Wie kann ich mich vor dem Staatstrojaner schützen?

So vielseitig und vage die verschiedenen Angriffsszenarien und Zielgeräte eines Staatstrojaners sein können, so unterschiedlich sind auch die Verteidigungsmaßnahmen. Auch hier kann sich an den klassischen Trojanern von Kriminellen orientiert werden. Die grundsätzlich wichtigste Regel dabei ist ziemlich simpel: updaten.

Stellenmarkt
  1. SAP FI/CO Berater (m/w/x)
    über duerenhoff GmbH, Raum Mannheim
  2. IT-System- & Netzwerkadministrator (w/m/d)
    Ilsenburger Grobblech GmbH, Ilsenburg (Harz)
Detailsuche

Um einen Angriff über bekannte Sicherheitslücken zu vermeiden, müssen immer so schnell wie möglich die aktuellen Sicherheitsupdates eingespielt werden. Auch wenn es manchmal nervig sein mag: Updates einzuspielen, selbst wenn sie insbesondere unter Windows immer wieder Probleme machen, ist für die Sicherheit obligatorisch.

Das mag banal klingen. Doch nach den Sicherheitslücken im E-Mail-Server Exchange wurden die Sicherheitsupdates teils über Wochen und Monate nicht eingespielt, obwohl sie bereits massenhaft aktiv ausgenutzt wurden. Dabei waren die Updates ohnehin erst spät veröffentlicht worden, was aber eher die Ausnahme ist.

Updates sind wichtig, Antivirensoftware nicht

Werden Betriebssysteme, Geräte, Software oder Apps nicht mehr gepflegt, dürfen sie nicht weiter verwendet werden. Das gilt insbesondere für Smartphones, die jenseits von Apple oft nur über einen vergleichsweise kurzen Zeitraum und teils sehr langsam mit Updates versorgt werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Unter Android ist man in Sachen Update-Geschwindigkeit mit Android-One-Geräten sowie den Pixels von Google gut beraten. Smartphones, die keine Sicherheitsupdates mehr bekommen, müssen ersetzt werden - auch wenn das aus einer Nachhaltigkeitsperspektive schlicht bescheuert ist. Hier sind Gesetzgeber und Hersteller gefordert, für längere Update-Zeiträume zu sorgen.

Antiviren-Software ist unter Sicherheitsexperten ohnehin umstritten und wird gerne als "Schlangenöl" bezeichnet, da sie mit umfassenden Schutz wirbt, aber diese Versprechen meist nicht einmal im Ansatz halten kann. Im Gegenteil sorgen Antivirenprogramme sogar oft für zusätzliche Sicherheitslücken. Ob man sich letztlich für eine sogenannte Sicherheitssoftware entscheidet oder nicht, ist für den Schutz vor Staatstrojanern jedenfalls weitgehend egal. Denn eine Anforderung dürfte ohnehin sein, dass der Staatstrojaner nicht von gängiger Antiviren-Software erkannt wird. Wird ein Sample bekannt, ist die Version verbrannt.

Installiere keine Software aus unsicheren Quellen - und verschlüssle dein Gerät

Neben Updates ist ein weiterer wichtiger Tipp, Software ausschließlich aus seriösen Quellen zu beziehen. Dabei hilft, dass sich mit den App-Stores in den vergangenen Jahren ein System durchgesetzt hat, bei dem eine grundsätzliche Kontrolle durch die Betriebssystemhersteller gegeben ist. Unter Linux und BSD gibt es mit den Quellen beziehungsweise Repositorys bereits seit vielen Jahren die meiste Software direkt von den jeweiligen Distributionen. In App-Stores oder Linux-Distributionen dürfte sich der Staatstrojaner eher nicht verirren - denn da könnte er auch unbeteiligte Dritte infizieren.

Um sich zwar nicht mit einem Staatstrojaner, dafür aber mit einem Trojaner von Kriminellen zu infizieren, sollten auch die kommerziellen App-Stores mit Bedacht genutzt werden. So sollte bestenfalls auf bekannte oder - noch besser - Opensource-Software gesetzt werden.

Zugesendete oder auf einer x-beliebigen Webseite entdeckte Programme sollten hingegen nicht installiert werden. Zudem sollte nur Software installiert werden, die man wirklich braucht. Und natürlich sollten die Geräte mit Verschlüsselung und durch sichere Passwörter geschützt werden.

