Geräte sicherer machen

Manche Menschen glauben zwar, „nichts zu verbergen“ zu haben, doch wer würde seinen Eltern oder allen Freunden alle Inhalte auf dem eigenen Gerät zeigen wollen? Wenn man schon bei nahestehenden Personen, die wahrscheinlich nur das Beste für einen selbst wollen, ein Problem damit hat, kann man kaum zu dem Schluss kommen, dass man vor Fremden nichts zu verbergen habe. Schließlich hat man auf seinen Geräten zahlreiche sensible Daten gespeichert: persönliche Nachrichten, Kontakte, Fotos und Videos - vielleicht sogar Fitness-, Gesundheitsdaten oder die Zugänge und Daten vom Bankkonto. Neben den lokal gespeicherten Daten selbst, sind auf Smartphones meist zahlreiche Zugänge eingerichtet: So hat man mit dem Zugriff auf ein Smartphone auch oft den Zugriff auf zum Beispiel E-Mail-, Social Media- oder Geldkonten. Dann kann ein Fremder plötzlich in deinem Namen Nachrichten an deine Kontakte versenden oder gar Geld abbuchen. Es gibt also mehr als genug Gründe, etwas Zeit in den Schutz der eigenen Geräte zu stecken. Wie das geht, erklären wir in diesem Kapitel.

Viele Hersteller stehen dabei in ständiger Konkurrenz zu ihren Mitbewerbern (auf Smartphones kämpfen iOS von Apple und Android von Google um Marktanteile, auf Computern Microsoft Windows gegen MacOS Apple, bei Videokonferenzen Zoom und Webex usw). Wenn ein Hersteller ein von den Nutzer:innen begeistert aufgenommenes Feature entwickelt hat, versuchen die Konkurrenten meist schnell mit einer ähnlichen Funktion aufholen zu können. Schließlich möchte kein Hersteller, seine Nutzer:innen an die Konkurrenz verlieren. Die Konkurrenz und der Druck sind hoch, die veröffentlichten Programme und Updates enthalten oft noch Fehler.

Wegen dieser Sicherheitslücken kann es zum Beispiel möglich sein, dass sich Hacker:innen über das Internet oder über das lokale WLAN, mit dem das Smartphone gerade verbunden ist, unbefugten Zugriff verschaffen und so auch private Daten einsehen können. Wenn ein Hersteller von diesem nicht vorgesehen Fehler erfährt, wird er in der Regel so schnell wie möglich ein Update bereitstellen, um diese Lücke zu schließen. Diese Rolle übernehmen neben den Funktions-Updates die sogenannten Sicherheitsupdates, die bestehende Sicherheitslücken schließen. Viele Updates enthalten oft sowohl neue Funktionen als auch Sicherheits-„Patches“ (deutsch: Pflaster), die bestehende Sicherheitslücken schließen. Das ist der Grund, weshalb man als Nutzer:in immer alle Updates einspielen sollte. Problematisch wird es, wenn eines Tages keine Updates mehr zur Verfügung stehen. Wahrscheinlich ist das Gerät dann schon älter und erfüllt die Hardwareanforderungen nicht mehr oder die Software wird nicht mehr weiterentwickelt. Daher gilt der dringende Rat: Systeme, für die es keine Updates mehr gibt, sollten nicht mehr benutzt werden. An dieser Stelle kann man allenfalls noch prüfen, ob es evtl. die Möglichkeit gibt, ein anderes aktuelles Betriebssystem auf dem Gerät einzuspielen. Anderenfalls lautet die dringende Empfehlung, es gegen ein neueres Gerät auszutauschen. Leider ist es als Käufer:in oft nicht in Erfahrung zu bringen, wie lange ein bestimmtes Gerät mit Sicherheitsupdates versorgt wird. Manche Geräte erhalten länger als 5 Jahre Sicherheitsupdates. Es gibt aber auch Fälle von zum Beispiel sehr günstigen Smartphones, die nicht einmal ein Update auf die nächste Betriebssystemversion erhalten.

