Skip to content

Hilfreiche Lektüre rund um IT-Sicherheit

»Spurenarm Surfen mit Mozilla Firefox, Mails verschlüsseln mit Thunderbird, Anonymisierungsdienste nutzen, chatten und Daten verschlüsseln.«

Das ist das Motto der Webseite privacy-handbuch.de. Man mag auf den ersten Blick die Macher für paranoid halten. Spätestens seit Edward Snowden sollten wir gelernt haben, dass die Wirklichkeit die schlimmsten Befürchtungen übertrifft.

Von dieser Seite bin ich auf kuketz-blog.de gelandet, die mich mit den ersten Sätzen der Datenschutzerklärung für sich eingenommen hat:

»An dieser Stelle erwarten Sie bestimmt einen Satz wie: Wir nehmen den Schutz Ihrer Daten sehr ernst. Doch diese oder ähnliche Eingangsformulierungen werden Sie hier vergeblich suchen. Vielmehr habe ich das, was durch solche Sätze versucht wird auszudrücken, direkt in Taten umgesetzt.«

Statt juristischem Geschwafel wird dort verständlich erklärt, welche Daten tatsächlich beim Besuch der Webseite erhoben werden. Und die Artikel über sichere Browsereinstellungen, Add-Ins etc. sind sehr lohnenswert.

DSGSTVZO oder immer Ärger mit dem Datenschutz

Als Blogger fühlt man sich vom Gesetzgeber gegängelt und gequält. Ständig tun sich neue Abgründe auf, in die man fallen kann bzw. Abmahnungen drohen.

Das fing vor Jahren mit dem Zirkus um das sog. Double-Opt-In-Verfahren beim Abonnieren von Kommentaren an.

Jetzt steht die Datenschutzgrundverordnung (DSGVO) vor der Tür. Zugegeben, sie steht da schon monatelang; gültig wird sie jetzt am 25. Mai 2018. Wenn man sich in Foren und sozialen Medien nach diesem Thema umschaut, scheint das Ende des Internets nah.

Frei nach dem Motto »In der Ruhe liegt die Kraft« habe ich das mit einem Auge verfolgt, ohne in Aktionismus auszubrechen. Jetzt endlich ist mir ein leicht verständlicher Artikel in den Feedreader gekommen: Datenschutz, geringfügige Veränderungen – obacht! von Matthias, Serendipity-Benutzern wohlbekannt als unermüdlicher Helfer im Forum und wegen seiner großartigen Templates.

Für mich völlig überraschend gibt es für Serendipity bereits ein Plugin namens »DSGVO / GDPR: Datenschutz-Grundverordnung«, das einem unter die Arme greift. Das ersetzt natürlich nicht das Selberdenken, keine Rechtsberatung und ist auch nicht rechtlich »kugelsicher«. Kann es nicht sein, es liefert verschiedene Funktionen, nicht den Inhalt der Datenschutzerklärung. Außerdem ist die Verordnung in manchen Punkten etwas, sagen wir wage formuliert. Es bleibt abzuwarten, was erste Gerichtsurteile dazu sagen werden.

Das Plugin sorgt u. a. dafür, dass

  • am unteren Blogrand ein Link »Datenschutzerklärung / Impressum« eingefügt wird,
  • bei Kommentaren eine Checkbox »Einwilligung in Datenspeicherung« (mit Hinweis auf die Datenschutzerklärung) eingefügt wird,
  • dieser Zimt mit »Diese Seite verwendet Cookies - Zustimmen« automagisch eingeblendet wird,
  • Teile der IP-Adressen anonymisiert werden.

Außerdem werden Felder für die benötigten Texte mit Platzhaltern bzw. Mustern mitgeliefert.

Ein großes Dankeschön an alle Beteiligten, vor allem an Garvin für die Plugin-Entwicklung. Danke an Matthias für seinen Artikel.

Ebenfalls über das Blog von Matthias bin ich auf die Webseite von Dr. Schwenke gestoßen, der auch einen für Privatleute und Kleinunternehmen kostenlosen Generator für Datenschutzerklärungen anbietet. Auch der ist work in progress und ändert sich immer mal wieder.

Also gibt es hier im Blog neuerdings eine Datenschutzerklärung (seufz), eine notwendige Einwilligung in Datenspeicherung bei Kommentaren, den Hinweise "Diese Seite verwendet Cookies" (großes seufz - gibt es überhautp Webseiten ohne?), anonymisierte IP-Adressen und Double-Opt-In-Verfahren beim Abonnieren von Kommentaren.

Fehlt noch was? Ach ja, https sollte noch kommen, damit die Daten bei Kommentareingaben nach Stand der Technik geschützt sind (noch größerer Seufzer).

PS: das genutzte s9y-Theme in diesem Blog unterstützt Google-Fonts. Das habe ich schon vor Wochen deaktiviert. Statt dessen wird die Schriftart Georgia verwendet, sofern lokal beim Leser vorhanden. Wenn nicht, eine lokale Serifenschrift. Außerdem hatte ich hier noch nie Facebook-Buttons oder sonst irgendwelches Social-Media-Gedöns. Das vereinfacht die Sache natürlich.

Basic Rules for IoT-Devices

Brian Krebs gibt wichtige Tipps zur Absicherung von »intelligenten« Geräten (Stichwort IoT), die im Haushalt im Internet hängen (auf Englisch).

Solche eigentlich selbstverständlichen Sachen, die man meistens doch vergisst: Default-Passwörter ändern, nicht benötigte Funktionen abschalten (z. B. UPnP), Firmware regelmäßig aktualisieren etc.

Live-Linux: Tails

Um das Risiko beim Online-Banking zu minimieren, war ich auf der Suche nach einem Linux, das man von CD bzw. DVD starten kann. Ein Betriebssystem, das von DVD gestartet wird, kann schließlich nicht mit einem Virus infiziert werden.

Am bekanntesten ist sicher Knoppix von Klaus Knopper. Da ist alles dabei, was man üblicherweise braucht. Von DVD gestartet ist es bei meinem Rechner träge und hakt immer wieder mal beim Starten der grafischen Oberfläche. Deswegen wollte ich etwas anderes ausprobieren.

»Damn Small Linux« und »Puppy Linux« sehen auf den ersten Blick vielversprechend aus, weil sie mit wenig Platz auskommen. »Damn Small Linux« ein bisschen alt. Hmm. Aber wozu hat man Twitter? (ok, ich habe gemogelt: ich weiß ja, dass Michael für den O'Reilly-Verlag das Buch »Linux Wegweiser für Onliner« verfasst hat, deshalb habe ich ihn bei meiner Frage per @ eingebunden)

Logo Michael hat mich neben Knoppix auf Tails (siehe auch Wikipedaeintrag Tails) hingewiesen. Stimmt, das war das System, das Edward Snowden empfohlen hatte. as basiert auf Debian und scheint ständig weiterentwickelt zu werden, Fokus ist Datenschutz und Anonymität. Klingt gut.

Also habe ich mir das heruntergeladen und auf DVD gebrannt. Komfortabler ist natürlich ein System auf einem USB-Stick; weil ich es aber nur zur Abwicklung von Überweisungen nutzen möchte, ist mir der absolute Schreibschutz einer DVD lieber. Außerdem habe ich mit USB-Sticks schlechte Erfahrungen gemacht; teilweise sind die nach einigen Wochen bereits unbrauchbar geworden.

Booten scheint ähnlich lange zu dauern wie Knoppix. Der Desktop macht einen aufgeräumten Eindruck; die Softwareausstattung übertrifft meine Erwartungen: sogar mein Audio-Aufnahme- und -schnittprogramm Audacity ist vorhanden.

Der mitgelieferte Browser funktioniert direkt über das Tor-Netzwerk, was im Vergleich zu einer direkten Internetverbindung zwangsläufig langsamer ist. Im Vergleich zu meiner Knoppix-DVD hält sich das die Waage: wenn ich HTML-Formularfelder ausfülle, muss immer wieder das DVD-Laufwerk anlaufen und bis das voll dreht, kann ich nichts eingeben.

Was mir so aufgefallen ist:

  • Das Tastaturlayout steht (zumindest bei mir) nach dem Booten auf US-Layout. Für deutsches Layout gehe man auf Applications / System Tools / Settings / Personal / Region + Language / Input --> das + Zeichen anklicken, German anklicken und per Add übernehmen. Anschließend kann man rechts oben neben der Uhrzeitanzeige auf DE umstellen.
  • Wenn man mit dem sog. unsicheren Browser surft, ist die Geschwindigkeit mit der üblichen vergleichbar. Habe es aber nicht geschafft, dass bei youtube der Ton zu hören ist. Beim Tor-Browser ging das einfach so.
  • Beim Herunterfahren wird nicht wie bei Knoppix die CD ausgeworfen, was bei meinem Slot-In-Laufwerk lästig ist. Deshalb besser den Pfeil für Neustart anklicken, im Boot-Menü von Festplatte starten und die CD über das gewohnte Betriebssystem auswerfen.
  • Vor der Nutzung sollte man sich schlau machen, wie man entweder die Boot-Reihenfolge am Rechner umstellt oder wie man ein Boot-Auswahlmenü bekommt. Stichwort BIOS googeln. Bei mir kommt man per beim Starten festgehaltener Entf-Taste ins BIOS und per F12 gleich ins Boot-Ausmwahlmenü.
  • Wenn man sich unter Tails bei Twitter anmeldet, bekommt man anschließend diese Sicherheitsmail, das der Account von einen ungewohnten Ort genutzt wurde. Anscheinend sitze ich per Tor in Rumänien oder UK oder ... :-)

Computerdämmerung?

Die Medien schreiben seit Freitag mehr oder weniger groß aufgemacht über Angriffe auf die Bahn, Krankenhäuser etc. Um was gehts?

Seit einiger Zeit drohen Angriffe durch sogenannte »Ransomware«. Das sind Programme, die man meist per E-Mail als Anhang geschickt bekommt. Im Text steht dann sowas wie "Mahnung: Sie haben unsere Rechnung vergessen zu beazhlen, Details entnehmen Sie bitte dem Anhang". Öffnet man den Anhang, wird Code ausgeführt - falls man das zum Code passende Betriebssystem hat.

Dieser Code verschlüsselt alle Daten, auf die er Zugriff hat. Also die lokale Festplatte, eventuell angeschlossene externe Festplatten, eingesteckte USB-Sticks. Und eventuell vorhandene Netzlaufwerke. Anschließend erscheint eine Mitteilung, dass man den Entsperrschlüssel nur gegen Lösegeld erhält. Das ist die Meldung, die letzten Freitag auch auf Anzeigetafeln der Bahn zu sehen war.

Bei der aktuellen Code-Variante kommt die Besonderheit hinzu, dass auch verbundene Computer befallen werden. Allerdings nur, wenn ein entsprechend anfälliges Computerbetriebssystem benutzt wird. Das scheinen alle Windows-Varianten außer dem neuen Windows 10 zu sein. Microsoft soll im März Flickzeug, sog. Patches bereitgestellt haben, die diese Lücke stopfen. Die muss man aber auch installieren, sonst nutzts nix.

Linux- und Apple-Benutzer scheinen fein raus zu sein. Dieses Mal.

Also: Betriebssystem so aktuell wie möglich halten. Nicht auf unbekannte Anhänge in Mails klicken.

Und Backups machen, die sich auf Medien befinden, die nicht am Computer angeschlossen sind (externe Festplatte im Schrank, DVDs). Mit einem aktuellen und funktionierenden (!) Backup kann man über die Lösegeldforderungen schmunzeln.

Obacht: die Mails werden immer besser. Früher konnte man die leicht an der abenteuerlichen Grammatik erkennen. Neulich gab es speziell auf Personalabteilungen zugeschnittene Varianten, in denen auf offene Stellenanzeigen geantwortet wurde. Der Schadcode steckte im angeblich angehängten Lebenslauf. Anscheinend hatte man öffentliche Stellenanzeigen herausgesucht und gezielt die jeweiligen Personalstellen aufs Korn genommen.

Auch wichtig: informiert sein. Nicht (nur) über die Mainstream-Medien, sondern über https://www.heise.de/security/. Oder auf Englisch über die Webseite von Brian Krebs. Dort gibts auch einen Artikel Tools for a saver PC oder über Gefahren am Geldautomaten.

PS: natürlich steigt mit Firmengröße die Komplexität. SAP soll laufen, irgendeine obskure vorsintflutliche Anlagensteuerung, natürlich die Officepalette und was weiß ich nicht alles. Was für Probleme das mit sich bringt, hat tante sehr gut beschrieben: »Why don't they just update?«.
via Rivva.de