PRISM, Tempora, YES WE SCAN – what’s next?
Jüngste Berichterstattungen zu staatlichen Überwachungsmaßnahmen geben aus meiner Sicht einen willkommenen Anlass, den eigenen Umgang mit dem Medium „Internet“ neuerlich zu reflektieren. Dabei hat es bereits in der Vergangenheit – abseits der Ereignisse zu staatlicher Kontrolle – Vorfälle gegeben, die vor einem achtlosen Verhältnis mit der Materie warnen. Denken wir beispielsweise zurück an die damals 16-jährige Thessa aus Hamburg und ihre missglückte Einladung via Facebook.
Das schreckliche Schicksal der Kanadierin Amanda Michelle Todd zeigte uns Ende vergangenen Jahres wohin Cybermobbing führen kann.
Auf wieder anderem Parkett sorgten beispielsweise „Stuxnet“, „Duqu“, „Flame“ und „Gauss“ für Aufsehen. Dabei handelt es sich nicht etwa um die Bezeichner von Vorabversionen nachfolgender Betriebssysteme, sondern um erste Waffen an der Front des Cyberwarfare.
Alles dies kann uns alltägliche Nutzer des Internet aus meiner Sicht nur skeptisch stimmen. Dieser – wie ich finde – gesunden Distanz möchte ich hier etwas Vorschub leisten.
Als Absolvent des Weiterbildenden Masterstudienganges am Institut für Kriminologische Sozialforschung der Universität Hamburg befasse ich mich derzeit hauptberuflich mit der Bearbeitung von Cybercrime-Delikten im LKA-Hamburg.
Was mir dabei beruflich täglich begegnet, nehme ich zum Anlass für diesen Beitrag.
Cybercrime – Deliktsformen und technischer Hintergrund
Mit dem verbreiteten Einsatz des Internet in den unterschiedlichsten Lebensbereichen entstanden bis dahin kaum vorstellbare Deliktsformen.
Hierzu zählen beispielsweise Carding (Betrugsdelikte i.Z.m. Kreditkarten), Stalking, Defacements (Manipulationen der Homepage), DDoS-Angriffe (konzertierte Serverangriffe), identity thefts (Identitätsdiebstahl), war driving (Ausspähen von WLAN-Zugangsdaten) und – im Bereich staatlicher Kriminalitätskontrolle – die neuerdings bekannt gewordenen, mindestens fragwürdigen staatlichen Überwachungsmaßnahmen (PRISM, Tempora, etc.).
Diesen Deliktsformen ist teilweise weder die Architektur des ehemaligen Arpanet1 noch der Kenntnisstand der Anwender im Umgang mit Computersystemen gewachsen.
Zum Hintergrund
Zentrales Konstruktionsmermal des Arpanets wie auch des heutigen Internets ist die Dezentralität; ein Umstand der die Kontrollierbarkeit (im positiven wie negativen Sinne) massiv erschwert. Beim störungsbedingten Ausfall eines Kommunikationspartners sollten die verbleibenden unbeeinträchtigt bleiben.
Vielleicht erinnert sich noch die eine oder der andere an den Physik-Unterricht der Mittelstufe. Dort lernten wir über Reihenschaltung und Parallelschaltung. Oder, wer es plastischer mag: Beim adventlichen Ausdrehen der Elektrokerzen an Nachbars illuminierter Gartentanne war die Freude größer, wenn es sich um eine Reihenschaltung handelte. Sofort waren alle Lämpchen dunkel!
Beim Internet haben wir es indes mit einer Parallelschaltung zu tun.
Ein weiterer Aspekt, der hier kurz vorangestellt werden soll, ist die Tatsache, dass das Arpanet seinerzeit über eigene (isolierte, autarke und damit „sichere“) Leitungen verfügte.
Ausfluss dieses Umstandes ist eine zunächst kaum hinlängliche Implementierung von Sicherheitsstandards im essentiellen Internetprotokoll TCP/IP. Wozu hätte man diese Ebene auch schützen sollen, wo doch schon die Basis (hier das Kabel) Sicherheit gewährleistete?!
