Dieser Artikel beschäftigt sich mit der Sicherheit der persönlichen Daten im IT-Bereich. Allerdings nur in ihrer physischen Natur als Dateien auf einer Festplatte oder Stream bei der Datenübertragung.
Grundsätzlich gibt es zwei Bereiche die betrachtet werden müssen:
- persönliche Daten auf dem eigenen Rechner
- Daten beim Transport auf andere Rechner
Die Idee der Angreifer ist ja die Gewinnung von Informationen über eine Zielperson. Entweder zur eigenen Bereicherung (Kontodaten etc.) oder zur "Terrorabwehr" (Rasterfahnung). Und hier setzten die Schutzmechanismen an:
Dateien auf dem eigenen Rechner
Hierbei handelt es sich um die Speicherung von Informationen auf der eigenen Festplatte. Dies sind in den meisten Fällen Dokumente etc. die vertrauliche Daten von uns enthalten. Ausgelesen werden können sie normalerweise nur von einem Programm auf dem eigenen Rechner. Bevor also jemand darauf Zugriff nehmen kann muss er den Rechner beschlagnahmen.
Wenn man sich die aktuelle Gesetzeslage ansieht bzw. die Bewegungen bei den neuen Gesetzen ist das Heim nicht mehr heilig. Also müssen die Daten weggesperrt werden.
Eine ideale Lösung hat hier die freie Software "Truecrypt" parat (vgl. Schutzmassnahmen).
Natürlich gibt es dann immer noch Keylogger die das Eintippen des Passwortes speichern können. Waterproof ist es damit noch nicht aber ein Schritt in die richtige Richtung. Vermutlich kommen hier noch weitere Berichte die sich mit diesem Thema beschäftigen werden.
Daten beim Transport auf andere Rechner
Was wäre der Computer wenn wir die realen Interaktionen nicht auch im Computer abbilden könnten. vornehmlich hier im Internet. Wir kaufen Dinge, chatten und mailen. Auch hier können Informationen über uns gesammelt werden.
Folgende einfache Maßnahmen helfen uns bei der sicheren Kanalisierung unserer privaten Daten:
- Wenn möglich nur https-Server verwenden
Zum Beispiel beim Abholen der Mails auf einen Server mit SSL-Unterstützung achten. Dies kann auch ein Kriterium für die Auswahl des Webmailers bzw. Providers sein. Gleiches gilt auch für Onlinebestellungen bei denen Kontodaten übertragen werden. - Bei sicherheitsrelevanten Aktionen eigene Serverinstanzen verwenden (XSS)
Nur so kann wirksam verhindert werden das eine andere Webseite mit unterschobenem Code als "man-in-the-middle" die Daten mitliest und eigene Transaktionen startet. - Verschlüsselung und Signierung der Mails mit PGP
Mails die ungesichert durch das Netz übertragen werden laufen immer Gefahr das sie manipuliert werden was leicht fällt da in den Mailprotokollen keine Sicherheitsmechanismen existieren. Hier hilft nur das Signieren und Verschlüsseln der Mails. Zum Beispiel mit der freien Software PGP und entsprechenden Plugins für das Mailprogramm.
Enigmail, GnuPG - Weg vom Mainstream
Für alle Hacker, Dataminer etc. ist nur die Masse interessant. Nischen abzudecken ist zwar möglich aber nicht effizient. Daher sind der Internet Explorer und Outlook als Produkte von Microsoft direkt gefährdet. Freie Software ist hier eventuell schon eine Verbesserung.
Firefox, Thunderbird - Den Datenverkehr im Internet verschleiern durch den Transport über TOR-Server
Viele Informationen können zurückverfolgt werden. Wenn eine Webhoster aus welchem Grund auch immer ihre Adressdaten preisgeben muss ist über den Provider der Nutzer feststellbar. Nicht so mit einem Verschleierungsserver der die Daten zum einen direkt löscht und zum anderen auch über mehrere "unnütze" Server weiterleitet. Quasi Umleitungen einbaut die sich dann irgendwann im Netz verlieren.
TOR
Verschiedene Mechanismen werde ich in der nahen Zukunft für mich testen. Über Schwierigkeiten und Erfolge werde ich dann hier wieder berichten.