Steganos Blog

Gabriel Yoran
Gabriel Yoran, Gründer und Geschäftsführer Steganos Software GmbH

Die Firma Apple hat ein Problem: Es ist ihr guter Ruf. In beiden Apple-Betriebssystemen, iOS und OS X, befand sich monatelang ein sicherheitsrelevanter Fehler, der den Browser Safari, das eingebaute Mail-Programm und darüber hinaus Programme von Drittanbietern betrifft, die sich auf die Apple-Funktionalität verlassen. Die Sicherheitslücke, die mittlerweile nach der fehlerhaften Codezeile „goto fail“ benannt ist, erlaubt es böswilligen Nutzern, Mac- und iPhone-Nutzer auszuspionieren und so Passwörter, Kreditkartendaten und andere sensible Daten abzugreifen. Am einfachsten geht das, wenn Angreifer und Opfer im gleichen WLAN unterwegs sind. (UPDATE: Auf dem iPhone ist das Problem mittlerweile behoben, für das neueste Mac-Betriebssystem OS X Mavericks steht ein Update noch aus. auch auf OS X Mavericks ist das Problem jetzt behoben.)

Nun haben Betriebssysteme Fehler wie alle anderen Softwareprodukte auch, denn sie sind Menschenwerk. Auch in ausgefeilten Qualitätskontrollen (die wir bei Apple wohl unterstellen dürfen) werden nicht alle potenziellen Fehler entdeckt, bevor ein Produkt ausgeliefert wird. Solche Probleme werden dann in folgenden Updates behoben. Man kennt das von Windows seit Jahren – Sicherheitsprobleme treten auf und werden behoben. Es ist ein Katz-und-Maus-Spiel, an das wir uns gewöhnt haben. Es ist auch kein Thema für die Publikumspresse, oder wann war ein Windows-Update zuletzt Thema auf Spiegel Online?

Und das ist der Unterschied: Apple darf keine Fehler machen. Es wird viel über den „Nimbus“ dieses Unternehmens geschrieben, es ist die Rede von Kult, einer Religion gar. Und da ist der Anspruch der Unfehlbarkeit nicht weit. Wenn Google für die Behebung eines kaum weniger drastischen Sicherheitsproblems in seinem Android-Betriebssystem ein knappes Jahr braucht, dann interessiert das außerhalb der Fachwelt niemanden. Bei Apple aber sind die Maßstäbe andere und das liegt zum Teil an Apple selbst.

Wer an seine eigenen Produkte die höchsten Maßstäbe anlegt und sich Kunden heranzieht, die nur noch mit der Qualität und Ausgefeiltheit der Apple-Produkte befriedigt werden können, dessen Fallhöhe ist hoch. Einerseits was das über Jahre zu recht gewonnene Vertrauen der Kunden angeht. Anderseits auch in Bezug auf die Berichterstattung: Apple hat einen jahrelangen Lauf, der mit dem iPod begann – und wer hochgeschrieben wurde, wird auch wieder runtergeschrieben. Das ist mit Promis nicht anders als mit Marken.

Dass Apple jetzt auf seiner Homepage kein Wort zu dem Sicherheitsproblem verliert, ist ein Zeichen für eine Kultur, die keine Fehler erlaubt. Die Organisation Apple hat, wie es scheint, ihre eigene Unfehlbarkeit so verinnerlicht, dass sie sich ausserstande sieht, mit dem Fehler anständig umzugehen. Microsoft verlinkt auf der Startseite ihr Safety & Security Center. Dort werden unumwunden Schwachstellen in eigenen Produkten aufgelistet. Es mangelt nicht an Sicherheits- und Aufklärungshinweisen. In Redmond hat man aus Fehlern gelernt und geht offensiv mit ihnen um.

Der Kommunkationswissenschaftler Klaus Merten hat Marken als „ultrastabile Fiktion“ beschrieben. In diesem Sinne funktioniert die Marke Apple, nach außen wie nach innen: Die Fiktion von der Unfehlbarkeit war lange Zeit stabil. Das provoziert mediale Skandalisierung, denn die Medien wollen einerseits das nächste große Ding von Apple sehen, das sie feiern können. Die andere brauchbare Story aber wäre ein Untergang Apples. Nicht wenige würden sich weiden am „gerechten“ Tod eines Unternehmens, das für Hybris und Hochpreispolitik steht. Für schlechte Arbeitsbedingungen und despotisches Management. (Ungeachtet der Tatsache, dass das in anderen Firman auch nicht anders ist.)

Und das ist Apples Problem: Das selbstgebaute Bild von Perfektion passt nicht in eine fehlertolerante Kultur. Irgendjemand bei Apple müsste entscheiden, dass mit dem Problem offen umgegangen werden muss. Ein Hinweis auf der Homepage, eine Mail an die Nutzer, klare Tipps, wie man sich schützen kann, Ankündigung eines Updates mit Zeitplan. Aber all das ist nicht möglich, wenn man offiziell keine Fehler macht.

