Hinweis: Dieser Artikel ist ein Beitrag zum ScienceBlogs Blog-Schreibwettbewerb 2015. Hinweise zum Ablauf des Bewerbs und wie ihr dabei Abstimmen könnt findet ihr hier. Informationen über die Autoren der Wettbewerbsbeiträge findet ihr jeweils am Ende der Artikel.
sb-wettbewerb
——————————————

Angeregt von verschiedenen Blog-Posts, die ich in den letzten Monaten z. B. hier, beim Funkenstrahlen-Podcast oder bei Udo Vetter gelesen und gehört habe, möchte ich mich anlässlich des Schreibwettbewerbs bemühen, meinen eigenen Umgang mit Computersicherheit zu verbessern. Über die Erfahrungen, die ich dabei mache, berichte ich hier.

IST-Zustand
Ich befürchte, dass ich ein relativ durchschnittlicher Computerbenutzer bin, was Sicherheit am Computer und im Netz angeht. Ich benutze nur wenige unterschiedliche Passwörter, ich verschlüssele keine Mails, obwohl ich vor Jahren schon einmal einen Ausflug zu PGP gemacht habe, meine Daten auf Computer und Smartphone/Tablet sind nicht weiter verschlüsselt. Im beruflichen Umfeld bin ich an den Mailclient von Office gebunden, privat nutze ich auch andere Alternativen. Ich nutze einen PC im Büro, zwei Laptops zu Hause und für meine Nebentätigkeit, alle mit Windows 8. Ich betreibe ein Android-Tablet für die Arbeit und ein Android-Smartphone privat, die beide nicht mehr ganz taufrisch sind. Ach und noch etwas: Ich habe ein furchtbares Gedächtnis. Vielleicht liege ich einen Hauch über dem Durchschnitt, da ich meine Passwörter nirgends aufgeschrieben habe und einen Script-Blocker beim Surfen benutze. Auf meinen Rechnern läuft ein Virenscanner von Sophos, auf den Android-Geräten die Free-Version von AVG. Als Firewall benutze ich die von Windows (jaja, ich weiß), da mein Arbeitgeber und mein Router eine vorgeschaltete Firewall bereitstellen. E-Mails schicke ich hauptsächlich über den Exchange-Server des Arbeitgebers (den ich auch als Exchange-Server nutze, nicht nur über POP/IMAP) und meine eigenen Postfächer bei meinem Web-Hoster.

Baustellen
So wie sich mir beim ersten Hinschauen die Situation darlegt, habe ich folgende Baustellen:

  • Datenverschlüsselung
  • Mail-Verschlüsselung
  • Passwörter/PINs an den Geräten
  • Passwörter im Internet
  • Firewalls
  • Virenscanner auf den Android-Geräten

Möglichkeiten und Auswahl
Für dieses Projekt steht mir vorerst ein Monat zur Verfügung, um etwas zu tun und darüber zu schreiben. Ich habe einen Vollzeitjob und eine Familie. Ich werde also vermutlich am Ende kein perfekt abgeschottetes System mit geheimdiensttauglicher Sicherheit haben, aber einen Schritt in die richtige Richtung möchte ich schon machen. Die Baustellen mit dem geringsten Aufwand bzw. dem größten Effekt scheinen mir die Passwörter zu sein. Damit fange ich an. Bei der Datenverschlüsselung kommt es wohl hauptsächlich darauf an, welches Tool man benutzt und wie viele seiner Daten man verschlüsseln sollte/kann/will/muss. Ich schaue mal, wieviel Zeit ich finde. Interessant und wichtig finde ich die Mail-Verschlüsselung. Ich habe da ja schon einmal dran gearbeitet, aber es ist damals daran gescheitert, dass nur eine Person, die ich kannte, mitgemacht hat. Da würde ich gerne wieder dran, da ja immer mehr über die Geheimdienste herauskommt. Firewalls will ich erst einmal ausklammern, aber bei zu viel Zeit schaue ich mir das Thema Virenscanner auf Android-Geräten noch einmal an. Mein Fokus liegt aus dem PC, ich achte aber darauf, dass es auch Umsetzungen für Android gibt.

Erste Ernüchterung
Ich wollte mir mal eben einen PGP-Schlüssel generieren. Dabei merke ich gerade, dass man da ja eine Passphrase benötigt. Ich sollte die Baustellen doch in der richtigen Reihenfolge abarbeiten. Zuerst also die…

Passwörter
Passwörter sind das A und O, wenn man sich irgendwie im Internet bewegen will. Die meisten Angebote benötigen eins, sobald man etwas kaufen oder selbst veröffentlichen will ist es unabdingbar. Also frage ich mal die Suchmaschine meines Vertrauens nach “sicheres Passwort”. Einer der ersten Treffer ist eine Informationsseite des BSI. Das BSI empfiehlt:

  • mindestens 12 Zeichen
  • Groß- und Kleinbuchstaben, Sonderzeichen, Ziffern
  • nichts, was man aus Social Engineering bekommt
  • nichts aus Wörterbüchern
  • keine Tastenmuster

Die Vorgeschlagene Methode des BSI ist dann, aus einem merkbaren Satz die Wortanfänge zu nehmen und einige Buchstaben durch Ziffern/Sonderzeichen zu ersetzen. Unterschiedliche Universitäten empfehlen im Durchschnitt das gleiche mit 10 Buchstaben.
Gegen diese Methode stellt sich Randall Munroe bei XKCD:

1 / 2 / 3 / 4 / Auf einer Seite lesen

Kommentare (41)

  1. #1 JoergHH
    1. Oktober 2015

    Für die Verschlüsselung von kompletten Partitionen über Veracrypt ist ein Neuaufsetzen des Rechners nicht notwendig. Dies ist “on-the-fly” möglich: https://veracrypt.codeplex.com/wikipage?title=System%20Encryption

    Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechner durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

  2. #2 jochen
    1. Oktober 2015

    Das Problem mit den Sonderzeichen und Groß, Kleinschreibung bei Passwörtern kann man lösen, indem man “1!Q” oder eine ähnlich Kombination ganz am Anfang seines Passwort steckt:
    “1!Qpferdbatteriastapel”
    Ich selber verschlüssel meinen PC nicht. Da ist das Problem nur, wenn bei mir eingebrochen wird. Dann habe ich aber andere Sorgen.
    Mein Android Handy möchte ich gerne Verschlüsseln, habe es aber noch nicht gemacht, da mir noch keiner meine Frage beantworten konnte:
    Ist es möglich, das Handy auf folgende Art zu verschlüsseln:
    1.) Beim Starten des Handys muss ich das lange Passwort eingeben.
    2.) Wenn mein Handy läuft, aber gesperrt ist, reicht eine 4 Stellige Nummer um es zu entsperren
    3.) Wird diese Nummer einmal (oder dreimal) falsch eingeben, muss ich das lange Passwort eingeben, um es zu entsperren.

  3. #3 Crazee
    1. Oktober 2015

    @jochen: 1!Q So habe ich das bisher auch gemacht, wäre aber z. B. für Keylogger/unverschlüsselten Datenverkehr wieder ein Anzeichen für “Achtung! Es folgt ein Passwort”.

  4. #4 JoergHH
    1. Oktober 2015

    @jochen:

    Die vollständiger Verschlüsselung eines Android Smartphones hängt sowohl von der Android Version als auch vom Smartphone Typ ab. Manche Hersteller kochen dabei ihr eigenes Süppchen.

    Ich kann Dir daher nur beschränkt auf mein eigenes Smartphone vom Typ Sony Xperia Z3 antworten, wobei ich das Smartphone selbst bisher nicht verschlüsselt habe, sondern nur eine PIN für die Bildschirmsperre einsetze:

    Zu 1): Was meinst Du mit “langes Passwort”? Ich muss nach dem Start zunächst die PIN der SIM-Karte und danach die selbstgewählte PIN der Bildschirmsperre eingeben.

    Zu 2): Ja, ich kann aber durchaus eine längere PIN als nur 4 Ziffern für die Bildschirmsperre definieren.

    Zu 3): Hab ich noch nicht getestet. Aber nochmal: Was meinst Du mit “langes Passwort”?

  5. #5 Barbaz
    1. Oktober 2015

    Sehr guter Artikel. Verschlüsselung muss Standard werden, nicht etwas was nur Nerds machen. Artikel wie dieser können helfen die Einstiegshürde zu verringern.

    Ein Thema hast du aber vergessen: Schutz des Internet-Verkehrs. Hierfür gibt es verschiedene gute Browserplugins für alle wichtigen Browser.
    HTTPS Everywhere versucht automatisch verschlüsselte Verbindungen herzustellen.
    Perspectives für Firefox versucht SSL-Zertifikate unabhängig zu überprüfen.
    Ghostery verhindert dass Google und Facebook dein komplettes Surfverhalten kennen.

  6. #6 jochen
    1. Oktober 2015

    @JoergHH
    Danke für die Antwort. Ich besitze derzeit auch ein Sony Xperia Z3. Langes Passwort ist für mich so 12-16 Zeichen, inkl. Sonderzeichen und Zahlen. Dies bei jedem entsperren einzugeben wäre mir zu nervig. Aber da mein Handy meistens an ist, würde keine Sperre das Verschlüsseln unsinnig machen. Daher dachte ich an sowas wie vier Zahlen.
    Wenn ich mir die Handys in meiner Familie anschaue, kann man am Handy sehr leicht erkennen, welche Muster/Zeichen zum Entsperren genutzt werden. Daher möchte ich gerne angeben können, wie oft man das Entsperren mit den 4 Zahlen machen kann, bis diese 4 Zahlen ungültig sind.

    @Crazee
    Danke, guter Hinweis. Aber kann man aus dem Datenverkehr/Keyloggen nicht eh einsehen, wann ich ein Passwort eingebe:
    Website –> Username –> Passwort
    müßte man doch einfach aus einem Keylogger extrahieren können.

  7. #7 mathias
    1. Oktober 2015

    @JoergHH
    “Langes Passwort” bedeutet, dass Einbruchsversuche mit “brute force” Millionen von Jahren dauern würden. 4096 Bit oder so, wie im xkcd Cartoon des Artikels. Wären dann, wenn ich richtig gerechnet habe 32 ASCI-Zeichen.
    Das ist bei der SIM-Karten PIN (nur Zahlen) ja nicht nötig, weil ja nur 3 Versuche erlaubt sind. Da reichen normalerweise 4 Zeichen bei einer Trefferwahrscheinlichkeit von 1/10000 pro Versuch.

  8. #8 Ferrer
    1. Oktober 2015

    “Ich habe ja nichts zu verbergen!”, ist ein Argument, das man häufig hört. Das Thema darf aber auch gerne in den Kommentaren diskutiert werden. Bitte:
    Ich führe gerne ein Snowden-Zitat an: “Wer nichts dagegen einzuwenden hat, dass seine Daten ausgehorcht werden, weil er nichts zu verbergen habe, ist mit demjenigen vergleichbar, der nichts gegen die Beschneidung der Redefreiheit hat, weil er nichts zu sagen habe.”

  9. #9 Crazee
    1. Oktober 2015

    @Barbaz: Danke. Und die Ergänzungen sind in der Tat hilfreich. HTTPS-Everywhere benutze ich schon, Ghostery hatte ich zumindest schon mal.

    @Ferrer: interessantes Zitat. Es gibt bei WRINT Politik in einer Folge ein schönes Beispiel, wie ein Lehrer die Sensibilität seiner Schüler zu dem Thema erhöht. Vielleicht finde ich das noch wieder.

    @Jochen/JoergHH: Eine längere SIM-Pin würde da vermutlich auch nicht helfen, weil man ja eine andere SIM einbauen könnte. Eine Software um ein Android-System zu verschlüsseln ist mir bislang noch nicht untergekommen.

    Einzelne Dateien/Ordner kann man z. B. direkt im ES-Datei-Explorer verschlüsseln.

  10. #10 JoergHH
    1. Oktober 2015

    @jochen:

    Die Wartezeit zwischen den Entsperrversuchen ist vom System vorgegeben genau so wie der Zeitpunkt der generellen Ungültigkeit der PIN/des Passworts. Ich habe aber zu beiden keine Informationen und ausprobieren möchte es derzeit nicht.

  11. #11 Withold Ch.
    1. Oktober 2015

    @ JoergHH # 1

    Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechners durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

    Genau das habe ich leider unterlassen, als ich vor paar Wochen meinen alten Rechner einem “Fachmann” zur Umrüstung von Windows XP auf Windows 10 übergab. Im Nachhinein wäre ich sehr froh gewesen, wenn er mich auf diese grundlegende Sicherheitmassnahme “ultimativ” hingewiesen hätte, bevor er dann nach eineinhalb Stunden und mehreren vergeblichen Versuchen, den Rechner wieder aufzustarten, von dannen zog.

    @ Crazee

    Ich zähle mich auch zu den “relativ durchschnittlichen Computerbenutzern” und bin dankbar für die hier im Artikel anschaulich dargestellten Schritte zu mehr “Sicherheit am Computer”.

  12. #12 bikerdet
    1. Oktober 2015

    Die Jungs/ Mädels vom CCC in Hamburg gehen einen fatalistischeren Weg : Da ich weis, das ich ausspioniert werde, muss ich selber darauf achten nur Dinge mit meinem Handy zu machen, die wirklich JEDER wissen darf.

    Mir wäre es natürlich auch lieber, wenn man uns nicht ausspionieren würde, aber das wird für alle Zeiten ein Wunschtraum bleiben. Die Verschlüselungsprogramme sind ja ganz nett, aber wer garantiert eigendlich, das sie KEIN Hintertürchen für Spione haben ? Firmen sind relativ leicht beeinflussbar, besonders wenn man ihnen bei einer Verweigerung ‘Förderung des Terrorismus’ vorwerfen kann.

    Praktisch alle Firmen die Softwarelösungen verkaufen, bauen notgedrungen eine Hintertüre ein. Es geht ja immer dann was schief, wenn der normale Benutzer nicht da ist und irgendwie muss der Techniker der Softwarefirma das Programm wieder zum laufen kriegen …

    Und genauso wie die Spielecheats von Insidern (= Mitarbeitern) verraten werden, so bekommt man von den Softwarefirmen, evtl. mit mehr oder weniger Druck, auch die Passwörter für die Hintertüren.

    Wer in der heutigen Zeit noch glaubt, sicher vor Spionage zu sein, hat einfach nicht begriffen das er sobald er irgendwie in Erscheinung tritt auch Daten für die Spione liefert. Noch einfacher wird die Überwachung, wenn das Bargeld abgeschafft wird. Schweden ist gerade dabei, Kleinbeträge sollen übers Handy, größere (umgerechnet ~ 20 Euro) über Kredit- / EC-Karten bezahlt werden . Dient natürlich nur der Bekämpfung von Kriminellen. Aber dann weis ‘der Spion’ sogar wenn Du ein Eis kaufst und wann und wo …

    Nein, wir KÖNNEN nichts mehr verbergen und wir wollen es auch nicht. Lieber kostenlos und ausspioniert als langwierig und teuer bezahlt sichern Datenverkehr nutzen.

  13. #13 JoergHH
    1. Oktober 2015

    @Withold Ch.:

    Das ist bedauerlich zu hören 🙁

    Für alle:

    Bei massiven Eingriffen in das Betriebssystem empfiehlt sich IMMER und VORHER ein Backup-Image zu ziehen. Die entsprechende Software läßt sich mit den Suchbegriffen “backup image programm” ergooglen. Dabei fallen auch kostenlose Programme auf, die man i. d. R. bedenkenlos nutzen kann – besser als den Betriebszustand überhaupt nicht zu sichern sind sie allemal.

  14. #14 mathias
    1. Oktober 2015

    Imagesicherung geht ab Win7 (und Linux sowieso) ohne Extrasoftware.

  15. #15 Karl Mistelberger
    1. Oktober 2015

    > #1 JoergHH, 1. Oktober 2015
    > Zur Sicherheit würde ich aber vorher ein Image-Backup des kompletten Rechner durchführen, damit man im Falle, dass was schief geht, eine Rückfallmöglichkeit hat.

    Es hat noch nie geschadet, das Image zu überprüfen, bevor man sich darauf verlässt:

    https://de.wikipedia.org/wiki/Loop_device

    Dann ist sichergestellt, dass es auch zu etwas nütze ist, wenn man es tatsächlich brauchen sollte. 😉

  16. #16 JoergHH
    1. Oktober 2015

    @mathias:

    Frei nach Radio Eriwan: Im Prinzip ja, aber …

    Die Sicherung und Wiederherstellung eines Systemabbildes ab Windows 7 ist mitunter etwas hakelig, nicht immer zuverlässig und daher IMHO nur bedingt zu empfehlen.

    Otto Normalbenutzer ist mit einer externen Software (selbst die kostenlosen bieten vom Leistungsumfang mehr als die Windows-eigene Backup-Lösung) besser bedient.

  17. #17 schlappohr
    1. Oktober 2015

    Also, das ist mein Sicherheitskonzept:

    Meine Passwörter sind immer eine vollkommen sinn- und bedeutungslose Kombination aus den Zeichen, die die Tastatur hergibt, z.B. tZ&18%dkA+>? Ja, das ist schwer zu merken, aber nach ein paar Tagen habe ich das Passwort im Kopf. Natürlich gibt es ein Backup auf einem Zettel an einem geheimen Ort. Das ist skurril und altmodisch, genau wie mechanische Türschlösser, und die benutzt fast jeder. Die wichtigsten Passwörter werden in unregelmäßigen Abständen geändert, die unwichtigen Accounts gelöscht und bei Bedarf neu angelegt.

    Mein Android-Tablet hat keine Verbindung zum Netz. Niemals. Ich stelle gelegentlich eine Verbindung zu einem lokalen Accesspoint her, um größere Files zu kopieren. Software, die offline nicht funktioniert, kommt nicht auf das Tablet. Ich nutze das Tablet als E-Book-Reader, MP3-Player, GPS-Navi (Mit Navit+Openstreetmap), Bild- und Videoviewer und ein paar “Äppchen” für dies und das. Ich installiere nur Software, die sich vorab als apk auf dem PC speichern und dann offline installieren lässt. Damit fällt der gesamte Google Store als Softwarequelle aus (oder kennt jemand eine Möglichkeit, Packages dort herunter zu laden?) Aber es gibt genug Alternativen, und bisher habe ich für das meiste eine passende App gefunden. Zugegeben, das Tablet ist nicht gerade mein Lebensmittelpunkt. Es gibt keine Software, die ich dringend genug brauche, um dieses Prinzip zu verletzen.

    Ich bin mir allerdings nicht ganz sicher, ob das Tablet nicht doch versucht, nachhause zu telefonieren, denn eine fehlende SIM-Karte kein grundsätzliches Hindernis zum Betrieb des GSM-Transceivers. Vielleicht werde ich das einmal nachmessen.

