Gefährliches Internet

Jeder Internetnutzer wird eine oder auch mehrere davon haben und auch mehr oder weniger regelmäßig nutzen. Sie sind der Dreh- und Angelpunkt unseres digitalen Selbst. Gemeint ist die allgegenwärtige Mailadresse. Man benötigt sie, um mit Freunden und Kollegen zu kommunizieren, zur Onlinebewerbung bei einem anderen Arbeitgeber, aber auch um sich bei diversen Diensten, wie Facebook, Twitter, Amazon und Co anzumelden. Das macht das eigene Mailpostfach zum Zentrum unseres digitalen Lebens. Und das wissen leider auch diverse kriminelle Persönlichkeiten, die sich auf Kosten anderer Leute gern bereichern wollen.

Wurde die E-Mailadresse von Fremden gekapert, so ist es ein Leichtes, sich über die Funktion Passwort vergessen bei verschiedenen Diensten, sich ein neues Passwort zuschicken zu lassen und sich mit dem beispielsweise bei Facebook oder Amazon anzumelden. Das kann ernsthafte Rufschädigungen oder finanzielle Schäden zur Folge haben, wenn nicht noch schlimmeres.

Deshalb gibt es im Internet Dutzende verschiedener Dienste, die sogenannte Einmal-Adressen oder Wegwerfadressen anbieten. Diese nutzt man beispielsweise, um sich bei verschiedenen Foren und Diensteanbietern zu registrieren, empfängt dort seinen Link zur Aktivierung des Accounts und löscht die Adresse gleich wieder, oder nach einem bestimmten Limit an eingegangenen Mails per Hand oder automatisch. Eine Liste mit Wegwerfadressen hat Google ausgespuckt und wird am Ende des Artikels als Link eingefügt.

Wie kann ich meine Mailadresse und Accounts von anderen Anbietern am besten sichern?

Allerdings ist es nicht immer mit Wegwerfadressen getan. Man braucht wenigstens eine oder zwei dauerhafte Mail-Adressen für die alltägliche Korrespondenz – beruflich oder privat. Natürlich hat man auch Accounts bei Amazon, Ebay, Facebook, Banken und so weiter. Deshalb heißt es überall: Absichern.

Die erste Sicherheit ist das Passwort. Es sollte möglichst lang sein und eine zufällige Folge von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. Zur Erstellung solcher zufälligen Passwörter gibt es Passwortgeneratoren, direkt für Windows, oder als AddOns für die beliebten Browser Chrome und Firefox.

Legitim ist es, sich auch Zettelchen zu schreiben, auf denen man seine Passwörter vermerkt und diese sicher zu verwahren. Man sollte aber auch immer den Verlust einkalkulieren und nicht sämtliche Daten zum Passwort aufschreiben. Oder man chiffriert hier das Passwort noch ein wenig.

Um sich lange Passwörter einfacher merken zu können, baue ich mir ein langes Passwort aus zwei Zufallsgruppen aus Ziffern, Buchstaben und Sonderzeichen zusammen, getrennt durch ein spezielles Sonderzeichen. Die eine Buchstabengruppe ist leicht oder durch häufige Eingabe zu merken. Die zweite Zeichengruppe ist völlig zufällig und unterscheidet sich von Dienst zu Dienst. Notiert wird eben nur der zweite Teil, der erste Teil steckt bei mir im Kopf. Ein solches Passwort kann wie folgt aussehen:

H8/z2#1GsdT5@A1b2d3E4

Man merkt, die zweite Zeichengruppe ist leicht zu merken, die behält man einfach im Kopf. Den ersten Teil kann man getrost aufschreiben, denn ohne den zweiten Teil ist er faktisch wertlos.

Seit geraumer Zeit gibt es hier in Europa eine neue Richtlinie zur Datensicherheit, FIDO2 genannt. Diese verpflichtet Onlinedienstleister, wie Mailprovider, Onlinewarenhäuser, Banken und andere zu einer Zwei-Faktor-Authentifizierung (2FA).

