und einfach zu nutzende Lösungen für sichere Kommunikation zwischen Computern, was auch die Ende-zu-Ende-Verschlüsselung unserer Nachrichten beinhaltet. Die Verschlüsselung bedeutet, dass die Nachrichten beim Sender verschlüsselt werden und nur vom Empfänger entschlüsselt werden können, so dass keine dritte Partei die Nachricht entschlüsseln kann.

Ende-zu-Ende-Verschlüsselung ist wichtig, allerdings haben Sicherheitsexperten schon vor Jahren davor gewarnt, dass der anfälligste Punkt für Daten nicht die Übertragung ist, sondern die Gefahr an den Orten lauert, wo die Daten gespeichert oder angezeigt werden – auf einem Bildschirm, auf einer Diskette, im Speicher eines Gerätes oder in der Cloud.

Wie die geleakten und per WikiLeaks verbreiteten Werkzeuge eines CIA Hackers aufzeigen, kann jemand, der die Kontrolle über ein Gerät hat, auch die Nachrichten lesen, ohne sie entschlüsseln zu müssen. Und Endpunkte – sowohl Smartphones als auch Comupter – zu gefährden, wird immer leichter.

Warum ist die Gefahr am Endpunkt am größten? Weil wir bequem sind und weil das Hinzufügen von mehr Sicherheit unsere Geräte schwerer handhabbar macht, auf die gleiche Art und Weise, wie mehrere Schlösser an einer Tür es schwerer machen, sie zu öffnen, sowohl für den Hauseigentümer als auch für den Dieb. Das Erfinden neuer Schutzmechanismen für unsere digitalen Endpunkte ohne ihren Nutzen einzuschränken, ist sehr anspruchsvoll – aber ein paar neue Technologien könnten hier helfen.

Lösungen der nächsten Generation

Nehmen wir an, eine kriminelle Organisation oder ein bösartiges Regime möchte dich und alle, mit denen du kommuniziert, ausspionieren. Um dich selbst zu schützen, hast du ein Ende-zu-Ende-Verschlüsselungswerkzeug für Nachrichten installiert. Das macht das Abhören für das Regime – auch mit gerichtlicher Genehmigung – um einiges schwerer.

Aber was passiert, wenn das Regime uns austrickst und uns Spionagesoftware auf unsere Geräte installiert? Sie könnten zum Beispiel ein legitimes Upgrade unseres Lieblingsspiels „ClashBirds“ mit einer kompromittierten Version austauschen. Oder das Regime könnte eine Schadsoftware-Technologie als Hintertürchen in unsere Geräte benutzen. Mit der Kontrolle über den Endpunkt kann das Regime unsere Nachrichten lesen, noch während wir sie schreiben – also noch bevor sie verschlüsselt werden.

Um uns gegen alle Arten von Tricks des Regimes zu schützen, müssen wir die Sicherheit unserer Endpunkte durch ein paar Schlüsselwege verbessern:

Zusätzlich wäre es ideal, wenn Benutzer die Sicherheitseinstellungen der App selber kontrollieren könnten, als sich nur auf die vorgegebene Sicherheit im App-Stores durch eine weitere verletzliche Firma verlassen zu müssen.

Computersicherheitsexperten sind begeistert von der Idee, dass die Blockchain uns dabei helfen kann, unsere Endpunkte zu schützen. Blockchain, die Technologie, die Bitcoin und andere Kryptowährungen unterstützt, erschafft überprüfbare, unveränderliche öffentliche Informationsregister.

Das bedeutet für die Sicherheit von Endpunkten, dass Computerwissenschaftler in der Lage sein könnten, auf Blockchain basierende Werkzeuge zu erschaffen, die uns dabei helfen, die Herkunft unserer Apps zu überprüfen. Wir könnten Blockchains auch dafür verwenden, um zu prüfen, dass an unseren Daten nicht herumgepfuscht wurde und um unsere Privatsphäre zu sichern. So lange der Quellcode dieser Programme für uns frei zugänglich und überprüfbar ist – wie der von Signal heute – kann die Sicherheitscommunity prüfen, dass es keine geheimen Hintertürchen gibt.

Wie mit jeder neuen Technologie gibt es einen enormen Hype darum. Es kursieren falsche Informationen rund um die Blockchain und was sie alles tun kann. Es wird einige Zeit dauern, um sich durch all die Ideen zu wühlen und um sichere Werkzeuge zu entwickeln, die einfach zu benutzen sind. In der Zwischenzeit sollten wir alle, wann immer es uns möglich ist, Ende-zu-Ende-Verschlüsselungen benutzen. Wir sollten außerdem wachsam mit unseren Passworten umgehen und welche Apps wir auf unseren Geräten installieren. Schlussendlich sollten wir verlangen, dass echte Menschen immer Zugang zu den besten Sicherheitsmechanismen haben, damit wir selbst entscheiden können, wie wir der Überwachung entgegentreten.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Data Encryption“ by tashatuvango/AdobeStock.com


The Conversation

Weiterlesen »

Datenschutz: Nach wie vor von Bedeutung

Datenschutz (Image by TBIT(CC0 Public Domain)via Pixabay)

Unter dem Motto “Rettet die Grundrechte” fand am 09.09.2017 in Berlin eine Protestkundgebung statt. Zeit, sich einmal damit zu beschäftigen, wie es um die Datenschutz-Bewegung in Deutschland derzeit bestellt ist – und welche Grundrechte überhaupt gerettet werden sollen. Vor allem Letzteres scheint aktuell vielen Menschen nicht bewusst zu sein. Datenschutz wird häufig als isoliertes Nischenthema wahrgenommen – dabei ist er alles andere als das.

Zahlreiche Überwachungsgesetze

In der letzten Legislaturperiode wurden zahlreiche Überwachungsgesetze verschärft oder neu eingeführt. Die Vorratsdatenspeicherung wurde nach langem Hin und Her wieder eingeführt, Staatstrojaner sollen verstärkt und zukünftig sogar bei Alltagskriminalität eingesetzt werden und fragwürdige Internet-Überwachungspraktiken der Geheimdienste wurden durch das BND-Gesetz legitimiert. Auch die Meinungs- und Pressefreiheit ist unter Beschuss – sei es durch die den Quellenschutz gefährdende massive Überwachung oder durch fehlgeleitete Gesetze wie das neue Netzwerkdurchsetzungsgesetz. Daneben gibt es weitere kontroverse Pläne zur Inneren Sicherheit, wie etwa den weiteren Ausbau der Video-Überwachung (womöglich mit Gesichtserkennung).

Angesichts dieser desaströsen Situation beschlossen einige Aktivistinnen und Aktivisten, vor der Bundestagswahl ein Zeichen zu setzen. Sie wollten deutlich machen, dass sie das Verhalten der Regierung weder billigen noch dulden – und dass der Widerstand gegen freiheitsfeindliche Sicherheitsgesetze auch nach der Bundestagswahl weiter gehen wird. Am 09.09.2017 veranstalteten sie daher eine Protestveranstaltung, bestehend aus Demonstrationszug, Reden und Freiheitsfest, in Berlin.

Datenschutz – nicht relevant?

Die Protestkundgebung erhielt nicht die öffentliche und mediale Aufmerksamkeit wie Veranstaltungen zum Thema vor fünf oder zehn Jahren. Das mag einerseits der kurzen Vorbereitungszeit und dem nasskalten Herbstwetter geschuldet sein. Andererseits herrscht aber momentan auch in Teilen der Bevölkerung offenbar die Meinung vor, Datenschutz sei kein aktuell bedeutsames Thema.

Doch warum ist das so? An einer Entschärfung der politischen Situation kann es beim besten Willen nicht liegen – um diese Theorie zu widerlegen, reicht neben den aufgezählten Maßnahmen schon der Name Edward Snowden.

Es geht um Kontrolle

Woher kommt also dann das zwar vorhandene, aber doch aktuell eher gedämpfte Interesse am Datenschutz? Eine teilweise geäußerte Empfindung mancher Menschen ist, dass es aktuell wichtigere Probleme gebe, als den Datenschutz.

Es ist gut möglich, dass einige, womöglich sogar viele Menschen, so empfinden angesichts der aktuellen politischen und sozialen Probleme. Doch ist diese Denkweise berechtigt? Wohl nur, wenn Datenschutz allein als isoliertes Phänomen betrachtet wird. Geht es einem einzig und allein um die Möglichkeit, unbeobachtet E-Mails zu schreiben, ist es wohl berechtigt, diesen Wunsch hinter anderen, etwa nach Sicherheit oder sozialer Gerechtigkeit, zurückstehen zu lassen. Doch in der Realität geht es niemals nur darum. Überwachung ist kein Selbstzweck.

Es geht nur in den seltensten Fällen um brennendes Interesse am Leben anderer Personen. Es geht vielmehr um Kontrolle. Überwachung schafft oder verfestigt Machtverhältnisse. Sie gibt den Mächtigen Druckmittel in die Hand und macht den Weniger-Mächtigen, den Überwachten, oft so viel Angst, dass sie ihr Verhalten aus eigener Entscheidung heraus ändern, sich konformistischer verhalten und auf Wahrnehmung ihrer Freiheiten, insbesondere der Meinungsfreiheit, verzichten . So wird der Grundstein gelegt für eine Gesellschaft, in der auch andere Grundrechte nicht mehr selbstverständlich sind – denn wer sollte sie bei solchen Machtverhältnissen einfordern? Dieser Zusammenhänge sollten sich diejenigen, die Datenschutz für ein weniger bedeutsames Randgruppen-Thema halten, bewusst sein. Datenschutz ist alles andere als ein First World Problem einiger Nerds.

Hier wäre womöglich auch bei der Kommunikation mit der Bevölkerung anzusetzen. Noch immer machen manche Aktivistinnen und Aktivisten den Fehler, das Thema Datenschutz in ihrer Argumentation zu technisch anzugehen, statt die gesellschaftlichen Auswirkungen – die nicht technikaffine Menschen ebenso betreffen – in den Vordergrund zu stellen.

Zeit zum Handeln

Trotz aller dieser Missverständnisse steht fest: Es gibt durchaus eine signifikante Gruppe von Menschen, die grundsätzlich für das Thema Datenschutz zu mobilisieren ist. So interessieren sich zum Beispiel seit den Snowden-Enthüllungen deutlich mehr Menschen für Verschlüsselung und digitale Selbstverteidigung – so viele, dass auch Mainstream-Kommunikations-Software zunehmend auf Verschlüsselung setzt.

Hier gilt es anzuknüpfen und zukünftig das Potential noch besser zu nutzen. Das Thema Datenschutz ist nach wie vor von höchster Relevanz und wird es auch in nächster Zeit bleiben. Die Herausforderung ist nun, dies der Bevölkerung klar zu machen und sie zum Handeln zu bewegen.


Image(adapted)„Datenschutz“by TBIT [CC0 Public Domain]


Weiterlesen »

Demokratien müssen Verschlüsselung fördern

Schloss (adapted) (image by Pexels [CC0] via pixabay)

Die Stiftung Wissenschaft und Politik (SWP) warnt in einer Stellungnahme vor einem globalen Trend hin zu einer Schwächung von Verschlüsselung und IT-Sicherheit. Die Stiftung sieht eine problematische Allianz zwischen autoritären Regimes – die Verschlüsselungs- und andere individuelle Schutzmaßnahmen logischer Weise ablehnen, da sie die Kontrolle der Bevölkerung erschweren – und demokratischen Staaten, die ebenfalls zunehmend gegen derartige Technologien vorgehen. Insgesamt wird laut SWP immer mehr überwacht, während die digitale Selbstverteidigung schwieriger wird.

Die IT-Sicherheit wird untergraben

In ihrer Studie warnt die SWP, die Verschlüsselung sei weltweit in Gefahr. Gegen Verschlüsselung – die eines der wichtigsten digitalen Werkzeuge nicht nur gegen Überwachung, sondern auch gegen Zensur ist,- formiere sich derzeit eine „unfreiwillige Allianz“ zwischen repressiven Regimes und westlichen Demokratien, so die Stiftung. Auch westliche Regierungen seien zunehmend darauf bedacht, Verschlüsselung zu schwächen oder sie durch die Nutzung von Spionage-Software – sogenannten „Staatstrojanern“ – zu untergraben.

Dieses Verhalten, so betont die SWP, untergrabe Bemühungen um Cybersicherheit. Diese Befürchtung ist berechtigt. Erst seit einer Weile entwickelt die Bevölkerung, angeregt durch die Snowden-Enthüllungen, zunehmend ein Bewusstsein für IT-Sicherheit und Datenschutz. Erst in den letzten Jahren begannen auch auf den Mainstream ausgerichtete Kommunikations-Dienstleister, auf eine wirksame Verschlüsselung zum Schutz ihrer Nutzer zu setzen. Diese Trends sind begrüßenswert, zeugen sie doch von einem gestiegenen Bewusstsein für den Schutz sensibler Daten. Das Verhalten der Bundesregierung allerdings ist aktuell nicht dazu angetan, diese erfreuliche Tendenz zu verstärken. Stattdessen übt sie Druck gegen starke Verschlüsselung und für mehr Überwachung aus und macht sich so unfreiwillig, wie von der SWP angeprangert, zur Handlangerin repressiver Regimes.

Stoppt die Kriminalisierung von Verschlüsselung!

In den letzten Jahren traten in westlichen Gesellschaften verstärkt Politikerinnen und Politiker, sowie andere einflussreiche Personen, in den Vordergrund, die Verschlüsselung zu diffamieren und kriminalisieren versuchten. Meist argumentierten sie in die Richtung, Verschlüsselung sei dadurch, dass sie den Zugriff der Ermittlungsbehörden auf Telekommunikation unterbindet, ein Werkzeug von Kriminellen, insbesondere Terroristinnen und Terroristen. Jüngstes Beispiel für diese Art der Rhetorik sind die jüngst im Telegraph getätigten Äußerungen der britischen Innenministerin Amber Rudd. Es ist kaum beweisbar, dass Verschlüsselung den Terrorismus fördert – im Gegenteil nutzen Terrorgruppen nachweislich oft ganz andere Kommunikationsmittel – doch die emotionale Überzeugungskraft entsprechender Argumente ist erheblich.

Der Staatstrojaner – ein zweischneidiges Pferd

Darüber hinaus setzen viele Regierungen – darunter auch die deutsche – bei der Kriminalitätsbekämpfung auf das problematische Mittel behördlicher Schadsoftware. Diese ermöglicht den Zugriff auf Daten direkt auf dem Gerät des oder der Verdächtigen, bevor diese für eine Übertragung womöglich verschlüsselt werden. Sie ist aber nicht nur durch den massiven Eingriff in die Grundrechte, der mit einem unbemerkten Zugriff auf Geräte voller persönlicher Daten einhergeht, und durch die Missbrauchsgefahr durch verantwortungslose Beamte gefährlich. Auch technisch stellt sie ein großes Risiko dar. Häufig reißt ein Trojaner-Einsatz Lücken auf dem betroffenen Gerät auf, durch die anschließend auch Dritte eindringen können.

Zudem muss die Schadsoftware vor dem Einsatz erst einmal auf dem Zielsystem platziert werden. Behörden verschweigen häufig ihnen bekannte Sicherheitslücken in populärer Software, um sie für die Platzierung von Staats-Malware nutzen zu können. Dadurch sind die Systeme logischerweise unsicherer, als sie sein müssten. Sobald böswillige Dritte, seien es Kriminelle oder die Vertreter repressiver Regimes, durch Zufall, gezielte Forschung oder einen Leak von diesen Lücken erfahren, können sie sie ebenfalls nutzen. So kamen unter anderem einige der Ransomware-Epidemien der letzten Monate zustande.

Die Bundesregierung muss handeln

Durch ihre Überwachungspolitik und ihre Weigerung, effektive Verschlüsselung entschlossen zu unterstützen, erleichtert die Bundesregierung repressiven Regimes ihr Vorgehen gegen die Bevölkerung im Internet. Einerseits liegt das daran, dass demokratische Regierungen, die sich undemokratisch verhalten, ihren weniger freiheitlich gesinnten Gegenstücken ein billiges Argument liefern – wer selbst überwacht und mit Schadsoftware hantiert, kann in diesen Punkten kaum glaubwürdig Zurückhaltung von Anderen fordern.

Andererseits schwächt die Bundesregierung durch ihr Verhalten massiv die IT-Sicherheit und erschwert die digitale Selbstverteidigung. So können Nutzerinnen und Nutzer ihre Rechte weniger effektiv schützen.

Es wird Zeit, dass Deutschland, wie auch von der SWP gefordert, beginnt, sich konsequent für IT-Sicherheit und Datenschutz einzusetzen. Hierzu gehört eine Unterstützung von Verschlüsselung als Werkzeug gegen IT-Kriminalität und staatliche Repression. Im 21. Jahrhundert sind diese Dinge ebenso wichtig wie andere, ältere demokratische Werkzeuge und Institutionen. Das muss unsere Regierung endlich realisieren und entsprechend handeln.


Image (adapted) „Security“ by Pexels (CC0 Public Domain)


 

Weiterlesen »

Amber Rudd: Problematische Thesen zur Verschlüsselung

Verschlüsselung (adapted) (Image by brenkee) (CC0) via Pixabay

Die britische Außenministerin Amber Rudd hat kürzlich einige sehr problematische Äußerungen zum Thema Verschlüsselung getätigt. Rudd sieht Verschlüsselung, wie viele andere konservative Politikerinnen und Politiker, als Werkzeug von Terroristen und anderen Kriminellen an, das den Ermittlungsbehörden die Arbeit erschwert und somit die Sicherheit der Bevölkerung gefährdet. Die Ministerin ist außerdem der Ansicht, dass die meisten Nutzerinnen und Nutzer Verschlüsselung nicht für besonders wichtig halten. Daher, so ihr Tenor, dürfe diese ruhig zugunsten der Ermittlungsbehörden geschwächt werden.

