Lesezeit ca. 9 Min.
arrow_back

Sichere Daten: Die Grundregeln


Logo von LinuxWelt
LinuxWelt - epaper ⋅ Ausgabe 5/2022 vom 29.07.2022
Artikelbild für den Artikel "Sichere Daten: Die Grundregeln" aus der Ausgabe 5/2022 von LinuxWelt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: LinuxWelt, Ausgabe 5/2022

VON HERMANN APFELBÖCK

Dieser Heftschwerpunkt zeigt Maßnahmen, um Router, Desktop-PCs, Mobilgeräte und Serversysteme gegen Angriffe und Datenspionage abzuschirmen. Der einleitende Beitrag ergänzt diese Einzelmethoden durch einen Überblick über die Grundziele der IT-Sicherheit und über die dafür nötigen operativen Maßnahmen.

Prinzipien: Worum geht’s?

Im Detail – hinsichtlich der Einzelmaßnahmen für Geräteschutz, Benutzer- und Zugangskontrolle, Softwarekonfiguration, Backup und Verschlüsselung – sind die Themen Datensicherheit und Datenschutz hochkomplex. Im Prinzip geht es aber nur um drei Problemfelder, und diese sind im überschaubaren Geräte- und Nutzerpark privater Endanwender durchaus beherrschbar:

1. Datenverlust durch interne Fehler: (Hardware-/Systemausfälle, Benutzerpannen): Dies ist das mit Abstand häufigste Szenario für massiven Datenverlust. Die wichtigsten Maßnahmen, hier ...

Weiterlesen
epaper-Einzelheft 6,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von LinuxWelt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 5/2022 von Schatzsuche im Tool-Dschungel. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Schatzsuche im Tool-Dschungel
Titelbild der Ausgabe 5/2022 von Jäger und Sammler. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Jäger und Sammler
Titelbild der Ausgabe 5/2022 von Auf DVD: 6 Mal Linux. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Auf DVD: 6 Mal Linux
Titelbild der Ausgabe 5/2022 von Sagen Sie uns Ihre Meinung – und gewinnen Sie!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sagen Sie uns Ihre Meinung – und gewinnen Sie!
Mehr Lesetipps
Blättern im Magazin
Die besten Desktop-Tools
Vorheriger Artikel
Die besten Desktop-Tools
Home: Individuell verschlüsselt
Nächster Artikel
Home: Individuell verschlüsselt
Mehr Lesetipps

1. Datenverlust durch interne Fehler: (Hardware-/Systemausfälle, Benutzerpannen): Dies ist das mit Abstand häufigste Szenario für massiven Datenverlust. Die wichtigsten Maßnahmen, hier vorzubeugen, wird dieser Beitrag in aller Kürze aufzeigen, zumal dieser Aspekt in den folgenden Artikeln nicht mehr auftritt.

2. Datenverlust durch externe Schadsoftware (Virenbefall und gehackte Server): Dieses Szenario wird oft paranoid überschätzt. Es ist nicht so, dass Killerviren über das Ethernet-Kabel in den Rechner kriechen oder durch das Funknetz einfliegen.

Vielmehr etabliert der Heimrouter für alle angeschlossenen Geräte ein privates Netz, das vom öffentlichen Netz unabhängig ist und jeden Zugriff aus dem Internet ablehnt. Eine Sendung aus dem öffentlichen Netz an den Router wird nur in genau zwei Situationen erlaubt und „durchgelassen“:

A. Der Benutzer hat im Router explizit eine Portfreigabe geschaltet, um den Internetzugriff auf einen Serverdienst zu erlauben. Dabei kann es sich etwa um einen Datenserver, eine Nextcloud oder eine Smart-Home-Funktion handeln, die er von außerhalb nutzen möchte. Dieses Thema kommt in den nachfolgenden Beiträgen zur Sprache und wird nachfolgend nur noch kurz erwähnt. Der allgemeine Rat: Portfreigaben für Serverdienste sind nur etwas für erfahrene Anwender.