Früher war es gang und gäbe als zweiten Faktor eine oder zwei Fragen mit Antworten beim Dienstleister zu hinterlegen. Häufig genutzte Beispiele waren die Frage nach dem Mädchennamen der Großmutter oder ähnlich. Das mag zwar nirgendwo bei Facebook stehen, ist aber durch Dreistigkeit durchaus zu erfahren. Social Energeering heißt das zu Neudeutsch.

Die direkte Frage „Wie hieß deine Oma mit dem Mädchnnamen?“ wird wohl niemand direkt beantworten, schon keinem Fremden. Das geht aber auch anders herum in einem Unverfänglichen Gespräch konnte dann schonmal folgender Dialog zustande kommen: „Hieß ihre Oma Müller?“ „Nein, Meier, aber ohne Ypsilon!“

Das hat sich heutzutage der Technik und Regulierungen sei Dank geändert. Neben dem recht unsicheren Passwort, werden bei Mailprovidern und anderen Onlinediensten beispielsweise Handynummern hinterlegt, die beim Login einen Code zugesandt bekommen, der zusätzlich eingegeben werden muss, wobei die SMS TAN auch wegen der Unsicherheiten mit Sim-Karten und im Handynetz zurückgedrängt werden.

Bei Banken setzt es sich immer mehr durch, den sowieso schon vorhandenen TAN-Generator und eine EC-Karte zu Nutzen um für den Login eine zusätzliche TAN zu generieren – als Ausweis sozusagen. Auch immer mehr Apps wurden als zweiter Faktor für Überweisungen und den Login bei der Bank entwickelt und sollen laut Banken recht sicher sein.

Viele Dienste bieten mitterweile auch an, die zumeist 6-stelligen Codes für die Zwei-Faktor-Authentification per App auf dem Smartphone oder Tablet zu generieren. Das sind meist zufällige Ziffernfolgen, mit recht begrenzter Haltbarkeit (meist 1 Minute). Bei den meisten Diensten ist die Einrichtung recht einfach. Die meisten solcher Authentificator-Apps liefern einen QR-Code-Scanner, mit dem man einen solchen Code ins Gerät einliest. Mit diesem werden nach einem bestimmten Zufallsprinzip diese Ziffernfolgen generiert.

Fazit

Es bedeutet schon einen Mehraufwand alle Accounts mit sicheren Passwörtern und einem zweiten Faktor auszustaffieren. Der Sinn dahinter ist es, die Masse an Hackern mit etwas Mehraufwand zu verschrecken. Die suchen sich meist die leichteren Opfer aus, die mit wenig Aufwand zu knacken sind. Geheimdienste sind schon eine andere Nummer, aber die größte Gefahr geht immer noch von den Allerweltskriminellen aus, die mit euren Daten Geld verdienen wollen oder euch irgendwie Schaden wollen. Der geringe Mehraufwand, einen Code oder eine TAN einzutippseln lohnt sich allerdings.

Mail Made in Germany – Mailprovider in Deutschland werben um Vertrauen

Seit ein paar Tagen werben drei große Mailanbieter aus Deutschland mit sicheren Mailverschlüsselung unter dem Namen Mail Made in Germany. Doch was nützt dieses Verfahren dem Endkunden wirklich? Hilft es gegen die Spionage durch BND, NSA und andere Geheimdienste?

Erst einmal zu Mail Made in Germany. GMX, Web.de und die deutsche Telekom werben neuerdings mit einer Technologie, die seit gut 2 Jahrzehnten bekannt ist. Diese Technologie heißt SSL/TLS und soll den Mailverkehr zwischen dem Absender, dem Mailprovider (hier GMX, Web.de und Telekom) verschlüssen.

Was soll dabei passieren?

Der Absender einer E-Mail loggt sich mit seinem Mailprogramm, beispielsweise Outlook oder Thunderbird oder mit seinem Browser in sein Postfach bei einem der drei genannten Anbieter ein. Dieses Postfach liegt auf einem großen Server, der die abgesendeten E-Mails entgegennimmt und an die Empfänger ausliefert.

Vergleichen wir das ganze mit einem anderen Konzept, der deutschen Post. Vereinfacht dargestellt ist eine E-Mail eine Postkarte, jeder, der die Karte in der Hand hat, kann lesen was drauf steht. Diese Postkarte schafft der Absender zur Post, die diese entgegen nimmt und dann zum Empfänger ausliefert.

