Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:
1. Lokale Speicherung der E-Mails: E-Mails sollten lokal immer verschlüsselt gespeichert werden. Es hat sich als sehr sinnvoll erwiesen hierfür einen TrueCrypt- bzw. VeraCrypt-Container zu verwenden und in diesen Thunderbird-Portable zu installieren. Die Verwendung eines zusätzlichen verschlüsselten Containers ist je nach Sicherheitsbedürfnis auch für Geräte mit Vollverschlüsselung zu empfehlen, da die E-Mails dann nur zugänglich sind, wenn man sie wirklich braucht.
Ein Kenner sieht direkt, dass man mir netterweise auch die Platine eines Throwing Star LAN Tap beigelegt hat. 🙂
Bereits im Juni 2015 hatte ich bei Great Scott Gadgets, einem Hersteller für Open Soucre Hardware, nachgefragt, ob man mir für mein Blog-Projekt und meine Kurse zur IT-Sicherheit einen HackRF One zur Verfügung stellen könne. Jetzt wurde meine Anfrage positiv beantwortet und ich halte einen HackRF in meinen Händen. Das bedeutet, dass wir uns in nächster Zeit ausführlich mit Software Defined Radio auseinandersetzen können und gibt uns die großartige Möglichkeit IT-Sicherheit im drahtlosen Bereich unmittelbar selbst zu untersuchen. An dieser Stelle nochmal ein fettes Danke an Great Scott Gadgets!
Eine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit PGP. Klar dürfte auch sein, dass man seine Emails nicht über Anbieter wie GMX, Yahoo & Co. abwickeln sollte, denn diese Anbieter kooperieren mit Strafverfolgungsbehörden und Geheimdiensten. Was bedeutet, dass diese im Zweifelsfall, neben den Inhalten von unverschlüsselten Emails, auch die Metadaten von verschlüsselten Emails (Wer hat wann mit wem geschrieben?) auswerten und gegen euch verwenden können. Außerdem können sie sehen, welche Daten bei der Registrierung des Dienstes hinterlegt wurden. Lässt also von GMX, Yahoo & Co. besser die Finger!
Dein Browser weiß wo du letzten Sommer gesurft hast!
Vom Dateimanager über Browser bis hin zu Office-Software haben viele Programme Funktionen, mit denen sich nachvollziehen lässt, welche Dateien oder Webseiten man in letzer Zeit geöffnet oder viel verwendet hat. Dies ist auf der einen Seite praktisch, weil man z.B. schnell an Webseiten, Dokumente oder Dateien kommt, mit denen man gerade arbeitet. Auf der anderen Seite ist diese Information auch für unberechtige Nutzer schnell verfügbar und erleichtert die Auswahl von Dateien, die vielleicht einen genaueren Blick wert sind. Es macht also durchaus Sinn, den Verlauf einfach abzuschalten, den Verlauf in seiner Dauer zu begrenzen oder zumindest in regelmäßigen Abständen zu löschen. Denn auch, wenn es noch andere Methoden gibt herauszufinden wann eine Datei geöffnet wurde, sollte man es einem Angreifer so schwer wie möglich machen. Und mal ehrlich: Wer muss schon dringend speichern welche Webseite er im letzten Sommer aufgerufen hat?
Das Panoptikum ist ein Konzept zum Bau von Gefängnissen und ähnlichen Anstalten, aber auch von Fabriken, das die gleichzeitige Überwachung vieler Menschen durch einen einzelnen Überwacher ermöglicht.
Panopticlick ist ein Forschungsprojekt der Electronic Frontier Foundation (EFF) und wurde entwickelt um auf der einen Seite herauszufinden welche Werkzeuge und Techniken von Online-Trackern eingesetzt werden und auf der anderen Seite die Schutzmaßnahmen von Browsern zu prüfen. Die Webseite simuliert sowohl ein sichtbares Werbebanner, das versucht den Nutzer zu tracken, als auch ein Skript, das unsichtbar im Hintergrund ausgeführt wird. Zusätzlich wird auch eine Seite getestet, die Do Not Track-Aufforderungen des Nutzers Folge leistet. Zur Erläuterung: Do Not Track (DNT) ist ein HTTP-Header-Feld mit dem der Nutzer über seinen Browser mitteilen kann, dass er nicht verfolgt werden möchte. „Panopticlick – was verrät dein Browser“ weiterlesen
Betriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen. „Sicher unterwegs mit Android?“ weiterlesen
Die Grundlagen zum Umgang mit Fotos und die Gefahren beim Anfertigen von Bildaufnahmen wurden bereits in einem Artikel zum Thema „Anonymisieren von Fotos“ vorgestellt. Dieser Betrag soll nun durch die Vorstellung der beiden APPs „ObscuraCam“ (Android) und „CameraV“ (Android) ergänzt werden. Beide Apps liefern verschiedene Funktionen zum Schutz der Privatsphäre bei Handyaufnahmen. „ObscuraCam und CameraV“ weiterlesen
Kürzlich bestand die Gelegenheit aufgrund eines Ermittlungsverfahrens und dem damit verbundenen Akteneinsichtrecht des Betroffenen einen Einblick in die digitale Ermittlungsarbeit der Polizei zu bekommen. Die daraus gewonnen Erkenntnisse, wie man seine technischen Geräte vor dem Zugriff durch Strafverfolgungsbehörden absichern kann, werden im Folgenden mit zahlreichen Ergänzungen und weiteren Ideen vorgestellt.
