Foto: Tobias Schrödel - sichere.itSicherheit von Musik-Daten
Herr Schrödel, als IT-Security-Experte und Angestellter bei T-Systems halten Sie unter dem Motto "Hacken für Jedermann" Vorträge, die eher an eine Performance erinnern. Daher vorweg die Frage, wie sicher sind die persönlichen Daten der Bürger?
Gleich mal als beruhigende Antwort vorweg: In Deutschland herrschen immer noch recht hohe Anforderungen an den Datenschutz, die die allermeisten Unternehmen auch streng befolgen. Die ein oder andere "Panne" wird es sicherlich immer mal wieder geben, was aber meistens nicht an unsicheren Systemen sondern an fehlerhaftem Verhalten einzelner Mitarbeiter liegt.
Problematisch kann es sein, wenn man auf einer vermeintlich deutschen Internetseite beispielsweise eines amerikanischen Unternehmens seine Daten eingibt. Amazon ist da sicherlich das bekannteste Beispiel. Hier werden sehr extrem Profile und Verhaltensmuster gespeichert und auch mit Ihren persönlichen Daten verknüpft. Wer es toll findet, dass Amazon einen immer gleich mit Namen begrüßt und bei Interesse schon recht vernünftige Vorschläge macht, der sollte sich einmal Gedanken machen, wie das funktioniert.
Nach dem Patriots Act müssen amerikanische Buchhändler übrigens den Behörden auch mitteilen, welche Bücher Sie lesen, sollten Sie mal ein Buch gekauft haben, welches nach Meinung der dortigen Regierung "extrem" ist.
Foto: Tobias Schrödel - sichere.itAuf Ihren Vorträgen basteln Sie sogar aus einer leeren Chips-Dose eine recht gute WLAN-Richtfunk-Antenne. Wie geht denn das und wie ist das überhaupt möglich?
Das Prinzip basiert auf einer sogenannten Yagi-Antenne. Prinzipiell ist jede metallene Dose geeignet, deren Durchmesser und auch das Verhältnis zur Dosenlänge für die gewünschte Frequenz passt. Bei WLAN eignen sich daher ganz gut die Chips-Dosen der Firma Pringles, aber auch Waffelröllchen der Marke Plus sind ganz hervorragend. Es gibt sogar schon wetterbeständige Bauten, die Klobürstenhalter einsetzen.
Mittels einer Gewindestange und Beilagscheiben wird ein verästelter Antennenzweig gebaut, der in die Dose eingesetzt wird und der das Signal verstärkt. Ein einfaches Kabel erlaubt es, diese Richtfunkantenne an den Stecker für externe Antennen der WLAN-Karte anzuschließen.
Leider ist es aber so, dass die sehr speziellen Einzelteile mehr kosten als ein günstiger Repeater mit gleicher Wirkung. Der Spaßfaktor ist bei einem solchen gekauften Repeater aber weitaus geringer. Wer sich daher eine solche Antenne nachbauen möchte, dem seien Bastelanleitungen empfohlen, die in großer Menge im Internet mit den Suchbegriffen "WLAN" und "Pringles" gefunden werden.
Wie sicher sind drahtlose Übertragungssysteme wie beispielsweise Bluetooth Ihrer Ansicht nach im Vergleich zu festinstallierten Geräten?
Drahtlose Übertragungen haben schon von Grund auf ein ganz entscheidendes Sicherheitsmanko - die Daten verlaufen nicht gezielt auf einer Linie von A nach B, sondern strahlen kreisförmig in alle Richtungen. Viele Leute sind der festen Überzeugung, dass das installierte WLAN an der eigenen Grundstückgrenze von ganz alleine aufhört.
Gleiches gilt für Bluetooth. Wer ist sich schon im Klaren darüber, dass ich aus 20 Metern Entfernung ein Bluetooth Headset ganz einfach anschalten, als Wanze missbrauchen und daher Gespräche einfach mithören kann?
Aber lassen wir die Kirche im Dorf, es gibt gute, standardisierte Verschlüsselungsmechanismen. Für WLAN wäre das heute WPA2+; da kann der Nachbar definitiv nicht mitlesen, was ich gerade für Seiten im Internet ansehe. Ich rate daher dringend jedem, die höchstmögliche gemeinsame Verschlüsselungsmethode, die der WLAN-Router und das gewünschte Endgerät (beispielsweise Laptop) anbieten, auch einzusetzen.
Foto: Richtantenne, Teile - Tobias SchrödelInhaber von Firmen, deren Geschäftsmodell auf der Geheimhaltung gewisser Rezepturen oder Fertigungsmechanismen beruht, sollten sich jedoch überlegen, ob es nicht doch besser wäre, auf Funktechniken zu verzichten. Ein Hacker könnte den verschlüsselten Netzwerkverkehr aufzeichnen, was niemand bemerken würde. Anschließend hat der Angreifer alle Zeit der Welt, die Verschlüsselung in einem Rechenzentrum mit riesigen Rechnerfarmen - quasi offline - aufzubrechen.
Welche Tipps haben Sie für Internet-User parat, vor allem in Bezug auf die Sicherheit von "Word"-Docs?
"Word"-Docs beinhalten so genannte Metadaten. Das sind Informationen, die "Word" benötigt, um gewisse Komfort-Funktionen wie "Änderungen verfolgen" oder "Automatisch speichern" überhaupt durchführen zu können. Dummerweise kann man diese Metadaten auslesen, zum Beispiel mit einem Hex-Editor. Im ungünstigsten Fall verraten die Metadaten Informationen, die nicht, oder nicht mehr, im Text stehen.
Ein Beispiel: Wir bekamen einmal ein "Word"-Doc per E-Mail als Online-Bewerbung auf eine Stellenanzeige. Über die Metadaten konnte ich sehen, dass die Adresse im Briefkopf schon zweimal geändert wurde und das Dokument per "Speichern unter" nun schon den dritten Dateinamen trug.
Damit war klar, dass der Bewerber zwei anderen Annoncen offenbar viel mehr Interesse geschenkt hatte - ich wusste sogar, welche Firmen das waren - und wir mit unserem Stellenangebot bei diesem Herrn wohl nur dritte Wahl waren. Wir haben daher von einer Einladung zum Bewerbungsgespräch Abstand genommen.
Entfernen kann man diese Metadaten aus Dokumenten, in dem man ein anderes Format als "doc" wählt. Es bietet sich hier sicherlich "rtf" an, wenn man das Dokument noch bearbeiten will. Ansonsten empfehle ich das Erstellen eines "pdf" mittels "Pdf-Druckertreiber" wie zum Beispiel "Free XP PDF".
OpenOffice enthält übrigens zwangsläufig auch Metadaten, diese sind jedoch verschlüsselt und nicht im Klartext.
Wie sollten Ihrer Meinung nach gute Passwörter konzipiert sein?
Gegenfrage - Warum werden IT-Verantwortliche niemals Mitarbeiter des Monats?
Die Antwort ist klar: Weil sie uns zwingen, Passwörter zu verwenden, die aus Groß- und Kleinbuchstaben, Ziffern und obendrein auch noch Sonderzeichen bestehen und dann zusätzlich noch mindestens 8 Zeichen lang sein müssen. Schlussendlich verteufeln sie uns, wenn wir uns dieses kryptische Zeichen-Wirr-Warr aufschreiben. Leider ist das so - ein gutes Passwort sieht zum Beispiel so aus: €gPh!ma7Z.
Foto: Richtantenne, Montage - Tobias SchrödelWas auf den ersten Blick so erscheint, als wäre es nicht zu merken, entpuppt sich auf den zweiten Blick jedoch als völlig trivial, handelt es sich doch nur um die Anfangsbuchstaben des Satzes "Ein gutes Passwort hat immer mehr als 7 Zeichen". Hierbei habe ich das "E" durch ein "€" und das "i" durch ein "!" ersetzt, da sich die Zeichen mit ein wenig Phantasie ähnlich sehen. Gleiches könnte ich mit einem "S" ($), einem "E" (3 oder €), einem "A" (4) oder einem "O" (0) machen. Und so ein Satz ist ja doch um ein vielfaches einfacher zu merken als so eine Zeichenfolge. Grundsätzlich sollte der User unter keinen Umständen Begriffe verwenden, die in einem Wörterbuch stehen.
Leider zwingt uns der PC-Alltag heutzutage, sehr viele Passwörter zu verwenden. Dagegen gibt es zu meinem eigenen Leidwesen kein wirklich gutes Gegenmittel. Ich selbst merke mir drei unterschiedliche lange und komplexe Passwörter, die ich - je nach Sicherheitsbedürfnis einer Anwendung - einsetze. Besteht die Gefahr, dass ein Passwort nicht mehr geheim ist, muss ich zumindest nicht alle Systeme ändern, sondern kann mich auf gut ein Drittel beschränken.
Wer Programme verwendet, die als Passwort-Safe dienen, sollte unbedingt darauf achten, ein Programm von einem namhaften Hersteller zu verwenden. Nur dann kann man weitgehend sicher sein, dass eine gute Verschlüsselung verwendet wird. Derartige Programme in Handys sind übrigens denkbar ungeeignet. Denken Sie da nur an die schwachen Prozessoren und die Möglichkeit eines unbefugten Zugriffs zum Beispiel per Bluetooth.
Machen sich Datenschützer Ihrer Ansicht nach eigentlich völlig grundlos Sorgen?
Leider nein. Nahezu monatlich verringern neue oder geänderte Gesetze unser verbrieftes Recht auf Privatsphäre. All das wird in den meisten Fällen durch sehr drastische Darstellungen von alltäglichen Straftaten und den Folgen für jeden einzelnen gerechtfertigt.
Natürlich hat der Staat die Aufgabe, uns zu schützen. Die Frage ist nur, wie weit er dabei gehen darf. Vorratsdatenspeicherung, Kennzeichenerfassung per LKW-Maut-Systems, Bundestrojaner - all das sind weitgehend unbrauchbare Maßnahmen zum Schutz der Gesellschaft, dafür greifen Sie in bisher unbekanntem Maße in unsere Bewegungsfreiheit ein.
Schon 1809, also vor 199 Jahren hat der deutsche Jurist Dr. Johann Klüber in seinem Buch "Kryptografik" geschrieben, dass der Staat, wenn er "öffentlich Treue bräche, wenn er das Geheimnis der Briefe, die unter der Garantie des Staates, der Post anvertraut waren, in den Namen eben dieses Staates verletzten, und so dem Völkerrechte, dem allgemeinen Rechte der Staaten, dem Sittengesetzt offenbar Hohn sprächen." Die Kryptodebatte ist also älter als wir denken. (Der genaue Text kann auf meiner Website nachgelesen werden.)
Allerdings muss ich auch hinzufügen, dass die Polizei mit den begrenzten Mitteln und auch nur punktuell vorhandenem tiefen Wissen einen sehr schweren Stand gegen organisierte Internet-Kriminalität hat. Hier wünschte ich mir viel mehr Investition vom Staat, um effizient, aber gezielt vorgehen zu können und nicht gleich alle unter Generalverdacht zu stellen.
Wer anonym im Netz surfen möchte, der sollte sich "Tor" installieren oder die Seite zum "Selbstdatenschutz" des unabhängigen Datenschutzzentrums in Kiel https://www.datenschutzzentrum.de/selbstdatenschutz/index.htm lesen.
Als Musik-Magazin interessiert uns natürlich auch die Sicherheit von Musik-Daten. Wie steht es dabei technisch gesehen um die einzelnen Formate, vor allem um MP3-Daten?
Durch Musikdateien ist der Pop- und Rockfan in aller Regel nicht gefährdet. Theoretisch ist es denkbar, dass komprimierte Formate wie MP3 mit Schadcode bestückt sind. Dies würde aber lediglich mit einem bekannten Fehler in einer bestimmten Version in einem bestimmten Abspielprogramm funktionieren. Diese Gefahr ist also durchaus gering.Viel spannender finde ich allerdings die Möglichkeit, in Musikstücken Daten zu verstecken. Dies ist leider eine durchaus gängige Methode, um beispielsweise Bombenbauanleitungen ungefährdet per E-Mail zu weiterzugeben. Kein Scanner ist derzeit in der Lage, dies zu erkennen.
Dazu verwenden Fachkundige das gleiche Prinzip, mit dem bei MP3 die Datenmenge reduziert wird. Frequenzbereiche, die das menschliche Gehör gar nicht hören kann, werden einfach weggelassen. Dies stört den Hörgenuss nicht und die Datenmenge wird dramatisch reduziert.
Ist es aber gar nicht beabsichtigt, die Größe der Datei zu reduzieren, dann kann man Text- und Bilddaten in genau diese Frequenzbereiche stecken. Die Musik hört sich unverändert an. Ein Eingeweihter kann aber diese Daten problemlos wieder extrahieren und in das ursprüngliche Format konvertieren. Dies geht zum Beispiel sehr gut dem Wav-Format. Alleine in der Melodie, die Windows bei der Anmeldung abspielt, kann ich mit dieser so genannten steganographischen Methode problemlos zwei bis drei Schreibmaschinenseiten verstecken.
Nun gibt es im Musik-Business grundsätzlich zwei Seiten, die sich gegenüberstehen:
Zum einen die Musik-Industrie, die natürlich verdienen will und sich absichert, andererseits die Musik-Konsumenten, die einen Großteil unserer Leser ausmachen.
Wie lange hält die Musik-Industrie Ihrer Ansicht nach den Kopierschutz für CDs noch aufrecht, vor allem, wenn kopiergeschützte CDs verhindern, dass sich Musikfans diese für ihren privaten Gebrauch kopieren? Schließlich ist privates Vervielfältigen von Tonträgern ohne Frage legal.
Zum ersten einmal halte ich es für durchaus legitim, dass man kommerziell angebotene Inhalte gegen massenweise unbefugte Weitergabe schützt. Mit welcher extremen Art die Musikindustrie vorgeht und dabei von Gesetzen unterstützt wird, halte ich allerdings für äußerst fragwürdig.
Zum einen haben wir das Recht private Kopien anzufertigen, sofern die Vorlage nicht illegaler Herkunft ist. Auf der anderen Seite wird uns dieses Recht genommen, weil das Brechen des Kopierschutzes bestraft wird. Das ist absurd.
Die Geschichte lehrt uns seit über 3000 Jahren, dass auf einen Kopierschutz oder eine Verschlüsselung immer eine Möglichkeit folgt, diesen Schutz zu umgehen. Insofern muss sich die Musikindustrie immer stärkere Methoden einfallen lassen. All das geschieht aber mit dem Seiteneffekt, dass nicht alle Geräte mit diesen Medien umgehen können. Nicht selten ist ein legaler Käufer gar nicht in der Lage, seine CD auf allen seinen Geräten abzuspielen. Darf das wirklich sein?
Ich denke, dass dieser Kopierschutz wegfällt, wenn der Preis für ein Musikstück ein Preisniveau erreicht, bei dem ich gar genötigt bin, nach einer kostenfreien aber illegalen Download-Möglichkeit zu suchen. Ganz wichtig ist dabei aber auch eine bequeme und sichere Methode, Cent-Beträge zu bezahlen.
Wie steht es mit den so genannten "Wasserzeichen", mit denen MP3-Tracks versehen werden sollen? Diese würden offenbar den Hörgenuss der Musikstücke nicht beeinträchtigen, enthalten wohl aber Metadaten wie beispielsweise Angaben, wann und wo ein Titel aus dem Netz heruntergeladen wurde.
Wasserzeichen sind eine exzellente Möglichkeit, die Urheberschaft zu beweisen, schließlich können sie beliebige Textinformationen speichern. Natürlich auch die Quelle oder den Ursprung einer Datei.
Wichtig ist aber meiner Meinung nach, dass diese Informationen offen dargestellt werden und Wasserzeichen nicht versteckt werden. Beim Geld sind die Sicherheitsmerkmale ja auch deutlich zu sehen, was den Missbrauch verhindert.
Problematischer halte ich versteckte Informationen, wie sie beispielsweise auf Ausdrucken von Farblaser-Druckern und neueren Tintenstrahldruckern angebracht werden. Die Hersteller drucken über das gesamte Papier winzig kleine, hellgelbe Punkte die ein Muster bilden. Diese so genannten Tracking Dots sind mit bloßem Auge nicht zu sehen, erst unter dem Mikroskop und blauem Licht sind sie zu erkennen.
Das Muster verrät eindeutig das Datum und die Uhrzeit des Druckes, aber auch die Seriennummer sowie Modell und Marke des Gerätes. Über den Großhändler und bei Kartenzahlung ist ein Papier-Ausdruck damit auf eine Person zurück zu verfolgen. Was hier bei Falschgeld sinnhaft erscheint, ist bei Flugblättern für Demonstrationen aber durchaus problematisch.
Abschließend interessiert uns sehr, welchen konkreten Schutz Sie (Musik-) Usern empfehlen, angefangen von einer Firewall bis zum speziellen Antiviren-Programm?
Es gibt eigentlich nur wenig zu tun und das geht auch noch recht einfach. Jeder Rechner, der online ist, sollte mit einem aktuellen Virenscanner und einer Software-Firewall ausgestattet sein. In den einschlägigen Fachzeitschriften gibt es hier regelmäßig Tests, welche Programme besonders gut sind. Pauschal ist festzustellen, dass die namhaften Hersteller weitgehend gleich gut sind und sich in der Regel nur durch unterschiedliche Bedienerfreundlichkeit unterscheiden. Für Privatpersonen gibt es diese Programme auch kostenfrei. Sie schützen genauso gut wie die kommerziellen Programme, sind aber kaum oder gar nicht konfigurierbar.
Weiterhin sollte ein vorhandenes WLAN unbedingt verschlüsselt und Funkverbindungen am besten ausgeschaltet werden, wenn sie nicht in Verwendung sind. Zu guter Letzt rate ich jedem, sein Passwortsystem zu überdenken.
Herr Schrödel, vielen Dank für das Gespräch!
Das Gespräch führte Joachim Eiding.
Weitere Informationen findet Ihr auf der Homepage von Tobias Schrödel: http://www.sichere.it
music4ever.de - Interview - Nr. 19 - 4/08