Anonymes Reisen - Stellen Sie Reiserichtlinien auf! Checkliste

Wenn Ihr Geschäftspartner Ihnen Informationen auf USB-Stick oder CD-Rom gibt und erwartet, dass Ihr Mitarbeiter diese sich schon mal im Hotel ansieht, bevor die Gespräche am nächsten Tag weiter gehen, sollten die Alarmglocken klingeln. Spionage per social engineering?

7. Smartphones

Bei Smartphones sind die eingebaute GPS-Hardware und GPS-Software sowie die W-Lan-Fähigkeit heikle Punkte. Damit könnten Ihre Mitarbeiter von dritter Seite auf andere, zusätzliche Weisen geortet werden, und zwar nicht allein über die Gesprächszelle rund um einen Antennenmasten wie bei herkömmlichen Mobilfunktelefonen. Ein Beispiel nannte ich ja schon.

[Ergänzung, 29.05.2016: Das Smartphone sollte so eingestellt werden, dass es keine Beacons zulässt, die für das Verfolgen genutzt werden. Beacons können einem Benutzer das Reisen hier und da bequemer machen. Sie können Informationen am richtigen Ort zur richtigen Zeit erhalten. Registrierungsprozess wird beschleunigt. Easyjet nutzt z.B. Beacons. Sie sollten die Fluggesellschaften daraufhin prüfen, ob sie Beacons zum Tracken nutzen. Die Datenschutzerklärungen von Fluggesellschaften könnten insoweit unvollständig sein.

Lesetipp: Marco Schierhorn: Wie praktikabel ist Beacon-Tracking? - Ein praktischer Feldversuch auf dem Analytics Summit 2015. in: Website Boosting '36 (im April 2016 erschienen), S. 112 - 115.

Überhaupt wäre jetzt daran zu denken, ein besonders geschütztes Smartphone zu kaufen. Blackphone, Granite Phone. In 2016 kommen auf den Markt: Turing Phone, UnaPhone Zenith. Turing Phone wird mit dem Betriebssystem Sailfish kommen. Das ist sicherer als Android.]

7.1. Kill Switch

Google hat sich für Android Hintertüren eingebaut und kann Programme auf dem Smartphone aus der Ferne löschen. Fälle von Kill Switch gab es auch schon, auch auf dem Ebook-Reader von Amazon: Da wurden ebooks auf den Ebook-Readern von Kunden gelöscht, für die eine Lizenz fehlte. Mit unter diesen Büchern war übrigens "1984".

Hintertüren gibt es auch auf dem iPhone.

Außerdem hat das russische Software-Unternehmen Elcomsoft Ende Mai 2011 bekanntgegeben, dass seine Mitarbeiter die Hardware-Verschlüsselung des iPhones geknackt haben. Diese Hardware-Verschlüsselung bietet Apple mit dem Betriebssystem iOS4 seit Juni 2010 für Geräte ab dem Baujahr 2009 an. Der Nutzer muss zur Verschlüsselung mit AES 256-Bit mindestens 4 Zeichen für seine PIN angeben. Mit Brute-Force-Methoden ließe sich der Passwortschutz bei Verwendung nur weniger Zeichen für die PIN in weniger als einer Stunde knacken, verlautet es von dem russischen Unternehmen, das auf Passwortknacker-Software spezialisiert ist. Und bei einer längeren Pin gebe es noch eine andere Methode.

Quelle: http://digitalewelt.freenet.de/computerzubehoer/mac/russische-firma-will-hardwareverschluesselung-des-iphone-geknackt-haben_2668916_1055060.html

Elcomsoft entwickelte Software, mit der mit Hilfe von Brute-Force-Angriffen Passwörter in pdf-Dateien und Microsoft-Office-Dateien geknackt werden können. Ein Grund mehr, Open-Office oder Open-Libre mit den eigenen Dateiformaten zu verwenden.

[Ergänzung 29.05.2016: CIA hat die Mittel, ein iPhone 5 zu knacken. CIA drängte 2015/2016 Apple zur Herausgabe von Daten für ein verschlüsseltes Gerät eines der Terroristen von Bernadino. Auf die Hilfe von Apple war der größte Geheimdienst der Welt, der zugleich auch ein Syndikat zur Begehung von Verbrechen ist, nicht angewiesen. Die Elite in den USA ist dafür, Verschlüsselung nur zuzulassen, wenn sie Schlüssel für Hintertüren zu Geräten erhält.

Lesetipp: Heise vom 29.05.2016: US-Gesetzesentwurf für Krypto-Hintertüren findet wenig Unterstützung

Gerade vor der mit Recht nicht zu bremsenden Allmacht der USA und ihrer Vasallen in westlichen Ländern gilt es aber sich zu schützen. Dass die Geheimdienste auch Wirtschaftsspionage zugunsten der amerikanischen Elite betreiben (also Diebstahl an Know How), dürfte inzwischen kein Geheimnis mehr sein.]

7.2. Glonass

Glonass ist Russlands eigenes Navigationssystem. Wladimir Putin hat im Juli 2010 während eines Treffens mit dem Chef des für Glonass verantwortlichen Mischkonzerns Sistema, Wladimir Jewtuschenkow, den Smartphone-Herstellern mit einem Importverbot für ihre Geräte gedroht, sollten diese Geräte nicht kompatibel mit diesem System gemacht werden. Nun, die fehlende Kompatibilität schützt davor, unbemerkt über dieses System geortet zu werden. Wenn Sie dies wollen, müssten Sie sich anschauen, bei welchen Geräten die Glonass-Kompatibilität gegeben ist und bei welchen nicht. Sie könnten dann steuern, dass Ihre Mitarbeiter glonass-kompatible Geräte nicht nutzen, wenn Sie in Russland unterwegs sind.

Sie haben aber dafür eventuell auch die Möglichkeit, bei Nutzung von GLONASS nicht vom GPS-System der Amerikaner geortet zu werden. Lassen Sie das mal checken!

[Ergänzung, 16.03.2013: Ich vermute, hier würde ein Merkel-Telefon schützen, also ein Smartphone, dass für Bundeskanzlerin Angela Merkel und weitere wichtige Personen des deutschen Staats speziell präpariert sind. So ein hochsicheres Smartphone soll 2.500 € kosten.]

Lesetipp: http://www.welt.de/politik/deutschland/article114091391/Neues-Merkel-Handy-von-Blackberry-oder-Samsung.html

7.3. Security-Software

Über die Einwahl in ein verfügbares W-Lan-Netz lassen sich beim Telefonieren Kosten sparen. Die Reiserichtlinien sollten aber vorschreiben, dass die Smartphones der reisenden Mitarbeiter mit einer Internet-Security-Software ausgestattet sind; die gibt es von Kaspersky (Russland, Entwickler auch in Rumänien) und F-Secure (Finnland). Das waren die ersten Anbieter für Smartphones. Diese Software-Firmen bieten auch Antidiebstahl-Programme für ein Smartphone an, mit deren Hilfe sich die Informationen aus dem Smartphone aus der Ferne löschen lassen, was Sinn macht, wenn es gestohlen wurde oder abhanden gekommen ist.

Lesetipp: Joint Venture soll Sicherheit auf Smart Devices verbessern

[Ergänzung 20.07.2014:

Die Entwicklung von Smartphone-Software, die dem Datenschutzinteresse des Nutzers dienlich ist, geht weiter. Eine der sichersten Lösungen ist die Software des deutschen Unternehmens Secusmart. Deren Software ist für Blackberry-Smartphones entwickelt worden. Solche Systeme werden von Regierungsmitarbeitern verwendet.

7.4. Auswahl der Hardware: besonders geschütztes Betriebssystem

Man muss natürlich bei der Auswahl der Hardware anfangen. Hier bietet sich neben dem Blackberry (Hersteller aus Kanada) das Blackphone an. Damit verbunden ist aber zugleich die Wahl des Betriebssystems. Aber wo kann man es schon kaufen und welche TK-Provider lassen sich damit nutzen, welches Tarifmodell kann man nutzen? Prepaid?

Die Computerzeitschrift Chip meldete gerade am 15.07.2014, dass das Blackphone sich jetzt in Deutschland kaufen lässt, für 629 USD, was beim derzeitigen Umtauschkurs in etwa 465 EUR entspricht. Auf dem Blackphone läuft ein speziell entwickeltes Android. Die Hersteller-Website, auf der man bestellen kann: https://store.blackphone.ch/  (Schweizer Domain, aber englischsprachig). Der hier genannte Preis berücksichtigt nicht mögliche Zollgebühren und Umsatzsteuern, heißt es auf der Website des Blackphone-Online-Shops.

Die Auslieferung beginnt jetzt im Juli 2014.

Das Blackphone arbeitet mit einem Betriebssystem von Silent Circle und mit von Silent Circle entwickelten Kommunikationsprogrammen, insbesondere zu nennen: Silent Phone, Silent Text, Silent Contacts.

Link: https://silentcircle.com/

[Ergänzung 29.05.2016: Weitere aktuelle Tipps siehe oben: Betriebssystem Sailfish. Dazu das Turing Phone, das robuster ist als das Blackphone. Mit der Auslieferung der ersten Geräte sollte im April Juli 2016 begonnen werden. Das Una Phone soll im September 2016 erscheinen, auf Basis von Android 6.0, es wird aber angepriesen als Anti-Google-Phone. Google soll also hier keine Daten vom Benutzer bekommen. Partner ist hier das Berliner Startup Tutao, bekannt für den E-Mail-Dienst Tutanota.]

7.5. Abhängigkeit vom TK-Provider

Der Grad der Sicherheit hängt davon mit ab, welche Sicherheit der TK-Provider bietet, was er an Daten wie lange speichert und wie schwer er es Staatsbediensteten und Geheimdienstmitarbeitern macht, die Daten zu bekommen.]

8. E-Mail-Verkehr

Ihre E-Mails sollten sicher aufbewahrt sein. Googlemail kommt daher als E-Mail-Provider nicht in Betracht. Denn Google ist nach dem Patriot-Act verpflichtet, E-Mails seiner Kunden amerikanischen Behörden zugänglich zu machen, selbst wenn Ihre E-Mails hier auf europäischen Servern liegen. Ihr Unternehmen sollte eigene E-Mail-Server haben. Die Frage ist dann, wo diese stehen sollen, um sicher vor Zugriffen Fremder und vor Havarien zu sein. Aber das ist ein anderes Thema. Ein in gewisser Hinsicht im Vergleich zu vielen anderen sicherer E-Mail-Provider in Deutschland ist Posteo (Berlin). Tabu sind natürlich auch russische E-Mail-Provider wie Mail.ru, Yandex, Rambler.

E-Mails nur an Adressen schicken, deren Provider Verschlüsselungstechniken wie SSL und TLS nutzen. E-Mail-Anhänge in verschlüsselten Containern schicken, die der Empfänger auf seinem Device mit seinem Schlüssel öffnet am besten dann, wenn die Internetverbindung getrennt ist.

Sie sollten Geschäftliches nicht per E-Mail kommunizieren, wenn Ihr Partner will, dass Sie an seine/ihre Adresse bei mail.ru oder rambler.ru senden. Russische Geheimdienste können diese prüfen. Russland hat ein Datenschutzgesetz. Es ist aber weniger klar als das deutsche. Und da Sie es vermutlich nicht [...Next]

Verwandte Links: