Schon 1997 startete der Heise Verlag seine
Krypto-Kampagne und zertifizierte digitale Schlüssel. Jedoch ist bis heute das Arbeiten mit verschlüsselten Daten und Kommunikationswegen leider nicht ausreichend verbreitet. Zum Beispiel werden noch immer häufig vertrauliche Daten in unverschlüsselten E-Mails verschickt; lesbar wie eine Postkarte. Da sich nun aber mittlerweile mehr Internet-Nutzer, auch aufgrund aktueller Gesetzesänderungen, für die Themen Datenschutz und Privatsphäre interessieren, möchte ich hier ein paar kleine Einstiegshilfen aufzeigen.
Warum Daten sichern
Einige Leser fragen sich an dieser Stelle sicherlich, warum ihre Daten überhaupt geschützt oder verschlüsselt werden sollten. Ein paar ausführliche und verständliche Antworten auf diese häufig aufkommenden Fragen gibt zum Beispiel das
Einführungskapitel der CryptoCD.
Die CryptoCD und weitere Software-Pakete
Auf der
CryptoCD sind alle nötigen Programme enthalten, um das Chatten, Mailen und Surfen unter Linux, MacOS X und Windows abzusichern. Für Benutzer des Betriebsystems MacOS X hält die Webseite "
Mac GNU Privacy Guard" und für Windows-Benutzer "
Gpg4win" weitere Anleitungen und Programme bereit, die den alltäglichen Umgang mit signierten oder verschlüsselten Daten vereinfachen.
Vertrauliche Informationen
Vorallem Datenträger mit geschäftsinternen Daten sollten verschlüsselt werden. Gestohlene Notebooks, durch einen Einbruch entwendete Computer oder achtlos weggeworfene Festplatten enthalten oft genug sensible Daten. Um dadurch eventuell entstehenden Schäden vorzubeugen, bieten sich Programme wie "
CryptoBox" oder "
TrueCrypt" an. Sie sind in der Lage ganze Dateisysteme zu verschlüsseln. Die auf der Linux-Distribution "
Debian" basierenden CryptoBox-LiveCD ermöglicht den Betrieb eines Dateiservers ohne fest eingebaute Festplatten. So ließe sich zum Beispiel eine USB-Festplatte an einem kleinen, stromsparenden Rechner betreiben und außerhalb der Arbeitszeiten leicht im Tresor verstauen.
Web of Trust
Im "
Netz des Vertrauens" werden die Echtheiten der digitalen Schlüssel gegenseitig oder über Dritte bestätigt. Dies ermöglich eine schnelle und einfache Verbreitung der Authentizität eines Schlüssels und des Inhabers. Die gemeinschaftsbetriebene Zertifizierungsstelle "
CAcert" ermöglicht, nach ausreichenden Bestätigungen, auch das erstellen kostenloser Server-Zertifikate.
Im OpenSource-Pendant zu Google Analytics "Piwik" gibt es im Bereich der automatisierten Archivierung über ein Shell-Skript einen kleinen Denkfehler, der Unbefugten über die API Zugriff auf Statistiken ermöglicht. Das Skript liegt standardmäßig im Verzeichnis piwik/misc/cron/ welches über HTTP abrufbar ist. Da in diesem Skript zur Zeit noch der geheime API-Schlüssel hinterlegt sein muss, lässt er sich über einen simplen HTTP-Aufruf auslesen. Abhilfe schafft vorerst das Verschieben des Skripts in ein Verzeichnis außerhalb des DocumentRoot-Verzeichnisses oder eine .htaccess-Datei mit der Zeile "Deny from all" im cron-Verzeichnis. Ein Ticket zu diesem Problem habe ich schon erstellt und es wird an einer allgemeinen Lösung gearbeitet.