Man mag es kaum glauben, aber im Wesentlichen basiert das heute aktuelle Protokoll noch immer auf diesem alten Standard. Es ist, wenn man so will, „historisch gewachsen“ und mit ihm die Probleme, die sich bei der gemeinsamen Nutzung von Leitungen ergeben.
Der Faktor Mensch
Vorgesagtes skizziert also Schwachstellen in der Infrastruktur des Netzes als Solchem. Der Faktor Mensch birgt zusätzliche Risiken, dergestalt, dass Flüchtigkeitsfehler infolge von Unaufmerksamkeiten zu Risiken führen. Provoziert werden menschliche Fehler von Tätern allerdings auch in Form von „social engineering„. Kleines Beispiel dazu aus der Praxis: Immer wieder teilen uns Anzeigende mit, dass sie nach entsprechender telefonischer Aufforderung eines „Bankmitarbeiters“ bereitwillig 30 oder mehr TAN-Nummern in ein online-Formular eingegeben hatten. Nur eben, dass das Formular nicht zur Bank gehörte…
Was folgt daraus also für die Sicherheit bei der Anwendung des Internet?
Nun, zunächst ließe sich mit dem abgedroschenen Bemerken konstatieren: „absolute Sicherheit gibt es nicht“. Ein ebenso wenig überraschendes, wie für Kriminologen zugleich erleichterndes (Heinrich Popitz lässt grüßen) Zwischenfazit!
Computer- und Internetsicherheit
Die / der Einzelne kann einiges dazu beitragen, die eigene Sicherheit zu verbessern und ist dabei nicht auf den übermäßigen und aktionistischen Einsatz von sogenannter „Sicherheitssoftware“ angewiesen. Dazu vielleicht ein weiteres Beispiel: Ein Penetrationstest bei einem großen deutschen Unternehmen zeigte, dass dieses an sich recht gut abgesichert war gegen den unautorisierten Zugriff von außen. Schließlich gelang es dem Pentester, der auf dem Unternehmensserver installierten Antivirensoftware eigene, präparierte Signaturen als Update einzuspielen. Die Dateien kompromittierten das Antivirenprogramm und es gelang die vollständige Übernahme des Systems. Das Beispiel soll den unreflektierten Einsatz von vermeintlicher „Sicherheitssoftware“ problematisieren.
Nun, welche Risiken stellen sich uns Otto-Normal-Nutzern im Alltag also?
Weniger interessieren uns hier Strafgesetze, die überwiegend dem Schutz von Rechteinhabern dienlich sind. In diese Kategorie fallen also Urheberrechtsverstöße, die einen großen Teil der im Internet begangenen Straftaten darstellen.
Für uns naheliegend sind Gefahren im Umgang mit Online-Banking, wie das bereits angeführte Beispiel mit den TANs illustriert. Viele Banken bieten ihren Kunden heute bereits recht sichere Verfahren an. Diese variieren von Institut zu Institut.2
Häufig begegnet mir dienstlich auch das sogenannte „Ausspähen von Daten“. Dieses muss nicht immer wirtschaftlichen Interessen dienen, sondern wird auch gerne zur Überwachung der / des Ex eingesetzt (Tipp: Ungenutzte Webcams einfach abkleben!).
Adressaten von Computersabotage sind meist Firmen. Die Sabotageakte gehen nicht selten von Wettbewerbern oder politisch motivierten Tätern (vgl. Anonymous-Attacke auf Gema) aus.
Vielen wird die Kategorie „Ransomware“ sicherlich schon einmal in ihrer Gestalt des sogenannten „BKA-Trojaners“ begegnet sein. Nach Infektion des PC wartet dieser mit der Behauptung auf, durch das BKA (oder andere Strafverfolgungseinrichtungen) gesperrt worden zu sein. Tatsächlich lässt sich ohne Weiteres nicht weiter an dem Gerät arbeiten. Abhilfe schaffe – so ein Hinweis, der auf dem infizierten Computer erscheint – die Zahlung eines unbaren Geldbetrages (meist € 100), der per „Paysafe“ zu entrichten ist. Tatsächliche und selbstverständlich kostenlose Anleitung zur Beseitigung findet man z.B. unter der Adresse https://www.botfrei.de/.
Tipp: Ein sicheres Passwort nutzen
Nach diesem Problemaufriss sollen hier natürlich konkrete Lösungsstrategien angeboten werden. Tja, wo also anfangen? – Ich denke mir, da es sehr substantiell ist und uns überall immer wieder begegnen wird, erörtern wir hier zunächst mal das „lästige“ Thema Passwörter.
Als die Gruppe D33Ds Company im Juli 2012 453.492 Anmeldedatensätze von Yahoo ausgespäht und veröffentlicht hatte, zeigte sich erneut, wie trivial die beliebtesten Passwörter der Anwender sind. Passwörter wie „123456“ (Platz 1) oder „password“ (Platz 2) stellen für Angreifer schlicht keine Hürde dar. Bevor wir also zu Sicherungstechniken kommen, die ihrerseits jeweils Passwörter einfordern werden, hier ein grundlegende Tipps für die Wahl eines sicheren Passwortes:
- „Sichere“ Passwörter sollten eine Mindestlänge von (derzeit) acht Zeichen aufweisen.
- Sie sollten Buchstaben, Zahlen und möglichst auch Sonderzeichen (!?#) beinhalten.
- Die Buchstaben sollten Groß- und Kleinschreibung inkludieren.
- Sie sollten exklusiv für einen Anbieter oder Dienst verwendet werden.
- Sie sollten (in ihrer Schreibweise) nicht im Lexikon oder Büchern zu finden sein.
Wozu den Aufwand? Die Mindestlänge leitet sich zunächst von der derzeitigen Rechenleistung aktueller PC ab. Handelt es sich nämlich bei dem Passwort um ein wie oben beschriebenes, so ist ihm nicht mit einer „dictionary attack“ zu Leibe zu rücken. Hierbei werden einfach alle Einträge aus einer endlichen Menge (hier Wörterbuch) ausprobiert. Da unser Passwort nun diesem Angriff standhält, wäre „brute force“ der Angriffsvektor der Wahl. Die „rohe Gewalt“ kombiniert (je nach Konfiguration) Buchstaben, Zahlen und Sonderzeichen und zwar so lange, bis das Passwort passt. Hier sind wir beim Stichwort „so lange“:
Ein fünfstelliges, ausschließlich aus kleinen Buchstaben bestehendes Passwort lässt sich per „brute force“ (John ist gerne genommen) bequem in 20 Minuten berechnen. Bei acht Zeichen und gleicher (angenommener) Rechenleistung betrüge die notwendige Dauer bereits 9 Monate. Berücksichtigen wir obige Anforderungen zu Groß- und Kleinschreibung, Sonderzeichen etc. beträgt die Dauer vergleichsweise 23 Jahre. Durch die kontinuierlich wachsende Rechenleistung moderner PC wird sich dieser Wert jedoch zu unseren Ungunsten verkürzen.
Ein Passwort pro Dienst oder Anbieter. Wieso? Das oben geschilderte Beispiel des Ausspionierens von Yahoo macht es deutlich. Benutzer, die dasselbe Passwort auch bei anderen Diensten nutzen, sind nun potentiell auch dort angreifbar. Wie ein verlorener Generalschlüssel ermächtigt das Passwort den Dieben Zugang zu diversen vom Opfer genutzten Quellen. In Verbindung mit der Kenntnis um die eMail-Adresse ist dies besonders misslich, da diese andernorts häufig als (nun ebenfalls bekannter) Benutzername zum Einsatz kommt. Übrigens war Yahoo kein Einzelfall. Unternehmen wie Sony (Playstation Network; 77 Millionen Zugangsdatensätze ausgespäht im April 2011) oder hierzulande REWE („unter 50.000“ Zugangsdaten von Sammlern von Fußballbildern, ausgespäht im Juli 2011) wurden ebenfalls bereits Opfer solcher Attacken. Erst vergangene Woche betraf es Ubisoft.
Und wie sieht es nun praktisch aus? Wer sich schwer damit tut, immer neue und immer komplexe Passwörter zu ersinnen, der nutze doch einen Generator.
Das sicherste Passwort ist nutzlos, wenn es unverschlüsselt auf der Festplatte (z.B. in einer Excel-Tabelle) abgelegt wird. Die erste Wahl wären hier Passwort-Safes. Diese beinhalten nicht selten auch Generatoren und speichern die hinterlegten Daten verschlüsselt auf der Festplatte ab.
Wem das alles zu viel Aufwand und „über das Ziel hinaus geschossen“ erscheint, der arbeite doch mit dem Prinzip „Mantra“. Die Suche nach einem merkbaren und sogleich sicheren Passwort für die Uni könnte so zu folgendem Ergebnis führen:
HhesumnsPbdUH82#
Was zunächst kryptisch anmutet entpuppt sich für den Insider als die Anfangsbuchstaben folgenden Mantras: „(H)ierbei (h)andelt (e)s (s)ich (u)m (m)ein (n)eues (s)icheres (P)asswort (b)ei (d)er (U)ni (H)amburg“. Für zusätzliche „Würze“ sorgt eine Zahl (z.B. Jahrgang) und ein beliebiges Sonderzeichen. Natürlich ließe sich ein solches „Generalmantra“ auch mit einem Zusatz kombinieren, um so schnell sichere Passwörter für verschiedene Dienste und Webseiten zu generieren. HhesumnsPbd-AMZ82# könnte den Zugang zum eigenen Benutzerkonto beim Online-Versandhändler schützen und HhesumnsPbd-GMX82# zum E-mail-Konto.
Ausblick
In weiteren Beiträgen dieser kleinen Artikelserie möchte ich gerne auf folgende sicherheitsrelevante Themen eingehen und auf entsprechend gute, bereits im Netz befindliche Anleitungen hinweisen.
- SSH und VPN als Absicherung in freien WLANs einsetzen
- eMail-Verschlüsselung mit GNUPG oder S/MIME (wer iOS-Geräte nutzt)
- vergessene Netzwerkfreigaben abschalten (C$ – Admin Freigabe)
- Umgang mit Updates des jeweiligen OS
- Verschlüsseln des gesamten Systems mittels Preboot-Verschlüsselung
- Wie und wozu nutze ich TOR (The Onion Router) ?
- Welche Alternativen gibt es zu Google (startpage.com, duckduckgo.com, etc.)?
- Was sind Crypto Partys?
- Wie sichere ich mein Facebook-Profil ab, resp. was gestatten die Einstellungen
- Worin besteht der Unterschied von http zu https? (https everywhere)
- Wie kann ich den Inhalt meiner Dropbox z.B. mit Truecrypt absichern?
Soviel vielleicht für den Anfang. Demnächst möchte ich hier das Thema sicherer eMail-Übertragung erörtern. Bekannt ist ja, das eine eMail im Netz in etwa so geheim ist wie eine Postkarte. Wie man sie zum „Brief“ macht und dabei ausschließlich auf kostenlose Angebote zurückgreift ist Inhalt meines nächsten Beitrages.
Das Arpanet (Advanced Research Projects Agency Network, 1962) diente zunächst als reines Kommunikationsmedium unter US-Militärs und sollte deren fortwährende Korrespondenz nach einem Atomschlag gewährleisten. ↩
In puncto Sicherheit aus meiner Sicht bisher uneingeholt steht das Verfahren HBCI (eine Kombination aus Chipkarte, PIN und TAN). Dieses wird (vermutlich aus Kostengründen) von den meisten Banken jedoch nicht aktiv beworben. Auf Nachfrage erhält man es dann allerdings doch fast allerorts. ↩