Datensicherheit und Anonymität

Aus BoyWiki

Im Computer- und Internetzeitalter sind Datensicherheit und Anonymität besonders wichtig, um sich selbst und andere zu schützen. Im folgenden sind einige wichtige Hinweise zusammengefasst, die sich zu beachten lohnt.

Sichere Passwörter

Sichere Passwörter sind das A und O beim Schutz von Computerdaten. Für verschiedene Zwecke sollten auch unterschiedliche Passwörter verwendet werden. Wie stark ein Passwort ist, hängt von drei Faktoren ab. Einerseits sollte die Passwortlänge mindestens 10 Zeichen betragen. Je mehr Zeichen verwendet werden, desto sicherer ist es. Dies gilt aber nur, wenn das Passwort andererseits keinem einfachen Muster folgt. Lange Wörter der deutschen Sprache können beispielsweise leicht erraten werden, indem einfach alle Wörter aus einem Wörterbuch durchprobiert werden. Drittens sollten auch verschiedene Zeichentypen verwendet werden. Es empfiehlt sich die Verwendung sowohl von Großbuchstaben (A-Z), Kleinbuchstaben (a-z), Ziffern (0-9) wie auch von Sonderzeichen (+$%&.-?).

Schwache Passwörter sind demnach: 12345, David, Gott oder Sex

Starke Passwörter sollten für Außenstehende keinen Sinn ergeben und wie bereits erwähnt über eine ausreichende Länge verfügen. Stark wären beispielsweise die Passwörter H7\&&jp1LV!uwa+40nnv oder auch WnieaR$$?N,ewwdW$.

Der Nachteil an diesen Passwörtern ist, dass man sie sich schlecht merken kann. Doch dafür gibt es einfache Tricks: Man kann sich z.B. einen langen Satz ausdenken oder aus einem Buch merken. Von dessen Wörtern kann man den ersten und letzten, die ersten oder letzten beiden Buchstaben (usw.) und die Länge des Wortes als Ziffer nehmen. Schon hat man bei einem Satz mit 10 Wörtern 20 Buchstaben und 10 Ziffern. Bestimmte Buchstaben kann man nun durch Sonderzeichen ersetzen (z.B. S zu $ oder L zu \). Der Phantasie sind dabei kaum Grenzen gesetzt. Das zweite Beispiel von oben ergibt sich also ganz einfach aus folgendem Satz: Warum nur ist es am Rhein so schön? Nunja, es wird wohl der Wein sein. Der entsprechende Satz aber sollte dann natürlich nicht über dem Schreibtisch auf einem Poster groß zu lesen sein. Es versteht sich ebenfalls, dass die o.g. Passwörter unter keinen Umständen übernommen werden sollten, da diese mit der Veröffentlichung im BoyWiki wie jedes veröffentlichte Passwort als unsicher gelten.

Daten verschlüsseln

Unabhängig davon, ob man glaubt, etwas zu verbergen zu haben oder nicht, ist eine Verschlüsselung von Daten in Zeiten von Trojanischen Pferden, dem geplanten Bundestrojaner und teilweise unbegründeten Hausdurchsuchungen ein wichtiges Instrument zum Schutz der eigenen Privatsphäre.

Es gibt Programme, die verschlüsselte Archive in verschiedenen Formaten erstellen können, z.B. RAR oder ZIP. Diese sind geeignet für den Datenaustausch oder für Backups, jedoch nicht für Daten, die man häufiger benutzt. Denn um auf die Daten zugreifen zu können, muss man die Archive entpacken, wobei die Daten auf der Festplatte gespeichert werden. Natürlich kann man nach Beendigung der Nutzung die Daten wieder neu verpacken und verschlüsseln. Aber das anschließend auf einem unverschlüsselten Speichermedium erforderliche rückstandslose Löschen der entschlüsselten Daten ist sehr aufwändig und in kritischen Situationen möglicherweise nicht oder nicht schnell genug möglich.

Für die Arbeit mit regelmäßig benutzten Daten stehen verschiedene Programme wie das OpenSource-Tool TrueCrypt, BestCrypt und viele weitere Programme zur Verfügung.

Verschlüsselte Container

Eine Möglichkeit, seine Daten vor unerlaubtem Zugriff zu schützen, ist die Verwendung von Containern. Mit einem geeigneten Programm (z.B. TrueCrypt) erstellt man eine Datei, die wie ein Tresor funktioniert, und weist ihr ein Passwort zu. In diesem Container kann man, nachdem man ihn mit dem richtigen Passwort geöffnet hat, Dateien ablegen bzw. Programme wie Internetbrowser installieren. Anders als bei der Benutzung der o.g. Archivierprogramme kann auf den Container-Inhalt wie auf eine Festplatte zugegriffen werden, was z.B. unter Windows über ein eigenes virtuelles Laufwerk realisiert wird. Schließt man den Container, sind die darin enthaltenen Daten für andere unsichtbar.

Auch den Container selbst kann man in anderen verstecken Dateien verstecken, was jedoch aufgrund des hohen Speicherbedarfs sehr auffällig ist. Diese Methode ist also allenfalls geeignet, den Container vor Computerlaien aber nicht vor Ermittlungsbehörden zu verstecken.

Komplette Systemverschlüsselung

Eine weitere Methode, Daten zu verstecken ist die komplette Systemverschlüsselung, mit der die gesamte Festplatte (bzw. einzelne Partitionen darauf) samt Betriebssystem verschlüsselt und damit uneinsehbar wird. Nur mit einem Passwort, das beim Start des Computers abgefragt wird, kann das Betriebssystem (Windows, Linux, usw.) überhaupt erst gestartet werden. Moderne Linux-Distributionen bieten schon bei der Installation des Betriebssytems an, die Partitionen komplett zu verschlüsseln. Windows wird zunächst unverschlüsselt installiert und nachträglich mit z.B. TrueCrypt verschlüsselt. Zur Systemverschlüsselung gehört auch, dass, sofern vorhanden, die Auslagerungsdatei (Swapfile) bzw. die Auslagerungspartition (Swap-Partition) verschlüsselt wird. Hierin kann nämlich alles was sich im Hauptspeicher befindet (alle entschlüsselten Dateien und die Schlüssel selbst) zwischengespeichert werden, und es wird auch beim Ausschalten des Computers nicht gelöscht.