Fördert Verschlüsselung den Terrorismus?

In einer Kolumne in der englischen Zeitung „The Telegraph“ stellt Amber Rudd einige kontroverse Thesen zum Thema Verschlüsselung auf. Die Terror-Angriffe der vergangenen Monate hätten gezeigt, so die Ministerin, dass „Terroristen Internet-Plattformen nutzen, um ihre verabscheuungswürdige Ideologie zu verbreiten und um ihre Gewaltakte anzuregen und zu planen“.

Schon hier vermischt die Ministerin einige verschiedene Sachverhalte – und stellt Zusammenhänge auf, die sich kaum mit Fakten belegen lassen. Es ist zweifellos richtig, dass sich im Internet – je nachdem, wo man schaut oder wonach man sucht – auch Terror-Propaganda findet. Das ist allerdings kein Problem, das durch Verschlüsselung verschärft wird, denn Propaganda, die vor Zugriffen durch Verschlüsselung geschützt ist, würde ihren Zweck massiv verfehlen.

Mehr Sinn ergibt die Behauptung, Terroristinnen und Terroristen würden das Internet und speziell verschlüsselte Kommunikationsdienste nutzen, um Anschläge zu planen. Allerdings hat die Untersuchung vergangener Terrorismus-Fälle gezeigt, dass dies durchaus seltener der Fall ist, als Rudd impliziert. Häufig greifen Terroristinnen und Terroristen vielmehr auf herkömmliche SMS und Telefongespräche, geführt von billigen Wegwerf-Handys mit Prepaid-SIM-Karten, oder ähnliche Kommunikationswege zurück. Und selbst, wenn verschlüsselte Internet-Kommunikationsdienste zur Anschlagsplanung verwendet werden, gibt es keinen Grund, anzunehmen, dass beim Wegfall dieser Dienste oder einer Schwächung der Verschlüsselung Terrorgruppen nicht ohne weiteres in der Lage wären, auf alternative Kommunikationsmittel auszuweichen.

Ministerin Rudd allerdings scheint überzeugt, dass die Existenz verschlüsselter Dienste, die durch die Ermittlungsbehörden nicht mitgelesen werden können, maßgeblich zur Gefährdung der inneren Sicherheit beiträgt. Zwar enthält Rudds Kolumne ein Lippenbekenntnis zur Verschlüsselung als Schutz vor Online-Bedrohungen. Gleichzeitig bezeichnet sie aber speziell mit einer Ende-zu-Ende-Verschlüsselung geschützte Dienste als „besondere Herausforderung“, da diese weder vom Provider noch von den Behörden mitgelesen werden können. Das macht deutlich, dass Rudd trotz ihrer vorherigen positiven Aussagen Verschlüsselung primär als Problem, als unkaontrollierbares Werkzeug, das die Kriminalitätsbekämpfung erschwert, ansieht.

Verschlüsselung schwächen – ja, nein, vielleicht?

Es folgt eine etwas abenteuerliche Argumentation der Ministerin. Sie schreibt: „Ich weiß, dass manche [Menschen] argumentieren werden, dass es unmöglich ist, beides zu haben – dass es, wenn ein System Ende-zu-Ende-verschlüsselt ist, unmöglich ist, jemals auf die Kommunikation zuzugreifen. Das mag in der Theorie wahr sein. Aber die Realität ist anders. Echte Menschen bevorzugen oft einfache Bedienbarkeit und viele Features gegenüber einer perfekten, unangreifbaren Sicherheit. Also geht es hierbei nicht darum, die Firmen zu bitten, die Verschlüsselung kaputt zu machen oder sogenannte Hintertüren (Back Doors) zu schaffen. Wer benutzt WhatsApp, weil es Ende-zu-Ende-verschlüsselt ist, und nicht, weil es eine unglaublich benutzerfreundliche, günstige Methode ist, mit Freunden und Familie in Kontakt zu bleiben? Unternehmen wägen ständig zwischen Sicherheit und Benutzerfreundlichkeit ab, und hier, so glauben unsere Experten, liegen Gelegenheiten.

Also gibt es Möglichkeiten. Aber diese verlangen erwachsene Gespräche zwischen den Technologie-Unternehmen und der Regierung – und diese Gespräche müssen vertraulich sein. Der wichtigste Punkt ist, dass es nicht darum geht, die Sicherheit großflächig zu kompromittieren. Es geht darum, zusammenzuarbeiten, so dass wir einen Weg finden können, wie unsere Sicherheitsbehörden, unter sehr spezifischen Bedingungen, mehr Informationen darüber bekommen, was Kriminelle und Terroristen online tun.“

Ganz klar wird nicht, was genau die Ministerin bezweckt. Technisch gesehen ist es nicht möglich, einen Zugriff auf eine (sauber implementierte und kryptographisch verlässliche) Ende-zu-Ende-Verschlüsselung zu bekommen, ohne eine Hintertür einzubauen. Womöglich meint Rudd, dass diese Lücke entsprechend selektiv eingebaut würde, so dass sie die Sicherheit nicht in großem Rahmen gefährdet. Das allerdings ist ein gefährlicher Trugschluss – früher oder später finden Informationen über dergleichen Sicherheitslücken meist ihren Weg auch in kriminelle Kreise, sei es durch Leaks, kriminelle Insider oder schlichtweg die Sicherheitsforschung der kriminellen Angreifer, die häufig über beachtliches technisches Know-How verfügen. Dieses Risiko machen die jüngsten, durch von der NSA absichtlich verschwiegene Windows-Sicherheitslücken ermöglichten Ransomware-Attacken eindrucksvoll deutlich.

Irgend etwas zwischen dumm und unmoralisch ist das Argument, die meisten Nutzerinnen und Nutzer seien ohnehin nicht an starker Verschlüsselung interessiert (nur am Rande sei erwähnt, dass hier wieder einmal der klischeebeladene, bequeme Scheingegensatz von Sicherheit und Benutzerfreundlichkeit als sich gegenseitig ausschließenden Qualitäten bedient wird, obwohl die Entwicklungen der letzten Jahre gezeigt haben, dass dies keineswegs der Fall sein muss.)

Es mag stimmen, dass viele Menschen sich über dieses Thema zu wenig Gedanken machen, wobei das Bewusstsein für IT-Sicherheit und Datenschutz seit den Snowden-Leaks deutlich zunimmt. Jedoch verdienen auch diese Nutzerinnen und Nutzer, dass ihre Privatsphäre respektiert und geschützt wird. Datenschutz darf kein Privileg einiger technisch versierter Nerds sein. Vielmehr liegt es in der Verantwortung der Diensteanbieter und Software-Entwickler, den Menschen, die ihrer Technologie vertrauen, einen angemessenen Sicherheitsstandard zu bieten.

Diesen nur vorzugaukeln, während man heimlich Hintertüren einbaut, wäre schlichtweg ein Verrat an der Nutzergemeinde. Hier, und keineswegs beim von Amber Rudd angeführten „Kampf gegen den Terror“, liegt die Verantwortung derjenigen, die unsere digitale Welt mit Hilfe ihrer Entscheidungen und technischen Fähigkeiten mit gestalten.

Übrigens ist mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass Terroristinnen und Terroristen im von Rudd beschriebenen Szenario zu der Minderheit gehören würden, denen die Sicherheit ihrer Kommunikationsmittel über alles geht. Sollten sie für die Anschlagsplanung auf verschlüsselte digitale Kommunikationsmittel zurückgreifen – was, wie bereits beschrieben, eher die Ausnahme als die Regel ist – wären sie zweifellos in der Lage, einen Dienst mit einer nicht kompromittierten Verschlüsselung auszuwählen.

Spätestens im Open-Source-Bereich, wo Hintertüren früher oder später auffallen würden, würden sie fündig – und wenn nicht, würde sich schlichtweg ein Schwarzmarkt für dergleichen Kommunikationsmittel entwickeln, wie es ihn bereits für Schadsoftware und allerhand andere illegale Waren und Dienstleistungen gibt. Somit wäre am Ende die Sicherheit der unbescholtenen Nutzerinnen und Nutzer geschwächt, ohne dass es die Kriminalitätsbekämpfung tatsächlich nennenswert voran bringt. Von Verhältnismäßigkeit kann bei einem solchen Szenario keine Rede sein.

Ergänzend sei angemerkt, dass die angeführten „streng begrenzten Einzelfälle“, in denen ein Zugriff auf verschlüsselte Kommunikation ermöglicht werden soll, erfahrungsgemäß die Tendenz haben, im Laufe der Zeit schrittweise immer weiter ausgeweitet zu werden. Invasive Sicherheitsmaßnahmen, die für Not- und Ausnahmefälle eingeführt werden, werden häufig schon nach wenigen Jahren auch für eher alltägliche Kriminalität und ohne ernst zu nehmende Kontrolle der Rechtmäßigkeit eingesetzt.

Ignorant und gefährlich

Angesichts der Faktenlage kann Amber Rudds Kolumne nur als technisch eher unbedarfter, dadurch aber keineswegs ungefährlicher Versuch, die Verschlüsselung (und damit eines der wichtigsten Werkzeuge gegen IT-Kriminalität, Überwachung und Zensur) zu schwächen, eingestuft werden. Aufgrund der vertraulichen Natur der Gespräche der britischen Regierung mit führenden Technologie-Unternehmen ist unbekannt, ob Rudds Ideen bei den Fachleuten auf Gegenliebe gestoßen sind. Es ist zu hoffen, dass sie die Abfuhr erhalten haben, die sie verdienen.


Image „Vorhängeschloss“ by brenkee (CC0 Public Domain)


Weiterlesen »

1Password und die Risiken der Cloud

Cloud (adapted) (image by rawpixel [CC0] via pixabay)

Der insbesondere bei Apple-Nutzerinnen und -Nutzern populäre Passwort-Manager 1Password speicherte die abgelegten Passwörter bislang lokal auf dem Gerät. Nun wurde auf eine Cloud-basierte Speicherung umgestellt. In der IT-Sicherheits-Community sorgt das für Kritik: eine Speicherung in der Cloud wird als weniger sicher angesehen, da Nutzerinnen und Nutzer nicht kontrollieren können, was mit ihren Daten geschieht. Auch die unterschiedliche Gesetzeslage in verschiedenen Ländern könnte ein Problem darstellen.

1Password-Nutzer werden zum Umstieg gedrängt

Der Passwort-Manager 1Password ist äußerst beliebt. Insbesondere die Apple-Nutzergemeinde schätzt das Produkt für Mac OS X und iOS. Aber auch auf Windows und Android kommt 1Password zum Einsatz und erfreut sich einiger Beliebtheit. Vor Kurzem trafen die Entwickler vom Unternehmen Agile Bits allerdings eine kontroverse Entscheidung: Sie begannen, die Speicherung der archivierten Passwörter vom lokalen Gerät in die Cloud zu verlagern. Nutzerinnen und Nutzer wurden gedrängt, auf die neue Variante – bei der der Cloud-Speicher im Abo-System bezahlt wird – umzusteigen. Die alte Einzelplatz-Version existiert zwar noch, wird aber nicht mehr beworben und ist schwierig zu bekommen. So sollen Kunden zum Umstieg gedrängt werden.

Gefahr für sensible Daten in der Cloud

In der IT-Sicherheits-Gemeinde sorgt die Entscheidung von Agile Bits für Kritik. Diese beruht vor allem darauf, dass im Falle einer Cloud-Speicherung die Absicherung der Daten nicht mehr in den Händen der Benutzerin oder des Benutzers liegt. Werden die Passwörter auf dem eigenen PC, Laptop oder Smartphone gespeichert, kann die Besitzerin oder der Besitzer selbst für deren Absicherung sorgen. Bei entsprechend sicherheitsbewussten Nutzerinnen und Nutzern könnte dies beispielsweise durch eine Verschlüsselung des Benutzer-Verzeichnisses geschehen. Werden die Daten dagegen in der Cloud abgelegt, müssen sich die Nutzerinnen und Nutzer auf die Verschlüsselung des Anbieters verlassen. Weist diese einen Fehler auf, sind die Daten nur unzureichend geschützt, ohne dass die Nutzerinnen und Nutzer daran etwas ändern können. Durch die zentralisierte und über das Netzwerk aufrufbare Speicherung der Daten werden diese zudem zu einem attraktiven Ziel für Online-Kriminelle. Angreiferinnen und Angreifer können hier mit einem einzigen Coup hunderttausende von Benutzerkonten samt Passwörtern erbeuten – und haben das in der Vergangenheit bei 1Passwords Konkurrenten auch schon getan. So wurde beispielsweise der Dienst Lastpass schon Opfer eines derartigen Angriffs.

Ein weiteres Problem ist die je nach Land unterschiedliche Gesetzeslage. Agile Bits ist ein kanadisches Unternehmen und somit weniger von – oftmals fragwürdigen – behördlichen Zugriffen betroffen als Unternehmen mit Firmensitz in den USA. Dennoch ist es beispielsweise für deutsche Nutzerinnen und Nutzer wahrscheinlich besser, sich auf die vergleichsweise strengen deutschen Datenschutz-Gesetze berufen zu können. Werden die Daten auf einem privaten Gerät gespeichert, ist das der Fall. Bei einer Speicherung in der Cloud ist oftmals entweder der Firmensitz oder der Server-Standort, nicht der Wohnort oder die Staatsangehörigkeit der Nutzerin oder des Nutzers, relevant. So sind die sensiblen Daten womöglich nicht nur technisch, sondern auch juristisch in der Cloud schwächer geschützt.

Im Sinne der Kundinnen und Kunden

Mit seiner Entscheidung, die Datenspeicherung in der Cloud zu forcieren, hat Agile Bits keine Entscheidung im Sinne seiner Kundinnen und Kunden getroffen. Mögliche Vorteile beim Komfort und der Sicherheit der Daten vor versehentlichem Verlust werden mehr als aufgewogen durch mögliche schwere Einbußen bei Privatsphäre und Datensicherheit. Es bleibt zu hoffen, dass das Unternehmen diese Tatsache angesichts der öffentlichen Kritik einsieht und die Wahl seinen Kundinnen und Kunden überlässt.


Image (adapted) „Cloud“ by rawpixel (CC0 Public Domain)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • BLOCKCHAIN t3n: Blockchain soll Wirtschaftsstandort stärken: Deutsche Startups gründen Bundesverband: Eine Gruppe deutscher Startups möchte noch dieses Jahr vor dem Bundestag einen Bundesverband Blockchain gründen. Dieser unparteiliche Verband soll den Mitgliedern der Szene eine einheitliche Stimme zu geben, und hofft auf die Onlineregulierungen der neuen Regierung Einfluss nehmen zu können. Blockchain sei die nächste Innovationsstufe des Internets. Deutschland habe die Chance Vorreiter in der Wirtschaft zu werden, wenn die Blockchain in den Regulierungen berücksichtigt werde. Der Verband möchte den Bundesverbänden und Digitalpolitiker als Experten zur Seite stehen.

  • CIA golem: Wie die CIA WLAN-Router hackt: Aus neuen Unterlagen von Wikileaks hervor, dass der amerikanische Auslandsgeheimdienst CIA über ein Programm verfügte, welches WLAN-Router hacken kann. Das Netzwerk der CIA besteht aus einem Botnetz, die mit einem kontrollierbaren Server verbunden sind. Die Daten, die aus den Wikileaks-Dokumenten hervorgehen wurden von 2007 bis 2012 gesammelt. Gesammelt wurden E-Mail Adressen, Chatnutzernamen, Mac-Adressen oder Voice-Over-IP-Nummern. Bis zu zehn Hersteller waren betroffen, darunter auch der Marktführer AVM. Die genauen Einsatzgebiete der „Cherry Blossom“-Software sind noch unklar.

  • FLUGGASTDATEN netzpolitik: Europäische Union will zentrale Datei für Fluggast- und Passagierdaten: Grenzbehörden dürfen von Airlines Passagierdaten anfordern. Jetzt möchten die InnenministerInnen der Europäischen Union eine zentrale Passagierdaten-Datenbank einrichten. Hierbei geht es um sogenannte API daten, die nach dem Check-in erhoben werden, müssen bis jetzt 24 Stunden nach Check-in wieder gelöscht werden. Die neue Datenbank soll einen dezentralen Datenaustausch über einen zentralisierten Router durchführen und als einzige Anlaufstelle für Airlines fungieren. Ob dieses System von Vorteil gegenüber der alten Methoden ist, soll bis 2018 mit einer Studie herausgefunden werde.

  • DATENSCHUTZ heise: E-Privacy-Verordnung: Entschlüsselung von Kommunikation soll verboten werden: Erst kürzlich forderte CSU Politiker Hermann, dass Whatsapp-Kommunikation abgehört werden müsse. Die Verhandlungsführerin für eine Datenschutzreform im EU-Parlament macht sich nun dafür stark, dass Hintertüren verboten werden. Der Einsatz von Kryptografie, die verwendet wird um verschlüsselte Daten wieder zu entschlüsseln, soll in EU-Mitgliedstaaten komplett verboten werden. Maju Lauristin fordert ebenfalls eine Stärkung des Schutzes von Verbindungs- und Standortdaten, verbote von Tracking-Walls und eine Informationspflicht für „Opt-ins“.

  • GOOGLE handelsblatt: EU-Kommission will Google Rekordstrafe aufbrummen: In Bezug auf die Shopping-Suche auf Googles Suchmaschinenangebot, möchte die EU Wettbewergskommission Google eine Rekordstrafe verhängen. Der Vorwurf von Wettbewerbern an Google ist, dass der Suchmaschinenalgorithmus einige Händler bevorzuge und so den Wettbewerb nicht gerecht darstelle. Das Bußgeld wird auf zehn Prozent des Umsatzes beschränkt und beläuft sich momentan auf 1,06 Milliarden Euro. Das Verfahren ist eines von drei, in denen die Kommission Google vorwirft, den Wettbewerb zu verzerren.

Weiterlesen »

Stories: WhatsApp, Instagram und Snapchat im Vergleich

Titelbild-Stories-Applepiloten (adapted) (Image by Julia Froolyks)

Snapchat kann es von Anfang an, Instagram schon länger und WhatsApp-Nutzer können es nun ebenfalls tun: sogenannte Stories erstellen und mit Freunden oder einem anonymen Publikum teilen. Besonders die jüngeren Generationen nutzen Snapchat und Instagram bereits seit deren Erscheinen. Mit der neuen Status-Funktion in WhatsApp kommen nun vermutlich auch ältere Semester mit dem sozialen Tool in Berührung. Doch die Stories-Funktionen sind nicht identisch. Welche App ist in dieser Hinsicht die richtige für euch? Ich erkläre die Unterschiede.

Visuelle Geschichten mit Stories erzählen

Stories Snapchat
Screenshot by Julia Froolyks

Sogenannte Stories sind Bilder-Inhalte, die neben Videos, Fotos und bei WhatsApp auch animierte GIFs enthalten können. Stories bleiben nicht permanent sichtbar, sondern werden nach 24 Stunden wieder gelöscht. Die eigenen Kontakte oder Follower können bis dahin auf Inhalte der Geschichte reagieren und diese kommentieren. So lässt sich eine im besten Fall unterhaltsame Chronologie eines besonderen Ereignisses oder des ganz normalen Alltags-Wahnsinns erstellen.

In Snapchat kann jeder die Stories sehen

Der erste Unterschied zwischen den drei Diensten besteht zuerst einmal in der Auswahl eurer Zuschauer. Während Instagram und Snapchat als soziales Netzwerk durchgehen, ist WhatsApp seit eh und je ein purer Messenger.

In WhatsApp können immer nur die eigenen Kontakte auf gepostete Inhalte in der Status-Leiste zugreifen. Bei Instagram könnt ihr hingegen festlegen, ob die gesamte Community oder ausschließlich eure Follower die Inhalte sehen kann. Außerdem könnt ihr in dem Foto-Netzwerk unliebsame Leser auf Instagram blockieren. Im Vergleich dazu bietet Snapchat keine Möglichkeit, das Publikum zu filtern. Alle, die bei Snapchat angemeldet sind, können eure Inhalte 24 Stunden lang betrachten.

Keine Filter für Status-Update in WhatsApp

Stories
Screenshot by Julia Froolyks.

Weitere Unterschiede der drei Apps bestehen in der Erstellungsphase von Story-Inhalten. Während beim Status-Update von WhatsApp das Bild mit einer Bildunterschrift versehen und zugeschnitten werden kann, müssen etwaige Beschriftungen bei Snapchat und Instagram ausschließlich freihändig skizziert werden.

Die sogenannten Doodle-Zeichnungen können bei Snapchat und WhatsApp zwar farblich angepasst werden. Allerdings bietet Instagram beim Malen auf den Bildern wesentlich mehr Einstellungsmöglichkeiten. So lassen sich dort etwa die Linien in der Dicke anpassen oder mit Leuchteffekten versehen.

Zwar fehlt bei Instagram und Snapchat die Möglichkeit einer Bildunterschrift, dafür bieten beide Apps im Story-Modus eine Fülle an Filtern für Bilder an. WhatsApp verzichtet auf Filter. In allen drei Apps können Emoji und Bilder in den Stories-Beitrag eingefügt werden.

Bei Snapchat ist alles live

Als Manko bei Snapchat bewerte ich die Tatsache, dass keine bereits vorhandenen Bilder oder Videos in die Story gepostet werden können. Hier müssen die Aufnahmen „live“ in der Story erstellt werden. Verständlich wird das nur, wenn man das Posten von aktuellem Material als eigentlichen Kern der Stories-Funktion betrachtet: Schließlich soll sie ein aktuelles Ereignis zeitnah dokumentieren. WhatsApp und Instagram sehen das aber anders und setzen euch nicht unter Zeitdruck. Dort könnt ihr auch Videos, Fotos und GIFs nutzen, die bereits früher erstellt und gespeichert habt.

Mehr Sicherheit bietet WhatsApp

Stories WhatsApp
Screenshot by Julia Froolyks

Sicherheitstechnisch liegt WhatsApp vorn. Weder Snapchat noch Instagram verschlüsseln ihre Inhalte. Hingegen in WhatsApp werden neben dem Chat auch das Status-Update via Ende-zu-Ende-Verschlüsselung geschützt.

Fazit: Euer Geschmack entscheidet

Die Stories-Funktion jeder App hat Stärken und Schwächen. Vorteil von WhatsApp: Da vermutlich die meisten eurer Freunde und Verwandten die App nutzen, könnt ihr eure Stories mit sehr vielen Menschen teilen, die euch besonders nah stehen. Negativ fällt mir bei WhatsApp auf, dass sich Bilder nicht optimal bearbeiten lassen, bevor man sie in die Welt hinausschickt. Ich finde die Handhabung nicht intuitiv.

Bei Snapchat gefallen mir die witzigen und täglich wechselnden Filter sehr. Sobald ihr die Bilder veröffentlicht, kann sie allerdings jeder sehen. Ihr könnt den Kreis der Zuschauer nicht beeinflussen. Zum Glück können die Bilder, die dort entstehen, auf dem Smartphone gesichert werden, und müssen nicht zwingend hinaus in die Welt posaunt werden.

Am meisten Spaß macht die Stories-Funktion natürlich, wenn die Geschichten, die ihr betrachtet, auch wirklich etwas zu erzählen haben. Wer eine sehr große Auswahl an wirklich unterhaltsamen oder originellen Geschichten verfolgen will, ist meiner Meinung nach am besten bei Instagram aufgehoben. Denn dort sind – mehr noch als bei Snapchat – inzwischen viele Unternehmen, Organisationen und Promis unterwegs, die sehr viel Wert auf professionelles Storytelling legen.

Dieser Artikel erschien zuerst auf Applepiloten.


Screenshots by Julia Froolyks


 

Weiterlesen »

Android: Sicherheitsbericht zeigt Licht und Schatten

Lg (adapted) (Image by hawkHD [CC0 Public Domain] via pixabay)

Der aktuelle Sicherheitsbericht von Google zum Thema Android-Mobilgeräte zeigt einige durchaus erfreuliche Trends auf. Daneben findet sich aber auch eine sehr beunruhigende Statistik: Lediglich jedes zweite Android-Mobilgerät erhielt im Laufe des letzten Jahres ein Sicherheitsupdate. Teilweise mag es an bequemen oder unwissenden Nutzern liegen. Das Hauptproblem ist jedoch die starke Fragmentierung der Android-Welt und die Tatsache, dass gerade kleinere Hersteller die Updates oftmals gar nicht zeitnah für ihre Geräte anpassen. Google will nun helfen, die Situation zu verbessern.

Verbesserungen bei Sicherheitsfeatures, geringere Verbreitung von Schadsoftware

Rund 1,4 Milliarden aktiv genutzte Mobilgeräte mit Googles Betriebssystem Android gibt es derzeit, schätzt Google. Wie sicher sind jedoch diese gigantischen Mengen an Smartphones und Tablets? Aktuelle Untersuchungen zeigen Licht wie auch Schatten.

Googles aktueller Sicherheitsbericht zeigt einige erfreuliche Entwicklungen auf. So hat die Anzahl mit Schadsoftware infizierter Geräte im Jahr 2016 gegenüber dem Vorjahr abgenommen. So nahm die Anzahl von Trojanern gegenüber 2015 um gut 50 Prozent ab; diese machten insgesamt nur noch 0,016 Prozent aller von Googles Sicherheitssoftware untersuchten Downloads aus. Der Anteil der Phishing-Apps sank sogar um 70 Prozent. Nur noch auf 0,05 Prozent der Geräte, die nur aus Googles Play Store mit Apps versorgt werden, fand sich bei Untersuchungen ein „potentiell schädliches“ Programm. 2015 waren es noch 0,15 Prozent gewesen. Insgesamt waren rund 0,7 Prozent aller untersuchten Android-Geräte von einer solchen, womöglich schädlichen Software befallen.

Auch das Android-Betriebssystem selbst wird nach Ansicht Googles immer sicherer. Dafür hat sich der Software-Gigant sehr ins Zeug gelegt und in die aktuelle Betriebssystem-Version „7.0 Nougat“ eine ganze Reihe neuer Sicherheitsfeatures eingebaut. Darunter sind verbesserte Möglichkeiten zur Verschlüsselung – aktuell ohnehin ein großes Thema in der IT-Welt – und bessere Sicherheitsfeatures beim Abspielen von Musik- und Videodateien.

Auch das hauseigene „Bug Bounty“-Programm gewann an Bedeutung. Im Laufe des Jahres schüttete Google fast eine Million US-Dollar an Sicherheitsforscherinnen und Sicherheitsforscher aus, die halfen, Schwachstellen in der Software zu entdecken.

Updates: Nur jedes zweite Gerät wurde 2016 versorgt

Ein großes Problem allerdings zeigt der Sicherheitsbericht auf. Von den 1,4 Milliarden Android-Geräten erhielt im Jahr 2016 lediglich rund die Hälfte ein sogenanntes Plattform-Sicherheitsupdate. Google berichtet, rund 735 Millionen Android-Geräte von etwa 200 Herstellern mit entsprechenden Updates versorgt zu haben. Der Rest ging leer aus.

Die Hauptursache für dieses Problem ist keineswegs eine mangelnde Bereitschaft Googles, an der Sicherheit seiner Geräte zu arbeiten – das zeigen die Berichte über anderenorts in diesem Bereich getätigte Investitionen wohl deutlich. Auch ist in diesem Fall – anders als beispielsweise bei der Passwortsicherheit – die Ursache höchstens in zweiter Linie beim Benutzerverhalten zu suchen.

Das Hauptproblem ist vielmehr die Vielzahl im Umlauf befindlicher Android-Versionen, auch als „Android Fragmentation“ bezeichnet. Aktuell teilen Betriebssystem-Versionen von 4.4 bis 7.0 unter sich den Markt auf. Hinzu kommt, dass selbst innerhalb einer nominell identischen Android-Version keineswegs alle Systeme gleich sind. Vielmehr nehmen die meisten Smartphone-Hersteller mehr oder weniger umfangreiche Änderungen an Treibern, Bedienkonzept und Benutzeroberfläche vor.

Auf all diese verschiedenen Versionen und Besonderheiten muss ein Android-Sicherheitsupdate erst angepasst werden, bevor es verteilt werden kann, und es muss in Tests sicher gestellt werden, dass der Patch auch wie vorgesehen funktioniert und keine Probleme verursacht. All das kostet Zeit und Geld. Selbst große Hersteller versorgen gerade ältere Geräte teilweise nur schleppend mit Updates. Bei kleineren Anbietern warten die Nutzerinnen und Nutzer oft sehr lange oder Updates werden gar nicht erst verteilt. So kommt es zu den von Google berichteten, alles andere als zufriedenstellenden Zahlen.

Google ist in der Pflicht

In gewisser Hinsicht gleicht die Situation bei Android-Mobilgeräten der im Smart-Device- und Router-Bereich: Updates werden häufig gar nicht oder zu spät bereitgestellt oder von den Benutzern nicht als wichtig wahrgenommen. So kommt es zu gefährlichen Schutzlücken. Schwachstellen in der Software werden nicht zeitnah behoben und können so womöglich für Angriffe ausgenutzt werden. Im Falle von hunderttausenden Android-Geräten ist das destruktive Potential hier womöglich erheblich.

Wie auch bei Routern und ähnlichen Geräten kann hier nur herstellerseitig effektiv Abhilfe geschaffen werden. Auch Geräte mit einer eher kleinen Verbreitung müssen zeitnah Updates erhalten. Google hat schon angekündigt, sich des Problems annehmen zu wollen. Künftig will der Software-Gigant enger mit den Geräteherstellern zusammenarbeiten und es ihnen leichter machen, Sicherheits-Updates auf ihre jeweilige, individuell modifizierte Plattform anzupassen. Nun ist es an der Öffentlichkeit und vor allem der IT-Fachwelt, Google auf die Finger zu schauen und dafür zu sorgen, dass es nicht bei einem bloßen Lippenbekenntnis bleibt. Nur so kann die Welt der Android-Mobilgeräte effektiv abgesichert werden.


Image (adapted) „Lg“ by hawkHD (CC0 Public Domain)


 

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • DATENSCHUTZ heise: Britische Innenministerin will Zugriff auf WhatsApp & Co.: Amber Rudd, Innenministerin von Großbritanien, fordert Zugriff auf Messenger-Dienste wie WhatsApp. Rudd äußerte sich dahingehend in einem Fernsehinterview mit der BBC vor dem Hintergrund des Terroranschlags in London. Demnach sei es „vollkommen inakzeptabel“, dass Sicherheitsbehörden die Nachrichten von Messenger-Apps nicht einsehen könnten. Zwar zöge sie es vor, eine Einigung mit den entsprechenden Unternehmen zu finden, sie sei aber auch bereit, eine Umgehung der Verschlüsselung zu finden. Ausschlaggebend für diese Stellungnahme war die Tatsache, dass der Attentäter kurz vor dem Anschlag imn Regierungsviertel noch über WhatsApp kommuniziert hatte.

  • GLASFASERAUSBAU golem: AT&T baut Millionen Glasfaserverbindungen: Der US-amerikanische Mobilfunkanbieter AT&T hat angekündigt, den Ausbau des Glasfasernetzes verstärkt voran zu treiben. Während derzeit rund 4 Millionen Haushalte in 51 städtischen Regionen an das Glasfasernetz angeschlossen sind, sollen es im Jahr 2019 bereits 12,5 Millionen Haushalte in 61 städtischen Regionen sein. Verizon und der TV-Kabelnetzbetreiber Comcast dürften mit ähnlichen Ausbauplänen folgen. Google Fiber hingegen expandiert nicht mehr. In zehn Städten wurde der Ausbau gestoppt oder ausgesetzt.

  • HYPERLOOP t3n: Lufthansa prüft Einsatz der Elon-Musk-Idee: Bei einem Hyperloop handelt es sich um ein Reisemodell, bei dem Kapseln auf 1.200 km/h beschleunigt werden. Die Strecke Berlin – München könnte so in unter 30 Minuten bewältigt werden. Sowohl die Lufthansa als auch die Deutsche Bahn zeigen Interesse an dem Gaschäftsmodell. Besonders die Lufthansa sieht hierin eine Alternative für innerdeutsche Flugverbindungen. Die Firma Hyperloop Transportation Technologies (HTT) aus der Slowakai arbeitet bereits an Plänen für die Strecke Bratislava – Wien. Frühestens 2020 könnte die Strecke eröffnet werden.

  • CYBERWAR Welt: Google-Vordenker fordert Genfer Konvention für Cyberkriege: Der US-Informatiker und Google-Chefstratege Vinton Cerf sorgt sich um die wachsende Gefahr von Hackerangriffen und fordert eine globale Genfer Konvention für Cyberkriege. „Wir sind mittlerweile so abhängig davon, dass die Software, mit der wir uns im Alltag umgeben, funktioniert, dass jegliche Störung großen Schaden anrichten würde. Ich bin darüber wirklich in tiefer Sorge”, sagte Cerf der „Welt am Sonntag“. „Bisher gibt es noch nicht einmal einen Dialog darüber, dabei brauchen wir dringend gemeinsame Absprachen über die Kriegsführung via Internet.“ Der 73-jährige gilt als einer der Väter des Internet. Cerf schlägt vor, in einer Art globaler Genfer Konvention für Cyberkriege festzulegen, welche Art von Angriffen strikt verboten seien. „Es ist schlimm genug, dass wir uns im Alltag ständig mit digitalen ‚Schädlingen’ wie Viren oder Trojanern herumschlagen müssen. Aber wenn jemand, insbesondere eine staatliche Macht, bewusst das Internet eines anderen Landes torpediert, hat das noch mal eine andere Dimension”, sagte Cerf weiter.

  • HASSKOMMENTARE Spiegel: Sie sind hier: Aktion gegen Hetze auf Facebook: Der 43-jährige Hannes Ley aus Hamburg kämpft bei Facebook gegen Hasskommentare. Nachdem er lange Zeit beobachtete, wie der Umgangston im Internet besonders bei sensiblen Themen immer rauer wurde, gründete er die Facebook-Gruppe „#Ichbinhier“, der sich binnen drei Monaten 27.000 User anschlossen. Sie treten als deeskalierende Kommtentatoren unter öffentlichen Breiträgen auf und versuche, Konflikte zu entschärfen. Jeder Kommentar wir dabei mit dem Hashtag #Ichbinhier markiert. Werden Mitglieder der Gruppe angegriffen, erhalten sie Unterstützung von anderen Mitgliedern.

Weiterlesen »

Safer Internet Day: Messenger für eine sichere Kommunikation

Computer Sicherheit Vorhängeschloss (adapted) (Image by TheDigitalWay [CC0 Public Domain], via pixabay)

Jedes Jahr am zweiten Tag der zweiten Woche des zweiten Monats findet der Safer Internet Day (SID) statt, in diesem Jahr am 7. Februar. Der Safer Internet Day ist ein von der Europäischen Union initiierter jährlich veranstalteter weltweiter Aktionstag für mehr Sicherheit im Internet. Dieser Artikel befasst sich mit dem Thema sichere Messenger.


