IT-Sicherheitsschulung in Oberfranken

Im November 2018 fand im Raum Oberfranken eine Praxisschulung mit dem Thema „IT-Sicherheit“ statt. Eingeladen waren hierzu neben regionalen Kadern auch Mitglieder und Sympathisanten unserer Partei. In der mehrstündigen Veranstaltung wurden vorrangig die Programme VeraCrypt für die Verschlüsselung von Computer und Speichermedien und die Messenger-App Threema für das Smartphone vorgestellt. Daneben gab es noch Hinweise zur Passwortsicherheit und zu Verschlüsselungsmöglichkeiten auf den Smartphones.

Gemäß einer internen Richtlinie ist es für Kader unserer Partei Pflicht ihre elektronischen Daten und die Kommunikationswege zu verschlüsseln. Diese Anforderung ergibt sich auch aus datenschutzrechtlichen Anforderungen, da natürlich personenbezogene Daten von Mitgliedern und Interessenten verarbeitet werden. Um die Vertraulichkeit, Verfügbarkeit und die Integrität dieser Daten zu gewährleisten müssen entsprechende technische und organisatorische Maßnahmen umgesetzt werden. Diese orientieren sich stets an dem Schutzbedarf der Daten und einer Risikoeinschätzung und müssen dem aktuellen technischen Stand entsprechen. Unterweisungen zur Informationssicherheit und zu der Handhabung der Verschlüsselungsprogramme gehören also zum festen Schulungsturnus für Kader unserer nationalrevolutionären Partei. Auch ohne dass es eine rechtliche Anforderung für die Nutzung entsprechender Programme gibt, ist es aus eigenem Interesse sinnvoll diese einzusetzen. So stehen die IT-Schulungen auch normalen Mitgliedern und Interessenten offen, die lernen wollen ihre Daten vor unbefugten Zugriffen zu schützen.

Diese können verschiedenster Ausprägung sein. Aktuell kursieren auf der linksterroristischen Plattform „Indymedia“ die kompletten Abonnementenlisten der Zeitschrift „Hier und Jetzt“. Den kriminellen Akteuren hinter der umfassenden Offenlegung der Daten ist es gelungen den Laptop des Herausgebers der Zeitschrift in einer Bibliothek zu klauen. Die konkrete Situation des Diebstahls können wir zwar nicht bewerten, jedoch ist sicher, dass durch entsprechende Verschlüsselungssoftware und der Einrichtung einer automatischen Bildschirmsperre den linkskriminellen Tätern ein derartig umfassender Zugriff auf Kundendaten nicht möglich gewesen wäre. Auch der physische Zugriff hätte in diesem Fall, zum Beispiel durch ein Kensington-Schloss erschwert werden können.

Ebenso kam es in der Vergangenheit zu umfassenden Outing-Aktionen von Linksextremisten mit Daten, die durch Diebstähle von Mobiltelefonen möglich geworden sind. Auch hier hätte eine entsprechende Verschlüsselung des Gerätes oder der Einsatz von Apps wie dem Messenger Threema mit der entsprechenden Konfiguration den Datenzugriff durch kriminelle Dritte verhindert.

Es ist daher nicht nur für Kader, sondern für jedermann in der heutigen Zeit nahezu unabdingbar, seine elektronischen Daten und Speichermedien vollständig zu verschlüsseln, um den Zugriff Dritter zu erschweren.

Wir raten daher:

Den eigenen PC oder Laptop mittels VeraCrypt vollständig zu verschlüsseln. Die Verschlüsselung der Systempartition ist unabdingbar, da gerade die Microsoft-Betriebssysteme eine Menge Daten sammeln und auf dem Rechner in verschiedensten temporären Verzeichnissen ablegen, sodass die bloße Nutzung von verschlüsselten Containern keine Sicherheit bringt. Auch wenn es gerade bei der Benutzung des Betriebssystems Windows 10 zu Problemen mit den halbjährlich erscheindenen großen Updates kommen kann (möglicherweise muss vor der Installtion des Updates die Systempartition entschlüsselt und nach der erfolgreichen Installtion wieder verschlüsselt werden), raten wir von der Nutzung des Windows-eigenem Verschlüsselungsprogramms „Bitlocker“ dringend ab.

Externe Speichermedien (Festplatten und gerade USB-Sticks) sollten stets verschlüsselt sein. Hier bietet es sich an einen VeraCrypt Container zu erstellen (von der Vollverschlüsselung raten wir ab, da hier im Falle einer Beschädigung keine Diagnose und Reparaturprogramme genutzt werden können). Der Container sollte etwas kleiner sein als die Gesamtkapazität des Speichermediums. Am besten man lässt noch einen Bereich von 100 MB unverschlüsselt. Hier kann man die portable Version des Verschlüsselungsprogramms VeraCrypt speichern. So kann man seinen Container auch an fremden Rechnern, auf denen die Verschlüsslungssoftware nicht installiert ist problemlos öffnen. USB-Sticks sind aufgrund ihrer geringen Größe besonders gefährdet irgendwo verloren oder vergessen zu werden.
Bei der Aussonderung von Datenträgern sollte darauf geachtet werden, dass keine Daten mehr enthalten sind. Ein einfaches Löschen ist hier ungenügend, die Daten lassen sich in der Regel mit wenig Aufwand wiederherstellen. Da vermehrt sogenannte Flash-Speichermedien zum Einsatz kommen und hier bisherige Maßnahmen wie das mehrmalige Überschreiben der Daten (z.B. mit dem Programm Eraser oder CCleaner) nicht mehr funktionieren, sollten diese Datenträger vor der Entsorgung einfach komplett mit einem langen Passwort verschlüsselt werden.

Das Mobiltelefon sollte auf jeden Fall mit einem Kennwort gesperrt werden und die Vollverschlüsslung aktiviert sein. Wir raten von der Verwendung irgendwelcher Wisch-Gesten und den Fingerabdrucksensoren ab. Die Verschlüsselungsprogramme der Hersteller sind – von Ausnahmen abgesehen – zwar kein besonders guter Schutz aber besser als nichts. Daher gilt der Grundsatz: Desto weniger Daten auf dem Telefon gespeichert sind, desto besser.

Auf unsichere Messenger-Programme wie WhatsApp, Telegram und Signal sollte verzichtet werden. Wir empfehlen hier das Programm „Threema“ welches, bei diversen Tests in Punkto Sicherheit und Datenschutz stets am besten abschnitt. Der geringe Obolus der vor dem Download der App entrichtet werden muss ist somit gut investiert. Es ist besonders bei den Einstellungen darauf zu achten, dass IMMER eine Passphrase für den Schlüssel angelegt wird, das Programm beim Öffnen zusätzlich durch einen Zahlencode geschützt wird, Screenshots verhindert werden und der Speicher regelmäßig geleert wird.

Für die sichere Kommunikation per E-Mail ist in unserer Partei die Nutzung von PGP-Verschlüsslung vorgeschrieben. Nur der Absender und der/die Empfänger können die verschlüsselte E-Post entschlüsseln. Erfahrungsgemäß bereitet dieses Programm den Anwendern am Anfang immer die meisten Kopfschmerzen, bis das hinter der asymmetrischen Verschlüsselung stehende Prinzip verstanden ist.

Wichtig ist stets auch die Wahl der Kennwörter. Diese sollten so lang wie möglich (mindestens 25 Zeichen) sein, versehen mit Sonderzeichen und Groß- und Kleinschreibung. Auch ganze Wörter sollten bei Passwörtern vermieden werden.

Informationssicherheit und Datenschutz sind zum einen rechtliche Anforderungen die wir als Partei erfüllen müssen. Beide Aspekte und gerade die praktische Umsetzung sind aber gerade auch in Zeiten von Massenüberwachung und der potentiellen Bedrohung durch kriminelle Linksextremisten für alle politisch Aktiven relevant. Schützt euch. Schützt andere.





11 Kommentare

  • Die Aussage, dass Signal „unsicher“ sei, beruht auf was genau?

    Ich bin aktuell in einem Verfahren, in dem das LKA noch nicht mal versucht hat das Signal-Protokoll zu knacken, da keine Aussicht auf Erfolg besteht, so das zuständige LKA.

    Ebenso wurde seitens des LKA kein Versuch unternommen, bei Open Whisper Systems Metadaten zu erfragen, da man sich auch hier nichts erhoffte, ob der Tatsache, dass es da nichts zu holen gibt, so das zuständige LKA.

    Fischkopf 02.12.2018
    • Bei Threema muss im Gegensatz zu Signal keine Telefonnummer angegeben werden. Die Registrierung kann gänzlich ohne personenbezogene Daten auskommen. Zudem ist der Zugriff auf das Adressbuch bei Signal erforderlich, zur Verifikation von Kontakten ist ebenfalls ein Abgleich mit den Signal-Servern erforderlich. (siehe auch: https://www.securemessagingapps.com/ ) Bei Threema ist dies beides nicht der Fall. Aus Datenschutzgründen ist dies nicht ganz unrelevant wenn man sich als Partei an geltende Vorgaben halten muss.
      Der Anbieter von Signal (Open Whispers System (USA)) hat zudem keine deutsche Datenschutzerklärung veröffentlicht und in der Englischen wird sich das Recht eingegräumt sich unter bestimmten Voraussetzungen, insbesondere im Zusammenhang mit vollstreckbaren Regierungsanfragen, Nutzerdaten mit Dritten zu teilen. Die beteiligten Personen der Firma sind zudem eher im linken Fahrwasser zu verorten, was der Sicherheit der angewandten Verschlüsselungstechnik zwar nicht abträglich sein muss aber auch nicht gerade vertrauensfördernd ist.

      Unter diesen Gesichtspunkten ist es objektiv als „unsicherer“ als Threema einzustufen, sowohl was die IT-Sicherheit wie auch die rechtskonforme Anwendung mit einbezieht.

      Klar sollte allerdings sein, dass Threema ist nicht das Allheilmittel ist und es bezüglich der IT gibt es nie 100%ige-Sicherheit geben wird. Unter den aktuellen Gesichtspunkten scheint es uns aber die beste Wahl.