Angriffspunkte

Die größte Schwachstelle aller Datenverschlüsselungssysteme ist wohl die Tatsache, dass die Schlüssel im Hauptspeicher unverschlüsselt gespeichert sind, solange der Container bzw. die Partition geöffnet ist, und dass die Daten im Hauptspeicher einen Reboot und sogar eine kurze Trennung von der Stromversorgung überleben. Deshalb kann jeder, der direkten Zugang zu dem Computer hat, die Schlüssel erhalten, auch wenn er durch einen gesperrten Bildschirm daran gehindert ist, das laufende System zu nutzen. Er baucht bloß die Resettaste zu drücken und beim nächsten Bootvorgang ein eigenes kleines System zu booten, das den Hauptspeicher ausliest. Man kann dies etwas erschweren, indem man im Bios einstellt, dass nur von der Festplatte gebootet wird, und ein Bios-Passwort setzt, um eine Änderung dieser Einstellung zu verhindern. Diese Hürde lässt sich aber relativ leicht umgehen. Beispielsweise kann eine andere Festplatte angeschlossen werden, oder es werden einfach die Speichermodule ausgebaut und in einem anderen Rechner ausgelesen.

Wirksam schützen kann man sich gegen diese Art von Angriff kaum. Sicher sind die Daten nur, wenn der Computer ausgeschaltet ist. Es daher nicht verkehrt, den Computer nachts ausgeschaltet zu lassen, weil ungebetener Besuch häufig in der Nacht oder früh morgens kommt, wenn der BL noch schläft und den Computer eigentlich gar nicht braucht. Der Computer muss jedoch ganz ausgeschaltet sein, er darf sich nicht im Ruhezustand befinden!

Ein weiteres Problem sind Keylogger, mit denen vom Angreifer alle auf der Tastatur gedrückten Tasten und damit auch die eingetippten Passwörter protokolliert werden können. Software-Keylogger lassen sich prinzipiell durch Anti-Spyware/Viren-Programme entfernen. Hardware-Keylogger werden höchstwahrscheinlich von staatlicher Seite für Ermittlungen gegen BL nicht eingesetzt.

Anonym im Internet surfen

Trennung anonymer und nichtanonymer Aktivitäten

Bevor man sich Gedanken darüber macht, wie man Anonymität beim Surfen erreichen kann, sollte man sich überlegen, dass und wie man die anonymen von den nichtanonymen Aktivitäten trennt, denn kaum jemand wird ständig anonym unterwegs sein wollen. Schließlich sind anonyme Verbindungen meistens ziemlich langsam, und manchmal muss man auch die wahre Identität preisgeben, etwa wenn man mit persönlich bekannten Leuten kommuniziert, irgendwo etwas bestellt oder beim Onlinebanking.

Aber wo sollte man die Grenze ziehen? Die meisten Aktivitäten wie etwa das Lesen im Jungsforum sind harmlos und völlig legal. Andererseits ist es leider den Strafverfolgungsbehörden erfahrungsgemäß häufig egal ob sich ein Pädo legal verhält oder nicht. Als Pädo steht man unter einem Generalverdacht, in illegale Aktivitäten verwickelt zu sein. Deswegen ist es wichtig, dass der Verdacht, pädophil zu sein, erst gar nicht aufkommt. Das bedeutet aber, dass man am besten alle BL-bezogenen Internetaktivitäten ausschließlich anonym durchführt. Dafür spricht auch, dass leicht eine Verbindung hergestellt werden kann, wenn man z.B. nichtanonym in einem Forum liest aber anonym schreibt (alleine schon durch zeitliche Korrelationen), oder dass man einfach vergisst, rechtzeitig auf die anonyme Kommunikation umzuschalten.

Wichtig ist auch, dass man auf ein E-Mail-Konto, das man für Kommunikation im BL-Bereich verwendet, niemals nichtanonym zugreift. Ein einziger Zugriff reicht aus, um die Verbindung zur wahren Identität herzustellen. Dasselbe gilt natürlich für alle möglichen anderen Zugänge, z.B. für Filehoster, Fotohoster, Usenet-Provider usw. Man sollte auch nicht durch Forenbeiträge, E-Mails oder sonstige Kommunikation eine Verbindung zwischen Identitäten aus beiden Bereichen herstellen. Keine gute Idee ist es außerdem, im BL-Bereich nähere Angaben zum Alter, Wohnort, Beruf und Arbeitsplatz zu machen. Man muss sich aber immer im Klaren darüber sein, dass prinzipiell durch Schreibstilanalysen eine Verbindung hergestellt werden kann, wenn man Vielschreiber in mehreren Foren ist.

Sehr zu empfehlen ist auch, auf dem eigenen Computer für eine strikte Trennung zu sorgen. Mindestens sollte man im Browser für die BL-Aktivitäten ein eigenes Profil erstellen, damit man mit Cookies, Bookmarks usw. nicht durcheinander kommt.

Vermeidung illegaler Aktivitäten

Auch wenn man den BL-Bereich gut abgesichert zu haben glaubt, sollte man dennoch möglichst alles Illegale unterlassen, insbesondere den Tausch von Kinderpornografie. Es geht dabei nicht nur um die eigene Sicherheit, sondern auch um die der Tauschpartner, die man selbst kaum überblicken kann. Eine ganz schlechte Idee ist es, illegales Material bei irgendeinem Filehoster hochzuladen und die Links öffentlich zu verbreiten. Viele Leute werden dann ohne Anonymisierung darauf zugreifen, alleine schon weil der Zugriff über die im Folgenden beschriebenen Proxys häufig kaum möglich ist.

