Sep 242015
 

Zusammenfassung

Mit diesem Text möchte ich einen Vorschlag machen mit dem Ziel einen Konsens zu finden, wie wir Selbständige und Kleinunternehmer Daten über das Internet austauschen sollten.

Version 0.3 vom 24.09.2015

geralt / Pixabay

geralt / Pixabay

Einleitung

Ich halte es für wichtig, sich untereinander zu unterstützen, sprich: was der eine in einem Projekt nicht kann holt er sich dafür von einem anderen. Wir haben in der Regel keine Security-Policies wie große Unternehmen, keine standardisierten Abläufe. Ich möchte helfen solche Standards zu schaffen. Immer wieder kommt es vor, dass ich als selbständiger Einzelunternehmer Daten mit anderen austauschen möchte. Das können Zugangsdaten für eine neue Webseite sein oder auch solche, die ich als Spezialist erhalte um mir einen bestimmten Sachverhalt anzuschauen.

Jedes mal frage ich, welches Verschlüsselungsverfahren wir zum Austausch nutzen sollen. Und stets bekomme ich die Antwort: keins. Dann bekomme ich das Passwort bestenfalls per Mail und die letzten paar Zeichen als SMS. Einmal habe ich einen USB-Stick per Post verschickt. Sicher ist was anderes, finde ich und frage mich, wie ihr anderen wohl eigene und Kundenpasswörter vor unbefugtem Zugriff schützen.

Daraufhin hatte ich die Idee ein paar Lösungsmöglichkeiten aufzuschreiben mit dem Ziel, zufriedenstellend sichere und praktikable Lösungen zu erarbeiten.

Diese Lösungen stelle ich hiermit zur Diskussion.

Klaus Löfflad im September 2015
Spezialist für Apple Produkte
http://train4media.de


 Inhalt

Dieser Text ist in drei Abschnitte eingeteilt:

  1. Daten sicher aufbewahren
  2. Daten austauschen
  3. Diskussion

1. Daten sicher aufbewahren

Wenn ich von Daten spreche meine ich

  • Login-Namen
  • Passworte
  • Namen, Adresse, Telefonnummern, E-Mail Adressen
  • Backups und Konfigurationsdateien
    (die andere hier aufgelistete Daten enthalten können)
  • verwendete Hardware wie beispielsweise Handbücher
    (über diese können Informationen über Schwachstellen in Erfahrung gebracht werden)

Grundsätzlich empfehle ich, sämtliche Festplatten zu verschlüsseln. Mit dem Mac ist das sehr einfach: rechtsklick auf die Festplatte → Festplatte verschlüsseln. Mit Windows kenne ich mich nicht aus. Da gibt es BitLocker (Windows Ultimate), Forks von TrueCrypt und anderen. Der ganze Computer sollte mit einem Bios- oder Firmwarepasswort versehen werden, damit man das Gerät nicht einfach mit einem anderen Betriebssystem oder Firmware versehen kann. Dies zusammen sollte schonmal ein großes Stück Sicherheit vor Datenklau geben (bei Verlust des Laptops oder Einbruch). Denkt an die Möglichkeit, dass einer bei euch einsteigt gerade wegen der Daten eines vielleicht begehrten Kunden (Wirtschaftsspionage). Das kann als verlängerter Arm des Geheimdienstes auch die nichtsahnende Polizei sein mit einem Durchsuchungsbefehl.

Des weiteren kann man (zusätzlich) verschlüsselte Dateien oder Ordner anlegen. Ich persönlich erzeuge ein verschlüsseltes DiskImage und speichere das Passwort verschlüsselt mit PGP auf der Festplatte ab. Somit bin ich in der Lage dieses Image auf im Grunde jedes Cloud-Laufwerk zu legen.

Auch Backups sollten verschlüsselt werden. TimeMachine am Mac lässt sich mit einem Klick wie oben beschrieben verschlüsseln. Auch Off-Site Backups (also Sicherungen im Internet) sollten komplett verschlüsselt werden, bevor sie den Rechner verlassen. Allein schon aus den Gründen, dass niemand feststellen kann, welche Daten ich gerade sichere. Ich mache diese Backups mit Arq bei Amazon sowie über BitTorrent Sync auf meinem Server im Office. Beide arbeiten über das Internet. Natürlich lässt sich auch ein selbst gehostetes OwnCloud, ein NAS im Office oder ein beliebiger Cloud-Anbieter mittels Boxcryptor dafür verwenden.

2. Daten austauschen

Weil mir E-Mail nicht sicher genug ist verschlüssele ich wenn möglich alle E-Mails. Mehr und mehr Unternehmen unterstützen den S/MIME Standard. Im Bereich OpenSource und NGOs ist openPGP weiter verbreitet. Jede meiner E-Mails ist zumindest signiert, sodass der Empfänger theoretisch prüfen kann, ob sie verändert wurde. Leider ist der Anteil derjenigen, die E-Mails verschlüsseln können nicht nennenswert. Darum meide ich E-Mail wo es geht und setze auf den schweizer Messenger Threema oder Apples iMessage. Alle meine Mails liegen beim Anbieter Posteo mit aktivierter Eingangsverschlüsselung (jede Mail die da ankommt wird nur für mich lesbar verschlüsselt) sowie Mailboxverschlüsselung, welches alles, auch Adressbuch und Kalender verschlüsselt.

Achtung: WhatsApp von Facebook ist keine Alternative! Hier ist nicht ersichtlich, wann eine Nachricht Ende-zu-Ende verschlüsselt wird. Was zu Facebook gepostet wird muss als öffentlich betrachtet werden (spätestens bei einem Hack der Datenbank). SMS ist ebenfalls nicht Ende-zu-Ende verschlüsselt. Es gibt nichtmal eine Bestätigung dass sie beim Empfänger angekommen ist.

Größere Dateien verschlüssele ich in Absprache mit dem Empfänger und lege sie z.B. auf einen FTP-Server mit Einmalpasswort oder einen anderen Cloud-Dienst. Zur Not sende ich sie dann per E-Mail.
Für jeden Dienst nutze ich grundsätzlich ein anderes Passwort. Ich höre euch schon sagen: „Sooooo viele Passwörter, das kann ich mir nicht merken“. Sollt ihr auch nicht. Ihr sollt einen Passwortmanager nutzen! Den besten, den ich kenne liefert Apple auf all seinen Geräten mit und heißt dort Schlüsselbund. Weitere Infos darüber, welche Sicherheitsmaßnahmen ein Mac bietet könnt ihr auf der Apple Webseite nachlesen.

3. Diskussion

Ich wünsche mir eine Diskussion über die Möglichkeiten und die Umsetzung. Mein Wunsch als Ziel ist es einen Beitrag für mehr Sicherheit und weniger Spionage zu leisten. Letztlich ist es mein Kopf, der bei einem Datenklau hingehalten wird. Also muss ich auch Verantwortung für die mir anvertrauten Daten übernehmen. Mir ist auch bewusst, dass viele jetzt stöhnen. Die Einrichtung ist zugegebenermaßen etwas hakelig und man muss wissen was man tut. Das Vertrauen unserer Kunden in unsere Sorgsamspflicht ist ebenso wichtig wie diejenige, die wir von anderen verlangen.

Ich bin bereit Vorträge zu diesen und anderen Themen zu halten.

Anmerkungen zu den verwendeten Tools

Ich bekomme kein Geld von den genannten Unternehmen. Ich verwende sie gerne und empfehle sie deshalb. Es gibt sicherlich noch 999 weitere Tools, die auch in Betracht gezogen werden können.

Klaus Löfflad

Ich bin Gründer und Geschäftsführer der train4media Unternehmergesellschaft und biete Know-How, um Alltagsaufgaben in Prozesse zu verwandeln. So werden sie schneller und mit Spaß erledigt.

  No Responses to “Wie wir Selbständige und Kleinunternehmer Daten miteinander austauschen wollen”

 Leave a Reply

(benötigt)

(benötigt)

%d Bloggern gefällt das: