Mit sensiblen Daten über die Grenze und zurück

tobias thomas.hoegg.uni-linz, 11. November 2015, 00:31

Einleitung

Im Rahmen der Aufgabe "Die Transparenz der Internet-Technik" habe ich mich mit dem Artikel "Mit sensiblen Daten über die Grenze und zurück" beschäftigt. Dieser wurde im August 2015 in der ZEIT in der Artikelserie "Mein digitaler Schutzschild"veröffentlicht. 

Autor Johannes Wendt beschreibt in dem Artikel Möglichkeiten, Daten im Ausland vor einem Zugriff durch dortige Behörden zu schützen. 

Auf den Artikel bin ich vor allem deshalb gestoßen, da in diesem unter anderem die Software BoxCrypt behandelt wird, welche von Studenten aus meinem Heimatort Augsburg programmiert wurde.

Herausgabe von Daten und Passwörtern im Ausland

Für diejenigen Touristen, die sich über den Schutz der Daten im Ausland Gedanken machen gibt es nach Johannes Wendt zunächst die Möglichkeit mit beispielsweise einem leeren Smartphone (vorherige Sicherung der Daten zu Hause) abzureisen oder ein leeres Gerät vor Ort zu erwerben. Unsicher bleibt hierbei, was mit den Daten geschieht, die im Urlaub entstehen und wie sicher diese im Urlaubsland behandelt werden. 

Für Touristen gibt es die Möglichkeit sich der Ausspähen der Daten durch örtliche Behörden zu schützen. Beispielsweise durch das Speichern der Daten in einer Cloud. Sind die Dateien in der Cloud angekommen, können sie vom Endgerät gelöscht werden. Hierdurch befinden sich die Daten außerlandes und die Rechte einer Behörde auf die Einsicht von im Urlaubsland gespeicherten Daten sind nicht mehr von Bedeutung.

Die Sicherheit der Daten bei bekannten Cloud-Anbietern wie Dropbox oder Google ist bekannterweise fraglich. Die Daten werden zwar auf dem Weg in die Cloud verschlüsselt, liegen jedoch dort unverschlüsselt ab. Weiteres zur Thematik Verschlüsselung von Daten in Clouds und Mechanismen zum Schutz der Privatsphäre werden im Artikel von Michael Kaufmann behandelt.

Im hier verarbeiteten Artikel wird eine Lösung beschrieben, jene Cloud-Dienste so zu nutzen, dass die Daten dort jederzeit sicher gespeichert sind. 

 

Abhilfe mit BoxCryptor

BoxCryptor ist eine Software der Firma Secomba GmbH, welche die Daten schon vor dem Hochladen in die beispielsweise Dropbox verschlüsselt, somit liegen die Daten auf den Dropbox-Servern nicht unverschlüsselt, sonder auch dort als "Datensalat", wie vom Autor beschrieben. Nach Installation der App BoxCrytport auf einem Smartphone, kann diese mit einem Dropbox-Account verbunden werden. Im diesem Fall wird ein Ordner "BoxCryptor" ind der Dropbox angelegt. Alle Dateien, die von nun an in diesen Ordner verschoben werden, sind von Beginn an verschlüsselt.

 

Noch mehr Sicherheit - EDS und TrueCrypt

Sind Daten auf einem mobilen Endgerät im Urlaub gespeichert worden, kann es durchaus passieren, dass Touristen gezwungen werden, diese Daten preiszugeben. Beispielsweise ist es Behörden in Großbritannien oder Frankreich gestattet, Passwörter einzufordern. Im schlimmsten Falle droht einem sich weigernden Urlauber sogar das Gefängnis.

Im Artikel wird weiter auf Möglichkeiten eingegangen, welche die Daten eines Touristen sogar dann schützen, wenn er von Behörden zur Eingabe von Passwörtern gezwungen wird. In einem solchen Fall wäre natürlich selbst mit der Nutzung von BoxCrypt der Zugang einer Behörde zu den Daten eines Touristen möglich. Abhilfe für einen solchen fall kann die Verwendung der App EDS in Verbindung mit TrueCrypt oder dessen Nachfolger VeraCrypt sein. Mit EDS ist es möglich durch TrueCrypt verschlüsselte Container zu lesen, eigene TrueCrypt-Container anzulegen und auch Hidden Volumes zu erstellen. Hidden Volumes sind genau wie andere TrueCrypt-Container stark verschlüsselt. Allerdings sind sie in einem anderen TrueCrypt-Container versteckt, dem sogenannten Outer Volume. Will man dieses Outer Volume öffnen, ist es möglich, das Passwort für das Outer Volume einzugeben, oder aber das Passwort für das Hidden Volume. Durch dieses Vorgehen wird es einem Touristen möglich, ein Passwort einzugeben und anschließend einer Behörde auch einen Inhalt eines Ordners zu präsentieren, jedoch trotzdem seine (eigentlich wichtigeren Daten) geheim zu halten.

Fazit

Der Artikel stellte für mich in vielen Bereichen Neuland dar, da ich mich selbst bisher nicht tiefergehend mit Verschlüsselungstechnologien befasst habe. Ich konnte einen Teil der Funktionsweise dieser Thematik nachvollziehen, da diese im Artikel meiner Meinung nach verständlich beschrieben wird.

Vor allem finde ich aber die Herangehensweise bei der Beschreibung einer Notwendigkeit der Verschlüsselung durch ein für viele Menschen gängiges Beispiel interessant. Mit Fotos im Urlaub befassen sich sehr viele Menschen, und durch die Behandlung des Themas im Artikel konnte die Relevanz von Verschlüsselung für Jedermann gezeigt werden.

Kritisieren möchte ich die Wichtigkeit der behandelten Form des Datenschutzes. Meiner Meinung nach gibt es in der heutigen Zeit weit aus schutzbedürftigere Daten als Urlaubsfotos im Allgemeinen oder der Schutz von Daten vor einem eventuellen Zugriffsversuch durch Behörden im Urlaubsland. Z.B. der Schutz von Daten vor einem Skandal wie PRISM in Verbindung mit Cloud-Diensten hat für mich eine größere Bedeutung.

Neben der Anonymität von Daten im Netz spielt im Bereich der Transparenz auch der anonyme User und die Möglichkeit sich als solcher durch das Web zu bewegen eine wichtige Rolle in der heutigen Zeit. Michael Goldbeck beschäftigt sich in seinem Artikel mit diesem Thema.

 

Quellen:

http://www.zeit.de/digital/datenschutz/2013-01/serie-mein-digitaler-schutzschild-einleitung

http://pdf.zeit.de/digital/datenschutz/2015-07/verschluesselung-smartphone-laptop-grenzkontrolle.pdf

https://www.boxcryptor.com/de

 

 

 

 

 

5 comments :: Kommentieren

TrueCrypt WTF

michael.goldbeck.uni-linz, 11. November 2015, 07:32

Hallo Tobias,

danke für den tollen Artikel - die von dir angesprochene Artikelreihe ist meiner Meinung nach eine der besten Ressourcen für schnelle digitale Selbstverteidigung. Bei einem Thema bin ich aber sehr vorsichtig geworden: TrueCrypt. Einer der führenden Kryptographen unserer Zeit - Bruce Schneier - hat es in seinem Beitrag "TrueCrypt WTF" ziemlich prägnant auf den Punkt gebracht: es ist nicht mehr klar ob TrueCrypt wirklich sicher ist, weshalb dessen Nutzung nicht empfohlen wird.

Das Thema an sich wird uns aber sicherlich die nächsten Jahr hindurch begleiten. Immer mehr Daten speichern wir über das Internet, das Risiko nimmt zu. Daher finde ich "BoxCryptor" auch einen sehr spannenden Ansatz - mal schauen, was daraus wird :-)

Verlinken :: Kommentieren

VeraCrypt sicherer?

tobias thomas.hoegg.uni-linz, 11. November 2015, 11:06

Hi Michael,

danke für dein Feedback.

Im behandelten Artikel wurde TrueCrypt noch als sicher bezeichnet, zumindest die Version 7.1a. Eventuell ist VeraCrypt als Alternative besser geeignet?

Verlinken :: Kommentieren

irene.loeffler.uni-linz, 11. November 2015, 09:20

Ich finde den von dir gewählten Artikel sehr interessant, da ich mich bis jetzt noch nicht näher mit dem Thema befasst habe. Wie bereits Michael in seinem Kommentar erwähnt, bin ich der Meinung, dass das Thema in den nächsten Jahren immer wichtiger werden wird. Die Internetgesellschaft wird in Bezug auf persönliche Daten immer sensibler und wie du bereits erwähnt hast, steigt die Präferenz für  Anonymität im Internet stetig an. Auch ich habe mich mit dem Thema Anonymität und Selbstschutz im Internet befasst. Mein Blogbeitrag enthält dazu einige Tools um sich vor personalisierter Werbung zu schützen. 

Verlinken :: Kommentieren

Verschlüsselung von Files in der Cloud

michael.kaufmann.uni-linz, 11. November 2015, 20:04

Hallo Tobias!

Du sprichst mit deinem Artikel ein sehr interessantes Thema an. Google Drive, Microsoft Onedrive, Dropbox etc. kümmern sich zwar um die Verschlüsselung beim Upload, sind die Daten dann in der Cloud angekommen - so liegen die Files zumeist unverschlüsselt herum.

Boxcrypter werde ich in Zukunft auch persönlich einmal ausprobieren - könnte die Zukunft sein, um sich in Bezug auf Cloud Services sicherer zu fühlen.

Ich berichte in meinem Blogbeitrag unter anderem über sogenannten PET - Privace-enhancing technolgies.

Verlinken :: Kommentieren

Patrick.Miklaszewicz.Uni-Linz, 12. November 2015, 11:46

Sehr interessantes Thema. Hier noch kurz ein kleiner geschichtlicher Abriss zu den Entwicklungen rund um TrueCrypt oder Lavabit.


Ich gebe da Michael Recht, die Literatur zeigt auf, dass TrueCyrypt nicht mehr als sicher eingestuft wird. Generell sollte man aber immer auch darauf schauen welcher Aufwand benötigt wird um tatsächlich an die verschlüsselten Daten von jemanden zu kommen. Auch Behörden haben nicht unendlich Ressourcen.


Wenn man sich mit diesem Thema genauer auseinandersetzten möchte, dann kann einem diese Seite einen guten Einblick in derzeit als sicher geltende Software bieten. Auch sollte man sich überlegen inwiefern man proprietären Produkten in puncto Sicherheit & Privatsphäre allgemein vertrauen kann. Bietet hier Open Source nicht doch den besseren also sichereren Ansatz?

Verlinken :: Kommentieren