Nicht zuletzt seit Edward Snowdens Enthüllungen über die umfassende Überwachung durch den NSA ist klar, dass digitale Verschlüsselung notwendig ist, um sich vor Ausspähung zu schützen.
Ich möchte diesen Artikel damit beginnen Technik interessierten Mitmenschen den groben Aufbau des Handy- (GSM) Netzwerks zu erläutern. Dieser Abschnitt soll unter anderem erklären, wieso das Netz zwingend weiss, wo man sich aufhält, was IMSI-Catcher sind und wie sie funktionieren; er kann allerdings auch getrost übersprungen werden, ohne dass dir die Grundlage zum Verständnis des restlichen Artikels fehlt.
Grober Aufbau des Handy-Netzwerks
Eine SIM-Karte (Subscriber Identity Module) kennt wahrscheinlich jeder. Man bekommt sie von seinem Provider und über sie Zugriff zum Netz. Das liegt daran, dass auf der SIM-Karte ein Schlüssel (heutzutage ein 128 Bit AES-Key) hinterlegt ist, der sich beim Provider ebenfalls in einer Datenbank (AUC) befindet, sowie die IMEI-Nummer (International Mobile Station Equipment Identity), die diese Karte eindeutig identifiziert. Du kannst die IMEI herausfinden, indem du *#06# wählst. Des weiteren enthält sie die IMSI-Nummer (International Mobile Subscriber Identity), das ist quasi deine interne Kunden-Identifizierungsnummer.
Die SIM-Karte selbst ist eigentlich ein kleiner Computer, auf dem JavaCard läuft. Wenn du mehr zu dem Thema wissen möchtest, empfehle ich den Vortrag „The Secret Life of SIM Cards“ (1).
Das Telefon verbindet sich mit einem Sendemast, der an einer Base Transceiver Station (BTS) angeschlossen und für die Steuerung des Sendemastes verantwortlich ist, sowie für die Ver- und Entschlüsselung des Signals. Zehn bis 100 (je nach Provider) dieser BTS sind mit einem Base Station Controller (BSC) verbunden. Der BSC ist unter anderem für die Weitergabe des Handys zwischen den verschiedenen Masten zuständig.
Die BSCs wiederum sind mit dem Mobile Switching Center (MSC) vernetzt. Das ist die Vermittlungsstelle des Mobilfunknetzes, die dafür sorgt, dass dein Anruf oder die Internetverbindung ihren Weg zum Ziel findet. An ihr ist die Kundendatenbank (HLR) angeschlossen, die deine persönlichen Daten und die Funkzelle, in die du momentan eingebucht bist, enthält, sowie weitere Einstellungen wie Rufumleitung.
Wenn du das Telefon anschaltest, authentifiziert es sich mit dem GSM-Netz. Das funktioniert ähnlich wie ein mit Passwort geschütztes WLAN. Die Basisstation schickt andauernd sogenannte Beacons, ein Datenpaket in dem u.a. die Channel-Nummer, der Country-Code und der Network-Code enthalten sind. So findet dein Telefon den Mast deines Providers oder weiss, dass es sich in einem fremden Land befindet. Dein Telefon schickt nun die IMSI-Nummer, mit der der Provider deine Daten nachschlagen kann. Das Authentication Center (AUC) sucht den Schlüssel, der sich auch auf deiner SIM befindet, heraus und berechnet mit ihm und einer Zufallszahl einen neuen Schlüssel, den sogenannten Kc, der für die Verschlüsselung der Verbindung benutzt wird. Der Kc wird an die Basisstation übertragen. Die verwendete Zufallszahl wird deinem Telefon mitgeteilt. Sofern der Schlüssel auf der SIM mit dem in der AUC übereinstimmt, berechnet dein Telefon den selben Kc und hat sich so beim Netzwerk authentifiziert.
Das Netz muss sich allerdings nicht gegenüber deinem Telefon authentifizieren, was sogenannte IMSI-Catcher ausnutzen. Sie simulieren eine Basisstation, mit der anschliessend alle deine Telefonate und dein Internetverkehr mitgehört bzw. mitgeschnitten werden können. Die Basisstation bestimmt, ob und welche Verschlüsselung für die Verbindung verwendet wird. So kann ein IMSI-Catcher die Verschlüsselung einfach abstellen und deine Daten stellvertretend zum Mobilfunkanbieter weiter reichen. Mehr über die Funktionsweise von IMSI-Catchern findest du in dem Artikel „The effectiveness of a homemade IMSI catcher“ (2).
Stand der Dinge
Laut einer Statistik von Duo.com (3) vom Juli 2016 ist die Software auf 82% aller Android-Smartphones, die keine Nexus-Geräte sind (also von einem Drittanbieter stammen), nicht auf dem aktuellem Sicherheits-Stand. Für Iphones konnte keine Statistik ermittelt werden. Der schlechte Stand des Patch-Levels liegt zum Teil daran, dass Anbieter von Android-Smartphones meist nur zwei bis drei Jahre Updates anbieten, die Geräte zum Teil aber erheblich länger benutzt werden. Was aus umwelttechnischer Sicht und nach dem Prinzip der Nachhaltigkeit sehr erstrebenswert ist, aus Sicht der Sicherheit allerdings ein ziemliches Problem darstellt. Apple bietet immerhin fünf Jahre Sicherheitspatches für seine Geräte.
Fairphone ist der einzige dem Autor bekannte Anbieter von langlebigen Android-Geräten, die alle Sicherheitsaktualisierungen erfahren.
Die meisten anderen Handy-Hersteller von Android-Geräten wurden dabei erwischt, dass sie dem Benutzer falsche Versionsnummern anzeigen, um ihn so in trügerischer Sicherheit zu wiegen (4). Deswegen ist es empfehlenswert sein Android-Smartphone ab und an mit der App SnoopSnitch auf bekannte Sicherheitslücken, die monatlich aktualisiert werden, zu überprüfen. Die Verwendung der App StagefrightDetector hingegen ist nicht zu empfehlen, da diese den Versionsnummern der verschiedenen Anwendungen vertraut und so gegebenenfalls Sicherheitslücken nicht erkennt.
Die Verschlüsselung bzw. die Zugangskontrolle eines Iphones kann nach aktuellem Stand (25.05.2018) von Bedarfsträgern mit Hilfe eines „GrayKey Iphone Cracker“-Gerätes innerhalb von zwei Minuten geknackt werden. Bei einem Android ist dies nicht der Fall, es sei denn der Besitzer hat den USB-Debugging Modus über die Entwickler-Werkzeuge aktiviert.
Und übrigens Menschen, die behaupten es sei eventuell möglich selbst bei ausgeschaltetem Telefon über das interne Mikrofon abgehört zu werden, sind weniger verrückt, als es vielleicht den Anschein haben mag. Schon im Jahre 2006 gab es einen Fall, dass über die OTA- (Over-the-Air) Schnittstelle ein amerikanischer Provider auf Wunsch von Strafverfolgungsbehörden unbemerkt die Firmware eines Nokia-Telefons aktualisiert und so versteckte Raumüberwachung ermöglicht hat (5). Das gilt theoretisch ebenfalls für moderne Autos.
Allgemeine Empfehlungen
Für Smartphones gelten dieselben Grundregeln wie für „normale” Computer (und noch ein paar mehr, weil sie mehr Dienste anbieten):
Die wichtigste Regel lautet: „Je weniger Software du installierst, desto weniger Angriffsmöglichkeiten gibt es“, gleich gefolgt von dem Prinzip: „Je weniger Einsatzgebiete, desto weniger Risiko”. Die drittwichtigste Regel sollte eigentlich jedem bekannt sein: „Installiere immer alle Sicherheitsupdates.”
