Startseite - Computer - Natel - Services - Checkliste
Staat und Konzerne überwachen uns Menschen total. Auch die Schweiz überwacht die Bevölkerung flächendeckend. Siehe Artikelserie in der Republik: Teil I, Teil II und Teil III.
Diese Totalüberwachung und Verletzung unserer Privatsphäre ist gefährlich für uns Menschen und für unsere Gesellschaft. Manipulation, Süchte und Zeitverschwendung sind das Resultat. Und eigentlich auch Verblödung.
Habe ich etwas zu verbergen? Nein. Trotzdem möchte ich leben ohne dass mir der Staat und Konzerne dabei zuschauen und zuhören. Meine private Kommunikation soll genau das sein, privat. Und ich möchte auch nicht, dass der Staat auf meinem Computer herumstöbert und mitliest.
Sicher, ich kann auf vieles verzichten. Gerne sogar. Das wirkliche Leben ist offline, analog.
Trotzdem möchte ich vielleicht einen Computer benutzen, oder ein Natel. Was kann ich dann machen, um Staat und Konzerne abzuschütteln?
Konzerne wie Google, Apple, Microsoft, Facebook oder Amazon, die unsere Geräte, Betriebssysteme und Apps herstellen, haben Möglichkeiten und auch die Motivation uns direkt auf unseren Geräten auszuspähen.
Unser Provider für Internet- und Telefondienste ist gesetzlich verpflichtet Metadaten zu speichern und sie den Behörden auszuhändigen. Die Metadaten geben Auskunft darüber, wo unser Natel wann war, von wo aus wir aufs Internet zuggegriffen haben und welche Websites wir besucht haben, mit wem wir per Telefon, SMS oder E-Mail kommuniziert haben. Diese Metadaten sagen bereits sehr, sehr viel über uns aus.
Der gesamte Datenverkehr wird vom Provider mitgeschnitten und an den Nachrichtendienst des Bundes (NDB) weitergereicht. Unverschlüsselter Datenverkehr sowie Telefon und SMS können mitgelesen oder mitgehört werden. Neben unserem Vertragspartner wie z.B. Swisscom helfen noch viele weitere Provider unseren Datenverkehr über das Internet zu transportieren.
Betreiber von Websites - allen voran die grossen Konzerne wie Google oder Facebook - können unser Surfverhalten sehr genau mitverfolgen und detaillierteste Profile von uns erstellen.
Zu den Bedrohungen im Bereich Sicherheit zählen Hacker mit Verschlüsselungstroyanern, Identitätsdiebstahl, Kreditkartenmissbrauch, Viren, Zugriff auf Kamera und Mikrofon, etc. Aber auch die Polizei und Nachrichtendienste können z.B. mit Staatstrojanern zu den Bedrohungen im Bereich Sicherheit zählen. Unsere Geräte können durch Polizei, Grenzwache, Armee, etc eingezogen und ohne entsprechende Schutzmassnahmen entsperrt und forensisch durchleuchtet werden.
Manipulation, Süchte, Zeitverschwendung. All das funktioniert nur, wenn man Datenspuren hinterlässt und wenn man "Zeit verbringt" im Internet. Was tun?
Wichtig: Für jede Website, für jedes Benutzerkonto ein anderes, sehr langes Passwort verwenden, das aus Buchstaben, Zahlen und Sonderzeichen besteht. Um sich all diese Passwörter zu merken, bieten sich Passwort Manager an. Ich benutze einen analogen offline Passwort Manager: Mein Notizbuch enthält unauffällige Hinweise, mit denen niemand etwas anfangen kann, ausser ich.
Für den Fall, dass ich mein Notizbuch verliere, habe ich Fotos der entsprechenden Stellen des Notizbuchs mehrschichtig verschlüsselt abgelegt.
Um vor Phishing besser geschützt zu sein, ist Zwei-Faktor-Authentifizierung (2FA) wichtig. Soweit eine Website es abietet, sollte das FIDO2-Verfahren verwendet werden, andernfalls das weniger sichere TOTP-Verfahren.
Das FIDO2-Verfahren basiert auf asymmetrischer Kryptographie. Der private Schlüssel wird auf einem USB-Token gespeichert (siehe Bild), der öffentliche Schlüssel befindet sich auf dem Server des Betreibers der jeweligen Website. In einem Challenge-Response-Verfahren werden beide Teile des Schlüsselpaares in Kombination benötigt, um sich zu authentifizieren. Bei FIDO2 fliesst automatisch die Domain der Website in die Authentifizierung ein. Dadurch ist das FIDO2-Verfahren gegen Phishing geschützt, bei dem ein Angreifer versucht Benutzer dazu zu bringen ihre Zugangsdaten auf einer Phishing-Website einzugeben.
FIDO2-Verfahren schützt allerdings nicht vor Session-Cookie Diebstahl. Session-Cookies werden beim Einloggen auf Websites im Browser hinterlegt. Durch Session-Cookies werden Beutzer über Seitenwechsel hinweg identifizerbar. Man muss sich nicht bei jedem Seitenwechsel neu anmelden. Angreifer können Session-Cookies stehlen und so aktive Sessions von Opfern übernehmen, auch ohne die Zugangsdaten zu kennen. Zum Beispiel durch einen infizierten E-Mailanhang kann ein Angreifer die Session-Cookies aus dem Browser des Opfers abgreifen. Importiert der Angreifer die Session-Cookies anschliessend in seinen Browser, ist er bei allen Accounts eingeloggt, bei denen das Opfer sich nicht aktiv ausgeloggt hat. Es ist deshalb wichtig, sich jeweils auszuloggen. Dadurch schliesst die Website die aktive Session und das Session-Cookie wird für den Angreifer wertlos.
Heute ist es auch möglich, den privaten Schlüssel des FIDO2-Verfahrens auf dem TPM Chip eines Computers abzulegen. Mir ist es wichtig, meinen privaten Schlüssel losgelöst von meinem Computer oder Natel aufbewahren zu können. Deshalb benutze ich ein USB-Token.
Die deutsche Firma Nitrokey stellt USB-Token her und setzt auf Open Source Hardware und Software.
Backup, also Datensicherung, ist immens wichtig. Nicht nur wenn man eine Abschlussarbeit schreibt, sondern auch im privaten Alltag. Was gehört in die Datensicherung? Am besten einfach alles. Wir brauchen ein kleines Konzept für die Datensicherung. Es empfiehlt sich, dies auf einem Blatt Papier zu skizzieren, während wir uns Gedanken dazu machen.
Als erstes stellt sich die Frage welche Daten ich habe und welches das jeweilige führende Systenm ist. Ein Beispiel: Bilder entstehen durch den Fotoapparat, das Natel, durch Screenshots auf dem Computer etc. Sammeln tue ich die Bilder auf dem Computer, der also das führende System für Bilder ist. Meine Bilder müssen somit vom Computer gesichert werden, und nicht vom Natel.
Folgende Regeln gilt es für ein gutes Backup-Konzept zu beachten:
