Fakt ist: Die Meinungen gehen auseinander. Während die Hersteller von Sicherheitssoftware Umsatz damit generieren möchten, diskutieren andere an anderer Stelle darüber, was denn nun als Schadsoftware bezeichnet werden kann und was nicht. René beschreibt das Ganze nochmals aus Sicht eines Anwenders und Mobile-Experte.

Ein Merkmal von Android ist halt nun mal, dass das Ganze Konstrukt sehr offen gebaut ist. Es gibt keine Kontrolle beim Einreichen von Apps und der Nutzer kann problemlos Apps aus unsicheren Quellen installieren. Ähnlich ist das auch unter Windows: Jeder kann grundsätzlich die Software installieren die er möchte. Woher sie kommt ist für das Betriebssystem eigentlich egal.

Meine Meinung: Im Gegensatz zum AppStore bei Apple (wo Apps vorgängig überprüft werden) bedeutet das Installieren von Apps unter Android eine erhöhte Gefahr für den Benutzer, da die Apps – wie beschrieben – nicht überprüft werden. Als schädlich gemeldete Apps werden erst im Nachhinein überprüft oder entfernt. Diese Offenheit von Android hat halt eben Vor- und auch Nachteile. Die Gefahren habe ich schon einmal in einem Beitrag angesprochen.

Und was mache ich um mich vor diesen – nennen wir sie jetzt einfach mal so – schädlichen Apps schützen zu können? Zuerst habe ich in den Android-Einstellungen die Option “Unbekannte Quellen” (unter Anwendungen zu finden) deaktiviert. So können nicht irgendwelche APK-Pakete installiert werden. Weiterhin habe ich nur eine Hand voll Apps installiert, deren Entwickler ich vertraue. Ich installiere generell sehr selten neue Apps und fühle mich daher recht sicher.

Was meint ihr zu dem Thema? Macht ihr euch vor dem Installieren einer App Gedanken über die Seriösität? Oder verwendet ihr schlicht ein iPhone?

Grundsätzlich sind solche Pseudonyme sehr hilfreich - auch ich verwende sie. Man muss und möchte ja nicht überall seinen echten Namen angeben. Zumindest ich habe das so, auch wenn ich Blogger bin und entsprechend meine Meinung im Netz veröffentliche. Zumindest was Technik-Themen angeht. Bei privaten oder beruflichen Themen sieht das nochmals anders aus.

Es gibt jedoch eine Gefahr, die sich viele Personen nicht bewusst sind. Diese ensteht dann, wenn ein Pseudonym durch Kombination oder andere Hinweise einer “echten” Person mit Name und Vorname zugeordnet werden kann.

Ist dies möglich, ist die entsprechende Anonymität bzw. Pseudonymität (?) nicht mehr gegeben. Wer im Besitz dieser Kombination ist, kann im Web sehr einfach nach allen Einträgen suchen, die unter dem Pseudonym geschrieben worden sind. Hat die entsprechende Person dann nur ein und nicht verschiedene Pseudonyme verwendet, findet man so meist eine Menge über sie heraus – gewollt oder nicht. Zusammen mit Webdiensten wie NameChk sogar ohne grossen Aufwand und mit einem Klick!

Kurz und knapp: Wer von Pseudonymen Gebrauch macht, sollte sich dieser Gefahr bewusst sein und entsprechend handeln: Verschiedene Pseudonyme verwenden und nicht jedem von seinem Pseudonym erzählen bzw. keine Verbindung zwischen Realname und Pseudonym herstellen. Zumindest, wenn man eben genau die Verbindung zur echten Person vermeiden möchte.

Im Zusammenhang einer Awareness Kampange in der Firma hat mich ein Arbeitskollege zudem auf eine Folge vom (leider eingestellten) c’t TV hingewiesen. Da geht es unter anderem um das Thema – inklusive einem Beispiel: Die zerstörte Privatsphäre – Auf der Suche nach persönlichen Spuren im Internet.

Bild: Luciano C. unter CC By 2.0. Zeigt eine Person mit der von Anonymous bekannten Maske. Passt meiner Meinung nach sehr gut zum Thema Privatsphäre, Internet, Anonymität und eben Pseudonymen.

Nun behauptet Martin jedoch in seinem Artikel, dass diese 2-Faktor-Authentifizierung bei Google (Zitat) eine Mogelpackung ist! Das darum, weil man für bestimmte Anwendungszwecke – Applikationen und Protokolle, die nicht mit der der Two Step Verification zurecht kommen – spezielle Passwörter generieren kann. Diese Passwörter nennt Google Anwendungsspezifische Passwörter. Die Passwörter bestehen jedoch jeweils nur aus 16 Kleinbuchstaben.

Ich habe darauf im Netz noch etwas recherchiert und bin auf einen weiteren Blogbeitrag sowie einen Eintrag im Google Apps Forum gestossen, wo es ebenfalls um dieses Thema geht.

Ein Anwendungsspezifische Passwort kann zwar nicht dafür verwendet werden, sich via Browser im Google Konto einzuloggen, dafür aber in jeder beliebiger Applikation. Ein Cracker könnte also eine eigens geschriebene Applikation bzw. eine bestehende Applikation für einen Brute-Force Angriff verwenden.

Zudem scheint es so, dass es kein Limit an aufeinanderfolgender falschen Login-Versuche gibt. Ich habe zumindest keine Informationen zu diesem Thema gefunden.

In den verlinkten Beiträgen wird jedoch auch erwähnt, dass man mit den Passwörtern nicht alle Funktionen des Google Kontos nutzen kann. Man kann beispielsweise also nicht das eigentliche Passwort zurücksetzen. Es reicht von mir aus gesehen aber bereits, dass der Angreifer so meine Mails lesen könnte.

Zum Ende vom Artikel und nach weiteren Recherchen und Versuchen bin ich dann aber zum Schluss gekommen, dass wohl auch ein Passwort, welches nur aus Kleinbuchstaben besteht zum heutigen Zeitpunkt nicht als schwach eingestuft werden kann. Vor allem aufgrund der Länge von 16 Zeichen.

Wobei es hier zu bemerken gibt, dass man bei Google verschiedene Anwendungsspezifische Passwörter generieren kann. Je mehr Passwörter man hat, desto mehr richtige Möglichkeiten gibt es für einen Angreifer.

Anyway: Interessantes Thema, ich werde die Zwei Faktor Authentifizierung bei Google weiterhin verwenden. Finde es aber schade, dass man die Anwendungsspezifischen Passwörter bei Google nicht selber generieren kann.

Was sagt ihr zum Thema? Habt ihr euch auch schon damit beschäftigt? Verwendet ihr eine 2 Faktor Authentifizierung für euer Google Konto oder andere Dienste?

Nun gut, heute hat Sergej über ein ähnliches Thema gebloggt: “.. und ändere das Passwort. Doch das Schlimme an der Geschichte: der Dropbox Client (des Diebes) synct meine Daten fleißig weiter und die Passwort-Änderung interessiert ihn keineswegs.”

Es geht darum, dass sich der Dropbox Client (Windows, Mac, …) nicht direkt mit dem Passwort, sondern mit einer eindeutigen Client-ID beim Server anmeldet. Die hat die Auswirkung, dass ein Client weiterhin Zugriff auf die Daten hat, nachdem man sein Passwort bei der Dropbox geändert hat. Möchte man einem Gerät den Zugriff verbieten muss man das explizit auf der Unterseite Meine Geräte im Dropbox Webinterface machen.

Ist ein Konto kompromittiert, reicht es also nicht immer nur das Passwort zu ändern, sondern man sollte sich genau überlegen / erkundigen, was eventuell noch mit dem entsprechenden Dienst zusammen hängt oder nötig ist um dem Bösewicht den Zugriff auf das eigene Konto zu blockieren.

Im speziellen Fall von Dropbox (und bei vielen anderen Diensten mit Client) sollte man im Fall der Fälle lieber gleich alle Clients löschen und neu hinzufügen. Denn die entsprechende Datei für die Authorisierung kann vom Computer A auf B kopiert werden und der Zugang funktioniert. Dies kann auch ein Betrüger machen. Mitunter merkt man gar nichts davon…

Zeigt einmal mehr, dass die Cloud nicht nur sehr viele tolle Vorteile bietet, sondern halt eben auch ihre Tücken hat.

Das Thema ist nicht neu, es wird schon seit einiger Zeit darüber diskutiert. Dafür aber weiterhin sehr aktuell und heikel.

Durch Sergej bin ich nun auf eine Infoseite von Google gestossen, auf der beschrieben ist, warum man sichere Passwörter verwenden soll und wie man sich einfach ein sicheres Passwort, beispielsweise anhand von einem Song, Film oder Satz merken kann.

Alternative? Ganz einfach eine Passwortverwaltungs-Software wie KeePass benutzen und man muss sich nur noch ein Passwort merken.

In gewissen Situationen möchte man jedoch anonym bleiben. Beispielsweise bei Umfragen oder Feedback-Formularen kommt das Thema immer wieder auf. Doch bei vielen Umfragen/Formularen ist man keineswegs anonym unterwegs.

Lange Rede, kurzer Sinn: Durch die German Privacy Foundation bin ich auf die von ihnen betriebene PrivacyBox gestossen. Damit kann sich jeder Interessiere eine Nachrichtenbox einrichten, an welche jeder Internet-Benutzer anonym Nachrichten senden kann. Diese werden dann verschlüsselt und anonym (OpenPGP oder S/MIME) an den Box-Inhaber übermittelt oder können von diesem per POP3 abgeholt werden.

Einzige Voraussetzung ist, dass sich der Empfänger eine solche Nachrichtenbox erstellt. Dauert nur wenige Sekunden. Ich habe mir eine solche PrivacyBox eingerichtet und diese auch auf der Kontaktseite verlinkt. Wer was los werden möchte: Her damit!

Ganz praktisch: Es ist möglich eine Datei an eine Nachricht anzuhängen. Hier ist dann aber zu beachten, dass Dateien innerhalb von Meta-Tags einiges über deren Ersteller speichern. Je nach Dateityp.

Möchte man auch als Empfänger anonym bleiben, muss an dieser Stelle natürlich ein passendes Pseudonym herhalten, welches keine Rückschlüsse auf den echten Namen zulässt. Gegensätzlich zu dem wie ich es (siehe Screenshot) gemacht habe.

Alternativ oder besser gesagt ergänzend bieten sich auch jeweils die folgenden Möglichkeiten um anonym im Internet zu surfen: Das Tor-Netzwerk und einige Browser-Plugins rund um Anti-Tracking.

Bei der German  Privacy Foundation vorbei schauen lohnt sich übrigens auf alle Fälle. Sind sehr interessante Themen dort zu finden. Unter anderem auch der Crypto Stick, auf welchen ich während Recherchen zum Thema Verschlüsselter USB-Stick und Kryptographie gestossen bin. So nebenbei gibt es den Verein auch in der Schweiz, nur nicht so umfangreich.

Anonymität und Privatsphäre im Internet? Was ist eure Meinung dazu? Benutzt jemand von euch eventuell die PrivacyBox oder ähnliche Dienste?

Mit diesem Profil habe ich dann mal einige Leute aus der Region angefragt also eine Freundschaftsanfrage gesendet. Teilweise solche, die ich kenne und wiederum andere einfach wildfremde Personen die ich durch Zufall oder andere Profile gefunden habe.

Es ging keine Minute, haben die ersten Personen bereits die Anfrage akzeptiert, ohne sich bewusst zu sein wer ich bin. Dadurch hatte ich sofort Zugang zu all deren persönlichen Informationen wie Fotos, Kontaktdaten, Freunde und natürlich auch die Pinnwand. Sehr erschreckend!

Innerhalb von nicht einmal 24 Stunden haben sich dann so 100 Freunde angesammelt. Man bedenke, dass ich für die ganze Aktion gerade mal 2 Stunden investiert habe inklusive Profil erstellen. Zudem steigert sich das Vertrauen in mein Profil durch die Anzahl gemeinsamer Freunde drastisch, was noch mehr Leute dazu bringt die Anfrage anzunehmen.

Leider habe ich nicht gezählt wie viele Anfragen ich versendet habe. Dann hätte ich vergleichen können. Aber spielt keine wesentliche Rolle bei der Hauptaussage, denn diese Zahl muss eigentlich bei 0 liegen und jeder diese akzeptierten Anfragen ist eine zu viel. Ebenso soll dieses kleine Experiment keine statistische Grundlage bieten, sondern einfach mal aufzeigen dass es im Bereich Soziale Netzwerke noch sehr viel Aufklärungsbedarf gibt. Ich wäre ja dafür, dass dies als Schulfach bzw. zumindest als Exkurs in der Schule eingeführt wird, denn genau bei Jugendlichen (sehe ich ja bei mir selber) ist das Thema sehr wichtig.

Weiters haben mich kurz darauf viele der “neuen Freunde” per Chat angeschrieben und mich gefragt, woher sie mich kennen sollen. Also zu Deutsch: Sie haben mich angenommen um sich dann im nachhinein Gedanken zu machen, ob sie mich denn kennen. Kompletter Schwachsinn also. Was haben sich die Personen dabei gedacht? Unwissenheit?

Ist aber noch nicht alles: Es ist dann so weiter gegangen, dass es sogar Personen gegeben hat, die mir eine Freundschaftsanfrage zugesendet haben. Warum? Wohl weil sie gesehen haben, dass einer ihrer Freunde mich neu in der Freundeliste hatte.

Dies ist auch der Grund, wie ich auf den Titel gekommen bin: Wenn die Leute so auf fremde Freundschaftsanfragen reagieren, dann nützen sämtliche Privatsphäre Einstellungen auf Facebook rein gar nichts.