Proxys und Verschlüsselung

Nun zur eigentlichen Frage, wie man seine Internetverbindung anonymisieren kann. Das Problem besteht darin, dass normalerweise der Webserver auf dem man gerade surft (oder jeder andere Dienst, den man benutzt) die IP-Nummer des Surfers kennt, und dass dank Vorratsdatenspeicherung die IP-Nummer des Surfers mehrere Monate durch den ISP gespeichert wird. Wenn die Polizei auf dem Webserver Material findet, das sie für illegal hält, kann sie den Server beschlagnahmen und in den Logs, die meistens vom Server geführt werden, die IP-Nummer des Surfers sehen. Die Identität des Anschlussteilnehmers erfährt sie durch Abfragen beim ISP. Außerdem kann die Polizei (auch anlassunabhängig) Kommunikationsnetze abhören und bei Verdacht auf illegale Aktivitäten wie beschrieben über die IP-Nummern die Kommunikationspartner ermitteln.

Das IP-Protokollierproblem kann man durch Verwendung von Proxys lösen, das Abhörproblem durch Verschlüsselung der Verbindung.

Ein Proxy ist ein Computer, der stellvertretend für den Surfer die Information abruft und an den Surfer weiterleitet. In den Serverlogs steht dann die IP-Nummer des Proxys, nicht die des Surfers. Wenn(!) der Proxy selbst nichts protokolliert, kann die Verbindung zum Surfer nicht zurückverfolgt werden.

Bei Benutzung von Proxys ergibt sich allerdings auch ein neues Problem: Es ist nicht garantiert, dass diese auch tatsächlich den Inhalt der angewählten Seite unverändert an den Surfer weiterleiten. Im schlimmsten Fall werden Schadprogramme eingeschleust. Daher sollte man wann immer möglich das verschlüsselte HTTPS (SSL) - Protokoll benutzen[1]. Bei unverschlüsselten Seiten kann es beim Surfen über Proxys keine vertrauenswürdigen Seiten geben, und man sollte keine Zonen mit aufgeweichten Sicherheitseinstellungen für Seiten einstellen, denen man sonst vertraut. (s. Browsersicherheit).

Einfache Proxys

Das Problem bei der Benutzung eines einzelnen Proxys ist, dass man dem Proxybetreiber völlig ausgeliefert ist, denn dieser kennt sowohl den Inhalt der Kommunikation als auch die IP des Surfers. Man kann wohl davon ausgehen, dass insbesondere freie Proxys oft alleine zum Zweck des Schnüffelns angeboten werden, möglicherweise sogar von staatlichen Behörden, ohne dass man dies im Einzelfall erkennen kann. Der Schuss kann also nach hinten losgehen: Statt die Sicherheit zu erhöhen, lenkt man auch noch die Aufmerksamkeit auf sich.

Dennoch haben auch einfache Proxys einen Nutzen, nämlich dann wenn Websites die im nächsten Abschnitt beschriebenen Proxy-Netze gesperrt haben. Man kann in diesem Fall das sichere Proxy-Netzwerk und einen einfachen Proxy in Reihe schalten (in dieser Reihenfolge). Besonders einfach ist das mit Webproxys, bei denen man die Adresse der gewünschten Webseite in ein Formularfeld auf der Proxy-Seite angibt. Eine Liste von Webproxys gibt es z.B. hier. Leider funktionieren einige Webseiten mit Webproxys nicht, insbesondere dann wenn sie Javascript benutzen. Besser in dieser Hinsicht, allerdings auch schwieriger zu konfigurieren sind SOCKS-Proxys.

Proxy-Netzwerke

Viel sicherer als einfache Proxys sind Proxy-Netzwerke, von denen Tor wohl das meistverbreitete ist. Statt nur einen einzelnen Proxy benutzt man hier eine Kette von hintereinander geschalteten Servern, die von verschiedenen Personen bzw. Organisationen betrieben werden. Das gibt natürlich nur dann einen Sinn, wenn die Kommunikation verschlüsselt wird, denn sonst würden gleich alle beteiligten Server die IP-Nummer des Surfers und den Inhalt der Kommunikation kennen. In der Regel besteht bei Tor die Kette aus drei Servern, und die Verschlüsselung ist so konzipiert dass der Server mit dem der Surfer verbunden ist (Entry-Node), nicht das Ziel der Kommunikation, also z.B. den Webserver kennt. Den Inhalt kennt er auch nicht. Das letzte Glied der Kette (Exit-Node) verbindet sich mit dem Webserver, kennt aber nicht die IP-Nummer des Surfers. Allerdings kennt es den Inhalt der Kommunikation, sofern dieser nicht verschlüsselt ist, z.B. über https. Vertrauliche Daten sollten also auch mit Proxy-Netzwerken nur verschlüsselt übertragen werden. Dass innerhalb des Tor-Netzwerkes Verschlüsselung zum Einsatz kommt, ist in diesem Zusammenhang irrelevant. Der mittlere Server weiß am wenigsten, nämlich nur dass irgendeine Kommunikation über die Entry- und Exit-Nodes stattfindet.