Passwörter sollten (auch wenn sie „unwichtig“ sind) in keinem Fall als bloße Textdatei gespeichert werden. Die Ermittlungsbehörden können dadurch eventuell Rückschlüsse auf wichtigere Passwörter treffen (z.B. ähnliche Muster), außerdem besteht die Gefahr, dass ein unwichtiges Passwort über Umwege doch zu einem Treffer für die Behörden führt, etwa weil sich im Nachhinein eine winzige Information als Schlüssel für etwas ganz anderes darstellt oder, weil aufgrund eines Versehens z.B. Passwörter für andere Email-Accounts zurückgesetzt werden können. Passwörter sollten entgegen gängiger Empfehlungen z.B. fürs Online-Banking auch nicht auf Papier (z.B. in einem Safe) aufbewahrt werden, da sie dort auch in die Hände der Ermittler fallen können. Auch das Speichern der Passwörter im Browser ohne zusätzliche Absicherung durch „Master-Passwörter“ bringt enorme Risiken mit sich, da der Zugriff hürdenlos möglich ist. Im Idealfall hat man seine sicheren Passwörter im Kopf, was wohl den wenigsten gelingen wird. Aus diesem Grund ist es empfehlenswert Passwortmanager zu verwenden.
Große Datenarchive sind problematisch. Es ist auch bei einem vollverschlüsselten Gerät sinnvoll Daten, die man selten benötigt in einem gesonderten, verschlüsselten Container oder auf einer verschlüsselten externen Festplatte abzulegen. Damit kann vermieden werden, dass der Zugriff auf diese Datenbestände durch ein eingeschaltetes und damit angreifbares Gerät möglich ist (Die Möglichkeit „mal eben“ den Stecker zu ziehen oder das Gerät in Anwesenheit der Beamten auszuschalten, wird nicht in jedem Fall bestehen!). Geräte sollten zusätzlich nach Möglichkeit immer ausgeschaltet sein, wenn man nicht daran arbeitet, das minimiert das Risiko „auf frischer Tat“ erwischt zu werden.
Handykommunikation ist und bleibt eine gefährliche Angelegenheit. Es gibt zwar Möglichkeiten sein Gerät komplett zu Verschlüsseln und sichere Messenger wie Signal zu verwenden (dringend nutzen!). Dennoch bleibt ein hohes Restrisiko wegen ständiger Sicherheitslücken wie z.B. dem Stagefright bestehen. Daher sollten auf dem Handy keine sensiblen Daten gespeichert werden. Dabei ist zu beachten, dass die Installation des Facebook-Messengers den Ermittlungsbehörden im Zweifelsfall Zugriff auf das Facebook-Konto einräumt. Ähnliches gilt z.B. für den Abruf von Emails oder Zugriff auf Kalender und Cloud-Services, sofern die Zugangsdaten auf dem Gerät gespeichert sind. Auf dem Smartphone gespeicherte Kommunikationsinhalte (z.B. SMS oder Messenger-Nachrichten) und Verbindungsdaten (z.B. letzte Anrufe) sollten regelmäßig gelöscht werden, damit im Falle des Falles der Zugriff zumindest nicht ganz so einfach ist.
Fazit: Alles mit starken Passwörtern verschlüsseln, eigene Fehler und unglückliche Geschehensabläufe einplanen und es sich nicht zu bequem machen (Rechner ausschalten, Daten löschen) sind ein wirksamer Schutz.
Update – 18.12.15: Kontakte sollten nicht auf der SIM-Karte sondern auf dem verschlüsselten Speicher des Telefons gespeichert werden, da Ermittlungsbehörden über über den so genannten PUK (Personal Unblocking Key), der beim Provider hinterlegt ist, einfach Zugriff auf die SIM-Karte bekommen können (weitergehend: Marko Rogge, „Digitale Ermittlungen: Tipp für die mobile Forensik„, Cybercrime_Blog der Fachhochschule der Polizei Brandenburg).
Peter Loshin, ein unabhängiger Berater zu Internetprotokollen und Open-Source-Netzwerktechnologien, erklärt in seinem Buch „Anonym im Internet mit Tor und Tails“ die Funktionsweise von Tor und Tails und gibt praktische Hilfen zur Verwendung.
Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:
Eine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit 
Betriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: 
Die Grundlagen zum Umgang mit Fotos und die Gefahren beim Anfertigen von Bildaufnahmen wurden bereits in einem Artikel zum Thema „