Und nein, bei den von mir angefragten Personen handelt es sich nicht nur um Jugendliche, denen man das noch zutrauen könnte, sondern auch älteren Personen mit Universitätsabschluss und was es noch so alles gibt. Man stelle sich vor, ich arbeite in der Personalabteilung von einem Unternehmen und möchte mir die letzten Party-Fotos von einem Bewerber anschauen…

So nebenbei: Ich persönlich verwende Facebook nicht mehr und habe das Konto nur noch zum Pflegen von 2-3 Fanpages. Grundsätzlich verwende ich Google+ aktuell als soziales Netzwerk. Hatte bei Facebook aber auch nur sehr wenige Kontakte, mit welchen ich so oder so in Real zu tun habe, daher bin ich nicht darauf “angewiesen”.

Klarstellung: Natürlich gibt es das Problem auch in jedem anderen sozialen Netzwerk. Ich habe nur Facebook ausgewählt, da es aktuell wohl am weitesten verbreitet ist und es praktisch jeder kennt. Auch sind die Privatsphäre Einstellungen bei richtiger Handhabung nicht nutzlos sondern sehr sinnvoll. Der Benutzer dahinter muss aber auch das nötige Wissen besitzen und nicht wildfremde Anfragen akzeptieren.

Auch habe ich das Experiment nicht einfach so zum Spass gemacht, denn ich möchte durch solche Aktionen das Bewusstsein der Leute für ein bestimmtes Thema beispielsweise über den IT Crowd Club Liechtenstein oder eben auch hier im Blog stärken, was halt eben gleich leichter geht wenn man es selber schon einmal ausprobiert hat.

Zum Schluss: Ich werde die durch das Experiment erhaltenen Daten (=Facebook Profil) vertraulich behandeln (löschen!) und in keiner Weise veröffentlichen. Zudem möchte ich dadurch keiner Person Schaden zuführen.

Um diese Daten entsprechend zu schützen gibt es verschiedene Möglichkeiten / Voraussetzungen. Neben Backups, gehört hier je nach Art der Dateien auch eine Verschlüsselung hinzu.

Nicht nur bei den lokal gespeicherten Dateien, sondern vor allem bei den Daten, welche man unterwegs mit sich herum schleppt. Neben dem Notebook ist hier oft auch ein USB-Stick dabei. Diese werden immer kleiner und sind daher schnell mal verloren. Kann mal passieren und da man ja ein aktuelles Backup zur Hand hat ist das nicht so schlimm. Was jedoch von vielen vergessen wird: Die Daten darauf sind oft Privat oder Geschäftlich und es ist wichtig, dass sie nicht von jedem eingesehen werden können.

Praktische Lösung: Es gibt fixfertige, verschlüsselte USB-Sticks, die man sich im Online-Shop seiner Wahl sehr preiswert kaufen kann. Auf diesen sind die Dateien mit einem Passwort verschlüsselt und können ohne dies nicht gelesen werden.

Produkte und Hersteller für verschlüsselte USB-Sticks gibt es viele. Ich persönlich verwende aktuell den Kingston DataTraveler Locker. 16 GB Speicher bekommt man da für 20 CHF. Bietet einen guten Schutz vor neugierigen Blicken im Verlustfall.

Alternative: Man verschlüsselt seinen USB-Stick selber mit entsprechender Software. Kostenlos eignet sich hier TrueCrypt. Ich persönlich verwende aber lieber die fertige Lösung, da es mit eigens verschlüsselten Sticks teilweise Probleme mit fehlenden Admin-Rechten gibt.

Wichtig: Egal welche Lösung man nun verwendet, ob Fix-Fertig oder selber verschlüsselt – Man hat einen guten Schutz im Verlustfall, hingegen ist man an öffentlichen Computern nicht sicher vor Keyloggern und Ähnlichem. Daher zumindest ein separates Passwort dafür verwenden.

Wer von euch verwendet verschlüsselte USB-Sticks oder Festplatten? Verwendet ihr eine bestimmte Hardware oder verschlüsselt ihr lieber selber?

Eine Frage, der sich jeder selber stellen muss, dazu einige Gedanken im Anschluss. Es gibt aber auf jeden Fall nicht nur Vorteile, sondern auch Nachteile. Umgekehrt kann man es auch sehen: Es gibt nicht nur Nachteile, sondern auch Vorteile. Was ist eure Meinung bzw. Erfahrungen? Verwendet ihr Online-Banking oder sogar Mobile-Banking?

