A - I n f o s

a multi-lingual news service by, for, and about anarchists **
News in all languages
Last 40 posts (Homepage) Last two weeks' posts Our archives of old posts

The last 100 posts, according to language
Greek_ 中文 Chinese_ Castellano_ Catalan_ Deutsch_ Nederlands_ English_ Français_ Italiano_ Polski_ Português_ Russkyi_ Suomi_ Svenska_ Türkçe_ _The.Supplement

The First Few Lines of The Last 10 posts in:
Castellano_ Deutsch_ Nederlands_ English_ Français_ Italiano_ Polski_ Português_ Russkyi_ Suomi_ Svenska_ Türkçe_
First few lines of all posts of last 24 hours | of past 30 days | of 2002 | of 2003 | of 2004 | of 2005 | of 2006 | of 2007 | of 2008 | of 2009 | of 2010 | of 2011 | of 2012 | of 2013 | of 2014 | of 2015 | of 2016 | of 2017 | of 2018 | of 2019

Syndication Of A-Infos - including RDF - How to Syndicate A-Infos
Subscribe to the a-infos newsgroups

(de) FDA-IFA: Gai Dao N° 101 - Hinweise zur IT­Sicherheit für politische Gruppen Von: Klara Kollektiv, klara-kollektiv@riseup.net

Date Tue, 9 Jul 2019 09:42:26 +0300


Das KLARA KOLLEKTIV hat eine Broschüre für politische Gruppen herausgebracht. Sie beschäftigt sich mit Online-Kommunikation und den Möglichkeiten, diese sicherer zu gestalten. Wir drucken den Text der Broschüre in drei Teilen ab. Hier könnt ihr den ersten Teil lesen. ---- Allgemeine Hinweise ---- Dieses Dokument erhebt keinen Anspruch auf Vollständigkeit, sondern soll einen kompakten Überblick über kritische Punkte bei der Verwendung von IT in politischen Gruppen geben. Auf die Darstellung technischer Details wird im Weiteren weitgehend verzichtet. Das Dokument kann frei vervielfältigt und geteilt
werden. ---- Sicherheit ist ein kontinuierlicher Prozess. Mitglieder einer Gruppe sollten diskutieren, welche Maßnahmen angesichts der Art der politischen Arbeit sinnvoll sind und welche Maßnahmen unangemessenen Aufwand zur Folge haben. Es ist gut, wenn sich Mitglieder gegenseitig bei der Umsetzung unterstützen.
Damit Einzelpersonen und Gruppen sich (angst)frei engangieren
können ist es wichtig, sich eine sichere Kommuni-
kationsinfrastruktur aufzubauen, diese aufrechtzuer-
halten, und bei Veränderungen anzupassen (etwa
wenn sich gesetzliche Rahmenbedingungen und Tech-
nologien ändern).
Ganz allgemein zunächst folgende Hinweise:
* Private und politische Nutzung von Diensten von-
einander entkoppeln (getrennte Identitäten) .
* Politische Aktivitäten und Gruppenzugehörigkeit
nicht-vertrauten Personen verschweigen .
* Informationen über politische Aktivitäten, Gruppen-
zugehörigkeit und persönliche Details können zu
Repression führen, bilden allerdings oftmals eine
Grundlage für den Zusammenhalt, das Wachstum und
das Wirken einer Gruppe. Je nach Schwerpunkt der
Arbeit müssen Gruppen also eine gute Balance zwi-
schen Verschwiegenheit und Offenheit finden

* Sichere Kommunikation dient nicht nur dem Schutz
der eigenen Identität, sondern auch dem Schutz der
Identität anderer Personen .
* Geräte vor fremdem Zugriff schützen (etwa durch
Verschlüsselung des Betriebssystems und Herunter-
fahren des Systems bei Abwesenheit) .
* Betriebssysteme und Programme stets updaten
(Schließung von Sicherheitslücken durch Updates) .
* Keine unbekannten E-Mail-Anhänge öffnen .
* Vorsicht bei unbekannten Speichermedien .
* Verschlüsselte Backups von wichtigen Daten machen
und an einem anderen Ort hinterlegen .
* Es ist sinnvoll, über mehrere sichere Kommuni-
kationskanäle zu verfügen, um einen zeitweisen Aus-
fall von Technologien oder Plattformen kompensieren
zu können .
* Leider gibt es niemals einen hundertprozentigen
Schutz. Sicher in Bezug auf Verschlüsselung heißt
immer auch aktuell sicher und nicht entschlüsselbar.
Es ist durchaus denkbar, dass Verschlüsselungs-
methoden, die heute als sicher gelten, in ein paar
Jahren aufgrund des raschen Anstiegs von Rechen-
leistung keinen ausreichenden Schutz mehr bieten .

Kommunikation mit Mobiltelefonen

SMS und Anrufe
Provider speichern den Inhalt von SMS-Nachrichten,
bei Anrufen werden Verbindungsdaten gespeichert.
Daher gilt:
* Möglichst nicht per SMS kommunizieren .
* Anrufe verschlüsselt über Messenger-Dienste täti-
gen .

Messenger
Aufgrund der zuvor beschriebenen Punkte zu SMS
und Anrufen gilt es die Kommunikation ausschließ-
lich über verschlüsselte Wege abzuwickeln. Es gibt
eine Vielzahl von Messenger-Diensten, die kostenfrei
oder sehr günstig Ende-zu-Ende-Verschlüsselung für
Nachrichten und Anrufe anbieten, z.B. Briar oder
Wire. Generell sollten bei der Nutzung von Messen-
ger-Diensten folgende Punkte beachtet werden:
* Der Gruppenname sollte nicht dem tatsächlichen
Namen der Gruppe entsprechen .
* Ausgeschiedene Mitglieder sollten nicht mehr Teil
einer Messenger-Gruppe sein .
* Am besten für private und politische Aktivitäten
nicht den gleichen Dienst verwenden .
* Hat die Gruppe eine öffentliche Seite auf einer
Plattform, sollte die interne Kommunikation der
Gruppe nicht auch noch über einen Messenger-Dienst
derselben Plattform laufen (z.B. Facebook und Whats-
App) .
Je nach Verwendungszweck sind verschiedene Featu-
res mehr oder weniger wichtig. Wichtige Eigen-
schaften eines Messenger-Dienstes sind vor allem:
* Ende-zu-Ende-Verschlüsselung .
* Keine Speicherung von Inhalten auf einem zentralen
Server .
* Keine Nummernbindung (Accounts sind nicht an
Mobilfunknummer gebunden, wodurch eine Identifi-
kation von Mitgliedern über deren Nummern er-
schwert wird) .
* Open-Source-Software (Quelltext ist öffentlich ein-
sehbar und somit eher auf Schwachstellen oder Hin-
tertüren prüfbar) .

Eine gute Übersicht über verschiedene Messenger-
Dienste und ihre Eigenschaften gibt es z.B. hier:
https://mobilsicher.de/apps-kurz-
vorgestellt/verschluesselt-kommunizieren-per-app

Ortung und Abhören von Mobiltelefonen
Auch unbeteiligte Personen können schnell und unbe-
merkt in Funkzellenabfragen gelangen, z.B. bei De-
monstrationen. Funkzellenabfragen sind Auswertung-
en von Telekommunikationsverbindungen, die in einer
Funkzelle in einem bestimmten Zeitraum anfallen.

Überdies sucht jedes Mobiltelefon mit aktiviertem
WLAN permanent nach WLAN-Verbindungen. Die
ausgesendeten Signale können registriert werden, und
durch WLAN-Tracking können Bewegungsprofile
erstellt werden. Ähnliches gilt für Bluetooth. Überdies
können Ermittlungsbehörden (nach richterlichem Be-
schluss) über eine sogenannte stille SMS Telefone or-
ten oder Bewegungsprofile erstellen.
* Zum Schutz vor Ortung sollten Mobiltelefone auf
kritischen Veranstaltungen ausgeschaltet werden, am
besten bereits vor der Anfahrt .
* WLAN sollte nur verwendet werden, wenn
tatsächlich eine Verbindung benötigt wird .
* Zum Schutz vor Abhören sollten Mobiltelefone bei
kritischen Veranstaltungen nicht nur ausgeschaltet
werden, sondern auch ihr Akku entfernt werden oder
in einen anderen Raum platziert werden. Es ist
technisch möglich, dass Mobiltelefone derart kompro-
mitiert sind, dass ein Herunterfahren lediglich vorge-
gaukelt wird, um unbemerkt Konversationen abzu-
hören .

Passwörter

Erstellung von Passwörtern
Ein sicheres Passwort zeichnet sich aus durch Länge
und Komplexität (großer Zeichenraum) sowie Nicht-
Nachschlagbarkeit.
* Grundsätzlich sind längere Passwörter besser .
* Keine Namen oder nachschlagbare Wörter, Zahlen-
reihen oder Tastaturreihen verwenden .
* Ein starkes Passwort enthält Groß- und Kleinbuch-
staben sowie Zahlen und Sonderzeichen .
* Zur Erstellung von Passwörtern können Esels-
brücken verwendet werden, wie etwa die Wahl aller
Anfangsbuchstaben eines Satzes mit Satzzeichen und
Zahlen .

* Passwörter für alle Zugänge in regelmäßigen Ab-
vorgestellt/verschluesselt-kommunizieren-per-app
ständen ändern .
* Niemals ein Passwort für mehr als einen Account
Ortung und Abhören von Mobiltelefonen
verwenden .

Weitere Hinweise zur Erstellung eines sicheren Pass-
wortes gibt es z.B. hier:
https://www.heise.de/tipps-tricks/Sicheres-Passwort-
finden-so-klappt-s-3836799.html

Viele Personen nutzen zur Entsperrung ihres
Mobiltelefons Swipe-Patterns. Diese sind zwar ange-
nehmer einzugeben, jedoch grundsätzlich weniger
sicher als normale Passwörter. Es gibt weniger mögli-
che Kombinationen als bei normalen Passwörtern, da
nur aufeinanderfolgende Punkte verbunden werden
können und zwei gleiche Punkte nicht nacheinander
verwendet werden können. Oftmals folgen die Muster
vorhersehbaren Mustern und weisen Zusammenhänge
mit Eigenschaften einer Person auf (z.B. Händigkeit
und Name). Fettspuren auf dem Display können
außerdem Rückschlüsse auf das Muster zulassen.
Auch die Entsperrung über Gesichtserkennung und
Fingerabdrucksensor lässt sich überlisten. Ohne weite-
re Kenntnis der verwendeten Methode und ihrer Si-
cherheit ist es daher ratsam, stattdessen starke Pass-
wörter zu verwenden.
* Normales Passwort statt Swipe-Pattern verwenden
(auch hier gilt: länger ist besser) .
* Bei Swipe-Patterns lange & komplexe Patterns
verwenden (z.B Richtungswechsel und Überkreuzen) .
* Option 'Pattern sichtbar machen' deaktivieren .

Speicherung von Passwörtern

Passwörter sollten niemals zugänglich niedergeschrie-
ben sein und es ist nicht sicher, Passwörter für Online-
Zugänge im Browser zu speichern. Bei zu vielen oder
schwer zu merkenden Passwörtern bietet es sich an,
einen Passwort-Manager zu verwenden, wie z.B.
KeePassXC für Windows, Linux und macOS:
https://keepassxc.org/

Verschlüsselung von Dateien und Betriebssyste-
men

Es ist sinnvoll, bestimmte Dateien oder sogar das
ganze Betriebssystem zu verschlüsseln. So kann z.B.
das Login-Passwort unter Windows einfach und
schnell umgangen werden. Um einzelne Dateien zu
verschlüsseln, können diese in einem verschlüsselten
Container abgelegt werden. Dieser Container ist eine
Datei mit einer festen Größe, die nach dem Ent-
schlüsseln wie ein Laufwerk behandelt wird. Solch ein
verschlüsselter Container kann auch auf USB-Sticks
erstellt werden. Es sollte ein langes Passwort gewählt
werden, welches nicht nachschlagbar ist. Unter Ums-
tänden ist das Ablegen von Dateien in einem
verschlüsselten Container jedoch nicht ausreichend.
Denn obwohl auf den Inhalt von Dateien nach dem
Schließen des Containers nicht mehr zugegriffen wer-
den kann, ist unter Windows im Schnellzugriff des Ex-
plorers sichtbar, welche Dateien zuletzt verwendet
wurden. Wenn dies kritisch ist, sollte das ganze Be-
triebssystem verschlüsselt werden.

Desktop-Computer

Mit dem Programm Veracrypt (es gibt natürlich noch
weitere geeignete Programme) kann eine System-
partition verschlüsselt werden, oder ein verschlüsselter
Container erstellt werden. Veracrypt läuft unter Win-
dows, Linux und macOS. Die sogenannte Full Disk
Encryption, also die Verschlüsselung einer gesamten
Festplatte, unterstützt Veracrypt allerdings nur für
Windows. Full Disk Encryption von Linux-Betriebs-
systemen ist möglich mit LUKS, für macOS kann File-
Vault verwendet werden.
Veracrypt kann hier heruntergeladen werden:
https://www.veracrypt.fr/en/Downloads.html
Anleitung zum Erstellen eines verschlüsselten
Containers mit Veracrypt:
https://www.kim.uni-konstanz.de/e-mail-und-
internet/it-sicherheit-und-privatsphaere/sicheres-
endgeraet/datenverschluesselung/containerverschluess
elung-mit-veracrypt/
Anleitung zum Verschlüsseln einer Windows-System-
partition mit Veracrypt:
https://www.kim.uni-konstanz.de/e-mail-und-
internet/it-sicherheit-und-privatsphaere/sicheres-
endgeraet/datenverschluesselung/verschluesselung-
einer-systempartition-mit-veracrypt/
Anleitung zur Festplattenverschlüsselung unter Linux
mit LUKS: https://wiki.ubuntuusers.de/LUKS/
Anleitung zur Festplattenverschlüsselung unter mac-
OS mit FileVault:
https://support.apple.com/en-us/HT204837

Mobile Geräte
Hinweise zum Verschlüsseln von Android-Betriebs-
systemen gibt es z.B. hier:
https://mobilsicher.de/kategorie/verschluesseln-
passwoerter/android-geraet-verschluesseln

Surfen und andere Aktivitäten

Anonymes Surfen
Kritische Seiten sollten ausschließlich mit dem Tor-
Browser aufgerufen werden. Tor ist ein Anonymisie-
rungs-Netzwerk, welches ein hohes Maß an Anony-
mität bietet, vorausgesetzt die UserInnen geben keine
Informationen preis, die ihre Identität offenlegen. Es
gibt es auch Situationen, in denen Tor keinen defini-
tiven Schutz der Anonymität bietet. Folgende Punkte
sind zu beachten:

* Keine privaten und politischen Aktivitäten zeit-
gleich durchführen (z.B. nicht davor oder während-
dessen auf Facebook mit dem privaten Account ein-
loggen).
* Keine persönlichen Informationen preisgeben.
* Keine HTTP-Websiten besuchen.
* Keine 2-Step-Verifikation (mit Mobiltelefon) von
Anmeldungen durchführen.
* Suchmaschinen verwenden, welche keine Suchan-
fragen speichern oder Nutzerprofile erstellen (z.B.
DuckDuckGo oder Startpage) .

Der Tor-Browser kann hier heruntergeladen werden:
https://www.torproject.org/

E-Mail-Verschlüsselung

Die E-Mail-Kommunikation (im Idealfall natürlich
jede Form der Kommunikation) einer politischen
Gruppe intern und nach außen erfolgt im besten Fall
ausschließlich verschlüsselt, sodass niemand außer
den Empfängern und Absendern den Inhalt zu sehen
bekommt. Es gibt verschiedene Methoden, E-Mails zu
verschlüsseln. Eine häufig verwendete und zu emp-
fehlende Methode ist eine Verschlüsselung basierend
auf einer Public-Key-Infrastruktur, wie OpenPGP
(Open Pretty Good Privacy). Mit PGP können E-Mails
verschlüsselt und signiert werden. Jedoch wird ledi-
glich der Inhalt einer Nachricht verschlüsselt, nicht
aber ihr Betreff oder die Meta-Daten der Kommuni-
kation (z.B. wer mit wem kommuniziert hat). Eine
Verschlüsselung mit PGP kann z.B. mit einem E-Mail-
Programm wie Mozilla Thunderbird und der Erweiter-
ung Enigmail, oder mit der Browser-Erweiterung
Mailvelope realisiert werden. Mit der Enigmail-Versi-
on 2.0 (Erweiterung für das E-Mail-Programm Mozilla
Thunderbird) kann nebst der Nachricht auch die Be-
treffzeile verschlüsselt werden.

Das Prinzip einer PGP-Verschlüsselung kann auf fol-
gende Punkte heruntergebrochen werden:
* Bei einer Verschlüsselung mit PGP kommen zwei
Schlüssel zum Einsatz: Der Private (oder Secret) Key
und der Public Key. Beide Schlüssel sind reine Text-
dateien.
* Mit dem Public Key wird eine Nachricht verschlüs-
selt, mit dem Private Key wird eine Nachricht ent-
schlüsselt.
* Zum Versenden einer PGP-verschlüsselten Nach-
richt wird der öffentliche Schlüssel des Gegenübers
benötigt.
* Der eigene öffentliche Schlüssel kann per Mail ver-
sendet werden, oder auf sogenannte Keyserver
hochgeladen werden. Dort kann sich eine Kontakt-
person dann den Schlüssel holen.
* Der Private Key muss privat, also geheim bleiben.
* Mit einer Signatur kann überprüft werden, ob eine
Nachricht tatsächlich von der gewünschten Person
versendet wurde.

Anleitungen zur Verschlüsselung von E-Mails mit
PGP gibt es z.B. hier:
https://support.mozilla.org/de/kb/nachrichten-digital-
signieren-und-verschlusseln
https://netzpolitik.org/2013/anleitung-so-verschlusselt-
ihr-eure-e-mails-mit-pgp/
Ein Benutzer-Manual zu Enigmail gibt es z.B. hier:
https://www.enigmail.net/index.php/en/user-manual
Um verschlüsselten E-Mail-Verkehr über das Anony-
misierungs-Netzwerk Tor zu leiten, wird das Tor
Browser Bundle und das E-Mail-Programm Mozilla
Thunderbird mit der Erweiterung Tor Birdy benötigt.
Eine Anleitung dazu gibt es z.B. hier:
https://www.privacy-handbuch.de/handbuch_24e.htm
https://www.whonix.org/wiki/Encrypted_Email_with_
Thunderbird_and_Enigmail

Anonymes Betriebssystem

Für kritische Aktivitäten sollte am besten ein ein ano-
nymes Betriebssystem verwendet werden, welches
darauf ausgelegt ist, Anonymität und Privatsphäre zu
gewährleisten. Hier bietet sich z.B. Tails an. Tails ist
ein auf Linux basierendes Live-Betriebssystem, wel-
ches anonymes Surfen ermöglicht und auf dem ver-
wendeten Rechner keine Datenspuren hinterlässt.
Tails enthält viele nützliche Programme, wie z.B den
Tor-Browser. Das Betriebsystem kann hier herunter-
geladen werden: https://tails.boum.org/install/
Auf der Website des Tails Project gibt es eine
ausführliche Dokumentation sowie Installationsan-
leitungen zu Tails für verschiedene Betriebssysteme:
https://tails.boum.org/index.de.html
Eine Anleitung zur Nutzung von Tails gibt es z.B. hier:
https://capulcu.blackblogs.org/wp-
content/uploads/sites/54/2019/01/Tails2019-01-27-
A4.pdf

Metadaten in Dokumenten

Textdokumente und Bilddateien enthalten oft Meta-
daten, selbst wenn die entsprechende Option zum
Übernehmen der Benutzerdaten im Text-Editor deak-
tiviert wurde. Daher sollte vor dem Upload geprüft
werden, welche Metadaten das Dokument enthält.
Auch unkritisch erscheinende Metadaten können
Rückschlüsse auf die Identität einer Person zulassen.
Es gibt spezielle Programme zum Entfernen von
Metadaten, wie z.B. MAT für Linux, ExifTool für
Windows, Linux und macOS oder ExifToolGUI für
Windows. Manchmal können Metadaten jedoch nicht
vollständig entfernt werden oder sie können wieder-
hergestellt werden (dies kann z.B. bei PDF-Doku-
menten der Fall sein). Daher ist es wichtig, sich alle
Metadaten ausgeben zu lassen und zu entscheiden, ob
das Dokument veröffentlicht werden kann.
* Einen Text abzutippen anstatt eine Datei hochzu-
laden ist immer sicherer .
* Spezielle Tools verwenden, um Metadaten aus Da-
teien zu entfernen .
* Vor dem Upload von Dateien stets überprüfen, ob
tatsächlich alle kritischen Metadaten entfernt wurden .
* Eher eine einfache .txt-Datei erstellen, anstelle einer
Word- oder Libre-Office-Datei (solche Programme
legen standardmäßig meist mehr Metadaten an)

Löschung von Daten

Wenn Daten gelöscht werden sollen, ist Vorsicht gebo-
ten - meist werden vom Betriebssystem nur die
Verweise auf die Daten gelöscht, nicht aber Daten
selbst (auch wenn diese aus dem Papierkorb gelöscht
wurden). Sie können dann mit entsprechender Soft-
ware wiederhergestellt werden. Die Daten werden
erst gelöscht, wenn der belegte Speicherbereich mit
neuen Daten überschrieben wird. Hierzu gibt es spezi-
elle Tools, wie z.B. Disk Wipe (für Windows), Nautilus
Wipe (für Linux) oder Disk Utility (für macOS).

Von: Mona Alona interviewte Kevin, der in einer Soligruppe für die GG/BO aktiv ist
_________________________________________
A - I n f o s Informationsdienst
Von, Fr, und Ber Anarchisten
Send news reports to A-infos-de mailing list
A-infos-de@ainfos.ca
Subscribe/Unsubscribe http://ainfos.ca/mailman/listinfo/a-infos-de
Archive: http://www.ainfos.ca/de
A-Infos Information Center