Hat sich der Briefeschreiber mit seinem Browser oder Mailprogramm bei seinem Postfach angemeldet kann er schon mit dem Schreiben seiner Mail loslegen. In der Regel geschieht das noch auf dem Rechner desjenigen, der die Mail verfasst.

Klickt er auf den Knopf mit der Aufschrift Versenden, wird die E-Mail, also unsere Urlaubspostkarte, dem Mailprovider, wie die Postkarte der Post, übergeben. Nun kann aber auf dem Weg zwischen dem Computer unseres Briefe schreibenden Absenders und dem Server des Mailproviders so allerhand passieren. Jemand kann die Mail abfangen, lesen und verändern, das geht aber bereits erst mit einigem technischen Aufwand. Und da greift jetzt SSL/TLS.

Auf dem Weg zwischen Absender und Mailprovider, bzw auf dem Weg zwischen Mailprovider und Empfänger wird unsere elektronische Postkarte verschlüsselt. Nun wird es schwieriger die Mail zwischen den einzelnen Stationen zu entführen und zu verändern oder auch nur zu lesen. Eine Mail gelangt meist über mehrere Stationen vom Absender zum Empfänger. Der Absender übergibt die Mail an einen Server seines Mailproviders. Der Absenderserver sucht in einem Register wo denn der Empfänger gemeldet ist und übergibt die Mail dann an den Server des Mailproviders wo der Empfänger eingetragen ist, also wo er sein Postfach hat. Dieser Server legt dann die Mail in das Postfach des Empfängers. Also kommen auf dem Weg der Mail vom Absender zum Empfänger mindestens noch zwei Stationen dazu, in der Praxis kann das aber noch mehr werden, wenn die Mail noch durch verschiedene Netze geroutet werden muss.

Was hat der Kunde von dieser Verschlüssselung?

Mit dieser Technologie werben jetzt Web.de, GMX und die Telekom. SSL/TLS ist schon fast zwanzig Jahre alt, wurde aber in den letzten Jahren, was die Kommunikation via E-Mail anbetrifft, nie wirklich genutzt. Jetzt führen genannte Provider diese Sicherheit ein und bewerben es für den Laien als die ultimative und neueste Sicherheit gegen Prism, Tempora und co.

Für den Endkunden bedeutet es nur, daß der Weg zwischen Absender und Mailserver beziehungsweise zwischen Mailserver und Empfänger und zwischen den einzelnen Mailservern gesichert ist. Ob die Mails selbst auf den Mailservern noch verschlüsselt sind, wird verschwiegen.

In den Enthüllungen von Edward Snowden wurde, laut verschiedensten Meldungen in den Medien, auch behauptet, daß diverse Diensteanbieter in der Kommunikationsbranche, vorrangig in England, dazu verdonnert wurden, an an ihren Servern sogenannte Abhörschnittstellen zu installieren. Ob und in wie weit soetwas in Deutschland passiert ist derzeit noch unklar. Durch solche Berichte wird jedenfals das Vertrauen in Diensteanbieter grundlegend erschüttert. Ob das auch noch andere Dienste betrifft, ist derzeit unklar.

Fazit

Die Ideen der deutschen Mailprovider sind ein schwacher Anfang in die richtige Richtung, klingen aber vor dem Hintergrund der Spähgaffäre insgesamt wie Hohn. In den letzten Jahren kam von keiner Stelle aus eine richtige Initiative, die dem Otto-Normal-Endkunden praktikable und verständliche Lösungen angeboten haben, seine Daten sicher und für andere unleserlich über das Internet zu versenden. Momentan muß jeder Endkunde sich vor Augen halten, daß eine E-Mail nichts anderes ist als eine Postkarte, die jeder lesen, verändern und kopieren kann. Von den Mailprovidern müssen langsam praktikable Lösungen für alle kommen, denn sonst bleibt Verschlüsselung nur denjenigen vorbehalten, die sich tiefer mit der Materie auskennen. Durch diesen Ansatz kann man den drei Mailprovidern Telekom, GMX und WEB.de nicht wirklich hundertprozentig vertrauen, denn eine Mail ist wirklich erst sicher, wenn man diese mit PGP oder S/Mime verschlüsselt versenden kann. Die alleinige verbarrikadierte Verbindungen zwischen den einzelnen Sendestationen reicht nicht aus, die Mails müssen auch weiterhin auf den Servern der Provider verschlüsselt bleiben das ist nur durch PGP erreichbar. Es muss also ein komplettes Umdenken in der Kommunikationsbranche her, sonst hat jeder Nerd seine eigene Insellösung und die restlichen 90 Prozent der breiten Masse mailen noch ungesichert und für jeden Geheimdienst gut mitlesbar. Zumindestens sind gut gesicherte Mails für einige Zeit vor unbefugtem Zugriff sicher, solang bis die Geheimdienste auf schiere Rechenpower und geknackte Schlüssel zurückgreifen können.

Tip

Jedes Jahr auf der CeBit in Hannover ist der Heise-Verlag vertreten und seit einigen Jahren kann sich jeder dort gegen Vorlage eines Ausweises und seinen Mailadressen Schlüssel und Zertifikate für das Versenden seiner Mails erstellen lassen.

Die c’t Security und der aktuelle Lauschangriff

Der Heise-Zeitschriften-Verlag hat gestern ein neues Sonderheft der c’t herausgebracht. In der aktuellen Ausgabe der c’t Security widmen sich die Redakteure den aktuellen Schlagzeilen um Prism, Tempora und co bzw. wie man sich doch ein bisschen Privatsphäre im Internet bewahren kann. Das Heft soll mit zahlreichen Tips und Tricks ausgestattet sein, um sicher durchs Internet zu kommen ohne viele Spuren zu hinterlassen. Wie man beispielsweise Anonymisierungsdienste nutzt, wird im vorliegenden Heft beschrieben.

Als Dreingaben sind die vom Heise-Verlag zusammengestellten Linuxdistributionenen Surfix, Bankix und Desinfect auf einer Heft-DVD dabei. Diese Programmbundles sichern auf Basis eines aktuellen Ubuntu ihre Bankgeschäfte via Homebanking, das Surfen im Internet und ihren Rechner bei Virenbefall.

Weitere Themen sind laut Heise-Verlag:

  1. Windows-8-Sicherheit, unter anderem mit Virenscannertest
  2. Mobil surfen: Smartphones absichern, Apps überwachen
  3. Risiken beim Hotspot-Surfen minimieren
  4. Kinder schützen am PC, Tablet und Smartphone
  5. Die Tools der Passwortknacker, Rezepte gegen Identitätsdiebstahl
  6. Verschlüsselung für Mail und Cloud-Daten
  7. Spurensuche auf Festplatten, Schädlinge sezieren

Das Sonderheft gibts als 170 Seiten starkes Magazin für 9,90 Euro. Bis 29.9.2013 wird innerhalb Deutschlands, Österreich und der Schweiz portofrei geliefert. Für 8,99 Euro das Heft als Download als ePaper Version (PDF).

Links:

c’t Security im Heiseshop

Update am 25. Juli 2013

Das Heft wurde von mir gestern, am 24. Juli 2013, online im Heiseshop gegen 10 Uhr Vormittags bestellt und via PayPal bezahlt. Heute vormittag brachte die freundliche Postbotin dieses Magazin schon gegen 11 Uhr. Die c’t security war in eine dünne Folie eingeschweißt und wieß bei Erhalt absolut keine Mängel auf. Die mitgelieferte DVD war nicht zerkratzt und optisch soweit in Ordnung, daß sie auch fehlerfrei startete. Lieferung und Qualität sind beim Heise-Verlag also Top.

Der Inhalt ist recht übersichtlich gegliedert. Artikel, Reportagen, Know-How und Praxisanleitungen entstammen aus allen c’t-Heften von circa zwei Jahren, seit der letzten c’t security. Dieses Sonderheft ist für alle c’t-Leser mit umfangreicher Zeitschriftensammlung ein Muss, denn es bietet sämtliche Artikel zu Securityproblemen aus mehreren Jahren der c’t. Das will heißen, mit jenem Heft muss man nicht mehr großartig in alten Heften stöbern, um einen bestimmten Artikel zu finden.