Heute flog ein netter Tweet an mir vorbei:

Mo: Equation Group drive firmware phun
Tu: FreeBSD RNG omg
We: Lenovo Superfish wtf
Th: All Your SIM Card R Belong To Us
Fr: staying in bed
— シ (@yawnbox) 20. Februar 2015

Und eigentlich ist er nicht nett, er ist traurig. Sehr traurig. Wir werden ausspioniert, wo es geht. Die Super-Hacker eifern um die Wette, damit Geheimdienste noch mehr Daten abschnorcheln können.

Da wir politisch scheinbar nur wenig dagegen ausrichten können, muss man sich noch mehr technische Möglichkeiten überlegen, wie man den Geheimdiensten und den bösen Menschen das Leben so schwer wie möglich macht.

Was brauchen wir also um unsere Privatsphären so gut es geht zu schützen? Während wir bei SIM-Karten und Festplatten-Firmware kaum eine Chance haben dagegen etwas zu tun, können wir bei unseren eigenen Verhaltensweisen und unseren Daten ansetzen.

Hier ein paar lose Gedankenfetzen dazu, was man tun oder lassen sollte:

  • Passwörter regelmäßig ändern (Faulheit siegt meistens)

  • Lange (und nicht notwendigerweise kryptische) Passwörter wählen (unterstützt nur dummerweise nicht jede Plattform)

  • Passwort-App benutzen, denn nur so kann man sich viele verschiedene, lange Passwörter sicher merken (Papier ist keine Option heutzutage)

  • Sensible Daten in verschlüsselten Containern aufbewahren oder die ganze Festplatte verschlüsseln

  • Backups, die das Haus verlassen sind zu verschlüsseln, Backupsoftware die das nicht unterstützt kommt in den Müll

  • Herstellersicherheitsupdates für das System der Wahl kann jeder zeitnah komfortabel einspielen

  • Links in Mails von Dritten sind grundsätzlich als potentielle Gefahr anzusehen und wenn man sie schon benutzen will, dann mit cut&paste in den Browser überführen oder abtippen

  • Alles abschalten, was sich problemlos abschalten lässt, zB Cookies, Java, etc.

  • Zwei-Faktor-Authentifizierung/TOTP (Einmalkennwörter, idR zusätzlich zum regulären Login) benutzen, wo immer es geht. Und ja, man darf den Google-Authenticator auch zusammen mit dem Passwort-Safe auf dem Smartphone mit sich tragen – im Wesentlichen gehts ja darum entfernte Angreifer abzuwehren.

  • Man muss nicht jedem hippen neuen und bunten Dienst seine persönlichen Daten anvertrauen oder sein Tagebuch auf Dropbox lagern – und wenn, dann verschlüsselt.

  • Das Handy wird nach Möglicheit immer gesperrt und sollte einen Killswitch für die Daten haben oder sich wenigstens nach X falschen PINs selber löschen –> Und dann ändert man trotzdem alle Passwörter von zu Hause aus!

Wenn man in der heutigen Welt komfortabel und mobil unterwegs sein will, wird man nicht umhin kommen seine Daten entweder einem der größeren Dienste (Google, Microsoft, Appele) anzuvertrauen und/oder eine eigene Cloudlösung (zB Owncloud) aufzusetzen. Letzteres kann und/oder will nicht jeder und beim ersteren muss man sich entscheiden welchen Tod man sterben will – und das tut man bei einem Anbieter, nicht bei 27. Und ja, natürlich ist das ein Verstoß gegen die reine Lehre, aber um die gehts auch nicht.

Man muss nicht alles verknüpfen, nur weil man es kann.

Soweit die einschlägigen Allgemeinplätze (sicherlich unvollständig).

Wenn sich 80% der Menschen nur an die Hälfte davon halten würde, kämen die bösen Buben und die Geheimdienste schon ins Schwitzen. Es geht dabei gar nicht um maximale Sicherheit, denn dann würde zB 2-Faktor, bzw. TOTP nicht mit dem Passwortsafe zusammengehören, es geht aber um einen gesunden Mix aus Sicherheit und Komfort. Der normale Benutzer wird Sicherheit nur dann nutzen, wenn es komfortabel ist – und hier gilt: wenig ist besser als nichts. Geeks und Nerds dürfen dann gerne alles trennen und nach der reinen Lehre leben, da hat dann auch keiner was gegen.

Was fehlt uns auf der technischen, um komfortabel sicher(er) zu sein? So einiges, würde ich meinen.

Heute kam ein interessanter Artikel im Editorial der c’t: „Lasst PGP sterben“ und erst dachte ich „Ey, was soll denn der Unfug, wir BRAUCHEN doch Verschlüsselung!!!“, aber nach der Lektüre war klar, was gemeint ist: PGP muss weg, weil es nicht benutzerfreundlich genug ist – wir müssen etwas besseres entwickeln!

Full Ack.

Deshalb ein paar Gedanken dazu, was wir brauchen um die Sicherheit auf der Benutzerseite zu erhöhen:

  • Neues Konzept von benutzerfreundlicher Verschlüsselung, insbesondere Augenmerk auf einfache und sicherere Schlüsselverwaltung

  • ein offenes Protokoll zum Ändern von Kennwörtern bei Online-Diensten aller Art, das mittels API genutzt werden kann. Ziel: meine Passwort-Safe-App verhandelt selber mit einer Webseite ein Passwort. Auf diese Weise könnte man automatisiert alle 14 Tage die Kennwörter von amazon, google, ebay und Co. ändern. Wenn die Passwort-Safe-App dann gleich noch meine 2-Factor-Auth verwaltet wirds richtig komfortabel.

  • Transparente Verschlüsselung über alle meine Geräte – was ich verschlüsselt vom PC aus auf Dropbox und Co. ablege, will ich auf meinem Mobilgerät auch lesen können ohne, dass ich Klimmzüge mit irgendwelchen Apps und Keys machen muss …​