Gruselige Sammlung von Halbwahrheiten bei “Einfach genial”

Durch Zufall bin ich diese Woche in eine Ausgabe der Sendung Einfach genial gestolpert - es sollte um Beiträge rund um das Thema Datenschutz gehen. Bei den einzelnen Beiträgen fragte ich mich, mit welch mangelnder Sorgfalt hier recherchiert wurde - entweder handelte es sich um Binsenwahrheiten, alte Technologien, halbwahre oder gar falsche Informationen.
Ich möchte hier zu einigen der Beiträge ein paar Kommentare hinterlassen. Ich kann nur hoffen, daß Leute, die zu der Sendung recherchieren, auch hierauf stoßen... allen, die sich mit der Materie auskennen, kann ich ein Kopfschütteln versprechen ;-)

Die W-LAN-Abschirmbox

In einem Test wurde über die W-LAN-Abschirmbox berichtet. Dem Problem, dem man hiermit begegnen möchte: W-LANs machen nicht an den Häusergrenzen halt, sie sind auch außerhalb des Grundstücks empfangbar. Mit der Abschirmbox kann man die Sendeleistung eines W-LANs reduzieren, so daß es - angeblich - nur noch im Haus, nicht aber mehr auf der Straße empfangbar sei.
Mir fehlen wirklich die (zivilisierten) Worte, wenn so etwas allen Ernstes als Security-Feature verkauft wird... in Kürze:

  • Die Behauptung des Beitrags, ein paßwortgeschütztes W-LAN sei in kürzester Zeit zu knacken, ist schlicht falsch. Bei Verwendung der aktuellen Verfahren (also WPA2, bloß nicht mehr das steinalte WPA) sowie eines starken Passworts ist es nach wie vor alles andere als trivial.
  • Reduzierung der Abstrahlung als Schutzmechanismus ist höchst fraglich; wer verschiedene W-LAN-Geräte besitzt, dem wird sicher selbst schon aufgefallen sein, daß er mit den Geräten unterschiedlich guten Empfang besitzt. Grund sind die unterschiedlichen Eigenschaften der verbauten Antennen.
  • Daß das Kästchen Mumpitz ist, läßt sich auch schon erraten, daß es keine Möglichkeit zur Regelung der Dämpfung gibt... wieso sollte die nötige Dämpfung zur Straße bei allen Gebäuden (und allen Entfernungen zur Häusergrenze) gleich sein?
  • Wer wirklich in das Funknetz eindringen will, läßt sich von der durch die Box reduzierten Leistung nicht abbringen: Durch Verwendung einer geeigneten Antenne dürfte er die Dämpfung der Box mehr als wett machen (immerhin schaffen es Richtantennen, eine W-LAN-Verbindung über mehrere Kilometer Entfernung herzustellen)

Meine persönliche Meinung: Finger weg von diesem Unsinn. Dafür darauf achten, daß der W-LAN-Router WPA2 kann (was für alle modernen Geräte der Fall sein dürfte) und ein gutes Passwort gesetzt ist.

Grafikkey

In diesem Beitrag wurde das Programm Grafikkey beworben, mit dem sich der Inhalt einer E-Mail in einem Bild verstecken läßt. Hintergrund: Es gibt keine Garantien für die Sicherheit bei der Übertragung einer E-Mail - das ist korrekt. Aber:

  • Es ist nicht ganz so leicht wie im Beitrag dargestellt, sich in die Kommunikation zweier Mailserver einzuklinken: Für den Betreiber der jeweiligen Mailserver (auf Sender- und Empfangsseite) mag das noch gelten, in anderen Fällen gibt es für Angreifer vermutlich einfachere Wege.
  • Verschlüsselte Daten sollen ein Hinweis sein auf sensible Daten? Möglicherweise... aber wenn zwei Leute ständig Bilder in einem archaischen Bildformat (.bmp :-) austauschen, ist das vollkommen unauffällig... oder?
  • Das Verbergen von Informationen in anderen Daten"behältern" nennt sich Steganographie. Bilder sind hier nur ein mögliches Transportvehikel. Entsprechende Programme gibt es seit mindestens 15 Jahren. Von daher erstaunt es mich, daß hierfür auf einer Erfindermesse ein Preis vergeben wird...
  • Verschlüsselungstechnologien sind ein heikles Thema. Es ist dringend zu empfehlen, nur Programme zu verwenden, deren Funktionsweise nachprüfbar ist (z.B. dadurch, daß der Quelltext verfügbar ist) und welche ausschließlich bekannte, gut erforschte Verfahren zur Chiffrierung verwenden. Beides läßt das vorgestellte Programm vermissen: Der Quelltext ist nicht verfügbar, auch das verwendete Verschlüsselungsverfahren ist nicht bekannt.

Daher: Als Kinderspiel und Sicherung vor der neugierigen kleinen Schwester mag das Programm taugen - für echte Geheimnisse sollte unbedingt professionelle Software zum Einsatz kommen. Das bedeutet nicht automatisch auch "teuer": Beispielsweise das PGP-Derivat GPG kann man wohl guten Gewissens als gut abgehangen und untersucht bezeichnen (abgesehen davon, daß PGP gerade für verschlüsselte Mails weitere Vorteile bietet) - und GPG ist kostenlos verfügbar. Mit PGP bzw. GPG verschlüsselte Daten sind nach aktuellem Kenntnisstand nicht durch rohe (Rechen)gewalt zu brechen, es ist also egal, ob ein unliebsamer Mithörer erkennt, daß es sich um verschlüsselte Daten handelt. Wer das Versteckspiel mit den Bildern dennoch betreiben will, der sollte unbedingt seine Daten zunächst PGP-verschlüsseln und erst diese (bereits gesicherten) Dateien einem Programm wie dem vorgestellten anvertrauen.

Passwortsafe

Der Passwortsafe ist ein Programm für Handys, in dem man Passwörter sammeln kann und diese mit einem Master-Passwort sichert. Im Gegensatz zu bekannten Passwort-Safes wie z.B. Keepass (welches es auch für verschiedene Mobilgeräte gibt) ist der vorgestellte Passwortsafe darauf ausgelegt, zu jedem eingegebenen Masterpasswort plausibel aussehende PINs, TANs, Passwörter auszugeben.
Die Idee ist im Prinzip clever: So kann (theoretisch) ein Brute-Force-Angriff nicht erkennen, ob das richtige Passwort erraten wurde. Das Verfahren hat jedoch zwei Schwächen, auf die man dringend achten sollte:

  • Die gespeicherten Passwörter müssen selbst "gut" sein, sie dürften also keinerlei Worte oder Wortteile beinhalten: Sonst lassen sich die berechneten Ergebnisse gegen ein Wörterbuch abgleichen, was einen Hinweis auf das korrekte Masterpasswort gibt.
  • Malware für Handys gibt es bereits, und die Menge wird in den nächsten Jahren exponentiell anwachsen. Falls sich auf dem Handy ein entsprechendes Spionageprogramm eingenistet hat, ist es für dieses natürlich ein leichtes, das Masterpasswort abzuhören. Hier ist also Vorsicht geboten.

Der n-PA

Dem "neuen Personalausweis" nPA (früher: ePA) wurde ebenfalls ein Beitrag gewidmet. Ich erspare mir hier das Erläutern der Lobhudeleien und verweise hier auf andere ausführliche Abhandlungen.

Alles in allem war ich über die Qualität der Recherche ziemlich erschüttert. Da wurde offenbar mehr oder minder kritiklos wiedergegeben, was in der Werbung der jeweiligen Produkte versprochen wurde. Die Schmerzen über die Abschirmbox haben bei mir noch stundenlang angehalten ;-) und auch die anderen Sicherheitstips waren mehr oder minder fahrlässig: Wer sich allein auf Grund der in dem Bericht gegebenen Informationen versucht zu schützen, begibt sich in ein sehr gefährliches, trügerisches Gefühl der Sicherheit.
Wenn es um Sicherheit beispielsweise im Straßenverkehr geht, werden auch TÜV und Testlabors gefragt; wieso geht man nicht mit der selben Sorgfalt bei diesem Thema vor?