Praktische Hinweise:

Eine neue Version des Steganos Passwort-Manager 15 für Windows ist ab sofort verfügbar.

Das Update wird bestehenden Nutzern innerhalb von 24 Stunden automatisch zum Download angeboten. Eine Installation wird empfohlen.

  • Browser-Plugins: Kompatibilität mit Internet Explorer 11 und Windows 8.1 wiederhergestellt
  • Browser-Plugins: Autofill-Probleme in Internet Explorer und Firefox behoben
  • Browser-Plugins: Konflikt mit parallel installiertem OkayFreedom VPN behoben
  • Browser-Plugins: Behebung eines unter Umständen auftretenden Absturzes, wenn für eine Seite mehrere Passwort-Einträge vorhanden waren
  • Browser-Plugins: Installation des Chrome-Plugins nun über Google Chrome Webstore, um einer Vorgabe von Google zu entsprechen
  • Browser-Plugins: Passwort-Einträge auf Seiten mit Top-Level-Domains wie co.uk und co.nz werden jetzt korrekt behandelt
  • Cloud-Anbindung: Die automatische Erstellung von Schlüsselbund-Sicherheitskopien bei Nutzung der Cloud-Anbindung funktioniert nun wie erwartet
  • Cloud-Anbindung: Fehlermeldung im Falle von Verbindungsproblemen beim Speichern ergänzt
  • Cloud-Anbindung: Probleme bei der Anbindung des Telekom Mediencenters behoben
  • Fehler beim Ausdrucken von Passwörtern behoben
  • Darstellungsfehler bei einer Schriftgröße von 125% behoben
  • Probleme mit Sonderzeichen im Schlüsselbund-Namen gelöst
  • Inkonsistentes Verhalten der Benutzeroberfläche beim Programmstart behoben

BSI-WebsiteDas Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigener Darstellung „bei der Analyse von Botnetzen“ 16 Millionen E-Mail-Adressen mit Passwörtern entdeckt. Botnetze bestehen aus Schadprogrammen („Bots“), die ohne Wissen des Nutzers auf dem PC installiert werden und dann auf die Anweisungen eines Hackers reagiert. Wenn viele derart gekaperter PCs zusammengeschaltet werden, spricht man von einem Botnetz.

Mit einem (derzeit teilweise überlasteten) Selbsttest lässt sich überprüfen, ob die eigene Mail-Adresse samt Passwort unter den erbeuteten Daten ist. Das BSI ist nun selbst in die Kritik geraten, weil der Selbsttest mehr Fragen aufwirft als er beantwortet – und man zum Beispiel nicht mit Sicherheit erfährt, ob die eigene Adresse betroffen ist oder nicht.

Die entscheidende Frage jedoch ist: Wie konnte das passieren? Wie konnten 16 Millionen Adress-Passwort-Kombinationen, von denen etwa die Hälfte aus Deutschland stammen soll, erschlichen werden? Da diese Zugangsdaten vermutlich direkt auf dem PC des Nutzers abgefangen worden sind, müssen Millionen PCs mit Schadsoftware verseucht sein – und das trotz der weiten Verbreitung von Antivirus-Programmen: Angeblich nutzen 94,5% der deutschen PC-Nutzer Antiviren-Programme.

Entweder ist also die Nutzung von Schutzprogrammen deutlich weniger verbreitet oder aber der Malware-Schutz funktioniert schlechter als erwartet. Es ist normal, dass Anti-Malware-Anbieter etwas Zeit brauchen, um auf neue Schadprogramme zu reagieren und ihre Scanner anzupassen. Aber normalerweise sind es Stunden oder schlimmstenfalls wenige Tage bis solche Updates bereitstehen. Dass eine so große Menge an Adressen von den PCs der Nutzer gestohlen werden konnte, muss daher eigentlich andere Gründe haben:

  • Es kamen verschiedene Schadprogramme zum Einsatz, die jedoch alle mit dem Diebstahl von Mailadressen befasst waren
  • Die Anbieter von Anti-Schadsoftware konnten ihre Nutzer nicht schützen, weil es sich um eine ganz neue Klasse von Malware handelt, die noch völlig unbekannt ist und übliche Gegenmittel nicht greifen
  • Die Daten wurden gar nicht auf den Nutzer-PCs abgefangen, sondern anderswo, vielleicht direkt bei einem Mailprovider (das BSI bestreitet das)

Das BSI gibt keine Informationen zur Art der Botnetze heraus, die für den Datendiebstahl verantwortlich sein sollen und auch nicht, über welchen Zeitraum die Daten angefallen sind.

