2. “Paranoid” oder datenschutzbewusst?
Eine Frage des Vertrauens und der Verhältnismäßigkeit.
Speicherplatz wird immer billiger, Rechner leistungsfähiger.
Quelle: Washingtonpost.com http://goo.gl/SqnPA und wired.com
3. 1. Grundsatz im Internet:
Datensparsamkeit
Bewusstsein:
Wer kann auf was zugreifen?
Unverhältnismäßigkeit:
Wenn ein Akteur (z.B. NSA) alles liest und
speichert
4. Was ist “Daten”-Sicherheit?
Authentizität
Sind Absender und Daten echt?
Signatur
Zugriffsschutz
Wer kann meine Information lesen?
Krypto- + Steganographie
Datensicherheit
Wie sicher sind Daten vor Verlust?
Backups + Redundanz
Anonymität
Ist der Absender zurückverfolgbar?
5. • Verteilte Speicherung und Verbindungen
• Redundantes, dezentrales Netz
• Dynamische Informationsleitung
• Weltweit
Das Internet ist “ausfallsicher”
Datensicherheit
Wie sicher sind Daten vor Verlust?
Authentizität
Sind Absender und Daten echt?
ideal für verkompliziert
z.B. Sicherung in “Cloud”
Integriert in OS und Handys
Dezentral.
Oft nur transportverschlüsselt.
Zugriffsschutz
Wer kann meine Information lesen?
7. Wem vertrauen?
Vertrauen delegieren
Hierarchisches Konzept
Netzwerk des Vertrauens
Dezentrales Konzept
z.B. SSL + HTTPS
Zentrale Instanz stellt Zertifikate
aus und verkauft diese
z.B. Pretty Good Privacy
(PGP/GPG)
User signieren gegenseitig ihre Zertifikate
• “Root-Zertifikate” sind z.B. in
Webbrowsern eingebaut
• Diese können gestohlen
werden
• Gesamte Kette dann unsicher
(Beispiel “Diginotar”, Google-
Zertifikate und Iran, 2011)
• Niemand kann von jedem
ein Zertifikat beglaubigen
• Vertrauen hierbei also
auch delegiert, nur
verteilter
8. Vertrauen in Softwarehersteller
Open Source
Quellcode kann von jedem überprüft
werden. Kann trotzdem kommerziell
sein.
Closed Source
Schwacher Ansatz: “Security by
Obfuscation”
• Backdoors sind nicht
nachvollziehbar
• Verschlüsselung mit
“Zweitschlüssel” umgehbar
• Offiziell kooperieren die
Hersteller mind. “gemäß
den jeweils geltenden
Gesetzen” wie G10.
• Code ist offen zugänglich
• Backdoors könnten von
jedem zumindest
theoretisch gefunden
werden
• Praktisch: Vertrauen in die
Community
z.B. Linux, GPG, OTR
9. Verschlüsselungsansätze
Transportverschlüsselung
Zwischen User und Provider
Ende-zu-Ende-Verschl.
Von einem Benutzer zum anderen
Absoluter Minimalstandard!
Emails, Online-Banking, immer einschalten!
z.B. HTTPS-everywhere. Kein Nachteil
• Der Anbieter hat vollen Datenzugriff
• Verschlüsselung sperrt Dritte auf dem
Transportkanal aus
• Authentifizierung eingebaut:
z.B. “Das ist wirklich meine Bank”
• Auch bei Handys in Hardware
eingebaut (SIM)
• Z.B. HTTPS, HBCI,SIM-Verschlüsselung
• Nur die Entnutzer können die
Informationen entschlüsseln
• Der Provider sieht und vermittelt nur
Datenpakete
• Authentifizierung eingebaut
• Nicht automatisch anonym!
• Z.B. PGP/GPG, Threema,
verschlüsselte Dateien
10. Technische vs. gesetzliche Sicherheit
GG Artikel 10
(1) Das Briefgeheimnis sowie das Post- und
Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes
angeordnet werden. Dient die Beschränkung dem
Schutze der freiheitlichen demokratischen Grundordnung
oder des Bestandes oder der Sicherung des Bundes oder
eines Landes, so kann das Gesetz bestimmen, daß sie
dem Betroffenen nicht mitgeteilt wird und daß an die
Stelle des Rechtsweges die Nachprüfung durch von der
Volksvertretung bestellte Organe und Hilfsorgane tritt.
• “G10-Gesetz”
• Definiert die Eingriffsrechte der Geheimdienste und
regelt die Ausnahmen zu Artikel 10
• 2011 extrem erweitert
• Welcher Datenschutz gilt bei der internationalen
Verarbeitung von Daten?
11. Verschlüsselung vs. Anonymität
Verschlüsselung heißt nicht automatisch, dass der
Kommunikationskanal nicht nachvollziehbar ist!
Wichtig nicht nur für Quellenschutz, Whistleblower, sondern für jeden User.