Unter Windows ist Tor sehr einfach zu nutzen als PortableTor mit PortableFirefox (s.u.) und einem Addon wie Torbutton oder evtl. FoxyProxy. PortableTor (Download) kann man in einen verschlüsselten Container installieren (siehe oben), ebenso wie PortableFirefox (Download). Wenn man den Torbutton installiert hat, kann man ganz einfach durch einen Klick auf den Torbutton im Browserfenster bewirken, dass die Benutztung von Tor ein- bzw. ausgeschaltet wird. FoxyProxy (Download) hat eine ähnliche Funktion, lässt sich aber noch weiter konfigurieren. Man kann insbesondere einstellen, bei welchen Webseiten Tor oder auch andere Proxys benutzt werden sollen. Das ist zwar einerseits bequem, durchkreuzt aber leider auch die oben beschriebene Empfehlung der maximalmöglichen Trennung von BL- und Nicht-BL-Bereich. Wenn man z.B. seine Liebings-BL-Seite X nur über Tor besuchen möchte und andere Seiten nicht, kann es passieren, dass wenn von X ein Inhalt von einer anderen BL-Seite eingebunden wird, dieser automatisch ganz ohne Proxy aufgerufen wird.

Für Windows steht weiterhin das Browser-Paket XeroBank (früher Torpark) zur Verfügung. Hier ist der Download möglich: http://xerobank.com/xB_browser.html (in der Mitte auf den "Download Now" Button klicken).

Aus Erfahrung lässt sich sagen, dass mit PortableTor ein schnelleres Surfen möglich ist als mit XeroBank, da man bei PortableTor im Vidalia-Fenster langsame Verbindungen schließen kann und Tor so dazu bringen kann, auf eine schnellere zu wechseln.

Unter Linux kann man Tor meistens über die Paketverwaltung installieren. Die notwendigen Einstellungen in Firefox überlässt man am Besten dem Torbutton.

Tor-Server speichern i.d.R. keine Verbindungsdaten, trotz Vorratsdatenspeicherung auch dann nicht, wenn sie in Deutschland stehen.[2] [3]

Ein ähnlicher Dienst wie Tor ist JAP (nichtkommerziell) bzw. JonDo (kommerziell). Offenbar werden hier aber Verbindungsdaten auf allen beteiligten Servern mit deutschem Standort gespeichert, was eine nachträgliche Rückverfolgung der Verbindung ermöglicht und die Benutzung dieser Dienste relativ unattraktiv erscheinen lässt.[4]

Browser-Sicherheit

Wichtig ist zu wissen, dass Anonymisierungsdienste allein ggf. nicht ausreichen, wenn man unsichere Browser-Optionen wie Cookies, Javascript, Java, Flash u.ä. aktiviert hat - damit ist weiterhin das Ausspähen der IP-Adresse möglich. Der XeroBank-Browser bringt bereits Tools mit, die diese Inhalte standardmäßig deaktivieren. Diese Tools lassen sich auch auf einer manuellen Firefox-Installation aufspielen. Die wichtigsten sind: NoScript und CookieSafe.

Standardmäßig ist bei Windows-Rechnern der Internet-Explorer installiert. Er gilt bei sicherheitsbewussten Benutzern als unsicher und virenanfällig. Eine Alternative ist der Firefox-Browser. Man kann ihn auch in der FirefoxPortable Portable-Version in einem verschlüsselten Container installieren, wenn man nicht schon das ganze System verschlüsselt hat.

Wichtig: Das Userprofil wird außerhalb des Installations- bzw. Programmordners angelegt! Es macht Sinn dies beizubehalten, da im Falle von Updates oder Neuinstallationen das Userprofil bestehen bleibt. Standardmäßig legt Firefox das Userprofil in allen Versionen unter C:\Dokumente und Einstellungen\Profil\Anwendungsdaten\Mozilla\Firefox (für Windows 2000) ab. Natürlich macht es keinen Sinn, wenn man das Programm selbst in einem Container nutzt, aber das gesamte Profil (Cache, Favoriten etc.) in einem jedermann zugänglichen Ordner liegt. Deshalb vor der ersten Nutzung ein Profil im Container anlegen! Die einzigen Dateien, die Firefox dann unter C:\Dokumente... schreibt ist der Hinweis, wo denn nun das Benutzerprofil liegt. Diese beiden Dateien (profiles.ini und ggf. pluginreg.dat) solltet ihr nicht löschen, sonst findet Firefox das Profil nicht und ihr könnt alles wieder neu anlegen. Weitere Informationen zu diesem Thema findet ihr im deutschsprachigen Firefox-Forum.

Einfacher ist es, Portable Versionen zu verwenden. So existiert beispielsweise ein Portabler Firefox. Den muss man nur in einen Container (z.B. also unter X:\Firefox) entpacken und schon sind alle Daten, inklusive der Profildaten immer im Container. Link: Portable Firefox
Eine andere Möglichkeit ist die Verwendung von Linux-Live-CDs, die alle temporären Daten nur im Arbeitsspeicher ablegen. Beispiele dafür sind die Live-CDs von: Knooppix und Ubuntu.

Die von der Mozilla-Homepage herunterladbare Version (also nicht die Portable-Version) wird standardmäßig unter C:\Programme installiert. Man kann aber auch diese Version in einem verschlüsselten Container installieren. Dazu muss man bei der Installation direkt den Pfad ändern. Für das Userprofil gilt das gleiche wie oben beschrieben!

Weitere Vorzüge des Firefox-Browsers: Der Browser ist schnell, bei Fragen gibt's jederzeit Hilfe im Firefox-Forum, Es gibt zahlreiche Plugins und Addons, die immer weiter entwickelt werden, Sicherheitslecks werden durch die Community in kürzester Zeit behoben.

Ein weiterer Punkt kommt besonders faulen oder weniger gedächtnissstarken Usern zu gute: Firefox verschlüsselt alle Passwörter, die für Logins auf Webseiten notwendig sind, in einem geheimen verschlüsselten Bereich, auf den man erst nach Eingabe eines Masterpasswortes Zugriff hat.

Wer den Thunderbird als Mailclient und den Firefox als Browser nutzt, sollte auch einen Blick auf die komplette Mozilla-Suite werfen, hier hat man dann Browser und Mailclient in einem Programm. Zur Installation gilt das gleiche wie oben beschrieben! Natürlich gibt es Firefox und Mozilla auch für Linux und Mac.

Die Funktionalität und Fähigkeiten der heutigen modernen Browser sind sehr weitreichend und komplex. Für maximale Sicherheit sind folgende Hinweise zu beachten:

Java

Java ist eine Programmierumgebung, die es ermöglicht, plattformunabhängig Programme zu schreiben, die auf allen Computern laufen. Die Java-Programme werden durch einen Interpreter auf dem PC des Internet-Nutzers ausgeführt. Viele Webseiten im Internet nutzen Java nur für graphische Effekte, aber mittels Java kann man auch den PC des Nutzers durchleuchten und Informationen oder Dateien sammeln. So kann beispielsweise ein Java-Applet die IP-Nummer des Computers herausfinden und an den Server übertragen, auch dann wenn Proxys benutzt werden! Generell ist es sinnvoll und geboten, Java zu verbieten.

Java-Skript

Java-Skript ist eine Sprache, die direkt in den HTML-Code einer Webseite eingebunden ist. Mittels Java-Skript kann eine Webseite Informationen über deinen Rechner sammeln, so zum Beispiel das Betriebsystem oder den verwendeten Browser, allerdings nicht die IP-Nummer. Diese Informationen können dann für einen Angriff über das Internet genutzt werden. Java-Skript wird ebenso wie Java auf dem PC des Nutzers ausgeführt. Am sichersten ist die Abschaltung der Funktion. Allerdings verlangen viele Webseiten zwingend Java-Skript, ohne welches diese Seiten nicht funktionieren. Im Internet-Explorer kann man Internetzonen einrichten für Websites, bei denen man Java-Skript erlauben will.

Visual-Basic-Skript

Visual-Basic-Skript (VBS) gibt es nur auf Windows-Rechnern mit Internet Explorer bzw. Lotus Notes. Netscape kennt VBS nicht. VBS ist eine Skriptsprache von Mircrosoft, die Programmierern neue Möglichkeiten für die Programmierung von Windows bietet. Jeder von Euch hat bestimmt schon vom Loveletter-Virus gehört. Dieser nutzt schamlos das angeschaltete VB-Skript, um Schaden am PC anzurichten. Der war aber noch sehr harmlos im Vergleich zu den Fähigkiten, die VBS dem Programmierer bietet. Man kann VBS (zumindest im Internet Explorer) nur zusammen mit Java-Script aktivieren bzw. deaktivieren. Die Regel lautet also : abschalten. Man kann den VBS-Mechanismus aber sehr leicht aushebeln, in dem man die Verknüpfung für Dateien mit der Endung .vbs ändert.

ActiveX

ActiveX ist eine proprietäre Erweiterung von Microsoft. Dies gibt es auch nur auf Windows-Rechnern mit Internet Explorer. Da gibt es nicht viel zu sagen: abschalten.

Flash

Viele Seiten benutzen Flash. Besonders Seiten auf denen man Videos abspielen kann, funktionieren ohne Flash meistens überhaupt nicht. Für Flash gilt aber dassselbe wie für Java: Das Flash-Applet kann die IP-Adresse des Computers ermitteln, auf dem der Browser läuft, und an den Webserver übertragen, was eine Proxy-Benutzung völlig wirkungslos macht. Deshalb ist es dringend geboten, das Flash-Plugin nicht installiert zu haben. Oft ist Flash vorinstalliert, man muss es also deinstallieren.[5]

Dokumenten-Betrachter

Externe Programme bzw. Browser-Plugins, mit denen man Dokumente ansehen kann, sollten zwar eigentlich keine Funktionen bieten, die zu Datenlecks führen. Tatsächlich werden aber immer wieder Bugs in diesen Programmen gefunden. Man sollte also sehr vorsichtig sein mit PDF-, DOC-, Powerpoint- oder ähnlichen Dateien, besonders wenn sie aus zweifelhafter Quelle stammen, sonst handelt man sich möglicherweise Schadcode ein, mit dem der Rechner ausspioniert werden kann.

Cookies

Diese kleinen Kekse (engl.: cookie :-) sind kleinen Dateien, die eine Webseite auf deinem Rechner ablegt. Diese Datei enthält z.B. eine eindeutige ID oder die Anzahl, wie oft du schon auf der Seite warst, oder einen Benutzernamen. Viele Seiten setzen Cookies explizit voraus und arbeiten ohne diese nicht.. Risiko: Eine Webseite kann dich wiedererkennen und so ein Profil Deiner Aktivitäten auf dieser Webseite anlegen. Dieses wird für angepasste Werbung schon benutzt. Für seriöse Seiten sind Cookies sehr wohl sinnvoll. Viele Seiten setzen aber Cookies (auch) zum Zwecke der Wiedererkennung der Nutzer. Generell gilt hier das selbe wie bei Java- oder VB-Skript. Im Firefox-Browser kann man einstellen, dass die Cookies beim Beenden des Programms gelöscht werden, was wohl am sinnvollsten sein dürfte.

Cache und Verlauf

Der Cache ist ein Zwischenspeicher für Webseiten. Um die Ladegeschwindigkeit zu optimieren, werden häufig aufgerufene Seiten in einem Verzeichnis Deiner Festplatte abgelegt. Im Cache landen HTML-Dateien, JS-Dateien, Bilder usw. Man hinterlässt also Spuren der letzten Internetbesuche. Vor allem auf Rechnern bei der Arbeit, an denen mehrere Benutzer mit einem PC arbeiten, kann dies tückisch sein. Des weiteren gibt es einen sogenannten Verlauf. Den Verlauf siehst du, wenn du mal in der Adress-Zeile klickst. Meist ist rechts ein Pfeil zum Klicken dran. In der Liste, die du dort siehst, stehen die Adressen, die du in der Vergangenheit aufgerufen hast. Die volle Liste ALLER aufgerufenen Seiten findest du beim Internet Explorer, wenn du in der Symbolleiste auf Verlauf klickst. Dort siehst du, fein säuberlich geordnet, alle Webseiten, die du aufgerufen hast. Diesen Verlauf sowie den Cache solltest du regelmäßig löschen oder besser noch überschreiben (erasen/wipen).

