Menschliche Sicherheit

Diese Sicherheits-Artikel enthalten viel Gerede über Verschlüsselung. Schlussendlich ist jedoch die gesamte zauberhafte Krypto-Magie komplett sinnlos, wenn du unsicheres Benehmen an den Tag legst. Mit ein paar einfachen Praktiken kannst du deine Sicherheit enorm steigen.

Rette die Welt mit besseren Passwörtern

Weil Passwörter meistens der Schwachpunkt aller Sicherheitsmaßnahmen sind, die auf solchen basieren, sind bessere Passwörter der erste Schritt in Richtung höhere Sicherheit.

Was du vermeiden solltest:

  • Wähle keine Begriffe aus dem Wörterbuch! Die meisten Passwörter sind leicht zu knacken, weil es einfache Variationen von Begriffen aus dem Wörterbuch sind. In den Sprachen der Menschheit gibt es einfach nicht sehr viele Wörter – daher ist es nicht schwierig, sie alle durchzuprobieren. Das gilt genauso für Wörter, bei denen einzelne Buchstaben durch Ziffern ersetzt wurden. Zum Beispiel ist “L13BE” nicht viel schwerer zu knacken als “LIEBE”.
  • Benutze nicht das gleiche Passwort für verschiedene Konten! (Hier könnten noch Infos zu Passwort-Managern stehen). Es kann sicherer sein, deine Passwörter an einem sicheren Ort aufzuschreiben, als überall das gleiche zu benutzen.
  • Vergiss nicht, dein Passwort regelmäßig zu ändern! Du solltest dein Passwort mindestens einmal im Jahr ändern.
  • Verrate niemandem dein Passwort – schon gar nicht, wenn dich wer danach fragt!

Wie erstelle ich ein Passwort, das sicher und gleichzeitig leicht zu merken ist? Das ist gar nicht so einfach! Hier drei allgemein bewährte Strategien:

1. Benutze einen Passwortspeicher

Versuche nicht, Passwörter zu merken. Generiere statt dessen zufällige Passwörter für alle verschiedenen Dienste und Webseiten, die Du nutzt und speichere diese in einem dafür entwickelten Programm (z.B. keepassx).

2. Passwörter

  1. Der Ausgangspunkt ist grundsätzlich eine Reihe von Begriffen, die Du Dir gut merken kannst.
  2. Diese veränderst Du zu Nicht-Wörtern (z.B. nimmst Du nur den Anfangsbuchstaben jedes Wortes)
  3. Füge ein paar Großbuchstaben und Symbole hinzu.

Beispiele:

  • Du könntest den Satz “Die Revolution wird nicht im Fernsehen gesendet” verwandeln in “DRwniFg” und zufällige Zeichen hinzu fügen: “DRwniFg!42”
  • Auch wenn du keine einzelnen Begriffe aus dem Wörterbuch nehmen solltest, können mehrere zusammengefügte Begriffe ein gutes Passwort bilden: “7apFelregEn”

3. Passphrasen

  • Bilde ein unsinniges “Akronym” aus den Anfangsbuchstaben eines Satzes, den du dir gut merken kannst und mische es mit Worten aus verschiedenen Sprachen nicht-Wörterbuch Wörtern.
  • Klebe diese zusammen zu langen Passphrasen. Diese sind länger, aber einfacher zu tippen.

Beispiel:

Häufiger Betrug im Internet

Halte deine Software auf dem neuesten Stand

Muss noch geschrieben werden.

Vorsicht bei gemeinsam genutzten Computern

Logout: Denke daran, dich immer abzumelden, wenn du den Webmailer verwendest. Das ist sehr wichtig und sehr einfach. Es ist besonders wichtig, wenn du einen öffentlichen Computer verwendest. Lasse dein Computer nicht ungesperrt und unbeaufsichtigt stehen.

Vermeide öffentliche Computer: Das könnte schwierig sein. Wenn du öffentliche Computer verwendest, überlege dir, ob du deine Passwörter häufiger wechselst oder verwende den virtuelle Tastatur Link (solltest du den Webmailer von riseup.net verwenden).

Erstellt verschiedene Benutzern mit unterschiedlichen Einstellungen, wenn du einen gemeinsamen Computer mit deinen Freunden verwendest. Außerdem solltest du dich immer ausloggen oder den Computer sperren, wenn du ihn gerade nicht benutzt.

