10

Kernpunkte:

  • Verschlüsselung
  • Windows 10
  • Metadaten-Löschungen und Schwärzungen
  • Smart Home

 

10  Aus dem IT-Labor

10.1        Webbrowser und Erweiterungen – Spionage durch die Hintertür

Der Browser als Fenster zum Internet verliert durch Apps deutlich an Boden. Auf Smartphones und Tablets bieten dedizierte Apps oft mehr Komfort, sodass immer seltener auf den Generalisten „Browser“ zurückgegriffen werden muss. Trotzdem bleibt er in vielen Bereichen das Werkzeug der Wahl, um mit Online-Diensten zu kommunizieren.

Dabei muss deutlich zwischen herkömmlichen Desktop-Browsern und ihren mobilen Pendants, die häufig nur einen Abglanz der Desktop-Vorbilder darstellen, unterschieden werden. Neben eingeschränkten Konfigurationsmöglichkeiten fehlt den Mobilbrowsern oft vor allem die Möglichkeit, mit Erweiterungen – auch Add-ons genannt – um wichtige Funktionen ergänzt zu werden. Rühmliche Ausnahme ist hier der Browser Firefox, der auf denselben Erweiterungspool zugreifen kann wie sein großer Desktop-Bruder. Datenschutzfunktionen wie die Blockierung von Inhalten, die der Nachverfolgung von Nutzern dienen (sogenannte Tracker), oder zur automatischen Nutzung verschlüsselter Verbindungen lassen sich so auch auf dem Smartphone oder Tablet leicht nachrüsten.

Erweiterungen im Blickpunkt

Ein selten beachteter Aspekt von Browser-Erweiterungen ist jedoch, dass sie in der Regel vollständigen Zugriff auf die Surfhistorie des Nutzers haben. Im Falle des Add-ons „WOT – Web of Trust“ wurde das zu einem Problem. Der Anbieter des Add-ons verspricht, Nutzern eine Rückmeldung über die Vertrauenswürdigkeit der jeweils besuchten Webseite in Form einer Ampel zu geben. Um jene Vertrauenswürdigkeit abschätzen zu können, wird die besuchte Adresse zum WOT-Server gemeldet, der anhand seiner Datenbank mit Rot, Gelb oder Grün antwortet. Im Falle der WOT-Erweiterung wurden jedoch einerseits deutlich mehr Daten übertragen, als zur eigentlichen Diensterbringung nötig gewesen wären, zum anderen wurden die so übertragenen Informationen auch an Dritte weitergegeben.

Der Fall WOT zeigt exemplarisch, welche Risiken Browser-Erweiterungen mit sich bringen. Einerseits wollen und müssen sie Zugriff auf möglichst viele Informationen zur aktuellen Surfsitzung haben. Andererseits ist der Urheber einer Erweiterung dem Nutzer in den seltensten Fällen bekannt, das Vertrauen in die Erweiterung stützt sich auf Nutzerrezensionen und „Sternchen-Bewertungen“ im Download-Portal des Browser-Anbieters. Insbesondere wenn eine Erweiterung wie im Fall von WOT für die versprochene Funktion Daten übertragen muss, ist für den Nutzer kaum nachzuvollziehen, ob und inwieweit die tatsächliche Übertragung verhältnismäßig zur versprochenen Funktion ist. Hinzu kommt der Umstand, dass oft – so auch bei WOT – von „anonymen“ Daten gesprochen wird, obwohl dies nicht der Fall ist. Die WOT-Erweiterung versah die aufgerufenen URLs mit einer nutzerspezifischen ID, in völliger Verkennung der Tatsache, dass in vielen der aufgerufenen Webadressen auch Identifizierungsmerkmale wie Nutzernamen oder Kundennummern auftauchten.

Als die Berichte über WOT durch die Presse gingen, hagelte es in den Download-Portalen der Browser-Hersteller erwartungsgemäß schlechte Bewertungen, die aber aufgrund mehrerer Tausender positiver Bewertungen der Vorjahre den Durchschnittswert nur unwesentlich beeinflussten. Wer als Nutzer nur die Durchschnittsbewertung ansieht, wird in die Irre geführt.

Als Konsequenz aus dem WOT-Vorfall bleibt die unbequeme Erkenntnis, dass jede Browser-Erweiterung den Nutzer potenziell belauschen kann – unabhängig davon, was ihr ursprünglich anvisierter Einsatzzweck ist. Erweiterungen sollten also nur zum Einsatz kommen, wenn sie benötigt werden. Bei der Auswahl von Erweiterungen ist ebenfalls Umsicht nötig. Keinesfalls sollten Erweiterungen unbedacht „einfach so“ installiert werden. Mindestens ein Blick in die Nutzerbewertungen, besser noch eine Websuche nach professionellen Tests und Evaluationen oder gemeldeten Problemen mit der Erweiterung sollten vorangehen.

Tracking-Schutz und Werbeblocker

Ein Hauptanwendungszweck von Browser-Erweiterungen sind Werbeblocker. Solche Erweiterungen klinken sich in den Datenverkehr des Browsers ein, um die empfangene Webseite von Werbebannern und Textanzeigen zu befreien. Dazu analysieren die Blocker den HTML-Quellcode der Seite und entfernen Referenzen auf dem Werbeserver. Aus Datenschutzsicht sind Werbeblocker deshalb relevant, weil die Einbindung von Anzeigen auf Webseiten fast ausnahmslos mit der Nachverfolgung der Webseitenbesucher einhergeht. Neben den reinen Grafiken, die dem Nutzer dargestellt werden sollen, übermitteln die externen Werbeserver Scripts und Cookies, deren Zweck darin besteht, die Nutzer über einen möglichst langen Zeitraum wiedererkennbar zu machen, um auf Basis dieser Informationen passgenaue Werbung auszuwählen.

Dabei hat der Betreiber der ursprünglich aufgerufenen Webseite keinerlei Einfluss auf das, was der Werbepartner aus seinem Netzwerk an den Besucher ausliefert. Zwar kann er im Vorfeld Anzeigenkategorien wählen oder ausschließen; was jedoch konkret an seine Besucher ausgeliefert wird und welche Informationen bei der Auslieferung der Inhalte von seinen Besuchern abgegriffen werden, ist für den Webseitenbetreiber nicht zu steuern.

Ein weiteres Problem besteht aus Datensicherheitssicht: In der Vergangenheit wurde statt Werbung mitunter Schadcode verteilt, der in das Werbenetzwerk eingeschleust wurde. Überspitzt dargestellt, muss man sich die gegenwärtige Situation wie eine Zeitschrift vorstellen, bei der die Werbekunden ihre Anzeigen direkt an die Druckerei liefern. Der Chefredakteur hat keine Ahnung, ob seine Werbepartner Autos, nackte Haut oder Bombenbauanleitungen in die Zeitschrift drucken oder ob ein Dritter die Werbung gegen Rasierklingen ausgetauscht hat, die automatisiert ins Heft geklebt werden. Online passiert aber genau das: Webseiten werden ausgeliefert, und ein Werbenetzwerk gibt irgendwelche Inhalte dazu.

Von der Verantwortung dafür freisprechen können sich die Webseitenbetreiber allerdings nicht, denn erst durch den von ihnen eingebauten Code auf der Webseite wird der Browser auf Nutzerseite dazu gebracht, die Inhalte der Werbeanbieter zu laden (Tz. 7.1). Dass ein Nutzer durch den Klick auf eine Webseite weitere Zugriffe seines Browsers auf eine Vielzahl von Servern auslöst, entspricht zumeist nicht seiner Erwartung, ist aber in der heutigen Realisierung vieler Angebote üblich.

Solange Webseitenbetreiber ihren Besuchern Inhalte von Dritten präsentieren, bleiben Werbeblocker ein unerlässliches Mittel zum Selbstschutz. Das Blockieren von Werbung mag unter Wertschöpfungsaspekten für die Betreiber von Webseiten misslich sein, unter Datenschutz- und Datensicherheitsaspekten betrachtet ist das Unterbinden von solchen Inhalten geboten, die Dritte unkontrolliert an den eigenen Rechner übertragen.

Werbeblocker werden aber nicht nur aufgrund der Interessenskollision mit den Webseitenbetreibern kritisiert. Ähnlich wie WOT versuchen auch einige Anbieter von Werbeblockern, aus der Browser-Erweiterung Kapital zu schlagen. Beispielsweise leiten einige Anbieter bestimmte Werbung trotz aktivierten Blockers durch. Das Problem unkontrollierter Drittinhalte lösen solche Konzepte nicht. Daher ist es ratsam, eine Erweiterung zu verwenden, die Drittanbieter-Inhalte ohne Rücksicht auf finanzielle Interessen blockiert. Die Erweiterung „uBlock Origin“ z. B. ist sowohl für Firefox als auch Chrome verfügbar. Hier lassen sich neben Werbefiltern auch spezielle Tracking-Filter auswählen.