Zwar empfiehlt das BSI auf seiner Website, den Computer mit Antiviren-Programmen zu überprüfen, insbesondere wenn man von dem Datendiebstahl betroffen ist. Völlig offen hingegen ist die Frage, ob die Antivirus-Hersteller mittlerweile ein Mittel gegen die Schadsoftware gefunden haben. Auf den Websites der einschlägigen Herstellern findet man dazu jedenfalls noch nichts. Auch ist unklar, ob das BSI mit Antivirus-Herstellern kooperiert hat, damit diese ihre Schad-Signaturen aktualisieren können und nun über funktionierende Gegenmittel verfügen. Eine entsprechende Anfrage unsererseits beim BSI blieb unbeantwortet.

Die Geheimniskrämerei des BSI, die reflexartig mit dem Datenschutz begründet wird, schadet mehr als sie nutzt. Immerhin fordert die Bundesregierung, Verschlüsselungsprogramme zum Schutz der Privatsphäre einzusetzen – was aber nur Sinn ergibt, wenn PCs nicht bereits mit Schadsoftware verseucht sind.

spm-BMP_PRODUCT_BIGWir hätten einen Vorschlag für einen Vorsatz für 2014: Ich werde ein Passwort-Management-Programm einsetzen, damit ich nicht immer das gleiche (unsichere) Passwort verwende, nur weil ich es mir merken kann.

Kaum irgendwo fallen Wissen und Handeln so deutlich auseinander wie beim Thema Passwörter. Jeder Internet-Nutzer hat mit ihnen zu tun, und obwohl jeder weiß, dass sichere Passwörter wichtig sind, schert sich kaum jemand darum.

Für die meisten Nutzer ist ein Passwort nur ein Hindernis auf dem Weg zu seinem eigentlichen Ziel, dabei schützt es die E-Mails im Webmailer, die hinterlegten Zahlungsdaten beim Online-Einkauf, den Zugang zu Facebook und vieles mehr.

Nichtsdestotrotz wählen viele Menschen sehr einfache Passwörter wie 123 oder sie nutzen das gleiche Passwort mehrfach. Oft wird bestenfalls zwischen zwei oder drei verschiedenen Passwörtern variiert.

Selbst Nutzer, die ihre Haustür sicher verschließen oder sich sogar von der Polizei in Sachen Einbruchschutz beraten lassen, verlässt ihr gesundes Sicherheitsbewusstsein sobald sie am Computer sitzen. Warum ist das so?

Ein Grund für die schlechte „Passwort-Hygiene“ ist, dass die Gefahren, die von schlechten Passwörtern ausgehen, nicht hinreichend bekannt sind. „Ich habe doch nichts zu verbergen“, ist das ceterum censeo der Mehrheitsgesellschaft.

Das Online-Banking ist vielleicht die eine rühmliche Ausnahme, bei der auf Sicherheit geachtet wird. Doch hier sind es die Banken, die den Sicherheitsstandard hochhalten, in dem sie TAN-Listen verschicken, ohne die man keine Transaktion vollziehen kann. Auch findet man in letzter Zeit öfter die sogenannte Zwei-Faktor-Authentifizierung, was nichts anderes bedeutet als dass eine zweite Sicherheitsebene eingezogen wird: Zum Beispiel, dass man nach dem Passwort noch eine Zahl eingeben, die man bei jedem Login aufs Handy geschickt bekommt. All diese Maßnahmen ergreifen die Anbieter, weil das Passwort alleine nicht Schutz genug bietet – nicht zuletzt, weil Nutzer das gleiche Passwort mehrfach verwenden.

Risiko Passwort-Recycling

Doch warum ist so gefährlich, sein Passwort quasi zu recyclen? Nehmen wir an, Sie benutzen das gleiche Passwort für PayPal und die Adobe Cloud. Wir verwenden dieses Beispiel, weil Adobe 2013 Opfer eines Datendiebstahls wurde, bei dem E-Mail-Adressen sowie Passwörter der Nutzer abhanden kamen. Sie sehen, dass auch namhafte Anbieter nicht vor Hackerangegriffen gefeit sind. Die Datenbank, in der Ihr Passwort mit Ihrer Mailadresse zusammen gespeichert ist (diese Kombination nennt man auch „credentials“), lässt sich seitdem mit wenig Aufwand von einschlägigen Seiten herunterladen. Ihr Passwort flottiert also frei durchs Internet. Der nächste Schritt ist einfach: Ein Hacker muss jetzt nur noch die bekanntesten Webservices mit Ihren credentials durchprobieren – und wenn Sie Ihr Passwort mehrfach nutzen, wird er irgendwo fündig werden.

Gehen Sie im Geiste alle Dienste durch, bei denen Sie sich anmelden. Denken Sie an Dropbox, Facebook, Google Mail, Ihre Versicherungen, Amazon, iCloud, die Bahn, ggf. ein eigenes Blog, Reiseanbieter, PayPal, Clickandbuy, vielleicht Datingbörsen, Ihre Microsoft ID, Spotify, Skype, Xing – die Liste ließe sich beliebig fortsetzen. Im Falle von PayPal ließen sich jetzt mit Ihren credentials in Onlineshops Dinge bestellen, die PayPal als Zahlungsmittel akzeptieren.

Natürlich versuchen die Anbieter derartige Betrugsversuche zu erkennen und zu verhindern, bevor ein Schaden entsteht. So schlägt das Login von Facebook Alarm, wenn sich ein Nutzer eben noch von Deutschland aus und wenige Sekunden später aus den USA mit den gleichen Zugangsdaten einzuloggen versucht. Anhand der IP-Adresse, die mit jedem Datenaustausch als Absender versandt wird, kann Facebook erkennen, woher ungefähr das Datenpaket kommt. Da niemand so schnell die Kontinente wechseln kann, wertet Facebook so einen Login-Versuch als potenziell betrügerisch und verlangt dann zum Beispiel die Eingabe weiterer Daten, um die Autorisierung abzuschließen.

Es ist also wichtig, das gleiche Passwort nicht mehrmals zu verwenden. Auch wenn man einen Dienst als unbedeutend in Bezug auf die erhältlichen Daten einstuft, können wir nicht empfehlen, Passwörter mehrfach zu verwenden. Denn was man anfangs für unwichtig hält, kann sich später ins Wichtige drehen. Und plötzlich hat man einem scheinbar harmlosen Dienst sensible Daten anvertraut. Man denke nur an die allgegenwärtige Synchronisation von Diensten mit Adressbüchern. Moderne Router fungieren oft auch als einfache Telefonanlage bzw. Basisstation für schnurlose Telefone. Diese Router können dann das Google-Adressbuch auslesen, um die Telefonnummern im Display des Telefons anzuzeigen. Und wenn der Router daheim dann nicht mit einem guten Passwort geschützt ist – man mag es sich gar nicht ausmalen. Auch „reden“ mittlerweile viele Dienste über Programmierschnittstellen, sogenannte APIs, miteinander. So wird oft Facebook oder Twitter als Autorisierungdienst genutzt – kurz gesagt: Es ist kaum abschätzbar, welche Wege Ihre Daten nehmen. Deshalb sind gute und verschiedene Passwörter Pflicht.

Der Mythos vom sicheren Passwort

Was ist jedoch ein gutes Passwort? Es hält sich seit Jahrzehnten die Forderung, Passwörter sollten möglichst etwa wie A3jNk$1d aussehen, sollten also kein Wort aus einem Wörterbuch enthalten, Zahlen, Sonderzeichen und Groß- und Kleinbuchstaben. Das ist aber nur halb richtig. Um zu bestimmen, was ein gutes Passwort ist, muss man wissen, wie viele Variationen an Passwörtern bei dem jeweiligen Anbieter überhaupt möglich sind. Lässt ein Dienst zum Beispiel nur Passwörter zu, die Zahlen enthalten, macht er es einem Hacker erstmal leichter und nicht wie vermutet schwerer: Denn der kann beim Durchprobieren der Passwörter schon mal alle ohne Zahlen weglassen.

Der Einfachkeit halber betrachten wir in diesem Beitrag Passwörter zur Autorisierung (wie zum Beispiel bei Facebook) und Passwörter, die als Schlüssel zur Verschlüsselung verwendet werden (wie zum Beispiel beim Steganos Safe) gemeinsam.

Der Cartoonist Randall Munroe, der für seine Mathematik-Cartoons auf xkcd bekannt ist, zeigt, dass Passwörter aus einfachen englischen Wörtern besser zu merken und sicherer sind als kompliziert konstruierte Zeichenketten wie A3jNk$1d. Seine Rechnung hat allerings einen Schönheitsfehler, der die komplizierten Zeichenkette schlechter aussehen lässt als sie sein müsste. Was ist der Fehler?

Je mehr Variationen ein Verfahren zur Passworterstellung erlaubt, desto besser ist es. Man spricht hier auch von Entropie: Je höher sie ist, desto mehr Varianten sind möglich. So hat ein Wort aus dem deutschen Standardwortschatz, der rund 75.000 Wörter umfasst, eine Entropie von 17 Bit: Anders gesagt braucht man maximal 75.000 Versuche, um es zu „erraten“ – die 17 Bit sind nur eine knappere Darstellung ansonsten sehr großer Zahlen. Wählt man aus einem Wort des Gesamtwortschatzes der deutschen Sprache (ohne Fachbegriffe) kommt man schon auf einen Fundus von einer halben Million verschiedener Wörter, was einer Entropie von 19 Bit entspricht. Zwischen 17 und 19 Bit mag kein großer Unterschied liegen, doch das täuscht.

