blog@netplanet

Ein paar Gedanken dazu:

• Scheckkartengröße
  Eine sehr sinnvolle Angelegenheit, denn in vielen Geldbörsen und Brieftaschen ist der Personalausweis inzwischen der einzige, wirklich große Lappen geblieben. Von der Änderung dieses Formfaktors hat dann vermutlich auch gleich die Lederindustrie einen Vorteil…
• Integrierte Digitale Signatur
  Auch sehr sinnvoll, denn an sich ist der Personalausweis schon von Hause aus eine Art Signatur. Die Digitale Signatur mit dem Personalausweis zu verheiraten, ist das Logischste, was passieren kann. Niemand besser als eine ausweisausgebende Behörde kann meine Legitimation besser nachweisen (zumindest rein rechtlich betrachtet).
• Integrierte biometrische Daten
  Neben dem Passfoto sollen digitalisierte Fingerabdrücke der beiden Zeigefinger integriert werden. Das läßt sich vermutlich im Paranoiawahn eines Bundesinnenministers kaum verhindern, wobei hier unbedingt die Frage geklärt muss, was mit den Fingerabdrücken geschieht. Wenn sie rein auf der Karte bleiben und die Abbilder nach der Produktion der Karte beim Kartenhersteller bzw. bei der Behörde gelöscht werden, ließe sich darüber diskutieren, denn letztendlich ist es mit dem Passfoto ja nicht anders. Zentrale Datensammlung ist jedoch inakzeptabel.
• Integrierte RFID zum Speichern der Fingerabdrücke
  Das wiederum ist ein absolutes K.O.-Instrument. Die RFID ermöglicht kontaktfreies Auslesen des Inhaltes und die kryptografische Verschlüsselung ist, wie in vielen Fällen bereits beim Reisepass nachgewiesen, mehr als mangelhaft. Da der Personalausweis in den meisten Fällen das Ausweispapier ist, mit dem sich ein Mensch ausweist, ist er praktisch überall dabei und das Auslesen der Inhalte ist weitgehend unkontrollierbar. Unbemerkbaren Ausweiskontrollen wäre Tür und Tor geöffnet, das transparente Handeln des Staates wäre extrem erschüttert. Wobei auch hier der Dumme der brave Staatsbürger ist. Der Terrorist von Welt ist einfach kein Deutscher oder wickelt seinen RFID-verunstalteten Personalausweis einfach in ein paar Lagen Alufolie.

Hatten wir es nicht vor ein paar Tagen noch davon, dass es etwas abstrus klingt, Informationen auf Speicherkarten zu schmuggeln, die hinter Geldmünzen versteckt werden? Nun, so schnell kann es gehen, denn offenbar spähen US-Behörden beim Grenzeintritt und bei einer genaueren Durchsuchung unter anderem die Reiselektüre von Touristen aus und speisen all diese Informationen in Anti-Terror-Datenbanken ein. Es kann also durchaus sinnvoll sein, bei der Einreise in die USA die Anleitung für den Bau einer Atombombe nicht gerade in der gedruckten Fassung im Handgepäck dabeizuhaben, sondern vielleicht eben doch auf einer Speicherkarte, die hinter einer Fassade von Geldmünzen geklebt ist und im Geldbeutel liegt.

Vergleicht die Paranoia der Amerikaner eigentlich noch jemand mit Orwells 1984? Braucht man eigentlich nicht, denn das ist bereits Orwells 1984 in Reinform.

Ursächliches Problem

Das ursächliche Problem, weshalb Onlinedurchsuchungen gefordert werden, ist relativ simpel. Kommunikation, die mit einer starken Verschlüsselung gesichert ist, läßt sich “unterwegs” nicht öffnen oder zumindest nicht in einer reellen Zeit. Will man also verschlüsselte Kommunikation mithören, bleibt nicht viel mehr übrig, als dies vor der Verschlüsselung oder nach der Entschlüsselung zu tun. Das ist bei einer vernünftigen Ende-zu-Ende-Verschlüsselung der Rechner des Absenders oder des Empfängers, oder im Fachjargon eine Man-in-the-Middle-Attacke.