Was ist zu tun?
Browser-Erweiterungen können den Datenschutz der Nutzerinnen und Nutzer deutlich verbessern. Vorsicht ist aber bei der Auswahl geboten, da nicht jedes Angebot vertrauenswürdig ist.

10.2        Webseitenverschlüsselung – HTTPS wird immer moderner

Das Protokoll HTTP zur Übertragung von Webseiten ist allgemein geläufig. Die meisten kennen auch die abgesicherte Variante HTTPS. Wer bisher allerdings dachte, man müsse nur beim Online-Banking und beim E-Mail-Abruf auf das „s“ hinter dem „http“ achten, hinkt allerdings der Zeit deutlich hinterher.

Lauschangriffe auf Abrufe von Webseiten sind inzwischen an der Tagesordnung. In vielen größeren Netzen ist irgendein Gerät mit Schadsoftware infiziert, die versucht, alles mitzuschneiden, was nur irgendwie geht. Oft sind diese infizierten Geräte zu sogenannten Bot-Netzen verbunden, in denen gesammelte Daten fleißig ausgetauscht und schließlich von den Betreibern dieser Schadnetze missbraucht oder verkauft werden. Schon deshalb geht die Entwicklungsrichtung im Internet erfreulicherweise klar in die Richtung, jegliche Datenübertragung sicher zu verschlüsseln, und zwar nicht nur auf dem Übertragungsweg zwischen zwei Servern, sondern wirklich „Ende zu Ende“.

Forward Secrecy

Mit „Forward Secrecy“ wird der Schlüssel eines Kryptozertifikats nur genutzt, um für jede Verbindung einen einmaligen individuellen Schlüssel zwischen Browser und Server auszuhandeln, der nicht gespeichert wird. Auf diese Weise können auch ausgespähte und aufgezeichnete Verbindungen später nicht mehr entschlüsselt werden, selbst wenn das Kryptozertifikat unbefugt ausgelesen wird, da jede Verbindung einen anderen Schlüssel nutzt.

Die dauerhafte Nutzung verschlüsselter Protokolle für alle Verbindungen kann serverseitig erzwungen werden, beispielsweise durch „Strict Transport Security-Header“ – dies kann man durchaus als Stand der Technik bezeichnen. Nicht nur unter Sicherheitsaspekten ist dies der richtige Schritt. Auch zur Sicherstellung der Auffindbarkeit der eigenen Webseiten sollte man auf HTTPS setzen: Der Suchmaschinenbetreiber Google hatte bereits 2014 angekündigt, die Nutzung von HTTPS als Faktor in die Bewertung aufzunehmen; unverschlüsselte Seiten landen bei den Suchergebnissen daher seit einiger Zeit im Zweifel weiter unten. Auch die Browser-Hersteller ziehen die Daumenschrauben an: Wenn Webseiten Formulardaten wie Passwörter unverschlüsselt übertragen wollen, bekommen die Nutzer eine unschöne Warnmeldung angezeigt. Gleichzeitig sind die Kosten für eine Umstellung auf HTTPS inzwischen so deutlich gesunken (teilweise sogar kostenfrei), dass auch finanziell einer Umstellung nichts mehr entgegensteht. Wichtig ist zudem der Einsatz von „Forward Secrecy“-Methoden.

Auch Sicherheitsmechanismen können technisch unterwandert und die Verschlüsselung aufgebrochen werden: Dabei wird der Datenverkehr durch einen Proxy geleitet und dem Browser ein anderes Zertifikat untergeschoben, als vom Server gesendet wurde. Solche Proxys können durch Dritte zum unbefugten Mitlesen genutzt werden, etwa in autokratischen Staaten. Sie werden aber auch als „Sicherheitsproxys“ durch Organisationen eingesetzt, die damit ihren Datenverkehr im Namen der IT-Sicherheit untersuchen wollen. Auch sogenannte Antivirensoftware bietet teilweise entsprechende Funktionalitäten an – mit haarsträubenden Resultaten. Das Aufbrechen der Verschlüsselungen durch solche Man-in-the-Middle-Angriffe, wie sie in der Fachsprache heißen, hebelt gleich eine ganze Reihe von Sicherheitsfunktionalitäten aus. Nutzerinnen und Nutzer können beispielsweise nicht mehr erkennen, ob sie nach außen mit dem richtigen Server verbunden sind, und geben womöglich sensible Daten Angreifern preis, die dies ausnutzen. Experten fanden zudem diverse Angriffsmöglichkeiten auf Systeme, die ohne das Zwangsaufbrechen der Verschlüsselung nicht möglich gewesen wären. Deshalb werden zunehmend Maßnahmen auf Webservern und auf Clients eingesetzt, die solche Verschlüsselungsunterbrechungen entweder verhindern oder für die Nutzenden zumindest erkennbar machen.

TLS

„Transport Layer Security“ ist ein Verschlüsselungsprotokoll zur Datenübertragung im Internet. TLS ist der Nachfolgestandard von SSL („Secure Socket Layer“).

Erfreulicherweise sehen die Kryptostandards immer mehr Methoden vor, um sich gegen etwaige Angriffe abzusichern. Aktuell wird für HTTPS der SSL-Nachfolger TLS in der neuen Version 1.3 in Server und Clients implementiert. Darin wird einigen möglichen Angriffswegen entgegengewirkt, und Algorithmen, die inzwischen als nicht mehr hinreichend sicher gelten, werden ausgemustert. Wichtig für Administratoren: Auch beim Einsatz moderner Kryptoverfahren kann man Fehler machen, indem man z. B. zu kurze Schlüssel wählt. Für den Einsatz von TLS auf Webservern (und auch Mailservern) sind Schlüssel, die kürzer als 2048 Bit sind, inzwischen als zu kurz anzusehen. Das ULD empfiehlt hier aktuell eine Schlüssellänge von 4096 Bit.

Was ist zu tun?
Webserver müssen auf HTTPS umgestellt werden. Es ist durchgängig zu gewährleisten, dass gebrochene Verschlüsselungsmethoden nicht mehr verwendet werden. Methoden wie „Strict Transport Security“ zum Erzwingen verschlüsselter Verbindungen oder „Forward Secrecy“ zum Schutz vor nachträglicher Entschlüsselung sind Stand der Technik; ihr Einsatz ist dringend angeraten. Auch bei Mailservern muss TLS-Verschlüsselung zumindest optional verfügbar sein (opportunistisches SSL/TLS). IT-Systeme, die keine aktuelle Verschlüsselung unterstützen, müssen umgehend ersetzt werden.

 

10.3        Windows 10 – Datenabfluss by Design

Mit Windows 10 verabschiedet sich Microsoft vom Konzept des PC-Betriebssystems als eigenständigem Programm auf der Festplatte des Kunden. Stattdessen verwebt der Hersteller einen klassischen Betriebssystemkern mit diversen Online-Komponenten, um eine geräteübergreifende Nutzung zu ermöglichen. Viel ist von „Personalisierung“ von Windows die Rede, wobei eine klassische, lokale Nutzung des Betriebssystems im neuen Microsoft-Kosmos nicht mehr vorkommt. Um die Personalisierung nach Redmonder Lesart voranzutreiben, benötigt so ein Cloud-Betriebssystem-Hybrid natürlich vor allem eines: Daten über den Nutzer. Schon während der Installation lässt sich Microsoft das Abgreifen verschiedenster Nutzerinformationen per Klick bestätigen – durch stets voreingestellte Freigaben und verbrämt als „Expresseinrichtung“. Die Optionen zum Deaktivieren dieser Weitergabe verbirgt der Konzern in winzigen Links. „Datenabfluss by Design“ könnte man böswillig sagen, denn Datensparsamkeit und Transparenz sehen anders aus. Besonders problematisch ist in diesem Kontext die Übermittlung der Telemetriedaten, die der Nutzer nur reduzieren, nicht aber abschalten kann (https://docs.microsoft.
com/de-de/windows/configuration/configure-windows-telemetry-in-your-organization).

Für datenschutzbewusste Privatnutzer, die Windows 10 einsetzen wollen, ist es unerlässlich, zumindest die von Microsoft gewährten Einstellungsmöglichkeiten auszuschöpfen, um beispielsweise die Identifikation durch eine dauerhafte Werbe-ID zu unterbinden. Wer im Rahmen der Expresseinrichtung die diversen Datenweitergaben genehmigt hat, kann diese an verschiedenen Stellen der Systemsteuerung nachträglich deaktivieren.

Telemetriedaten

Der Begriff „Telemetriedaten“ ist nicht fest definiert. Microsoft versteht darunter detaillierte Daten zur Hardware, zur Konfiguration des Betriebssystems, zu installierter Software einschließlich deren Nutzungsmuster, Fehlermeldungen (insbesondere von Treibern) bis hin zu Eingaben in Suchfeldern des Browsers (bei der uneingeschränkten Übertragung „Full Telemetry“). In jedem Falle werden Device-IDs von Geräten und Komponenten übertragen.

Aber Microsoft lässt eben nicht bei allen Datenübertragungen eine vollständige Deaktivierung mit Bordmitteln zu. Mittlerweile gibt es mehrere Programme, die solche Datenübertragungen zu unterbinden versuchen. Dass Nutzer dem Windows-System mit Tools zu Leibe rücken müssen, um es nach eigenen Vorstellungen wenigstens einigermaßen zum Schweigen zu bringen, ist zwar nichts Neues. Der Umfang, in dem Microsoft Daten bis hin zum Tippverhalten einsammelt, ist jedoch erstaunlich.

Für Behörden und Unternehmen, die der Übertragung von Daten ihrer Beschäftigten an Microsoft kritisch gegenüberstehen und trotzdem Windows 10 einsetzen möchten, bietet der Hersteller die Enterprise-Version für den sogenannten „Long Term Service Branch“ (LTSB) an. Eigentlich für geschäftskritische Systeme (z. B. Datenbankserver, Geldautomaten oder Krankenhausinformationssysteme) gedacht, zeichnet sich diese Version neben der Abwesenheit der persönlichen (und vor allem datenhungrigen) Assistenzsoftware Cortana vor allem durch einen relativ fixierten Funktionsumfang aus: Wo das normale Windows 10 regelmäßig ohne Zutun des Nutzers um neue Funktionen und Programme ergänzt wird, ist der Umfang von Windows 10 LTSB für mindestens zwei Jahre stabil. Leider ist die LTSB-Version den Volumenlizenzkunden vorbehalten. Für kleine und mittelständische Unternehmen oder gar Privatanwender existiert kein vorgesehener Bezugsweg für diese Version. Dabei ist ein fixierter Funktionsumfang eigentlich generell erstrebenswert, bergen doch neue Programme und Funktionen stets Risiken, die gegen einen eventuellen Nutzen abgewogen werden müssen.

An Cortana zeigt sich gut das Dilemma der heutigen Gestaltung von Diensten: Statt lokal mit eingeschränkter Datenbasis zu arbeiten, wird die Datenverarbeitung in die Cloud verschoben, wo die Programme auf viel mehr Daten zurückgreifen können – gespeist aus den Systemen bei allen Kunden. Durch die unterschiedlichen Identifier, angefangen von der Geräte-ID über das Microsoft-Konto bis hin zur Werbe-ID, hat Microsoft enorme Verkettungsmöglichkeiten. Rund zwei Jahre nach dem Erscheinen der ersten Version veröffentlichte Microsoft im April 2017 auch eine Liste der Daten, die das Betriebssystem standardmäßig überträgt (https://docs.microsoft.com/de-de/
windows/configuration/windows-diagnostic-data). Das Beispiel der mangelhaften Anonymisierung von Nutzerdaten im Falle des WOT-Plug-ins (Tz. 10.1) lässt erahnen, welches Potenzial die Datenberge in Redmond besitzen.

Mit Windows 10 schafft Microsoft eine Basis für künftige Dienstleistungsgeschäfte. Das Betriebssystem mutiert zu einer Plattform, die der Konzern nach Belieben umbauen und auf seine Bedürfnisse (wohlgemerkt die des Konzerns, nicht notwendigerweise auch des Kunden) zuschneiden kann. Microsoft ist kein Einzelfall – auch die anderen großen Anbieter gehen diesen Weg, bei dem es für die Nutzenden immer schwieriger wird, die Kontrolle über ihre Daten zu behalten.

Was ist zu tun?
Wer Windows 10 nutzen möchte, muss sich mit den Datenübertragungen des Systems intensiv auseinandersetzen. Der sich ständig ändernde Funktionsumfang macht Risikoabwägungen volatil: Ein Update kann Funktionen oder Einstellmöglichkeiten modifizieren, hinzufügen oder entfernen. Die am wenigsten invasive Version LTSB bleibt Volumenlizenzkunden vorbehalten. Nicht nur am Beispiel Windows 10 zeigt sich, dass Hersteller und Anbieter umdenken und ihre Systemgestaltung nach den Prinzipien „Datenschutz by Design“ und „by Default“ ausrichten müssen, wie es die Datenschutz-Grundverordnung fordert.

 

10.4        Metadaten und Schwärzungen in PDF-Dateien

Das PDF-Format wurde 1993 als Papieräquivalent entworfen. Es sollte die gleiche Verlässlichkeit wie ein klassischer Ausdruck bieten und sich unabhängig vom Endgerät stets gleich darstellen lassen. Oberflächlich betrachtet wird dieses Ziel auch erreicht. „Unter der Haube“ jedoch tragen PDF-Dokumente deutlich mehr Informationen, als man es von digitalem Papier erwarten würde. Wird beispielsweise ein Word-Dokument in das PDF-Format überführt, landen in der Regel der Dateiname der Word-Datei sowie der Bearbeiter und die verwendete Software als sogenannte Metadaten im Dokument.

Speziell der Dateiname kann mitunter Informationen enthalten, die besser nicht an den Empfänger des PDF-Dokuments gelangen sollten. Aber auch ganze Dateipfade finden ihren Weg in die Metadaten und lassen so unnötige Rückschlüsse auf die interne Organisationsstruktur zu. Wer ein PDF-Dokument nachträglich in seinen Abmessungen beschneidet, ist eventuell überrascht, dass die weggeschnittenen Bereiche nicht wegfallen, sondern nur ausgeblendet sind. Der Empfänger kann sie dann leicht rekonstruieren.

Metadaten in Dokumenten

Metadaten sind zusätzliche (Verwaltungs-) Informationen in Dokumenten, die über den Inhalt hinausgehen. Beispiele sind Dokumententitel, Verfasser, Thema und Stichwörter, Copyright-Informationen, aber auch Dateinamen und Dateipfade, Berechtigungen, Benutzername des technischen Erstellers der Datei (dies ist nicht immer der Verfasser des Dokuments), der zugrunde liegende Dateiname bei der Konvertierung etwa einer Word-Datei in eine PDF-Datei.

Es gibt eine Reihe von Tools, die versprechen, Dokumente zu bereinigen. Das klappt in der Regel für die eingangs erwähnten Informationen zum Ersteller oder zum ursprünglichen Dateinamen. Aber oft fördert schon ein Öffnen der vermeintlich bereinigten Dokumente mit einem simplen Texteditor diese Informationen wieder zutage. Das zugrunde liegende Problem ist die inkrementelle Speicherung der Metadaten im PDF-Dokument. Vereinfacht gesagt speichern viele Tools die Änderungen lediglich zusätzlich zu den bestehenden, die dann als „gelöscht“ markiert, nicht aber wirklich entfernt werden.

Ein definitiv verlässlicher Weg, PDF-Dokumente für die Weitergabe aufzubereiten, ist die Aktion „Vertrauliche Dokumente veröffentlichen“ von Adobe Acrobat. Hierbei wird das Dokument komplett neu erzeugt und um sämtliche unerwünschten Inhalte bereinigt.

Eine weitere Fehlerquelle bei der Weitergabe von PDF-Dokumenten ist das Schwärzen sensibler Daten. Hier ist darauf zu achten, dass nicht lediglich Objekte vor den Text gelegt werden. Ein schwarzer Kasten über Buchstaben mag diese bei der Bildschirmanzeige verdecken; solange jedoch der Text im Dokument noch existiert, lassen sich diese darüberliegenden Objekte einfach wieder entfernen. Wichtig ist daher, dass Schwärzungen den zu tilgenden Text nicht überlagern, sondern mit diesem verschmolzen werden. Adobe Acrobat bietet hier mit dem Werkzeug „Inhalt schwärzen und entfernen“ eine zuverlässige Funktion.

Was ist zu tun?
Sollen Tools zum Entfernen von Metadaten oder Schwärzen zum Einsatz kommen, ist sicherzustellen, dass dies wirkungsvoll umgesetzt wird. Insbesondere Metadaten-Löscher sind bei unseren Tests negativ aufgefallen.

 

10.5        Home Smart Home

Vernetzte Elektronik im Haushalt geht zunehmend hinaus über den PC und das Smartphone. Immer mehr Geräte kommunizieren untereinander oder mit externen Dienstleistern, um dem Nutzer mehr oder minder sinnvolle Funktionen zu bieten. Moderne Heizungsanlagen beispielsweise begnügen sich nicht mit einer programmierten Nachtabsenkung oder einer schnöden Urlaubsschaltung. Sensorgesteuert erfassen sie die Anwesenheit der Bewohner und kalkulieren so die beste Zeit zum Heizen. Alle Daten sind von unterwegs per Smartphone einzusehen, alle Funktionen online steuerbar. Und ganz nebenbei erfährt so auch der Hersteller der eigenen Heizung, wann zu Hause jemand duscht.

Ähnlich verhält es sich mit allen Anlagen zur Heimautomation, die serverbasiert Daten der Nutzenden verarbeiten: Die Dienstbetreiber erhalten systematisch Einblick in den Alltag ihrer Kundschaft. Wenig überraschend ist mit der Firma „Nest“ ein Anbieter selbstlernender Heizungsthermostate seit 2014 in der Hand von Google. Dort hat man früh erkannt, dass der Alltag der Menschen noch viele ungenutzte Datenschätze birgt.

Unter dem Stichwort „Smart“ versucht die Industrie seit geraumer Zeit, Produkte an Mann und Frau zu bringen, die durch ihre Lernfähigkeit das Leben vereinfachen sollen. Die Risiken zunehmender Vernetzung werden dabei gern verschwiegen. Zum einen ist der Datenfluss oft unklar und nur durch lange, versteckte Datenschutzerklärungen zu entwirren. Zum anderen sind die Datenverbindungen der heimischen Geräte keine Einbahnstraße. Jede Verbindung eines Geräts nach außen bedeutet, dass dieses Gerät potenziell auch von außen angesprochen werden kann. Haben die Schutzmechanismen gegen solchen unbefugten Zugriff von außen Lücken, bietet die Heimautomatisierung Fremden unter Umständen willkommene Informationen und Steuerungsmöglichkeiten. Einen Blick durch die Überwachungskamera im Wohnzimmer oder die Information der Heizung, dass niemand zu Hause ist, möchten die wenigsten Kunden einem Unbekannten gewähren.

https://datenschutzzentrum.de/artikel/1071-1.html

Was ist zu tun?
Vor allem die Abhängigkeit zum Anbieter, in die die Kunden sich zwangsweise begeben, muss hinterfragt werden: Sicherheitslücken in der Software einer Heimautomation können nur vom Hersteller behoben werden. Klare Verantwortlichkeiten sind ebenso nötig wie Aufklärung über die realen Risiken.

10.6        Absicherung von Online-Diensten mit Zwei-Faktor-Authentifizierung

Passwörter sind lästig. Außerdem bedeuten Passwörter ein Sicherheitsrisiko: Wer beispielsweise die Zugangsdaten zu einem Online-Dienst ausspäht, kann diesen nutzen und komplett übernehmen, ohne dass der rechtmäßige Besitzer des Kontos davon erfährt. Beim Online-Banking setzt man schon von Anfang an auf mehrere sogenannte Faktoren. Neben dem „Wissen“, nämlich dem klassischen Passwort, kam hier stets auch der Faktor „Besitz“ zum Einsatz: zu Beginn die klassische TAN-Liste, später dann Varianten wie kleine Bildschirmscanner, TAN-Generatoren bis hin zum heutigen Smartphone. All diesen Techniken ist gemein, dass sie einen Missbrauch deutlich erschweren. Ein Angreifer muss nicht nur das Passwort ausspähen, sondern auch „Hardware“ in Form der TAN-Liste oder des Smartphones in seinen Besitz bringen. Im Unterschied zum Passwort können Betroffene den Verlust eines Stücks Hardware allerdings sofort bemerken.

Initiative for Open Authentication (OATH)
OATH ist eine branchenübergreifende Initiative, die eine offene Referenzarchitektur für Authentisierungsverfahren entwickelt und dabei verschiedene Algorithmen standardisiert, so auch TOTP. Ziel ist es u. a., dass Nutzende sich mit einem einzelnen Gerät oder einer einzelnen Software (z. B. einer Smartphone-App) bei einer Vielzahl von Diensten authentisieren können.

Time-based One-Time Password algorithm (TOTP)
TOTP ist ein Algorithmus, mit dem aus der aktuellen Uhrzeit und einem Initialisierungscode Passwörter mit begrenzter Gültigkeitsdauer berechnet werden können. Dies erfolgt sowohl beim Benutzer (z. B. mit einer Smartphone-App) als auch auf der Serverseite. Der Initialisierungscode ist einmalig, ähnlich der Ersteinrichtung eines Passworts, zwischen Benutzer und Server zu vereinbaren. Bei jeder Authentisierung werden daraus neue, zeitlich befristete Passwörter generiert: auf der Nutzerseite für das Anmelden, auf der Serverseite für die Kontrolle.

Inzwischen bieten auch Online-Dienste vermehrt die Möglichkeit an, das eigene Konto zusätzlich durch einen zweiten Faktor zu sichern. Verbreitete Verfahren nutzen den Time-based One-Time Password algorithm (TOTP) der Standardisierungsinitiative Open Authentication (OATH), bei dem eine Smartphone-App zeitbasierte Authenticator-Codes erzeugt, die jeweils nur 30 Sekunden lang gültig sind (sogenannte Einmalpasswörter mit zudem zeitlich beschränkter Gültigkeit).

Will sich ein Nutzer bei einem so gesicherten Online-Dienst anmelden, muss er zusätzlich zu Nutzernamen und Passwort den aktuellen Authenticator-Code angeben. Wer den Einmal-Code abgreift, kann damit nach Ablauf des 30‑Sekunden-Zeitfensters nichts anfangen. Weitere Verfahren setzen auf die Übermittlung des Einmalcodes per SMS oder erfordern die Verwendung eines dedizierten USB-Tokens.

Unabhängig vom verwendeten Verfahren bietet die Zwei-Faktor-Authentifizierung entscheidende Vorteile. Die Kompromittierung eines Online-Kontos wird dadurch erheblich erschwert, sodass derartige Verfahren unbedingt verwendet werden sollten, wenn persönliche Daten auf dem Spiel stehen. Google, Apple und Microsoft bieten inzwischen die Möglichkeit zur Zwei-Faktor-Authentifizierung. Smartphone-Nutzerkonten mit ihren Bezahlfunktionen und Unmengen an personenbezogenen Daten sollten daher unbedingt zusätzlich abgesichert werden. Aber auch für alle anderen Dienste sollte – sofern unterstützt – die entsprechende Option aktiviert werden.

Für digitale Klassenbücher des Landes schreibt § 17 Absatz 3 der Datenschutzverordnung Schule die Nutzung einer Zwei-Faktor-Authentifizierung vor. Das ULD ist in einer Arbeitsgruppe mit Herstellern und Schulen vertreten, um praxistaugliche Umsetzungen zu untersuchen, die auch unter Schulbedingungen funktionieren.

10.7        Datenschutz unter dem Weihnachtsbaum – Tipps gegen Risiken bei Geschenken

Im Dezember 2016 hat das ULD viele Erkenntnisse aus den eigenen Arbeiten, besonders im IT-Labor, zusammengefasst, um Datenschutztipps für typische Weihnachtsgeschenke zu geben. Schließlich beinhalten viele Produkte, die am 24. Dezember unter dem Weihnachtsbaum liegen, eine gewisse Überwachungsfunktionalität. Dazu können Haushaltshelfer, Entertainment-Geräte, Gesundheitsprodukte oder Technik-Gadgets gehören. Die Hinweise des ULD stehen auf der Webseite zur Verfügung:

https://datenschutzzentrum.de/artikel/1071-1.html

Dort erfahren alle Interessierten, worauf sie für ein Weihnachtsfest ohne Datenschutzrisiken besonders achten sollten – vom sicheren Online-Einkauf über die Inbetriebnahme der technischen Geschenke bis hin zum Verschicken von Weihnachtsgrüßen per Messenger. Drohnen, Smart-TV-Geräte und Fitness-Wearables spielen aber nicht nur zu Weihnachten eine große Rolle.

Ob nun Geschenk oder nicht: Bei technischen Produkten sollte man mindestens Folgendes prüfen: Werden Daten gespeichert und übertragen? Wenn ja: An wen und zu welchem Zweck? Kann man solche Datensammlungen und -weiterleitungen verhindern?

Jedes Gerät, das mit dem Internet verbunden ist, muss gegen unberechtigte Zugriffe von außen abgesichert werden. Selbst vernetztes Spielzeug kann Opfer eines Angriffs aus dem Internet werden. Deswegen sollte man nicht auf die vorkonfigurierte Einstellung vertrauen, sondern muss zumindest Standardpasswörter unbedingt ändern und Verschlüsselung einschalten, wo es geht.

Aber dem ULD ist auch wichtig, dass die Verantwortung für Datenschutz und IT-Sicherheit nicht auf die Nutzerinnen und Nutzer abgeladen wird. Stattdessen sind die Hersteller und Anbieter gefragt, die Datenschutzrisiken einzudämmen. Damit wird hoffentlich das Schenken ohne (Datenschutz-)Reue viel einfacher.

Was ist zu tun?
Produkte und Dienste sollen mit datenschutzfreundlichen Voreinstellungen ausgeliefert werden. Der eingebaute Datenschutz ist heutzutage auf dem Markt leider noch nicht verbreitet. Das muss sich aber ändern – spätestens mit der Datenschutz-Grundverordnung, die ab Mai 2018 Datenschutz „by Design“ und „by Default“ fordert.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel