Die Möglichkeit einer geheimen Überwachung von Privatpersonen durch den Statt mittels so genannter Trojaner hat für viel Aufregung gesorgt, besonders da absehbar ist, dass die Diskussion so schnell nicht stoppen wird. Ich greife das Thema kurz unter dem Aspekt auf, dass man realistisch sein sollte.
Bei diesem Artikel handelt es sich um einen Essay von Stud.Rer.Iur. Jens Ferner, die hier geäußerten Ansichten sind meine privaten.
Der „Bundestrojaner“
Fakt ist: Es wird darüber diskutiert, den Einsatz eines „Bundestrojaners“ zu erlauben. Es ist wichtig, dass diese Diskussion öffentlich geführt wird und somit jeder sich hierzu eine Meinung bilden kann. Solange aber nicht einmal im Ansatz Details oder Hinweise zu finden sind, wie ein solcher Trojaner überhaupt eingesetzt wird, ist jede weitere Überlegung am Ende nur Spekulation.
Ich für meinen Teil denke nicht, dass ernsthaft nach dem Gießkannenprinzip möglichst jeder Rechner infiziert wird. Entsprechende Gesetzesgrundlagen wären auch rechtlich gar nicht möglich, da der u.a. Angemessenheitsgrundsatz schlichtweg nicht mehr gewahrt werden kann, insofern sind manche Ausführung aus meiner Sicht nicht ernst zu nehmen. Es muss weiterhin um konkrete Fälle gehen, die konkret versucht werden, mit einem Trojaner „auszuspionieren“. Momentan sehe ich nur zwei gute Wege, hier gezielt Personen anzugreifen: Entweder über „Social Engineering“ oder über gezielte Angriffe auf den individuellen Datenverkehr. Das „Social Engineering“ ist schlicht zu aufwendig – zu sehr müsste man den Betroffenen ausspionieren um dann gezielt, etwa per Mails, zu versuchen etwas unterzuschieben. Viel naheliegender sehe ich da den Rückgriff auf die inzwischen installierten SINA Boxen, dazu gibt es hier bei Heise einen Artikel der das ganze weiter erläutert. Das Fazit: Die Basis ist geschaffen, damit sich staatliche Ermittlungsbehörden in quasi jede Datenverbindung einklinken und laufende Daten, wie Downloads, in Echtzeit verändern können. Wohlgemerkt: Die Basis ist geschaffen, nicht das Verfahren an sich.
Schutz möglich?
Wer den Heise Artikel liest muss sich eine Frage stellen: Ist ein Schutz überhaupt möglich gegen diese Art von Angriff? Auf den ersten Blick ist es schwierig, muss aber nicht sein. Zum einen gibt es ja das HTTPS-Protokoll, das einen solchen Angriff dann doch wenigstens erheblich erschwert.
Ich denke aber, dass am Ende einfach eine Nutzer-Änderung eintreten wird: Schon heute ist es im OSS Bereich üblich, Downloads nur mit Angabe einer md5-Checksumme anzubieten. Ein Abgleich des lokalen Downloads mit dieser Checksumme schützt vor den beschriebenen Angriffs-Szenarien bei Nutzung der SINA-Boxen. Es ist für mich nur eine Frage der Zeit, bis es ein OSS-Produkt gibt, dass einen automatischen Abgleich von Checksumme lokal und im Internet vornimmt, oder wenigstens die Dateigröße der Datei auf dem Server mit der lokalen vergleicht.
In erster Linie muss sich aber das Nutzerverhalten ändern: Das blinde Vertrauen in lokale Virenscanner und freie Downloads im Internet, wie es bei den meisten Durchschnitts-Nutzern noch vorhanden ist, muss schlichtweg ein Ende finden. Gleich, ob es „Bundestrojaner“ gibt oder nicht.
Scheuklappen ablegen: Der Staat ist nur öffentlich
Denn anders als man denkt, ist die Gefahr schon viel realer – der Staat hat schlichtweg den Nachteil, dass er in der Öffentlichkeit steht und auch in dieser agieren muss. Bei allen Bauchschmerzen sollte man sich etwas weniger über „1984“ echoffieren und vielmehr bemerken, dass solche Entscheidungen –wie vorgeschrieben- öffentlich diskutiert werden, so dass man als Bürger nicht plötzlich vor Tatsachen steht oder gar nicht erst mitbekommt, was geschieht.