So, jetzt sollte dein Browser einigermaßen sicher eingestellt sein, sowohl in Hinblick auf bösartige Web-Inhalte, als auch in Bezug auf lokal gespeicherte Daten.

Firewalls

Eine Firewall (Paketfilter) filtert jedes einzelne Internetpaket nach diversen Kriterien, ob es erlaubt ist oder etwa nicht. Mit einem solchen Filter kann man wirkungsvoll unterbinden, dass sich Angreifer von außen zum Beispiel mit dem Port 139 auf Deinen Rechner verbinden. Von außen betrachtet, existiert dieser Port dann gar nicht. Das ist natürlich sehr gut, denn was man nicht sieht, kann man auch nicht angreifen. Mittlerweile sind solche Firewalls in vielen Antivirenprogrammen integriert.

Um diese Unsichtbarkeit für alle Ports möglichst einfach zu erhalten, empfehlen wir dringend den Einsatz einer Firewall. Eine gute Firewall (Paketfilter), der auch einfach zu installieren ist, ist ZoneAlarm. Die Software ist Freeware, darf also von jedem ohne Einschränkungen benutzt werden. Eine Möglichkeit dieses Programm runterzuladen findest du hier. Hinweise zur Benutzung von ZoneAlarm findest du hier (englisch). Eine deutsche Bedienungsanleitung für ZoneAlarm & ZoneAlarmPro findest du hier. Mit Hilfe solcher Paketfilter sind trojanische Pferde, die man versehentlich installiert hat, ebenfalls ausgeschaltet. ZoneAlarm möchte für jedes Programm, dass sich ins Internet verbinden möchte, eine Bestätigung des Benutzers haben, ob dieses Programm auch wirklich ins Internet darf. Ausserdem blockt es zuverlässig die Ports, die von Trojanern benutzt werden. Wenn sich also ein Angreifer mit Port 27374 verbindet, in der Hoffnung, dort einen Sub7-Server vorzufinden, wird dieser Versuch nicht von Erfolg gekrönt sein, da ZoneAlarm oder eine andere Firewall diese Verbindungs-Versuche abblocken.

Für weitergehende Kontrolle über den Filter empfehlen sich komplexere Programme wie Conseal PC-Firewall, wo man völlig eigene Regeln definieren kann. Dies ist aber nur etwas für Experten. Außerdem ist diese Software kostenpflichtig.

Firewall testen

Du kannst deine Firewall testen, in dem du freie Dienste im Internet benutzt, die deinen Rechner scannen. Damit kannst du erkennen, ob wichtige Ports deines Rechners offen oder geschlossen sind. Am besten ist, wenn sie im Stealth-Modus sind, dann kann man sie nämlich gar nicht sehen.

Zwei gute Webseiten, auf denen du deinen Rechner auf Lücken testen kannst, sind ShieldsUp!! von GRC und Hackerwatch. Diese testen deine Ports und geben dir eine genaue Statistik über offene, geschlossene und versteckte Ports auf deinem Rechner.

Filesharing und Tauschbörsen

Wer Filesharing-Programme benutzt, setzt sich nicht nur der Missgunst der Musik- und Filmindustrie aus. Auch andere illegale Inhalte werden in Tauschbörsen wie Gnutella, eMule oder BitTorrent offen angeboten. Eine Benutzung dieser und anderer nichtanonyme Tauschbörsen ist daher nicht empfehlenswert. Man weiss nie, wer am anderen Ende sitzt und munter Dateien zum Tausch anbietet oder Dateien von eurem System runterlädt. Die IP-Adresse des jeweils anderen Tauschpartners ist bekannt, und deshalb kann prinzipiell jeder herausfinden, wer was anbietet und herunterläd.

Mehr Sicherheit bieten anonyme Tauschbörsen, z.B. Freenet. Zwar kennen auch hier die miteinander kommuniziernden Tausch-Knoten die IP-Adresse des anderen Knotens, aber erstens ist der Inhalt verschlüsselt und zweitens verbreiten sich Inhalte nicht nur über Knoten, deren Benutzer ein Interesse am Inhalt haben, sondern auch über andere Knoten. Beides führt dazu, dass der Benutzer auch beim Nachweis, dass illegales Material über den Knoten gewandert ist, stets behaupten kann, er habe den Inhalt weder gekannt noch angefordert.

Die heruntergeladenen Dateien sollte man mit einem Virenscanner prüfen. Niemals sollte man selbstextrahierende Archive starten, denn dabei handelt es sich um Programme, und selbst nach Überprüfung mit einem Virenscanner kann man nicht vollständig sicher sein, ob nicht doch Schadcode enthalten ist. Deswegen sollte man solche Archive wie ganz normale Archive aus einem passenden Packprogramm heraus öffenen, also Packprogramm starten, Archiv laden und extrahieren. Dann wird der Programmcode des Archivs nicht ausgeführt.

E-Mail-Sicherheit

Unverschlüsselte E-Mails sind so offen wie Postkarten. Der Briefträger kann die Postkarten lesen, bevor sie in deinem Briefkasten landen. Genauso ist es mit E-Mails. Jeder Computer, der an der Übertragung Deiner E-Mails beteiligt ist, ist technisch in der Lage, diese auch mitzulesen. Die Wahrscheinlichkeit ist groß, dass genau das auch in großem Stil passiert, sei es durch Administratoren oder durch Geheimdienste.