B. Damit ein Nutzer am öffentlichen Netz teilnehmen kann, müssen eintreffende Sendungen erlaubt sein, wenn er sie selbst angefordert hat. Das kann eine HTML-Seite, ein Download oder eine Mail sein. Technisch geschieht Folgendes: Eine lokale IP macht eine Anfrage (etwa Mausklick auf Link) auf einem Webserver. Der Router merkt sich die lokale IP, schickt die Anfrage an den Server im öffentlichen Netz. Die Sendung kommt zurück an die öffentliche IP des Heimrouters, der diese aufgrund aktiven Anfrage aus dem lokalen Netz akzeptiert und dann an jene lokale IP schickt, woher der Auftrag kam.

Somit ist klar: Es kommt nichts von außen, was nicht von innen angefordert wurde.

Jedoch ist nicht zu verhindern, dass sich die Nutzer aktiv Sendungen ins lokale Netz holen, die sie besser nicht abrufen sollten – etwa ausführbare Downloads und Mails mit schädlichen Anhängen. Theoretisch ist schon der Klick in Webseiten oder HTML-Mails problematisch, wenn dadurch ausge-

Web-Scripts auf ungepflegte Browser mit Sicherheitslücken treffen. Die wichtigsten Maßnahmen, um die alltägliche Browser- und Mailnutzung abzuhärten, ist ebenfalls ein knappes Thema dieses Beitrags.

3. Datenpreisgabe an Unbekannte (verlorene Datenträger, offene Funknetze, Daten in der Cloud – auch Mail, Browsersynchronisierung): Dies scheint die objektiv harmloseste Bedrohung. Aber was eine versehentliche oder selbst verschuldete Preisgabe personenbezogener Daten anrichten kann, hängt von der Menge und der Qualität der Daten ab. Was US-Big-Data-Sammler aus Verlaufsprotokollen oder unverschlüsselten Clouddateien an persönlichen Interessensprofilen akkumulieren, ist lästig bis alarmierend. Regelrecht existenzgefährdend sind aber verlorene Datenträger, die sensible geschäftliche oder persönliche Informationen direkt enthalten oder die Zugangsdaten zu solchen Informationen wie Firmenserver, Bank, Bezahldienst et cetera. Dieses Datenschutzthema wird später nur mehr in einem speziellen Beitrag zur Home-Verschlüsselung (mit Gocryptfs) behandelt, daher gibt es hier einige wichtige Grundregeln.

Maßnahmen (1): Systemschutz & Backup

Wer seiner Hardware, seinem Betriebssystem und sich selbst ohne Rückversicherung vertraut, ist naiv, faul, fahrlässig. Die Katastrophe kann sich Zeit lassen, aber sie kommt (garantiert). Maßnahmen, die den Fortbestand aller Benutzerdaten oder des gesamten Systems sichern, gibt es in Menge. Dabei stellt sich nur die Frage des Umfangs und Aufwands.

Datenbackups mit Rsync Unter Linux, woNeuinstallationen und Softwarewiederherstellung geringen Aufwand bedeuten, stehen die Benutzerdateien eindeutig im Vordergrund. Und dafür sind Backups oderSynchronisierungen mit Rsync oder Tar eindeutig erste Wahl. Grafische Alternativenwie Freefilesync (<a xmlns="http://www.w3.org/1999/xhtml" href="http://www.freefilesync.org">www.freefilesync.org</a>)scheinen auf den ersten Blick komfortabler,aber ein einmal geprüftes und als Alias abgelegtes Backupkommando ist schneller,effizienter und automatisierbar.Tar hat den Vorteil, dass die Dateisystemevon Quelle und Ziel keine Rolle spielen, daalle Attribute intern gesichert werden, außerdem gibt es optionale Komprimierung.Die Daten landen in Archiven, die jeder Ar<br xmlns="http://www.w3.org/1999/xhtml" />

chivmanager auch ohne Auspacken nutzenkann. Das von uns bevorzugte Rsync hatden Vorteil, dass alle Daten auch auf demSicherungsziel uneingeschränkt zu benutzen sind. Es sichert auf interne und externeLaufwerke, Netzwerkfreigaben und jedenRechner, auf dem ein SSH-Server läuft.Rsync hat reichlich Schalter, doch fasst dieOption „-a“ oder „--archive“ häufig benötigte Funktionen zusammen.rsync --archive /home/ha/ /media/ha/usb/backupDas Beispiel geht davon aus, dass das Ziellaufwerk „/media/[…]“ eingehängt ist. Beachten Sie beim Quellordner immer denabschließenden Slash (/). Für periodischeSicherung ergänzen Sie den Schalter „--update“ oder „-u“, damit nur neue Daten kopiert werden:rsync --archive --update /home/ha//media/ha/usb/backupDie Schalter „--verbose“ („-v“) und „--progress“ („-P“) sind immer zu empfehlen, umden Vorgang gesprächiger zu machen.Eine 1:1-Spiegelung erzwingt der Schalter„--delete“:rsync -auvP --delete /home/ha/ /media/ha/usb/backup

Was in der Quelle ?/home/ha? seit dem letzten Kopiervorgang gelöscht wurde, wirdauch auf dem Ziel gelöscht. Mit falschenPfadangaben wäre das fatal, daher ist vorher ein Testlauf mit „--dry-run“ anzuraten(rsync -av - -delete - -dry-run …).Rsync kann von jedem NetzwerkrechnerDaten beziehen oder dorthin kopieren, woein SSH-Server läuft. Die Sicherung folgtdiesem Schemarsync -auvP -e ssh ha@192.168.0.20:/home/ha/ /home/haoder mitrsync -auvP -e ssh /home/ha/ha@192.168.0.20:/home/hain die andere Richtung.

Laufwerkssicherung: Diese Rückversicherung ist kompromisslos und schließt Systemdaten wie Benutzerdateien ein. Zurbloßen Datensicherung sind solche Laufwerkimages aber zu aufwendig, weil sieperiodisch wiederholt werden müssten, umden geänderten Datenbestand zu repräsentieren. Erforderliche Werkzeuge sinddie Livesysteme Rescuezilla (https://rescuezilla.com) oder Clonezilla (https://clonezilla.org), weil das Kopieren im laufenden System technisch scheitern würde. Clonezilla beherrscht einige Netzwerkfähigkeiten mehr (beim Sicherungsziel) sowie optionale Komprimierung und Verschlüsselung der Imagesicherung. Außerdem kann es einen Datenträger ohne Zwischenschritt einer Imagesicherung direkt auf einen zweiten „klonen“ (Option „device-device“). Das grafische Rescuezilla ist andererseits wesentlich bedienfreundlicher.

Nichts gesichert? Livesystem zur Datenrettung! Streikt das System, aber nicht die Hardware, ist auch ohne Backup noch nichts verloren. Nach dem Rechnerboot mit einem beliebigen, möglichst vertrauten Linux-Livesystem haben Sie vollen Zugriff auf das Home-Verzeichnis und können alle oder ausgewählte Dateien auf ein externes (drittes) Laufwerk retten.

Maßnahmen (2): Sicher im Internet

Eingangstür vom öffentlichen Web ins lokale Netz ist der Router. Die Hackerindustrie klopft permanent und massenhaft beliebige öffentliche IP-Adressen ab – auch Ihren Router, wenn es der Zufall will. Wer Dienste nach außen öffnet, und sei es auch nur eine winzige Smarthome-Funktion, fährt etwas sicherer, wenn der Router im Stealth-Modus arbeitet (Fritzbox: „Internet –› Filter –›

Listen –› Firewall im Stealth Modus“). Er antwortet dann nicht auf Ping-Anfragen aus dem Internet. Hacker-Scripts schicken schnelle Pings oft einem Portscan voraus, um Zeit zu sparen.

Gegen direkte Portscans Ihrer öffentlichen Adresse ist kein Kraut gewachsen, aber auch hier gibt es höhere Hürden: Wenn Sie Ihrem Dienst statt des Standardports (nach

außen) einen selbst gewählten fünfstelligen Port zuweisen, werden die meisten Scans nichts finden, weil sie aus Zeitgründen nur etliche Standardports abfragen.

Das Funknetz: Das WLAN muss natürlich verschlüsselt sein (Fritzbox: „WLAN –› Sicherheit –› Verschlüsselung“). WPA2 oder WPA3 und ein komplexes Kennwort halten die Nachbarn fern, die andernfalls nicht nur mitsurfen könnten, sondern auch Zugang zu den Daten im Heimnetz erhielten. Immerhin besteht hier aber eine weitere Zugangshürde, weil Netzfreigaben in der Regel ebenfalls eine Benutzeranmeldung erfordern.

MAC-Filterung ist eine weitere Abhärtungsmaßnahme, die nur noch definierte Hardware ins WLAN lässt (Fritzbox: „WLAN –› Sicherheit“). Jedes später hinzukommende Gerät im Haushalt oder jedes Besuchergerät muss später explizit mit seiner MAC-Adresse erlaubt werden („WLAN-Gerät hinzufügen“).

Das Betriebssystem: Mit Linux können Sie genau wie unter Windows unfreiwillig Schadsoftware in Downloads, Mails oder Web-Scripts herunterladen – dies aber praktisch ohne Folgen: Linux ist gegen Schadsoftware so gut wie immun, weil fast alle Viren und Würmer für Windows programmiert sind. Solange die Trägerdateien nicht im lokalen Netz auf Windows-Rechner kopiert werden, besteht keine Gefährdung.

Linux statt Windows: Malwareschutz im Internet ist tatsächlich so einfach zu erreichen, und dies unabhängig vom jeweiligen Browser, Mail-, Chat-, FTP-, Usenet- oder Torrent-Client. Für Windows-Nutzer ist es daher der beste Rat, mit einem schlanken Linux in einer virtuellen Maschine (VM) ins Internet zu gehen. Der Bedienkomfort einer VM (unter Virtualbox oder Vmware) ist deutlich höher als mit externen Linux-Surfsystemen, für die man sein Standardsystem verlassen und den Rechner neu booten muss. Wenn ein Desktoprechner mindestens vier bis acht GB RAM mitbringt und einen aktuellen Prozessor, läuft das Linux mit Browser in der VM praktisch genauso flüssig wie in einem nativen System.

Der Browser: Ungeachtet der Linux-Immunität gegenüber Viren bleibt die Gefahr von Java-, Javascript- und PHP-Script, die über Browser-Sicherheitslücken Code einschleusen (meistens Windows-Code, aber rechnen muss man mit allem). Auch Linux-Browser müssen daher ständig aktualisiert werden. Dies geschieht automatisch und zeitnah, aber nur, sofern die Paketquellen dies gewährleisten. So wird bei Debian derzeit ein Aktualisierungsstau kritisiert, der zu veralteten Browsern führt. Ubuntu delegiert seit Version 22.04 die Verantwortung für Firefox an Mozilla. Ein aktueller Firefox ist somit garantiert, allerdings im unbeliebten Snap-Container.

Theoretisch können Browser alle Script-Aktivitäten abschalten (Firefox, „about:config“, „javascript.enabled“ oder Chrome, „Einstellungen –› Datenschutz und Sicherheit –› Website-Einstellungen –› JavaScript“). Das ist aber kaum praktikabel, da es dann Fehlermeldungen hagelt. Ein Kompromiss ist das Add-on Noscript für Chrome und Firefox. Es blockiert Javascript, Java und andere ausführbare Inhalte. Damit ist Noscript der Schädlingsstopp schlechthin, aber ebenfalls unbequem, weil fast jede Webseite Script-Code verwendet. Immerhin landen einmal erlaubte Sites in einer Whitelist und müssen später nicht mehr bestätigt werden, aber zunächst müssen Sie auf vielen interaktiven Seiten die Script-Ausführung manuell erlauben.

Das Mailprogramm: Mails an sich sind nicht gefährlich. Aber sie sollten Mails bleiben und nicht ins Web gehen. Und Mailanhänge von Unbekannten haben auf dem System nichts verloren. Beim unter Linux meistgenutzten Mailclient Thunderbird lohnen sich folgende Optionen: Die Einstellung „Ansicht –› Nachrichteninhalt –› Reiner Text“ verhindert die hübsche Anzeige von HTML-Format, damit aber auch trügerische Tarnoptik und Links. Ein Kompromiss ist „Vereinfachtes HTML“. Unter „Extras –› Einstellungen –› Datenschutz & Sicherheit“ sollte „Externe Inhalte in Nachrichten erlauben“ abgeschaltet sein. Nützlich ist ferner weiter unten die interne Phishing-Heuristik: „Nachrichten auf Betrugsversuche (Phishing) untersuchen“.

Thunderbird bietet dafür das „Hauptpasswort“ („Extras –› Einstellungen –› Datenschutz & Sicherheit –› Hauptpasswort verwenden“. Dadurch werden die Zugangsdaten verschlüsselt, sodass ein Fremdzugriff auf Dateiebene erfolglos ist. Eine weitere Datenschutz-Bitte, der nicht alle Seiten folgen werden, ist die Option „Websites eine „Do Not Track“-Mitteilung senden“. Dies ist aber sowieso hinfällig, sofern sich man die Mails als Reintext zeigen lässt.

Wenn Sie dann noch auf Notebooks Ihre Zugangsdaten schützen, sind Sie auch datenschutztechnisch auf der sicheren Seite.

Maßnahmen (3): Datenschutz und Verschlüsselung

Notebooks, USB-Medien, Cloud: Alles, was das Haus und das lokale Netz verlässt, kann in fremde Hände gelangen oder ist in fremden Händen. Verschlüsselung sorgt dafür, dass die Daten nichts preisgeben.

1. Mobile Notebooks: Bei Notebooks, die viel unterwegs sind, sollte man mit kleineren Lösungen erst gar nicht anfangen: Hier empfiehlt sich eine Linux-Installation mit verschlüsselter Systempartition (Luks/

Cryptsetup). Das verlorene oder unbeaufsichtigte Notebook lässt dann auch beim Booten durch ein Fremdsystem keinerlei Einblick in die Daten zu. Die meisten Linux-Installer (Ubuntu-Derivate, Debian-Derivate, Open Suse, Fedora, Manjaro und andere) bieten diese Option im Partitionierungsdialog direkt an. Voraussetzung ist dabei immer, dass Sie dem Löschen der primären Festplatte zustimmen und das neue System diese komplett übernehmen darf. Cryptsetup-verschlüsselte Systeme aben nur eine winzige unverschlüsselte Boot-Partition, alles andere wird erst aufgesperrt, wenn nach „Please unlock disk […]“ das korrekte Passwort eingegeben wird.

2. USB-Medien: USB-Datenträger lassen sich ebenfalls mit Luks/Cryptsetup verschlüsseln. Die Maßnahme ist aber gut zu überlegen, weil damit ein Austausch mit Windows- oder Mac-Systemen ausscheidet.

Die Aktion ist mit Gnome-Disks oder dem KDE-Partitionmanager ganz einfach: Nach Eine Nutzung unter Windows ist dann allerdings nicht möglich. . „Partition formatieren“ wählen Sie als „Typ“ den Eintrag „Verschlüsselt, kompatibel mit Linux-Systemen (LUKS + Ext4)“ und vergeben die „Passphrase“ – also das Kennwort.

3. Cloud, USB und sensible Dateien: Einfachster Schutz bei geringeren Datenmengen ist die Ad-hoc-Verschlüsselung von Einzeldateien oder eines Ordners. Ohne Einschränkung anwendbar ist der Packer 7Zip (Paket „p7zip-full“). Passwortgeschützte Archive eignen sich für Dateien in der Cloud, können aber auch für mobile Datenträger ausreichen. Da es 7-Zip für Linux, Windows und Mac-OS (7zX) gibt, ist der Austausch solcher Archive problemlos. 7-Zip erscheint unter Linux nicht als selbständiges Programm, sondern integriert sich in die „Archivverwaltung“. In Zusammenarbeit mit dieser Archivverwaltung oder dem 7z-Filemanager unter Windows ist Verschlüsseln und Entschlüsseln recht komfortabel: Sie ziehen Datei oder Ordner einfach mit der Maus in das Fenster („Archivverwaltung“ oder „7-Zip“), bestätigen unter Linux, dass damit ein neues Archiv angelegt werden soll, und geben dann das Format „7z“ an. Unter „Erweiterte Einstellungen“ vergeben Sie das Passwort.