Die letzte Regel ist bei Smartphones noch schwieriger umzusetzen als schon bei normalen Computern, weil man hier stark vom Anbieter abhängig ist, ob dieser länger als zwei Jahre Sicherheitsupdates bereitstellt. Versierten Anwendern mit dem richtigen Telefon steht die Möglichkeit offen ein alternatives Betriebssystem wie LineageOS (der Nachfolger von Cyanogenmod) zu installieren, doch ist der Prozess nicht trivial, weil hierfür das Gerät noch „gerootet” werden muss und die Gefahr besteht, dass es anschliessend nicht mehr betriebsfähig ist. Es wird in naher Zukunft mit Librem Phone (6) ein Smartphone geben, das direkt ein freies Betriebssystem installiert hat, welches unabhängig vom Anbieter mit Aktualisierungen versorgt werden soll.
Ein Smartphone bietet im Vergleich zu einem Laptop noch eine Reihe zusätzlicher Sensoren wie z.B. den Gyrosensor, der nicht nur Schritte zählen sondern gegebenenfalls auch das Passwort mitlesen (7) oder Gespräche mithören kann (8).
Ortungsdienste über GPS oder WLAN sind praktisch zur Navigation in fremden Städten, zeichnen aber zusätzlich zum GSM-Netz ein Bewegungsprofil auf. Google nutzt diese Daten, um solch Zusatzfunktionen anzubieten ala „Sie fahren jeden Freitag mit dem Auto nach XY, diesen Freitag wird es zu ihrer gewohnten Zeit sehr wahrscheinlich Stau geben. Sie sollten eine Stunde früher fahren.” Zumindest mir wird bei solchen Vorschlägen mulmig.
Dienste wie Mobiles Internet, WLAN, Bluetooth und GPS sollten immer abgeschaltet sein, solange sie nicht gerade in Gebrauch sind. Das spart nicht nur Strom, sondern auch Daten. WLAN-Netze, die du nicht mehr oder nur selten verwendest, solltest du löschen, denn das Telefon fragt bei eingeschaltetem WLAN immer zu, ob eins dieser Netze erreichbar ist. So verrät es nicht nur zu welchen Netzen du jemals verbunden warst, ein Angreifer kann auch einfach behaupten solch ein Netz zu sein und dein Telefon verbindet sich dann mit ihm.
Sprachsteuerung ist heutzutage der letzte Schrei. Alle möglichen Geräte wie Fernseher, PC, Smartphone oder eine eigenständige Box wie Alexa bieten es an. Meist werden sie durch einen Befehl wie „Ok, Google“ aktiviert und alles, was du danach bis zu einer Pause sagst an einen Server geschickt, der sich meist in den USA befindet. Dort werden deine Sprachdaten analysiert, gespeichert und der Befehl zurück geschickt, den du hoffentlich ausführen wolltest. Ich empfehle die Sprachsteuerung zu deaktivieren. Unter Android geht das im Einstellungsmenu unter „Sprache“ und dem Untermenu „Ok Google”; bei einem Iphone in den Einstellungen im Menu „Allgemein” im Untermenu „Siri”.
Wenn du dein Android Phone verwendest, bist du permanent in deinen Google-Account eingeloggt und sofern du keine Privatsphäre-Einstellungen vorgenommen hast, musst du davon ausgehen, dass Google so ziemlich alles, was du mit dem Telefon machst, mitprotokolliert: Suchanfrage, aufgerufene Webseiten, angeschaute Videos, Standortdaten und Sprach-Befehle. Sofern du das nicht möchtest, solltest du unter https://myaccount.google.com/intro/privacycheckup alle nicht benötigten Einstellungen pausieren.
Unter https://myactivity.google.com/myactivity kannst du sehen, was Google bisher über dich gespeichert hat und die Einträge einzeln löschen.
Bei einem Iphone kannst du in der Settings-App die Location-Services deaktivieren, um zu verhindern, dass Apple ein komplettes Bewegungsprofil von dir erhält (dein GSM-Provider hingegen schon).
Manche von Euch fahren vielleicht mit Uber? Glückwunsch! Seit einem 3/4 Jahr wird euer Standort nur noch während der Fahrt aufgezeichnet und bei Uber gespeichert (9) und nicht mehr die gesamte Zeit. Die bisher angelegten Bewegungsprofile wurden allerdings nicht gelöscht.
Lies dir immer durch, welche Berechtigungen du welchen Apps gibst, vor allem, wenn sie auf den Standort, Kontakte, Anruflisten, die Kamera, das Mikrofon und deine Bilder zugreifen wollen. Frage dich, ob du wirklich möchtest, dass sie alles sehen, lesen oder hören könnten, was du ihnen erlaubst. Sie fragen wahrscheinlich nicht nur so zum Witz. Im Zweifelsfall installiere die App nicht.
Auf die sichere Konfiguration seines Web-Browser wird hier nicht weiter eingegangen, da dies schon im Artikel „Sicherer browsen“ in der GWR 428 vom April 2018 erläutert worden ist.
Passwort, PIN, Biometrie oder Muster?
Das Smartphone sollte vor unerlaubten physikalischen Zugriffen geschützt sein. Leider wird selbst diese einfache Massnahme aus Komfortgründen oft nicht berücksichtigt, was unter anderem Strafverfolgungsbehörden bei einer eventuellen Durchsuchung in die Hände spielt.
Am sichersten ist nach wie vor die Eingabe eines mindestens achtstelligen Passworts bestehend aus möglichst vielen Zeichenklassen (Gross- / Kleinschreibung, Zahlen, Sonderzeichen) oder eine wenigstens sechs- besser acht oder mehrstellige PIN, sofern es sich nicht um deinen Geburtstag, eine fortlaufende Zahlenreihe oder ähnliche unsichere Kombinationen handelt. Am zweitsichersten ist die Authentifizierung mittels Fingerabdruck, jedoch brauch wohl nicht erwähnt werden, dass man seinen Fingerabdruck überall hinterlässt und es nicht sehr schwer ist ihn zu kopieren (10). Das Kopieren der Iris ist noch viel einfacher, vor allem, wenn man ein hochauflösendes Foto von dir hat (11). Am schlechtesten schützt die Eingabe von Mustern auf der Tastatur, denn die meisten Menschen zeichnen eins von zehn Mustern (z.B. ein L oder U in richtiger oder verkehrter Reihenfolge, der Buchstabe X ist ebenfalls beliebt).
Es sei noch angemerkt, dass sich bei neueren Telefonen auch eine Two-Factor-Authentifikation – also die Kombination aus Biometrie und Passwort- / PIN-Eingabe – aktivieren lässt. Grundsätzlich ist das sicherer als nur eine Passwort- / PIN-Eingabe, es bleibt jedoch jedem selbst überlassen, ob der geringe Zuwachs an Sicherheit die Speicherung seiner biometrischen Daten rechtfertigt.
Festplattenverschlüsselung
Selbst wenn das Smartphone durch eine PIN geschützt ist, kann eine unberechtigte Person immer noch die SD-Karte herausnehmen oder das Telefon öffnen, um an den internen Speicher zu gelangen. Ist dieser unverschlüsselt, hat sie sofort Zugriff auf alle Informationen, die auf dem Telefon gespeichert sind und je nachdem sogar auf die Daten, die du schon lange gelöscht hattest. Deshalb solltest du immer alle Speicherkarten und die interne Festplatte verschlüsseln.
Unter Android geht das nachträglich in den Einstellungen unter System -> Sicherheit -> Telefon verschlüsseln und SD-Karte verschlüsseln. Bei manchen Anbietern versteckt sich ersteres unter den erweiterten (oder anderen) Sicherheitseinstellungen.
Bei einem Iphone reicht es, das Telefon durch einen Passcode, Touch-ID oder ähnliches zu schützen, damit IOS den internen Speicher verschlüsselt. Dies erreicht man über das Einstellungs-Menu unter Touch ID & Passcode.
Chats und Messenger
Die mit Abstand am weitesten verbreitetste Chat-App ist ohne Frage Whatsapp von Facebook. Das Geschäftsmodell von Facebook dürfte spätestens seit dem Cambridge-Vorfall jedem bekannt sein: Daten sammeln, möglichst genaue Profile der Benutzer*innen anlegen und verkaufen. Jedem sei selbst überlassen, ob er seine Privatsphäre verschenken möchte oder nicht.
Whatsapp verfügt mittlerweile über dieselbe Ende-zu-Ende-Verschlüsselung wie Signal. Gerüchte über eine Hintertür können nicht belegt werden (12). Sofern neben Whatsapp noch Facebook auf dem Smartphone installiert ist, könnte Facebook technisch allerdings die Whatapp-Mitteilungen vor der Verschlüsselung mitlesen (13).
Es gibt mittlerweile eine ganze Reihe an alternativen Chat-Programmen, deren Geschäftsmodell nicht Daten-Sammelei ist und manche sind sogar als freie Software verfügbar, so dass andere Programmierer nachlesen können, wie diese Apps intern funktionieren.
Die am weitesten verbreitete Alternative ist Signal (empfohlen u.a. von Edward Snowden). Der Hauptprogrammierer von Signal zeichnet sich ebenfalls für die Verschlüsselung von Whatsapp aus, allerdings wurde bei Signal die Schlüssel-Austausch-Hintertür weggelassen. Signal ist kostenlos und Open Source und unterstützt alle gängigen Features von Whatsapp, von chatten, über Bilder und Dateien austauschen bis hin zu Telefonie. Signal bietet ebenfalls einen Desktop-Client. Die Registrierung muss jedoch über die Smartphone App erfolgen.
Eine weitere Alternative ist Threema, das zwar leider nicht Open Source ist, dafür aber von einer unabhängigen Firma auf seine Sicherheit hin überprüft und zertifiziert worden ist. Threema kostet drei Euro und bietet ebenfalls alle gewohnten Features an. Die Server des Dienstes stehen in der Schweiz und sind dementsprechend dem Schweizer Datenschutz verpflichtet.
Relativ neu hinzugekommen ist Wire, das es sowohl als Smartphone-App als auch als Desktop-Programm gibt und unter https://app.wire.com/ die Möglichkeitbietet Web-basiert zu chatten. Wire behauptet von sich Open-Source zu sein, jedoch ist der Source-Code nicht frei verfügbar, lediglich eine Beschreibung des verwendeten Verschlüsselungsalgorithmus. Erfreulich ist, dass es komplett ohne Smartphone funktioniert.
Von einer Verwendung des Messengers Telegram ist aus Sicherheits-Gesichtspunkten dringend abzuraten. Er wiegt seine Benutzer*innen in einer Sicherheit, die entweder nicht vorhanden oder nicht sehr standhaft ist. (14)
Signal und Threema kann man beide noch über ein Extra-Passwort vor fremdem Zugriff schützen und sorgt zugleich dafür, dass die lokalen Daten verschlüsselt werden.
Die Facebook Messenger App hingegen ist vor kurzem dadurch aufgefallen, dass sie bis Ende letzten Jahres die Kontakte, SMS und den Anruf-Verlauf der Benutzer ausspioniert hat (15).
Open-Source Anwendungen
F-Droid bietet eine bunte Sammlung an Open-Source Anwendungen für Android. Leider ist es nicht über den Play-Store installierbar, so dass man mit dem Web-Browser auf die Seite https://f-droid.org/, dort auf den Download-Link klicken und anschliessend in den Einstellungen die Installation aus unbekannter Quelle erlauben muss. Android fragt nach, ob dies nur für die aktuelle Installation gilt, den Haken sollte man besser nicht wegklicken.
Wurde F-Droid erfolgreich installiert, kannst du es wie Google-Play verwenden, um Open-Source Anwendungen u.a. für die Wettervorhersage, Datei-Manager, Bilder-Gallerie, Lexikon, RSS-Reader, Kalender, Todo-Listen- und Passwort-Verwaltung, einfache Spiele, Ebook-Reader, Restaurant-Guide für vegetarische und vegane Restaurants, Schrittzähler, Vokabeltrainer, Frag-den-Staat und viele weitere zu installieren.
Navigation und Location-based Services
Google Maps verwendet wahrscheinlich jeder gerne, um ein unbekanntes Ziel zu finden oder sich bestimmte Geschäfte und ähnliches in der Nähe anzeigen zu lassen. Diese Funktionalität kann man auch haben, ohne dass man Google seine Daten preisgibt mit Openstreet Map bzw. der App HERE WeGo, die es ausserdem erlaubt Offline-Karten herunterzuladen. Allerdings funktioniert die App nur mit eingeschaltetem GPS.
Sofern man auch ohne GPS navigieren oder sich einfach in einer anderen Stadt umschauen möchte, sollte man stattdessen lieber OSMAnd+ aus dem F-Droid Repository installieren. Nimmt man stattdessen die Version aus dem Google Play Store, sind nur die ersten sieben Karten kostenlos, danach kostet jede weitere Karte 3,59 EUR.
Die Daten von Openstreet Map werden von einer grossen Community gepflegt und sind auch via Web erreichbar unter https://www.openstreetmap.org/
Fazit
Die GSM-Verschlüsselung S7 ist seit mindestens acht Jahren gebrochen. Ein Telefonat kann innerhalb von 30 Sekunden oder weniger entschlüsselt werden (16). Einen IMSI-Catcher kann sich heutzutage jeder Bastler für unter 400 Euro selber bauen. Das Betriebssystem seines Smartphones hat man nicht unter Kontrolle, solange es nicht gerootet ist, sowohl Apple als auch Google sammeln in den Standard-Einstellungen munter Daten und die Firmware des Handys kann unbemerkt via OTA-Schnittstelle ausgetauscht werden.
Ein Smartphone sollte dementsprechend mit Umsicht verwendet werden und man sollte abwiegen, ob und welche privaten Daten man ihm anvertrauen möchte. Im Zweifelsfall ist es besser, es einfach zu Hause liegen zu lassen, vor allem, wenn man zu einer Demo oder zu ähnlichen Aktionen unterwegs ist.
Bastian Ballmann / Artikel aus: Graswurzelrevolution Nr. 432, Oktober 2018, www.graswurzel.net
Fussnoten:
(1) https://www.defcon.org/images/defcon-21/dc-21-presentations/Koscher-Butler/DEFCON-21-Koscher-Butler-The-Secret-Life-of-SIM-Cards-Updated.pdf
(2) http://www.delaat.net/rp/2015-2016/p86/report.pdf
(3) https://duo.com/decipher/android-phones-nexus-wins-for-security-updates
(4) siehe: https://thehackernews.com/2018/04/android-security-update.html
(5) https://www.schneier.com/blog/archives/2006/12/remotely_eavesd_1.html
(6) https://puri.sm/shop/librem-5/
(7) https://www.techradar.com/news/scientists-find-a-way-to-crack-your-phones-password-using-just-the-accelerometer
(8) https://www.golem.de/news/smartphone-hacker-koennen-gespraeche-ueber-gyroskop-abhoeren-1408-108637.html
(9) https://www.reuters.com/article/us-uber-privacy/uber-to-end-post-trip-tracking-of-riders-as-part-of-privacy-push-idUSKCN1B90EN
(10) https://www.youtube.com/watch?v=OPtzRQNHzl0
(11) https://media.ccc.de/v/biometrie-s8-iris
(12) https://signal.org/blog/there-is-no-whatsapp-backdoor/
(13) https://www.heise.de/mac-and-i/meldung/Entwickler-Facebook-kann-WhatsApp-Chats-einsehen-trotz-Ende-zu-Ende-Verschluesselung-4023461.html
(14) Die Hintergründe beleuchtet u.a. der Artikel unter https://gizmodo.com/why-you-should-stop-using-telegram-right-now-1782557415
(15) Siehe http://feedproxy.google.com/r/TheHackersNews/3/H2AurjI6Lts/facebook-android-data.html
(16) https://www.heise.de/security/meldung/Handygespraeche-schnell-entschluesseln-1048311.html