Der Staat schnüffelt in deinen Daten? Weil du sie nicht schützt!

Ein offensiver Titel, ich weiß. Und natürlich ist das auch nur die halbe Wahrheit, denn man kann nicht alle Daten schützen, ohne zumindest ein Teil dieser Daten auch zu kommunizieren. Wer niemals spricht, wird auch nicht gehört, aber gelegentlich muss man eben sprechen.

Datensicherheit fängt jedoch immer hinten an, niemals vorn. Daten zu sichern ist keine Eintagsgeschichte und das gilt für Unternehmen genauso, wie für Privatmenschen. Wenn mir ein Privatmensch sagt, er habe keine zu sichernden Daten, dann ist das glatt gelogen, denn wenn ich in meine Passwortverwaltung schaue, finde ich da weit über 200 zu sichernde Passwörter für verschiedene Logins. Das fängt von Karten-PINs an, geht über Facebook & Co. bis hin zu Logins für so exotischere Dienste wie die Packstation oder das Passwort für die Gastherme im Haus. Alles Dienste und Gerätschaften, die Passwörter brauchen und Sicherheit fängt damit an, dass man niemals immer das gleiche Passwort verwendet.

Sicherheit ist eine unglaubliche Schweinearbeit, das stimmt. Ich kenne Unternehmer, deren IT-Abteilung inzwischen weit über die Hälfte ihrer Arbeitszeit in IT-Sicherheit investiert und dennoch gibt es dort viel zu tun. Vollkommene Sicherheit ist eine Utopie, aber dennoch muss man zuschauen, sich vor Virenbefall weitestgehend zu schützen und dafür zu sorgen, dass sicherheitsrelevante Daten nicht in falsche Hände geraten. Oder eben in falsche Netze. Sicherlich würden die Behörden dieser Welt an alle meine Login-Daten kommen, wenn sie das unbedingt wollten. Es ist aber immer eine Frage des Aufwandes, wenn sie alle diese Dienste fragen müssten und nicht durch meine Dummheit vielleicht an ein Passwort kommen würden, das ich, wenn ich fahrlässig wäre, für alle Logins einsetzen würde.

Dazu kommt, dass man sensible Daten nicht einfach nur auf die Festplatte legt. Und auch nicht in ein besonders verstecktes Verzeichnis. Oder auf einen USB-Stick, den man bei Omi in der Schublade versteckt. Nein, Daten sind niemals sicher, wenn sie nicht sinnvoll verschlüsselt sind. Sind sie sinnvoll verschlüsselt und ist das Passwort hinreichend komplex, spielt es keine Rolle, wo die Dateien liegen.

In der IT-Sicherheit unterscheidet man nicht zwischen Unbefugtem, Ex-Mitarbeiter, Hacker, feindlichem Staat oder Heimatstaat. Es gibt schutzbedürftige Daten und die müssen geschützt werden, Punkt. Da man davon ausgehen darf, dass Verkehrsdaten, also Daten, die man beim Kommunizieren erzeugt, allesamt alle aufgezeichnet und mit allen anderen, verfügbaren Verkehrsdaten in Beziehung gesetzt werden – ob nun vom Geheimdienst der USA, Deutschlands, Großbritanniens oder vom Geheimdienst von Krypton, ist irrelevant. Sie schnüffeln alle, sie tauschen alle munter Daten aus, wenn es ihren eigenen Interessen nicht zuwiderläuft und alle verantwortlichen Politiker werden einen Teufel tun, diesem Treiben ein Ende zu setzen, weil Intelligence deren Hintern politisch absichert und die Schnüffelindustrie den nächsten Wahlkampf finanziert. Der Staat gibt auf deinen Datenschutz keinen Pfifferling.

