Sicher auf Reisen

Opsec – Kniffe für mehr Datensicherheit

| Autor / Redakteur: Rüdiger Trost* / Stephan Augsten

Mit einigen Handgriffen kann man dafür sorgen, dass man hinsichtlich der Datensicherheit unterwegs nicht auf verlorenem Posten steht.
Mit einigen Handgriffen kann man dafür sorgen, dass man hinsichtlich der Datensicherheit unterwegs nicht auf verlorenem Posten steht. (Bild: Archiv)

Opsec oder Operations Security kann auf der Geschäftsreise die Frage, wer eventuell unberechtigt Daten abgegriffen hat, überflüssig machen. Wie aber schützt man sich, seine Gerätschaften und Daten, ohne gleich zum Militärexperten zu werden?

Opsec – das klingt nach Militär, Geheimdiensten, toten Briefkästen und ausgefuchsten Taktiken. Ohne auf die Feinheiten des US-Militärs einzugehen, das den Begriff Operations Security geprägt und einen fünfstufigen Prozess dafür erdacht hat, lässt sich das Konzept am besten so umschreiben: Es geht um den Schutz kleinteiliger Daten, deren Zusammenführen zum Problem für eine Organisation werden kann.

So ist das per Sniffer in der Flughafenlounge mitgeschnittene Posting des Lauschopfers in einem Sport-, Auto- oder Vielfliegerforum keine direkte Gefahr für die Forschungsergebnisse des Arbeitgebers. Der so in Erfahrung gebrachte Foren-Nickname lässt sich aber eventuell mit bereits zuvor gesammelten Informationen kombinieren, um auf die wahre Identität des Opfers zu schließen und einen Bezug zu seinem Job herzustellen.

Für Industriespione gehört dieses Zusammensetzen von digitalen Puzzlestücken zum Arbeitsalltag. Daher gilt es, ständig auf der Hut zu sein, um Datendieben keine Hilfestellung in Form von verwertbaren Daten zu liefern. Natürlich auch auf Reisen, wo man aufgrund von Stress und fremder Umgebung eventuell sorgloser wird.

Wichtig zu verstehen ist, dass Operations Security keine Sammlung von Tools ist, sondern eher eine Denkweise. Daher lässt sich Opsec, anders als der Einsatz eines Virenscanners, der einen befallenen Rechner nach der Infektion säubert, nicht nachträglich umsetzen. Am einfachsten nähert man sich dieser Denkweise durch das beantworten zweier Fragen:

  • Wer könnte Interesse an den Daten des eigenen Arbeitgebers haben
  • Und: Was kann ich gegen Angriffe dieser eben identifizierten Gegner tun?

Die schlechte Nachricht hierbei ist: Die meisten Sicherheitsexperten sind sich einig, dass gegen NSA und Co kein Kraut gewachsen ist. Schon allein deswegen, weil niemand genau weiß, welche Angriffswerkzeuge diese Dienste im Köcher haben. Gegen gewöhnliche Industriespione und Online-Kriminelle hingegen können sich natürlich auch nichtstaatliche Organisationen zur Wehr setzen.

Denken wie ein Angreifer

Viele der Opsec-Konzepte des Militärs klingen reichlich nach gesundem Menschenverstand: Keine vertraulichen Unterlagen mit sich führen oder ohne vorheriges Zerhäckseln in den Müll werfen, keine (Dienst)Geheimnisse per Social Media verteilen und so weiter. De facto ist Opsec auch mit gesundem Menschenverstand gut umzusetzen – so man denn denken kann wie ein Angreifer. Der würde sich zuerst die vorhandenen Sicherheitsmechanismen zu Gemüte führen und diese dann zu umgehen versuchen.

Der Blick auf die eigene Organisation und ihre Schutzmaßnahmen durch die Augen eines Angreifers ist essentieller Bestandteil jeglicher Opsec-Bemühungen. Ein Beispiel aus der physischen Sicherheit soll das Wechselspiel verdeutlichen:

Das Aufstellen eines Sicherheitsdienstes für das Büro- oder Produktionsgebäude ist ein simpler Schritt – der von einem Angreifer natürlich sofort erkannt wird. Um es ihm schwerer zu machen, kommt Opsec ins Spiel. Sie besagt, dass beispielsweise die Laufrouten der Wachleute variieren sollten und die Informationen, wie viele Wachen wann und wo unterwegs sind, unter Verschluss zu halten sind.

Nur mit schlankem Gepäck reisen

Was hat das nun mit einem Geschäftsreisenden zu tun? Ganz einfach: Angreifer gehen davon aus, dass heute jeder Business-Reisende elektronische Geräte samt vertraulicher Daten bei sich trägt. Daher gilt: Je weniger Geräte – zur Auswahl stehen heutzutage Notebook, Tablet, Smartphone, Smart Watch und andere Wearables oder tragbare Spielekonsolen – mit auf Reisen gehen, desto geringer das Risiko eines erfolgreichen Angriffs. Hinzu kommt: Je weniger Daten auf den jeweils mitgeführten Geräten gespeichert sind, desto ärmer fällt die Beute des Datendiebs aus.

Am praxistauglichsten dürfte ein eigenes Reisenotebook- oder Tablet sein, auf dem entweder gar keine oder nur die für die Reise unabdingbaren Daten gespeichert sind. Das erspart das aufwändige Löschen vertraulicher Daten auf der ansonsten im Büro verwendeten Hardware. Aus technischer Sicht ist ein Apple iPad keine schlechte Wahl. Denn auch viele Jahre nach Einführung von iOS sind das Betriebssystem und seine Sicherheitsmechanismen wie die Secure Enclave für Kriminelle eine echte Hürde – was nicht zuletzt durch die Diskussion zwischen Apple und dem FBI belegt wurde.

Das System verschlüsselt automatisch alle auf dem Gerät gespeicherten Daten und bislang sind auch keine Exploits bekannt, um die Chiffrierung auszuhebeln. Natürlich verbietet sich ein Jailbreak des iOS-Geräts durch den Anwender, da dann sämtliche Sicherheitsmechanismen Geschichte sind. Und dass vierstellige PIN-Codes zum Entsperren keine gute Idee sind, liegt hoffentlich ebenfalls auf der Hand. Genau wie der Ratschlag, iOS stets aktuell zu halten und die Zahl der installierten Apps auf ein Minimum zu reduzieren.

Kommt ein Windows-Endgerät zum Einsatz, verlassen sich Sicherheitsfachleute wie Mikko Hypponen, Leiter der Forschungsabteilung bei F-Secure, auf die Microsoft-eigene Full Disk Encryption BitLocker (enthalten in den Pro- und Enterprise-Versionen ab Windows 8). Alternativ empfiehlt sich das auf dem TrueCrypt-Code basierende VeraCrypt. Wer ganz sichergehen will, bootet ein Live-Betriebssystem wie Ubuntu auf dem Notebook von einer schreibgeschützten SD-Karte. Dann bleiben keinerlei Daten auf dem Gerät zurück.

Veränderungen bemerken

Ganz egal, mit welcher Art Mobilgerät man reist, lautet die wohl wichtigste Regel beim Reisen mit elektronischem Gerät: Die Hardware nie unbeaufsichtigt lassen. Nicht im Zug am Platz, nicht in der Flughafenlounge, nicht auf dem Restauranttisch. Sollte Smartphone, Tablet oder Notebook ausnahmsweise zurückgelassen werden – beispielsweise im Hotelsafe –, dann empfehlen sich zwei Sicherheitsmaßnahmen.

  • Zum einen lassen sich die Schrauben, die das Gehäuse zusammenhalten, mit Nagellack überziehen. Am besten mit einem auffällig-glitzernden Lack, den ein potentieller Datendieb nicht in jeder Drogerie vor Ort nachkaufen und so seine Spuren verwischen kann. Das mag extrem klingen. Aber wer sich selbst als Antwort „professionelle Industriespione, die mein Unternehmen zielgerichtet angreifen“ auf die oben genannte Frage gegeben hat, der sollte auch mit einem zur Wanze umgebauten Mobiltelefon rechnen.
  • Nagellack warnt bei physischer Manipulation – aber nicht bei digitaler. Von daher empfiehlt es sich auch, Sicherheitskuverts mit auf Reisen zu nehmen. In diese wandern (kleine) Notebooks, Tablets oder Smartphones, wenn sie längere Zeit beispielsweise im Hotelzimmer unbeaufsichtigt sind. Die Kuverts zeigen einen Öffnungsversuch oder anderweitige Manipulationen an, so dass im schlechtesten Fall (versuchter oder erfolgreicher Angriff) zumindest nach Rückkehr die Alarmglocken im Kopf des Reisenden schrillen – und betroffene Geräte von da an nicht mehr eingesetzt. Im besten Fall vereiteln Schraubensiegel und Umschlag die Manipulation von Beginn an.

Sicher kommunizieren

Insbesondere wenn Reisende keine Daten auf dem Gerät selbst mitführen, kommt es auch auf ein Absichern der Onlinekommunikation an. Hiermit ist nicht nur ein Verschlüsseln der Kommunikation per VPN gemeint. Sondern auch das Anonymisieren des Datenverkehrs. Hierzu dürfte das Tor-Netzwerk (The Onion Router Network) nach wie vor das Mittel der Wahl sein.

Wichtig: Tor selbst verschlüsselt die Daten nur, um sie sicher zwischen den Relays zu übermitteln. Zwischen dem Exit Node und dem eigentlichen Ziel (beispielsweise ein Web-Server oder die Vermittlungsstelle eines Chat- oder VoIP-Dienstes) gehen die Daten unverschlüsselt durchs Netz, wenn die Anwendung selbst nicht chiffriert. Um sich hier nicht auf die Fähigkeiten der Anwendungsentwickler zu verlassen, empfiehlt sich zusätzlich der Einsatz von VPN.

Dank Ende-zu-Ende-Verschlüsselung stehen inzwischen glücklicherweise mehrere Chat-Apps für die sichere Kommunikation per Direktnachricht bereit. Neben dem Platzhirsch WhatsApp setzen auch Signal, Threema und der auf Business-Kunden ausgerichtete Messenger TrustCase auf End-to-End-Encryption. Die drei letztgenannten schützen zudem die Privatsphäre ihrer Nutzer, indem sie Adressbücher nicht vollständig und nicht im Klartext auf die Server der jeweiligen Betreiber hochladen beziehungsweise dort speichern.

Facebook will seinem Messenger zwar ebenfalls End-to-End-Encryption beibringen. Nachdem das Unternehmen aber nicht bekannt geben will, welche der – in jedem Fall unverschlüsselten – Metadaten der Messenger sammelt und ans Mutterschiff übermittelt, sollten sicherheitsbewusste Nutzer hier einen Bogen machen.

Um den Einsatz von Signal, TrustCase oder Threema noch sicherer zu machen, können sich Nutzer eine Prepaid-SIM-Karte besorgen und diese mit einem eigenen Konto bei den Chat-Diensten koppeln – und in der Folge nur hierfür verwenden. Kein SMS- oder MMS-Versand, keine Registrierung bei iMessage, keine Telefonate.

Möglichst wenig kommunizieren

In Sachen E-Mail-Verschlüsselung führt nach wie vor kein Weg vorbei an PGP. S/MIME ist zwar etwas unkomplizierter im Umgang auf mobilen Endgeräten. Da dessen Sicherheit aber auf dem System der Certificate Authorities fußt, gibt es potenzielle Schwächen. Nicht vergessen: Auch PGP kann die Metadaten im E-Mail-Header (Betreff, Empfänger, Datum und so weiter) nicht verschlüsseln.

Die beste Verschlüsselung nutzt nichts, wenn die Gesprächspartner mit den auf ihrer Seite entschlüsselten Nachrichten sorglos umgehen. So finden selbst perfekt chiffrierte Inhalte leicht ihren Weg ans Licht, wenn der Kommunikationspartner sie beispielsweise über einen schlecht gesicherten Webmail-Dienst weiterschickt oder in seinem Google-Mail-Postfach speichert.

Von daher sollte jegliche E-Mail- und Chat-Kommunikation auf ein Minimum reduziert werden. Genau wie das GPS-Modul nur zur Navigation zu aktivieren ist. Nicht aber beim Chatten, Surfen im Web oder gar Fotografieren. Die in den Bildern (automatisch) hinterlegten Ortsangaben können sonst später zum Problem werden.

Zum Beschneiden der Kommunikation gehört auch, den jeweiligen Endgeräten keinesfalls einen automatischen Verbindungsaufbau zu (bekannte) WLAN-Netzwerken zu erlauben. Leider ist diese Funktion zumindest bei Apple iOS und Google Android ab Werk aktiviert. Die Folge: Die Geräte suchen per Probe Request ständig nach den ihnen schon bekannten Netzwerken (SSIDs).

Bösartig verwendete Tools wie die Wifi Pineapple nehmen diese Anfragen auf und spannen sofort WLAN-Netze mit den empfangenen Namen auf – und schon ist der Angreifer Man in the Middle, da sich das Endgerät ohne weiteres Zutun verbindet. Und das auch in der Tasche des Anwenders, wenn garantiert kein VPN-Tunnel die eventuell übertragenen Daten verschlüsselt.

Passwörter – weil's nicht ohne geht

Natürlich spielt auch auf Reisen das Thema Passwort- beziehungsweise Login-Sicherheit eine große Rolle. Wenngleich hier die gleichen Regeln gelten sollten wie auch zu Hause: Kein Kennwort-Recycling (gleiches Passwort auf mehreren Seiten), keine selbst erdachten Kennwörter, mindestens 16 Zeichen.

Um diesen Dreiklang zu beherrschen, muss man sich zwingend eines Passwort-Managers wie 1Password oder LastPass behelfen. Denn nur Gedächtniskünstler mit Guiness-Buch-Ambition können sich solche Kennwörter in größerer Zahl merken.

Unterstützt wird das komplexe Passwort von der Zwei-Faktor-Authentifizierung, wie sie inzwischen von diversen Online-Diensten wie Paypal, Google, Microsoft, Facebook, Twitter oder WordPress unterstützt wird. Auch LastPass versteht sich mit Apps zum Erzeugen von One-Time-Codes wie dem Google Authenticator oder Azure Authenticator sowie den USB-Tokens von Yubico (Yubikey).

Rüdiger Trost
Rüdiger Trost (Bild: F-Secure)

Operations Security gibt es also nicht kostenlos. Der Preis ist einerseits ein Verlust an Effizienz und Bequemlichkeit, da viele der Maßnahmen den Umgang mit Hard- und Software verkomplizieren. Andererseits kostet das Absichern Konzentration. Denn nur wer dauerhaft nach den Opsec-Regeln spielt, gewinnt am Ende das Spiel. Ein Ausrutscher genügt eventuell, um dem Angreifer das entscheidende Puzzlestück in die Hände zu spielen.

* Über den Autor

Als Sicherheitsexperte bei F-Secure berät Rüdiger Trost Unternehmen bei der Erstellung von umfassenden Sicherheitskonzepten und unterstützt diese bei der Implementierung der Sicherheitslösungen. Darüber hinaus hält er Vorträge zu den Themen „Cybercrime & Cyberwar“ sowie „Data Privacy“ auf verschiedenen Veranstaltungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44216501 / Mobile Security)