Vermeide das Preisgeben persönlicher Informationen

Die Preisgabe persönlicher Informationen durch Social Engineering ist ein sehr umfassendes Thema. An dieser Stelle können wir nicht ausreichend zu erklären, oder erläutern warum dies gemacht wird, sondern nur helfen, diese Versuche zu erkennen und praktische Tipps geben, sich eine “menschliche” Firewall aufzubauenb gegen alle “Dinge”, die solche versuche unternehmen.

  • Identifiziere Versuche von Social Engineering. Lerne durch reale Fälle, Berichte, Dokumentationen, etc. über verschiedene aktuelle Methoden sozialer Manipulation, auch angewandt auf Identitätsdiebstahl. Es gibt dazu eine Menge Bücher und Artikel.
  • Erstelle eine Programm für Bewusstheit über persönliche Sicherheit. Nimm an Veranstaltungen (wie CryptoPartys oder anderen “Untergrund”-Treffen teil), Dynamiken oder Kultur (wie was wir tun) die mit Menschen interagiert, das Thema präsenter macht und dadurch Bewusstheit über Schutzmöglichkeiten steigert.
  • Bewusstheit steigern für den Wert unserer Informationen für Social Engineers. Wie viel wert sind dir Name, Telefonnummer, Emailpasswort oder einfach deine Lieblingsfarbe? Erzeugen einer Neugier über das Bereitstellung von Informationen, Fragen stellen darüber wer diese Informationen haben will, welche Informationen genau und zu welchem Zweck, woher die fragende Person kommt und an wen diese weitergeleitet werden sollen.
  • Entwickle Prozesse, welche die Schritte sozialer Manipulation umgehen. Finde etwas über die Identität von Fragen stellenden Personen heraus, mit welchem Ziel diese Fragen gestellt werden. Es ist nicht notwendig, falsche Informationen zu korrigieren im Beisein von Menschen, die diese Information nicht haben brauchen. Habe keine Angst, “Nein” zu sagen, oder um Zeit zu bitten, darüber nachzudenken.
  • Benutze keine Information, nach der Du nicht gefragt hast. Sei vorsichtig bei Menschen, die Katastrophen benutzen, um emotionale Anfragen zu stellen.

Siehe dazu auch das online verfügbare Buch Social Engineering: The Art of Human Hacking by Christopher Hadnagy.

Spüre die Liebe von freier Software

Warum solltest du lieber GNU/Linux anstatt Windows oder Mac OS verwenden? Es gibt verschiedene Gründe, einer der größten ist, dass sie durch die vielen Viren, Trojaner, Hintertüren, Sicherheitslücken, gezielter Regierungsangriffe und anderer Exploits über die Jahre nicht mehr vertrauenswürdig sind. Das gilt besonders, weil dir keine Möglichkeit gelassen wird, unter die Haube zu schauen um zu sehen, ob das was die Betriebsysteme machen, auch in Ordnung ist. Die Software ist proprietär und Closed-Source, das bedeutet, dass du deine privaten Informationen Unternehmen anvertraust, deren einziger Fokus der Profit ist, nicht die Sicherheit deiner persönlichen Daten und du hast keine Chance die Methoden des Unternehmens zu überprüfen.

MacOS leidet an den selben Problemen, an denen auch Windows leidet. Obwohl es auf Unix – von dem auch Linux abstammt – basiert, sind große Teile des Betriebsystems nicht Open Source und damit auch nicht für eine Prüfung durch andere zugänglich. Die erhöhte Popularität resultierte in einer Reihe von Viren und Sicherheitslücken (es sind aber immer noch deutlich weniger als bei Windows). Apples autoritaristische Firmen Kultur zeigt sich auch in der Struktur des Betriebsystems. OS X verfügt über ein eingebautes „Feature“, das eine Aktivierung der Webcam von einem anderen Computer aus erlaubt; eine solche Funktion wurde unabhängig vom Betriebsystem schon mehrmals für andere Zwecke missbraucht.

GNU/Linux setzt sich hauptsächlich aus Software zusammen, deren Quelltexte von jedermann betrachtet und überprüft werden können. Diese Programme wurden von über Jahre hinweg von eine großen Gruppe verschiedenster Menschen geschrieben. In der Geschichte von Linux gibt es nur wenige Viren und Sicherheitslücken. Linux ist zudem ein sehr leicht bedienbares Betriebsystem, das viel alte Hardware unterstützt und damit Sicherheit für eine große Anzahl von Anwendern verfügbar macht.