Schutz vor dem Provider

Um die erzwungene Mithilfe des eigenen Providers bei der Installation des Staatstrojaners zu umgehen, kann ein VPN helfen. Dieses verschlüsselt die Verbindung zwischen dem Endgerät bis zum Server des VPN-Anbieters, daher kann der Provider nicht mehr auf den Datenstrom zugreifen und im Auftrag der Geheimdienste Dateien austauschen. Voraussetzung dafür ist, dass der gesamte Traffic immer über den VPN geleitet wird - fällt dieser aus, muss auch das Internet ausfallen.

Allerdings muss der VPN-Anbieter für dieses Vorhaben vertrauenswürdig sein, denn auch er könnte - wie der Provider - den Geheimdiensten dabei helfen, einen Staatstrojaner zu installieren. Zudem vertrauen wir ihm unsere komplette Surfhistorie an - daher sind VPNs unter Sicherheitsexperten und Datenschützern umstritten.

In der Vergangenheit gab es immer wieder Fälle, bei denen VPN-Anbieter, die damit warben, keine Logs zu speichern, die Strafverfolgungsbehörden unterstützt hatten. 2011 wurde ein Mitglied der Hackergruppe Lulzsec mithilfe von Logs des VPN-Anbieters Hidemyass für einen Hack von Sony überführt. 2016 nutzten US-Ermittler Daten des Anbieters IPVanish in einem Fall von Kindesmissbrauch, 2017 überführte das FBI einen Cyberstalker - mit Hilfe von Logs des Anbieters PureVPN.

Unter Datenschützern haben die Anbieter Njalla (früher Ipredator) und Mullvad, der auch die Server für den VPN-Dienst von Mozilla betreibt, einen guten Ruf. Auch Apples Dienst Private Relay kann eine Option sein. Alternativ kann auf den Anonymisierungsdienst Tor gesetzt werden.

Noch einfacher kann man sich jedoch über den HTTPS-Only-Mode im Firefox oder Chrome schützten. Dieser sorgt dafür, dass der Browser nur noch verschlüsselte Verbindungen zu Webseiten akzeptiert. Enstprechend können die Geheimdienste beim Provider keine unverschlüsselten Webseiten mehr austauschen.

Mensch, sei vorsichtig!

So subtil die Methoden von Behörden auch sein mögen: Trojaner sind üblicherweise auf die Mithilfe ihrer Opfer angewiesen, die ihnen entscheidende Schritte bei der Installation abnehmen. Zwar gibt es gegen Tricks und Social Engineering kein Patentrezept: Aber schon Vorsicht, Aufmerksamkeit und gesunder Menschenverstand helfen oft weiter. Kommt einem etwas komisch vor, sollte das Gefühl auf keinen Fall ignoriert werden. Warnungen sollten gelesen und keinesfalls schnell weggeklickt werden. "Schnell mal eben" ist eben oft unsicher.

Kommen einem beispielsweise Anhänge oder Inhalte merkwürdig vor, sollten sie nicht geöffnet werden. Um sie dennoch anzusehen, können Tools wie Dangerzone helfen, die beispielsweise Office-Dateien in abgesicherte PDFs umwandeln. Auch das Öffnen von Dateien in speziell dafür angelegten virtuellen Maschinen kann ein wirkungsvoller Schutz sein. Inhalte, die nicht erwartet wurden, sollten ebenfalls nur auf diese Weise geöffnet werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Fragt eine Office-Datei nach Makros oder "Inhalte erlauben", sollten diese aus Sicherheitsgründen niemals aktiviert werden. Zudem sollten keine PDF-Programme wie der Acrobat Reader eingesetzt werden, die auch Code in PDFs ausführen können. Empfehlenswert sind hier PDF-Reader, die ausschließlich klassische PDFs mit Text und Bildern darstellen können. Dazu eignen sich beispielsweise Browser, die eine entsprechende Funktion bereits integriert haben, die zudem per Sandboxing abgeschottet ist.

Verified Boot und speziell abgesicherte Systeme

Neben den klassischen, teils fast banalen Sicherheitstipps können auch speziell abgesicherte Systeme zum Einsatz kommen. Bei Smartphones sei hier vor allem das alternative und Google-freie Android GrapheneOS erwähnt, das viele zusätzliche Sicherheitsmechanismen implementiert hat, die das Ausnutzen von Sicherheitslücken und Zero Days deutlich erschweren.

Dabei setzt GrapheneOS auf die aktuellen Pixel-Smartphones von Google und nutzt deren Titan-M-Sicherheitschip, der Brute-Force-Angriffe auf Passwort, PIN oder Muster des Nutzers verhindert. Zudem bieten die Geräte einen verifizierten Bootprozess, der sicherstellt, dass nur die von den GrapheneOS-Entwicklern signierte Software gestartet werden kann. Das schützt beispielsweise vor der Installation eines Staatstrojaners bei einer Kontrolle. Das funktioniert jedoch mit einem aktuellen Pixel auch ganz ohne GrapheneOS.

Einen solchen verifizierten Boot-Prozess gibt es auch für Laptops. Mit der Firmware Coreboot und dem Payload Heads kann der Boot-Prozess bis zur Passworteingabe für eine verschlüsselte Linux-Partition abgesichert werden. Mit einem Nitrokey kann die Firmware überprüft werden. Ist alles okay, blinkt er grün, wurde sie verändert, rot.

Passende Geräte sind die Nitropads von Nitrokey, das Privacybeast von Insurgo sowie die Librem-Laptops von Purism. Der Mini-Rechner Librem Mini bietet jedoch nicht das gleiche Sicherheitsniveau, auch wenn damit geworben wird. Coreboot und Heads kann, entsprechender Bastelwille vorausgesetzt, auch selbst auf einer Reihe von Rechnern installiert werden. Insbesondere unter Windows kann die Uefi-Option Secure Boot die Sicherheit des Bootvorganges erhöhen.

Sollte es der Staatstrojaner trotz aller Vorkehrungen auf das System schaffen, können Betriebssysteme wie Qubes OS oder Tails helfen, den Schaden gering zu halten. Als reines Live-Betriebssystem vergisst Tails - jenseits von auf einem verschlüsselten USB-Stick abgelegten Einstellungen und Dateien - seinen Zustand nach dem Herunterfahren. Qubes hingegen setzt auf Virtualisierung und schottet Programme über verschiedene virtuelle Betriebssysteminstanzen voneinander ab. Sowohl Tails als auch Qubes lassen sich mit Coreboot-Heads kombinieren.

Fazit: No Exceptions!

Die besten Sicherheitsregeln und -vorkehrungen bringen aber nichts, wenn man sich nicht daran hält. Nur weil eine Vorkehrung gerade hinderlich ist, um etwas schnell zu erledigen oder man kurz das eben im Netz entdeckte Tool ausprobieren möchte, sollte man keinesfalls die Vorkehrungen über Bord werfen. Denn wenn man gerade bei der einen Datei eine Ausnahme macht, die den Staatstrojaner oder eine andere Schadsoftware enthält, haben alle Sicherheitsmaßnahmen nichts gebracht.

Um etwas auszuprobieren oder zu spielen, bieten sich virtuelle Maschinen an. Manchmal können auch Zweitgeräte oder ohnehin noch herumstehende alte Hardware zu diesem Zweck genutzt werden. Auch ein Raspberry Pi kann eine Idee sein.

Alles in allem sind die meisten Sicherheitstipps gegen den Staatstrojaner eher banal, das macht sie jedoch nicht weniger wirkungsvoll. Eine absolute Sicherheit bieten sie natürlich nicht - denn absolute Sicherheit gibt es in der IT nie. Schon gar nicht, wenn Menschen mit ihr arbeiten. Aber mit den Maßnahmen kann man es einem maßlosen Geheimdienst oder einer neugierigen Polizei, aber auch Kriminellen deutlich schwerer machen, in die eigenen Systeme einzudringen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Wie der Staatstrojaner auf das Smartphone oder den Computer kommt
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

Artim 08. Jul 2021 / Themenstart

Oh nein, man nimmt den Unfug den du von dir gibst nicht ernst und entkräftet eine völlig...

Artim 08. Jul 2021 / Themenstart

Weil es ja auch so schwer ist, Leute dazu zu bringen, Dinge anzuklicken. Siehe die Flut...

Artim 08. Jul 2021 / Themenstart

Die USA interessieren sich nicht für Landesgrenzen. Warum sollte das ein anderes Land...

Artim 08. Jul 2021 / Themenstart

Was heißt was die Grünen Vorhaben? Sie wollten es an dem Punkt nicht verbieten, sondern...

Dark Harry 08. Jul 2021 / Themenstart

Ja, soweit ist es gekommen.

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /