indivisualist blog

Verschlüsselung, wozu und wie mach ich das?

Neulich wurde ich wieder darauf angesprochen, warum ich denn bitte Wert auf Verschlüsselung lege und warum sich Otto Normalverbraucher da einen Kopf drum machen sollte. Prinzipiell hat man ja nichts zu verbergen… jaja. Lasst ihr mich mal auf eurem Computer herumschnuppern und gucken, was ihr da so an Dokumenten habt? Was drin steht? Wo ihr rumsurft? Was ihr mit wem chattet? Wie die Accountinformationen sind, die ihr gerade per Mail bekommen habt? Nein? Ach, dann habt ihr also doch ein gewisses Schutzbedürfnis eurer Daten!

Ich möchte euch darum ein paar Möglichkeiten zum Schutz eurer Daten aufzeigen und warum es Sinn macht, diesen oder jenen Schutz zu verwenden.

Absicherung des Wireless LAN

Viele von euch schätzen den Komfort einer drahtlosen Verbindung ins Internet, gerade in Kombination mit einem Laptop ist das sehr interessant. Standardmäßig ist ein Router aber meist so eingestellt, dass keine Absicherung vorhanden ist – damit kann ein potentieller Angreifer sich einfach in die Reichweite eures WLANs bewegen und dort alles mitschneiden, was ihr übertragt. Oder er kann sich direkt ins Netzwerk einwählen und (bei mangelhafter Client-Konfiguration) direkt auf alle Dateien eures PCs zugreifen.

Die Reichweite eines Drahtlosnetzwerkes sollte man nicht unterschätzen, ich “sehe” hier gerade mitten aus der Wohnung fünf weitere Netzwerke, auf dem Balkon dürften es sogar noch ein paar mehr sein. Die erste Anlaufstelle ist also im Konfigurationsmenü eures Routers die Einstellung der Sendeleistung: Je nachdem, wie gut euer Empfang ist, kann man hier oft die Sendeleistung um die Hälfte reduzieren und hat trotzdem noch in der ganzen Wohnung guten Empfang – aber beim Nachbar kommt wahrscheinlich nichts mehr an.

Die zweite Anlaufstelle ist natürlich die Verschlüsselung des Netzwerkes. Hier hat man meist die Wahl zwischen WEP, WPA und WPA2. Von WEP solltet ihr Abstand nehmen, da sich die schwache Verschlüsselung in unter einer Minute (!) knacken lässt. WPA und WPA2 bieten eine gute Sicherheit, sofern ihr sichere Passwörter verwendet (dazu später mehr). Auf eurem Client könnt ihr das Passwort natürlich abspeichern und euch weiterhin automatisch verbinden lassen, ihr habt also keinen Komfortverlust.

Weiterhin lässt sich die Übertragung der SSID im Router unterbinden. Euer Netzwerk taucht also nicht in der Liste auf, wenn ein Angreifer auf “Netzwerke suchen” klickt – für eine Verbindung muss die SSID also bekannt sein und direkt eingegeben werden. Prinzipiell kann ein Angreifer diese SSID trotzdem herausfinden, da sie im Klartext übertragen werden muss, aber vor Gelegenheits-Knackern schützt das allemal.

Vielleicht bietet euer Router sogar die Option der Filterung via MAC-Adresse. Das ist eine weltweit eindeutige Adresse, die in der Netzwerkkarte gespeichert ist. Schaltet ihr den Router nur für euren Rechner frei, kann ein anderes Gerät sich also nicht einwählen. Auch hier ist es prinzipiell wieder möglich, den Schutz über sog. MAC-Spoofing zu umgehen, aber je mehr Sicherheitseinstellungen ihr wählt, desto besser seid ihr geschützt.

Verwenden von passwortgeschützten Accounts

Jedes aktuelle Betriebssystem verfügt über eine mehr oder weniger ausgefeilte Benutzerverwaltung, über die sich auch Passwörter für Benutzer vergeben lassen. Damit lässt sich zumindest der physikalische Zugriff auf den PC bremsen (wenn auch nicht stoppen): Man kann nicht einfach an den PC ran und tun und lassen, was man will. Übrigens: Unter Windows XP kann man mit Windowstaste+L den Desktop sperren, ähnliches ist auch in anderen Betriebssystemen möglich (z.B. über die Benutzerumschaltung in OS X). Damit lässt sich der Musik-PC auf der Party übrigens auch prima davor schützen, dass jemand die mühevoll zusammengebastelte Playlist ruiniert…

Wichtig ist nur: Es findet hier in der Regel erst einmal keine Verschlüsselung statt. Ein Passwortschutz lässt sich oft umgehen und sollte vor allem vor dem schnellen Zugriff auf irgendetwas schützen.

BIOS-Passwort

Ähnlich sieht es bei einem BIOS-Passwort aus, das noch vor dem Booten des Betriebssystems abgefragt wird. Das lässt sich aber in der Regel hardwareseitig durch kurzes Entfernen der Batterie auf dem Mainboard löschen – vor all zu neugierigen Eltern kann das aber durchaus schon schützen.

Verwenden von Dateiverschlüsselung

Wie gerade schon angedeutet, hält ein solches Passwort einen ernsthaften Angriff nicht auf. Einen Angreifer hält nämlich nichts davon ab, das Windows-Rechtesystem z.B. durch eine Linux-Boot-CD zu umgehen: Er kann dann problemlos alle Dateien einsehen, ohne irgendein Passwort zu kennen. Ebenso kann jemand eine externe Festplatte einfach an seinen Rechner anstöpseln und gucken, was da so drauf ist. Also bietet sich eine Verschlüsselung an, beispielsweise über sog. Container (mit TrueCrypt), für einzelne Dateien oder gleich die komplette Festplatte (geht inzwischen auch mit TrueCrypt). Die Betriebssysteme können auch von Haus aus eine Verschlüsselung bieten.

Das Thema ist recht umfangreich, deswegen sei an dieser Stelle nur gesagt, dass gerade für private Dateien eine entsprechende Verschlüsselung durchaus Sinn macht. Beim Zugriff muss ein Kennwort dafür eingegeben werden, was erst einmal umständlich erscheint – aber das Kennwort ist gerade der Sinn an der Sache, ein Angreifer kommt bei einer sinnvoll gewählten Verschlüsselung ohne dieses nicht an eure Daten.

Sichere Passwörter

Die beste Verschlüsselung der Welt nützt euch nichts, wenn euer Passwort nicht sicher gewählt ist. Unter acht Zeichen ist ein “no-go”, ebenso solltet ihr es vermeiden, all zu offensichtliche Dinge wie den Namen von Freund bzw. Freundin oder eurer Lieblingsband anzugeben. (Ihr glaubt gar nicht, wie viele Passwörter so gewählt sind!) Im Idealfall verwendet ihr eine Kombinationen aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen und ein Wort, das nicht im Wörterbuch zu finden ist. Klingt kompliziert? Baut euch Merksätze! Aus “mein Passwort ist so geheim, das errät keiner!” lässt sich “mPisg,dek!” basteln, was schon wesentlich mehr Schutz als “abc123″ oder Muttis Geburtstag bietet.

Ihr solltet übrigens auch überall unterschiedliche Passwörter verwenden. Wenn ich an euer Passwort für Forum xyz gekommen bin und ihr verwendet das für alles andere auch, sind damit prinzipiell alle eure Accounts und Daten in meiner Hand. Darum empfiehlt es sich auch, Passwörter regelmäßig zu ändern – nicht umsonst gibt es in vielen Firmennetzwerken Richtlinien, durch die ihr monatlich euer Kennwort wechseln müsst.

Für unkritische Passwörter kann man ja den berühmten Zettel unter der Tastatur bemühen, sofern man ein Gedächtnis wie ein Sieb hat… nur solltet ihr da nicht gerade das Passwort für die Dateiverschlüsselung draufschreiben. ;)

E-Mails nicht wie Postkarten verschicken

Was die meisten nicht wissen: Eine E-Mail darf man sich nicht wie einen verschlossenen Umschlag vorstellen, der durchs Netz düst, sondern eher wie eine für jedermann lesbare Postkarte. In eurem E-Mail-Client könnt ihr in der Regel eine Option aktivieren, die eine verschlüsselte Übertragung über TLS oder SSL ermöglicht. Unter Umständen sind dazu weitere Konfigurationen nötig, befragt dazu einfach die Online-Hilfe eures Mailanbieters, dort gibt es oft bebilderte Anleitungen für die gängigen Mailclients.

Damit lässt sich beispielsweise verhindern, dass eure Mails von jedermann gelesen werden können, wenn ihr mit eurem Notebook unterwegs an einem öffentlichen (unverschlüsselten!) Hotspot hängt.

Wollt ihr, dass eure E-Mails wirklich nur vom Empfänger gelesen werden können (theoretisch ist ein Abfangen “unterwegs” möglich), solltet ihr euch entsprechende Verschlüsselungstools wie PGP oder das kostenlose GnuPG anschauen. Damit könnt ihr eure Kommunikation vollständig absichern.

Instant Messaging gibts auch in sicher

Auch eure Chat-Kommunikation lässt sich absichern, je nachdem, welchen Client und welches Protokoll ihr verwendet. Bei ICQ mit dem offiziellen Messenger gibt es beispielsweise keine Möglichkeit der Verschlüsselung, hier könnte also wieder das Hotspot-Problem auftreten, das ich gerade ansprach. Alternative Clients bieten oft eine Verschlüsselung an, andere Protokolle haben mitunter schon eine eingebaute Verschlüsselung.

Thema FTP

Manche von euch besitzen einen eigenen Webspace. Hier ist zu erwähnen, dass FTP auch alles offen überträgt – inklusive Benutzername und Passwort! Abhilfe bietet hier z.B. die Verwendung von SFTP als Protokoll, das von vielen Anbietern unterstützt wird.

Und was ist mit Surfen?

Das von wohl allen genutzte Surfen im Internet kann man auch absichern. Vor allem größere Websites bieten oft eine Verbindung über SSL an, erkennbar am vorangestellten https:// in der Adresse. In Onlineshops wird meistens automatisch auf eine Verbindung via SSL gewechselt, wenn ihr euch einloggt – achtet mal drauf. Dann lohnt es sich auch, einfach mal zu probieren, ob ihr generell per SSL auf der Seite surfen könnt… tragt einfach das Extra-”s” mit in die Adresse ein (s.o.), wenn es klappt, findet die Verbindung zum Server verschlüsselt statt.

Aber warum denn jetzt das alles?

An der Länge des Beitrags seht ihr schon: Es gibt vieles, das man absichern kann, und mitunter macht man sich damit mehr Arbeit als ohne Verschlüsselung. Wer sein System, seine Accounts und Kommunikationswege nicht sichert, macht sie damit prinzipiell jedem zugänglich. Ein böswilliger Mensch könnte also euren Account auf der Dating-Seite missbrauchen und den Traumpartner in spe wieder vergraulen oder eure gesamte Fotosammlung auf dem Rechner löschen (“Backup? Was ist das?”). Bei einer Hausdurchsuchung liegen eure Daten wie auf einem Silbertablett vor den Behörden – habt ihr wirklich nichts auf dem PC, was für die in irgendeiner Form interessant sein könnte? In den Zeiten von Vorratsdatenspeicherung und der Untergrabung der Unschuldsvermutung wäre ich da vorsichtig und würde nicht mehr sagen “was sollten die denn von mir wollen”.

Also, schützt eure Daten und macht euch ein paar Gedanken darüber!