Gruselige Sammlung von Halbwahrheiten bei “Einfach genial”

Durch Zu­fall bin ich diese Woche in eine Aus­ga­be der Sen­dung Ein­fach ge­ni­al ge­stol­pert - es soll­te um Bei­trä­ge rund um das Thema Da­ten­schutz gehen. Bei den ein­zel­nen Bei­trä­gen frag­te ich mich, mit welch man­geln­der Sorg­falt hier re­cher­chiert wurde - ent­we­der han­del­te es sich um Bin­sen­wahr­hei­ten, alte Tech­no­lo­gi­en, halb­wah­re oder gar fal­sche In­for­ma­tio­nen.
Ich möch­te hier zu ei­ni­gen der Bei­trä­ge ein paar Kom­men­ta­re hin­ter­las­sen. Ich kann nur hof­fen, daß Leute, die zu der Sen­dung re­cher­chie­ren, auch hier­auf sto­ßen... allen, die sich mit der Ma­te­rie aus­ken­nen, kann ich ein Kopf­schüt­teln ver­spre­chen ;-)

Die W-LAN-Ab­schirm­box

In einem Test wurde über die W-LAN-Ab­schirm­box be­rich­tet. Dem Pro­blem, dem man hier­mit be­geg­nen möch­te: W-LANs ma­chen nicht an den Häu­ser­gren­zen halt, sie sind auch au­ßer­halb des Grund­stücks emp­fang­bar. Mit der Ab­schirm­box kann man die Sen­de­leis­tung eines W-LANs re­du­zie­ren, so daß es - an­geb­lich - nur noch im Haus, nicht aber mehr auf der Stra­ße emp­fang­bar sei.
Mir feh­len wirk­lich die (zi­vi­li­sier­ten) Worte, wenn so etwas allen Erns­tes als Se­cu­ri­ty-Fea­ture ver­kauft wird... in Kürze:

  • Die Be­haup­tung des Bei­trags, ein paß­wort­ge­schütz­tes W-LAN sei in kür­zes­ter Zeit zu kna­cken, ist schlicht falsch. Bei Ver­wen­dung der ak­tu­el­len Ver­fah­ren (also WPA2, bloß nicht mehr das stein­al­te WPA) sowie eines star­ken Pass­worts ist es nach wie vor alles an­de­re als tri­vi­al.
  • Re­du­zie­rung der Ab­strah­lung als Schutz­me­cha­nis­mus ist höchst frag­lich; wer ver­schie­de­ne W-LAN-Ge­rä­te be­sitzt, dem wird si­cher selbst schon auf­ge­fal­len sein, daß er mit den Ge­rä­ten un­ter­schied­lich guten Emp­fang be­sitzt. Grund sind die un­ter­schied­li­chen Ei­gen­schaf­ten der ver­bau­ten An­ten­nen.
  • Daß das Käst­chen Mum­pitz ist, läßt sich auch schon er­ra­ten, daß es keine Mög­lich­keit zur Re­ge­lung der Dämp­fung gibt... wieso soll­te die nö­ti­ge Dämp­fung zur Stra­ße bei allen Ge­bäu­den (und allen Ent­fer­nun­gen zur Häu­ser­gren­ze) gleich sein?
  • Wer wirk­lich in das Funk­netz ein­drin­gen will, läßt sich von der durch die Box re­du­zier­ten Leis­tung nicht ab­brin­gen: Durch Ver­wen­dung einer ge­eig­ne­ten An­ten­ne dürf­te er die Dämp­fung der Box mehr als wett ma­chen (im­mer­hin schaf­fen es Richt­an­ten­nen, eine W-LAN-Ver­bin­dung über meh­re­re Ki­lo­me­ter Ent­fer­nung her­zu­stel­len)

Meine per­sön­li­che Mei­nung: Fin­ger weg von die­sem Un­sinn. Dafür dar­auf ach­ten, daß der W-LAN-Rou­ter WPA2 kann (was für alle mo­der­nen Ge­rä­te der Fall sein dürf­te) und ein gutes Pass­wort ge­setzt ist.

Gra­fik­key

In die­sem Bei­trag wurde das Pro­gramm Gra­fik­key be­wor­ben, mit dem sich der In­halt einer E-Mail in einem Bild ver­ste­cken läßt. Hin­ter­grund: Es gibt keine Ga­ran­ti­en für die Si­cher­heit bei der Über­tra­gung einer E-Mail - das ist kor­rekt. Aber:

  • Es ist nicht ganz so leicht wie im Bei­trag dar­ge­stellt, sich in die Kom­mu­ni­ka­ti­on zwei­er Mail­ser­ver ein­zu­klin­ken: Für den Be­trei­ber der je­wei­li­gen Mail­ser­ver (auf Sen­der- und Emp­fangs­sei­te) mag das noch gel­ten, in an­de­ren Fäl­len gibt es für An­grei­fer ver­mut­lich ein­fa­che­re Wege.
  • Ver­schlüs­sel­te Daten sol­len ein Hin­weis sein auf sen­si­ble Daten? Mög­li­cher­wei­se... aber wenn zwei Leute stän­dig Bil­der in einem ar­chai­schen Bild­for­mat (.bmp :-) aus­tau­schen, ist das voll­kom­men un­auf­fäl­lig... oder?
  • Das Ver­ber­gen von In­for­ma­tio­nen in an­de­ren Daten"be­häl­tern" nennt sich Ste­ga­no­gra­phie. Bil­der sind hier nur ein mög­li­ches Trans­port­ve­hi­kel. Ent­spre­chen­de Pro­gram­me gibt es seit min­des­tens 15 Jah­ren. Von daher er­staunt es mich, daß hier­für auf einer Er­fin­der­mes­se ein Preis ver­ge­ben wird...
  • Ver­schlüs­se­lungs­tech­no­lo­gi­en sind ein heik­les Thema. Es ist drin­gend zu emp­feh­len, nur Pro­gram­me zu ver­wen­den, deren Funk­ti­ons­wei­se nach­prüf­bar ist (z.B. da­durch, daß der Quell­text ver­füg­bar ist) und wel­che aus­schlie­ß­lich be­kann­te, gut er­forsch­te Ver­fah­ren zur Chif­frie­rung ver­wen­den. Bei­des läßt das vor­ge­stell­te Pro­gramm ver­mis­sen: Der Quell­text ist nicht ver­füg­bar, auch das ver­wen­de­te Ver­schlüs­se­lungs­ver­fah­ren ist nicht be­kannt.

Daher: Als Kin­der­spiel und Si­che­rung vor der neu­gie­ri­gen klei­nen Schwes­ter mag das Pro­gramm tau­gen - für echte Ge­heim­nis­se soll­te un­be­dingt pro­fes­sio­nel­le Soft­ware zum Ein­satz kom­men. Das be­deu­tet nicht au­to­ma­tisch auch "teuer": Bei­spiels­wei­se das PGP-De­ri­vat GPG kann man wohl guten Ge­wis­sens als gut ab­ge­han­gen und un­ter­sucht be­zeich­nen (ab­ge­se­hen davon, daß PGP ge­ra­de für ver­schlüs­sel­te Mails wei­te­re Vor­tei­le bie­tet) - und GPG ist kos­ten­los ver­füg­bar. Mit PGP bzw. GPG ver­schlüs­sel­te Daten sind nach ak­tu­el­lem Kennt­nis­stand nicht durch rohe (Re­chen)ge­walt zu bre­chen, es ist also egal, ob ein un­lieb­sa­mer Mit­hö­rer er­kennt, daß es sich um ver­schlüs­sel­te Daten han­delt. Wer das Ver­steck­spiel mit den Bil­dern den­noch be­trei­ben will, der soll­te un­be­dingt seine Daten zu­nächst PGP-ver­schlüs­seln und erst diese (be­reits ge­si­cher­ten) Da­tei­en einem Pro­gramm wie dem vor­ge­stell­ten an­ver­trau­en.

Pass­wort­safe

Der Pass­wort­safe ist ein Pro­gramm für Han­dys, in dem man Pass­wör­ter sam­meln kann und diese mit einem Mas­ter-Pass­wort si­chert. Im Ge­gen­satz zu be­kann­ten Pass­wort-Safes wie z.B. Kee­pass (wel­ches es auch für ver­schie­de­ne Mo­bil­ge­rä­te gibt) ist der vor­ge­stell­te Pass­wort­safe dar­auf aus­ge­legt, zu jedem ein­ge­ge­be­nen Mas­ter­pass­wort plau­si­bel aus­se­hen­de PINs, TANs, Pass­wör­ter aus­zu­ge­ben.
Die Idee ist im Prin­zip cle­ver: So kann (theo­re­tisch) ein Bru­te-Force-An­griff nicht er­ken­nen, ob das rich­ti­ge Pass­wort er­ra­ten wurde. Das Ver­fah­ren hat je­doch zwei Schwä­chen, auf die man drin­gend ach­ten soll­te:

  • Die ge­spei­cher­ten Pass­wör­ter müs­sen selbst "gut" sein, sie dürf­ten also kei­ner­lei Worte oder Wort­tei­le be­inhal­ten: Sonst las­sen sich die be­rech­ne­ten Er­geb­nis­se gegen ein Wör­ter­buch ab­glei­chen, was einen Hin­weis auf das kor­rek­te Mas­ter­pass­wort gibt.
  • Mal­wa­re für Han­dys gibt es be­reits, und die Menge wird in den nächs­ten Jah­ren ex­po­nen­ti­ell an­wach­sen. Falls sich auf dem Handy ein ent­spre­chen­des Spio­na­ge­pro­gramm ein­ge­nis­tet hat, ist es für die­ses na­tür­lich ein leich­tes, das Mas­ter­pass­wort ab­zu­hö­ren. Hier ist also Vor­sicht ge­bo­ten.

Der n-PA

Dem "neuen Per­so­nal­aus­weis" nPA (frü­her: ePA) wurde eben­falls ein Bei­trag ge­wid­met. Ich er­spa­re mir hier das Er­läu­tern der Lob­hu­de­lei­en und ver­wei­se hier auf an­de­re aus­führ­li­che Ab­hand­lun­gen.

Alles in allem war ich über die Qua­li­tät der Re­cher­che ziem­lich er­schüt­tert. Da wurde of­fen­bar mehr oder min­der kri­tik­los wie­der­ge­ge­ben, was in der Wer­bung der je­wei­li­gen Pro­duk­te ver­spro­chen wurde. Die Schmer­zen über die Ab­schirm­box haben bei mir noch stun­den­lang an­ge­hal­ten ;-) und auch die an­de­ren Si­cher­heits­tips waren mehr oder min­der fahr­läs­sig: Wer sich al­lein auf Grund der in dem Be­richt ge­ge­be­nen In­for­ma­tio­nen ver­sucht zu schüt­zen, be­gibt sich in ein sehr ge­fähr­li­ches, trü­ge­ri­sches Ge­fühl der Si­cher­heit.
Wenn es um Si­cher­heit bei­spiels­wei­se im Stra­ßen­ver­kehr geht, wer­den auch TÜV und Test­la­bors ge­fragt; wieso geht man nicht mit der sel­ben Sorg­falt bei die­sem Thema vor?