1. Die sichereren Verkehrsmittel
1.1. Reisen auf den Straßen
Wenn es bei der Reiseplanung darum geht, möglichst nicht in GDS (► Glossar) erfasst zu werden, sind auf dem Weg nach Osteuropa Autos die erste Wahl. Als Passagier ist man bei der Reiseart Flug am strengsten überwacht/überwachbar. Wir lesen fast täglich davon, wie eigentlich gut gesicherte Datenbanken erfolgreich gehackt und deren Daten auch gebraucht oder veröffentlicht wurden. Natürlich haben Geheimdienste Zugang zu den von GDS gesammelten Daten zu den Reisenden.
Besser ist es, Bewegungsdaten werden gar nicht erst gespeichert.
Am 11.04.2011 meldete Heise, dass der EU-Rat über die Auswertung von Flugpassagierdaten streitet. Die Innenminister der EU-Staaten, die den EU-Rat bilden, haben sich damals (noch) nicht auf eine gemeinsame Linie zur Errichtung eines Systems zur Speicherung und Auswertung von Fluggastpassagierdaten einigen können. Wohlgemerkt: Zu Flügen innerhalb der EU. Die USA ist in diesem Punkte sicher schon weiter... Mir ist so, als habe dieses Wunschdenken der EU-Beamten und EU-Politiker seit Wolfgang Schäubles Besuchen als Innenminister in den USA stark zugenommen.
Und die Straßen? Natürlich werden Sie an den Grenzen am Rande der EU und zwischen den GUS-Staaten von den Grenzern und dem Zoll registriert. Und LKWs und Busse werden dank des Toll-Collects-Systems getrackt. Aber insofern haben Sie als Individualreisender kaum Nachteile gegenüber anderen Verkehrsmitteln. Als Autofahrer sind sie diesen Kontrollorganen aber in der Regel stärker physisch ausgesetzt, als wenn Sie mit einem Linienbus reisen. Sie können als PKW-Fahrer leichter aufgehalten werden als ein Linienbus. Beim Linienbus gibt es immer viele Zeugen, die auf das Tun der Grenzer achtgeben. Autofahren ist aber für uns Westeuropäer in Russland im Hinblick auf eine abstrakte Unfallgefahr gefährlicher. Warum, habe ich hier (Link) ausführlich beschrieben.
Ein Nachteil ist, dass sich ein Auto leicht markieren lässt, also: heimlich mit einem GPS-Sender versehen lässt. Diese sind kaum größer als eine Zigarettenschachtel. Vielleicht kann man diese Sender mit einem Detektor orten. Dann sollte darüber nachgedacht werden, mit einem solchen den reisenden Mitarbeiter, der mit eigenem Auto unterwegs ist, auszustatten. Fraglich ist, ob solche Geräte, rechtlich gesehen, über die Grenze genommen werden dürfen oder ob Grenzer diese beschlagnahmen (dürfen). Ein System zur Auswertung von Positionsdaten im deutschen Bundesgebiet ist "Patras". Gesammelte Daten aus diesem System werden auch vom deutschen Zoll genutzt. Ein Server des Zolls, auf dem solche Patras-Daten gespeichert werden, ist im Juli 2011 gehackt worden und die erbeuteten Daten sind im Internet veröffentlicht worden.
Quelle: Spiegel online, "Hacker klauen Daten vom Zoll-Server", 08.07.2011
Wenn Sie ein Auto mieten, wäre tendenziell die Anmietung eines Autos von einem Anbieter anonymer, der nicht zu den großen Ketten gehört und mit diesen auch nicht zusammen arbeitet. Die großen Marken-Autovermieter sind mit Computersystemen verkettet und über die GDS auch mit Fluggesellschaften und Hotels verknüpft. Man könnte, wenn der Unternehmer in eine russische Grenzregion reist, auch überlegen, ob man den Mietwagen nicht im Nachbarland ausleiht, im Sinne einer Spurenverwischungsstrategie. Das mag jetzt paranoid erscheinen. Aber Absicht der Serie ist, zu überlegen, wie man möglichst viele Faktoren der Identifikation und Verfolgung ausschließen könnte. Ich entwickle hier nur einige Ideen dazu. Entsprechend dieser Strategie sollte man dann die Dienstleistung möglichst nicht mit der Kreditkarte zahlen, sondern mit Bargeld oder vielleicht über Webmoney oder Bitcoin oder Paysafecard.
Machen Sie sich bewusst, dass die großen Autovermieter GPS-Ortungsgeräte in ihre Mietwagen eingebaut haben. Sie können damit verfolgen, wo sich die Kunden befinden. Auch kleine Mietwagenfirmen haben natürlich ein Interesse daran, zu wissen, wo sich ihre Fahrzeuge befinden. Also was kann man tun, wenn man dieses Tracking vermeiden will?
[Aktualisierung: Lesetipp: Spiegel vom 21.07.2016: Drive Now: BMW liefert Gericht Kundendaten für Bewegungsprofil
http://www.spiegel.de/wirtschaft/unternehmen/bmw-liefert-gericht-kundendaten-von-drive-now-fuer-bewegungsprofil-a-1104137.html]
Innerhalb Russlands ist nach meinen Eindrücken das Reisen mit Bussen, für die man sich selbst die Fahrkarte ohne Vorlage des Reisepasses kaufen kann, die beste Form des anonymen Reisens, besser als das Reisen mit einem gemieteten oder dem eigenen Auto.
Noch können Sie häufig Busfahrkarten ohne Vorweisen(müssen) eines Reisepasses kaufen. Doch der Trend geht im Reiseverkehr insgesamt hin zum Verkauf von personengebundenen Fahrkarten. Hier hinkt Russland Deutschland bei Busfahrkarten noch hinterher, aber (nach meinem Gefühl) nicht bei Bahnfahrkarten.
Ergänzung, 26.01.2017: Deutschlandfunk meldet, das man in Belgien Bahn, Bus und Schiff genauso streng überwachen will wie Flüge.
http://www.tagesspiegel.de/politik/nach-terrorattacken-belgien-will-personenkontrollen-auch-in-bahn-und-bus/19202932.html
Das haben die Bürger der Politik unserer Regierung zu verdanken, Deutschland als Staat aufzulösen. Anlass für das Aufkochen dieses Themas war das Attentat auf dem Weihnachtsmarkt am Breitscheidplatz in Berlin.
Ergänzung, 31.01.2017: Heise: Bahnpassagierdaten-Sammlung: Belgien will mit ersten EU-Staaten starten
1.2. Eisenbahnfahren - anonymer Fahrkartenkauf möglich?
Zum Datenschutz in Bezug auf den Kauf von Bahntickets habe ich im Januar 2011 einen Artikel veröffentlicht, auf den ich verweise. Anonymer Fahrkartenkauf ist in Deutschland noch möglich. Sie können am Fahrkartenschalter mit Bargeld bezahlen und müssen nicht Ihren Personalausweis zeigen. In Russland können Sie nur für Regionalzüge Fahrkarten ohne Ausweis kaufen. Fernzüge erfordern Angaben aus dem Reisepass.
1.3. Fähren
Große Fährgesellschaften sind in die Global Distribution Systems (GDS) integriert. Bei Amadeus heißt das Tool dafür Ferry. Auf der Website http://www.prplus.at/info.php?pid=23&kunde=1&news=430 (vom 31.10. 2001!) fand ich folgende beteiligte Fährgesellschaften genannt:
Stena Line, Corsica Sardinia Ferries, Color Line, Moby Lines, Brittany Ferries, SNCM, Hoverspeed, TT-Line, Corsica Marittima, Hellenic Mediterranean Lines und Seafrance.
Russische Fährgesellschaften sind aber vielleicht heute noch nicht von den GDS erfasst - das müsste man noch eruieren (lassen).
Aber als relevantes Gewässer im Zusammenhang mit Reisen nach und aus Russland kommt für deutsche Touristen nur die Ostsee in Frage. Die Zahl von deutschen Touristen, die von Sotschi eine Fähre über das Schwarze Meer in die Türkei nehmen oder umgekehrt, ist sicher gering. Und wenn man bis in die Türkei ein Flugzeug nimmt, hat man generell schlechte Karten in Hinsicht auf anonymes Reisen.
Auf der Ostsee gibt es seit 2010 ein Fährschiff "Princess Maria" "Princess Anastasia" der russischen St. Peter Line. Es fährt zwischen St. Petersburg und Helsinki. Nach Helsinki kommt man mit Superfast-Fähren. Ab April 2011 soll ein anderes Schiff dieser Reederei Stockholm ansteuern. Man müsste sich hier einmal die Generalagentur Inflot Cruise & Ferry ansehen, ob diese an CRS angeschlossen ist.
Am 18. Oktober 2008 schrieb ich im Artikel "Politthriller über den Untergang des Fährschiffes Estonia":
"Bis vor kurzem war der Seeweg ein für Bürger sicherer Weg in Bezug auf anonyme Ein- und Ausreise als das Fliegen, weil hier die -> GDS-Systeme nicht so nahtlos griffen wie bei Flügen. Ich meine den Weg über die Ostsee. Und die Gepäckkontrolle war auch nicht so rigide an den Fährhäfen im Vergleich zu den Flughäfen. Hier wurde man nicht mit absurden Flüssigkeitsbegrenzungen (die im November 2006 eingeführt wurden,) drangsaliert."
Doch die Seewege in Europa sollen sicherer werden. Das heißt also auch: besser kontrolliert werden.
Die EU-Kommission beabsichtigt den Zugriff auf die -> PNR-Daten der GDS-Systeme. Das ging am 2.2.2011 durch die Medien. Und das soll auch die Fährlinien einschließen.
2. Zahlungsmittel
Bewegungsprofile lassen sich auch mit den Daten erstellen, die von Kreditkartensystemen gespeichert werden. 2010 hat der Norddeutsche Rundfunk aufgedeckt, dass die Firma Easycash, die ec-Karten unterstützt, Bewegungsprofile von ec-Karten-Kunden verkauft hat. Bei dem Zahlungsmittel Überweisung laufen die Daten über Swift auch in die USA, unzureichend kontrolliert. So oder ähnlich wird das in den AGB deutscher Banken erklärt:
"Übermittlung von Lastschriftdaten
Bei SEPA-Basislastschriften können die Lastschriftdaten über das Nachrichtenübermittlungssystem der Society for Worldwide Interbank Financial Telecommunication (SWIFT) mit Sitz in Belgien und Rechenzentren in der Europäischen Union, in der Schweiz und in den USA von dem Zahlungsdienstleister des Zahlungsempfängers an die Bank weitergeleitet werden."
AGB der Netbank, V. 2.1.3., ab 01.02.2014 gültige Version.
Und Bürokraten in der title="EU-Kommission möchte Überweisungsdaten auswerten">Kommission der EU möchten solche Daten auch - wie die USA - auswerten. Deutsche Banken und viele Banken in der EU handelten hier nach deutschem und nach europäischem Datenschutzrecht rechtswdrig. Der aktuell bestehenden Vereinbarung zwischen EU und USA mangelt es an Legitimität, da sie geheim zustande kam, ohne Kontroll- und Einflussmöglichkeiten von EU-Parlamentariern.
Die Zahlung mit Bargeld oder Bargeldkarten ist unter Datenschutzaspekten besser, unter anderen Aspekten (Fibu, Aufladen der Geldkarte) natürlich nicht. Als Alternative könnte man in Russland Webmoney nutzen. Doch auch in Russland sind die Regeln zur Kontrolle des Geldverkehrs strenger geworden. Ein Barzahlungssystem in Russland, das Interessen auf Anonymität entgegenkommt, ist Qiwi.
Natürlich sollte man auch nicht Bonuskarten wie die Payback für Einkäufe benutzen. Demgegenüber ist die Paysafe-Karte ein Prepaid-Zahlungssystem, das empfohlen werden kann, da es Anonymität bietet. Man kann diese Prepaid-Karten u.a. in Drogerien kaufen bzw. aufladen.
Die Sparkassen wollen die ec-Karten ihrer Kunden austauschen durch ec-Karten mit RFID-Chip, bis 2015. Die Mitarbeiter Ihres Unternehmens sollten derlei Funkquellen nicht benutzen.
Quelle: Sparkassen lassen alle ec-Karten austauschen, Spiegel online vom 19.6.2011, http://www.spiegel.de/wirtschaft/service/0,1518,769276,00.html
2012 beginnen auch die Volksbanken-Raiffeisenbanken mit dem Austausch ihrer ec-Karten. Dass in den neuen Karten RFID-Funktionen integriert sind, wurde, was ich mitbekommen habe, nicht kommuniziert. Fragen Sie mal nach, wenn Sie Kunde sind!
Der Eintausch von Rubel gegen Euro ist übrigens in Russland günstiger als bei einer deutschen Bank in Deutschland. Freie Geldwechselstuben sind in Russland aber seit Ende 2010 nicht mehr erlaubt. Auch das erschwert weiter Anonymität. Der Zahlungsverkehr in Banken ist kontrolliert und sehr bürokratisch.
Und wenn Sie einkaufen in Boutiquen und Kaufhäusern, dann kann es sein, dass die Kleidung RFID-Chips versteckt sind, die beim Bezahlen nicht mal zerstört oder deaktiviert werden. Jemand, der jetzt mit Kreditkarte anstatt bar oder mit Paysafe-Karte bezahlt, macht sich verfolgbar. - Zur Erinnerung: die Systeme, in denen Daten gespeichert werden, werden auch gehackt, so dass es immer wieder zu Überläufen von Daten aus einem ins andere Informationssystem kommt. Fast täglich kann man von erfolgreichen Hackerangriffen lesen.
Lesetipp:
"Strafantrag gegen Easycash-Tochter", stand einmal unter der jetzt nicht mehr abrufbaren Adresse www.ndr.de/regional/hamburg/easycash123.html"
Swift-Affäre: Der Druck auf Banken wächst, Heise-Artikel vom 14.11.2006
3. Hotels
Sie könnten einen Teil Ihrer Anonymität durch Aufenthalte in Hotels in Russland verlieren. Wenn Sie hier registriert werden, werden Sie für staatliche Behörden wieder eher sichtbar. Außerdem wird in manchen Hotels Wirtschaftsspionage betrieben. Hotelsafes sind hier keine Barrieren für Geheimdienstleute. Man sollte dementsprechend kein Notebook, Tablet-PC, Smartphone, USB-Stick zurücklassen, wenn man das Zimmer verlässt.
Wenn Sie glauben, vor Ort die Dienste einer russischen Incoming-Agentur in Anspruch nehmen zu wollen, denken Sie schon vorher daran, dass Sie ihren Schirm der Anonymität gegenüber dem Geheimdienst verlieren könnten. Denn der nutzt auch diese Agenturen, gerade die großen, die auch zur ITB nach Berlin kommen.
Geheimdienste greifen auf Buchungssysteme zu, so die NSA auf die Global Distribution-Systeme (GDS). Daher sollte man sich sein Hotel, wenn man das vermeiden will, nicht über diese buchen (lassen).
Wenn Sie als Unternehmer (regelmäßig) mit einem deutschen Russland-Spezialisten zusammen arbeiten wollen, achten Sie darauf, ob/inwiefern dieser Partner sich über die Vertraulichkeit seiner russischen Partner (Reiseveranstalter, Destination Manager) in Sachen Datenschutz Gedanken macht! Erfahrungsgemäß ist es kaum möglich, mit russischen Touristikunternehmen über Datenschutz zu verhandeln und eine gemeinsame Strategie zu entwickeln. Also z.B. alternative Kommunikationswege zu vereinbaren, über die Buchungen mitgeteilt werden können, verschlüsselt. Datenschutzvorkehrungen innerhalb von Reisebüros sind Betriebsgeheimnisse. Ob die Kundendaten verschlüsselt gespeichert werden, das ist keine Verhandlungsmasse, keine Dienstleistung von Touristikern.
Ein möglicher Angriffspunkt auf geheime Daten sind auch die den Hotelgästen zur Verfügung stehenden Büroräume, auch Bisnes Center genannt. Hier gibt es Computer mit Internetzugang, mit Multifunktionsgeräten. Wenn Sie diese Hardware nutzen, könnten Ihre Daten abgefangen werden.
