Krypto for the mass: Und täglich grüßt das Murmeltier. Da dachte der normal-digital denkende Mensch, die Vorratsdatenspeicherung sei vom Tisch, da erscheint dieser anscheinend nie totzukriegende Geist in regelmäßigen Abständen immer wieder. In Form von Gesetzen und mal schnell durch den Bundestag geprügelt. Alles im Sinne der Bevölkerung. Schützen sollten wir uns nicht (nur) vor möglichen Anschlägen, sondern vielmehr vor denen, die uns schützen sollen. Denn in welch krude Abgründe der Datensammelwut man guckt, das haben wir zu häufig in den Medien mitbekommen.
Dieser Text soll zeigen, dass wir alle ein wenig mehr Verständnis für den Umgang und die Sicherheit mit unseren Daten bekommen sollten. Dabei geht es nicht darum, der absolute Nerd zu werden und sich 1000%ig abzusichern. Sondern es gilt, einige kleine Stellschrauben zu drehen, die uns alle ein wenig sicherer durch’s Netz wandern lassen.
Wenn jeder ein wenig tut, dann kann das schon eine Menge verändern. Nichts ist wirklich sicher, aber man kann die Hürde hochsetzen und Schwierigkeiten einbauen, damit das Auslesen von Daten für den Angreifer zu aufwändig wird, um es mal eben zu tun. Und dabei geht es nicht um Dogmatik, welches Verschlüsselungssystem jetzt besser ist.
Und genau das ist im Sinn unserer Spender, der Spenderdaten auf unseren Servern und natürlich besonders der Menschen, die von gemeinnützigen Organisationen als Klienten betreut werden.
Was kann Otto-Normal-Nutzer also tun, um ein wenig sicherer durch’s Netz zu wandern?
Wer in einer größeren Organisation arbeitet, ist häufig an eine komplexe IT-Struktur angebunden. Und je nach Einstellung der Technik und der Menschen dahinter sind diese mal mehr, mal weniger festgefahren. Folgende Tipps beziehen sich daher eher auf kleinere Organisationen und sind besonders für jeden einzelnen Nutzer zu Hause, privat oder im Büro.
5 Dinge für mehr Sicherheit im Netz
1. Wähle sichere Passwörter!
Es klingt so banal. Aber jedes Jahr, wenn die beliebtesten Passwörter der Welt geleakt werden, packt man sich an den Kopf. Ganz weit vorne sind stets „12345“ oder „password“ oder „qwerty“. Diese Passwörter sind weder sicher noch sinnvoll und können innerhalb von Bruchteilen einer Sekunde geknackt werden.
Wer’s nicht glaubt, prüft das hier. [http://www.wiesicheristmeinpasswort.de/] Ist mein Passwort schon mal in einem Passwort-Klau aufgetaucht?
Mittlerweile gilt die bekannte Regel, dass gute Passwörter mindestens Kleinbuchstaben, Großbuchstaben und Sonderzeichen enthalten sollen nicht mehr unbedingt. Schaden kann das nicht, aber entscheidend ist vielmehr die Länge eines Passworts.
Häufig ist bereits ein Zeichen mehr ein Garant, dass ein angreifender Rechner nicht mehr Minuten, sondern Wochen oder gar Jahre für den Angriff benötigt. Macht es ihnen also schwer. Eine beliebte Eselsbrücke: Einen merkbaren Satz ausdenken.
Zum Beispiel: „Ach Schatz, ich wünschte es wäre schon Freitag!“
Daraus wird dann: „AS,iwewsF!“
Passwörter gehören übrigens auch nicht unter die Schreibtischablage oder als Post-It auf den Monitor.Im Schnitt brauchen wir Dutzende von Passwörtern. Und jedes Netz-Angebot benötigt ein eigenes. Zu diesem Zweck gibt es Passwort-Tresore, die diese Passwörter verwalten und auf Klick in das passende Feld gesetzt werden.
Bei der Wahl auf folgendes achten:
Genießt der Tresor das Vertrauen im Netz? Gibt es bereits bekannte Leaks? Wie sind die allgemeinen Bewertungen?
Lässt sich verhindern, dass die Passwörter in „der Cloud“ liegen? Kann ich manuell mit meinen Geräten synchronisieren?
Ob der Tresor nun OpenSource sein muss oder nicht, das bleibt jedem selbst überlassen. Die einen schwören darauf, die anderen darauf. Ich persönlich nutze Enpass, aber es gibt auch genug andere gute.
Kosten: von gratis bis circa 50,- EUR einmalig
Otto-Normal-Schwierigkeitsgrad: 1/5
2. Verschlüssele Deine E-Mails
Vorweg: E-Mails sind die Postkarten des Internets. Jede ohne Verschlüsselung verschickte E-Mail ist ein gefundenes Fressen für diejenigen, die sie mitlesen möchten. Zugegeben, das verschlüsseln und signieren von E-Mails ist für den Normalnutzer noch nicht per Knopfdruck aktivierbar und aktuell noch die größte Hürde im täglichen Betrieb. Wer sich nicht mit Zertifikaten, PGP, TLS und Co. herumschlagen will, für den zumindest erst mal ein kleiner Hinweis: Schickt keine offenen Dateien durch die Gegend.
Insbesondere personenbezogene Daten, Spenderlisten etc. gehören, wenn sie überhaupt gemailt werden müssen, gepackt (zum Beispiel als ZIP-Datei) und dann mit einem Passwort versehen. Das Passwort wird nicht mit der gleichen Mail mitgeschickt, sondern idealerweise auf einem anderen Kanal wie Telefon oder SMS übermittelt.
Die derzeitigen Möglichkeiten sind S/MIME Zertifikate oder PGP-Verschlüsselung. Beide technischen Optionen verschlüsseln im Prinzip ähnlich, sind aber untereinander leider nicht kompatibel. Zertifikatlösungen vertrauen darauf, dass eine Instanz beglaubigt, dass die E-Mail vom echten Absender stammt. Hier muss das Vertrauen gegenüber dieser Instanz exisitieren. Ist diese Instanz kompromitiert, dann ist auch dort die Sicherheit nicht mehr gegeben.
PGP-Verschlüsselung basiert auf dem Vertrauen untereinander. Hier gehen Absender und Empfänger davon aus, dass sie es mit der korrekten Person zu tun haben und tauschen sich die entsprechenden Schlüssel gegenseitig aus.
Alles nicht ganz so einfach für komplett Ungeübte. Leider noch.
Kosten: von gratis bis circa 100,- EUR im Jahr
Otto-Normal-Schwierigkeitsgrad: 4/5
3. Finger weg von WhatsApp!
Aus Gründen der Datensicherheit sind WhatsApp und Co. der größte anzunehmende Unfall. Private Nachrichten wandern unverschlüsselt durch’s Netz und können mit für Angreifer geringem Aufwand mitgelesen werden. Auf Grund der massenhaften Verbreitung ist WhatsApp gleichzeitig ein beliebter Angriffspunkt für Phishing Attacken und ähnliche Fiesigkeiten. Darüber hinaus erlaubt der Nutzer von WhatsApp dem kleinen Programm auf dem eigenen Smartphone nahezu alles, was man eigentlich nicht möchte.
Alternativen: Threema, Signal und auch der iOS Messenger von Apple bietet höhere Sicherheitsmerkmale. Wer gleich richtig zulangen möchte, nutzt einen eigenen Messenger mit eigener Hardware, wie es beispielsweise der Anbieter Protonet ermöglicht. Das ist aber alleine auf Grund des Preises keine Privatlösung.
Nachteil: Ihr müsst eure Leute erziehen, mit euch umzuziehen. Aus eigener Erfahrung: Das kann klappen.
Kosten: gratis bis wenige Euro
Otto-Normal-Schwierigkeitsgrad: 1/5
4. Verschlüssele Deine Website!
Das ist nicht nur gut für den Nutzer, sondern auch für die Attraktivität Deiner Seite in Richtung Suchmaschine. Vor einigen Tagen hat Google angekündigt, seine Suche standardmäßig auf https umzustellen und darüber hinaus „warnt“ Chrome nun beim standardmäßigen Besuch einer unverschlüsselten Seite mit einem roten X. (Jaja, sozialmarketing.de ist auch noch nicht verschlüsselt. ^^). Wer mindestens ein Kontaktformular auf der Seite betreibt, der sollte allein schon aus Nutzersolidarität ein Verschlüsselungszertifikat organisieren. In den meisten Fällen gibt’s das für kleines Geld und auch wenig Aufwand beim eigenen Hoster. Die Nerds unter euch wissen, wie man auch Fremdzertifikate einbauen kann. Aber das führt hier zu weit.
Kosten: von gratis bis circa 80,- EUR im Jahr
Otto-Normal-Schwierigkeitsgrad: 3/5
5. Alternativen zu Dropbox nutzen!
Ein sich ständig selbst veränderndes Dateisystem ist gerade im Austausch in Teams großartig. Es ist im Alltag kaum noch wegzudenken. Und schön, wenn die Daten sicher in „der Cloud“ liegen. Mit Dropbox verhält es sich aber ähnlich wie mit WhatsApp. Die Daten können zwar im Gegensatz zum Messenger verschlüsselt werden, aber sie liegen auf US-amerikanischen Servern.
Letztendlich ist es eine Frage des Vertrauens, ob man dem Dienstleister im Umgang mit euren Daten glauben kann. Aber es scheint belegt zu sein, dass Dropbox Ermittlungsbehörden Daten direkt und pauschal zum Massenscreening öffnet. Selbst, wenn dies nicht stimmen sollte, so kann das Betreiben einer Dropbox dennoch interessante Auswirkungen haben und zum sofortigen Sperren eurer Daten führen, wie es immer mal wieder im Netz die Runde macht.
Spenderdaten haben allgemein in der Dropbox nichts zu suchen!
Alternativen: Das System Dropbox ist großartig. Aber noch großartiger ist es, wenn Du die Daten bei Dir behältst. Die Open Source Lösung Nextcloud hilft da weiter. Mit geringem technischen Aufwand installierst Du auf einem gemieteten Webspace (z.B. bei dem Hoster der eigenen Website) Deine eigene Cloud. Alternativ geht ein ähnliches System auch mit einem eigenen NAS-System, das auch im Wohnzimmer nicht auffällt.
Kosten: ab 5,- Euro pro Monat, je nach Paketgröße
Otto-Normal-Schwierigkeitsgrad: 3/5
Wichtig ist, überhaupt erst einmal anzufangen.