Bei der Eingabe der PIN (Persönliche Identifikationsnummer) solltest du natürlich aufpassen, dass dir dabei niemand über die Schulter blickt. Das ist in der Öffentlichkeit gar nicht so einfach, wenn man zum Beispiel durch die menschengefüllten Straßen geht oder im Kino auch die Reihen hinter einem belegt sind. Es gibt spezielle Sichtschutzfolien, die man sich aufs Display kleben kann. Diese schränken den Blickwinkel ein, sodass neugierige Betrachter von der Seite nur noch schwer erkennen können, was auf dem Bildschirm passiert. Dies erhöht den Schutz der eigenen Daten auf dem Display. Natürlich ist es zunächst etwas anstrengend, bei jeder Nutzung des eigenen Geräts eine PIN eingeben zu müssen. Doch man gewöhnt sich schnell daran. Es stellt schließlich auch niemand in Frage, dass man die eigene Wohnung auf- und abschließt, wenn man sie betritt oder verlässt. Dabei ist es wirklich umständlich, jedes Mal das Schlüsselbund aus der Tasche ziehen zu müssen und dann noch den richtigen Schlüssel auszuwählen.

Wenn jemand Fremdes dein Gerät in die Hände bekommt, sollte dieser idealerweise nur die Möglichkeit haben, PINs durchzuprobieren. Geht der/diejenige davon aus, dass die PIN nur vier Stellen hat, so müsste man von 0, 0, 0, 0 bis 9, 9, 9, 9 alle möglichen Kombinationen durchprobieren. Mit hoher Wahrscheinlichkeit könnte man das Passwort so innerhalb weniger Stunden knacken. Damit das weiter erschwert wird, solltest du dein Smartphone so konfigurieren, dass man mit Ausprobieren nicht ans Ziel kommt. Beispielsweise könnte das Gerät nach drei Falscheingaben erst einmal 5 Minuten blockiert werden. Und sich nach 15 Minuten vollständig auf die Werkseinstellungen zurücksetzen. Es wäre ein riesiger Zufall, wenn es jemand Unbefugtem so gelingen sollte, das Gerät zu entsperren. Außerdem ist es essenziell, dass man sich den eigenen PIN gut merkt. Denn wenn man diesen vergessen hat, verliert man auch als Besitzer eines Geräts die Möglichkeit, dieses zu entsperren. Daher schreibt man sich eine PIN am besten zunächst beim Einrichten auf und verwahrt diese Notiz sicher. Wenn man die PIN dann über einen gewissen Zeitraum ständig eingegeben hat, vergisst man sie auch nicht mehr und kann den Zettel ruhigen Gewissens vernichten.

Anmeldungen über Fingerabdrücke oder für das eigene Gesicht konnten von Hacker:innen bereits umgangen werden. Aus dem Fingerabdruck, den man an jedem angefassten Gegenstand hinterlässt, lässt sich zum Beispiel aus Silikon eine Kopie des Fingerabdrucks erstellen. Im September 2013 erschien Apples iPhone 5s, welches erstmals einen Fingerabdrucksensor verbaut hatte. Bereits wenige Stunden nach Erscheinen wurde dieser von Sicherheitsforscher:innen überlistet. Um ein Telefon mit einem Gesichtsscanner zu entsperren, reicht es bei manchen Geräten, ein Foto des Besitzers vor die Kamera zu halten. Bessere Systeme sind nicht ganz so einfach zu überwinden, jedoch gehen Forscher:innen davon aus, dass sich jedes biometrische System überlisten lässt. Daher können biometrische Systeme nur eine begrenzte Sicherheit bieten.

Natürlich können PINs und Passwörter theoretisch auch geknackt werden. Doch diese lassen sich im Gegensatz zum eigenen Gesicht oder Fingerabdruck einfach austauschen. Auch kann man nicht bei jedem Dienst ein anderes verwenden, wie die Empfehlung bei Passwörtern und PINs ist. Bei der Polizei kann übrigens in Deutschland und Österreich niemand gezwungen werden, die eigenen Passwörter zu verraten. Da dort aber ggf. Fingerabdrücke abgegeben werden müssen und Fotos von einem gemacht werden, ist es auch möglich, dass die eigenen Geräte gegen den eigenen Willen entsperrt werden. Dein Finger kann auch schnell mit Gewalt auf den Sensor des Smartphones gedrückt werden. Um in diese Situation zu kommen, muss man übrigens wahrlich kein Verbrecher sein. Auch kann das Problem am Flughafen bei der Urlaubsreise in ein anderes Land auftreten. Daher kann es in gewissen Situationen sinnvoll sein, die biometrische Authentifizierung schnell zu deaktivieren, wenn man sie überhaupt verwendet.

An vielen Computern lässt sich nach dem Lösen von ein paar Schrauben die Festplatte ausbauen. Bei vielen Smartphones und auch bei manchen Computern mag das etwas schwieriger sein, weil sich die Geräte nicht einfach so aufschrauben lassen und der Speicher oft fest verlötet ist. Doch mit ein wenig Aufwand ist dies für Fachleute weiterhin möglich. Durchs vollständige Verschlüsseln der eigenen Festplatte kann man sich davor aber einfach schützen. Dies erledigt das Betriebssystem oder ein entsprechendes Programm. Danach werden beim Entsperren des Geräts die verschlüsselt gespeicherten Daten während der Nutzung entschlüsselt. Beim Benutzen fällt das gar nicht auf, denn heutige Geräte sind in der Regel leistungsstark genug um das schnell im Hintergrund durchzuführen. Doch wenn man über ein externes Gerät versucht, diese Daten auszulesen, sind sie ohne den zugehörigen Schlüssel nicht zu interpretieren und daher völlig wertlos. Auf den Smartphones mit iOS sind die lokalen Datenträger automatisch verschlüsselt, wenn man eine Bildschirmsperre eingerichtet hat. Bei Android muss man die Verschlüsselung in der Regel manuell aktivieren. Auch auf eurem Rechner müsst ihr diese manuell aktivieren. Dabei ist es wichtig, dass ihr den Schlüssel auch außerhalb von eurem Rechner sichert – also ihn zum Beispiel ausdruckt und das Papier sicher und vor fremden Zugriff geschützt aufbewahrt. Denn wenn sich der eigene Rechner eines Tages nicht mehr einschalten lässt, weil zum Beispiel der Prozessor durchgebrannt ist, wollt ihr den Zugriff auf die eigenen Daten nicht verlieren. Wer seinen Schlüssel verloren hat, kann die eigenen Daten sonst wirklich nicht mehr entschlüsseln. Das gehört einfach dazu, wenn es sicher sein soll. Hätte man eine Möglichkeit, ohne den Schlüssel wieder an die Daten zu kommen, wäre die Verschlüsselung nicht mehr sicher.

Anleitungen im Kapitel "Verschlüsselung"

• Windows: VeraCrypt / Bitlocker (nur bei Windows Pro Editionen)
• Mac OS: VeraCrypt/ FileVault

Clouddienste sind also Dienste und Speicherplatz „im Internet“. Genauer betrachtet handelt es sich dabei um Server der Hersteller, die irgendwo auf der Welt stehen und mit denen sich Nutzer:innen verbinden. Auf diesen Servern werden die Daten gespeichert und nach Anmeldung werden diese Daten dann mit den Geräten der Nutzer:innen synchronisiert. Die Daten liegen somit nicht mehr nur auf den eigenen Geräten, sondern eben auch auf den Servern des Anbieters des Clouddienstes. Dabei verliert man aber auch die Kontrolle über diese Daten. Wie diese Daten vom Anbieter verarbeitet werden, welche Informationen dieser Anbieter aus euren Daten über euch gewinnt und was dieser in Zukunft damit macht, bleibt intransparent. Da Anbieter diese Dienste, für die Nutzer:innen oft kein Geld zahlen, auch finanzieren müssen werden die Anbieter diese Daten möglicherweise auch verwenden, um damit Geld zu verdienen. Und das muss nicht immer zum Vorteil oder im Interesse der Nutzer:innen sein. Auch gab es in der Vergangenheit Vorfälle, bei denen Sicherheitslücken bei Cloudanbietern von Kriminellen ausgenutzt wurden, um Daten von Nutzer:innen zu kopieren. Dazu gehören zum Beispiel private Fotos, die heute öffentlich im Internet einsehbar sind, obwohl Nutzer:innen dem nie zugestimmt haben. Um diese Risiken zu minimieren, kann man beispielsweise Clouddienste deaktivieren oder zumindest abwägen, welche Daten man welchem Anbieter anvertrauen möchte. Als Alternative zu Konzernen, deren Geschäftsmodell die Verarbeitung der Daten ihrer Nutzer:innen ist, gibt es zum Beispiel die freie Cloud-Software Nextcloud oder Owncloud. Dabei handelt es sich um eine Software, die jeder selbst aufsetzen und betreiben kann - vorausgesetzt, man hat die Hardware und das Wissen dafür. Für alle anderen gibt es zahlreiche kommerzielle Anbieter, die die Nutzung ihrer eigenen Nextcloud Instanzen gegen Geld anbieten. Wichtig bei der Nutzung ist, dass man diesem Anbieter vertraut.