Die Bank bleibt leer: Kunden verwenden Online- und Mobile-Banking

Ein klarer Vorteil dieser Technologien ist die Bequemlichkeit: Bekommt man eine Rechnung kann man diese direkt vom Computer (oder auch Smartphone?) aus einzahlen und muss nicht extra zur nächsten Bankfiliale gehen. Dies bietet auch mehr Freiheiten, denn man ist nicht auf die Öffnungszeiten der Bank angewiesen, sondern kann die Zahlungen beispielsweise bequem am Abend erfassen. Generell hat man mehr Flexibilität, da man bei vielen Anbietern auch direkt vorhandene Zahlungen, etwa Daueraufträge anpassen und neu erfassen.

In den Diskussionen sind dann aber auch immer mal wieder einige Nachteile genannt worden. So lassen sich oft nicht alle Bankgeschäfte darüber abwickeln, weshalb ein Besuch in der Bank nicht umgänglich ist. Der Kunde ist beim Online-/Mobile-Banking auf sich alleine gestellt, da eine persönliche Beratung in diesem Moment weg fällt. Last but not least ist da natürlich noch das Thema Sicherheit: Hier streiten sich die Geister – die einen sehen keine Bedenken darin und die anderen weigern sich strikt gegen eine Nutzung. Fakt ist, dass es hier immer mal wieder gezielte Angriffe, etwa in Form von Phishing gibt.

Meine Meinung? Ich verwende Online-Banking nun schon seit einigen Jahren und bin immer noch sehr zufrieden damit. Schätze es sehr, dass ich Zahlungen direkt von Zuhause am Computer erfassen und mir Informationen zum aktuellen Kontostand anzeigen lassen kann. Beschränke mich aber auf Online-Banking bzw. genauer gesagt E-Banking (nicht im Browser, sondern mit spezieller Software der Bank) und verwende kein Banking auf meinem Smartphone. Liegt zum einen daran, dass ich aktuell keinen Bedarf daran habe und zum anderen, dass mir dazu auch keine Angebote aus Liechtenstein bekannt sind. Was die Sicherheit angeht verfolge ich aber auch auch gezielt eine Strategie: So verwende ich es generell nur auf meinem Computer Zuhause, also in keinem öffentlichen WLAN und achte auch sonst auf einige Tipps und Tricks hinsichtlich der Sicherheit. Je nach Art der Zahlung kann ich Alternativ auch noch auf PayPal bzw. die Kreditkarte zurückgreifen. Ist ja auch in einer Art Online-Banking.

Bild: Dirk Ingo Franke unter CC BY-SA 2.0

Achtung: An dieser Stelle bewegt sich der Benutzer auf dünnem Eis, was die Sicherheit seiner eigenen Benutzerkonten angeht, bei denen er sich im WLAN einloggt. Denn leider haben sich verschlüsselte Verbindungen noch nicht überall als Standard-Lösung durchgesetzt, wesshalb ein Login bei vielen Webseiten noch ohne HTTPs funktioniert oder die Mails ebenfalls ohne Verschlüsselung abgerufen werden.

Das Problem darn: Die Passwörter und Benutzernamen werden somit im Klartext, also für jeden Lesbar im öffentlichen Netzwerk / WLAN versendet. Und das “Mitlesen” ist wirklich nicht mehr schwer. Ein wenig Google verwenden und man hat die passenden Tools inklusive 1:1 Anleitung zum nachmachen. Ganz klar, natürlich strafbar ausserhalb der eignen 4-Wände. Aber was verboten ist macht nun mal gleich viel mehr Spass! Nicht wahr?

Ihr glaubt mir nicht? Kann ich mir vorstellen, aber schaut euch einer dieser Artikel von mir an. Dann werdet ihr eure Meinung schnell ändern. Wenn die Security-Spezialisten unter euch jetzt den Kopf schütteln, nach dem sie die Links angeklickt haben – Kann ich nachvollziehen, doch ein Mensch glaubt meist erst dann einer Aussage, wenn er es selber ausprobiert hat.

Nun, öffentliche Netzwerke einfach komplett meiden möchte keiner, auch ich nicht. Dafür gibt es ja verschiedene Möglichkeiten wie man sich auch in öffentlichen WLAN-Netzwerken sicher (zumindest sicherer) bewegen, also vor solchen Neugierigen Mitlesern schützen kann.

Hier ist das Stichwort Verschlüsselung zu erwähnen. Bei einer Verschlüsselung werden die gesendeten Daten (Beispiel das Passwort) so verändert, dass eine Drittperson nichts mit diesen Daten anfangen kann. Eine Verschlüsselung kann man auf verschiedene Wege verwenden.

Die einfachste Möglichkeit bietet sich darin, dass man sichere Verbindungen im Browser (https:// anstatt http://) verwendet. Neben dem kann man auch bei vielen Apps eine sichere Übertragung aktivieren. Meist gibt es in den Einstellungen dazu einen Hacken wie “SSL verwenden” – diesen aktivieren. Auch die gängigen E-Mail Programme und Anbieter ermöglichen dies. Beispielsweise Google Mail oder Hotmail.

Für die, die gerne mehr haben: Es bietet sich eine weitere Möglichkeit seinen gesamten Datenverkehr innerhalb von einem Netzwerk zu verschlüsseln und ihn via SSH-Tunnel zu einem anderen Server (dessen Netzwerk man vertraut) zu versenden.

Mache ich beispielsweise so über einer meiner Server bei HostEurope. Unter einem gerooteten Android-Handy ist dies auch recht einfach einzurichten. Dazu hat Steffen gerade erst einen Beitrag geschrieben. Ich selber verwende aktuell ProxyDroid und ConnectBot. Geht aber natürlich nicht nur auf dem Smartphone sondern auch auf anderen Geräten wie etwa Notebooks/Netbooks.

Aufgrund der Vielfalt der verschiedenen Apps, E-Mail Programmen sowie Anbietern kann ich hier leider keine Anleitung veröffentlichen, wie man die jeweilige Verschlüsselung aktiviert. Hier empfiehlt es sich beim Informatiker seines Vertrauens vorbei zu schauen und ihn darum bitten die nötigen Einstellungen vorzunehmen. Für den geübten Benutzer sind dies meist nur einige Klicks.

Auch soll hier gesagt werden, dass dies keine Gewähr ist, dass die Daten nun auch wirklich von keiner Drittperson ausgelesen werden können. Denn es gibt noch einige andere Aspekte zu beachten. Beispielsweise die Echtheit von Zertifikaten oder der Schutz vor Phishing. Daher ist die Verwendung von Online-Banking und dergleichen in offenen WLAN-Netzwerken anyway ein klares No-Go!

Allgemein gilt der Artikel natürlich für jegliche Internet-fähigen Geräte und nicht nur für das Smartphone. Auch Tablets, Notebooks, Netbooks, etc. gehören dazu.

Ich hoffe durch diesen Artikel dem einen oder anderen unter euch die Augen geöffnet zu haben. Auf der anderen Seite bin ich natürlich auch ganz gespannt, wie ihr das mit öffentlichen WLAN handhabt? Verwendet jemand SSH-Tunnels oder VPN-Verbindungen? Eventuell andere Lösungen?

Nennt sich grundsätzlich auch Tracking. Nun, nicht jeder Benutzer möchte aus Datenschutzgründen getrackt werden. Ist ja immer wieder ein gerne diskutiertes Thema, wie weit man als Webseitenbetreiber denn nun gehen sollte/darf.

In einer Diskussionsrunde mit Michael von der Datenschutzstelle Liechtenstein sind wir dann auch auf das Thema Anti-Tracking im Browser gestossen. Was gibt es für Möglichkeiten sich vor Tracking aller Art zu schützen?

Ich habe mich etwas umgeschaut und habe im Addon-Verzeichnis von Firefox sowie den Kommentaren eines Netzpolitik Beitrags einige Tipps bzw. Firefox Erweiterungen gefunden. Es gibt sogar eine extra Addon-Kategorie Privacy und Security.

Drei Firefox Addons, die Anti-Tracking Funktionen bieten:

• Adblock Plus: Blockt alle möglichen Arten von Werbung anhand von Blacklisten, die man abonnieren kann.
• NoScript: Ermöglicht es die Scriptausführung im Browser generell zu unterdrücken bzw. nach gewissen Kriterien einzuschränken.
• Ghostery: Beschreibt sich selber mit “Protect your privacy” und bietet zahlreiche Optionen gegen das Tracking. Zeigt zudem an, welche Unternehmen einem auf einer bestimmten Webseite gerade tracken möchten.

Weiterer Tipp: In den Datenschutzeinstellungen vieler Browser (etwa Firefox oder Chrome) kann man festlegen, ob Cookies nur von bestimmten Seiten oder generell nicht akzeptiert werden.

Möchte man noch mehr als nur nicht getrackt zu werden, kann man zudem anonym im Internet surfen. Beispielsweise mit dem Tor-Netzwerk ist dies möglich. Wobei man immer beachten muss, dass 100% Anonymität nicht möglich ist. Aber aus verschiedenen Gründen ist dies heutzutage meiner Meinung nach generell nicht mehr möglich.

Natürlich gibt es auch für so ziemlich jeden anderen Browser entsprechende Addons. In meinem Beispiel habe ich einfach Firefox genommen. Bei Chrome sieht das dann noch etwas anders aus, da da ja bereits von Google gewisse Funktionen eingebaut sind. Alternativ kann man sich ja Chromium anschauen.

Wichtig: Man sollte natürlich nicht vergessen, dass man auch anhand von den Informationen die man im Web veröffentlicht oder in Formularen eingibt Spuren zu sich hinterlässt. Seien es die hinterlegten Kontaktdaten oder auch sonstige Angaben. Zudem kann man ein gewisses Level an Tracking als Benutzer, eben durch diese eingegebenen Daten in bestimmten Webdiensten (gutes Beispiel: Soziale Netzwerke) gar nicht vermeiden.

Was ich persönlich aktiv nutze? Aktuell nutze ich keines der oben genannten Addons zum Dauer-Surfen. Teilweise für gewisse Recherchen – bei denen ich beispielsweise nicht getrackt werden möchte – kommt aber das volle Programm inkl. Tor-Netzwerk zum Einsatz.

Was verwendet ihr für Browser-Erweiterungen oder andere Vorkehrungen? Wie wichtig ist euch die Anonymität im Web und was haltet ihr von Tracking?

ShareSafe prüft auf Facebook gepostete Links auf unseriösen Inhalt. Auf der einen Seite werden die Links überprüft, die Freunde geteilt haben und auf der anderen Seite kann man Links überprüfen, die man selber teilen möchte.

Die Idee finde ich super, nutze aber selber hierzu OpenDNS. Vorteil? Ist nicht auf einzelne Anwendungen (in diesem Fall Facebook) beschränkt, sondern funktioniert generell mit allen Webseiten die ich aufrufe.

Schaut euch ShareSafe oder eben OpenDNS mal an. Besonders für unerfahrene Anwender sehr interessant.

Nun habe ich mir Gedanken gemacht, wie ich die Passwort-Datenbank am Besten auch Mobil verwenden kann. Bis anhin ist diese mehr oder weniger Zuhause auf meinem Rechner gespeichert. Möchte sie aber natürlich auch unterwegs auf dem Notebook oder Netbook benutzen können. Handy wäre ja auch möglich, aber da benötige ich sie aktuel nicht.

Klar überlegt man sich hier gleich wieder, wie das denn mit der Sicherheit aussieht. Immerhin sind darin die Zugangsdaten zu jeglichen Diensten gespeichert, die ich verwende.

Irgendwo in der Cloud speichern möchte ich sie nicht. Bin ja grundsätzlich ein Fan von der Cloud, aber meine Passwort-Datenbank gehört da nicht hin. Daher kommt für mich auch keiner dieser Webbased Passwort-Datenbanken zum Einsatz.

Gut, andere Lösung muss her. Noch nicht ganz umgesetzt, aber für mich wohl eine passende Lösung – Die Passwortdatenbank ist mit einem Master-Passwort sowie zusätzlich einem Key-File geschützt. Die Datenbank wird manuell auf das Notebook/Netbook kopiert. Quasi als read-only Kopie, die bei Bedarf durch die aktuelle Version vom Haupt-PC ersetzt wird. Das Master-Passwort ist im Kopf und das Key-File kommt auf einen separaten USB-Stick, den ich jeweils mitführe.

Fazit: Für meine Bedürfnisse finde ich die Lösung optimal. Durch die getrennte Aufbewahrung von der Datenbank und dem Passwort sowie dem Key-File ist auch unterwegs für genug Sicherheit gesorgt und ich muss nicht auf die Passwörter verzichten.

An die Benutzer von Passwort-Datenbanken: Was meint ihr zum meiner Lösung? Schwachsinn oder ähnlicher Ansatz? Wie verwendet ihr eure Passwörter unterwegs?

Wer noch nicht zu den Glücklichen gehört: Ich habe extra einen Screencast zum Thema erstellt. Erkläre dort die Vorteile von Passwort-Datenbanken und stelle zudem gleich auch KeePass vor.

Nun bin ich bei Robert auf einen Beitrag gestossen, der nicht gerade für Google Chrome Erweiterungen spricht. Es geht um das Thema Datenschutz. Genauer gesagt darum, dass viele Erweiterungen überdimensionierte Zugriffsberechtigungen auf die Arbeit im Browser (und mehr!) haben.

So gibt es etwa recht viele Erweiterungen die die Berechtigung “Ihre Daten auf allen Websites” möchten.

Laut der Google Hilfe sind das Erweiterungen die ein NPAPI plug-in enthalten. Forscht man etwas weiter stösst man bei Google Code auf die folgende Aussage.

Including an NPAPI plugin in your extension is dangerous because plugins have unrestricted access to the local machine. If your plugin contains a vulnerability, an attacker might be able to exploit that vulnerability to install malicious software on the user’s machine. Instead, avoid including an NPAPI plugin whenever possible.

Kurz und knapp: Erweiterungen mit dem Recht “Ihre Daten auf allen Websites” können nicht nur auf irgendwelche HTML-Dateien, sondern quasi auf den kompletten Computer zugreifen. Die Webcam auslesen oder Malware auf dem Rechner speichern sollten laut dieser Aussage also kein Problem sein.

Was heisst das nun: Nicht blind irgendwelche Browser-Erweiterungen installieren, sondern vorher überlegen ob wirklich nötig und die gewünschten Berechtigungen verhältnismässig sind. Hier fehlt meiner Ansicht nach aber auch die Transparenz. Hat Robert bei sich auch gut beschrieben. Zudem klicken da viele Benutzer einfach mal noch kurz auf “OK”.

Ist übrigens auch bei Android Apps (und anderen mobile Apps) der Fall. Geht man noch weiter besteht das gleiche Thema bei sonstiger Software, die beispielsweise unter Windows mit Admin-Rechten gestartet wird. Daher ist auch immer ein gewisses Vertrauen in die Hersteller nötig, was nicht immer so ganz einfach ist…

Seit ihr euch dem Datenschutz-Problem bewusst? Was ist eure Meinung? Benutzt ihr Erweiterungen innerhalb von Chrome? Was haben diese für Berechtigungen?

Was ich für Erweiterungen installiert habe? Unter Google Chrome aktuell keine. Bis eben hatte ich XMarks, aber das habe ich nun mit Google Sync ersetzt. Im Firefox habe ich einzig “Firebug” installiert.

Wenn man seine Daten nun verschlüsselt hat, muss man darauf hin den einen oder anderen Arbeitsablauf anpassen. So beispielsweise beim Backup. Ich habe mich etwas eingelesen und versucht herauszufinden, wie man am Besten Backups von (beispielsweise mit TrueCrypt) verschlüsselten Daten macht.

Die aus meiner Sicht einfachste Lösung: Man erstellt einen zweiten TrueCrypt Container auf einem anderen Medium, etwa auf einer zweiten Festplatte. Für den Backup-Prozess müssen nun nur beide Container gemountet sein und man kann die Dateien bequem vom einen in den anderen Container ziehen oder eben die entsprechenden Pfade in der Backup-Software setzen.

Dies stellt sicher, dass die Daten sowohl an der Quelle als auch im Backup verschlüsselt sind. Aber Achtung: Natürlich muss man sicherstellen, dass man das Passwort oder die Schlüsseldateien für den Backup-Container zusätzlich sichert. Wenn man diese in einer Passwort-Datenbank ablegt (etwas KeePass)  dann muss man dafür sorgen, dass diese separat gesichert wird – ansonsten ist das Backup im Notfall nicht mehr zu gebrauchen.

Eine andere Möglichkeit ist das direkte Kopieren des TrueCrypt Containers im geschlossenen (nicht gemounteten) Zustand. Würde ich jedoch, wenn möglich vermeiden, da man so wenn es Mal dumm läuft ein Backup von einem defekten Container erstellt. Für den Fall der Fälle ärgerlich. Was mir erst durch einen Input von Patrick wieder eingefallen ist: Hier gibt es zudem den Nachteil, dass so jeweils die ganzen Daten und nicht nur die Änderungen seit dem letzten Backup kopiert werden.

Es gibt aber auch Alternativen, die durchaus interessant sind: Wer beispielsweise ein leistungsstarkes NAS und darin eine Verschlüsselungs-Funktion eingebaut hat, der kann die Backups direkt auf einen verschlüsselten Ordner/Volume auf dem NAS machen. Ist beispielsweise mit der Synology DS411+II möglich, über welche ich gerade einen Testbericht geschrieben habe.

Funktioniert nicht nur mit Dateien, die mit TrueCrypt verschlüsselt worden sind. Kann grundsätzlich mit jeglichen anderen Verschlüsselungs-Tools so gemacht werden. Ansonsten einfach mal in der Hilfe der Software nachlesen was die Best-Practise Variante für Backups ist.

Wer von euch verschlüsselte seine Daten? Wie sichert ihr eure Verschlüsselte Daten? Was verwendet ihr für Tools?

Ich habe einen grossen Teil meiner Daten verschlüsselt und verwende dazu jeweils TrueCrypt. Teilweise einzelne Container, aber auch ganze Festplatten. Für die Backups verwende ich Acronis True Image.