Mobile Device Encryption

I-do-not-consent-stickerB
Nicht gerade hilfreich“ sein heißt Verschlüsseln!

Um sein unsicheres Smartphone wenigstens etwas sicherer zu machen, sollte man zunächst eine wirksamere Display-Sperre (Pin oder besser Passwort) einrichten. Dabei muss man abwägen zwischen der Bequemlichkeit, sein Gerät schnell entsperren zu können und der Sicherheit, die ein starkes Passwort bietet. Bei einer 4-stelligen PIN gibt es lediglich 10.000 (104) mögliche Kombinationen. Diese sind im Zweifelsfall mittels spezieller Soft- und Hardware schnell durchprobiert.

Zusätzlich dazu sollte man sein Mobiltelefon komplett verschlüsseln. Die Vollverschlüsselung verhindert, dass das Gerät, nachdem es ausgeschaltet ist, einfach ohne Eingabe eines sicheren Passwort wieder eingeschaltet werden kann. Außerdem sind die Daten während das Gerät ausgeschaltet ist wirksam geschützt. Die Vollverschlüsselung gibt es für Android (Anleitung) und iOS (Anleitung). Äußerst ungeschickt ist, dass die Passwörter für die Vollverschlüsselung des Geräts, sowohl bei Android, als auch bei iOS identisch mit dem Passwort für den Sperrbildschirm sind. Dadurch hat man lediglich die Wahl ein möglichst sicheres (langes) Passwort zu wählen und den Mehraufwand in Kauf zunehmen oder sich mit einem schlechteren Passwort zu arrangieren. Wer sein Android-Telefon gerootet hat, kann mit der App „Cryptfs Password“ die Passwörter nachträglich trennen.

Grundlagen: Mobilgeräte

Wenn es um Datenschutz und Datensicherheit geht, sind Smartphones oder andere Mobilgeräte mit äußerster Vorsicht zu betrachten. Dies hat viele Gründe, einige davon sind:

Screen_Handy_Kontakte
Viele Informationen über eine Person in seinem (Cloud-)Adressbuch abzulegen, mag praktisch sein. Der Angreifer, der sich Zugriff auf die Daten verschafft, wird es noch praktischer finden.
  • Die Diebstahlsgefahr: Ein Smartphone hat man in der Regel fast immer dabei. Das ermöglicht staatlichen Stellen oder Dritten einen leichteren Zugriff auf die Hardware.
  • Die Datenmenge: Während früher auf einem Mobiltelefon schlimmsten Falls (bei schlechter Daten-Hygiene) einige hundert SMS und eine lange Anrufliste zu finden waren, enthält ein Smartphone heute möglicherweise Zugangsdaten für Emailkonten oder andere Webdienste, zahlreiche App-Daten und vieles mehr.
  • Die Angriffsfläche: Ein modernes Smartphone hat zahlreiche Schnittstellen (z.B. Mobilfunk, Wlan, USB, GPS, Bluetooth und NFC). Jede dieser Schnittstellen kann potentiell für Angriffe genutzt werden.
  • Malware und Sicherheitslücken: Es gibt zahlreiche Sicherheitslücken und Schadprogramme für Smartphones, die diese Ausnutzen und es werden täglich mehr: Beispiel 1, Beispiel 2.
  • Die Darstellung:  Auf Grund der Bildschirmgröße und dem eingeschränkten Funktionsumfang lassen sich einige Informationen schlecht überprüfen. Es ist z.B. einfacher dem Nutzer eine falsche URL oder Email unter zu schieben.

Dieser Gefahren sollte man sich bewusst sein und versuchen möglichst wenige Daten in seinem Mobilgerät abzulegen (Stichwort: Datensparsamkeit und Datenvermeidung). Gerade sensible Daten sollte man seinem Smartphone besser nicht anvertrauen. Es ist beispielsweise nicht zu empfehlen seine Kontakte so zu gruppieren oder zu benennen, dass über die Kontaktdaten hinaus Rückschlüsse gezogen werden können.

Im Übrigen sollte man versuchen sein Smartphone mit verschiedenen Methoden wenigstens etwas sicherer zu machen. Einige davon werden hier nach und nach vorgestellt.

TextSecure/RedPhone und Signal

TextSecure_Blue_IconTextSecure/RedPhone bzw. Signal (entwickelt von Open Whisper Systems) ermöglicht verschlüsselte Kommunikation (Textnachrichten und Gespräche) für Android und iOS. Dafür wird standardmäßig eine Ende-zu-Ende-Verschlüsselung verwendet, die auf Axolotl und damit auf OTR basiert. Die verschlüsselten Nachrichten werden via WLAN oder über Datennetz (3G-LTE) versendet. Verschlüsselt wird nur der Inhalt der Nachrichten, so dass Verbindungsdaten (z.B. Wer schreibt mit wem) dennoch erhoben werden können. Die Software ist Open-Source und wird regelmäßig weiterentwickelt und gewartet.

Zur Zeit gibt es für Android und iOS unterschiedliche Apps, die zwar kompatibel zueinander sind, aber einen unterschiedlichen Funktionsumfang bieten. Während die Android-App zahlreiche weitere sinnvolle Einstellungsmöglichkeiten bietet (z.B. Schutz der App mit Passwort, Automatisches Löschen von Gesprächen ab einer bestimmten Länge), stehen diese Funktionen unter iOS noch nicht zur Verfügung. In der Zukunft soll eine App für beide Betriebssysteme zur Verfügung stehen.

Die Installation der jeweiligen App ist kinderleicht.

Edit vom 07.11.15: Zwischenzeitlich hat das Team von OpenWisperSystems das Ziel TextSecure und Redphone auch unter Android zu der App „Signal“ zusammenzuführen ereicht. Aus diesem Grund muss man auch unter Android in Zukunft nur eine App installieren.

Update vom 17.11.16: Ein Team von internationale IT-Sicherheitsexperten hat das Verschlüsselungsprotokoll von Signal untersucht und ist zu dem Ergebnis gekommen, dass das Kernkonzept als sicher zu bewerten ist. Das Ergebnis der Untersuchung findet ihr hier.

Hefte zur Förderung widerständischer Praxis gegen den digitalen Zugriff

Band I: Tails – The amnesic incognito live system

tails-handbuch-capulco-nadir-org
Anleitung zur sicheren Nutzung des Tails-Live-Betriebssystems für politische Aktivist*innen bei der Recherche, Bearbeitung oder Veröffentlichung sensibler Dokumente (Juni, 2014)

Mit den neueren Snowden-Veröffentlichungen vom März 2014 wissen wir leider mit Sicherheit, dass der US-Geheimdienst NSA in Zusammenarbeit mit dem britischen Partnerdienst GCHQ (und weiteren) für eine (maßgeschneiderte) Infiltration unserer Rechner keine menschlichen Hacker mehr benötigt, sondern automatisiert mit dem Spionageprogramm (Turbine) unbemerkt spezifische Schnüffel-Software auf unseren Rechnern installiert.

Hefte zur Förderung widerständischer Praxis gegen den digitalen Zugriff weiterlesen

Ghostery

Ghostery-Logo-250px.4989a5f5c140ac7ce49e33612ef0e907Ghostery weist beim Surfen auf versteckte Dienste, die den Nutzer ausspähen, hin und kann diese je nach gewählter Einstellung blockieren. Es gibt Ghostery als Add-on für alle großen Webbrowser und als App für Android und iOS.

Weitere Informationen & Installationsquellen: https://www.ghostery.com/de/download

Hinweis: Teilweise wird Ghostery dafür kritisiert, dass anonyme Informationen zu blockierter Werbung in einer Datenbank gesammelt und an Werbekonzerne zwecks Optimierung von Werbung verkauft werden. Dieses Verhalten kann man in den Einstellungen des Programms ausschalten.

Adblock Plus

Adblockplus_iconAdblock Plus ist ein verdammt nützliches Add-on für den Internet-Browser euer Wahl. Es blockiert Werbung und andere unerwünschte Elemente auf Websiten und macht damit das Netz wieder lebenswert. Gerade Mobbilgeräte profitieren zusätzlich davon, dass der Aufruf einzelner Seiten schneller geht und das vorhandene Internetvolumen effektiv genutzt wird, da eben keine lästige Werbung geladen wird. Kein Tag ohne Adblocker!

Weitere Infos, Anleitungen und die Installationsquellen auf https://adblockplus.org/de/

 

Passwörter sicher speichern

KeePass_iconIch persönlich habe inzwischen eine Sammlung von etwa 50 Passwörtern- Tendenz steigend. Einen Teil davon, nämlich die sensibelsten (z.B. Passwörter zum Hochfahren meiner Rechner oder Master-Passwörter), habe ich ausschließlich im Kopf. Für alle anderen Passwörter benutze ich einen sogenannten Passwort-Safe. Die Programme, von denen es gute und schlechte gibt, funktionieren alle nach dem selben Prinzip: Alle eingetragen Passwörter werden in einer verschlüsselten Datei abgelegt und mit einem Hauptpasswort (das sog. Master-Passwort) gesichert. Ist die Passwort-Datei einmal geschlossen kann sie nur durch Eingabe des Master-Passwortes erneut geöffnet werden. Zusätzlich bieten die Programme noch einige nützliche Features, wie einen Passwort-Generator oder die Möglichkeit Passwörter sicher speichern weiterlesen

Anonym surfen mit dem Smartphone

Anonym mit dem Smartphone surfen? Das klingt wirklich abenteuerlich, ist vermutlich etwas unpraktikabel und auf Grund der Tatsache, dass man eventuell Informationen auf dem wohl gefährdetsten Gerät der Welt zurücklässt würde ich davon abraten. Aber: Es ist dennoch möglich.

Orbot-logo.svgFür Android benötigt zwei Apps: Orbot und Orweb. Orbot ist eine Android-App, die es bei gerooteten Geräte erlaubt, dass andere Apps ihre Datenverbindung über das Tor-Netz umleiten, was die anonyme Nutzung von Apps ermöglichen soll. Die Software kann über den Google-Playstore installiert werden. Orweb, ebenfalls als App im Playstore verfügbar, setzt auf Orbot auf und ist Tor-Browser für Android und funktioniert auch bei nicht gerooteten Geräten.

Für iOS existiert die Anwendung „Onion Browser“, die ebenfalls eine Nutzung des Tor-Netzes für Apple-Geräte ermöglicht. Die App gibt es im Marketplace von itunes und kostet aktuell 0,99€ und erfordert mindestens iOS 6.1.

Grundsätzlich gilt: Wer eine Website über das Tor-Netz aufruft und sich dann dort identifizert (z.B. durch Anmeldung beim persönlichen Facebook-Account oder einer persönlichen Email) ist nicht mehr anonym.

EDIT – 10.03.16: Orweb ist nicht mehr im Playstore verfügbar. Man kann die App jedoch noch als .apk beim Guardian Project herunterladen. Alternativ kann man auch die Beta von Orfox-Browser verwenden, der aktuell vom Guardian Project entwickelt wird und im Playstore verfügbar ist.