Umgehung teilweise möglich z.B. TOR
Solche Software kann über Spuren im Internet verwischen
• Programme wie
“XKeyscore” (NSA) filtern
laut Berichten gezielt nach
Absendern verschlüsselter
Nachrichten
• PGP/GPG z.B. bettet
standardmäßig Absender
und Adressaten ein!
Quelle: https://www.documentcloud.org/documents/743244-xkeyscore-slidedeck.html
12. Grundlage: Sichere “Passphrase”
Computer können Passwörter sehr effizient “knacken”
Dazu probiert der Rechner einfach Variationen aus. Passwort = Relative Sicherheit!
“Brute Force”
Systematisch werden alle
Zeichenkombinationen durchprobiert
Wörterbuchattacke
Noch leichter: Wörterbucheinträge
und einfache Zahlenkombinationen
Niemals einfache Wörter
verwenden!
Buchstaben, Zahlen und
Sonderzeichen kombinieren.
Am besten: Völlig zufällig
6 Stellen zu knacken: Ca. 0,16 €
8 Stellen zu knacken: Ca. 400 – 800 €
11 + Stellen: Derzeit relativ sicher
Tausende Passwörter in kürzester Zeit
automatisch zu lösen.
Für jede Anwendung / Website ein eigenes Passwort
Nur dann sind andere Accounts sicher, wenn das Passwort einer Seite geklaut wird.
13. Wer kann sich sowas merken?
“Aufschreiben” / Speichern
Viele, rein zufällige Passwörter
In entsprechendem Programm
(“Passwortmanager”) mit Masterpasswort
sichern
Passphrase systematisch
variieren
z.B. Geschichte mit Zahlen und Zeichen
anreichern
Strapaziert weiterhin das
Gedächtnis
Müssen trotzdem regelmäßig
geändert werden.
Verlagert das Verlustrisiko auf ein
einziges Master-Passwort und Gerät
Vorsicht: Nicht online speichern!
Passwortmanager gibt es für
PC/Mac/Linux/Firefox oder
Smartphones
z.B. im Mac der “secure Keyring”
Stärke des Menschen über den
Computer: Semantik, Sinn über die
Worte und Zeichen hinaus.
Speichern? Aufschreiben? Eines für alles?
14. • Trojaner und Viren unterminieren jeden techn. Schutz
• Wer die Tastatur mitliest hat jede Nachricht
• Geräte-Diebstahl ist großes Sicherheitsproblem
Grundlage 2: Sicherer Rechner
Immer aktuelle Updates einspielen
Am kritischsten: Webbrowser, Betriebssystem und Emailprogramm
Immer Antiviren-Software verwenden
Bei Windows-Rechnern
Auf jedem Rechner und Smartphone ein Passwort setzen
Aktuelle Android und iOS-Geräte verschlüsseln dann auch die Festplatten
Jede Festplatte verschlüsseln und Backups sichern
Windows: Bitlocker, Mac OS X eingebaut, Linux eingebaut.
15. Praktisches Beispiel: Threema statt Whatsapp
• Whatsapp is sicherheitskritisch
• Überträgt Kontaktdaten
• Unverschlüsselte Nachrichten
• Threema:
Ende-zu-Ende verschlüsselt
• Nachteil:
Kein Open-Source,
nicht kostenlos,
nur ein Gerät je Account
• Vorteil: Sehr einfache Nutzung
• Adressbuchabgleich via “Hash”
statt Upload der vollen
Adressbücher
Reiner Offline-
Kontaktaustausch möglich
• Ebenfalls kommerzielles
Produkt
Bisher nur für
iOS Android
Quelle Bilder: www.threema.ch
16. • Wir installieren auf Wunsch GPG
(Email-Verschlüsselung)
• Wir installieren HTTPS everywhere (EFF)
• Wir tauschen GPG-Schlüssel aus und signieren diese
• Wir aktivieren die Festplatten-Verschlüsselungen
• Wir erklären auf Wunsch
GPG, Jitsy, Festplattenverschlüsselung, Threema, etc.
Praktische Phase
17. Vielen Dank für Ihre Aufmerksamkeit
Verwendete Quellen und Logos mit gesonderter Lizenz: Simple Icons von Dan Leech (Free Art Licence,
github.com/danleech/simple-icons. Folgende Icons stehen unter CC BY Lizenz und sind von www.thenounproject.com: Key
designed by William J. Salvador from the Noun Project. Hard Disk Drive designed by Eddie Alshehrie from the Noun Project.
Mask designed by Gilad Fried from the Noun Project. Passport designed by Katia Marsh Mallow from the Noun Project. Cloud
designed by Edward Boatmanfrom the Noun Project. Conversation, designed by Murali Krishna from the Noun Project.
Inspiriert von Emiland De Cubber “Dear NSA” @emilanddc.
Arian Kriesch www.arian-kriesch.de @freiheitsfreund
Diese Präsentation steht, bis auf anders gekennzeichnete Bestandteile, unter der Creative Commons
Namensnennung – Nicht-kommerziell – Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.