    Abgesehen davon bekommt ein Rechner bei mir nur dann Internetzugriff, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

    1. Er läuft auf Linux
    2. Er enthält keinerlei persönliche Daten
    3. Er gehört nicht mir 🙂

    Platten- und E-Mailverschlüsselung stehen auf der Todo-Liste. Die Software dazu muss *zwingend* open source sein (ein Verschlüsselungsverfahren, das nicht offengelegt ist, ist keines. Das ist gewissermaßen der erste Hauptsatz der Kryptografie). In diesem Zusammenhang, danke für den veraCrypt-Link, das kannte ich noch nicht.

    Der Wahsinn geht noch weiter: Ich verwende kein Facebook, kein Twitter und kein Whatsapp. Der Hauptgrund ist der, dass mir das Zeug einfach auf den Geist geht (Während in Syrien Kinder geschlachtet werden, bringt ein deutscher Nachrichtensender zur vollen Stunde als erstes die Meldung, dass in den USA Facebook für eine halbe Stunde nicht erreichbar war. Das mit den Kindern kam später nach dem Sport. In der Informatik nennt man das Prioritätsinversion.)

    Das hat den Vorteil, dass mich praktisch niemand kennt. Meine Mailbox ist fast immer leer, und ich kann sie ein paar Tage ungelesen liegen lassen, ohne dass sie überläuft. Ich bekomme fast nur E-Mails von Leuten, die wirklich etwas von mir wollen, z.B. mein Paypal-Passwort. Hier ist es: NICETRYBOYZ.

  18. #18 JoergHH
    1. Oktober 2015

    @Karl:

    Die meisten Software-Lösungen bieten eine Prüfroutine nach der Image-Sicherung. Das Win7/8/10-interne Backup übrigens nicht.

  19. #19 JoergHH
    1. Oktober 2015

    @schlappohr:

    Das klingt alles ein bisschen paranoid, aber wenn es Dich glücklich macht ^^

    APKs direkt aus dem Google Play Store runterladen? Bitte sehr: https://www.androidpit.com/how-to-download-apk-file-from-google-play

    Hat mich 5 Sek. Suche in Google gekostet 😉

  20. #20 Crazee
    1. Oktober 2015

    @Withold Ch.: Danke, das war mein Anliegen.

    @bikerde/schlappohr: Das würde mir in dieser extremen Lesart ein wenig zu schwer fallen.

  21. #21 Eisentor
    1. Oktober 2015

    Ein (Microsoft?) Manager hat einmal gemeint das man sich Passwörter einfach aufschreiben sollte. So doof der Rat auf den ersten Blick erscheint hat er doch einige recht sinnvolle Gedanken im Hintergrund. Bei einem notierten Passwort kann man eine wesentlich höhere Komplexität verwenden als bei einem das ich mir merken können muss. Zum anderen erfolgen die meisten Angriffe auf meine (online) Daten nicht von meinem Rechner zuhause aus.
    Natürlich sollte man Passwörter nicht so notieren.

  22. #22 schorsch
    1. Oktober 2015

    Warum sollte man für jeden Dienst ein anderes Passwort nutzen? In der realen Welt habe ich genau einen Ausweis, und es ist völlig egal, an welcher Stelle ich mich ausweise, ich lege immer genau diesen einen Ausweis vor.

    Das wäre, rein technisch betrachtet, in der virtuellen Welt ohne weiteres genauso möglich, z. B. über die eID-Funktion des Personalausweises. Dann könnte man den ganzen Passwortquatsch vergessen…

    Dienste, die auf Passwörter als Identifikationsmerkmal setzen, sind schlicht dumm, sowas ist IT-Steinzeit. Dummerweise ist es heute sehr schwer, um solche Dienste herumzukommen. Eine Cloud, einen Mailserver und ähnliche Dienste kann man zur Not noch selbst betreiben, aber bei Diensten, die der Kommunikation mit Dritten dienen, ist das schon sehr schwierig. Zwar liessen sich auch solche Dienste über H.323 abwickeln, ohne auf irgendwelche Steinzeit-IT-Dienste angewiesen zu sein – aber dummerweise haben die Steinzeittrottel wie Skype, Whatsapp u. Konsorten eine viel zu hohe Marktabdeckung, um sie ignorieren zu können.

    Andererseits werden solche Dienste weltweit angeboten, und es macht natürlich für keinen Anbieter Sinn, irgendein Authentifizierungsverfahren zu unterstützen, das nicht weltweit genutzt werden kann.

    Und dann gibt’s noch das Problem, dass die Nutzung mobiler Geräte bzw. Betriebssysteme gleich welchen Herstellers ein ganz erhebliches Gottvertrauen in den Hersteller des Geräts, in den Provider, über den man es gekauft hat und in den Marktplatzbetreiber, über den man seine Apps bezieht, voraussetzt. Denn die alle installieren ihre Spionageapps auf dem Gerät – natürlich nur zum Nutzen des Kunden – und keiner bietet irgendwelche Transparenz, welche Daten diese Spionageapps tatsächlich übertragen. Mein Telefon hat regelmäßig und intensiv an Samsung berichtet, an die Deutsche Telekom und an Google und ich habe nicht die geringste Ahnung, was es alles berichtet hat. Erst mit Cyanogenmod ist es ein bisschen weniger auskunftsfreudig gegenüber diesen mir wildfremden Dritten geworden.

    Dass man mittels starker Passwörter Sicherheit gewönne, ist ein trauriger Witz, solange die IT-Industrie sich in ihren gemütlichen Höhlen einbunkert und die Verantwortung für die Sicherheit ihrerDienste ihren Kunden aufbürdet bzw. gar ihr Geschäftsmodell darauf aufbaut, dem Kunden jede Privatsphäre zu nehmen.

  23. #23 Adromir
    1. Oktober 2015

    @JoergHH: Du kannst die Verschlüsselung erst mit deinem gesetzten Pin fürs Entsperren des Bildschirms durchführen und dann änderst du den Pin mittels der APP CryptFS . So habe ich das auch immer gemacht, aber nur mit nem CustomRom . Die Verschlüsselung mancher StockRoms kann anders sein, so daß die App da nicht mehr funktioniert.

  24. #24 JoergHH
    1. Oktober 2015

    @Adromir:

    CustomROMs sind ein Sonderfall und für Normalbenutzer eher ungeeignet.

  25. #25 schlappohr
    1. Oktober 2015

    @JoergHH

    “Das klingt alles ein bisschen paranoid, aber wenn es Dich glücklich macht ^^”

    Paranoid bedeutet “Du machst Dir in die Hose wegen etwas, was nur halb so schlimm ist”.
    Ist es das? Warum disktutieren wir dann über IT-Sicherheit?

    Danke für den Link. Ich habe vor etwa 2 Jahren zum letzten mal gesucht und nichts gefunden. Muss ich gleich mal ausprobieren *freu*

  26. #26 schlappohr
    1. Oktober 2015

    “[…] und die Verantwortung für die Sicherheit ihrerDienste ihren Kunden aufbürdet bzw. gar ihr Geschäftsmodell darauf aufbaut, dem Kunden jede Privatsphäre zu nehmen.”

    Völlig korrekt. Aber warum sollte die IT-Industrie etwas daran ändern, wenn Ihre Kunden mit einer unfassbaren Bereitschaft und Leichtgläubigkeit Ihre gesamten privaten Daten bereitstellen? Enfacher Geld verdienen geht doch garnicht.

    Was die Passwörter betrifft: Dein Vorschlag mit den eIDs geht am Ziel vorbei, weil Du Dich damit dem Provider gegenüber als reale Person identifizierst. Das ist in den meisten Fällen nicht erwünscht. Es geht darum, sicher zu stellen, dass außer Dir niemand Zugriff erhält, ohne dass der Provider von Dir als Nutzer Kenntnis erhält. Das geht nur mit einem selbst gewählten und selbst änderbaren geheimen Schlüssel.

  27. #27 JoergHH
    1. Oktober 2015

    @schlappohr:

    Nein, das bedeutet, dass ICH beim Datenschutz eine rationale Abwägung zwischen Aufwand und Ergebnis vornehme. Aber das ist natürlich nur meine eigene unmaßgebliche Meinung.

  28. #28 Silava
    1. Oktober 2015

    @Crazee
    Tolle Übersicht, ich hatte mich immer wieder mal mit dem Thema beschäftigt, konnte aber noch ein paar neue Dinge lernen, danke!

    Was nicht explizit erwähnt wurde, aber was man noch beachten könnte/sollte: So wenige “intelligente” Geräte wie möglich daheim rumstehen haben. Ich glaube es war der Heise-Verlag der aufgedeckt hat dass Smart-TVs massiv Daten nach Hause schicken. Und Home-Automation ist meiner Meinung nach eine einzige große Sicherheitslücke. Ich werde mir auch niemals einen Kühlschrank mit Internetanschluß kaufen. Die Geräte, die wirklich ins Internet sollen (Handy, Tablet usw.) werden vom OS her gesichert. Hier bietet sich z.B. Cyanogenmod an.

    Wenn man wirklich tief einsteigen will, dann könnte man darüber nachdenken den Umgang mit einer Software wie Wireshark zu erlernen. Dann sollte man halbwegs sicher sein können. Und alles, was einem an Verkehr verdächtig vorkommt wird auf dem Internet-Router erstmal geblockt.

  29. #29 schlappohr
    1. Oktober 2015

    @Silava
    “Und alles, was einem an Verkehr verdächtig vorkommt wird auf dem Internet-Router erstmal geblockt.”

    Guter Ansatz, aber dann muss der Router vertrauenswürdig sein. Ein Raspberry mit einem weiteren USB-Ethernetport zwischen dem Router und dem lokalen Netz würde die Sache enspannen, besonders mit einem readonly-Filesystem und eine automatischen Reboot alle 6 oder 12 Stunden.

  30. #30 Dampier
    1. Oktober 2015

    Lesenswert! Guter Artikel.

  31. #31 gaius
    2. Oktober 2015

    Guter Ansatz, deinen eigenen Weg zu mehr Sicherheit zu beschreiben!

    Ich selber denke darüber auch immer mal wieder nach (nach dem Motto: man müsste eigentlich …). Sowohl aus eigener Erfahrung aus diesen Phasen als auch aus meiner Arbeit als Produktentwickler muss ich leider sagen (wie ich neulich schon irgendwo schrieb): Verschlüsselungssysteme sind so hoffnungslos überkomplex, dass sie auf absehbare Zeit niemanden ausser ein paar Nerds interessieren werden. Niemand ist bereit, darin so viel Lebenszeit zu investieren (und dann noch in seiner täglichen Kommunikation behindert zu werden).

    Eigentlich finde ich, dass diese Sicherheitssysteme Standard sein sollten. Ich kann mir aber auf diesem Stand der Entwicklung keine im Alltag normaler Menschen funktionierende Lösung vorstellen …

  32. #32 Franz
    2. Oktober 2015

    @JoergHH
    Nein, das bedeutet, dass ICH beim Datenschutz eine rationale Abwägung zwischen Aufwand und Ergebnis vornehme.
    Genau das ist der Punkt. Das macht man ja auch beim Haus. Eine Tür (Firewall) ja, verdunkelte Fenster oder Elektrozaun (kein I-net, Verschlüsselung), nein. Wobei man ja beim staatlichen Überwachungswahn mittlerweile das Gefühl bekommt, dass dies gefährlicher ist als Verbrecher, vor allem weil man sich gegen Verbrecher wehren kann.

  33. #33 Knaecke
    2. Oktober 2015

    Kleiner Tipp um sich das Merken viiieeeler Passwörter zu vermeiden: Man merkt sich nur ein kompliziertes, wie z.B. von schlappohr vorgeschlagen: tZ&18%dkA+>?.

    Und nun baut man an ein (oder besser zwei) ausgesuchten Stellen jeweils 1-2 Buchstaben der besuchten Seite ein.

    Mit Platzhalter ‘X’ an dritter und vorletzter Stelle im Passwort sieht das so aus: tZX&18%dkA+>?X.

    Nun muss man sich noch merken, welche Stellen der besuchten Seite man für die Platzhalter verwenden möchte, sagen wir mal zweite und letzte Stelle. Bei paypal.de wären das ein A (zweite Stelle) und ein L (letzte Stelle), bei web.de ein E und ein B, bei amazon.de ein M und ein N usw.

    Dann sehen die Passwörter so aus:
    Paypal: tZA&18%dkA+>?L.
    Web: tZE&18%dkA+>?B.
    Amazon: tZM&18%dkA+>?N.

    So hat man für jede Seite ein eigenes ziemlich kompliziertes und somit schwer zu knackendes Passwort. Merken muss man sich aber trotzdem nur eins. 🙂

  34. #34 Karl Mistelberger
    2. Oktober 2015

    > #18 JoergHH, 1. Oktober 2015
    > Die meisten Software-Lösungen bieten eine Prüfroutine nach der Image-Sicherung. Das Win7/8/10-interne Backup übrigens nicht.

    Diese Tatsache scheint den meisten Benutzern nicht bekannt zu sein.

    Software-Lösungen funktionieren fast immer, nur manchmal denkt der Benutzer an der Realität vorbei:

    Ein Bekannter machte eine Datensicherung, dachte er. Doch als die Harddisk auf die er sicherte defekt war stellte er fest, dass die Originale verschwunden waren. Die vermeintliche Sicherung machte keine Kopie sondern zog die Daten um. 😉

  35. #35 Wizzy
    2. Oktober 2015

    @Knaecke Interessante Idee, aber das halte ich nicht für sicher. Sobald jemand zwei Deiner Passwörter hat – es gibt ja auch weniger sichere Dienste, Webforen usw. und selbst GMX/Sony etc. wurden jeweils millionenfach Userdaten gestohlen – kann er alle Deine restlichen Passwörter praktisch sofort erraten und ist überall drin!

  36. #36 Albrecht
    2. Oktober 2015

    Hallo!
    Die Länge eines PW ist wichtig! “Geheim” ist natürlich ein direkter Treffer im Wörterbuch. “Geh99eim” wird auch sehr schnell gefunden von einem Crackprogramm. Mit trivialen Erweiterungen wird die Komplexität aber so groß, dass sie nicht mehr (leicht) automatisch gefunden werden kann:

    “—–Geh::::e+++i##m” ist extrem aufwändig zu knacken.

    Selbst “Geh++++++++++++++eim” ist noch ziemlich sicher, aber sehr leicht zu merken.

    Wichtig ist nur die Länge des Passworts. Merkt man sich nur 6 und Griesbrei ergibt das ein tolles Passwort, welches mit Wörterbuch Attacken nicht zu finden ist:
    “Griessssssbbbbbbrei”
    Natürlich ist ein 19-stelliges Passwort mit einer zufälligen Zusammensetzung aus dem kompletten Ascii-Satz viel stärker, aber unser Griesbrei ist stärker, als “zH3$v,.” (zumindest, wenn ich den Vortrag auf der CEBIT richtig in Erinnerung habe).
    mfg Albrecht

  37. #37 JoselB
    6. Oktober 2015

    Wobei Vorschläge wie “Griessssssbbbbbbrei” nur solange sicher bleiben, solange sie nicht zu häufig benutzt werden. Wird das normal, so werden Krackprogramme gezielt danach suchen. Und dann hat man ein normales Wort (vermutlich deutlich unter 20 Bit Entropie, XKCD nimmt oben z.B. 11 Bit pro englischem Wort an) und eine weitere Modifikation von 2 verlängerten Buchstaben mit jeweils um die 3 Bit für deren Position und 2-3 Bit für die Verlängerung (wobei man zum schnelleren Knacken noch davon ausgehen kann, dass sehr wahrscheinlich beide Buchstaben auf die gleiche Länge verlängert wurden). Sprich wenn gezielt nach dieser Möglichkeit gesucht wird, so hat man etwa 29-32 Bit Entropie (sofern Griesbrei alleine schon 20 Bit Entropie ergeben), was nicht wirklich viel ist. Da kommt “zH3$v,.” (zumindest wenn wirklich rein zufällig) schon auf eine höhere Entropie von über 40 Bit.

    Fazit: Solche Tricks helfen nur solange, bis Hacker davon ausgehen, dass sie benutzt werden. Und auf die Länge alleine kommt es nicht an, weil sonst 100 mal ein Buchstabe sicher wäre, aber in Wirklichkeit von einem Computer sehr leicht eraten werden kann (26*100 Möglichkeiten entspricht knapp über 11 Bit)

  38. #38 Crazee
    6. Oktober 2015

    @Knaecke: Neben den anderen Kritikpunkten ist Dein Vorschlag auch nicht sehr Bildschirmtastaturtauglich.

  39. #39 Till
    7. Oktober 2015

    @jochen
    Das mit dem entsperren vom Handy klappt fast genau so wir du die das vorgestellt hast mit einem Fingerabdruckscanner wie z.B. beim iPhone oder bei Samsung Galaxy 5. ich selbst habe ein Galaxy s5 mini und da funktioniert es folgendermaßen: ich habe ein langes Passwort, und drei Fingerabdrücke eingerichtet. Das Passwort wird nur nach 30 falsch erkannten Fingerabdrücken zwingend erforderlich (ist nur einmal in der Hosentasche bei verdrecktem Sensor passiert). Ich bin damit sehr zufrieden. Das ist zwar weniger sicher als ein langes Passwort aber viel sicherer als gar keins.

  40. #40 Till
    7. Oktober 2015

    @Albrecht, joselb
    Leicht abgewandelte Worte wie Griesssssssbrei oder selbst Grie+++++++++++ssbrei werden von modernen Wörterbuch Attacken wie jacktheripper in Sekunden geknackt. Die hacker sind da schon viel weiter als man so denkt. Die haben geklaute Passwort Datenbanken mit Millionen von Passwörtern statistisch analysiert und probieren zuerst die häufigsten Zeichenfolgen und Abwandlungen davon durch. Da ist alles was man sich leicht merken kann ganz vorne mit dabei. Selbst vermeintlich zufällige Zeichenketten die man von Hand eingegeben hat folgen bestimmten mustern weil manche tasten leichter zu erreichen sind als andere. Wirklich sicher sind nur Passwörter mit min. 13-16 Zeichen die von einem echten Zufallsgenerator erzeugt wurden.

  41. #41 Till
    7. Oktober 2015

    @wizzy ich denke es ist ziemlich unwahrscheinlich, dass die selber Person zwei Passwörter von unterschiedlichen seiten klaut und dann alle geklauten Passwörter auf ein system hin analysiert der findet in der geglauten Datenbank doch so viele Passwörter die einfach so wieder verwendet wurden. Die Ausnahme ist, dass der hacker es gezielt auf dich abgesehen hat aber dann verwendet er einfach eine Lücke in deinem Betriebssystem und installiert einen Keylogger…