der-nerd.de

Link: http://bit.ly/lsA3P0

Zack - jetzt ist es soweit. Genau das habe ich schon seit Jahren befürchtet, und jetzt ist der erste (zumindest der erste medienwirksame) Fall eingetreten: Das Ministerium für Staatssicherheit - oh Entschuldigung, ich meinte natürlich das Bundeskriminalamt, wie komme ich jetzt bloß auf die Stasi - hat den Bundestrojaner erfolgreich zur Terrorismusbekämpfung eingesetzt. Die Software wurde auf den Rechnersystemen der Terrorverdächtigen eingeschleust, die versucht hatten, einen Sprengsatz zu bauen und diesen dann irgendwo in Nordrhein-Westfalen zu zünden. Die Männer sollen nach aktuellen Erkenntnissen der altbekannten terroristischen Vereinigung Al-Qaida angehören - das ist ja auch nicht weiter verwunderlich.

Für die meisten Bürger der BRD (Bundesrepublik Dummheit) und den nicht sonderlich besser erleuchteten Rest der Welt ist das natürlich ein Grund zur Freude: Das BKA hat ganze Arbeit geleistet und einen Anschlag verhindert, der womöglich Dutzenden von unschuldigen Menschen das Leben gekostet hätte. So weit so gut, ja, okay, schön gemacht, Prost. Klatschen wir alle in die Hände und freuen uns eine Runde. Terroristen kann eh keiner so recht leiden, siehe hier. Fertig? Okay, weiter zum Wesentlichen: Betrachten wir nun doch mal die Mittel, mit denen das BKA die Ermittlungen geführt hat: Während sich im Moment die Politiker aller Parteien den Mund fusselig reden und gerade nach den jüngsten Missgeschicken von Sony und der UNESCO von Unternehmen den "Datenschutz-TÜV" und Ähnliches verlangen, werden für den (hochheiligen und nicht kritisierbaren) Zweck der Kriminalitätsbekämpfung immer raffiniertere Werkzeuge entwickelt, um die Kommunikation zwischen "Verdächtigen" abzuhören und diese auszuspionieren.

Das ist selbstverständlich nichts Neues - Richtmikrofone, Wanzen und Lauschangriffe auf Telefonleitungen hat es schon seit Jahrzehnten gegeben. Doch wo führt das alles hin? Das Missbrauchspotential solcher Überwachungstechnologien ist extrem hoch: Mit der Verteilung von Spionagesoftware durch Ermittlungsbehörden rücken wir immer weiter von der Demokratie weg und immer näher zu einem totalitären Staat. Der aktuelle Fall hat gezeigt, dass der Bundestrojaner kein Schauermärchen ist, mit dem sich ITler gegenseitig erschrecken wollen, sondern bittere Realität. Das Vorgehen hat sich wunderbar bewährt und war Ermittlern offensichtlich eine große Hilfe bei der Überwachung der Verdächtigen. Das bedeutet, dass dieses Vorgehen auch in zukünftigen Ermittlungen vermehrt Anklang finden wird. Sollte es sich auch weiter bewähren, werden Technologien entwickelt, um die Überwachung mittels des Trojaners zu automatisieren, damit er ohne größere Kosten und personellen Aufwand auch bei kleineren Delikten eingesetzt werden kann. Verbunden mit der von der EU vorgeschriebenen Vorratsdatenspeicherung wären wir dann schnell an dem Punkt angelangt, an dem die gesamte Kommunikation zwischen Bürgerinnen und Bürgern verdachtsunabhängig protokolliert wird. Vereinfacht ausgedrückt würde in jedem unserer Rechner ein kleiner Trojaner sitzen, der bei verdächtigen Aktitivitäten des Benutzers (z.B. Suche nach Bombenbauanleitung, Download von Hackersoftware, Lesen von fundamentalistischer Propaganda) nach Hause telefoniert und z.B. durch Bekanntgabe der IP-Adresse den Benutzer identifizierbar macht. Aufgrund der steigenden Popularität von Smartphones ist übrigens auch nicht auszuschließen, dass auch diese mobilen Endgeräte zum Ziel der staatlichen Überwachung werden.

Es wäre für den Staat auch kaum ein Problem, eine rechtliche Grundlage zu schaffen, die Hersteller von Antiviren-Tools verpflichtet, diese Spionagesoftware zu ignorieren bzw. auf eine interne Whitelist zu setzen. Ich ziehe eine einfache Analogie: Ein Staat, der seinen Bürgern verbietet, Waffen zu tragen und sich somit vor staatlicher Willkür zu schützen, kann es dem Bürger auch verbieten, effektive Antiviren-Software einzusetzen, um sich vor staatlichen Eingriffen in die Privatsphäre zu schützen.

Aber gut, genug der Schwarzmalerei (Schwarzmalerei... CDU... Schwarz... bwahahahaha Schenkelklopfer!). Objektiv betrachtet ist das Kind noch nicht in den Brunnen gefallen, es tanzt lediglich mit verbundenen Augen am Brunnenrand. Wie auch immer der Bundestrojaner geartet sein mag - wer kein gläserner Bürger sein will und nicht der postpanoptischen Staatswillkür zum Opfer fallen will, sollte folgende einfache Dinge bei der Verwendung von Rechner und Internetzugang beachten:

1. Standartschutz: Das sollte eine Selbstverständlichkeit sein: Ein aktuelles Antivirenprogramm mit Echtzeitscans und eine simple Firewall helfen vielleicht nicht effektiv gegen den Bundestrojaner, allerdings stellen sie eine Grundvoraussetzung und sind auch durchaus nützlich, um weitere ungewollte Gäste vom seinem PC fernzuhalten, die auch nicht unbedingt aus staatlicher Schmiede kommen müssen.

2. Was populär ist, ist zu vermeiden: Windows und MacOS sind nette und bequeme Systeme, und genau deswegen sind Microsoft und Apple die Spitzenreiter im Bereich der Betriebssysteme. Da davon auszugehen ist, dass genau diese Systeme von den meisten Bürgern genutzt werden, macht es Sinn, Spionagesoftware für genau diese Systeme zu schreiben. Ein System, das bisher auch von konventionellen Viren fast vollständig verschont geblieben ist, ist Linux. Man muss sich zwar mit langsamen und abstürzenden Grafikoberflächen abfinden (oder am Besten gar keine verwenden) und muss seinen Kernel von Hand neu kompilieren, um andere Hardware als Tastatur und Maus verwenden zu können, aber das System ist nun mal sicher. Sehr sicher. Bereits die Ausführung eines Trojaners wird einfach scheitern - ein Windows-Trojaner wird auf einer Linux-Maschine einfach nicht starten, geschweige denn irgendeinen Schaden anrichten. Es ist also generell zu empfehlen, für sämtliche Kommunikation mit der Außenwelt einen dedizierten Linux-Rechner im Haus zu haben. Windows-Geräte kann man natürlich nach wie vor parallel verwenden, allerdings muss die Netzwerkinfrastruktur so konfiguriert sein, dass diese keinen Internetzugriff haben.

3. Was man nicht kennt, lässt man nicht ins Netz: Wer dennoch mit Windows ins Internet will, sollte seine Firewall so konfigurieren, dass sie nur die Anwendungen durchlässt, die man auch kennt. Die meisten Firewalls fragen den Benutzer mit einem Dialogfenster, ob bestimmte Programme Internetzugriff erhalten dürften. Zwar wird man mit dieser Methode z.B. kaum einen infizierten Browser mit einem Keylogger von einem gesunden Browser unterscheiden können, allerdings kann man sehr effektiv verhindern, dass versteckte eigenständige Programme heimlich Daten austauschen. Im Verdachtsfall lohnt sich auch übrigens eine umfassende Recherche bezüglich der Ziel-IP-Adresse, mit der sich verdächtige Programme verbinden wollen. Neben gewöhnlichen Maßnahmen wie Traceroutes und Portscans findet man im Internet auch IP-Datenbanken, die eventuell Aufschluss über den Besitzer der IP-Adresse geben können.

4. Dein Freund, der interne Proxy: Eine weitere Hilfe bietet ein Proxyserver, den man z.B. zwischen DSL-Router und Internet-PC schaltet. Der Proxyserver sollte keinesfalls auf Transparent eingestellt sein, und das Umgehen des Proxies sollte netzwerktechnisch verhindert werden. Eine solche Konfiguration hat den Effekt, dass der Internet-PC prinzipiell erstmal keine Verbindung nach außen bekommt. Alle Programme, die ins Internet wollen, müssen speziell für den Proxyserver konfiguriert werden. Meistens muss man dafür in den Netzwerkeinstellungen des jeweiligen Programms die IP-Adresse des Proxies und dessen Port angeben. Spaßeshalber sollte der Proxy einen anderen Port als den Standart-Port verwenden. Eine solche Konfiguration erschwert es eventueller Schadsoftware, ins Internet zu gelangen, da die Software meist nicht die Möglichkeit hat, die IP-Adresse des Proxies und den Port zu erraten - besonders, wenn der Port des Proxies nicht gerade 8080 lautet.

5. Dein Freund, der externe Proxy: Wer surft, hinterlässt Spuren - die gefährlichste Spur ist die IP-Adresse des verwendeten Internetzugangs. Diese wird in den Logdateien der besuchten Webseiten gespeichert, zusammen mit der Uhrzeit und der genauen URL des Seitenaufrufs. Sollte also der Server einer bestimmten Webseite in Staatshände gelangen, kann auf einfachste Art und Weise ein Besuchsverlauf eines bestimmten Besuchers ermittelt werden. Mit Hilfe der IP-Adresse kann der Staat auch die Identität des Besuchers herausfinden: Internetverbindungsanbieter sind verpflichtet, auf Anfrage der Ermittler die Kundendaten des Kunden mit der gegebenen IP-Adresse herauszugeben (So viel zum Thema Datenschutz). Seine IP kann man jedoch relativ einfach verschleieren: Mit Hilfe von bestimmten Diensten wie z.B. dem Tor Network wird die Kommunikation des Webseitenbesuchers über mehrere Server geleitet, die in der gesamten Welt verteilt stehen. In den Logdateien der Webseite steht also die IP-Adresse eines Servers in Südamerika. Eine Anfrage bei deutschen Internetdienstanbietern wird also keinen Erfolg haben - man wird bestenfalls den Betreiber und den Standort des Proxyservers in Südamerika festellen können. Verarscht :-)

6. Encrypt, encrypt, encrypt: Wer sensible Daten hat, sollte diese niemals unverschlüsselt herumliegen lassen. Programme wie FreeOTFE oder TrueCrypt ermöglichen es, verschlüsselte Containerdateien oder Partitionen anzulegen. Auf diese kann dann nur noch mit einem Passwort zugegriffen werden. Damit können USB-Sticks ganze Festplatten vor unerwünschtem Zugriff geschützt werden, z.B. bei physischer Beschlagnahmung der IT-Systeme. Zu beachten ist dabei natürlich, dass die Daten trotzdem ungeschützt sind, wenn der Container geöffnet wird. Er erscheint dem System dann wie eine gewöhnliche Festplatte und ist damit auch ein Angriffsziel für Spionagesoftware. Solche Container sollten also möglichst nur an Rechnern ohne Internetzugang geöffnet werden. Eine Verschlüsselung von Datenübertragungen, z.B. durch VPN-Verbindungen, runden die Schutzmaßnahmen weiter ab.

7. Die ewige Wiedergeburt: Je älter ein System ist, desto höher ist die Wahrscheinlichkeit, dass sich darauf etwas eingenistet hat. Wenn man sich also die Mühe macht, einen dedizierten Internet-PC einzurichten, sollte dieser nach seiner Installation und VOR dem ersten Kontakt mit dem Internet als Image gesichert werden. Es ist zu empfehlen, den Rechner z.B. einmal pro Woche mit Hilfe dieses Images neu aufzusetzen. Das hat zwar den Nachteil, dass z.B. der Besuchsverlauf des Browsers, geänderte Einstellungen, Softwareupdates etc verloren gehen (das System wird ja auf den Zustand direkt nach der Installation zurückgesetzt), allerdings wird damit auch sämtlich Schadsoftware ausradiert. Wurde der Rechner also einmal mutwillig infiziert, müsste der Angreifer die gesamte Prozedur wiederholen, was in Kombination mit anderen Sicherheitsmaßnahmen nicht einfach ist. Es ist übrigens auch ratsam, hin und wieder Änderungen durchzuführen, wie z.B. das Ändern von Hostnames, internen IP-Adressbereichen des DHCP-Servers, Portnummern, Netzwerktopologien etc. Solche Änderungen verwirren Angreifer und zwingen sie, sich immer wieder auf neue Situationen einstellen zu müssen, was ihren Fortschritt verlangsamen kann.

Na, wieder was gelernt von Onkel Nerd? Ich muss an dieser Stelle leider sagen, dass diese und andere Sicherheitsmaßnahmen natürlich niemals eine Garantie für den Schutz gegen Systemkompromittierungen sind. Aufgrund der Komplexität moderner IT-Systene übersieht auch ein Profi immer wieder eine Schwachstelle, wie man z.B. bei Sony und Unesco gesehen hat. Und ein guter Hacker findet diese Schwachstelle, wenn auch mit viel Mühe und Zeitaufwand. Nichtsdestotrotz sind die Sicherheitsmaßnahmen natürlich nicht umsonst: Sie tragen dazu bei, das Ausspionieren von IT-Systemen deutlich zu erschweren. Während es vielleicht einfach sein mag, den Trojaner per Email zu verschicken und dann auf seine Aktivität zu warten, müssen beim Einsatz oben genannter Sicherheitsvorkehrungen sehr viel Zeit, Geld und Denkarbeit investiert werden, um den Trojaner dennoch erfolgreich einsetzen zu können. Der Trojaner muss evtl neu programmiert und getestet werden, außerdem erhöht sich durch das Gebastel das Entdeckungsrisiko. So kann ein unvorsichtiger Angriff dazu führen, dass das Opfer Wind davon bekommt und sinnvollerweise erstmal einen kompletten Internet-Lockdown durchführt und seine Kommunikation z.B. nur noch über ungesicherte WLAN-Netzwerke oder Internetcafes erledigt. Wenn der Staat dann dennoch diese Mühen auf sich nimmt, um euch nachzustellen, dann müsst ihr, meine lieben Leser, wohl tatsächlich Al-Qaida-Terroisten sein, und das seid ihr doch hoffentlich nicht, oder? ;-)

Also denn, Prost! Passt auf eure IT auf und lasst euch nicht in euer digitales Wohnzimmer schauen!

- Oleg

P.S.: Ich wünsche allen Lesern einen schönen 1. Mai! Da habe ich mir doch einen guten Tag für meinen Artikel ausgesucht, hehe.