So schützt man sich vorm Staatstrojaner
Dieser Artikel ist älter als ein Jahr!
Das Bundesinnenministerium in Deutschland hat dem Bundestrojaner vor wenigen Tagen eine Zulassung erteilt. Es ist allerdings fraglich, ob der Trojaner auch verfassungskonform eingesetzt werden kann. In Österreich werden derzeit von den beiden Regierungsparteien die rechtlichen Möglichkeiten zum Einsatz einer gezielten WhatsApp- oder Skype-Überwachung bei Terror- und Morddelikten geprüft. Wie genau das passieren soll, darüber hält sich das Justizministerium seit mehreren Monaten bedeckt. Eine neuerliche Anfrage der futurezone zu diesem Thema blieb unbeantwortet. (Update, 19.04 Uhr: "Ein Bundestrojaner ist nicht geplant - es gibt keine Grundlage dafür.")
Strategien zum Schutz
Beim qtalk des Datenschutz-Vereins quintessenz diskutiert am Dienstagabend Georg Markus Kainz mit dem IT-Sicherheitsexperten Rene Pfeiffer über einen Staat, der Sicherheitslücken schafft, anstatt sie zu vermeiden und wie man sich als Anwender vor Staatstrojanern schützen kann. Für Kainz ist die Überwachung der Skype-Gespräche nur eine Ausrede.
„Hier reicht ein richterlicher Beschluss, um die Kommunikation von Skype-Gesprächen zu bekommen. Beim Staatstrojaner geht es darum, dass die Umgebung überwacht wird, ohne dass wir das mitbekommen. Daher müssen wir uns Strategien überlegen, was wir persönlich tun können, um unsere Infrastruktur und Kommunikation so zu schützen, um eine missbräuchliche Nutzung zu verhindern.“
"Alle Betriebssysteme gleich schlecht"
Pfeiffer desillusioniert das Publikum gleich zu Beginn ein wenig, was den Schutz von Laptops betrifft: „Alle Betriebssysteme sind gleich schlecht, wenn es um die Sicherheit geht. Da braucht man sich keine Illusionen machen. “Die Wahl eines bestimmten Betriebssystem alleine schütze nicht. Das wichtigste Grundprinzip der IT-Security lautet: „Geräte voneinander trennen.“
Der IT-Securityexperte, der in Wien die jährliche IT-Konferenz DeepSec organisiert, empfiehlt, prinzipiell zwei Laptops oder PCs zu verwenden. Einen für Dinge, die wichtig sind und einen fürs Schauen von YouTube-Videos. „Das ist etwas, das man leicht schafft, denn die Geräte sind mittlerweile leistbar geworden. “ Dasselbe Prinzip sei auch auf Smartphones und WLANs übertragbar.
Trennung von Systemen
„Man muss sich nicht mit dem smarten Barbie-Haus und seinem Telebanking-Zugang im selben WLAN befinden, wenn es sich vermeiden lässt“, sagt Pfeiffer. Auch bei Smartphones mache eine Trennung Sinn, sofern man dann immer nur eines der beiden Geräte mit sich herum trägt. Diese Trennung dient vor allem dem Vermeiden eines Bewegungsprofils durch das Sammeln von Ortsdaten.
Smartphones sieht der IT-Experte generell als Geräte an, die sich in der Praxis nicht absichern lassen: „Smartphones sind mit so vielen Netzwerken verbunden. Egal, welche App man installiert, da passieren immer Dinge, die man nicht will.“
"Eigene Gewohnheiten ändern"
Laut Pfeiffer sei es bei allen Sicherheitsvorkehrungen, die man als Anwender treffen kann, aber vor allem eines wichtig: „Eine technische Möglichkeit zum Schutz alleine reicht nicht. Man muss immer auch sein eigenes Verhalten ändern und das bedeutet auch, dass man nicht schwach werden und Ausnahmen machen darf“, sagt Pfeiffer.
„IT-Security kann nur dann funktionieren, wenn sie Gewohnheit ist. Daher sollte man zum Schutz auch nur Maßnahmen andenken, die man im Alltag durchhält.“ Das bedeutet in der Praxis etwa: Wer seine E-Mails nur am Laptop aufruft, aber nicht am Handy, sollte auch dann keine Ausnahme machen, wenn er einen Anruf bekommt, dass er gerade eine „wichtige Mail“ erhalten habe, so Pfeiffer.
"Verschlüsselung ist wichtig"
Für das Kennenlernen von Methoden zur Verschlüsselung von Geräten, E-Mails oder Smartphones empfiehlt Pfeiffer den Besuch von Cryptopartys. (Hinweis: Die nächste findet in Wien am 29.2. im Raum D, Museumsquartier statt). „Verschlüsselung ist wichtig, aber ebenso wichtig ist das Management von Identitäten. Darauf wird leider häufig in der Praxis vergessen, weil Menschen nicht wissen, dass, wenn sie ein Handy neu installieren, ihre Identitäten wechseln können“, so Pfeiffer.
Dabei sei gerade die digitale Identität ein beliebtes Angriffsziel mit einem großen Bedrohungspotential. „Eine SMS, wo drin steht „das ist meine neue Nummer“ lässt sich leicht fälschen“, so der IT-Experte. Auch einem Profilfoto etwa in sozialen Netzwerken sollte man nie vertrauen. Dieses „du kennst mich ja“-Prinzip sei leider schon so weit in den Gewohnheiten vieler Menschen drin.
Verschlüsselung sei zwar eine Basiskomponente der IT-Sicherheit, so Pfeiffer, „werde aber nicht in jedem Fall helfen.“ Die Verschlüsselung von Festplatten ist beim Einsatz von Staatstrojanern beispielsweise nur bedingt nützlich. „Wenn ich mit dem Gerät arbeite und angemeldet bin, ist die Festplatte sowieso gerade entschlüsselt. Wenn dann ein Trojaner aktiv ist, hilft mir die Verschlüsselung gar nichts.“
"Sich schützen ist kein Verbrechen"
Der IT-Experte fügt aber hinzu: „Ich würde auch verschlüsselt eine Pizza bestellen, wenn ich könnte – und zwar nur aus Prinzip. Weil es nicht illegal ist. Ich will nicht, dass mir dabei jemand zusieht. Man darf sich diese Freiheiten nicht wegnehmen lassen. Sich zu schützen ist kein Verbrechen.“
Pfeiffer hält es daher auch für grundlegend falsch, wenn Staaten dieses Prinzip aufweichen möchten. „Was ist ein guter Angriff und was ein böser? Entweder wir wollen eine sichere Infrastruktur oder nicht.“
"Staat vergisst seine Aufgabe"
Statt Sicherheitslücken auszunutzen, sollten sie möglichst rasch öffentlich gemacht werden - sowohl vom Staat, als auch von IT-Sicherheitsforschern. "Am besten wäre es, unbekannte Schadsoftware sofort bei VirusTotal hochzuladen. Dann werden sich das einige Leute sehr interessiert anschauen und so macht man den Markt für Schwachstellen kaputt, weil die Preise rasch in den Keller gehen. Das wäre die richtige Methode, wie man IT-Infrastruktur sicher machen kann."
„Wenn es nicht mehr die Aufgabe ist, Einbrüche in Wohnungen zu schützen, sondern Informationen die zur Aufklärung dienen bewusst zurückhalten, um sie selbst missbrauchen zu können, hat der Staat vergessen, was seine Aufgabe ist“ , kritisiert Kainz. Unter dem Deckmantel des Terrorismus werde daher gerade eine „Lose-Lose-Situation“ aufgebaut. „Am Ende werden diese Dinge dazu verwendet, Parksünder zu erwischen, und nicht um Terroristen dingfest zu machen“, fürchtet der Datenschützer.
Kommentare