Deshalb: Datenschutz fängt immer von unten an. Und zwar bei dir. Nicht der Staat schützt deine Daten, sondern du selbst musst sie schützen. Und das machst du sinnvollerweise nicht beispielsweise mit den eingebauten Verschlüsselungssystemen von Windows, MacOS, iPhone, Android & Co., sondern nutzt dazu alternative, unabhängige Programme und Verschlüsselungssysteme und Einrichtungen, die ein Stück deiner Privatsphäre schützen und für dich allein sichtbar halten.

Als da wären ein paar Tipps:

Und gleich der Hinweis vorweg: IT-Sicherheit ist harte Arbeit und hat viel mit Disziplin zu tun, um die einmal aufgebaute Sicherheitsebene auch dauerhaft zu halten. Es gibt keine einfachen Lösungen. Es ist aber dafür sehr leicht, seine Daten nicht halbwegs im Griff zu haben. Die Wahl hat da jeder ganz persönlich.

Die Notwendigkeit einer Passwortverwaltung.

Ich habe gerade einmal geschaut: Der letzte Artikel, in dem ich über Passwortverwaltung mit KeePass geschrieben habe, stammt vom Juli 2007, also glatte vier Jahre her und einer der ersten Artikel in diesem kleinen, bescheidenen Weblog. An der Anleitung selbst hat sich nicht viel geändert und ich nutze KeePass immer noch als meine zentrale Passwortverwaltung, über alle Gerätegrenzen hinweg. Windows, Windows Mobile, iPhone und nun Android und alles mit ein und derselben Passwortdatei.

Warum eine professionelle Passwortverwaltung? Ein paar Argumente:

  • Man hat immer mehr Passwörter zu verwalten, als man glaubt.
    Glauben Sie nicht? Ist aber so. Wenn ich aktuell in meine KeePass-Datenbank schaue, dann sind da rund 200 Login-Einträge verzeichnet. Einfache Kundennummern, aber auch Zugänge zu allen von mir genutzten Diensten und auch Kundenpasswörter (sofern ich die wissen muss). Eine solche Basis an Passwörtern merkt sich niemand im Kopf.
  • Passwörter bzw. Logins werden immer mehr. Und mehr. Und mehr.
    Auch das ist ein Phänomen. Ich habe einmal online angefangen, da musste ich nur zwei Passwörter kennen: Das von der Modemeinwahl und das für mein E-Mail-Postfach. Heute kommen Logins quasi täglich dazu und Logins werden immer mehr. Sicherlich gibt es bei immer mehr Diensten die Möglichkeit, sich mit dem obligatorischen Facebook-Login anzumelden aber was würden sie davon halten, wenn Sie in Ihren geliebten Supermarkt nur noch hineinkommen würden, wenn Sie sich einmalig mit ihrem Haustürschlüssel registrieren und den dort auch immer zum Türöffnen einsetzen müssten?
  • Sie müssen mit anderen Leuten Passwörter teilen?
    Okay, zugegeben, das müssen die meisten Passwortbesitzer nicht, im geschäftlichen Umfeld lässt es sich jedoch nicht vermeiden, für zentrale Logins Passwörter zu vergeben, die mehrere Menschen wissen müssen und die – jetzt wird es spannend – auch unabhängig voneinander recherchierbar sein sollen. Dass nur einer das Passwort kennt und der andere ihn ja fragen könnte, prellt spätestens dann, wenn der Passwortwisser nachts aus dem Bett geklingelt werden muss oder der Passwortwisser einfach verunglückt und das Passwort nicht nennen kann.
  • Passwörter müssen zwangsläufig immer komplexer werden.
    Moderne Rechenpower ermöglicht das Ausprobieren von kompletten Zeichenräumen in immer kürzeren Zeiten. Schon heute sind sechsstellige Passwörter ein No-Go, selbst mit Zeichen aus dem Groß- und Klein-Alphabet, Zahlen und Sonderzeichen. Acht Stellen sind aktuell das Mindestmaß, zehn und mehr Zeichen wünschenswert. Das merken Sie sich weiterhin alles im Kopf?
  • Ein Passwort für alles?
    Super Sache – einfach ein Passwort für alle Dienste. Wird ja schon niemand wissen, wo man noch alles ist. Das wissen mehr Leute, als sie denken und der Rest probiert es einfach aus. Facebook, Twitter, PayPal, YouTube, StudiVZ, Ihr Mailprovider. Wo Sie überall sind, kann Ihr Bekanntenkreis mit relativ wenig Aufwand herausbekommen und wenn man es darauf anlegt, sich auch gleich überall einloggen, wenn Sie überall das gleiche Passwort einsetzen.
  • Passwortverwaltung als Zettelwirtschaft?
    Immerhin. Mit einer Zettelwirtschaft ist die Chance, unterschiedliche Passworte zu nutzen, deutlich höher, allerdings wird alles nicht wirklich besser, wenn alle Passwörter schön aufgereiht auf gelben Zettelchen rund um den Bildschirm kleben. Und auch die Schreibunterlage ist kein besseres „Versteck“. Wo Zugangsdaten im Klartext stehen, ist es gefährlich.
  • Passwortnutzung evaluieren?
    Sony hat es nach dem PS3-Hack von seinen Nutzern gefordert: Das Zugangspasswort zum PlayStation Network ändern und, falls dieses Passwort auch bei anderen Diensten eingesetzt wurde, dort entsprechend auch zu ändern. Aber wie soll man das herausfinden, wenn man nicht ein Elefantengedächtnis hat? Eine Passwortverwaltung kann das, wenn dort eine Suche auch nach Passwörtern möglich ist. So habe ich z.B. herausgefunden, dass ich tatsächlich das Passwort für das PlayStation Network auch für einen Login für einen gänzlich anderen Dienst genutzt hatte.
  • Mobilität rulez!
    Auch so eine Mär der modernen Welt: Menschen, die daherkommen und sagen, sie bräuchten unterwegs keine Passwörter. Gut, kann man tatsächlich so handhaben, dann funktioniert aber mobiles Internet eben nicht mehr. Ohne einige Passwörter wäre ich auch unterwegs im Zweifelsfall aufgeschmissen und so muss eben eine gute Passwortverwaltung auch mobil sein können. Und zwar nomadisch mobil, also mit einer verschlüsselten Datenbank auf den Geräten und nicht einer Passwortverwaltung im Web. Denn dann können Sie Ihre Passwörter auch gleich twittern und behaupten, bei Twitter seien sie ja in der Cloud und immer zugänglich.
  • Passwörter gehen ja noch – aber was machen Sie mit Schlüsseldateien? TAN-Listen?
    Ich bin kein Fan davon, auf dem Handy Bankgeschäfte zu erledigen. Aber zu wissen, dass dies ginge, beruhigt erstaunlicherweise. Mit zusätzlichen Lesegeräten, „Chip-TAN“ und TAN-Listen ist das alles schwierig und ein einfacher Scan der TAN-Liste als Bild ist inakzeptabel unsicher. Eine sichere Passwortverwaltung hat auch Platz hierfür und ist, bei entsprechend komplexem Passwort der Passwortverwaltung, sicherer, als die zu Hause abgeheftete TAN-Liste.

KeePass für das iPhone: MyKeePass.

Auf einmal waren es zwei: Für das iPhone gibt es nun zwei KeePass-Implementierungen. Während die Entwicklertruppe von iKeePass vor einigen Tagen ihr erstes Update zur im Oktober 2009 veröffentlichten Initialversion veröffentlicht hat und immer noch das Problem hat, dass iKeePass offiziell nur im amerikanischen App-Store erhältlich ist oder, wenn jemand ein entfesseltes iPhone besitzt, in Cydia als „JBiKeePass“.

Das ist umso erstaunlicher, da nun mit MyKeePass eine weitere KeePass-Implementierung die Bühne betreten hat und die auch in App-Stores außerhalb des nordamerikanischen Kontinents erhältlich ist. Sprich: Der MyKeePass-Entwickler Qlang Yu hat es offensichtlich problemlos geschafft, seine Applikation durch die US-Exportbeschränkungen für Verschlüsselungssoftware durchzuschleusen und so gibt es das Ding für 79 Cent auch im deutschen App-Store.

Auf den ersten Blick hat MyKeePass auch technisch die Nase vorn. Ein eingebauter Webserver ermöglicht ein bequemes Übertragen einer Schlüsseldatei innerhalb eines WLAN-Netzwerkes. Eine so übertragene Datenbank ist selbst dann, wenn sie größer ist, schnell geöffnet lässt sich durchsuchen und Passwörter lassen sich mit einem Tippser in den Zwischenspeicher übernehmen. Einzig die Übersicht lässt etwas zu wünschen übrig, wenn man auf Piktogramme schwört, denn die gibt es in MyKeePass nicht. Das soll aber das kleinste Problem sein, so dass der Preis von 79 Cent für MyKeePass angemessen ist.

Quo vadis, iKeePass?

Beim Thema iKeePass, der Portierung der Passwortverschlüsselungssoftware für das iPhone, nicht von einem Drama zu sprechen, fällt schwer, denn als etwas anderes kann man es inzwischen gar nicht mehr bezeichnen.

Aus deutscher Sicht ist die iPhone-Welt seit dem Projektstart von iKeePass im März 2008 praktisch am gleichen Ort, wie damals – iKeePass ist im deutschen App-Store nicht verfügbar. Genaugenommen ist es außerhalb der USA und Kanada nirgendwo verfügbar, weil jegliche Software, die Verschlüsselungskomponenten enthält, eine gesonderte Zertifizierung benötigt, um aus den USA exportiert werden zu können. Da alle App-Stores von Apple idiotischerweise in den USA stationiert sind, ergibt sich der skandalöse Zustand, dass Software, die gar nicht in den USA entwickelt wurde, dennoch für die USA eine Zertifizierung benötigt, um außerhalb der USA auf iPhones genutzt werden zu können.

Immerhin gibt es iKeePass 1.0 nun seit Oktober 2009 im US-App-Store und wer sich die Mühen macht, einen Account im US-App-Store anzulegen (dazu benötigt man eine Anschrift in den USA) kann tatsächlich iKeePass für 99 US-Cent erwerben und auf sein iPhone installieren. Alternativ können Besitzer eines gejailbreakten iPhones anhand Cydia einen Fork von iKeePass (und zwar schon der Version 1.1) namens JBiKeePass herunterladen und installieren (das übrigens auch außerhalb den USA).

Die Version 1.0 von iKeePass offenbart dann allerdings eine herb enttäuschende Software, die in meinen Augen selbst die 99 US-Cent, die iKeePass im US-AppStore kostet, derzeit keinesfalls wert ist. Passwortdateien müssen umständlich über einen externen Webserver importiert werden, die Entschlüsselung von größeren Datenbankdateien dauert und alle geöffneten KeePass-Dateien sind darüberhinaus read-only – es gibt keine Schreibfunktion. Dazu kommen dann noch so Dinge wie der fehlende Support der TAN-Listenfunktion (keine Einblendung des Benutzernamenfeldes in der Übersicht) und kein Support der Zwischenablage (behoben ab der Code-Basis 1.1, die Zwischenablagefunktion funktioniert also mit JBiKeePass). Im Grunde genommen lassen sich KeePass-Dateien einfach nur öffnen und betrachten. Für die KeePass- und auch für die iPhone-Idee und vor allem nach fast zwei Jahren Entwicklungsdauer ein mageres Produkt.

Was wirklich mehr als dürftig ist, ist die Kommunikation, denn die ist quasi nicht vorhanden. Der letzte Artikel im Projekt-Weblog stammt von Ende November und berichtet davon, dass die Version 1.1 von Apple nicht zugelassen wurde, da von der Version 1.1 undokumentierte API-Aufrufe benutzt werden, die von Apple so nicht gewünscht sind. Gut, kein Thema, könnte man ja fixen. Oder zumindest darüber diskutieren – wenn man denn wollte. So sammeln sich in jedem der wenigen Artikel jeweils viele Dutzend Kommentare von Nutzern, die wissen wollen, in welchem Stadium das Projekt ist, wie die Bemühungen um Zertifizierung zwecks Exportmodalitäten der Verschlüsselung aussehen, ob die Version 1.1 inzwischen denn mal resubmitted wurde und und und. Resonanz: Null. Hier und da werden vereinzelt Fragen zu einzelnen Benutzerproblemen geklärt, der Rest bleibt unbeantwortet.

Damit wir uns nicht falsch verstehen: Ich verstehe, dass iKeePass – ebenso wie KeePass und die anderen Portierungen – weitgehend Projekte sind, die in der Freizeit entstehen und gepflegt werden. Es spricht jedoch überhaupt nichts dagegen, iKeePass als kostenpflichtige Software anzubieten oder einen PayPal-Button zum Spenden hinzupappen, bei denen selbst ich nicht einfach vorbeigehe, sondern meinen Obolus entrichte. Ich erwarte jedoch auch bei Entwicklern von Open-Source-Projekten, die auf bestehenden Projekten aufbauen, eine gewisse Professionalität und Verantwortung und es ist sicherlich nicht zu viel verlangt, mit seinen Nutzern oder Interessenten zu kommunizieren oder einfach einmal ein Forum einzurichten, wo sich eine Community bilden könnte. Schafft man das nicht, sollte man als Maintainer eines Projektes, das wirklich einen Bedarf nachweisen kann, wirklich so fair sein und sich bemühen, das Projekt auf eine größere Entwicklerbasis zu stellen oder in andere Hände zu geben. Oder, so fürs erste, einfach mal einen Statusbericht und Projektausblick zu geben.

iKeePass nun im (US-)AppStore.

iKeePass, der iPhone-Verschnitt der KeePass-Verschlüsselungssoftware, hat nun endlich nach über einem Jahr den Gang in den AppStore geschafft. Über Details schweige ich gnädigerweise an dieser Stelle, das Projekt galt in den letzten Monaten durchaus eine Weile als tot, der Programmierer hat es dann aber doch noch geschafft.

Allerdings gibt es weiterhin einen großen Nachteil, denn als Software, die Verschlüsselungskomponenten enthält, hat Apple iKeePass nur für den US-amerikanischen und kanadischen AppStore freigegeben, für den Rest der Welt ist zunächst noch ein Audit notwendig, der vom Programmierer durchgeführt und nachgewiesen werden muss. Nach den bisherigen Erfahrungen mag ich keine Prognose dafür geben, wann das durchgeht.

Wer in den USA oder in Kanada lebt, kann sich jetzt zumindest iKeePass für schlappe 99 US-Cent auf sein iPhone laden. Meine persönliche Meinung: Für die bisherigen Schlampereien auch noch einen US-Dollar zu verlangen, ist frech.

KeePass für das iPhone: Ein Schritt weiter.

Mitte April gab es wieder einen kleinen Ruck für iKeePass, dem KeePass-Client für das iPhone, der zwar bis dato weitgehend fertig ist, allerdings von Apple noch nicht für denn App-Store freigegeben wurde, was in der ein klein wenig polizeistaatlich organisierten Softwarewelt des iPhone-Universums bedeutet, dass es sich niemand herunterladen und installieren kann.

Immerhin hat sich nun etwas kleinlaut herausgestellt, dass man von einem Apple-Mitarbeiter, der sich um die Exportregularien für Verschlüsselungssoftware kümmert, kontaktiert wurde, man darauf aber nicht habe reagieren können, da man umgezogen sei und in den letzten Monaten keinen richtigen Internet-Zugang gehabt habe. Nun denn. Jedenfalls ist man übereingekommen, zunächst eine Veröffentlichung von iKeePass in den USA und in Kanada zu avisieren, weil für eine Veröffentlichung in diesen Staaten keine Exportregularien für Verschlüsselungssoftware zu beachten sind und der so genannte BIS-Prozess, ein Audit des US-Handelsministeriums, das für zu exportierende Verschlüsselungssoftware durchgeführt werden muss, offenbar noch nicht gänzlich durchgeführt wurde.

Das Thema KeePass für das iPhone ist also noch nicht abgefrühstückt und zumindest noch augenscheinlich in der Pipeline.

Apple blockiert KeePass für das iPhone.

Die Passwortverwaltungssoftware KeePass gibt es inzwischen für eine ganze Reihe von Betriebssytemplattformen. Neben Windows, Linux und MacOS gibt es Clients auch für Windows Mobile, Blackberry, mit einem Konverter für PalmOS und sogar für java-fähige Mobiltelefone. Das Hübsche dabei ist, dass alle Clients die gleiche Passwortdatenbank öffnen können, so dass es im Prinzip kinderleicht ist, eine Passwortdatenbank auf verschiedenen Geräten zu nutzen, indem einfach die jeweilige Passwortdatenbank (die als einzelne Datei existiert) auf das jeweilige Gerät kopiert bzw. synchronisiert wird. Bei dieser bemerkenswert umfangreichen Systempflege war es an sich nur noch eine Frage der Zeit, bis ein KeePass-Client für das iPhone entwickelt wird.

Und tatsächlich bildete sich letztes Jahr ein Entwicklerteam, das sich genau diesem Thema widmete: Ein KeePass-Client für das iPhone, Projektname iKeePass. Grundsätzlich ist das für versierte Programmierer kein allzugroßes Unterfangen, da KeePass Open-Source ist und die starke Verschlüsselung auf gängige Verschlüsselungsverfahren wie AES basiert. So wurde ein funktionsfähiger Client schon letztes Jahr fertiggestellt und Apple zur Prüfung vorgelegt. Und genau da hängt iKeePass nun seit Monaten, offensichtlich ohne jegliche Reaktion von Seiten Apples, wenn man dem iKeePass-Projektblog glauben darf.

Das Problem ist ein richtig hausgemachtes Apple-Problem: iPhone-Applikationen werden grundsätzlich über Apple vertrieben und deren Server befinden sich in den USA. Da die USA recht restriktive Spielregeln für das Anbieten von Software mit starker Verschlüsselung haben, verlangt Apple von iPhone-Apps-Entwicklern die Durchführung des so genannten BIS-Prozesses, einem Audit des US-Handelsministeriums, bei dem ein Entwickler von Software, die starke Verschlüsselung enthält, zertifizieren lässt, was er da eigentlich mit seiner Software bewerkstelligt. Dieses Zertifikat ist dann Apple entsprechend zu übergeben und wird, laut Apple, in den eigenen Prüfungsprozess der Applikation einbezogen. Gibt es dieses Zertifikat nicht, wird die Applikation also auf jeden Fall nicht in den Appstore aufgenommen.

Gibt es das Zertifikat, ist das anscheinend allerdings noch lange keine Garantie, dass Apple die Software freigibt. Denn nach Aussagen anderer Entwickler dauert die Freigabe von Seiten Apples einige wenige Tage und nicht Monate und bei Ablehnungen wird der Entwickler zumindest darüber informiert, wo der Haken ist. Bei iKeePass alles nicht passiert, das Ding hängt in der Luft und es gibt keine Reaktionen.

Das ist sie, die bunte iPhone-Plattform – die Brüder machen sich einfach ihre eigene Realität auf. Was wäre das Geschrei groß, wenn Microsoft das mit Windows Mobile so handhaben würde.