      App-06 02.12.2018
      • Anfragen von staatlichen Stellen beantworten auch die bekannten und bewährten VPN-Anbieter. Die Frage ist doch, was die Antwort enthält oder überhaupt enthalten kann.

        Dass Signal keine Datenschutzerklärung in deutscher Sprache veröffentlicht hat, ist völlig irrelevant. Ich könnte jetzt irgendeinen Murks programmieren, eine deutschsprachige und DSGVO-kongorme Erklärung posten und ein beliebiges Gütesiegel einbauen. Macht meinen Murks aber auch nicht besser.

        Und bei Signal sind natürlich Leute bei, die man als Links bezeichen kann. „Mathematik kennt keine Politik“ sagte mal wer. Ist hier nicht anders. Der Quellcode ist frei verfügbar. Ein nebulöses „Anti-Nazi“-Script gibt’s da nicht. Dieser Logik folgend müsste man von Linux, Firefox, Omemo, OTR usw. die Finger lassen. Ein Blick auf die Entwickler…

        Ehrlich Leute, wer Quellcodes politisch betrachtet, sollte vielleicht besser zu Feder und Papier greifen.

        Ansonsten noch zum Thema

        https://signal.org/legal/
        https://signal.org/blog/sealed-sender/

        Fischkopf 03.12.2018
        • „Die Frage ist doch, was die Antwort enthält oder überhaupt enthalten kann.“ Bei Signal offenbar mehr Informationen als bei Threema.

          Die Datenschutzerklärung ist natürlich aus Haftungsgründen nicht unerheblich. Wenn schon diese Erklärung gegen rechtliche Vorrausetzungen (bzw. deren derzeitigen Auslegungen durch die zuständigen Behörden) hierzulande verstößt, dann ist das schon ein Grund diese Software nicht innerhalb der Strukturen zu empfehlen.

          Es wurde auch nirgends geschrieben, dass der Quellcode politisch betrachtet wird, sondern dass die offensichtliche politische Verortung der Entwickler kein zusätzliches Vertrauen schafft und dies eben ein weiterer Punkt – neben den bereits dargelegten – ist.

          Es zwingt Dich ja keiner diese Meinung zu übernehmen. Du wirst auch selber keine Verantwortliche Stelle sein, welche u.a. die Vorgaben des BDSG(neu) umsetzen muss.

          App-06 05.12.2018
  • Was soll denn an Signal auszusetzen sein? Threema läuft über unbekannte Server in der Schweiz. Dieselbe Schweiz die bald die Vorratsdatenspeicherung einführt.

    Carlos 01.12.2018
    • Lieber unbekannte Server in der Schweiz, mit oder ohne Vorratsdatenspeicherung, als Signal-Server in den USA (aufgrund des Patriot oder Cloud-Act ist es für US-Gerichte völlig wurscht wo die Server stehen). Zumal bei Signal mehr Metadaten (und auch nicht alles „gehasht“) gespeichert werden als bei Threema.
      Rest siehe Kommentar oben.

      App-06 02.12.2018
      • Stopp mal. Wenn Signal selbst keinen Zugriff auf die Nachrichten hat, da EzE-verschlüsselt, ist es irrelevat ob die Server in den USA stehen oder in Deutschland.

        Das ist wie bei einem VPN-Anbieter der nichts speichert und dessen Server aus RAMDiscs heraus laufen. Da ist es total latte wo der Server steht.

        Fischkopf 03.12.2018
        • Metadaten werden hier trotzdem mehr an als bei Threema gespeichert und es wird eben auch nicht alles gehasht, Zugriff auf diese Daten ist also für Signal und Ermittlungsbehörden theoretisch schon gegeben.

          Der Standort der Server ist auch irrelevant wenn es ein US-Unternehmen ist.

          App-06 03.12.2018
          • Zu den Metadaten in Signal:

            „You may optionally add other information to your account, such as a profile name and profile picture. This information is end-to-end encrypted.“

            Quelle

            https://signal.org/legal/

            Ich könnte jetzt noch mehr zitieren. Ich verzichte drauf. Nicht mein Job. Ist ja frei im Netz verfügbar.

            Und dass, wie hier angedeutet, alle Unternehmen aus den USA irgendwie böse sind / sein müssen: Inbesondere im technischen Bereich kann (politischer/weltanschaulicher) Dogmatismus böse enden…

            Fischkopf 04.12.2018
          • Unter https://www.securemessagingapps.com/ findet sich eine ganz gute Zusammenfassung.

            Der Vorbehalt bezüglich US-Unternehmen ist auch nicht aus dogmatischen Gründen, sondern aus rechtlichen.

            App-06 05.12.2018
  • Telegram: Messengerdienst kooperiert mit Ermittlungsbehörden

    https://tarnkappe.info/telegram-messengerdienst-kooperiert-mit-ermittlungsbehoerden/

    Telegram liefert IP-Adressen und Telefonnummern an Sicherheitsbehörden

    https://steigerlegal.ch/2018/09/11/telegram-datenschutzerklaerung/

    Qwertz 01.12.2018