Leitfaden IT-Sicherheit

      Keine Kommentare zu Leitfaden IT-Sicherheit

Leitfaden IT-Sicherheit (pixabay)

Das größte Risiko sitzt zwischen Stuhllehne und Bildschirm.
Es gibt keine hundertprozentige Sicherheit in der IT.
Was gespeichert oder versendet wird, kann gelesen werden.

Abgesehen von diesen drei ewig gültigen IT-Weisheiten gibt es eine ganze Menge Maßnahmen, die sich ergreifen lassen, um Bösewichten, Schnüfflern und Hackern, ja sogar denen von Seehofers Auslandsgeheimdienst im Inland, die Arbeit so schwer wie möglich zu machen. Die grundlegenden Maßnahmen möchten wir hier vorstellen.

Maßnahme 1: Das eigene Bewußtsein schärfen.
Der Mensch ist ein Gewohnheitstier und ein ziemlich bequemes noch dazu. Von Dingen und Prozeduren, an die wir uns gewöhnt haben, trennen wir uns nur ungern. Dazu gehören Betriebssysteme, Passwörter und die Unbedarftheit, die wir im vermeintlich höchstpersönlichen und damit intimen Raum unseres Computer, Laptop oder Smartphone an den Tag legen. Wir müssen uns bewußt werden: Es herrscht Krieg, auch und besonders im digitalen Raum – das ist der weltweite Ort, den man nicht ohne weiteres einsehen kann, der aber per WLAN in wirklich jeden Bereich unseres Lebens hineinreicht.

Ein Beispiel: Jedes Gerät mit IP-Internetanschluss besitzt knapp 65.000 unsichtbare Türen zum Internet und an vielen dieser Türen wird permanent geklopft, gerüttelt und gebohrt. Manche stehen weit offen, einige müssen sogar offen stehen, manche werden automatisch geöffnet, ohne dass wir es mitbekommen. Wir müssen uns bewußt werden, dass permanent unsichtbare böswillige Gestalten um unsere Geräte herumschleichen. Sie wollen schnüffeln, plündern, rauben, unsere Naivität missbrauchen, kurz: Sie wollen uns schaden.

Maßnahme 2: Die Hardware.
Es ist ein offenes Geheimnis, dass offene Hintüren mittlerweile in die elektronischen Bauteile eingebaut werden, aus denen unsere Geräte zusammengesetzt sind – gerne in Festplattencontrollern und Netzwerkkarten. Was kann eine Software-Firewall ausrichten, wenn die Netzwerkkarte auf einer tieferliegenden Systemebene Informationen über unser System an seinen Hersteller verschickt? Man muss leider davon ausgehen, dass ALLE neuen internetfähigen Geräte mit Hintertüren ausgeliefert werden, die sich nicht vom Benutzer kontrollieren lassen. Sich derartiges bei Computern, Laptops, Smartphones und Routern vorzustellen ist leicht, jedoch betrifft dies mittlerweile sogar Flachbildfernseher, Blurayplayer und Automobile. Wer paranoid ist, greift daher zu alter Hardware, je älter desto besser. Gerade bei Computern werden viele die Nase rümpfen: Ein 10 Jahre alter Rechner wird in der Regel weder über schnelle USB 3.0 Anschlüsse noch über schnelle SSD-Festplatten und auch nicht über 8-Kern-Prozessoren verfügen. Wir erinnern uns an dieser Stelle an die Bequemlichkeit aus Maßnahme 1? Übrigens: Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind!

Sonderfall: Smartphone.
Moderne Menschen schleppen einen Peilsender, ein Mikrophon und eine Kamera mit sich herum, geben freiwillig Stimmproben ab, lassen durchblicken, mit wem sie persönlich bekannt sind und tippen häufig ihre intimsten Geheimnisse in irgendwelche „Apps“ ein, sodass sie von unbekannten Dritten, die man zuvor mittels AGB und Nutzungsbedingungen freiwillig dazu ermächtigt hat, mitgelesen werden können. Verzeihung, aber wer permanent eine Superwanze mit sich herum schleppt und ihr obendrein noch erlaubt, die gesammelten Erkenntnisse in Echtzeit rauszufunken, der ist von einem Bewußtsein in Sachen IT-Sicherheit weit entfernt. Nur soviel: Altbackene Tastenmobiltelefone wie ein Siemens S55 oder ein Nokia 3210 werden teils wieder hochpreisig gehandelt, denn sie sind zunehmend begehrt. Fakt ist: Smartphone auf der einen und Privatsphäre sowie Sicherheit auf der anderen Seite schließen einander aus. Der Grund dafür:

Maßnahme 3: Das Betriebssystem.
Internetstatistiken besagen regelmäßig, dass rund 75% aller Internetnutzer ein Windows-Betriebssystem nutzen. Windows ist ein kostenpflichtiges, lizensiertes Produkt aus dem Hause Microsoft. Es handelt sich dabei um sogenannte proprietäre Software, d.h. man bekommt ein ausführbares Maschinenprogramm, von dem man nicht wissen kann, was es tut, weil man sich den Programmcode nicht anschauen kann. Der Programmcode ist ein Betriebsgeheimnis von Microsoft, seines Zeichens ein us-amerikanisches Unternehmen, wie Apple und Goolge auch. Bei den Betriebssystemen der letzteren beiden, wie bspw. OS X, iOS oder Android handelt es sich ebenfalls um proprietäre Software, von der niemand weiss, was sie wirklich tut. Seit dem Patriot Act sind alle us-amerikanischen Unternehmen verpflichtet, mit der National Security Agency (NSA) zu kooperieren. Diese hat in der Wüste von Utah ein riesiges Datenzentrum in Betrieb genommen. Wozu kann man sich denken. Hier werden weltweit Daten gesammelt aus denen Nutzerprofile erstellt werden. Die ganze Thematik abzuhandeln würde den Rahmen sprengen, wer mehr wissen will findet den Einstieg über die Suchbegriffe „Edward Snowden, XKeyScore, Vault7“. Um es kurz zu machen: Wer Software us-amerikanischer Firmen nutzt, stimmt automatisch zu, diverse Türen offen zu halten. Deutsche sollten sich an dieser Stelle ohnehin einmal die Frage stellen, warum sie so gerne Software des Besatzers nutzen, denn dass Deutschland eine Besatzungskolonie der USA ist, sollte mittlerweile jeder mitbekommen haben.

Zum Glück gibt es Alternativen zu den proprietären Betriebssystemen und in der Regel sind diese nicht nur kostenlos sondern bei Weitem leistungsfähiger als das, was Microsoft oder Apple für eine Stange Geld bieten. Geld darf jedoch kein Maßstab sein, wenn es um Sicherheit geht und so trumpfen die Alternativen mit einem unschlagbaren Aspekt auf: Quelloffenheit (Open Source). Das bedeutet: Im Gegensatz zu propietärer, also nicht-einsehbarer, Software liegen hier die Programmcodes für jeden einsehbar offen dar. Man kann sich leicht vorstellen, dass es schwierig bis unmöglich ist, eine Hintertür in einem Programm zu verstecken, wenn der Programmcode für jeden offen einsehbar zur Verfügung steht.

Das Flagschiff der quelloffenen Betriebssysteme ist Linux, das von einer weltweiten Gemeinschaft Freiwilliger unentgeltlich programmiert und gepflegt wird. Der Bezug und die Nutzung von Linux ist kostenlos, die Software ist frei, man darf sie nach Belieben anpassen, verändern, kopieren und weitergeben, ohne lizenz- oder urheberrechtliche Probleme befürchten zu müssen. Doch obwohl Linux in den vergangenen knapp 20 Jahren wahnwitzige Fortschritte gemacht hat, fristet es immernoch ein Nischendasein: Nur knapp 10% aller Internetnutzer nutzen ein Linux-Betriebssystem. Warum das so ist? Die Nutzung durch die breite Masse ist nicht gewollt, denn alleine durch die Nutzung von Linux werden 99% aller Sicherheitsrisiken eliminiert. Nahezu alle Web- und Mailserver werden mit Linux betrieben, auch diese Seite, die du gerade liest, wurde von einem Debian-Linux Webserver an dich ausgeliefert.

Der Umstieg von Windows auf Linux kann, je nach Linux-Distribution, mehr oder weniger gewöhnungsbedürftig sein. Deutschen Einsteigern sei Ubuntu Linux empfohlen, denn mit ubuntuusers.de ist eine riesige deutschsprachige Linux-Gemeinschaft am Start, die nicht nur großartige Dokumentationen erarbeitet hat sondern auch jedes darüber auftretende Problem im Handumdrehen zu lösen bereit ist.

Maßnahme 3: Sichere Passwörter.
Man soll es kaum glauben, aber Umfragen zufolge sind die beiden beliebtesten Passwörter „passwort“ und „1234“. Passwörter sind die Schlüssel zu digitalen Türen. Wenn ein Passwort wie eines der eben genannten verwendet wird, ist es sehr leicht, einen damit „gesicherten“ Zugang zu öffnen. Sichere Passwörter sind ebenso wichtig wie ein gutes Schloss an der Haustür. Wenn also Schnüffler dein Haustürschloß überwunden haben, sich in deiner Abwesenheit an deinem Computer zu schaffen machen, um dir den Bundestrojaner aufzuspielen damit du in Zukunft überwacht werden kannst, sollte dein Passwort zunächst einmal nicht „passwort“ lauten.

Ein gutes Passwort besteht aus mindestens 8 Zeichen und setzt sich zusammen aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen: h!N53@?xD ist ein ausreichend sicheres Passwort. Dummerweise sind solche Passwörter schwer zu merken, sodass viele ein einmal ausgedachtes Passwort wieder und wieder verwenden: Für den Login am Computer das gleiche Passwort wie für das Onlinebanking, Emailpostfach und den ebay-Login. Das ist fatal! Wenn zB die Datenbank bei ebay gehackt und gestohlen wird, hat der Dieb einen Generalschlüssel für all deine Zugänge erbeutet.

Man sollte sich daher angewöhnen, ein eigenes Passwort für den jeweiligen Dienst zu vergeben. Das muss nicht aufwendig sein: Das Ausgangspasswort lautet beispielsweise: h!N53@?xD. Das Passwort für den Login auf dem Computer könnte dann einfach lauten: h!N53@login?xD. Man fügt einfach zwischen @ und ? den jeweiligen Dienst ein. Wenn man ein neues Passwort für ein Emailkonto bei freenet braucht, dann nimmt folglich dort als Passwort h!N53@freenet?xD. Für das Onlinebanking bei der Commerzbank nutzt man h!N53@commerzbank?xD und für ebay nutzt man h!N53@ebay?xD.

Mit dieser Vorgehensweise spart man sich übrigens auch das Speichern von diversen Passwörtern in Dateien – was wiederum ein großes Sicherheitsrisiko darstellt. Passwörter kann man übrigens auch ändern – von dieser Möglichkeit sollte man auch Gebrauch machen.

Maßnahme 4: Verschlüsselung.
Chiffre ist vermutlich genauso alt, wie die Schrift selbst. Es war den Menschen stets ein Bedürfnis, Daten austauschen zu können, ohne dass sie jeder lesen kann. Moderne Computertechnik macht Verschlüsselung einfach, vielfach ist sie bereits standardmäßig im Einsatz. Wenn zB Webseiten mit https:// aufgerufen werden, wie https://preussenjournal.net/, dann tauscht der Webserver mit dem Client Schlüssel aus – der Datenverkehr wird in der Folge verschlüsselt durch das Internet geschickt. Das passiert im Hintergrund, ohne dass der Internetbenutzer etwas dazu beitragen muss.

Will man nun seine Daten verschlüsseln, damit sie eben nicht jeder lesen kann, so muss man selbst aktiv werden. Hier gibt es verschiedene Möglichkeiten, die wir kurz vorstellen möchten.

Festplattenverschlüsselung
Bei der Festplattenverschlüsselung werden ALLE Daten, die auf der Festplatte gespeichert werden, verschlüsselt gespeichert. Damit wird sichergestellt, dass die Daten nicht von der Festplatte gelesen werden können, wenn man den Schlüssel, idR ein Entschlüsselungspasswort, nicht kennt. Szenario: Wer physischen Zugang zu einem Standard-Windows-PC hat, der startet diesen einfach mit einem Linux vom USB-Stick, den er zuvor in einen USB-Anschluss eingesteckt hat. Das dauert keine 30 Sekunden und man hat vollen Zugriff auf ALLE Daten, die auf der Festplatte des Windows-Rechners gespeichert sind. (Wer an dieser Stelle darüber nachdenkt, wenigstens ein BIOS-Passwort einzurichten und die Option „Boot from USB“ zu deaktivieren: Glückwunsch zum geschärften Bewußtsein!)

Probiert man die eben geschilderte Vorgehensweise auf einem Computersystem mit verschlüsselter Festplatte, so wird man nur unverständliche, eben verschlüsselte Informationen, zu sehen bekommen, die zwar lesbar aber nicht auswertbar sind. Festplattenverschlüsselung sollte Standard sein und Linux-Betriebssysteme wie Ubuntu bieten diese Option in der Regel schon während der Installation an.

Datei- und Emailverschlüsselung
Den wenigsten ist bewußt: Eine Email entspricht einer Postkarte. Jeder, der eine Postkarte in die Hände bekommt, kann sie lesen: Der Postbedienstete, der den Briefkasten leert, der Postbedienstete, der die Post sortiert, der Postbedienstete, der sie ausliefert, die neugierige Nachbarin, die sie aus dem Briefkasten fingert. Vertraulichkeit sieht anders aus. Wenn wir also Standard-Email verschicken, verschicken wir Postkarten. Unser Internetanbieter, der sie zuerst transportiert, kann sie lesen. Der Emailanbieter, bei wir ich unser Emailkonto haben, kann sie lesen. Alle Netzknoten, welche die Email auf dem Weg zum Empfänger passiert, können sie lesen. Am Internetknoten DE-CIX in Frankfurt wird eine Kopie davon gemacht und nach Utah geschickt um sie dort zu speichern und auszuwerten (siehe Maßnahme 3, Stichwort NSA und Vault7). Der Emailanbieter und der Internetanbieter des Empfängers, sie alle können die Email lesen und auch die Dateianhänge, die mit der Email versendet wurden.

Obwohl es auch hier bereits seit vielen Jahren die Möglichkeit gibt, Emails und Dateien zu verschlüsseln, wird dies weder standardmäßig angeboten noch intensiv von Computernutzern genutzt. Ja, man muss sich kurz einlesen und einfache Konfigurationen vornehmen. Dafür kann man zukünftig vertrauliche Sendungen empfangen, die eben nicht jeder mitlesen kann. Das verbreitetste Verfahren hier zu ist pgp bzw. gnupgp. Wir empfehlen dem geneigten Leser, sich nicht nur damit auseinander-, sondern es auch einzusetzen.

Maßnahme 5: Anonymisierung.
Wer sich im Netz bewegt, sollte darauf bedacht sein, so wenig Spuren wie möglich zu hinterlassen. Dazu gehört nicht nur, sparsam mit seinem Klarnamen umzugehen, denn das Netz vergisst nichts. Es gibt darüber hinaus Mittel und Wege, den eigenen Internetverkehr weitestgehend zu anonymisieren: Stichworte, um sich mit dieser Materie zu beschäftigen, sind Proxy, VPN und TOR.

Wir möchten an dieser Stelle jedem den TOR Browser ans Herz legen. Dies ist ein Firefox-Webbrowser, der in Kombination mit TOR auf dem Computer installiert wird. So kann man auf wirklich einfachste Weise seinen gesamten Surfverkehr anonymisieren. Darüber hinaus wird mit dem TOR Browser das sog. DarkNet zugänglich – das ist jener digitale Raum, der vollends anonym und nicht kontrollierbar ist und der deswegen ständig medial als Hort des Drogen-, Waffen- und Kinderpornografiehandels in Verruf gebracht wird. Dass nur dort ZB auch die Meinungsfreiheit gewährleistet ist, wird dabei in der Regel gelinde verschwiegen. Übrigens: Nicht Bombenbauanleitungen töten Menschen, sondern böse Menschen, die Bomben bauen und sie dann gegen Menschen einsetzen, töten Menschen.

Paranoia-Modus: TAILS.
Wer sein Bewußtsein geschärft, sich tiefer mit der Materie auseinandergesetzt hat und die virtuellen Bedrohungen entsprechend ernst nimmt, der wird sich eine eierlegende Sicherheitswollmilchsau wünschen. Und eine solche gibt es tatsächlich: TAILS.

TAILS ist eine gehärtete Linux-Distribution, die als USB-Betriebssystem dient. TAILS wird auf einem USB-Stick installiert mit dem man fortan jeden beliebigen Rechner zum persönlichen Hochsicherheitsbetrieb booten kann. TAILS arbeitet ausschließlich mit dem USB-Stick und dem Arbeitsspeicher des Computers, es werden keine Daten auf die Festplatte gespeichert. Partitioniert man den USB so, dass man TAILS in einer Partition installiert und eine weitere, natürlich verschlüsselte Partition einrichtet, hat man seinen Computer in der Hosentasche und alle wichtigen Daten stets dabei. TAILS anonymisiert den ausgehenden Datenverkehr standardmäßig mit TOR, dabei werden selbst ansonsten evtl. verräterische Hardwareadressen umbenannt. Das alles macht natürlich keinen Sinn, wenn man dann unverschlüsselte Emails über sein Klarnamenkonto horst.meier@aol.com verschickt. Emailadressen kann übrigens nie genug haben.

TAILS hat nur einen Nachteil: Da alles auf dem USB-Stick und dem Arbeitsspeicher basiert, kann es zu Einbußen bei der Geschwindigkeit der Anwendungen kommen: Es dauert etwas länger, bis zB der Browser gestartet wird. Beherzigt man alle in diesem Beitrag gemachten Maßnahmen und setzt TAILS in Kombination mit einem alten Laptop ein, das nur über USB 2.0 Anschlüsse verfügt, dann ist man it-technisch zwar recht sicher, dafür aber auch recht langsam und damit unkomfortabel unterwegs. Der Preis maximaler Sicherheit ist der Komfort (siehe Maßnahme 1).

Das Böse ist überall
Wie eingangs geschildert schließen das Smartphone auf der einen und Privatsphäre sowie Sicherheit auf der anderen Seite einander aus. Es gab tatsächlich Bestrebungen, auch das Smartphone aus den Fängen des Bösen zu befreien: In den Jahren 2013 und 2015 wurden Smartphones mit dem Linux-Betriebssystem „Ubuntu Touch“ hergestellt, die Open Source Gemeinde jubelte entsprechend. Doch die Bestrebungen, den letztlich NSA-kontrollierten Smartphonesektor aufzubrechen und in die Freiheit zu führen, scheiterten. Das lag nicht daran, dass niemand Interesse an Linux Smartphones oder Tablets gehabt hätte: Die Smartphones von bq verkauften sich in „Flashsales“ wie warme Semmeln und sie werden heute auf dem Gebrauchtmarkt sogar über Anschaffungspreis gehandelt – sofern es überhaupt mal eines von nur 250.000 Geräten, die weltweit ausgeliefert wurden, auf den Gebrauchtwarenmarkt schafft. Warum die Bestrebungen, das Smartphone zu befreien, bislang scheiterten, kann sich wohl jeder denken: Das Böse wird ganz sicher nicht auf die freiwillige Selbstverwanzung der Menschheit verzichten wollen. Ein Grund mehr, auf die Nutzung des Smartphones gänzlich zu verzichten.

Der vorliegende Beitrag kann freilich nur eine Anregung sein und zur Sensibilisierung anregen. Aktiv werden muss jeder Einzelne. Die Bedrohung ist real.

Wer Ergänzungen machen kann und möchte darf gerne die Kommentarfunktion dafür nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.