Abhören? Oder durchsuchen? Oder abhören und durchsuchen?

Hier beginnen schon die Definitionen aus der “alten Welt” zu kranken. Was ist eine Onlinedurchsuchung eigentlich? Eine Abhöraktion? Das wäre einleuchtend, denn es geht darum, Kommunikationswege nachzuvollziehen und ggf. verschlüsselte Kommunikation mitlesen zu können. Doch der Weg zur Durchsuchung ist nicht weit, denn eine Software, die eine Man-in-the-Middle-Attacke durchführen soll, muss inmitten des Kommunikationsweges eingesetzt und damit auf den betreffenden Rechnern unmittelbar vor bzw. hinter der Verschlüsselung positioniert werden. Will man nähere Informationen zur Verschlüsselung erfahren, muss die Festplatte durchsucht werden. Das Kernproblem ist jedoch, dass eine Onlinedurchsuchung in der Regel heimlich erfolgt und damit ein Grundsatz des Rechtsstaates wegfällt, nämlich die Transparenz staatlichen Handelns.

Der Status der Festplatte

Hier stellt sich die Frage: Was ist die Festplatte? Absolute Privatsphäre, die bei einer Abhöraktion nicht angetastet werden darf? Dann ist eine Onlinedurchsuchung von vorneherein weitgehend unbrauchbar. Oder soll eine Onlinedurchsuchung auch den Status einer Festplatte insofern aushebeln, dass darauf zugegriffen werden darf? Diese Frage ist schon allein dadurch zu klären, dass eine Software zum Abhören im Idealfall auf eben dieser Festplatte des Rechners installiert werden muss. Das tangiert dann gleich eine ganze Menge von Gesetzen und hebelt diese aus, beispielsweise das Verbot von Datensabotage und vieles mehr.

Willkürlichkeit

Bei der ganzen Aktion stellt sich die Frage, ob das nicht alles willkürlich ist und ob Onlinedurchsuchungen generell überhaupt Sinn machen. Das fängt schon an mit Rechnern, die nicht so ohne weiteres zugänglich sind und geht hin bis zu Systemen, die das Installieren von “serienmäßigen” Anwendungen wie dem viel gescholtenen “Bundestrojaner”, der suggerieren soll, dass er eine serienmäßige Anwendung sei), weitgehend unmöglich machen. Zudem steht auch im Raum, dass es selbst für Nicht-Fachleuten relativ einfach ist, beispielsweise Nachrichten auf einem nicht online angebundenen Rechner oder gar Taschencomputer zu schreiben, sie dort zu verschlüsseln, das Kryptogramm auf eine Speicherkarte zu laden und auf diese Weise sicher in das absendende System zu übernehmen. Damit entstünde die Frage, ob Onlinedurchsuchungen überhaupt wirksam sind, tatsächlich Verbrechen im frühen Stadium zu bekämpfen.

Die allgemeine Diskussion über Onlinedurchsuchungen

Keine Frage ist jedoch, dass die öffentliche Diskussion über Onlinedurchsuchungen inzwischen völlig aus dem Rahmen gefallen ist - nicht zuletzt durch die oft genug unqualifizierten Aussagen des Bundesinnenministers Wolfgang Schäuble selbst, bei dem es bei Nachfrage schon am Wissen mangelte, was ein Trojaner eigentlich ist. Sicherlich muss ein Bundesinnenminister nicht alles auf dieser Welt wissen (selbst wenn er vorgibt, Dinge zu wissen, die andere nicht wissen), sicherlich ist es auch in Ordnung, dass nicht er der Forcierer von Onlinedurchsuchungen ist, sondern bestimmte Referate seines Ministeriums und mit Sicherheit werden wir uns zwangsläufig darüber Gedanken machen müssen, wie wir mit verschlüsselten Nachrichten umgehen - allerdings muss das alles sachlich gehen. Ohne Drohungen, ohne ständige Versuche, die Sicherheitslage völlig madig zu reden und ohne hanebüchenen Taktierereien, schrittweise Dinge über Hintertüren und in Trippelschritten einzuführen.

