TrueCrypt bzw. VeraCrypt

TrueCrypt_logo-7c9e6c7fef1e75f6TrueCrypt war jahrelang die Software wenn es Vollverschlüsselung von Windows-Systemen ging. Parallel hatten TrueCrypt-Container wegen ihrer Kompatibilität zu Mac und Linux ebenfalls einen wichtigen Stellenwert beim Austausch verschlüsselter Daten. Jedoch wurde TrueCrypt am 28. Mai 2014 offiziell eingestellt. Die Entwickler behaupteten die Software sei nicht mehr sicher und empfahlen auf die Microsoft-Alternative Bitlocker umzusteigen (-> eine schlechte Empfehlung). Der Hintergrund dieser Aussagen und Empfehlungen ist, nach wie vor, unklar. Sowohl auf dem letzten CCC-Kongress als auch nach einer Sicherheitsüberprüfung der Software wurde TrueCrypt als sicher bewertet. Meine Empfehlung lautet daher vorerst weiter auf TrueCrypt zu setzen, bis ein würdiger Nachfolger feststeht. Einen Download bzw. eine Anleitung dafür gibt es hier bzw. hier.

Zu den Nachfolgern:

veraCryptAls möglicher TrueCrypt-Nachfolger wird zur Zeit insbesondere ein Fork mit Namen „VeraCrypt“ gehandelt. Nach eigenen Angaben schließt die Software mehrere im Audit festgestellte Lücken und soll auch in Zukunft gepflegt werden. Eine unanhängige Überprüfung des Codes hat aber bisher, nach meinen Informationen, nicht stattgefunden.  So dass die Installation eine Vertrauensfrage ist, die ich konservativ beantworte. Wer die Software dennoch installieren möchte, zum Beispiel für Tests, findet hier einen Download und hier eine Anleitung.

Festplattenverschlüsselung (Grundlagen)

padlock-498456_1280
Ein <3 für Verschlüsselung

Die komplette Verschlüsselung einer Festplatte ist eine der wirksamsten Methoden um Geräte vor unmittelbarem Zugriff zu schützen. Die Verschlüsselung der Festplatte soll die darauf enthaltenen Daten auch dann noch schützen, wenn das Gerät selbst, z.B. durch einen Diebstahl, eine Hausdurchsuchung oder anderweitig, entwendet wird. Die Verschlüsselung einer Festplatte erhöht das Sicherheitsniveau bei Daten, die über das Internet übermittelt oder dort gespeichert werden, folglich nicht. Hierfür muss auf andere Verfahren (z.B. PGP oder Boxcryptor) zurückgegriffen werden. Die Verschlüsselung der Festplatte schützt auch nicht vor Malware oder Sicherheitslücken im Betriebssystem.

Des Weiteren sind folgende Dinge zu beachten:

  • Die Festplattenverschlüsselung ist nur so stark wie das dazugehörige Passwort. Es sollte ein langes, starkes Passwort gewählt werden.
  • Die Festplattenverschlüsselung schützt die Daten auf der Festplatte nur, wenn das Gerät ausgeschaltet ist. Es empfiehlt sich also nicht nur aus Energiespar-Gründen seine Geräte möglichst auszuschalten, wenn man sie nicht braucht. Bei Laptops kann es sinnvoll sein zu Hause den Akku zu entfernen, so dass das Gerät, wie ein PC, direkt ausgeht, wenn der Netzstecker entfernt wird.
  • Die Festplattenverschlüsselung schützt nur die Festplatte. Die beste Verschlüsselung nutzt nichts, wenn sensible Daten noch auf einem nicht verschlüsselten USB-Stick rumfliegen! Externe Datenträger wie z.B. USB-Sticks, CDs oder Ausdrucke sollten separat verschlüsselt oder nach Gebrauch sicher gelöscht bzw. vernichtet werden.
  • Vollverschlüsselung schützt nicht vor Datenverlust. Verschlüsselte Backups anlegen!

Hier geht es zu Anleitungen für Windows, MacOS und Linux

Gefahr: Die Vorratsdatenspeicherung

FCK-SPDNach Erkenntnissen des Spiegel will Justizminister Heiko Maas bereits zum Parteikonvent der SPD am 20. Juni 2015 eine erste Leitlinie für eine Neuauflage der sog. Vorratsdatenspeicherung (VDS) vorlegen. VDS bedeutet die anlasslose Überwachung und Speicherung aller Verbindungsdaten (kurz: Wer, Wann, mit Wem, aber nicht Was) deutscher Telekommunikationsprovider (kurz: Internet, Festnetz, Mobilfunk).

Obwohl vorherige Versuche die VDS einzuführen auf breiten Widerstand stießen und sowohl vom Bundesverfassungsgericht, als auch vom EuGH für rechtswidrig erklärt wurden, unternimmt die Law&Order-Partei SPD nun einen neuen Versuch. „Gefahr: Die Vorratsdatenspeicherung“ weiterlesen

Mobile Device Encryption

I-do-not-consent-stickerB
Nicht gerade hilfreich“ sein heißt Verschlüsseln!

Um sein unsicheres Smartphone wenigstens etwas sicherer zu machen, sollte man zunächst eine wirksamere Display-Sperre (Pin oder besser Passwort) einrichten. Dabei muss man abwägen zwischen der Bequemlichkeit, sein Gerät schnell entsperren zu können und der Sicherheit, die ein starkes Passwort bietet. Bei einer 4-stelligen PIN gibt es lediglich 10.000 (104) mögliche Kombinationen. Diese sind im Zweifelsfall mittels spezieller Soft- und Hardware schnell durchprobiert.

Zusätzlich dazu sollte man sein Mobiltelefon komplett verschlüsseln. Die Vollverschlüsselung verhindert, dass das Gerät, nachdem es ausgeschaltet ist, einfach ohne Eingabe eines sicheren Passwort wieder eingeschaltet werden kann. Außerdem sind die Daten während das Gerät ausgeschaltet ist wirksam geschützt. Die Vollverschlüsselung gibt es für Android (Anleitung) und iOS (Anleitung). Äußerst ungeschickt ist, dass die Passwörter für die Vollverschlüsselung des Geräts, sowohl bei Android, als auch bei iOS identisch mit dem Passwort für den Sperrbildschirm sind. Dadurch hat man lediglich die Wahl ein möglichst sicheres (langes) Passwort zu wählen und den Mehraufwand in Kauf zunehmen oder sich mit einem schlechteren Passwort zu arrangieren. Wer sein Android-Telefon gerootet hat, kann mit der App „Cryptfs Password“ die Passwörter nachträglich trennen.

Grundlagen: Mobilgeräte

Wenn es um Datenschutz und Datensicherheit geht, sind Smartphones oder andere Mobilgeräte mit äußerster Vorsicht zu betrachten. Dies hat viele Gründe, einige davon sind:

Screen_Handy_Kontakte
Viele Informationen über eine Person in seinem (Cloud-)Adressbuch abzulegen, mag praktisch sein. Der Angreifer, der sich Zugriff auf die Daten verschafft, wird es noch praktischer finden.
  • Die Diebstahlsgefahr: Ein Smartphone hat man in der Regel fast immer dabei. Das ermöglicht staatlichen Stellen oder Dritten einen leichteren Zugriff auf die Hardware.
  • Die Datenmenge: Während früher auf einem Mobiltelefon schlimmsten Falls (bei schlechter Daten-Hygiene) einige hundert SMS und eine lange Anrufliste zu finden waren, enthält ein Smartphone heute möglicherweise Zugangsdaten für Emailkonten oder andere Webdienste, zahlreiche App-Daten und vieles mehr.
  • Die Angriffsfläche: Ein modernes Smartphone hat zahlreiche Schnittstellen (z.B. Mobilfunk, Wlan, USB, GPS, Bluetooth und NFC). Jede dieser Schnittstellen kann potentiell für Angriffe genutzt werden.
  • Malware und Sicherheitslücken: Es gibt zahlreiche Sicherheitslücken und Schadprogramme für Smartphones, die diese Ausnutzen und es werden täglich mehr: Beispiel 1, Beispiel 2.
  • Die Darstellung:  Auf Grund der Bildschirmgröße und dem eingeschränkten Funktionsumfang lassen sich einige Informationen schlecht überprüfen. Es ist z.B. einfacher dem Nutzer eine falsche URL oder Email unter zu schieben.

Dieser Gefahren sollte man sich bewusst sein und versuchen möglichst wenige Daten in seinem Mobilgerät abzulegen (Stichwort: Datensparsamkeit und Datenvermeidung). Gerade sensible Daten sollte man seinem Smartphone besser nicht anvertrauen. Es ist beispielsweise nicht zu empfehlen seine Kontakte so zu gruppieren oder zu benennen, dass über die Kontaktdaten hinaus Rückschlüsse gezogen werden können.

Im Übrigen sollte man versuchen sein Smartphone mit verschiedenen Methoden wenigstens etwas sicherer zu machen. Einige davon werden hier nach und nach vorgestellt.

TextSecure/RedPhone und Signal

TextSecure_Blue_IconTextSecure/RedPhone bzw. Signal (entwickelt von Open Whisper Systems) ermöglicht verschlüsselte Kommunikation (Textnachrichten und Gespräche) für Android und iOS. Dafür wird standardmäßig eine Ende-zu-Ende-Verschlüsselung verwendet, die auf Axolotl und damit auf OTR basiert. Die verschlüsselten Nachrichten werden via WLAN oder über Datennetz (3G-LTE) versendet. Verschlüsselt wird nur der Inhalt der Nachrichten, so dass Verbindungsdaten (z.B. Wer schreibt mit wem) dennoch erhoben werden können. Die Software ist Open-Source und wird regelmäßig weiterentwickelt und gewartet.

Zur Zeit gibt es für Android und iOS unterschiedliche Apps, die zwar kompatibel zueinander sind, aber einen unterschiedlichen Funktionsumfang bieten. Während die Android-App zahlreiche weitere sinnvolle Einstellungsmöglichkeiten bietet (z.B. Schutz der App mit Passwort, Automatisches Löschen von Gesprächen ab einer bestimmten Länge), stehen diese Funktionen unter iOS noch nicht zur Verfügung. In der Zukunft soll eine App für beide Betriebssysteme zur Verfügung stehen.

Die Installation der jeweiligen App ist kinderleicht.

Edit vom 07.11.15: Zwischenzeitlich hat das Team von OpenWisperSystems das Ziel TextSecure und Redphone auch unter Android zu der App „Signal“ zusammenzuführen ereicht. Aus diesem Grund muss man auch unter Android in Zukunft nur eine App installieren.

Update vom 17.11.16: Ein Team von internationale IT-Sicherheitsexperten hat das Verschlüsselungsprotokoll von Signal untersucht und ist zu dem Ergebnis gekommen, dass das Kernkonzept als sicher zu bewerten ist. Das Ergebnis der Untersuchung findet ihr hier.

Hefte zur Förderung widerständischer Praxis gegen den digitalen Zugriff

Band I: Tails – The amnesic incognito live system

tails-handbuch-capulco-nadir-org
Anleitung zur sicheren Nutzung des Tails-Live-Betriebssystems für politische Aktivist*innen bei der Recherche, Bearbeitung oder Veröffentlichung sensibler Dokumente (Juni, 2014)

Mit den neueren Snowden-Veröffentlichungen vom März 2014 wissen wir leider mit Sicherheit, dass der US-Geheimdienst NSA in Zusammenarbeit mit dem britischen Partnerdienst GCHQ (und weiteren) für eine (maßgeschneiderte) Infiltration unserer Rechner keine menschlichen Hacker mehr benötigt, sondern automatisiert mit dem Spionageprogramm (Turbine) unbemerkt spezifische Schnüffel-Software auf unseren Rechnern installiert.

„Hefte zur Förderung widerständischer Praxis gegen den digitalen Zugriff“ weiterlesen

Ghostery

Ghostery-Logo-250px.4989a5f5c140ac7ce49e33612ef0e907Ghostery weist beim Surfen auf versteckte Dienste, die den Nutzer ausspähen, hin und kann diese je nach gewählter Einstellung blockieren. Es gibt Ghostery als Add-on für alle großen Webbrowser und als App für Android und iOS.

Weitere Informationen & Installationsquellen: https://www.ghostery.com/de/products/

Hinweis: Teilweise wird Ghostery dafür kritisiert, dass anonyme Informationen zu blockierter Werbung in einer Datenbank gesammelt und an Werbekonzerne zwecks Optimierung von Werbung verkauft werden. Dieses Verhalten kann man in den Einstellungen des Programms ausschalten.

Adblock Plus

Adblockplus_iconAdblock Plus ist ein verdammt nützliches Add-on für den Internet-Browser euer Wahl. Es blockiert Werbung und andere unerwünschte Elemente auf Websiten und macht damit das Netz wieder lebenswert. Gerade Mobbilgeräte profitieren zusätzlich davon, dass der Aufruf einzelner Seiten schneller geht und das vorhandene Internetvolumen effektiv genutzt wird, da eben keine lästige Werbung geladen wird. Kein Tag ohne Adblocker!

Weitere Infos, Anleitungen und die Installationsquellen auf https://adblockplus.org/de/