Doch neben dem Staat gibt es andere Angreifer, teils unerfahrene Hacker (Skriptkiddies), bösartige Hacker oder die immer mehr aufkeimende Industriespionage. Angriffe in diesem Bereich finden täglich statt, der Diebstahl von Laptops Angestellter größerer Unternehmen nimmt weiter zu. Angesichts solcher Fakten sollte man sich als Betroffener weniger über ungelegte Eier aufregen –was nicht heißt, dass man an der Diskussion nicht teilnehmen sollte- sich aber nun endlich um den Schutz seiner Daten kümmern. Unabhängig, was der „Bundestrojaner“ macht oder ob es ihn jemals geben wird.
Vorkehrungen für den Fall der Fälle
Die Gefahr, dass man längst einen Trojaner hat oder einen bekommt, ist enorm. Ein Virenscanner ist sicherlich gut, aber nicht alles. Vor Ort sollte immer eine Software-Firewall vorhanden sein, bei einem Router ist ebenfalls eine in der Firmware vorhandene Firewall zu erwarten (die auch aktiviert ist!). Doch wer dann bei jeder Nachfrage, ob „Programm X eine Verbindung aufbauen darf“ auf „Ja“ klickt, dem bringt auch das nichts.
Bei Emails wird es langsam Zeit, sich mit dem Thema Signatur und Verschlüsselung zu beschäftigen – aus zweierlei Hinsicht: Nur eine gültig signierte Mail sichert den Absender, so dass man weiß, wen man vor sich hat. Zudem bieten diese Signaturen die Sicherheit, dass sie die Integrität der Mail absichern: Wenn auch nur ein Byte der Mail (oder des Mail-Anhangs) geändert wird, ist die Signatur sofort ungültig. Angriffe auf die Mail, nach dem Absenden, sind damit nahezu ausgeschlossen. Ob man seine Mail auch verschlüsseln will liegt bei jedem selber, der Vorteil liegt hier alleine in dem Schutz des Inhalts vor den Augen Dritter, bei trivialen Nachrichten sicherlich hin und wieder überzogen, spätestens wer sensible Infos versendet sollte sich aber der Verschlüsselung bedienen. Als Tool ist hier „OpenPGP“ zu empfehlen, wer mit Thunderbird arbeitet kann sich über eine reibungslose Integration freuen.
Selbiges gilt für Daten auf dem eigenen Rechner: Unter Linux gehört die Verschlüsselung ganzer Partitionen längst zum Repertoire der meisten Distributionen. Für Windows wie Linux kann ich jedenfalls den Blick auf die OSS-Software „Truecrypt“ empfehlen. Diese verschlüsselt ganze Verzeichnisse oder erstellt unter Windows virtuelle Laufwerke, die verschlüsselt sind und nur mit entsprechender Passphrase geladen werden können.
Für den eigenen Rechner empfinde ich den Weg am besten, bei dem alle eigenen Daten in einem eigenen Verzeichnis abgelegt werden – unter Linux eine eigene Partition, unter Windows kommt alles unter „Eigene Dateien“. Die „Eigenen Dateien“ sind aber ein verschlüsseltes Laufwerk von Truecrypt, das erst geöffnet werden muss und sich jedem Runterfahren / Standby-Modus wieder ausklinkt.
Bei Virenscannern sollte man darauf achten, dass nicht nur Mails und Downloads automatisch geprüft werden: Auch IM-Sitzungen sollten inzwischen geprüft werden, eine Verschlüsselung der Sitzungen wäre sicherlich auch angebracht.
Zum Abschluss die einfachsten Tipps: Wenn möglicht HTTPS (bei gültigem Zertifikat, sonst ist es witzlos) nutzen, Mails über sicherere Wege wie TLS abfragen und möglichst FTP vermeiden, es gibt auch FTPS. Telnet ist inzwischen ausgestorben, SSH ist Pflicht, dabei SSH2 Standard. Ich habe Provider, die mir das nicht bieten konnten, einfach gewechselt.
Wie gesagt: Der „Bundestrojaner“ ist noch nicht da. Vielleicht kommt er auch nie – das braucht er aber auch nicht, denn aus Nutzersicht gibt es immer mehr als genug Angreifer. Es wird nun Zeit, sein Verhalten zu ändern – andernfalls wird es böse enden.
Vielleicht aber wird das Ganze aber noch einen anderen Effekt haben: Quellcodes von Programmen können schwerlich infiltriert werden - wer sich ein Programm nicht als Binary, sondern als Quellcode kopiert und dann selber kompiliert, erschwert einen Angriff auf seinen Rechner enorm. Ein interessanter Aspekt für OSS.