Ich glaube, bei den Jungs von Alexa, dem Webstatistiker aus dem Hause Amazon.com, pfeift es gehörig zwischen den Ohren. Versenden die Brüder doch tatsächlich einen Newsletter, in dem sie auf ein neues Add-On für Mozilla-Browser verweisen und auch tatsächlich auf die Add-On-Site von Mozilla verlinken, mit der Absenderadresse “alexatoolbar123@web.de”. Sehr vertrauenswürdig.

Da erzählt man den Leuten jahrelang, sie sollen vorsichtig mit E-Mail sein und so misstrauisch wie möglich sein beim Empfang von offiziell aussehenden E-Mails und dann spaziert ein an sich nun wirklich nicht mehr sehr junger Laden wie Alexa daher und baut einen solchen Mist. So nicht, Folks.

Ich habe mir schon fast gedacht, dass hinter der vermeintlich generösen Aktion diverser Online-Musikhändler, ihr Sortiment zukünftig DRM-frei anzubieten, ein Haken fest verankert sein wird. Dieser Haken ist wohl laut dem Wired-Blog nun bekannt geworden, Universal Music lässt Musikstücke aus eigenem Hause mit einem digitalen Wasserzeichen versehen, das in den Audiostrom unhörbar integriert wird.

Zwar schickte Universal Music eilig hinterher, dass man das nur zu Beobachtungs- und Statistikzwecke tut, aber auch wenn das so wäre - es zeigt sich sehr eindrucksvoll, wohin die Strategie führt: Anstatt Musik mehr oder weniger sinnvoll mit einem Kopierschutz zu versehen, wird Musik einfach mit einem eindeutigen Wasserzeichen versehen und beim Auffinden von offenbar unlizensierter Musik wird anhand des Wasserzeichens nachverfolgt, wer die Musik ursprünglich öffentlich in Umlauf gebracht hat.

Und die arme Sau, dessen iPod geklaut wird und dessen Inhalt dann möglicherweise den Weg in eine Tauschbörse findet, hat dann ganz schlechte Karten, denn weisen Sie mal im Zweifelsfalle nach, dass Ihr iPod geklaut wurde und nicht doch möglicherweise nie existierte oder gar die Musik ursprünglich mit Ihrer geklauten Identität eingekauft wurde.

Wir haben nun KeePass und TrueCrypt soweit auf der Speicherkarte am Laufen, haben jedoch nur noch das Problem, dass der Komfort etwas leidet. Richtig Sinn macht das alles nämlich nur, wenn sowohl die Passwortrecherche, als auch der Zugriff auf den verschlüsselten Datenspeicher möglichst schnell vonstatten geht.

Aus diesem Grund habe ich mir auf meiner Speicherkarte noch ein Verzeichnis angelegt, in dem ich nur Verknüpfungen auf die Programme abgelegt habe und die per Mausklick alle erforderlichen Dinge tun. Im Falle von KeePass ist das ganz einfach, den KeePass speichert in seiner Konfigurationsdatei (liegt im KeePass-Programmordner) die letzte Passwortdatei, auf die es in der letzten Sitzung zugegriffen hat. Im Idealfall ist also mit dem Aufruf der Verknüpfung sofort die Passwortabfrage für den verschlüsselten Datenspeicher da. Ansonsten kann in KeePass auch recht einfach die Passwortdatei ausgewählt werden, die Endung einer KeePass-Passwortdatei lautet “kdb”. Optional kann in KeePass in den Optionen auch die Verknüpfung für kdb-Dateien mit KeePass registriert werden, dann genügt ein einfacher Doppelklick auf die Passwortdatei, um diese mit KeePass zu öffnen. Das ist aber unter Umständen bei bestimmten Benutzerkonstellationen nicht möglich oder auch nicht gewünscht.

Bei TrueCrypt ist es ein kleinwenig komplexer; es sind zwei Verknüpfungen notwendig. Die eine Verknüpfung öffnet (mounten) einen verschlüsselten Datenspeicher, die andere schließt (demounten) ihn wieder. Zwei Dinge müssen wir bei beiden Verknüpfungen bearbeiten: Das Verzeichnis, in dem die Verknüpfung ausgeführt wird (normalerweise ist das nämlich immer das Verzeichnis, in dem sich das Programm befindet) und den Aufruf des Programms, da wir noch einige Parameter übergeben müssen. Beide Einstellungen ändern Sie in den Eigenschaften der Verknüpfung.

Das Verzeichnis, in dem TrueCrypt ausgeführt werden soll, sollte das sein, in dem sich der verschlüsselte Dateicontainer befindet. Hätte ihre Speicherkarte beispielsweise den Laufwerksbuchstaben “K:” und hieße das Verzeichnis, in dem sich der verschlüsselte Dateicontainer befindet, “krypto”, würde im Feld “Ausführen in:” der Verknüpfungseigenschaften genau “K:\krypto” eingetragen werden.

Die Zeile “Ziel” in den Verknüpfungseigenschaften müssen wir als nächstes auch noch anpassen. Hier befindet sich das aufzurufende Programm und hier müssen noch einige Parameter hinzugefügt werden:

M:\SOFTWARE\TRUECRYPT\TrueCrypt.exe /v dateicontainer /ls /q /f /e
Aufruf für das Mounten (den Eintrag “dateicontainer” gegen den Namen Ihres verschlüsselten Dateicontainers austauschen)

M:\SOFTWARE\TRUECRYPT\TrueCrypt.exe /d /q
Aufruf für das Demounten

Und nun wird das Ding nämlich sehr komfortabel: Nach einem Klick auf die erste Verknüpfung wird TrueCrypt automatisch mit dem Aufruf Ihres angegebenen, verschlüsselten Dateicontainers gestartet und fordert Sie nur noch zur Passworteingabe für den Zugriff auf. Wenn Sie das korrekt eingeben, wird automatisch Ihr Dateicontainer gestartet, der ursprünglich vergeben Laufwerksbuchstabe gemountet und schon ist der Inhalt des Dateicontainers verfügbar. Der Aufruf der zweiten Verknüpfung demountet den Dateicontainer sofort wieder.

Einen sicheren Passwortspeicher haben wir nun, kommen wir zum nächsten Punkt: Einen verschlüsselten Dateicontainer. Vorzustellen hat man sich das als ein virtuelles Laufwerk, das ganz normale Verzeichnisse und Dateien enthält. Dieses Laufwerk ist jedoch keine echte Festplatte oder ein Wechselmedium, sondern der Inhalt ist verschlüsselt in einer eigenen Datei gespeichert. Für das Betriebssystem ist dieses Laufwerk jedoch transparent. Das ist nicht unwichtig, denn diese Universalität ist der Garant dafür, dass alle Programme, die mit Laufwerken arbeiten können, eben auch mit diesem virtuellen Laufwerk arbeiten können.

Für diese Aufgabe verwende ich ein Programm namens TrueCrypt. Das ist ebenfalls Open Source, verwendet starke Verschlüsselung und ist mit 672 Kilobyte ebenfalls ein Leichtgewicht. Dazu gerechnet werden muss noch etwas 200 Kilobyte für eine Systemdatei, dennoch ist alles in allem weniger als ein Megabyte groß. Herunterladen können Sie TrueCrypt aus dem Downloadbereich als ZIP-Datei und auch für TrueCrypt gibt es Linux-Versionen, wobei wir uns hier wieder auf die Windows-Version beschränken. Laden Sie also die ZIP-Datei für Windows herunter.

Erstellen Sie nun im Programmverzeichnis Ihrer Speicherkarte ein neues Verzeichnis und kopieren Sie aus der ZIP-Datei alle Dateien, die sich im Setup-Ordner innerhalb der ZIP-Datei befinden, direkt hier hinein. Sie müssen ausdrücklich nicht die Installationsdatei starten, die sich ebenfalls in der ZIP-Datei befindet, da wir TrueCrypt ja nicht auf Ihrem System installieren wollen, sondern von der Speicherkarte aus aufrufen möchten. Zusätzlich können Sie jetzt auch noch die deutsche Übersetzung von der Übersetzungsseite herunterladen. Die kommt ebenfalls in einer ZIP-Datei daher, entpacken Sie hierbei lediglich die Datei “language.xx.xml” in das TrueCrypt-Programmverzeichnis.