Wollte man ein Passwort mit einer Entropie von 17 Bit durch Ausprobieren knacken und hätte ein Programm, dass 1.000 verschiedene Passwörter in der Sekunde durchprobiert (was nicht unrealistisch ist), dann wäre man in gut zwei Minuten durch (217 / 1.000 = 131 Sekunden). Bei einer Entropie von 19 Bit bräuchte man schon fast 9 Minuten. Bei 20 Bit schon über 17 Stunden.

9 Minuten oder 714 Jahrhunderte

Kritiker wenden nun ein, dass ein Passwort, das nur aus einem deutschen Wort besteht, eine sehr niedrige Entropie hat und man besser eine sinnlose Zeichenkette aus Buchstaben, Sonderzeichen, Zahlen und so weiter wählen sollte, eben so etwas wie das oben erwähnte A3jNk$1d. Aber ist das wirklich so? Ein Passwort, das aus nur aus drei aneinandergereihten real existierenden Wörtern des deutschen Grundwortschatzes (zum Beispiel AutoBuchSchinken) besteht, hat eine Entropie von etwa 51 Bit, wohingegen ein Passwort wie A3jNk$1d nur auf eine Entropie von etwa 49 Bit kommt. Überraschenderweise ist das leichter zu merkende Passwort in diesem Fall sogar das bessere. In beiden Fällen allerdings haben wir es mit Dimensionen zu tun, in denen die zu schützenden Daten ihre Brisanz verloren haben dürften: 49 Bit entsprechen einer Durchprobierzeit von 178 Jahrhunderten, 51 Bit gar 714 Jahrhunderten.

Nun muss man diese enormen Zahlen natürlich etwas relativieren. Es ist nicht ausgeschlossen, dass unter bestimmten Umständen nicht nur 1.000, sondern vielleicht auch 10.000 oder sogar 100.000 verschiedene Passwörter pro Sekunde ausprobiert werden können (wenn zum Beispiel nicht ein langsamer Webdienst geknackt werden soll, sondern eine lokal vorliegende verschlüsselte Datei). Selbst bei 100.000 Attacken pro Sekunde sprechen wir bei 51 Bit noch von einer Suchzeit von 714 Jahren. Bei sehr bedeutsamen Daten könnte man nun mehrere Computer in Reihe schalten und diese dann parallel suchen lassen. Wir wissen nicht genau, über welche Mittel die NSA verfügt, aber wenn ein solcher Geheimdienst 1.000 Computer abstellen würde, um unser 51-Bit-Passwort zu knacken, dann könnten sie die Zeit auf unter ein Jahr drücken, mit 10.000 Rechnern käme man dann schon in praktikable Dimensionen.

Das ist auch der Grund, warum 51 Bit für wirklich sensible Daten einfach nicht genug sind. Im Steganos Safe wird seit Aufdeckung der Snowden-Leaks ein 384 Bit langer Schlüssel eingesetzt. Die Anzahl der Varianten überschreitet dabei die unvorstellbare Zahl von 3.940 Undevigintillionen – das ist der Name für eine 115-stellige Zahl.

Kommen wir zurück zu xkcd. Munroe versucht darzustellen, dass die komplizierte Zeichenkette Tr0ub4dor&3 ein schlechteres Passwort ist als das leichter zu merkende correct horse battery staple. Tr0ub4dor&3 ist eine Variation des ohnehin schon unüblichen und falsch geschriebenen englischen Worts „Troubador“ (korrekt wäre „Troubadour“). Dann ersetzt er ein o durch eine 0 und ein a durch eine 4 und fügt noch zwei weitere Zeichen an. Das Ergebnis ist ein scheinbar zufälliges Wort, aber eben nur scheinbar. Da sein Passwort aber auf einem existierenden englischen Wort basiert, beträgt seine Entropie nur ca. 28 Bit. Kein Wunder, dass das viel längere Passwort mit dem Pferd mit einer Entropie von ca. 44 Bit viel besser abschneidet. Würde man aber wirklich zufällig aus dem Fundus von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wählen, käme man bei einem ebenfalls 11-stelligen Passwort auf eine Entropie von deutlich höheren 68 Bit.

Seriöse Passwort-Manager als Ausweg

Da es praktisch nicht möglich ist, sich eine solche Zahl von Passwörtern zu merken, empfiehlt sich der Einsatz eines Passwort-Managers. Diese Programme speichern Ihre Passwörter verschlüsselt ab – Sie müssen sich also nur noch ein einziges Passwort merken, nämlich das für Ihre Passwortliste (manchmal auch „Schlüsselbund“ genannt). Ihre Passwörter trägt der Passwort-Manager dann auch automatisch ein, wenn zum Beispiel eine Website danach verlangt. Das ist nicht nur bequem, sondern erhöht auch Ihre Sicherheit, da Sie durch den Passwort-Manager selbst gute, lange und komplexe Passwörter erstellen lassen können und sich diese nie merken müssen, da Sie automatisch eingetragen werden.

Passwortgenerierung

Der Steganos Passwort-Manager erlaubt die automatische Erstellung wirklich sicherer Passwörter und zeigt dabei ihre Entropie auch gleich an, so dass man sich eine Vorstellung von der Sicherheit seines Passworts machen kann.

Bei der Auswahl eines Passwort-Managers ist aber Vorsicht geboten, denn immerhin vertrauen Sie diesem Programm die Schlüssel zu Ihren sensibelsten Daten an. Seriöse Anbieter speichern Ihre Passwörter verschlüsselt auf Ihrem Computer und übertragen nur auf ausdrücklichen Nutzerwunsch diese Daten in einen Cloudspeicher – und dann natürlich auch nur verschlüsselt, so dass sie für den Cloud-Anbieter nicht einsehbar sind. Beim Steganos Passwort-Manager ist das der Fall.

Tipps für sichere Passwörter

    • Lange Passwörter sind besser als kurze, denn sie haben eine höhere Entropie – auch wenn sie nur aus echten Wörtern bestehen
    • Nur bei kurzen Passwörtern lohnt es sich, ihre Entropie durch Zahlen und Sonderzeichen zu erhöhen
    • Passwörter sollten nie mehrfach verwendet werden, auch nicht bei vermeintlich harmlosen Angeboten
    • Idealerweise sollte man einen Passwort-Manager einsetzen, der die Passwörter lokal auf Ihrem Computer verschlüsselt speichert
    • Der Passwort-Manager sollte die Passwörter selbst erzeugen – man muss sich den Kopf nicht zerbrechen und erhält deutlich bessere Passwörter
    • Das Passwort für Ihren E-Mail-Provider und Payment-Anbieter wie PayPal sollten Sie spätestens alle 3 Monate ändern, ebenso das für Cloud-Provider wie Dropbox oder iCloud

Auch wenn wir bei weitem nicht alle Aspekte des Passwortschutzes angesprochen haben, hoffen wir einen kleinen Einblick gegeben und etwas zum Verständnis dieser komplexen Materie beigetragen zu haben. Bitte stellen Sie etwaige Fragen in den Kommentaren – und starten Sie gut in ein sichereres Jahr 2014!

Eine neue Version des Steganos Steganos Passwort-Manager 15 für Windows ist ab sofort verfügbar.

Das Update wird bestehenden Nutzern innerhalb von 24 Stunden automatisch zum Download angeboten. Eine Installation wird empfohlen.

    • Beim Programmstart fragt Windows nun nicht mehr, ob man dem Programm erlauben möchte, Änderungen am Computer vorzunehmen
    • Wenn das Passwort eines Schlüsselbunds geändert wird, wird nun auch sofort der verschlüsselte Schlüsselbund in der Cloud auf das neue Passwort umgestellt
    • Im Zusammenspiel mit Steganos Mobile Privacy für iOS oder Android erscheint dort nun nicht mehr die falsche Meldung, in der Cloud sei eine neue Version des Schlüsselbunds vorhanden
    • Es ist bei der Installation nun nicht mehr nötig, Chrome zu beenden
    • Korrekturen der englischen Lokalisierung

Hinweis: Unter Windows 8.1 ist es momentan aus technischen Gründen nicht möglich, das Passwort-Manager-Plugin (egal welcher Version) für den Internet Explorer zu verwenden. Wir arbeiten an einer Lösung und empfehlen in der Zwischenzeit einen anderen Browser einzusetzen (z.B. Firefox oder Chrome)

 

Eine neue Version von Steganos Mobile Privacy für iOS ist ab sofort verfügbar.

Sollten Sie iOS 7 verwenden und automatische Updates aus dem App Store aktiviert haben, wird das Update automatisch installiert.

    • Anpassung an das iOS7-Design
    • Nach der Trennung der Cloud-Verbindung werden die lokalen Schlüsselbunde nun gelöscht
    • Ein fehlerhafter Hinweis auf einen neueren Schlüsselbund in der Cloud wird im Zusammenspiel mit der nächsten Version des Steganos Passwort-Managers oder der Steganos Privacy Suite nicht mehr angezeigt
    • Ein Problem bei der Anbindung an die Dropbox, aufgrund dessen manchmal mehrere Versuche für den Verbindungsaufbau nötig waren, wurde behoben
    • Ein Absturz bei der Anbindung an das Telekom-Mediencenter wurde behoben
    • Weitere kleine Verbesserungen, u.a. bei englischen Lokalisierung

Eine neue Version von Steganos Mobile Privacy für Android ist ab sofort verfügbar.

Rufen Sie den Google-Play-Store auf, um das Update zu installieren. Wenn Sie automatische Updates aus dem Google Play Store aktiviert haben, wird das Update automatisch installiert.