Unter Windows wird als Mailclient häufig "Outlook-Express" verwendet, das jedoch als unsicher gilt. Eine empfehlenswerte Alternative ist der Thunderbird. Das Open source-Produkt ist kostenlos, unterstützt beliebig viele POP 3 sowie IMAP-Konten, und mit dem Zusatztool Enigmail können Mails problemlos mit GnuPG verschlüsselt werden. Es gibt Thunderbird sowohl als installierbare Datei (Achtung: Programm nicht ins standardmäßig vorgeschlagene Verzeichnis sondern in einen Ordner im Container installieren!). Ein weiterer Vorteil: Der Client ist für Windows, Linux und Mac OS X erhältlich!

Vielmailern sei der Client The Bat! empfohlen. Er ist zwar nicht kostenlos, ist aber in Umfang und Sicherheit einer der besten Mailclients. Vor allem PGP ist in Verbindung mit POP3 problemlos per Mausklick zu bewältigen. Eine deutschsprachige Community hilft bei den Fragen. Wichtig bei der Installation: nicht ins standardmäßig vorgeschlagene Verzeichnis sondern in einen Ordner im Container installieren! The Bat! ist bisher leider nur mit Windows nutzbar.

Achtung: Beide Mailclients legen das Userprofil - und damit auch die Mails - standardmäßig in separaten Ordnern ab! Bei Thunderbird sollte - am besten vor der ersten Nutzung - ein Profil in einem neuen Ordner innerhalb des Containers angelegt werden (bei Problemen einfach im Forum nachfragen), bei The Bat! kann man in der Installationsroutine wählen, dass die Mails innerhalb des Programmordners liegen sollen.

PGP

Um maximale Sicherheit seiner Privatsphäre zu gewährleisten, sollte sich jeder angewöhnen, seine private Korrespondenz zu verschlüsseln. Dazu gibt es Tools wie zum Beispiel PGP. Mittels PGP kann man Informationen verschicken, ohne Gefahr zu laufen, dass der Inhalt mitgelesen werden kann. Der einzige Fakt, den ein Mithörer weiß, ist, DASS eine Mail von A nach B verschickt wurde. Ein sehr gutes und sogleich sicheres Mailprogramm ist The Bat!. Dieses Programm arbeitet optimal mit PGP zusammen und macht eine sehr schnelle Ver- und Entschlüsselung des E-Mail Verkehrs möglich. Eine gute deutsche Hilfeseite zu PGP mit Downloadmöglichkeiten für das Programm und Anleitungen findest du hier.

Remailer

Um auch dies noch zu verschleiern, muss man sogenannte Remailer benutzen. Diese anonymisieren Deine E-Mail, sodass 1. der Empfänger nicht mehr weiß, wo die Mail herkommt, ausser du sagst es ihm in der Mail, und 2. ein Lauscher auf der Strecke nicht weiß, wo die Mail her kommt oder wo sie hin soll. Einer der wenigen Remailer ist zur Zeit noch die Seite von anonymouse.

E-Mail-Account

Benutzt keine Adressen, die mit eurem Namen in Verbindung gebracht werden könnten. Eure Zugangsadresse z.B. bei AOL, T-Online, Freenet oder arcor sind für private BL- Kontakte tabu. Benutzt immer kostenlose Mail-Anbieter, die nicht mit eurem Internetanschluss in Verbindung stehen, z.B. Yahoo Mail. Jede Kommunikation (Anmeldung, Abrufen und Versenden von E-Mails) sollte über Proxys stattfinden, sonst kann man euch zurückverfolgen. Praktisch alle größeren Mail-Anbieter fragen bei der Anmeldung den Namen und evtl. weitere Details ab. Wer hier seine wahren Kontaktdaten angibt, ist selber schuld. Keine gute Idee ist es aber, die Wohn-Adresse zu fälschen, weshalb man Anbieter, die eine Adressangabe verlangen besser meiden sollte.

Seit 2005 müssen alle deutschen E-Mail Anbieter die Möglichkeit der Überwachung des E-Mai Verkehrs gewährleisten. Deshalb ist es mitunter ratsam einen E-Mailaccount bei einem ausländischen Provider anzumelden. Als Beispiel sei hier gawab genannt.

Auch Hushmail wird von einigen BL benutzt, weil es PGP-Verschlüsselung und verschlüsselten Webzugriff bietet, was man bei anderen Webmail-Anbietern kaum findet. Leider ist das aber nur eine trügerische Sicherheit. Hushmail gibt die unverschlüsselten Daten auf Gerichtsanordnung an Strafverfolgungsbehörden weiter. Die einzige wirklich sichere Methode ist, die PGP-Verschlüsselung wie oben beschrieben auf dem heimischen Rechner laufen zu lassen. Da man sich bei Hushmail zudem häufig anmelden muss (alle 2 Wochen?), damit der Zugang nicht verfällt, ist dieser Anbieter - jedenfalls für Leute die manchmal längere Pausen in ihren BL-Kontakten haben - eher ungeeignet.

Trojanische Pferde, Viren und andere Schädlinge

Mit E-Mails können auch Dateien verschickt werden, wie zum Beispiel Archive oder Bilder. Diese werden oft als selbstextrahierende Archive geschickt, also als ausführbare exe-Datei, welche selbständig die enthaltenen Daten entpacken. Bösewillige Zeitgenossen können aber ohne große Probleme ein sogenanntes trojanisches Pferd an diese Datei anhängen. Es wird gestartet, wenn du die exe-Datei ausführst. Meist installiert sich das trojanische Pferd als Service, der automatisch beim Booten gestartet wird. Auf diesen Service kann - ohne Sicherheitsvorkehrungen - vom Internet aus zugegriffen werden. Der Angreifer aus dem Internet kann dann praktisch alles mit deinem Computer machen: Daten klauen, deinen aktuellen Bildschirminhalt anschauen, Daten löschen oder gleich deine ganze Festplatte formatieren.

Von daher ist es ganz wichtig, keine E-Mail-Anhänge von Leuten zu öffnen, die dir eigentlich gar nichts schicken wollten. Frage im Zweifelsfall beim Sender nach, ob und wenn, was er dir geschickt hat. Ansonsten ist der Gebrauch eines Virenscanners sehr zu empfehlen. Er scannt die Datei, die du bekommen hast, und wird Alarm schlagen, falls sich ein böses Programm darin versteckst. Gute Antivirenprogramme gibt es etliche. Als Beispiel seien hier nur Panda-Antivirus, Kaspersky-Antivurus oder G-Data Antivirus genannt. Es macht wirklich Sinn für einen anständigen Virenscanner pro Jahr ein paar Euro auszugeben damit man (möglichst täglich) ein aktuelles Update der Virensignatur downloaden kann. Wer gänzlich kostenfrei geschützt sein will kann entweder Avira kostenlos nutzen oder denn Panda-Activescan (nur mit InternetExplorer) nutzen.

RAID und Backups

Zur Datensicherheit im weiteren Sinne gehört auch, dass die auf den Festplatten gespeicherten Daten nicht verloren gehen. Mögliche Ursachen sind versehentliches manuelles Löschen der Daten, Schadprogramme, Festplattencrashs, Feuer- und Wasserschäden sowie Diebstahl und Beschlagnahmung im Verlauf einer Hausdurchsuchung.

Gegen Datenverlust bei Festplattencrashs kann man sich relativ zuverlässig absichern durch Verwendung von RAID, d. h. automatische redundante Speicherung der Daten auf mehreren Platten. Bei gleichzeitiger Verwendung von Verschlüsselung und RAID sollten die Platten zuerst über RAID zusammengebunden und danach verschlüsselt werden, denn wenn man es andersherum macht, muss die rechenaufwändige Verschlüsselung mehrfach ausgeführt werden, was den Computer merklich verlangsamen kann.

Allen anderen Ursachen kann man nur durch regelmäßige Backups entgegenwirken. Besonders im Fall von Feuer und Beschlagnahmung ist allerdings damit zu rechnen, dass im selben Gebäude aufbewahrte Backupmedien ebenfalls abhanden kommen. Hier kann nur ein Online-Backup helfen.

Es versteht sich, dass ein Backup sensitiver Daten nur verschlüsselt erfolgen sollte. Wenn man ein komplett verschlüsseltes System hat und darauf ein Backup-Programm installiert ist, weiß dieses Programm nichts von der Verschlüsselung des Systems. Wenn man es nicht anders anfordert, werden die Daten vom entschlüsselten System unverschlüsselt auf das Backupmedium kopiert!

Bei heikelen Daten ist es nicht verkehrt, sich genau zu überlegen, wie man das Backupmedium beschriftet, weil man damit rechnen muss, dass auch andere Personen die Beschriftung zu Gesicht bekommen werden.

Kommerzielle Software und Dienste, elektronische Zahlungsmittel

Die Benutzung kommerzieller Software bringt mehrere potenzielle Gefahren mit sich. Erstens ist die Wahrscheinlichkeit, dass diese Programme Hintertüren enthalten, größer als bei quelloffenen, freien Programmen. Zweitens wird häufig eine Registrierung verlangt. Wenn man hier gedankenlos den eigenen Namen angibt und das Programm später im BL-Bereich verwendet, besteht die Möglichkeit, dass mit der realen Identität des Nutzers verknüpfte Informationen über das Internet versendet werden. Und drittens kann selbst bei nicht erfolgter Registrierung über den Bestell- und Zahlungsweg eine Verbindung hergestellt werden.

Die Probleme mit Registrierung und Bezahlung gelten für kommerzielle Dienste analog.

Bzgl. Bezahlung wird man generell davon ausgehen müssen, dass bei allen elektronischen Zahlungsvorgängen die Identität desjenigen, von dem das Geld ursprünglich stammt, zurückverfolgt werden kann. Das bedeutet, wenn man etwas anonym bezahlen möchte, muss man die Rückverfolgungskette entweder durch einen Bargeldschritt unterbrechen oder das Geld anonym verdienen. Ob letzteres wirklich möglich ist, sei mal dahin gestellt. Es dürfte jedenfalls recht aufwändig sein.

Die Umwandlung von Bargeld in elektronisches Geld ist möglich, indem man Prepaid-Karten wie z.B. die Paysafecard benutzt. Diese gibt es in Geschäften oder an Handykartenautomaten zu kaufen. Die Karten sollte man dann entweder nur für anonyme Sachen oder nur für nichtanonyme benutzen. Es wäre unsinnig, wenn man erst etwas heikeles im BL-Bereich damit bezahlt und dann mit der selben Karte etwas anderes unter seinem richtigen Namen bestellt. Man sollte außerdem die für die Zahlung benötigte Information von der Karte bzw. dem Handykartenautomatenausdruck im Computer verschlüsselt speichern und die Karte bzw. den Ausdruck möglichst bald vernichten. Bevor man sich für eine Zahlungsart entscheidet, sollte man selbstverständlich noch prüfen, ob man die Zahlung auch über die anonyme Internetverbindung (Proxys etc., s.o.) veranlassen kann. (Der Zahlungsvorgang läuft über eine Webseite, wo man eine Nummer oder einen Code von der Karte eingeben muss.)

Quellen

  1. und ggf. die Echtheit der SSL-Zertifikate überprüfen mittels Vergleich der sogenannten Fingerabdrücke des aktuellen Zertifikats mit den Angaben vom Seitenbetreiber bzw. mit dem Fingerprint vom letzten Besuch
  2. http://www.privacyfoundation.de/aktuelles/detail/browse/1/zurueck/akutelles/artikel/keine-vds-fuer-tor-nodes/
  3. http://wiki.privacyfoundation.de/TOR_Onion_Router
  4. http://anon.inf.tu-dresden.de/dataretention_de.html
  5. https://www.jondos.de/en/uieforum?c=showthread&ThreadID=1272

Weblinks