Um TrueCrypt zu starten, rufen Sie direkt aus dem Programmverzeichnis auf der Speicherkarte die Datei truecrypt.exe auf. Als erstes wollen wir den zukünftigen Dateicontainer erstellen, klicken Sie deshalb zunächst auf den Button “Volume erstellen”. Es startet ein Assistent. Auf der ersten Seite wählen Sie “Normales TrueCrypt-Volume erstellen”. Das erzeugt eine sichtbare Datei, während die zweite Option neben einer sichtbaren Datei noch eine zweite, verdeckte erzeugt. Wir bleiben jedoch an dieser Stelle bei einem sichtbaren Dateicontainer. Wählen Sie deshalb “Weiter”.

Auf der zweiten Seite geben Sie nun den Speicherort des Dateicontainers an. Das sollte das entsprechende Verzeichnis auf Ihrer Speicherkarte sein. Geben Sie dann hier noch den Dateinamen des Containers an. Mit dem Button “Datenträger” können Sie auch ein gesamtes Laufwerk zum Verschlüsseln auswählen, seien Sie jedoch VORSICHTIG, denn dies würde zunächst bedeuten, dass der Inhalt des entsprechenden Laufwerks unwiderruflich gelöscht wird. Wir bleiben an dieser Stelle jedoch bei “Datei” und erzeugen einen Dateicontainer. Wählen Sie “Weiter”.

Auf der nächsten Seite wählen Sie nun die Verschlüsselung aus, voreingestellt ist als Verschlüsselungsalgorithmus AES und als Hash-Algorithmus RIPEMD-160. Dies können Sie beides so belassen, beide Algorithmen bieten genügende Sicherheit. Klicken Sie auf “Weiter”.

Auf der nächsten Seite geben Sie die Größe des Dateicontainers an. Hier sollten Sie berücksichtigen, dass je größer der Dateicontainer ist, desto länger auch der Zugriff dauert. Übertreiben Sie es deshalb an dieser Stelle nicht, sondern beginnen Sie mit einer Größe von 5 oder 10 Megabyte. Sie können zwar die Größe des Dateicontainers später nicht mehr verändern, Sie können jedoch problemlos später bei Bedarf einen neuen, größeren Dateicontainer erstellen und eventuell bereits vorhandene Dateien entsprechend umkopieren. Wenn Sie die Größe festgelegt haben, klicken Sie auch hier auf “Weiter”.

Die nächste Seite ist dem Passwort des Dateicontainers gewidmet. Seien Sie bitte auch hier kreativ, denn das ist Ihr späterer Zentralschlüssel zum Dateicontainer und der sollte entsprechend komplex sein. Nach einem weiteren Klick auf “Weiter” kommen Sie nun in den “heiligen” Bereich des Erstellens und Formatierens des Dateicontainers. Ein Klick auf “Formatieren” erzeugt ihn. Sie erhalten danach eine Nachricht, wenn der Dateicontainer erfolgreich erstellt wurde und Sie können den Assistenten über “Abbrechen verlassen.

Um nun den Dateicontainer aufzurufen, starten Sie wieder die truecrypt.exe und wählen zunächst einen Laufwerksbuchstaben aus. Keine Sorge, es werden in der Auflistung nur die freien Buchstaben angezeigt, Sie können hier also wenig falsch machen. Danach wählen Sie weiter unten im Kasten “Volume” den Button “Datei” und suchen den frisch erstellten Dateicontainer aus. Ein Klick auf “Einbinden” öffnet das Fenster für die Passworteingabe. Und wenn Sie hier erfolgreich Ihr oben erstelltes Passwort eingeben, haben Sie auf Ihrem System nun ein neues Laufwerk, dessen Inhalt verschlüsselt in dem erstellten Dateicontainer liegt. Alle Dateien, die Sie hier hinein speichern, werden entsprechend mit AES verschlüsselt.

Das funktioniert nun zwar alles problemlos, im nächsten Teil werden wir jedoch etwas Komfort dazupacken, um den Dateicontainer mit einem Klick aufzurufen bzw. abzumelden.

Ach, das waren noch Zeiten, in denen man ein Bild fotografieren oder eine Szene filmen konnte und man nachträglich nicht genau feststellen konnte, wem die Kamera letztendlich gehörte. Heute enthält jedes digitale Bild sie so genannten EXIF-Erweiterungen mit allerlei unwichtigen Dingen wie Blendenöffnungen und Brennweitenangaben, die vielleicht für eine Spiegelreflexkamera interessant sind, für Onkel Heinis verruckelte Hochzeitsbilder aber überhaupt nicht. Nebenbei steht auch noch in diesen Daten das Kameramodell und die Seriennummer.

Die Firma Canon hat nun verkündet, dass sie glaubt, den Besitzer der Kamera ermitteln zu können, mit der das neue Harry-Potter-Buch angeblich abfotografiert worden wäre. Da die Kamera schon etwas älter sei und es wahrscheinlich ist, dass so eine Kamera irgendwann in der Reparatur landet (bei der sowohl Seriennummer als auch Besitzer verbunden werden können), ist die Ermittlung tatsächlich kein wirkliches Problem - wenn auch eine Schweinerei und das Ergebnis unserer Dummheit als Konsumenten. Etwas verdeckter geht das mit Farblaserdruckern, die gelbe Punkte drucken und gebrannten CDs, die immer auch die Seriennummer des CD-Brenners enthalten, mit dem sie gebrannt wurden.

Und wenn morgen die Polizei bei Ihnen im Büro steht und Sie verhaftet, weil mit ihrer auf dem Flohmarkt verkauften Kamera später kinderpornografische Fotos gemacht und auf Ihrem ehemaligen CD-Brenner vervielfältigt wurde, dürfen Sie sich wieder an Ihre alte Diasammlung zurückerinnern und können sich die Stasi-2.0-Banner sparen. Denn an Stasi 1,5 haben wir alle genügend selbst Schuld.

Fangen wir gleich mit einem weit verbreiteten Problem an, nämlich dem Vorhalten von Passwörtern und Login-Daten. Im Laufe der Zeit sammelt sich eine gewaltige Zahl von solchen sicher zu haltenden Informationen an und es gibt leider viele schlechte Wege, sich dem Problem zu stellen. Das fängt an mit immer gleich lautenden Passwörtern, die auf den Namen von Omi, Opi, Haustier, Automarke oder Augenfarbe aufbauen und endet mit Passwörtern, die so kurz sind, dass man sie aushusten kann. Die andere Alternative ist, all diese Daten einfach im Browser zu speichern. Dann können Sie diese Daten aber auch gleich auf ein Laken malen und das zum Fenster heraushängen.

Mein Lösungsvorschlag: Ein Programm namens KeePass. Das ist Open Source, mit 670 Kilobyte der Windows-Version angenehm klein und funktioniert angenehmerweise auch ohne Installationsprogramm. Genau darauf haben wir es ja auch abgesehen, denn wir installieren das Programm nicht auf den Rechner, sondern legen es in die Speicherkarte ab. Im KeePass-Downloadbereich können Sie in der Box “Portable” die Version “KeePass (ZIP Package)” herunterladen, die KeePass eben in einer solchen ZIP-Datei enthält. Sie finden im Downloadbereich übrigens KeePass-Versionen auch für andere Betriebssysteme und vor allem für Windows Mobile, die eine vorhandene KeePass-Passwortdatei problemlos öffnen können. Das gibt dann die bestechend tolle Möglichkeit, dass Sie Ihre Passwortdatei zum Beispiel auch an Ihrem PDA öffnen können und damit in der Lage sind, wirklich überall auf all Ihre gesammelten Passwörter zugreifen zu können.

Sie rufen jetzt über den Arbeitsplatz das Laufwerk aus, das Ihre Speicherkarte repräsentiert, gehen in das angelegte Verzeichnis für die Programmdateien hinein, legen dort ein neues Verzeichnis namens “KeePass” an und kopieren den Inhalt der ZIP-Datei dort hinein. Wichtig ist letztendlich eigentlich nur die keepass.exe, der Rest schadet jedoch nicht. Da KeePass trotz des deutschen Programmierers auf Englisch daherkommt, können Sie noch eine entsprechende Übersetzungsdatei herunterladen. Die so heruntergeladene ZIP-Datei enthält eine Datei mit der Endung “lng”, die Sie einfach in das KeePass-Programmverzeichnis kopieren. Fertig.

Wenn Sie nun KeePass von Ihrer Speicherkarte aus starten, wird es als erstes erkennen, dass es keine Konfigurationsdatei hat und deshalb eine neue anlegt, angenehmerweise gleich in seinem eigenen Verzeichnis. Da Sie bei einem erstmaligen Aufruf natürlich vorher auch noch keine Passwortdatei aufgerufen haben, wollen Sie eine neue anlegen und klicken deshalb in der Symbolleiste auf das “Neu”-Symbol ganz links. Diese Passwortdatei legen Sie auf Ihrer Speicherkarte in dem Verzeichnis ab, das Sie für Ihre verschlüsselten Datencontainer vorgesehen haben. Zudem müssen Sie Ihrer Passwortdatei ein Passwort vergeben. Seien Sie an dieser Stelle ausnahmsweise kreativ und knallhart individuell.

Zusätzlich gibt es neben der Absicherung mit einem Passwort auch die Möglichkeit, zusätzlich eine Schlüsseldatei zu verwenden. Darauf verzichte ich persönlich, weil diese Idee darauf abzielt, dass diese Schlüsseldatei auf einem Wechselmedium liegt, während die Passwortdatei auf der Festplatte lagert. Unser Szenario ist jedoch so, dass schon die Passwortdatei auf einem Wechselmedium daherkommt. Da Sie sicherlich nicht unbedingt gern zwei Speicherkarten mit sich herumtragen möchten, können Sie es bei einem Passwort belassen. Auch deshalb meine dringende Bitte, sich ein kreatives Passwort auszudenken.

Die Bedienung von KeePass ist angenehm einfach und schnell zu durchschauen. Sie können einen Eintrag für jedes Ihrer Login-Daten bzw. Passwörter anlegen und diese auch in eigene Gruppen und Untergruppen organisieren, was dringend zu empfehlen ist.

Sehr angenehm ist das Kopieren von Benutzerdaten temporär in die Zwischenablage. Sie klicken einmal auf einen Passworteintrag in KeePass, drücken auf Ihrer Tastatur Steuerung + B und haben nun den Login-Namen des Eintrages für voreingestellte 10 Sekunden in der Zwischenablage. Das Gleiche passiert mit dem Passwort nach der Eingabe von Steuerung + C; nach zehn Sekunden löscht KeePass automatisch wieder den Inhalt der Zwischenablage und macht die Passwortverwaltung auf diese Weise wirklich universell.

Mit in KeePass eingebaut ist ein ausgefeilter Passwortgenerator, den Sie in jedem Eintrag direkt aufrufen können, dazu dient der Button namens “Gen” direkt rechts neben dem Passwortfeld. Und jetzt wird es extrem elegant. Sie können nämlich durch den Passwortgenerator in KeePass ein Passwort nach bestimmten Kriterien (Zahlen, Buchstaben, Gross- und Kleinschreibung etc.) und Längen generieren und im Eintrag abspeichern. Da es standardmäßig nicht angezeigt wird, erzeugen Sie also ein Passwort, ohne dass Sie es selbst sehen. Mit der Zwischenablagenfunktion können Sie dieses Passwort dann auch in Ihren Browser und dort in die Login-Verwaltung Ihrer Anwendung kopieren dort als Passwort abspeichern. Niemand wird Sie später nach Ihrem Passwort fragen können, da Sie es zwar selbst erzeugt und auch in Ihrer Passwortverwaltung stehen haben, es defacto aber nicht aufsagen können, da Sie es niemals im Klartext auf Ihrem Bildschirm gesehen haben.

Experimentieren Sie mit KeePass, es schlummern interessante Funktionen darin und die Nutzung geht einem im Laufe der Zeit wirklich einfach über die Finger. Seien Sie sich jedoch über einem Punkt im Klaren: Sichern Sie Ihre Passwortdatei regelmäßig und behalten Sie sich vor allem das Passwort Ihrer Passwortdatei im Kopf. Ohne dieses Passwort sind alle Ihre abgelegten Passwörter unerreichbar. Genauso gilt es, immer ordentlich KeePass zu beenden und einige Sekunden zu warten, bevor Sie Ihre Speicherkarte abziehen, damit die Passwortdatei vollständig geschrieben werden kann. Eine korrumpierte Passwortdatei ist nicht mehr wiederherzustellen.

Nachdem wir nun im Teil 1 eine funktionierende, formatierte, mit einem Laufwerksbuchstaben versehene Speicherkarte inklusive einem Kartenlesegerät haben, sollten wir uns Gedanken machen, wie wir nun Datenstrukturen anlegen. Vor allem müssen wir uns im Klaren darüber sein, dass die Speicherkarte ein normales Filesystem hat, also keine Verschlüsselung von Hause aus liefert.

Wir nutzen deshalb für die Ablage von zu verschlüsselnden Daten Verschlüsselungsprogramme, die ihrerseits die Daten in eigene Datencontainer ablegen, die dann verschlüsselt werden. Diese Datencontainer finden dann ihren Platz auf der Speicherkarte und sind dann, entsprechend stabiles Passwort vorausgesetzt, so weit sicher auch dann, wenn die Speicherkarte in unbefugte Hände gerät.

Neben der klassischen Kryptografie gibt es noch die Wissenschaft der Steganografie (siehe hier auch meine Einführung in die Kryptografie) , also die Idee des Versteckens von Information. Das mag jeder handhaben, wie er möchte, ich verzichte bei schon verschlüsselten Dateien darauf. Noch ist unser Staat nicht so weit, dass wir unsere verschlüsselten Informationen auch verstecken müssen und ich halte es an dieser Stelle gern transparent. Sprich: Meine verschlüsselten Datencontainer kann jeder sehen und auch entsprechend erkennen.

Der zweite, wichtige Punkt ist die Frage, was wir eigentlich verschlüsselt ablegen möchten. Bei mir ist es zum einen eine Verwaltung für meine gesamten, gesammelten Passwörter und Login-Daten, die sich inzwischen auf mehrere Hundert angesammelt haben. Zum anderen ist es einfach eine Möglichkeit, eine normale Verzeichnisstruktur zu haben, die komplett verschlüsselt werden kann. Für beide Dinge gibt es (zumindest für Windows, was an dieser Stelle die Zielgruppe ist) adäquate Open-Source-Software, die in den nächsten Teilen vorgestellt werden.

Ein wichtiger Punkt ist jedoch bei allen beiden Programmen noch wichtig, wenn wir schon bei Datenstrukturen sind: Die Programmdateien gehören, wenn man es schon mal richtig machen möchte, ebenfalls auf die Speicherkarte. Niemand kann garantieren, dass ein aufgerufenes Programm auf einem Rechner tatsächlich auch seit Ihrem letzten Besuch unverändert das gleiche geblieben ist und deshalb sollten Sie Ihre Programme “mitbringen”. Das ist bei beiden, von mir noch vorzustellenden Programmen der Fall.

Um also nochmal zu den Datenstrukturen zurückzukommen: Wir haben also nun zwei Verzeichnisse auf unserer Speicherkarte. Ein Verzeichnis für die späteren, verschlüsselten Datencontainer und ein Verzeichnis für die Programmdateien, die mit den Datencontainern agieren. Das Verzeichnis für die Programmdateien können Sie gern nach der Installation der Programme sicherheitshalber schreibschützen.

Ende der Durchsage Teil 2.