    • Nach der Trennung der Cloud-Verbindung werden die lokalen Schlüsselbunde nun gelöscht
    • Ein fehlerhafter Hinweis auf einen neueren Schlüsselbund in der Cloud wird im Zusammenspiel mit der nächsten Version des Steganos Passwort-Managers oder der Steganos Privacy Suite nicht mehr angezeigt
    • Neues, an das Android-Design angepasstes App-Icon
    • Weitere kleine Verbesserungen, u.a. bei der englischen Lokalisierung

Wir freuen uns sehr, dass unsere Software Steganos Privacy Suite in der Version 14 zur „Software des Jahres“ (in der Kategorie System-Tools) nominiert wurde. Stimmen Sie jetzt ab und sichern Sie sich die Chance auf Preise im Gesamtwert von über 20.000 Euro!

Zu gewinnen gibt es unter anderem einen Samsung 55 Zoll Großbild-TV, ein HTC One Mini, eine PlayStation 4 Konsole und ein Teufel THX Cinebar inklusive Wireless Musikstreaming.

Sie haben direkt hier im Blog die Möglichkeit, für uns abzustimmen und am Gewinnspiel teilzunehmen. Einfach nach unten scrollen und Sterne vergeben. Je mehr Sterne wir von Ihnen bekommen, desto besser.

Vielen Dank und viel Glück beim Gewinnspiel!

Gabriel Yoran
Gabriel Yoran, Gründer und Geschäftsführer Steganos

Seit Monaten nun veröffentlichen der Guardian und andere Medien tröpfchenweise das Material des Ex-NSA-Zuarbeiters Edward Snowden. Diese andauernden Meldungen sind zu einem Hintergrundrauschen geworden – mittlerweile ist der Eindruck entstanden, die amerikanisch-britische Geheimdienstachse könne so ziemlich alles und nichts und niemand sei vor ihrem Zugriff sicher.

Als Hersteller von Sicherheitssoftware sehen wir uns in der Pflicht wenigstens zu versuchen, etwas Licht ins Dunkel zu bringen. Die Datenlage ist schwach, denn es ist davon auszugehen, dass in Absprache mit den betroffenen Regierungen bewusst Details zurückgehalten werden, um die nationale Sicherheit nicht zu gefährden.

Kann die NSA alle Verschlüsselungen knacken?

Die wichtigste Frage zuerst: Kann die NSA (oder ihre Partner) alle Verschlüsselungen knacken? Davon ist nicht auszugehen – aber das muss die NSA auch gar nicht: Ein Großteil ihrer Arbeit besteht daraus, vor oder nach dem Einsatz von Verschlüsselung Daten abzugreifen. Wenn die NSA Ihren PC verwanzt hätte (wovon in der Breite nicht auszugehen ist), wäre die beste Verschlüsselung der Welt nutzlos – weil die NSA-Trojaner die Daten vorher mitschneiden würden. Ein „sauberer“ PC ist also die Voraussetzung für den erfolgreichen Einsatz von Verschlüsselung.

Als weitere Maßnahme versucht die NSA anscheinend Unternehmen mit Geldzahlungen dazu zu veranlassen, absichtlich Fehler oder Hintertüren in ihre Produkte einzubauen. Derartiges ist bei Steganos nicht passiert. Steganos hat nicht nur keine derartigen Anfragen erhalten, sondern auch unabhängig davon keine Hintertüren, Masterpasswörter oder ähnliches eingebaut. Steganos ist eine deutsche GmbH mit Sitz in Berlin und unterliegt keinem Einfluss aus den USA, Großbritannien oder einem anderen Land. In Deutschland gelten generell strenge Datenschutzgesetze, zudem ist momentan auch keine Vorratsdatenspeicherung vorgeschrieben (eine entsprechende Klage der EU-Kommission gegen Deutschland ist noch nicht entschieden). Diese Situation macht Deutschland zu einem guten Standort für Anbieter von Sicherheitsprodukten. Wir hoffen sehr, dass sich die politische Lage hier nicht verschlechtert, sondern im Gegenteil dieser Standortvorteil erkannt und aktiv gefördert wird.

Persönliche Garantien der Mitarbeiter gegen Unterwanderung

Auf Basis dieser Rahmenbedingungen verpflichtet sich jeder Steganos-Mitarbeiter zusätzlich vertraglich (als Bestandteil seines Anstellungs- oder Dienstleistungsvertrages) dem deutschen Bundesdatenschutzgesetz und gibt persönliche Garantien in Bezug auf die Transparenzregelungen nach dem Muster der Vereinten Nationen ab, die Einflussnahme von außen und eine Unterwanderung des Unternehmens durch Dritte verhindern soll.

Desweiteren gibt sich Steganos strengste Datenschutzrichtlinien, die gleichzeitig auch für unsere Nutzer gut lesbar sein sollen: Die Richtlinien unseres VPN-Produkts Steganos Online Shield sind übrigens gerade erst von Magazin c’t (Ausgabe 20/2013) als „erfreulich konkret“ bezeichnet worden, das Produkt erhielt die besten Bewertungen im Test.