Sie sollten daher nicht solche Dateien auf Ihrem USB-Stick mitnehmen, die Sie auf der Geschäftsreise gar nicht benötigen. Und wenn schon ein USB-Stick, dann sollte es ein U3-Stick sein, auf dem Sie die von Ihnen benötigten Programme installieren können, denn Sie sollten die Benutzung von auf dem Computer installierten Programmen möglichst vermeiden. Microsoft-Office gibt es zwar nicht als USB-Stick-Version, aber die quelloffene Software Open Office oder Libre Office gibt es auch für USB-Sticks und damit lassen sich auch Word- und Excel-Tabellen öffnen und bearbeiten.
U3-Sticks blieben eine Niesche im Speichermarkt. Hersteller ist u.a. der Speichermedienhersteller SanDisk (Modell "Cruzer"). Auf diesem Stick werden Ihre Daten verschlüsselt. Sie hinterlassen nur wenig Spuren bei der Arbeit damit am Host-Computer, jedenfalls keine Temp-Dateien der von Ihnen vom Stick geöffneten Dateien. Ob das auch zutrifft auf Dateien, die ausgedruckt werden, kann ich nicht sagen. Hier sollten Sie sich von einem Computer-Sicherheitsberater beraten lassen. Lange habe ich keine U3-Sticks mehr in den Elektroartikel-Warenhäusern gesehen. Aber über internationale Auktionsbörsen sollten sie noch zu bekommen sein.
Zu Sicherheitsvorkehrungen bei der Nutzung von Internetcafes habe ich auch schon was an anderer Stelle geschrieben.
4. Notebooks
Für den Fall, dass Sie oder Ihre Mitarbeiter Notebooks auf der Geschäftsreise in Russland oder den GUS-Ländern benutzen, empfehle ich Ihnen, meinen Artikel Notebooks auf Reisen zu lesen. Was für Smartphones gilt, gilt natürlich auch hier: die Bluetooth-Schnittstelle sollten Sie deaktivieren, zum Beispiel. Dasselbe gilt für Netbooks.
Wenn schon ein Notebook oder Netbook mitgenommen wird, sollte darauf keine (insbesondere amerikanische) Software von großen Unternehmen installiert sein, die nach Hause telefoniert, z.B. Nuance (z.B. Dragon Naturally Speaking, Software für Webcam und Mikrofon, Scansoftware), Skype etc. denn Unternehmen, denen diese Software gehört, müssen, soweit es sich um amerikanische Unternehmen handelt, Daten an die NSA weiterleiten (Stichwort PRISM). Das gleiche könnte möglicherweise auch auf Russland und russische Software zutreffen. Setzen Sie möglichst Open Source-Software ein und lassen Sie Dateien zu Hause, die nicht notwendig auf der Reise benötigt werden.
Smartphones, Tablets und andere mobile Endgeräte gefährden die Unternehmensnetze. Das sehen zumindest 76 % der deutschen Unternehmen so.
Computerwoche, 25.01.2012
5. Traitorware
Die Reiserichtlinien zum Datenschutz sollten auch die technischen Geräte berücksichtigen, die der Firmenmitarbeiter mit sich führt oder/und während der Dienstreise benutzt. Stichwort Traitorware.
Traitorware sind Geräte, die hinter dem Rücken ihrer Anwender deren Privatsphäre ausspionieren und an die Hersteller oder an TK-Provider weitergeben. Das können sein: Drucker, Kameras, Smartphones, CD-Roms, Software. Vielleicht erinnern Sie sich an den Skandal um die Rootkits in Sonysoftware, die sich auf CD-Roms von Sony befand. Dabei nutzte Sony DRM-Software.
Dazu zählen darf man auch das iPhone. Heise berichtete am 14.7.2011 von einem südkoreanischen Rechtsanwalt, der gegen die Speicherung seiner Geodaten, die über das iPhone gesammelt worden waren, gegen Apple geklagt hatte und den Rechtsstreit gewann. Ihm wurde Ende Juni 2011 von Apple ein Schadensersatz von umgerechnet 664 USD gezahlt.
Linktipp: What is traitorware?
Eventuell sollte das Dienst-Smartphone vor der Reise nach Russland einem Sicherheits-Spezialisten übergeben werden, der in der Lage ist, das Gerät zu untersuchen und das Gerät konfiguriert, so dass es nicht unkontrolliert Informationen sendet.
Was möglich ist, soll dieser Artikel bei Heise Ihnen verdeutlichen: http://www.heise.de/newsticker/meldung/Carrier-IQ-Ein-Detector-weitere-Dementis-und-erste-Klagen-1389048.html
Traitorware gibt es neuerdings teilweise schon an Textilien, nämlich RFID-Chips. Z.B. hat der Textilhersteller Peuterey aus Italien in seinen Jacken RFID-Chips eingenäht und unterrichtet auch nicht ausreichend die Kunden darüber, zudem befinden diese Chips sich an immer anderen Stellen des Kleidungsstücks, sollen also offenbar auch nicht vom Kunden gefunden werden.
Quelle: Kleidungsstücke mit RFID-Schnüffelchips verwanzt, http://www.foebud.org/rfid/wdr-sendung-markt-kleidungsstuecke-mit-rfid-schnueffelchips-verwanzt
6. Annahme von Geschenken
Vorsicht gilt auch bei Geschenken. So sollte dem Mitarbeiter verboten werden, USB-Sticks, die er geschenkt bekommt, zu benutzen. Diese soll er an die Firmenleitung nach Rückkehr abgeben. Diese sollte die USB-Sticks auf Schadsoftware untersuchen lassen. DerMitarbeiter ist zu belehren, dass er USB-Sticks, die er findet, nicht aus Neugier in sein Notebook steckt. Damit könnte es infiziert werden und er belauschbar und zu orten sein.
Wenn Ihr Geschäftspartner Ihnen Informationen auf USB-Stick oder CD-Rom gibt und erwartet, dass Ihr Mitarbeiter diese sich schon mal im Hotel ansieht, bevor die Gespräche am nächsten Tag weiter gehen, sollten die Alarmglocken klingeln. Spionage per social engineering?
7. Smartphones
Bei Smartphones sind die eingebaute GPS-Hardware und GPS-Software sowie die W-Lan-Fähigkeit heikle Punkte. Damit könnten Ihre Mitarbeiter von dritter Seite auf andere, zusätzliche Weisen geortet werden, und zwar nicht allein über die Gesprächszelle rund um einen Antennenmasten wie bei herkömmlichen Mobilfunktelefonen. Ein Beispiel nannte ich ja schon.
[Ergänzung, 29.05.2016: Das Smartphone sollte so eingestellt werden, dass es keine Beacons zulässt, die für das Verfolgen genutzt werden. Beacons können einem Benutzer das Reisen hier und da bequemer machen. Sie können Informationen am richtigen Ort zur richtigen Zeit erhalten. Registrierungsprozess wird beschleunigt. Easyjet nutzt z.B. Beacons. Sie sollten die Fluggesellschaften daraufhin prüfen, ob sie Beacons zum Tracken nutzen. Die Datenschutzerklärungen von Fluggesellschaften könnten insoweit unvollständig sein.
Lesetipp: Marco Schierhorn: Wie praktikabel ist Beacon-Tracking? - Ein praktischer Feldversuch auf dem Analytics Summit 2015. in: Website Boosting '36 (im April 2016 erschienen), S. 112 - 115.
Überhaupt wäre jetzt daran zu denken, ein besonders geschütztes Smartphone zu kaufen. Blackphone, Granite Phone. In 2016 kommen auf den Markt: Turing Phone, UnaPhone Zenith. Turing Phone wird mit dem Betriebssystem Sailfish kommen. Das ist sicherer als Android.]
7.1. Kill Switch
Google hat sich für Android Hintertüren eingebaut und kann Programme auf dem Smartphone aus der Ferne löschen. Fälle von Kill Switch gab es auch schon, auch auf dem Ebook-Reader von Amazon: Da wurden ebooks auf den Ebook-Readern von Kunden gelöscht, für die eine Lizenz fehlte. Mit unter diesen Büchern war übrigens "1984".
Hintertüren gibt es auch auf dem iPhone.
Außerdem hat das russische Software-Unternehmen Elcomsoft Ende Mai 2011 bekanntgegeben, dass seine Mitarbeiter die Hardware-Verschlüsselung des iPhones geknackt haben. Diese Hardware-Verschlüsselung bietet Apple mit dem Betriebssystem iOS4 seit Juni 2010 für Geräte ab dem Baujahr 2009 an. Der Nutzer muss zur Verschlüsselung mit AES 256-Bit mindestens 4 Zeichen für seine PIN angeben. Mit Brute-Force-Methoden ließe sich der Passwortschutz bei Verwendung nur weniger Zeichen für die PIN in weniger als einer Stunde knacken, verlautet es von dem russischen Unternehmen, das auf Passwortknacker-Software spezialisiert ist. Und bei einer längeren Pin gebe es noch eine andere Methode.
Quelle: http://digitalewelt.freenet.de/computerzubehoer/mac/russische-firma-will-hardwareverschluesselung-des-iphone-geknackt-haben_2668916_1055060.html
Elcomsoft entwickelte Software, mit der mit Hilfe von Brute-Force-Angriffen Passwörter in pdf-Dateien und Microsoft-Office-Dateien geknackt werden können. Ein Grund mehr, Open-Office oder Open-Libre mit den eigenen Dateiformaten zu verwenden.
[Ergänzung 29.05.2016: CIA hat die Mittel, ein iPhone 5 zu knacken. CIA drängte 2015/2016 Apple zur Herausgabe von Daten für ein verschlüsseltes Gerät eines der Terroristen von Bernadino. Auf die Hilfe von Apple war der größte Geheimdienst der Welt, der zugleich auch ein Syndikat zur Begehung von Verbrechen ist, nicht angewiesen. Die Elite in den USA ist dafür, Verschlüsselung nur zuzulassen, wenn sie Schlüssel für Hintertüren zu Geräten erhält.
Lesetipp: Heise vom 29.05.2016: US-Gesetzesentwurf für Krypto-Hintertüren findet wenig Unterstützung
Gerade vor der mit Recht nicht zu bremsenden Allmacht der USA und ihrer Vasallen in westlichen Ländern gilt es aber sich zu schützen. Dass die Geheimdienste auch Wirtschaftsspionage zugunsten der amerikanischen Elite betreiben (also Diebstahl an Know How), dürfte inzwischen kein Geheimnis mehr sein.]
7.2. Glonass
Glonass ist Russlands eigenes Navigationssystem. Wladimir Putin hat im Juli 2010 während eines Treffens mit dem Chef des für Glonass verantwortlichen Mischkonzerns Sistema, Wladimir Jewtuschenkow, den Smartphone-Herstellern mit einem Importverbot für ihre Geräte gedroht, sollten diese Geräte nicht kompatibel mit diesem System gemacht werden. Nun, die fehlende Kompatibilität schützt davor, unbemerkt über dieses System geortet zu werden. Wenn Sie dies wollen, müssten Sie sich anschauen, bei welchen Geräten die Glonass-Kompatibilität gegeben ist und bei welchen nicht. Sie könnten dann steuern, dass Ihre Mitarbeiter glonass-kompatible Geräte nicht nutzen, wenn Sie in Russland unterwegs sind.
Sie haben aber dafür eventuell auch die Möglichkeit, bei Nutzung von GLONASS nicht vom GPS-System der Amerikaner geortet zu werden. Lassen Sie das mal checken!
[Ergänzung, 16.03.2013: Ich vermute, hier würde ein Merkel-Telefon schützen, also ein Smartphone, dass für Bundeskanzlerin Angela Merkel und weitere wichtige Personen des deutschen Staats speziell präpariert sind. So ein hochsicheres Smartphone soll 2.500 € kosten.]
Lesetipp: http://www.welt.de/politik/deutschland/article114091391/Neues-Merkel-Handy-von-Blackberry-oder-Samsung.html
7.3. Security-Software
Über die Einwahl in ein verfügbares W-Lan-Netz lassen sich beim Telefonieren Kosten sparen. Die Reiserichtlinien sollten aber vorschreiben, dass die Smartphones der reisenden Mitarbeiter mit einer Internet-Security-Software ausgestattet sind; die gibt es von Kaspersky (Russland, Entwickler auch in Rumänien) und F-Secure (Finnland). Das waren die ersten Anbieter für Smartphones. Diese Software-Firmen bieten auch Antidiebstahl-Programme für ein Smartphone an, mit deren Hilfe sich die Informationen aus dem Smartphone aus der Ferne löschen lassen, was Sinn macht, wenn es gestohlen wurde oder abhanden gekommen ist.
Lesetipp: Joint Venture soll Sicherheit auf Smart Devices verbessern
[Ergänzung 20.07.2014:
Die Entwicklung von Smartphone-Software, die dem Datenschutzinteresse des Nutzers dienlich ist, geht weiter. Eine der sichersten Lösungen ist die Software des deutschen Unternehmens Secusmart. Deren Software ist für Blackberry-Smartphones entwickelt worden. Solche Systeme werden von Regierungsmitarbeitern verwendet.
7.4. Auswahl der Hardware: besonders geschütztes Betriebssystem
Man muss natürlich bei der Auswahl der Hardware anfangen. Hier bietet sich neben dem Blackberry (Hersteller aus Kanada) das Blackphone an. Damit verbunden ist aber zugleich die Wahl des Betriebssystems. Aber wo kann man es schon kaufen und welche TK-Provider lassen sich damit nutzen, welches Tarifmodell kann man nutzen? Prepaid?
Die Computerzeitschrift Chip meldete gerade am 15.07.2014, dass das Blackphone sich jetzt in Deutschland kaufen lässt, für 629 USD, was beim derzeitigen Umtauschkurs in etwa 465 EUR entspricht. Auf dem Blackphone läuft ein speziell entwickeltes Android. Die Hersteller-Website, auf der man bestellen kann: https://store.blackphone.ch/ (Schweizer Domain, aber englischsprachig). Der hier genannte Preis berücksichtigt nicht mögliche Zollgebühren und Umsatzsteuern, heißt es auf der Website des Blackphone-Online-Shops.
Die Auslieferung beginnt jetzt im Juli 2014.
Das Blackphone arbeitet mit einem Betriebssystem von Silent Circle und mit von Silent Circle entwickelten Kommunikationsprogrammen, insbesondere zu nennen: Silent Phone, Silent Text, Silent Contacts.
Link: https://silentcircle.com/
[Ergänzung 29.05.2016: Weitere aktuelle Tipps siehe oben: Betriebssystem Sailfish. Dazu das Turing Phone, das robuster ist als das Blackphone. Mit der Auslieferung der ersten Geräte sollte im April Juli 2016 begonnen werden. Das Una Phone soll im September 2016 erscheinen, auf Basis von Android 6.0, es wird aber angepriesen als Anti-Google-Phone. Google soll also hier keine Daten vom Benutzer bekommen. Partner ist hier das Berliner Startup Tutao, bekannt für den E-Mail-Dienst Tutanota.]
7.5. Abhängigkeit vom TK-Provider
Der Grad der Sicherheit hängt davon mit ab, welche Sicherheit der TK-Provider bietet, was er an Daten wie lange speichert und wie schwer er es Staatsbediensteten und Geheimdienstmitarbeitern macht, die Daten zu bekommen.]
8. E-Mail-Verkehr
Ihre E-Mails sollten sicher aufbewahrt sein. Googlemail kommt daher als E-Mail-Provider nicht in Betracht. Denn Google ist nach dem Patriot-Act verpflichtet, E-Mails seiner Kunden amerikanischen Behörden zugänglich zu machen, selbst wenn Ihre E-Mails hier auf europäischen Servern liegen. Ihr Unternehmen sollte eigene E-Mail-Server haben. Die Frage ist dann, wo diese stehen sollen, um sicher vor Zugriffen Fremder und vor Havarien zu sein. Aber das ist ein anderes Thema. Ein in gewisser Hinsicht im Vergleich zu vielen anderen sicherer E-Mail-Provider in Deutschland ist Posteo (Berlin). Tabu sind natürlich auch russische E-Mail-Provider wie Mail.ru, Yandex, Rambler.
E-Mails nur an Adressen schicken, deren Provider Verschlüsselungstechniken wie SSL und TLS nutzen. E-Mail-Anhänge in verschlüsselten Containern schicken, die der Empfänger auf seinem Device mit seinem Schlüssel öffnet am besten dann, wenn die Internetverbindung getrennt ist.
Sie sollten Geschäftliches nicht per E-Mail kommunizieren, wenn Ihr Partner will, dass Sie an seine/ihre Adresse bei mail.ru oder rambler.ru senden. Russische Geheimdienste können diese prüfen. Russland hat ein Datenschutzgesetz. Es ist aber weniger klar als das deutsche. Und da Sie es vermutlich nichtkennen, können Sie nicht mal auf bestimmte Schutzrechte vertrauen. Also motivieren Sie Ihre Partner, für die E-Mail-Kommunikation sichere E-Mail-Server zu nutzen und E-Mails stark zu verschlüsseln! Der im Datenschutz vorbildliche Berliner E-Mail-Dienst Posteo lässt sich auch vom Ausland aus benutzen.
9. Lauschangriff mit Absinth und Verhinderung der Gesprächsaufklärung
Im Fachjargon des DDR-Geheimdienstes hieß es "Abschöpfung" - das Gewinnen von Informationen durch Gespräche mit einer Zielperson. Ihre Mitarbeiter sollten vor einer Reise nach Russland darauf vorbereitet sein. Sie können sich selbstkritisch Gedanken dazu machen, wo hier die Schwachpunkte liegen. An welchen Orten man derlei Gespräche gut führen könnte und wie man vermeidet, dort hinzukommen. Ich denke z.B. an Krankenzimmer, in denen Ihr Mitarbeiter als Patient isoliert ist und womöglich noch dem Irrtum unterliegt, die Frau im Kittel sei eine Ärztin oder Krankenschwester. Attraktive junge Frauen, die sich für Ihren Mitarbeiter interessieren und Avancen machen. Erinnern Sie sich noch an Anna Chapmann, die zusammen mit anderen russischen Agentenkollegen in den USA aufgeflogen sind? (Sie ist jetzt noch sehr präsent in den russischen Medien, bekam einen Job im Fernsehen.) Dann ahnen Sie, was ich meine. - Vermeiden Sie kompromittierende Situationen!
Die Gefahr für männliche Mitarbeiter auf Grund zu laufen ist besonders in Bars und Diskotheken gegeben, die von Ausländern bevorzugt werden. In St. Petersburg z.B. treffen sich in der Datscha viele Deutsche. Versetzen Sie sich mal in die Rolle des russischen Geheimdienstes: Wow, ein Becken, in dem die Wahrscheinlichkeit, dass ein Fisch anbeißt, besonders hoch ist. Sie werden hier auch immer St. Petersburgerinnen treffen, die deutsch sprechen.
Dann gibt es auch noch spezielle Mittelchen, die, im Getränk aufgelöst, die Zunge des Opfers lösen, es in einen Rausch versetzt. Beispiele: Absinth, einen Joint rauchen. Vielleicht sollte man im Arbeitsvertrag oder Geschäftsführervertrag regeln, dass der Genuss von Absinth den Mitarbeitern oder Geschäftsführern im Ausland verboten ist. Absinth lässt die sexuelle Begierde anwachsen, Ihr Mann wird leichter verführbar. Vielleicht auch die Geschäftsführerin.
Damit sollte man sich mal befassen, wenn das eigene Unternehmen Geschäfte in Russland beabsichtigt, oder in der Ukraine - oder schon durchführt. Na und erst recht in China!
Schließlich könnte Ihr Mitarbeiter in der Bar (in der Folge der Anfreundung mit einer/einem Unbekannten) auch von K.O.-Tropfen umgehauen werden, Substanzen, die vorübergehend zu Bewusstseinsstörungen oder Wesensveränderungen führen. Dazu zählen neben Alkohol (natürlich!) Medikamente aus den Gruppen der Benzodiazepine und der angstlösenden Psychopharmaka. Den Angreifern muss es dann noch gelingen, das Opfer unauffällig aus dem Lokal zu (ent-)führen. Wenn das nicht gelingen mag: es könnte ihm auch eine hohe Rechnung oder hohe Kreditkartenbelege untergeschoben werden. Auch Früchte, die angeboten werden, könnten mit Spritzen präpariert worden sein.
Wo Geheimdienste bereits über das Kommen interessanter Zielpersonen informiert werden, etwa weil sie Zugriff auf Netzwerke von Reisebüros haben oder auf Buchungssysteme, können sie auch reale Mitarbeiter in das gebuchte Hotel senden, zur Beobachtung oder als "Honigfallen"
Lesetipp hierzu:
Snowden-Dokumente: Britische Spione nutzten Sex und schmutzige Tricks (engli), NBC News vom 7. Februar 2014
Empfehlungen
- Es erhöht die Sicherheit, wenn Ihr Mitarbeiter und Betriebsgeheimnisträger mit Kollegen und Freunden ausgeht und man aufeinander aufpasst.
- Getränke nie aus den Augen lassen!
- Wenn ein(e) Unbekannte(r) ein Getränk spendiert, immer gleich direkt vom Barkeeper servieren lassen!
- Bei den ersten Anzeichen von Schläfrigkeit oder Unwohlsein sofort Bekannte oder den Barkeeper informieren!
10. Social Media
10.1. Skype
Lange Zeit galt Skype als abhörsicher. Von einer in diese Software eingebauten Hintertür für den amerikanischen Geheimdienst berichtete der Schwede Pär Ström in seinem Buch "Die Überwachungsmafia". Viele mögen gedacht haben, dass man mit seinen russischen Freunden und Partnern sicher vor dem russischen Geheimdienst kommunizieren kann, da die Verschlüsselung von russischen Spezialisten wohl nicht geknackt werden könne.
Doch im März 2013 vermeldet Barents Oberser, dass der russische Geheimdienst (FSB, MWD) Skype-Kommunikation schon seit geraume Zeit abfängt. Er tut das, ohne Gerichtsbeschlüsse einholen zu müssen. Skype können Sie also vergessen.
http://barentsobserver.com/en/security/2013/03/fsb-can-tap-your-skype-without-court-order-14-03
Es gibt aber noch Alternativen bei Konferenzprogrammen, die verschlüsselte (Video-)Chats ermöglichen. Schauen Sie sich mal Jitsy an (https://jitsi.org/) und Mumble! Eine weitere Alternative wäre Viber, die in Russland ziemlich beliebt ist.
10.2. Facebook
Um Kontrolle über Ihre Aktivitäten zu bekommen, versuchen Russen (Oder sind Sie in China geschäftlich aktiv? Sicher auch Chinesen), die Sie nicht kennen, Ihre "Freunde" bei Facebook zu werden. Sie sollten solche Anfragen ignorieren! Zumal wenn mit der Freundschaftsanfrage keine Nachricht verbunden ist, aus der das Motiv für den Kontakt erkennbar ist.
[Nachtrag] Lesetipp: Studie: Viele Facebook-User sind sorglos, Heise vom 03.11.2011
Nun könnte Ihr Mitarbeiter auf der Reise Personen begegnen, die ihn daraufhin ansprechen und versuchen, so Freunde zu werden. Auch hier sollte man nicht leichtfertig eine "Freundschaft" annehmen. Dem Mitarbeiter, soweit er darüber verfügen kann, sollte es nur nach Rücksprache mit der Geschäftsleitung erlaubt werden, solchen tatsächlich begegneten Personen von der Partnerfirma Zugang zu erlauben. Die Geschäftsleitung sollte vorher einen Online-Check-up der Person machen. Wenn keine Spuren von der Person bzw. dem Namen vorhanden sind, sollte dies Anlass zum Argwohn geben. Selbstverständlich muss hier im russischen Teil des Internets (oder China, oder Ukraine, ...) gesucht werden.
Social Networks stellen eine Gefahr da, weil sie von Ihren Gegnern genutzt werden können, um Bewegungsprofile zu erstellen. Sie erleichtern Kidnappern deren Arbeit. Ihre Mitarbeiter sind zu schulen, dass sie nicht leichtfertig auf Facebook, Twitter oder Xing oder ihre Reisepläne herausposaunen. Hier geht es um die Risiken Personenschutz, Industriespionage/Wirtschaftsspionage, Datenschutz.
Außerdem sollte man sich nicht fotografieren lassen. Ich hatte zu diesem Thema schon einen Artikel geschrieben. Aber jetzt wird dies um so dringlicher, wo Facebook vor kurzem eine Funktion scharf geschaltet hat, über die man erkannte Freunde auf Fotos, die zu Facebook hochgeladen wurden, markieren kann. In den Einstellungen sollte man hierzu seine Erlaubnis entziehen. Die gleiche Funktion wurde auch bei Google+ 2012 installiert.
11. Reiseplanung im Internet
Benutzen Sie keine Reiseplaner online auf mapping-Websites wie z.B. http://www.goprotravelling.com/ Oder event-Planer wie Gidsy (Startup mit Sitz in Berlin Kreuzberg)!
Die sind chick und wegen der Visualisierung von Informationen praktisch. Aber diese Cloud-Lösungen gewährleistet keine Geheimhaltung Ihrer Reisepläne.
12. Anonym browsen
Weisen Sie Ihre Mitarbeiter, die ins östliche Ausland oder in die USA gehen, in die Benutzung ines TOR-Browsers ein. So können Sie anonym kommunzieren. Den Geheimdiensten gefällt TOR nicht. Es gab Versuche, TOR zu blockieren.
Sehen Sie sich diesen Mittschnitt eines Vortrags der Hauptprogrammierer von TOR an!:
https://www.youtube.com/watch?v=GwMr8Xl7JMQ
Problem dabei ist, dass die Funktionalität vieler Websites eingeschränkt ist, wenn nicht nur die IP-Adressen verschleiert werden, sondern auch Cookies nicht zugelassen werden. Einkauf von Dienstleistungen funktioniert dann regelmäßig nicht (Warenkorb-Funktion), Online-Bezahlung funktioniert dann nicht. Das schränkt die Tätigkeitsmöglichkeiten eines Mitarbeiters vor Ort erheblich ein. Beim Cookie-Management ist vorher zu entscheiden, auf welchen Websites welche Cookies zugelassen werden und wie lange. Eintragung einer Blacklist oder Whitelist in den Browsereinstellungen des betrieblichen Notebooks oder Smartphones. Schwieriger, wenn nicht sogar unmöglich, wird die Einrichtung und Durchhaltung der Sicherheits-Voreinstellungen, wenn mit das Gerät auch privat genutzt wird.
13. Nach der Rückkehr von der Reise
Ihr Mitarbeiter sollte von seiner Reise Bericht erstatten, sie mit den Sicherheitsbeauftragten Ihres Unternehmens besprechen. Lernen Sie aus den Erlebnissen, was Sie weiter verbessern können!
14. Fazit
Also wenn Sie besonderen Wert auf Reisen inkognito legen, dann stellen Sie sich Reiserichtlinien auf! Oder integrieren Sie in Ihre schon bestehenden Sicherheitsrichtlinien (Naturkatastrophen, Krisen/Bürgerkriegszustände, Epidemien) auch die Geschäftsreisen! Und lassen Sie sich von Sicherheitsexperten beraten!
Lesetipp
Daniel Silva - Das Moskau-Komplott, erschienen am 11.2.2010 (auch als Hörbuch verfügbar)
Filmtipps zum Thema
- Staatsfeind Nr. 1 (USA)
- Minority Report (USA)
- No Way Out - Es gibt kein Zurück(USA)
- Bourne Ultimatum (USA)
- Die Firma (USA)