Auch im Jahr 2017 ist die E-Mail noch nicht von der Bildfläche verschwunden, sie wird es wahrscheinlich auch noch lange nicht sein, allerdings schreiben wir inzwischen häufiger mit sogenannten Freunden. Über den Facebook Messenger zu schreiben ist heutzutage genauso normal wie mit den Eltern über WhatsApp zu chatten oder die Kollegen auf Arbeit schnell via Skype-Chat zu fragen, wer mit einem zum Mittagessen begleiten möchte.

Messenger sind kaum noch aus unserem Alltag wegzudenken und bereits feste Apps auf unseren Smartphones. Indem wir sie benutzen, gebe wir viele Informationen über uns preis, die wiederum für Kriminelle, Werbetreibende und auch Geheimdienste interessant sind. Doch sicher und privat zu kommunizieren ist keine technische Hürde mehr, denn im Zeitalter nach den Snowden-Veröffentlichungen ist Datenschutz eine gefragte Funktion geworden.

Sicherheit durch Ende-zu-Ende-Verschlüsselung

Eine hundertprozentige Sicherheit kann einem selbstverständlich kein von Menschen geschaffener Messenger garantieren, denn Fehler bei der Programmierung sind möglich und jeder technische Sicherheitsstandard wird irgendwann einmal geknackt werden. Das ist vollkommen normal. Zwei Merkmale von Messengern bieten allerdings zurzeit eine sehr hohe Sicherheit an: Ende-zu-Ende-Verschlüsselung und ein Quelloffenheit.

Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die zu sendenden Informationen zuerst auf Senderseite verschlüsselt und erst nach dem Empfang der Nachricht wieder entschlüsselt werden. Dadurch können Nachrichten nicht auf dem Übertragungsweg abgefangen und gelesen werden. Mit Quelloffenheit ist gemeint, dass der Quelltext einer Software öffentlich ist und von Dritten eingesehen und somit überprüft werden kann.

Inzwischen bieten auch der Facebook Messenger und WhatsApp eine Ende-zu-Ende-Verschlüsselung an. Beliebte Alternativen sind der Schweizer Messenger Threema, dessen Server nach eigenen Angaben nur in der Schweiz stehen und unter den örtlichen Datenschutz fallen, sowie der russische Messenger Telegram. Zwar ist Telegrams serverseitige Infrastruktur proprietär, alle offiziellen Apps sind aber quelloffen.

Sicherheit durch Offenheit

Quelloffene Messenger sind deshalb als sicherer anzusehen, da der Programmiercode der Software einsehbar und somit überprüfbar ist. IT-Experten können dann getroffene Aussagen zur Sicherheit in einem IT-Sicherheitsaudit durch eine Risiko- und Schwachstellenanalyse überprüfen. Bei proprietärer Software geht das nicht, da die Firmen keinen Einblick in den Code ihrer Software erlauben. Man kauft quasi die Katze im Sack.

Zwei der zurzeit sichersten Messenger sind der in San Francisco beheimatete Messenger Signal und der in Berlin entwickelte Messenger Wire. Beide Messenger sind quelloffen, allerdings braucht man für die Nutzung von Signal eine Telefonnummer und die Server von Wire sind vorläufig nicht quelloffen. Wire hat den theoretischen Vorteil, dass es nicht der Gerichtsbarkeit in den USA unterliegt. Bisher war dies aber für Signal kein Nachteil.

Auf der Webseite securemessagingapps.com findet man eine Übersicht der verschiedenen Funktionen diverser Messenger. Auch hier schneiden Signal und Wire am besten ab. Vom Design und der Bedienung her, kann ich persönlich Wire empfehlen. Gerade aber die Übersicht zeigt einem, dass die Unterschiede zwischen vielen Messengern gering sind und in manchen Details dem persönlichen Anspruch an Sicherheit und Datenschutz genügen.


Image (adapted) “Computer Sicherheit Vorhängeschloss“ by TheDigitalWay (CC0 Public Domain)


Tags:

Weiterlesen »

Passwort-Sicherheit: Viel Raum für Verbesserungen

Aktuelle Analysen belegen, dass es mit der Passwort-Sicherheit bei vielen Nutzerinnen und Nutzern noch immer nicht weit her ist. Nach wie vor dominieren ausgesprochen schwache Passwörter wie „123456“ oder „qwerty“ (beziehungsweise sein deutsches Gegenstück). Das öffnet Online-Kriminellen Tür und Tor zu derart „abgesicherten“ Benutzerkonten. Es besteht also Handlungsbedarf. Keineswegs sollten die vernichtenden Forschungsergebnisse aber als Signal interpretiert werden, die Flinte ins Korn zu werfen und Benutzer-Schulungen als sinnlos abzutun.

Studie belegt: Passwort-Sicherheit lässt nach wie vor zu wünschen übrig

IT-Sicherheitsforscherinnen und -forscher des Unternehmens Keeper haben in einer Studie die beliebtesten Passwörter des Jahres 2016 analysiert. Dazu haben sie rund 10 Millionen Benutzer-Konten aus sicherheitsrelevanten Vorfällen des Jahres 2016 untersucht.

Die Ergebnisse sind nicht ermutigend. Sie legen nahe, dass viele Nutzerinnen und Nutzer sich noch immer zu wenige Gedanken über Passwort-Sicherheit machen – und dass diejenigen, die Websites betreiben und administrieren, nicht für bestimmte Mindeststandards bei der Passwort-Vergabe sorgen. In der Folge wird es Kriminellen unnötig leicht gemacht, Benutzer-Konten zu kompromittieren.

Kopfschütteln bei Fachleuten

„Als wir die Liste mit den häufigsten Passwörtern 2016 sahen, konnten wir nicht aufhören, die Köpfe zu schütteln“, so das wenig ermutigende Fazit der Sicherheits-Expertinnen und -Experten. Die Reaktion ist verständlich. Der Studie zufolge wurde in nicht weniger als 17 Prozent der Fälle das Passwort „123456“ vergeben. Damit ist dieses Passwort der unangefochtene Spitzenreiter. Auch die längeren Zahlenfolgen „1234567“, „12345678“, „123456789“, „1234567890“ und „987654321“ schafften es unter die Top Ten, ebenso wie „111111“ und „123123“.

Die Vorliebe vieler Nutzerinnen und Nutzer für bequeme Muster auf der Tastatur beweist auch der Klassiker „qwerty“ (auf einer englischen Tastatur der Beginn der obersten Buchstabenreihe; auf deutschen Websites ist erfahrungsgemäß auch das Äquivalent „qwertz“ populär), der es immerhin auf den dritten Platz schafft. Abgerundet werden die Top Ten durch den Begriff „password“. Je nach Nationalität des Forums oder der Website taucht dieser häufig neben Englisch auch in der jeweiligen Landessprache auf.

Vier der zehn beliebtesten Passwörter umfassten nur sechs Zeichen oder weniger. Das macht sie anfällig für einen sogenannten Brute-Force-Angriff, bei dem schlichtweg alle möglichen Zeichenkombinationen der Reihe nach durchprobiert werden. Mit modernen Rechnern geht dies für kurze Passwörter erstaunlich schnell. Nur Sekunden benötigen diese für das Knacken eines Passwortes von sechs Zeichen oder weniger Länge. Angesichts der heutigen Hardware-Leistung und der leichten Verfügbarkeit von Cloud-Rechenzeit empfiehlt es sich für wichtige Konten, Passwörter von zehn oder mehr Zeichen zu verwenden. Acht sollten es auf jeden Fall mindestens sein, um ein Mindestmaß an Sicherheit zu bieten.

Insgesamt beweisen die Nutzerinnen und Nutzer nur wenig Kreativität beim Ausdenken ihrer Passwörter. Die 25 von Keeper identifizierten beliebtesten Passwörter wurden 2016 für über die Hälfte der analysierten Benutzer-Konten eingesetzt. Das ist ein großes Problem, denn jedes derart beliebte Passwort ist unweigerlich auch in der Cybercrime-Szene bekannt. Somit findet es sich in Wörterbüchern, die für Angriffe auf Benutzer-Konten eingesetzt werden. Unabhängig von der Länge sind solche Passwörter in Sekunden zu erraten.

Insgesamt hat sich die Liste der populärsten Passwörter in den letzten Jahren nur sehr wenig verändert. Das ist besorgniserregend, zeigt es doch, dass bisherige Aufklärungskampagnen nur bedingt Erfolg hatten. Manche Nutzerinnen und Nutzer sind offenbar noch immer zu unwissend und/oder bequem, um sichere Passwörter zu verwenden.

Tipps und Tricks: Begriffe aus dem Wörterbuch vermeiden

Die Expertinnen und Experten geben einige Tipps, die die Passwort-Sicherheit erhöhen sollen. So empfehle es sich, Passwörter mit verschiedenen Arten von Zeichen – Ziffern, großen und kleinen Buchstaben und unter Umständen auch Sonderzeichen – zu verwenden, um einen Wörterbuch-Angriff zu erschweren. Aus dem selben Grund sollten Begriffe, die als Passwörter populär sind, und idealerweise auch alle Begriffe aus gängigen Wörterbüchern gemieden werden.

Um dies zu erreichen, ist beispielsweise die als Leetspeak bezeichnete Methode, Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen zu ersetzen, denkbar. Alternativ können beispielsweise Sätze gebildet und die Anfangsbuchstaben der darin enthaltenen Wörter als Passwort verwendet werden.

Wer Probleme hat, sich schwierige Passwörter zu merken, und deswegen immer wieder auf schwache Varianten zurückgreift, kann alternativ einen Passwort-Manager nutzen. Diesen Tipp geben die Expertinnen und Experten von Keeper zwar wohl nicht ohne Hintergedanken – immerhin bietet ihr Unternehmen unter anderem auch solche Software an – er wird aber nichtsdestotrotz in der Branche vielfach und zu Recht vertreten. Übrigens bringen viele Betriebssysteme und Webbrowser mittlerweile eine derartige Funktionalität auch schon mit.

Provider in der Pflicht

Neben den Nutzerinnen und Nutzern sieht Keeper – zu Recht – aber vor allem die Betreiber-Firmen von Online-Angeboten in der Pflicht. Diese, so wird vorgeschlagen, sollen mit Hilfe technischer Maßnahmen durchsetzen, dass Passwörter gewisse Mindeststandards erfüllen. Das ist angesichts der Studien-Ergebnisse offensichtlich nötig und zumindest eine kurzfristige Lösung, um Schlimmeres zu verhindern.

Die Hoffnung stirbt zuletzt

Daneben darf aber auch die Schulung der Nutzerinnen und Nutzer nicht vernachlässigt werden. Kein Zweifel, Statistiken wie diese sind entmutigend. Dennoch wäre es der gänzlich falsche Weg, wie von den Kollegen von The Register (nicht ganz ernst gemeint) vorgeschlagen, „einfach aufzugeben“ angesichts der Lernresistenz einiger Menschen. Manche Lernerfolge benötigen einfach Zeit, stellen sich aber irgendwann doch noch ein.

Aktuelles Beispiel dafür ist die Verwendung von Verschlüsselungs-Technologien. Jahrelang schien sich diese trotz unbestreitbarer Vorzüge nicht durchsetzen zu können. Im letzten Jahr jedoch schien endlich der Knoten sowohl bei der Industrie als auch bei den Nutzerinnen und Nutzern zu platzen und starke Kryptographie erreichte den Mainstream. Hoffentlich wird die Nutzung sicherer Passwörter, ruhig durch Rückgriff auf technische Hilfsmittel, auf ähnlichem Wege auch noch zu einer Selbstverständlichkeit. 


Image „datenschutz“ (adapted) by succo (CC0 Public Domain)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • FAKE-NEWS t3n: Recherchebüro Correctiv soll Falschmeldungen bei Facebook entlarven: Das soziale Netzwerk Facebook hat mehrere Schritte angekündigt, um in Deutschland zukünftig effizienter gegen Fake-News vorgehen zu können. Zum einen soll demnächst das Melden von Fake-News als Nutzer einfacher werden. Je mehr User sich daran beteiligen, desto einfacher soll es dem Unternehmen laut eines Blogposts sein, die Falschmeldungen zu erkennen und zu entfernen. Zum anderen will Facebook besser gegen Spammer vorgehen, die sich als Nachrichtenagenturen ausgeben und die Richtlinien der Plattform proaktiv durchsetzen. Des Weiteren hat das soziale Netzwerk das Recherchebüro Correctiv beauftragt, Falschmeldungen zu entlarven und richtigzustellen. In den nächsten Wochen und Monaten sollen noch weitere Organisationen aus der Medienbranche als Partner gewonnen werden.

  • ANDROID heise: Android-Entwicker Andy Rubin plant High-End-Smartphone: Nachdem Andy Rubin mit seiner Software Android Karriere gemacht hat, wechselt er jetzt in die Hardware-Entwicklung. Seine vor zwei Jahren gegründete Firma „Essential Products“, die Geräte für den Mobil- und Smart-Home-Markt vorbereitet, arbeitet derzeit an einem High-End-Smartphone. Das Gerät soll ein randloses Display haben und von der Wertigkeit her etwa auf dem Niveau des iPhone 7 und der Pixel-Modelle von Google liegen. Über einen einzigartigen Anschluss soll das Smartphone geladen und gleichzeitig erweitert werden können. Die Marktreife ist für etwa Mitte dieses Jahres zu einem Preis geplant, der vergleichbar mit dem des iPhone 7 ist (760 Euro).

  • MICROSOFT golem: Microsoft kauft Experten für Deep Learning: Der Software-Konzern Microsoft hat ein kanadisches Startup übernommen. Die Firma mit dem Namen Maluuba wurden von zwei Studenten der University of Waterloo gegründet. Seit ein paar Jahren forschen sie zusammen an den Themen Deep Learning und KI-Anwendungen. Speziell die Erkennnung natürlicher Sprache und die Analyse von Bildern sowie selbstlernende Systeme stehen im Vordergrund. So konnten bereits Algorithmen entwickelt werden, die sich selbst das Spiel „Schiffe versenken“ beibringen. Das Team rund um die beiden Gründer wird nach der Übernahme bei Microsoft in der Abteilung Artificial Intelligence and Research arbeiten.

  • WHATSAPP netzpolitik.org: Facebook kann die verschlüsselten Inhalte auf WhatsApp mitlesen: Die Verschlüsselung von WhatsApp gilt als sicher und vorbildlich. Durch die Ende-zu-Ende-Verschlüsselung wird sichergestellt, dass nur Absender und Empfänger der Nachrichten diese auch unverschlüsselt lesen können. Um das zu testen, kann jede der beiden Parteien auf dem Smartphone der anderen einen QR-Code scannen und so sicher gehen, dass nur sie selbst die Inhalte entschlüsseln kann. Tobias Boelter hat jedoch eine Lücke in dem System entdeckt. Sie erlaubt es Facebook, dem Mutterkonzern, aber, neue Schlüssel zu erzeugen, ohne dass der Nutzer dies merkt – und so die Kommunikation mitzulesen. WhatsApp erklärte gegenüber netzpilotik.org, dass diese Möglichkeit zwar bestehe, dass WhatsApp sich aber weigere, Gebrauch davon zu machen, selbst auf Anweisung der Regierung.

  • SAMSUNG chip: Galaxy S7: Samsung rollt Android 7 aus: Samsung hat nun damit begonnen, die aktuelle Version von Android auszurollen. Das Betriebssystem, das den Namen Nougat trägt, soll demnächst auf allen Galaxy S7 verfügbar sein. Außerdem ist bald die Bereitstellung für das S7 Edge geplant. Neue Features des Systems sind Launcher Shortcurts, ein Image-Keyboard zur Verwendung von GIFs und Stickers, neue Emojis sowie die Einführung der aktuellen Sicherheitspatch-Ebene vom 5. Januar. Verfügbar sein wird Nougat außerdem auf vielen Nexus-Geräten.

Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • E-COMMERCE t3n: 2017 ist da – und das sind die 4 wichtigsten E-Commerce-Trends: Trends sind im Allgemeinen vor allem eins – kurzlebig. Deswegen beleuchten die Kollegen von t3n vor allem langfristige Entwicklungen im E-Commerce 2017. Sogenannte „Monobrands“ sollen Markenerlebnisse schaffen, dabei stützt sich eine Marke auf ein einzelnes, zentrales Produkt und baut ihr gesamtes Konzept darum auf. „Neue Marken“ entstehen so auch direkt in Online-“Ökosystemen” wie den Amazon- oder eBay-Marktplätzen. Außerdem wird sich die Frage gestellt, ob der klassische Händler stirbt und wie wichtig eigene Produkte und Handelsmarken sind und Verbesserung, Modifizierung und Entwicklung von Produkten ist.

  • INTERNET zeit: Die große Angst vor dem Internet: “Das Internet ist für uns alle Neuland” ist ein Satz, den die Bundeskanzlerin Angela Merkel bereits vor Jahren äußerte. Tatsächlich sei die Angst der Politik vor dem Internet groß wie nie. Infolge des Medientrubels um die US-Wahl sind die Bedenken in Bezug auf Fake-News, Social Bots und bezüglich Leaks groß. Die Bundesregierung befürchtet eine ähnliche Welle an Fake-News (eine mazedonische Kleinstadt lebte während der US-Wahl quasi davon) wie in den USA und entsprechenden gezielten Desinformationskampagnen.

  • VORRATSDATENSPEICHERUNG heise: Wegen Vorratsdatenspeicherung: Threema prüft Wegzug aus der Schweiz: Vorratsdatenspeicherung ist ein leidiges Thema, denn wenn man in beliebten sozialen Netzwerken unterwegs ist, kommt man über kurz oder lang nicht darum herum. Threema ist ein im deutschsprachigen Raum beliebter Krypto-Messenger, das heißt er ist zumindest sicherer als andere beliebte Messagingdienste. Die Firma will sich jetzt aufgrund eines neuen Verordungsentwurfs ihrer Heimat, der Schweiz, entziehen. Gemeint ist das für den März angesetzte überarbeitete Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF).

  • AMAZON golem: Mehr Spaß mit Amazons Dash-Button: Das Prinzip des Amazon Dash-Buttons ist einfach, drückt man ihn, wird automatisch das jeweilige alltägliche Verbrauchsgut nachbestellt. Der Hardware-Hacker „hunz“ hat den Button jetzt auseinander genommen und es ermöglicht Code auf dem Gerät auszuführen. Dies hat er auf dem Chaos Communication Congress in Hamburg präsentiert und schilderte den Vorgang bis ins Detail und zeigte so auch Schwachstellen in der Firmware von Amazon und in Bezug auf den Verbraucherschutz auf. Hunz plant keine weitere Forschung am Gerät, steht Bastlern aber zur Seite.

  • BIG DATA ndr: Big Data: Gefahren für Journalisten: David Kriesel speichert jeden Artikel von Spiegel Online – und das seit zwei Jahren. Auf dem Hackerkongress 33c3 in Hamburg hat er die Ergebnisse seiner Analyse vorgestellt. Er zeigt auf, welche, teils sensible, Erkenntnisse durch solche öffentlich verfügbaren Daten gewonnen werden können, wie beispielsweise Kategorien wie Veröffentlichungszeitpunkt, Artikellänge oder Ressort (wie „News“, „Kultur“ oder „Politik“).

Weiterlesen »

Immer sicher bleiben: Wie ihr eure Daten im Netz schützen könnt

Dezimalsystem, Null, Eins, 0, 1, Schloss, Vorhängeschloss, Sicherheit, Datenschutz, Data

Das Bedürfnis, seine Privatsphäre vor Eingriffen der Regierung zu schützen, hat eine längere Tradition als die der amerikanischen Demokratie. Im Jahr 1604 sagte schon Sir Edward Coke, der Justizminister von England, dass das „Haus eines Mannes“ sein Schloss sei. Dies sagte aus, dass ein Hausbesitzer sich und seine Privatsphäre vor den Agenten des Königs schützen konnte. Diese Einsicht übertrug sich in das heutige Amerika – dank unserer Gründer und ihrer Abscheu gegenüber der unbefugten Durchsuchungen und das Bemächtigen von persönlichen Dokumenten durch das imperialistische Großbritannien.

Ihnen war klar, dass jeder etwas zu verbergen hat – weil menschliche Würde und Intimität nicht existieren würden, wenn wir unsere Gedanken und Taten nicht privat sein lassen können. Als Bürger des digitalen Zeitalters ist das allerdings schwieriger. Hinterhältige Hacker und Regierungen können unsere privaten Gespräche  überwachen, genauso wie unsere Browser-Aktivitäten und andere Dateien, die sie finden, solange man ein Smartphone, Tablet, Laptop oder Computer besitzt.

Unser zukünftiger Präsident Donald Trump kritisierte die Verschlüsselungstechnologie und will die Regierungsüberwachung weiter ausbauen, was Technologen und zivile Liberalisten beunruhigt. Als ethischer Hacker ist es mein Job, diejenigen zu beschützen, die es nicht schaffen, oder nicht das nötige Wissen haben, für ihre eigene Sicherheit zu sorgen. Menschen, die wie Hacker denken, haben einige gute Ideen, wie man die digitale Privatsphäre schützen kann – auch und vor allem in diesen turbulenten Zeiten. Wir haben unsere Empfehlungen aufgelistet. Ich habe weder ein Arbeitsverhältnis noch einen Bezug zu den Firmen, die im Folgenden genannt werden. In manchen Fällen betrachte ich die Services allenfalls als normaler User.

Anrufe, SMS und E-Mail

Wenn ihr mit Menschen kommuniziert, ist es ihnen wahrscheinlich wichtig, dass nur ihr und die Menschen, die es etwas angeht, lesen können, was geschrieben wird. Das bedeutet, dass ihr eine ‚Ende-zu-Ende-Verschlüsselung‘ benötigt, bei der eure Nachricht verschlüsselt übermittelt wird. Wenn sie andere Systeme passiert, wie ein E-Mail-Netzwerk oder die Computer eines Handyanbieters, dann sehen diese nur die verschlüsselte Nachricht. Wenn die Nachricht ankommt, entschlüsselt der Computer oder das Handy des Angeschriebenen die Nachricht, aber nur für den gewünschten Empfänger.

Wenn es um Anrufe oder SMS ähnliche Nachrichten geht, sind Messengerprogramme wie WhatsApp und Signal empfehlenswert. Beide nutzen die Ende-zu-Ende-Verschlüsselung und können kostenlos für iOS- und Android-Geräte heruntergeladen werden. Damit die Verschlüsselung für beide Nutzer gelingt, müssen beide auch die gleiche App benutzen.

Private E-Mails verschickt man am besten mit Tutanota oder ProtonMail. Beide sind im Stil von GoogleMail gehalten, benutzen eine Ende-zu-Ende-Verschlüsselung und speichern nur verschlüsselte Mails auf ihren Servern. Man sollte aber bedenken, dass, wenn ihr Mails an Menschen schickt, die diesen Sicherheitsservice nicht nutzen, die Mails eventuell nicht verschlüsselt sind. Im Moment unterstützt keiner der Anbieter die PGP/GPG-Verschlüsselung, was es den Sicherheitsdiensten ermöglichen würde, sich auf andere Anbieter auszuweiten. Anscheinend arbeiten sie bereits daran. Beide Anbieter sind zudem kostenlos und kommen aus Ländern mit strengen Datenschutzgesetzen (Deutschland, Schweiz). Beide können auf PCs und mit mobilen Anbietern genutzt werden. Das einzige Manko ist, dass keiner von beiden eine Zwei-Faktoren-Authentifizierung für eine extra Sicherheitskontrolle beim Einloggen anbietet.

Nie mehr ausgespäht werden

Das private Browsen im Internet oder die Nutzung von Apps und Programmen, die mit dem Internet verbunden sind, greift indirekt zu. Webseiten und Dienste sind komplizierte Gebilde, die viele Informationen von verschiedenen Onlinediensten in sich vereinen.

Eine Nachrichtenseite nutzt zum Beispiel einen Artikeltext von einem Computer, Fotos von einem anderen und ein Video von einem dritten. Zudem möchte sich die Seite mit Facebook und Twitter verbinden, damit Leser die Artikel teilen, damit diese dort kommentieren können. Werbung und andere Dienste sind auch eingebaut, sodass die Seitenbesitzer (neben anderen Daten) herausfinden können, wie viel Zeit ein Nutzer auf der Seite verbringt.

Der einfachste Weg, Ihre Privatsphäre zu schützen, ohne ihre Aktivitäten komplett über den Haufen zu werfen, ist, eine kleine und kostenlose Software zu installieren, die sich „Browser-Erweiterung“ nennt. Diese bringt neue Funktionalität zu eurem Browser, wie Chrome, Firefox, oder Safari. Die zwei Softwares, die ich diesbezüglich empfehle, sind uBlock Origin und Privacy Badger. Beide sind kostenlos und arbeiten mit den meist genutzten Browser-Anbietern und verhindern, dass Seiten eure Aktivitäten verfolgen können.

Verschlüsselt eure gesamte Online-Aktivität

Wenn ihr noch sicherer sein wollt, müsst ihr euch davon überzeugen, dass niemand eure direkten Internetaktivitäten verfolgen kann – das gilt sowohl für den Computer als auch für euer Handy. Hierbei kann ein Virtuelles Privates Netzwerk (VPN) helfen. Bei einem VPN handelt es sich um eine Reihe vernetzter Computer, durch die man seinen Internetverkehr schickt.

Statt der herkömmlichen Art, bei der euer Computer eine Webseite mit offenen Kommunikationsprotokollen besucht, erschafft euer Computer nun eine verschlüsselte Verbindung  mit einem anderen Computer an einem anderen Standort (zum Beispiel auch in einem anderen Land). Dieser Computer sendet die Anfrage dann für euch. Wenn er von der Webseite, die ihr laden wollt, eine Antwort erhält, verschlüsselt er die Information und sendet sie zurück an euren Computer, wo sie dargestellt wird. Das alles passiert in Millisekunden, ist also meistens nicht langsamer als reguläres Surfen — und ist zudem wesentlich sicherer.

Für die einfachste Möglichkeit, privat zu surfen, empfehle ich Freedom von F-Secure, weil es nur ein paar Dollar im Monat kostet, einfach zu nutzen ist und sowohl auf Computern als auch auf mobilen Geräten läuft. Es gibt natürlich auch andere VPN-Dienste, diese sind aber meist komplizierter und würden ihre weniger technologiebegeisterten Familienmitglieder wahrscheinlich verwirren.

Zusätzliche Tipps und Tricks

Wenn ihr nicht wollt, dass jemand mitbekommt, was ihr im Internet sucht, dann benutzt DuckDuckGo oder F-Secure Safe Search. DuckDuckGo ist eine Suchmaschine, die keine Nutzerprofile erstellt oder ihre Suche danahc gestaltet. F-Secure Safe Search ist nicht ganz so privatsphärenfreundlich, weil sie mit Google zusammenarbeiten. Sie aber eine integrierte Sicherheitseinschätzung für jedes Ergebnis, was es zu einer tollen Suchplattform für Kinder macht.

Um noch mehr Sicherheit bei euren Mails, sozialen Netzwerken und anderen Online-Accounts zu bekommen, aktiviert eine „Zwei-Faktoren Authentifizierung“ oder „2FA“. Diese benötigt nicht nur einen Benutzernamen und ein Passwort, sondern auch eine andere Information – wie einen Zahlencode, der an euer Handy gesendet wird – bevor man sich einloggen kann. Die meisten Dienste  wie Google oder Facebook nutzen 2FA mittlerweile. Das solltet ihr auch tun.

Verschlüsselt die Daten auf eurem Handy und Computer, um eure Dateien, Bilder und andere Medien zu schützen. Apple iOS und Android-Handys haben Einstellungen, um eure mobilen Geräte zu verschlüsseln.

Dann bleibt noch der letzte Punkt des Privatsphäre-Schutzes: ihr selbst. Gebt nur persönliche Informationen an, wenn es wirklich nötig ist. Wenn ihr euch mit Accounts online anmelden, nutzt nicht eure Haupt-E-Mail-Adresse oder eine bestehende Telefonnummer. Erschafft stattdessen eine E-Mail-Adresse, die ihr nicht weiter nutzt und erstellt eine Telefonnummer bei Google Voice. Sollte der Anbieter dann gehackt werden, kommen eure echten Daten nicht ans Licht.

Dieser Artikel erschien zuerst auf „The Conversation” unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Sicherheit“ by TBIT (CC0 Public Domain)


Weiterlesen »

Netzpolitischer Jahresrückblick: Licht und Schatten

Privacy (adapted) (Image by g4ll4is [CC BY-SA 2.0] via flickr)

Netzpolitisch war das Jahr 2016 ein Jahr mit Höhen und Tiefen. Zwar wurden wieder einmal mehrere neue Überwachungsgesetze verabschiedet. Auch zahlreiche gefährliche neue Forderungen tauchten auf. Neben einigen Rückschlägen und der weiterhin allgegenwärtigen Politik mit der Angst gab es aber auch einige durchaus erfreuliche Entwicklungen zu verzeichnen. In mehreren Bereichen konnten Aktivisten Siege einfahren oder zumindest Schlimmeres verhindern. Daran lässt sich anknüpfen.

Die Politik mit der Terror-Angst hält an

Schon seit Jahren ist es häufig die Bedrohung durch Terroristen, die zur Begründung von Überwachungsmaßnahmen und anderen Einschränkungen individueller Freiheiten, auch, aber nicht nur im Bereich der Telekommunikation, herangezogen wird. Dabei werden Überwachungsmaßnahmen häufig unter dem Eindruck eines gerade geschehenen oder knapp verhinderten Anschlags beschlossen oder ausgeweitet. Zurückgenommen werden sie dann nur in den seltensten Fällen und höchstens auf Anweisung der Gerichte. Dieser permanente Ausnahmezustand mit seinen destruktiven Auswirkungen, diese Politik mit der Angst waren auch 2016 weiter zu beobachten, sei es in Frankreich oder auch in Deutschland.

Es bleibt zu hoffen, dass nicht im Umfeld des Anschlags auf den Berliner Weihnachtsmarkt diejenigen in unserer Politik, die immer drastischere Sicherheitsmaßnahmen auch auf Kosten der Freiheit fordern, weiter an Boden gewinnen. Bislang war die politische Diskussion – von den unvermeidlichen Hardlinern abgesehen – eher bemerkenswert zurückhaltend. Dafür sollten wir dankbar und darauf dürfen wir stolz sein.

Der Terrorismus ist zweifellos eine reale Bedrohung. Er ist aber für uns in Europa keineswegs so gefährlich, wie viele Menschen das aus einer emotionalen Reaktion heraus annehmen. So traurig und schockierend es für Angehörige und Freunde natürlich ist, einen geliebten Menschen bei einem Anschlag zu verlieren – statistisch gesehen ist es nach wie vor ungleich wahrscheinlicher, an Krebs, einem Herzinfarkt, einem Verkehrsunfall oder sogar an einer ganz gewöhnlichen Grippe zu sterben als bei einem Terroranschlag. Allein der Terrorismus aber macht einigen Menschen so heftige, irrationale Angst, dass sie bereit sind, auf Freiheiten, die zu den größten Errungenschaften unserer modernen Gesellschaft zählen, freiwillig zu verzichten. Das aber ist eine falsche, gefährliche Reaktion. Terrorismus ist nur effektiv, wenn wir aus Angst unser Verhalten ändern. Tun wir das also nicht. Hoffen wir, dass die Reaktionen auf Berlin ein (im wahrsten Sinne des Wortes) ermutigendes Signal für die Zukunft sind und nicht bloß die Ruhe vor dem Sturm.

IT-Sicherheit: Wachsamkeit weiterhin erforderlich

Weiterhin ein Thema bleibt natürlich auch die Online-Kriminalität. Nach wie vor achten viele Nutzer, egal ob Privatmenschen oder große Unternehmen, nicht genug auf die Umsetzung von sinnvollen Sicherheitsstandards bei der Nutzung von Computern, Mobilgeräten, dem Internet und den immer zahlreicher werdenden Smart-Devices.

So zeichneten sich auch 2016 einige neue Malware-Trends ab. In der ersten Jahreshälfte war es vor allem der Boom der tot geglaubten Ransomware, der unter Fachleuten für Aufsehen sorgte. Diese Schadsoftware verschlüsselte die Benutzerdaten und forderte für die Herausgabe des Passworts, das die Daten wieder entschlüsseln konnte, erhebliche Geldbeträge.

In den letzten Monaten dann lieferte vor allem das Botnet „Mirai“ spektakuläre Schlagzeilen. Es besteht aus gekaperten Smart-Devices, vor allem Überwachungskameras und digitalen Videorecordern. Experten sind der Ansicht, dass bei diesen Geräten schon lange zu wenig auf Sicherheit geachtet wird. Häufig werden sie mit unsicheren Werkseinstellungen ausgeliefert. Nutzer kümmern sich zu wenig um die Installation von Updates oder eine sichere Konfiguration. So wurde „Mirai“ zu einer schlagkräftigen Bedrohung.

Nach mehreren Attacken auf den US-amerikanischen Journalisten und IT-Sicherheitsforscher Brian Krebs machte Mirai im Herbst durch einen Aufsehen erregenden Angriff auf den US-DNS-Provider DynDNS, in dessen Folge zahlreiche bekannte Websites zeitweise unerreichbar waren, Schlagzeilen. Später wurde mit Hilfe des Botnets eine Reihe von Telekom-Routern attackiert. Diese waren zwar nicht das eigentliche Ziel des Angriffs, wurden aber durch die Wucht der Attacke zum Absturz gebracht. Allein Fehler der Kriminellen verhinderten schlimmere Schäden.

Die Angriffe zeigen, dass es im Bereich der IT-Sicherheit weiterhin viel zu tun gibt. Hysterie ist fehl am Platze, aber in sinnvolle Forschungsarbeit und insbesondere in die Sensibilisierung und Schulung der Nutzer muss unbedingt weiterhin investiert werden.

Verschlüsselung ist auf dem Vormarsch

Ein weiteres großes netzpolitisches und technisches Thema war die Verschlüsselung oder auch Kryptographie. Hier gab es 2016 vor allem positive Entwicklungen zu vermelden. Zwar versuchten einige politische Hardliner nach wie vor, Verschlüsselung zu kriminalisieren oder als Werkzeug von Kriminellen, insbesondere Terroristen, zu diffamieren.

Diesen durchschaubaren Angriffen zum Trotz war 2016 jedoch ein hervorragendes Jahr für Verschlüsselung als wirksamstes Mittel zur digitalen Selbstverteidigung, zum Schutz der eigenen Kommunikation vor Angreifern und Überwachern jeder Art. In den letzten zwölf Monaten führten fast alle Anbieter populärer Instant Messenger, angefangen bei WhatsApp, eine standardmäßige Verschlüsselung ein (der Facebook Messenger ist ein etwas bedauerlicher Sonderfall, der eine Verschlüsselung zwar beherrscht, aber nur nach einem etwas komplizierten Eingreifen der Nutzer zur Verfügung stellt).

Spätestens jetzt ist Kryptographie kein Werkzeug für eine Handvoll von Profis und technisch versierten Nerds mehr, sondern etwas, das alle Menschen nutzen können, vielfach sogar, ohne sich dieser Tatsache bewusst zu sein. Und das ist uneingeschränkt zu begrüßen. Nur mit Hilfe von Verschlüsselung ist in diesen Zeiten eine private Kommunikation über digitale Wege zuverlässig möglich. Eine solche private Kommunikation aber sollte jedem offen stehen, egal, ob es sich bei dieser Person um jemanden mit technischem Wissen handelt oder nicht. Deswegen bieten die Entwicklungen in diesem Bereich Grund zu Freude und Zuversicht. Hoffentlich werden andere Dienste-Anbieter, beispielsweise E-Mail-Provider, im nächsten Jahr nachziehen.

Schwere Zeiten für Whistleblower

Nach wie vor problematisch ist die Situation für diejenigen, die ihre persönliche Freiheit und Sicherheit riskiert haben, um ihre Mitmenschen über Missstände zu informieren. Insbesondere für die US-Whistleblowerin Chelsea Manning, die 2010 zahlreiche Geheimdokumente an WikiLeaks weitergab, war es ein hartes Jahr. Schikanen im Gefängnis und die Weigerung, ihrer Transsexualität Rechnung zu tragen, trieben Manning schließlich in einen Suizid-Versuch. Später trat sie in einen Hungerstreik, um eine Verbesserung ihrer Haftbedingungen durchzusetzen. Damit hatte sie zumindest teilweise Erfolg, doch braucht sie weiterhin unbedingt unsere Solidarität und Unterstützung. Die US-Regierung versucht, an Manning ein Exempel zu statuieren, um andere Whistleblower abzuschrecken. Das dürfen wir, um Mannings wie um unserer Gesellschaft willen, nicht zulassen.

Etwas besser – da er immerhin in Freiheit, wenn auch im russischen Exil, lebt – geht es dem ehemaligen NSA-Mitarbeiter Edward Snowden. Der Whistleblower beteiligt sich engagiert an der öffentlichen Debatte über Netzpolitik, IT-Sicherheit und Transparenz. Allerdings bleibt auch seine Situation ungewiss.

Mut für die Zukunft

Netzpolitisch war 2016 ein Jahr mit Höhen und Tiefen. Auch wenn wir einige Rückschläge einstecken mussten, gab es doch auch einige ermutigende Erfolge. Gerade der Siegeszug flächendeckender Verschlüsselung, seit Jahren überfällig und nun auf dem besten Wege, Wirklichkeit zu werden, bietet Grund zum Optimismus. Somit können wir als Netzaktivisten durchaus mit Optimismus und Tatendrang ins nächste Jahr gehen – es gibt bestimmt noch viele Kämpfe auszufechten, aber zumindest einige davon können wir gewinnen.


Image (adapted) „Privacy“ by g4ll4is (CC BY-SA 2.0)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • SECURITY t3n: Sicherheitslücke: So einfach ist es, fremde Flüge umzubuchen: Der Buchungscode, den Fluggäste von ihrer Airline bekommen, wenn sie über das Internet einen Flug buchen, ist auch heute noch lediglich sechsstellig. Das stellt laut den Sicherheitsforschern Karsten Nohl und Nemanja Nikodijevic ein erhebliches Risiko dar. Ruft man die Website des entsprechenden Anbieters auf, braucht man nur den Nachnamen des Fluggastes eingeben. Den Buchungscode kann man durch automatisierte Anfragen leicht herauskriegen. Mit beiden Daten zusammen hat man Zugriff auf die gesamte Buchung und kann diese nach Belieben verändern. So ist es beispielsweise möglich, den Flug eines Fremden anzutreten und Vielflieger-Accounts zu einem fremden Ticket hinzuzufügen, um Meilen von Langstreckenflügen zu bekommen.

  • VERSCHLÜSSELUNG golem: Fristverlängerung zur Einführung sicherer App-Kommunikation: Für den Jahreswechsel war formal die verbindliche Einführung von App Transport Security (ATS) vorgesehen. Wie Apple in einer Entwicklermitteilung nun äußerte, wurde dieser Termin auf unbestimmte Zeit verschoben. Der Konzern will den Entwicklern damit mehr Zeit geben, sich auf die neuen Richtlinien einzustellen. Mit ATS wird verhindert, dass beispielsweise in offenen WLAN-Systemen der Netzwerkverkehr von einem weiteren Teilnehmer abgehört werden kann. Bislang wird ATS aber nur von fünf Prozent der „wichtigen“ iOS-Apps umgesetzt. Immerhin verwenden 45 Prozent der für Unternehmen relevanten Apps eine per HTTPS abgesicherte Kommunikation.

  • ASUS FAZ: Asus Zenbook 3 im Test: Der taiwanesische Hardwarehersteller Asus hat mit dem Zenbook 3 Apple den Kampf angesagt. Unschwer zu erkennen ist, dass mit dem schlanken Gerät das MacBook Pro aus dem Vorjahr angegriffen werden soll. Es gibt verblüffende Ähnlichkeiten, aber auch im Inneren kommt ähnliche Technik zum Einsatz. Laptops in dieser Größe mit wenig Gewicht sind ideal für Geschäftsreisende, die mit wenig Gepäck unterwegs sein wollen. Wer sich jedoch für das Zenbook 3 entscheidet, nimmt dafür auch typische Schwächen in Kauf. Laute Lüftung, zu wenige Anschlüsse, schlechte Display-Qualität und ungünstige Materialwahl, um nur ein Paar zu nennen.

  • TTIP heise: Industrie hofft auf TTIP-Comeback mit Trump: Auch, wenn der designierte US-Präsident Donald Trump als strikter Gegner des Freihandelsabkommens TTIP gilt, hofft die deutsche Industrie auf eine Einigung. Seit 2013 dauern die Verhandlungen der EU-Kommission mit den USA an. Industriepräsident Ulrich Grillo sagte dazu: „Amerika ist nicht autark. Deshalb bin ich optimistisch, dass Trump über kurz oder lang TTIP wieder aus der Schublade holt. Die EU-Kommission muss ihre Gesprächskanäle bei TTIP auf jeden Fall offen halten.“

  • GOOGLE GoogleWatchBlog: Chrome-Extension bringt aufgeräumtere Oberfläche für Clean Google Calendar: Gute Nachrichten für Anhänger des Google Kalenders: Google spendiert seinem Kalender ein neues Design. Über Jahre hat sich bei der Software so gut wie nichts getan, außer, dass vor einigen Jahren kleine Änderungen am Material Design vorgenommen wurden. In der neuen Oberfläche, die sich in Chrome als neuer Tab öffnet, werden überflüssige Teile weggelassen. Dadurch erscheint der Kalender insgesamt klarer und aufgeräumter. Die neu geschaffenen Buttons „NEW“ und „OPTIONS“ enthalten praktische Schnellzugriffe.

Weiterlesen »

Starke Kryptographie: Signal bekommt gute Noten

iphone-image-by-relexahotels-via-pixabay

Ein Experten-Team bewertete die Verschlüsselung des Krypto-Messengers „Signal”, programmiert von der Non-Profit-Softwareorganisation Open Whisper Systems (OWS), kürzlich als sehr gut. In einem umfassenden Forschungsbericht erklären sie, wie die OWS-Entwickler die Kommunikation ihrer Nutzer gegen unbefugte Zugriffe absichern. Zudem schützt OWS die Privatsphäre seiner Nutzer auch auf politischem und juristischem Wege. All das sind ausgezeichnete Nachrichten: in einer Welt zunehmender Überwachung steht Smartphone-Nutzern ein zuverlässiges Werkzeug zur Verfügung, sich dieser Überwachung (zumindest teilweise) zu entziehen.

Gute Noten für Verschlüsselungs-Technik

Signal, eine App, die verschlüsseltes Instant Messaging und die Verschlüsselung von SMS anbietet und für Android, iOS sowie mittlerweile auch für den Desktop zur Verfügung steht, wurde einem umfassenden Sicherheits-Audit unterzogen. Dieser wurde durchgeführt durch ein fünfköpfiges Team von Sicherheitsforschern aus Australien, Großbritannien und Kanada.

Ihre Forschungsergebnisse veröffentlichten die Experten in einem Bericht mit dem Titel „A Formal Security Analysis of the Signal Messaging Protocol“. Darin kommen sie zu dem Schluss, dass der Messenger eine gut durchdachte Sicherheits-Architektur aufweist, die auch im Falle einer Kompromittierung den Schaden wirksam begrenzt. Dadurch, dass Signal zu Beginn jeder Chat-Sitzung einmalige Schlüssel austausche, lasse sich nämlich auch nach einer Kompromittierung meist nur der Text dieser Sitzung, nicht aber der Inhalt älterer oder zukünftiger Chat-Konversationen, entschlüsseln. Sicherheitslücken oder Design-Fehler konnten die Forscher bei Signal keine entdecken.

Da es keine festgelegten Ziele gebe und Signal in vieler Hinsicht technisches Neuland betrete, sei es unmöglich, festzustellen, ob die App ihre Ziele erfülle, so die Forscher. Es lasse sich aber zusammenfassend sagen, dass Signal seinen Nutzern einen sehr zufriedenstellende Schutz biete. Sie fügen hinzu: „Wir haben keine bedeutenden Fehler im Design [des Messengers] entdeckt, was sehr ermutigend ist.“

Die Sicherheitsforscher ließen OWS einige Vorschläge zukommen, wie der Signal-Messenger mit vertretbarem Aufwand noch weiter verbessert werden kann. Diese betreffen unter anderem den Schlüssel-Austausch und die Absicherung des Protokolls gegen unzureichende oder kompromittierte Pseudo-Zufallszahlen (diese werden bei kryptographischen Protokollen zur Generierung der Schlüssel benutzt und meist über eine Software auf dem Gerät erzeugt).

Starke Kryptographie für Alle

Die beteiligten Wissenschaftler betonen, dass ihr Forschungsbericht nicht das letzte Wort zum Thema Signal sein sollte. Einige Punkte, wie etwa genutzte, nicht von OWS stammende Programm-Bibliotheken und Unterschiede in der Umsetzung des Protokolls zwischen Apps und Geräten, haben sie nicht analysiert. Dennoch lässt das Vertrauensvotum aus so berufenem Munde hoffen. Die auch von NSA-Whistleblower Edward Snowden empfohlene App scheint zu halten, was sie verspricht.

Das sind umso bessere Nachrichten, als dass das Signal-Protokoll mittlerweile auch Nutzern der Messenger WhatsApp und Facebook Messenger zur Verfügung steht (allerdings im Falle von Facebook nur, wenn der Nutzer dies ausdrücklich einstellt). Kryptographie ist derzeit eindeutig auf dem Weg in den Mainstream. Da ist es umso erfreulicher, wenn diese Kryptographie hohen Ansprüchen in Sachen Sicherheit genügt.

Kampf den Überwachern: Per App und vor Gericht

Ebenfalls positiv zu bewerten ist, dass OWS auch über die Entwicklung robuster Verschlüsselung hinaus die Sicherheit und Privatsphäre der Nutzer hoch hält. Das zeigt der Umgang des Non-Profit-Entwicklerstudios mit einer Anfang des Jahres erfolgten Anfrage der US-Behörden zur Herausgabe von Nutzerdaten. Die Behörden mussten schließlich unverrichteter Dinge wieder abziehen. Auch das ist ermutigend für Nutzer, die sich staatlicher Überwachung entziehen wollen.

Hoffnung für die digitale Zukunft

Verschlüsselung schützt nicht nur vor Online-Kriminalität, sondern auch vor staatlicher Kompetenzüberschreitung. Für Menschen in autoritären Regimes kann das im Ernstfall überlebenswichtig sein. Aber auch in demokratischen Staaten liegt in Sachen Überwachung vieles im Argen; Bündnis-Verpflichtungen und der Kampf gegen den (als Bedrohung maßlos aufgebauschten) Terrorismus sorgen für eine immer weitere Einschränkung individueller Rechte.

Stillschweigend oder durch hastig durchgewinkte Überwachungsgesetze legitimiert wird die private Kommunikation immer häufiger zum Schnüffeln freigegeben. In diesen Zeiten brauchen wir Verschlüsselung als wichtigstes Werkzeug der digitalen Selbstverteidigung. Umso wichtiger ist es, dass diese Verschlüsselung vernünftig durchdacht ist und stetig überprüft und verbessert wird. Die neuesten Nachrichten sind in diesem Kontext – man möge das Wortspiel verzeihen – ein sehr ermutigendes Signal.


Image „Iphone“ by relexahotels (CC0 Public Domain)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • APPLE t3n: Apples Airpods verzögern sich: Die Auslieferung von Apples neuen schnurlosen Kopfhörern Airpods wird laut eines Berichts von Techcrunch nicht mehr wie geplant im Oktober möglich sein. Apple teilte dem Webmagazin mit, dass die Ohrhörer noch etwas Zeit bräuchten. Wann sie auf den Markt kämen, ließ das Unternehmen offen und nannte auch keine Gründe. Auf der deutschen und englischsprachigen Website von Apple wird weiter ein Liefertermin im Oktober angegeben. Das Interesse an den Geräten soll einer Umfrage zufolge aber hoch sein.

  • GEHEIMDIENSTE golem: Snowden hält keine Verschlüsselung für absolut sicher: US-Whistleblower Edward Snowden hat Journalisten vor einem technischen Verschlüsselungswettlauf mit den Geheimdiensten gewarnt. „Ich kann Euch Tipps geben, Eure Kommunikation zu schützen. Aber Ihr lasst Euch dabei auf ein Wettrüsten ein, das Ihr einfach nicht gewinnen könnt“, sagte Snowden in einem Videointerview mit Investigativjournalisten bei der Süddeutschen Zeitung. Der Kampf um die Pressefreiheit müsse auf den Titelseiten ausgetragen werden. „Und er muss gewonnen werden, wenn Ihr in der Lage bleiben wollt, auf dieselbe Weise wie in früheren Jahrhunderten zu berichten“, fügte der frühere CIA- und NSA-Mitarbeiter hinzu.

  • SNAPCHAT handelsblatt: Snapchat plant den Börsengang: Snapchat, die App, die verschickte Fotos verschwinden lässt, ist ein Hit bei Jugendlichen und Mitzwanzigern. Wirtschaftlich will das dahinter stehende Start-up Snap künftig aber bei den ganz Großen mitspielen.Wie das „Wall Street Journal“ berichtete, plant das Unternehmen spätestens im März an die Börse zu gehen. Mit dem Gang aufs Parkett will Snap dem Bericht zufolge eine Bewertung von 25 Milliarden Dollar erreichen. Sprecher des Start-ups erklärten, sie wollten Gerüchte nicht kommentieren.

  • CYBER-ANGRIFF datenschutzbeauftragter-info: Von der Aufdeckung bis zur Aufklärung eines Delikts : Heutzutage steigt die Anzahl an Unternehmen, die von Cyber-Angriffen betroffen sind. Auch in den Medien wird das Thema immer präsenter. Laut dem Bundeskriminalamt Wiesbaden wird das Gefährdungs- und Schadenspotenzial ausgehend von Cybercrime auch in Zukunft weiterhin steigen. Vielen Unternehmen ist nicht bewusst, dass allein schon die Aufdeckung einer solchen Tat sehr lange dauern kann. Dadurch bleibt dem Täter eine Menge Zeit Schaden anzurichten. Die Aufdeckungsdauer variiert sehr stark und ist von mehreren Faktoren abhängig. Eine große Rolle spielen hierbei die Art des Angriffs und die internen Sicherheitsmaßnahmen eines Unternehmens zur Aufdeckung von Cyber-Attacken. Laut der M-Trends Studie 2016 dauert es circa fünf Monate bis eine solche Tat aufgedeckt wird.

  • INTERNET heise: EU-Parlament beschließt Richtlinie für barrierefreies Web: Das EU-Parlament hat am Mittwoch für einen Richtlinienentwurf gestimmt, wonach vor allem blinde, gehörlose und schwerhörige Menschen barrierefrei auf Webseiten und Apps des öffentlichen Sektors zugreifen können sollen. Behörden, Krankenhäuser, Gerichte, Universitäten, Bibliotheken oder andere öffentliche Stellen müssen es demnach den rund 80 Millionen Behinderten in Europa sowie älteren Menschen einfacher machen, ihre Web-Dienste und mobilen Anwendungen zu nutzen.

Weiterlesen »

Superschnelle „Quantencomputer“ – Das Ende der sicheren Verschlüsselung?

Coding (image by negativespace.co [CC0 Public Domain] via Pexels

Es bahnt sich eine Computer-Revolution an, auch wenn niemand weiß, wann sie genau stattfinden wird. Was als „Quantencomputer“ bekannt ist, wird wesentlich leistungsfähiger sein als die Geräte, die wir heute benutzen. Diese Maschinen werden in der Lage sein, viele Arten der Berechnung vorzunehmen, die auf modernen Geräten unmöglich sind. Aber während schnellere Computer in der Regel mit Freuden erwartet werden, gibt es einige Rechenoperationen, bei denen wir uns darauf verlassen, dass sie nur mühsam (oder langsam) ausgeführt werden.

Im Besonderen vertrauen wir darauf, dass es einige Codes gibt, die Computer nicht knacken können – oder zumindest würde es zu lange dauern, sie zu knacken, um uns von Nutzen zu sein. Verschlüsselungsalgorithmen bringen Daten in eine Form, die sie für jeden unbrauchbar machen, der nicht den entsprechenden Codes zur Entschlüsselung besitzt – in der Regel sind dies lange Abfolgen von zufälligen Zahlen. Mit deren Hilfe können wir Informationen sicher über das Internet versenden. Aber könnten Quantencomputer dazu führen, dass wir nicht länger Verschlüsselungstechniken entwickeln können, die nicht geknackt werden können?

Für ein System, bekannt als symmetrische Verschlüsselung, stellen Quantencomputer keine besonders große Bedrohung dar. Um eine symmetrische Verschlüsselung zu brechen, muss man herausfinden, welcher von vielen möglichen Schlüsseln benutzt wurde. Alle denkbaren Kombinationen auszuprobieren, würde eine unvorstellbare Menge Zeit kosten. Es zeigt sich, dass Quantencomputer all diese Schlüssel in einem Viertel der Zeit testen könnten, die von heutigen Computern benötigt wird – oder anders gesagt, in etwas weniger Zeit, aber nicht so dramatisch viel, als dass dies uns Kopfzerbrechen bereiten müsste.

Für einen anderen Typ der Verschlüsselung hingegen, die asymmetrische oder Public-Key-Verschlüsselung, sieht es nicht so gut aus. Public-Key-Systeme werden benutzt, um beispielsweise die Daten zu sichern, die durch unseren Webbrowser geschickt werden. Diese verschlüsseln Daten, indem sie einen Schlüssel nutzen, der für jeden verfügbar ist, aber zur Entschlüsselung einen anderen, persönlichen Schlüssel benötigt.

Der persönliche Schlüssel ist mit dem Public Key verwandt, also muss man zur Entschlüsselung eine sehr komplizierte Berechnung durchführen, um den persönlichen Schlüssel zu erhalten. Einen herkömmlichen Computer würde dies eine enorme Menge Zeit kosten. Aber was die beiden am weitesten verbreiteten Arten der Public-Key-Verschlüsselung betrifft, die heute Verwendung finden, wäre ein Quantencomputer in der Lage, die Berechnungen schnell genug durchzuführen, um sie fast völlig unsicher werden zu lassen.

Glücklicherweise haben wir dieses drohende Desaster bereits vorausgesehen. Forscher aus Hochschulen, Regierungen und der Industrie arbeiten im Moment hart daran, neue Public-Key-Verschlüsselungstechniken zu entwickeln, welche auf anderen, schwierigeren Berechnungen beruhen, welche gegen die Rechenleistung der Quantencomputer immun sind. Ich bin sicher, dass diese Bemühungen erfolgreich sein werden – insbesondere, da wir bereits einige Verfahren kennen, die zu funktionieren scheinen. Wenn die Zeit der Quantencomputer kommt, werden wir bereit sein.

Quantencomputer stehen für eine neue Arbeitsumgebung, in der viele fantastische Dinge möglich sein werden. Aber wenn es um Verschlüsselung geht, wird sich nicht viel verändern. Die Entwicklung neuer Verschlüsselungstechniken wird keine ungewöhnliche Quantenspielerei benötigen, sondern lediglich ein Bewusstsein dafür, was mit Quantencomputern alles möglich ist. Wahrscheinlich wird es auch eine lange Übergangsphase geben, in der sie nur einigen spezialisierten Organisationen zur Verfügung stehen. Das bedeutet, dass quantensichere Verschlüsselungstechniken auf den zeitgenössischen Computern funktionieren müssen, die der Rest von uns weiter benutzen wird.

Neues Schloss, neues Haus

Ich vermute, dass wir in einer zukünftigen Welt der Quantencomputer sicherlich neue Verschlüsselungstechniken nutzen werden, aber dass die Sicherheit dieser Methoden weitestgehend mit der heutigen Sicherheit vergleichbar sein wird. Der Hauptgrund, warum ich mit dessen sicher bin, liegt darin, dass die Schwachstellen, die mit Verschlüsselung in Verbindung gebracht werden, höchstwahrscheinlich dieselben sein werden wie heute. Der Grund dafür ist folgender:

Verschlüsselung ist im Kern ein Verriegelungsmechanismus. Ein Schloss benötigt einen Schlüssel. Wenn Sie das beste Schloss, das für Geld zu haben ist, an der Tür eines Hauses anbringen, können Sie sicher sein, dass das Schloss selbst nicht aufgebrochen werden wird. Quantencomputer stehen für eine neue Art von Haus, quantensichere Verschlüsselung für eine neue Art Schloss, die zu diesem Haus passt.

Aber wenn jemand in Ihr Haus einbrechen will, und er weiß, dass das Schloss gut ist, wird er nicht versuchen, das Schloss überhaupt aufzubrechen. Stattdessen wird er nach anderen Möglichkeiten suchen. Beispielsweise könnte er den Schlüssel stehlen oder einen Ziegelstein durch das Fenster werfen. Allgemein gesagt ist das genau das, was heute bei den meisten Sicherheitsvorfällen im Internet geschieht. Moderne Verschlüsselung ist hervorragend, aber wir sind weniger kompetent, wenn es um den Schutz der Schlüssel zur Entschlüsselung geht, und noch schlechter beim angemessenen Integrieren von Verschlüsselung in größere Systeme. Ich glaube nicht, dass sich das in einer Welt der Quantencomputer, wie wunderbar sie auch immer sein mag, ändern wird – wann auch immer das sein wird.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image „Coding“ by negativespace.co (CC0 Public Domain)


Weiterlesen »

Facebook Messenger: Verschlüsselung, aber leider nicht als Standard

Facebook messenger portable (adapted) (Image by downloadsource.fr [CC BY 2.0] via Flickr)

Nachdem Verschlüsselung zunehmend zum Standard bei Instant Messengern wird, hat auch Facebook nachgezogen. Seit kurzem können die Nutzer von Facebooks Chat-App verschlüsselt kommunizieren. Die Verschlüsselung als solche basiert auf dem Signal-Protokoll und ist somit durchaus überzeugend umgesetzt. Allerdings muss sie für jede Konversation einzeln aktiviert werden. Diese Design-Entscheidung ist fragwürdig und hat womöglich negative Konsequenzen. Verschlüsselung sollte zum Standard in der digitalen Kommunikation werden, doch Facebook versäumt es, diesen Schritt zu machen.

Facebook Messenger führt Verschlüsselung ein

Bereits im Juli hatte Facebook angekündigt, seine Chat-Funktion – auch als Facebook Messenger bekannt und auf Mobilgeräten durch eine eigene App realisiert – mit einem Verschlüsselungs-Feature auszustatten. Bis alle Benutzer dieses Feature tatsächlich zur Verfügung gestellt bekamen, dauerte es dann allerdings noch eine Weile. Mittlerweile ist es aber soweit: Auch per Facebook-Messenger lassen sich nun verschlüsselte Konversationen führen.

Verschlüsselung auf dem Weg in den Mainstream

Facebook reagiert mit seiner Entscheidung wahrscheinlich auf die sich verändernde Marktsituation der letzten Jahre. Im Umfeld des NSA-Skandals erkennen immer mehr Menschen, wie gefährdet ihre Privatsphäre gerade bei der Nutzung von Telekommunikation ist. In der Folge erlebt die Nutzung von Verschlüsselung einen langsamen, aber stetigen Aufschwung. Mittlerweile sind fast alle bedeutenden Instant Messenger verschlüsselt. Auch der extrem beliebte – und mittlerweile selbst zu Facebook gehörende – Smartphone-Messenger WhatsApp führte bereits im April die standardmäßige Verschlüsselung seiner Chats ein. Dem konnte sich Facebook nun wohl nicht mehr entziehen. Das ist nicht verwunderlich, insbesondere, da in den letzten Monaten von Sicherheitsexperten immer wieder kritisiert wurde, dass Facebook nach wie vor kein überzeugendes Sicherheitskonzept bot.

Sichere Verschlüsselung, fragwürdige Umsetzung

Die Verschlüsselung der Chats im Facebook-Messenger funktioniert (wie auch bei WhatsApp) nach dem von Open Whisper Systems entwickelten Signal-Protokoll. Diese Verschlüsselung wird von Experten als äußerst durchdacht und zuverlässig eingestuft. Allerdings gibt es dennoch einige Probleme mit Facebooks Umsetzung der Verschlüsselung (von der Tatsache, dass Facebook eine Datenkrake ist und in großem Umfang das soziale Umfeld und das eigene Nutzerverhalten analysiert, einmal abgesehen). Wer nämlich im Facebook-Messenger verschlüsselt chatten will, muss die Verschlüsselung zunächst für jede Konversation eigens aktivieren. Das ist eine fragwürdige Design-Entscheidung. In der Praxis tun sich hier einige Probleme auf, die verhindern, dass der Facebook Messenger zur ersten Wahl für sicherheitsbewusste Nutzer wird.

Wer nichts zu verbergen hat…

Das erste Problem, das der Aufbau des Facebook Messenger aufwirft, ist politischer Natur. Wenn eine Verschlüsselung erst aktiviert werden muss, muss der Benutzer dazu das Bewusstsein haben, dass seine Privatsphäre gefährdet ist und eine Verschlüsselung diese Gefährdung minimiert. Allerdings verdienen auch Nutzer mit weniger technischem und politischem Know-How, dass ihre Privatsphäre geschützt wird. Datenschutz ist ein Menschenrecht. Dienstleister sollten alles dafür tun, dass alle ihre Kunden dieses Recht auch wahrnehmen können. Sind alle Daten verschlüsselt, fällt es den Überwachern zudem weitaus schwerer, tatsächlich vertrauliche Gespräche zu erkennen und gezielt anzugreifen. Bislang ist beispielsweise die Nutzung verschlüsselter E-Mails für die NSA ein Grund, diese E-Mails (auf unbegrenzte Zeit) zu archivieren. Sind alle Konversationen standardmäßig verschlüsselt, fällt diese Möglichkeit weg. Wichtiges ist von unwichtigem nicht äußerlich zu unterscheiden und der gesamte verschlüsselte Datenberg auch mit Geheimdienst-Mitteln nicht zu entschlüsseln. Zudem ist problematisch, dass die bewusste Entscheidung, eine Verschlüsselung zu verwenden, den Benutzern mit mehr Datenschutz-Bewusstsein womöglich negativ ausgelegt werden könnte. In Zeiten, in denen trotz des steigenden Datenschutz-Bewusstseins auch vieler „Normalos“ immer wieder versucht wird, die Nutzung von Verschlüsselung zu kriminalisieren oder als Verhaltensweise von Terroristen und anderen Kriminellen zu diskreditieren, ist das ein unnötiger Angriffspunkt. Würde die Verschlüsselung standardmäßig für alle Nutzer aktiviert, läge die Verantwortlichkeit allein bei Facebook – das eventuelle Angriffe, seien sie rhetorisch oder juristisch, wohl als Großkonzern weitaus besser verkraften kann.

Der menschliche Faktor

Auch rein praktisch gibt Facebooks Design-Entscheidung zur Kritik Anlass. Selbst wenn die verwendete Technik einen überzeugenden Sicherheitsstandard bietet, ist jedes Sicherheitssystem bekanntermaßen nur so gut wie die Menschen, die es benutzen. Geschichtsinteressierte kennen womöglich die Geschichte der (technisch überlegenen) deutschen Enigma, die von den Briten zeitweise vor allem deswegen entschlüsselt werden konnte, weil deutsche Funker immer wiederkehrende Floskeln (unter anderem „Heil Hitler“) benutzten. Auch in der Jetztzeit gibt es immer wieder Berichte über Fälle, in denen durch fahrlässiges Verhalten oder schlichten Irrtum Sicherheitssysteme kompromittiert wurden und sensible Daten in die unbefugte Hände gelangten. Ein gutes Sicherheitssystem muss daher nicht nur technisch überzeugen, es muss auch möglichst wenig Möglichkeiten für fatale Benutzerfehler bieten. In dieser Hinsicht ist der Facebook Messenger der Konkurrenz deutlich unterlegen: Wenn eine Verschlüsselung erst aktiviert werden muss, kann sie im entscheidenden Moment vergessen werden. Wird sie immer ganz automatisch verwendet, werden alle Konversationen gleichermaßen abgesichert und so dafür gesorgt, dass in jedem Fall auch die tatsächlich vertraulichen Gespräche sicher sind.

Licht und Schatten

Grundsätzlich ist Facebooks Entscheidung, in Sachen Verschlüsselung nachzurüsten, natürlich uneingeschränkt begrüßenswert. Ebenso ist es löblich, dass mit dem Signal-Protokoll eine bekanntermaßen gut durchdachte Technologie gewählt wurde. Durch den Verzicht auf eine standardmäßige Verschlüsselung aller Kommunikationsvorgänge wurde allerdings die Chance verschenkt, diesen Schritt zu einem wirklich großen zu machen. Es bleibt allerdings zu hoffen, dass hier zukünftig noch nachgebessert wird.


Image (adapted) „facebook messenger portable“ by downloadsource.fr (CC BY 2.0)


Weiterlesen »

FollowUs – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • TWITTER recode: Twitter is talking to the NBA, MLS and Turner to buy rights to more sports streams: Twitter konzentriert sich immer mehr auf Sportstreaming. Vor zwei Monaten sicherte sich das Unternehmen die weltweiten Rechte für das Streaming von Spielen der National Football League. Doch Twitter hat noch nicht genug. Das Angebot soll mit zwei anderen US-Profiligen erweitert werden. Mit Basektball (NBA) und Fußball (MLS) könnte Twitter in Zukunft einige Nutzer dazu gewinnen. Sicher ist allerdings noch nichts, die Verhandlungen haben erst begonnen.
  • FACEBOOK sueddeutsche: Facebook ist das neue Fernsehen – und macht uns zu Analphabeten: „Noch alarmierender ist eine andere Entwicklung: Nachdem Print-Journalismus an Bedeutung verloren hat, ist das Internet der letzte öffentliche Raum, in dem das Wort im Vordergrund steht – und ausgerechnet das Netz kapituliert gerade vor dem Format des Fernsehens. Das Verständnis des „Streams“, wie es Facebook, Twitter & Co. pflegen, tötet das Netz und damit den Journalismus in Textform. Facebook ähnelt mittlerweile eher der Zukunft des Fernsehens als dem, wonach das Internet mehr als zwei Jahrzehnte aussah.“
  • TESLA reuters: Musk hints at top secret Tesla masterplan: tweet: Die letzte Woche war für Tesla und seinen Gründer Elon Musk nicht leicht. Eine Testfahrt mit Autopilot endet für einen Mitarbeiter tödlich. Angeblich soll der Unfall allerdings passiert sein, als der Autopiloten gar nicht eingeschaltet war. Das teilte das Unternehmen diese Woche mit. Elon Musk möchte den Medienauftritt von Tesla nun wieder auf die Technik konzentrieren. Dieser kündigte am Sonntag einen Masterplan auf Twitter an, den er noch Ende der Woche öffentlich machen wolle.
  • Apps thenextweb: Be careful out there: Armed robbers used Pokémon Go to lure victims: Innerhalb von Tagen ist es eine der erfolgreichsten Apps der Welt. Es ist eine App, die von einer GameBoy-Spiele-Serie inspiriert ist, die Ende der Neunziger ihren Weg aus Japan in den Westen gefunden hat – Pokémon. Schnell nahmen die Spiele einen enormen Stellenwert für die Jahrgänge der späten 80er und frühen 90er ein. Mit der neuen Smartphone-App lässt sich die Suche nach den Pokémon mit der realen Welt verbinden. Doch schon jetzt gibt es negative Erlebnisse. Kriminelle nutzen Orte aus, an denen Nutzer von Pokémon-GO sich in der realen Welt treffen, um Items zu besorgen. An diesen Orten wurde von von Diebstählen und Raubüberfällen berichtet.
  • VERSCHLÜSSELUNG wired: ‘Secret Conversations:’ End-to-End Encryption Comes to Facebook Messenger: Nachdem vor kurzer Zeit bei Whatsapp die End-to-End Verschlüsselung in Chats eingefügt wurde, um die Kommunikation in der Messenger-App sicherer zu machen, soll die gleiche Technik nun auch beim Facebook Messenger eingesetzt werden. Im späten Sommer oder frühen Herbst ist das Update für den Messenger geplant.
Weiterlesen »

Soeben gelandet – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me

  • TTIP sueddeutsche: Wie TTIP zum Schlachtfeld im Krypto-Krieg wurde: Das Freihandelsabkommen „TTIP“, das zwischen USA und Europa verhandelt wird, ist bei europäischen Bürgern hochumstritten. Jetzt sorgt ein neues Thema für Furore bei den Regierungsmitgliedern der EU-Staaten. Die USA fordert eine standardmäßige Verschlüsselungssofware in elektronischen Geräte,die eine Überwachung leichter machen soll. Politiker sind empört. Überwachung sei ein nationales Thema und ein Bürger dürfe nicht so behandelt werden.

  • WHATSAPP mashable: WhatsApp is back online in Brazil after 24-hour ban: Der Messenger Whatsapp wurde am Montag in Brasilien geblockt – schon wieder. Diesmal dauerte die Sperrung 24 Stunden. Whatsapp wird vorgeworfen Daten und Chatverläufe der User zu sichern. Gründer Jan Koum weißt diese Beschuldigung zurück. Laut Facebook benutzen rund 100 Millionen Menschen den Messenger in Brasilien. Während der Abschaltung von Whatsapp konnten die SMS-Dienste die Masse an Nachrichten nicht stemmen.

  • SMARTPHONE faz: Sony ist das Smartphone nicht genug: Das Smartphone hat die Ära der klassischen Mobiltelefone so gut wie beendet. Doch was wird nach dem Smartphone kommen? Mit dieser Frage haben sich einige Mitarbeiter von Sony befasst und mehrere Prototypen entwickelt, die in Zukunft unsere Kommunikation mit dem Smartphone erleichtern sollen, oder das Smartphone ersetzen.

  • SELF-DRIVING-CAR gruenderszene: Google und Fiat Chrysler bauen gemeinsam selbstfahrende Autos: Google startet Partnerschaft mit dem Autokonzern FIAT Chrysler. Grund ist die Produktion von selbstfahrenden Autos. FIAT soll bei der Entwicklung von bis zu 100 Prototypen helfen, die noch dieses Jahr getestet werden sollen.

  • GADGETS digitaltrends: What’s the most influential gadget ever? According to Time, it starts with an “i”: Ist das iPhone das einflussreichste Gadget aller Zeiten? Laut der Time, ist die Antwort „ja“. 50 Gadgets wurden in eine Liste gepackt, die zum Teil eine wunderbare Reise in die Vergangenheit bietet.

Weiterlesen »

US-Gesetzesentwurf will Verschlüsselung kriminalisieren

Vorhängeschloss (image by KRiemer (CC0 Public Domain) via Pixabay)

Vor Kurzem wurde ein Gesetzesentwurf der einflussreichen US-Senatoren Richard Burr (Republikaner, North Carolina) und Dianne Feinstein (Demokraten, Kalifornien) geleakt. Der Entwurf würde wirksame Verschlüsselung kriminalisieren. IT-Produkte müssten entweder von vorne herein unsicher sein oder aber Hintertüren eingebaut bekommen. Solche Ideen sind aus vielen verschiedenen Gründen gefährlich und destruktiv.

Ein Gesetzesentwurf gegen effektive Verschlüsselung

Der neunseitige Gesetzesentwurf trägt den Titel Compliance with Court Orders Act of 2016. Die beiden verantwortlichen Senatoren, Richard Burr und Dianne Feinstein, sind nicht nur einflussreiche Netzpolitiker, sondern auch Vorsitzende des Geheimdienst-Ausschusses des US-Senats. Zwar erhielt der Entwurf bislang keine große Unterstützung – das Weiße Haus kündigte an, ihn in seiner aktuellen Form nicht vorantreiben zu wollen. Das könnte sich jedoch, entweder mit der Wahl des nächsten US-Präsidenten im Herbst oder durch andere politische Ereignisse durchaus ändern. Burr und Feinstein sind durchaus in der Lage, einiges politische Gewicht in die Waagschale zu werfen.

Wie der Name des Gesetzesentwurfs schon andeutet, wird darin von allen Menschen verlangt, einer gerichtlichen Anordnung zur Vorlage von Daten nachzukommen – und zwar in „lesbarer Form“. Wenn die Daten nicht lesbar sind, da sie verschlüsselt wurden, müssen sie für das Gericht lesbar gemacht werden. Das würde einerseits gegenüber den Urhebern der verschlüsselten Daten gelten (ähnlich dem britischen Regulation of Investigatory Powers Act, der eine Haftstrafe vorsieht, falls Verdächtige auf Aufforderung der Behörden ihre Daten nicht entschlüsseln). Andererseits soll diese Pflicht laut Gesetzesentwurf aber auch für Telekommunikations-Dienstleister gelten. Auch diese müssten also auf Aufforderung der Behörden hin die Daten ihrer Kunden im Klartext vorlegen. Das ist allerdings bei einer Ende-zu-Ende-Verschlüsselung, wie sie unter anderem beim Smartphone-Messenger WhatsApp seit Kurzem zum Einsatz kommt, technisch zunächst einmal nicht möglich. Eine solche Verschlüsselung wäre also zukünftig illegal.

Mangelnde Sicherheit oder Sicherheit mit Hintertüren

Der Einbau von Hintertüren in verschlüsselte Speicher- und Kommunikationsdienste ist in dem Gesetzesentwurf nicht explizit vorgeschrieben. Um den Vorgaben des Entwurfs gerecht zu werden, muss eine Verschlüsselung jedoch entweder ganz unterbleiben, sie muss von Anfang an unsicher umgesetzt sein (indem beispielsweise nur auf dem Transportweg verschlüsselt wird) oder es müssen Hintertüren eingebaut werden.

Jede dieser „Lösungen“ ist gefährlich und kontraproduktiv. Das fängt bereits beim Schutz gegen IT-Kriminalität an. Es ist keine Neuigkeit, dass Verbrecher versuchen, persönliche Daten mitzulesen – seien es Banking-Daten, persönliche Informationen für spätere Betrugsversuche oder sensible Geschäfts-Informationen wie Kundendaten, Strategiepapiere und Konstruktionspläne. Sobald diese Daten auf elektronischem Wege übermittelt oder gespeichert werden, müssen sie daher vor unbefugten Zugriffen geschützt werden. Eine starke, lückenlos umgesetzte Verschlüsselung ist dabei unverzichtbar. Nicht nur eine Schwächung von Verschlüsselung oder ein kompletter Verzicht auf diese wäre das Ende jedes tragfähigen Sicherheitskonzepts. Auch der Einbau von Hintertüren ist gefährlich, denn diese könnten von Kriminellen entdeckt und ausgenutzt werden. Was das angeht, sind sich IT-Sicherheitsexperten weitgehend einig. Sobald eine Software eine Schwachstelle hat, besteht das Risiko, dass diese auch von Unbefugten ausgenutzt wird.

Unangebrachtes Vertrauen in die Behörden

Hinzu kommt auch das Risiko des Missbrauchs durch die Behörden selbst. Nachdem die NSA, der britische Geheimdienst GCHQ und ihre Verbündeten jahrelang unbemerkt (bis zu den Enthüllungen Edward Snowdens) in beinahe unvorstellbarem Ausmaß Menschen in aller Welt überwacht haben, wäre es mehr als fahrlässig, ihnen einen Generalschlüssel für durch Kryptographie geschützte Kommunikation in die Hand zu geben und vorauszusetzen, dass sie mit diesem verantwortungsbewusst umgehen. Zumal eine Kontrolle dieser Behörden durch Dritte in der aktuellen Struktur so gut wie nicht vorgesehen ist (und die Herrschaften vom Geheimdienst-Ausschuss, wie der aktuelle Gesetzesentwurf zeigt, offensichtlich mehr damit beschäftigt sind, die Befugnisse der Schlapphüte noch weiter auszudehnen, als diesen kritisch auf die Finger zu schauen). Datenschutz ist ein Menschenrecht, das sorgfältig geschützt werden muss. Dafür brauchen wir Verschlüsselung – und gerade jetzt brauchen wir sie zu dringend, um sie durch unangebrachtes Vertrauen in eine vermeintliche „Trusted Third Party“ zu gefährden.

Fragwürdiger Sicherheitsgewinn

Last but not least wäre auch der Sicherheitsgewinn durch ein solches Gesetz eher zweifelhaft. Auch wenn dies von einschlägiger Seite gerne behauptet wird, wurden beispielsweise die Terroranschläge von Paris nicht mit Hilfe verschlüsselter Kommunikation geplant. Kriminelle, das lehrt die Erfahrung, finden Mittel und Wege, solche Gesetze zu umgehen, indem sie entweder auf kleinere, nicht unbedingt legale Dienste oder schlicht auf alternative Kommunikationsmittel ausweichen. Somit ist dieser Gesetzesentwurf völlig unverhältnismäßig – er bringt wenig, verursacht aber große Risiken und Nachteile für Unternehmen ebenso wie für Privatpersonen.

Kein Grund zur Sorglosigkeit

Derzeit hat der Gesetzesentwurf, wie bereits ausgeführt, noch keine große politische Unterstützung. Dagegen kommt von Datenschützern und IT-Experten einstimmige und laute Kritik. Zudem dürfte sich die Umsetzung eines solchen Gesetzes in einer Zeit, in der selbst WhatsApp das Thema Datenschutz und Verschlüsselung für sich entdeckt hat, schwierig gestalten. All das ist aber kein Grund, allzu sorglos zu werden. Solche vermeintlich wilden Ideen haben häufig die Tendenz, wieder aufzutauchen – sei es in leicht abgeschwächter, aber noch immer schädlicher Form, im politisch günstigen Moment oder als Teil irgendeines politischen Kuhhandels. Verschlüsselung ist eine zu wichtige Technologie für die Informationsgesellschaft, um sie in dieser Form vom Gesetzgeber einschränken zu lassen. Hoffen wir, dass das auch die US-Bevölkerung weiß – und unterstützen wir die dortigen Aktivisten nach Kräften, denn erfahrungsgemäß hat alles, was in Amerika passiert, gerade in der IT-Welt, auch Auswirkungen auf Europa.


Image „Vorhängeschloss“ by KRiemer (CC0 Public Domain)


Weiterlesen »

Soeben gelandet – Die Netzpiloten-Tipps aus Blogs & Mags

Follow me
  • Facebook t3n: Facebook öffnet Instant Articles für alle – und so legst du sie an: Instant Articles sollen besonders zwei Vorteile für Unternehmen haben, die herausstechen. Zum einem werden ihre Artikel in Sekunden aufrufbar sein, sodass potentielle Leser nicht beim Laden der Internetseite die Geduld verlieren. Zum Anderen wird es ihnen möglich sein, auch über Instant Articles ihren Inhalt mit Werbung zu vermarkten ohne Provision abzugeben. Außerdem soll es gar nicht so schwer sein, die eigene Seite auf Instant Articles einzurichten, entweder geht es über ein WordPress Plugin oder kann manuell eingefügt werden.
  • WHATSAPP Heise: EFF würdigt WhatsApp-Verschlüsselung: Wie sicher ist die neue Verschlüsselung von Whatsapp? In die Topliste der Krypto-Messenger hat sie es bereits geschafft, aber die volle Punktzahl der sieben Kriterien konnte sie nicht erreichen. Der Punkt Open Source wird nicht erfüllt und somit sind andere Anbieter wie Telegram mit ihrer Verschlüsselung noch immer dem Nachrichtendienst Whatsapp voraus.
  • LIVESTREAM TNW: Watch a cancer operation live in virtual reality this week: Operationen live im Internet anschauen als Virtual-Stream? Ein Krankenhaus in Großbritannien macht es möglich. Die Operation wird am 14. April live gefilmt und kann über die Internetseite oder einem Google Cardboard verfolgt werden. Durch Virtual Reality erhält der Betrachter den Eindruck selbst mitten im Raum zustehen. Als Bildung für angehende Ärzte ist der Livestream ein Fortschritt Aber wie werden andere darauf reagieren, bleibt abzuwarten.
  • SCORP Gründerszene: Das Video-Reddit aus der Türkei: Seit Februar ist Scorp auch auf dem deutschen Markt erhältlich. Die Video-App wurde von zwei Studenten aus der Türkei gegründet und befasst sich ausschließlich mit dem Teilen von 15 Sekunden langen Videos. Finanzieren tut sich die App über Native Advertising und über ein Angel-Investment. Schon jetzt hat diese neue Plattform eine beträchtliche Fanbase in der Türkei, aber wie wird die App in Deutschland oder in den US ankommen?
  • RUNDFUNK n24: Beim Rundfunkbeitrag steht nur eines fest: Der Rundfunkbeitrag ist eine heikle Angelegenheit bei den Bürgern. Nicht jeder ist mehr im Besitz eines Kabelfernsehers oder eines Radios. Dementsprechend weigern sich viele den Rundfunkbeitrag, der nun auch Pflicht ist, zu zahlen. Das führte zu mehreren gerichtlichen Vorfällen, die nicht zu Gunsten der Bürger ausfielen. Zukünftige Weigerungen der Zahlung des Beitrages würde dazu führen, dass der Rundfunkbeitrag weiter ansteigt.

Image by chalabala / 123RF Lizenzfreie Bilder


Weiterlesen »

Der Staatstrojaner als Kommunikations-Überwachung

Troians keep out! (adapted) (Image by Martin aka Maha [CC BY-SA 2.0] via Flickr)

Wie in Deutschland soll auch im Nachbarland Österreich zukünftig ein Staatstrojaner eingesetzt werden. Die Verantwortlichen bestreiten allerdings, dass es sich dabei um eine regelrechte Überwachungssoftware handelt. Die Begründung: die Software soll lediglich zum Mithören verschlüsselter Kommunikation auf dem Rechner benutzt werden. Doch auch diese in Deutschland als Quellen-Telekommunikationsüberwachung bezeichnete Maßnahme ist hochproblematisch und bietet großes Potential für Fehler und Missbrauch.

Auch die Österreicher setzen auf den Staatstrojaner

In Deutschland ist die Diskussion um den sogenannten Bundestrojaner schon seit Jahren immer wieder aktuell. Nach dem Skandal um die früher verwendete unsichere und verfassungswidrige gekaufte Software wurde das Bundeskriminalamt (BKA) verpflichtet, eine eigene Software zu entwickeln. Das scheint ihnen nun gelungen zu sein, auch wenn die Experten nach wie vor skeptisch sind, ob die Neuentwicklung alle Vorgaben des Gerichts erfüllt.

Nun wollen auch unsere österreichischen Nachbarn nachziehen: Durch eine Gesetzesänderung dürfen Ermittler in Österreich verschlüsselte Kommunikation mit der vom Staat gekauften Spionagesoftware überwachen. Anlass für die erneute Diskussion dieser Maßnahme ist – wenig überraschend – der jüngste Terror in Brüssel. Immer wieder geben ja Terroranschläge Anlass zu einer Verschärfung von Überwachungsgesetzen, auch wenn bestenfalls unklar ist, ob diese tatsächlich zukünftige Terroranschläge effektiv verhindern kann.

Keine Online-Durchsuchung

Eine regelrechte Online-Durchsuchung, also das Auslesen von auf dem Computer gespeicherten Dateien mit Hilfe der Überwachungssoftware, planen die Ermittler derzeit nicht. Vielmehr soll es sich um eine Überwachung von verschlüsselter Kommunikation direkt an der Quelle handeln. Wie das österreichische IT-Newsportal Futurezone, dem der Gesetzesentwurf nach eigenen Angaben vorliegt, berichtet, ist darin wörtlich von der “Überwachung von Nachrichten und von Personen sowie Überwachung von Nachrichten, die im Wege eines Computersystems übermittelt werden” die Rede.

Trotz allem problematisch

Vorweg: dadurch, dass die Online-Durchsuchung (oder wie hier die Quellen-Telekommunikationsüberwachung) nur gegen Verdächtige eingesetzt wird, ist sie in gewisser Weise weniger problematisch als verdachtsunabhängige Maßnahmen wie etwa die Vorratsdatenspeicherung, flächendeckende Kameraüberwachung oder die Datenabfrage ganzer Mobilfunk-Zellen. Dennoch bringt auch diese Maßnahme ein erhebliches Missbrauchspotential mit sich, die dem aktuellen Gesetzesentwürfen nicht angemessen Rechnung tragen.

Das gilt auch, wenn statt des Zugriffs auf Dateien “nur” eine verschlüsselte Kommunikation überwacht wird. Sobald der “Staatstrojaner” erst einmal auf dem Rechner ist, kann schwer kontrolliert werden, was damit passiert.

Da ist zunächst einmal der technische IT-Sicherheitsaspekt. Viele in der Vergangenheit verwendete Varianten von Überwachungssoftware waren mangelhaft programmiert und rissen Löcher in das System. Durch diese können dann IT-Kriminelle eindringen und den Betroffenen schädigen, oder aber für verdächtiges Verhalten sorgen mit dem womöglich der Betroffene angelastet wird. In ähnlicher Weise konnte bei einigen Staatstrojanern die Kommunikation zwischen Trojaner und Ermittlungsbehörden (aufgrund einer fehlenden oder mangelhaften Verschlüsselung) mitgelesen und so von Unbefugten missbräuchlich genutzt werden. All diese Szenarien beinhalten massive Datenschutzprobleme. Eine gründliche Untersuchung und Freigabe des Staatstrojaners durch qualifizierte Fachleute wäre das absolute Minimum an Schutz, das hier von Nöten wäre.

Neben dem technischen ist aber auch der menschliche Faktor problematisch. Wie lassen sich diejenigen, die den Staatstrojaner einsetzen, an einer missbräuchlichen Nutzung hindern? Wie lässt sich beispielsweise sicherstellen, dass diese nicht doch auf private Dateien zugreifen oder aber inkriminierendes Material auf dem Rechner hinterlegen, um einen Ermittlungserfolg vorzutäuschen? Natürlich, die Mehrzahl der Beamten wird verantwortungsbewusst und regelkonform handeln. Aber das entbindet die Verantwortlichen nicht von der Notwendigkeit, auch den anderen Fall in ihre Überlegungen mit einzubeziehen und dafür Vorsorge zu treffen. Schließlich werden hier Menschen (in diesem Fall den Ermittlungsbeamten mit der Software) ein erhebliches Ausmaß an Macht über ihre Mitmenschen (die Verdächtigen) gegeben. Eine solche Macht darf nie ohne Kontrolle bleiben.

Last but not least ist auch der juristische Aspekt zu bedenken: Überwachungsgesetze, das ist seit Jahren bekannt, werden gerne und oft schrittweise ausgeweitet. Einmal mit der Begründung eines Ausnahmezustands eingeführt, bleiben sie jahrelang unabhängig von ihrer Effektivität und auch in friedlicheren Zeiten bestehen. Sie werden zudem häufig noch um zusätzliche Überwachungsmöglichkeiten erweitert. Somit könnte es von der Quellen-Telekommunikationsüberwachung bis zur regelrechten Online-Durchsuchung, bei der auf unsere privatesten Daten zugegriffen wird, nur noch ein kleiner Schritt sein. Schon deswegen sollten wir, Deutsche wie Österreicher, ebenfalls die aktuelle Situation kritisch betrachten.


Image (adapted) „Troians keep out!“ by Martin aka Maha (CC BY-SA 2.0)


Weiterlesen »