Vorsicht bei Five-Eyes-Ländern – und generell auch

Doch all diese Maßnahmen können nur greifen, wenn unverschlüsselte Daten nicht arglos auf Servern in den USA, in Kanada, Großbritannien, Frankreich, Australien oder Neuseeland gespeichert oder über selbige geleitet wird. In diesen Ländern gilt das sogenannte Five-Eyes-Abkommen, das eine enge Zusammenarbeit der Geheimdienste vorsieht. Möchte man hier auf Nummer Sicher gehen, sollte man folgendes beachten:

a) Falls man ein VPN-Produkt einsetzt, in den Steganos-Produkten Steganos Online Shield und OkayFreedom Server auswählen, die nicht in diesen Five-Eyes-Ländern stehen (es gibt eine große Auswahl an Alternativen). Denn selbst wenn die Steganos-Server in den dortigen Rechenzentren sicher sind, kann nicht mit Sicherheit gesagt werden, was nach der Ausleitung der Daten in diesen Ländern passiert. In der Natur der Sache liegt, dass auch nicht vollkommen klar ist, was in anderen Ländern geschieht, weshalb sich neben einer Verschlüsselung des Transportwegs generell eine Verschlüsselung der Nutzdaten empfiehlt.

b) Setzen Sie Verschlüsselungs-Software ein, um E-Mails, Cloud-Inhalte und Dateien zu verschlüsseln, zum Beispiel die Steganos Privacy Suite. Damit werden Daten bereits auf dem heimischen PC verschlüsselt, also bevor sie ins Internet gelangen.

Verschlüsselung ist Ihr Freund

Egal ob E-Mail, Anhänge oder Nutzung von Cloud-Speichern: Verschlüsselung ist Ihr Freund. Vertrauen Sie der Mathematik, wie die Security-Legende Bruce Schneier sagt. Es gibt keine bekannten Angriffe auf korrekt implementierte moderne Verschlüsselungsverfahren (wie AES 256 Bit). Auch Edward Snowden erklärte im Guardian: „Verschlüsselung funktioniert.“ Anders lässt sich auch der hohe Aufwand, Unternehmen absichtlich Hintertüren einbauen zu lassen (und dafür zu bezahlen) kaum rechtfertigen. Gute Verschlüsselung (mit guten Passwörtern) zu knacken, ist sehr sehr aufwändig und dauert. Es braucht riesige Mengen in Reihe geschalteter Supercomputer und selbst dann ist der Ausgang solcher Attacken ungewiss.

Doch oft ist der Aufwand gar nicht nötig, da die meisten Nutzer ihre Daten nicht verschlüsseln. Die NSA ist nicht nur an Sicherheitsfirmen herangetreten, sondern auch an E-Mail-Anbieter, Cloud-Speicherdienste und soziale Netzwerke. Die US-Unternehmen, die auf irgendeine Weise der NSA helfen (müssen), dürfen nicht darüber sprechen. Nicht nur über die Art und Weise wie sie helfen, sondern ob sie es überhaupt tun. Gegen diese Regelung klagen gerade Google, Microsoft, Yahoo und jetzt auch Facebook. In Deutschland gibt es derartige Regelungen nicht.

Unabhängigkeit von Staaten und Diensten

Eine weitere Möglichkeit für Geheimdienste an Daten zu kommen, ist sie entweder aus einem lokalen (W)LAN, in Kooperation mit Netzprovidern aus deren Rechenzentren oder direkt von Tiefseekabeln abzugreifen. In all diesen Fällen wäre eine gute Verschlüsselung anzuraten, die mindestens die Daten, aber idealerweise auch den Transportweg verschlüsselt. TLS/SSL ist für letzteren Fall ein geeignetes Verfahren, wie es zum Beispiel auch im Steganos Online Shield, Steganos Internet Anonym oder OkayFreedom zum Einsatz kommt. Hier legen die Snowden-Berichte nahe, dass die NSA die für eine sichere Verschlüsselung mit diesem Verfahren notwendigen Zertifikate kompromittiert hat. Steganos signiert daher die in den obengenannten Produkten eingesetzten Zertifikate selbst – ohne auf amerikanische oder sonstige Dienstleister angewiesen zu sein, die möglicherweise zur NSA-Kooperation gezwungen sind.

Wir hoffen, etwas Klarheit in diese komplexe Materie gebracht zu haben. Die andauernden Horrormeldungen über geheimdienstliche Methoden dürfen uns jedenfalls nicht davon abbringen, unsere Daten mit den besten verfügbaren Methoden zu schützen. Und weiter daran zu arbeiten, diese komplexen Techniken für so viele Menschen wie möglich verständlich und verfügbar zu machen – frei von politischer Einflussnahme, Hintertüren und Sollbruchstellen.

Unterkategorien