Wer bei Buchstabensalat-Häppchen wie PGP, S/MIME, SSL oder HTTPS noch nicht angewidert aussteigt, für den hat BT-Autor Tobias Gillen womöglich eine interessante Lektüre ausgearbeitet. Doch nicht nur Fans von Tekkie-Abkürzungen kommen mit „Spurlos & Verschlüsselt“ in den Genuss eines entspannt formulierten Kryptologie-Ratgebers – im Grunde eignet sich das Buch für jeden Internetnutzer, die Sicherheit der eigenen Daten um ein Vielfaches zu steigern. Meine Gedanken zu Tobias‘ gedrucktem Erstlingswerk.
Vorgeschichte
Vor einigen Wochen schrieb mich mein geschätzter Kollege Tobias Gillen per Twitter-Direktnachricht an und fragte, ob ich nicht sein neues Buch rezensieren wolle. Ich zögerte anfangs, stimmte dann jedoch zu und stellte klar, dass ich mich um Objektivität bemühte und sein Werk sicherlich nicht in den Himmel schrieb, wenn ich es tatsächlich schlecht fände. Er stimmte zu und schaffte damit eine faire Grundlage für eine möglichst unbefangene Rezension.
Um es vorweg zu nehmen: Tobias gibt mit seinem ersten auf Papier gedruckten Buch eine solide, leichtgängige Einführung in die Welt der Kryptografie. Wer einen Ratgeber mit technischen Details und massig Tiefgang erwartet, für den ist das Buch nicht geeignet. Vielmehr hält es dem Leser den Spiegel vor das Gesicht und schafft es, genau dadurch den ein oder anderen Aha-Moment zu generieren. Jedoch nur dann, wenn der Wissensstand des Lesers mit dem des Autors identisch ist. Wem es also so geht, wie Tobias im Vorwort, der kann (und sollte!) unbedingt weiterlesen:
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
Seit einigen Wochen schon plagt es mich: Das schlechte Gewissen. Jeden Tag kommen neue Dinge ans Licht, die illegalen Praktiken hinter NSA, GCHQ und BND werden immer weiter und tiefgründiger aufgedeckt. Und ich? Ich bin ahnungslos. (…) Ich habe keine Ahnung von Verschlüsselung, Kryptologie und Co. Meine Daten sind ungeschützt.
Zum Aufbau
Das Buch besteht aus zwei Teilen und ist aus zwei eBooks entstanden. Teil 1 beschäftigt sich mit der Verschlüsselung von E-Mails sowohl am PC, Mac als auch am Smartphone und beinhaltet Informationen zu digitalen Fingerprints, sicherem Surfen im Browser und Passwörtern.
In Teil 2 steht Messaging im Fokus, wobei insbesondere auf WhatsApp und Threema eingegangen wird. Ebenso finden sich im zweiten Teil Erklärungen von VPN, der VPN-Alternative „Tor“ und der weltweiten Datennetz-Architektur im Allgemeinen. Zusätzlich bietet Tobias am Ende des Buches diverse Schritt-für-Schritt-Anleitungen, beispielsweise wie man PGP am Smartphone, VPN am Mac oder Tor im Browser einrichtet.
Tagebuch-Format ebnet schnellen Zugang zum Thema
Das eingehende Zitat zeigte schon, dass Tobias Gillen „Spurlos & Verschlüsselt“ aus der Ich-Perspektive und in Form eines Tagebuches erzählt. Durch diesen sehr persönlichen, leichtgängigen Stil verschafft sich Tobias einfachen Zugang zum Leser. Ist man auf Tobias‘ Wissensstand, kann man die Bedenken und Gedankengänge zu jedem Zeitpunkt sehr einfach nachvollziehen.
In der Herangehensweise arbeitet sich Tobias logisch vor, beginnt in Teil 1 mit Basiswissen zu E-Mail-Verschlüsselung mit Hilfe von PGP und arbeitet Unterschiede sowie Vor- und Nachteile im Vergleich mit der alternativen Absicherungsmethode S/MIME sauber heraus. Am Ende kennt der Leser den Unterschied zwischen GPG und PGP, weiß wie massentauglich diese Lösung durch Erfahrungswerte der Alltagsnutzung ist, wieso bei S/MIME eine Zertifizierungsstelle zum Einsatz kommt und im besten Fall, welche der beiden Alternativen sich am besten für den eigenen Gebrauch eignet.
Viel nützliches Wissen für den Alltag
Besonders wertvoll finde ich das Kapitel über Passwörter. Der Abschnitt erklärt sehr anschaulich, wieso Passwörtern im alltäglichen Internet-Leben ein so hohes Maß an Wichtigkeit zukommt. Tobias greift den Adobe-Hack von Herbst 2013 auf und erklärt, wie die Angreifer Kenntnis von den verschlüsselten Passwörtern erlangen konnten, ohne diese mühsam dechiffrieren zu müssen. Im Anschluss veranschaulichen einige Rechenbeispiele, wie absurd schnell ein Hochleistungscomputer mit Hilfe eines Brute-Force-Angriffes einfache Passwörter knacken kann: in 0,001 Sekunden ist ein sechsstelliges Passwort, das nur aus Zahlen besteht, offengelegt. Demgegenüber benötigt der Algorithmus schon über 13 Minuten, wenn das Passwort sechs Stellen hat, aber aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht.
Nicht weniger wertvoll ist der abschließende Abschnitt des ersten Teils, der „3 Lehren aus den Snowden-Files“ zieht. So ist beispielsweise das Internet nicht zwangsläufig böse, „um unsere Sicherheit müssen wir uns trotzdem selbst kümmern“.
Einen Kritikpunkt habe ich aber: Ich finde es schade, dass Teil 1 nicht auf die 2-Faktor-Authentifizierung (2FA) eingeht, die mittlerweile von Apple, Google oder Microsoft optional bereitgestellt wird. Diese erweitert das im Kopf des Nutzers gespeicherte, möglichst komplexe Passwort, um einen zweiten benötigten Sicherheitsfaktor, der in der Regel über das Smartphone (Code per SMS) oder eine Authenticator-App (bspw. die unviversell nutzbare von Google) bereitgestellt wird. Potentielle Einbrecher, die Kenntnis vom Passwort eines Menschen erlangen, müssten somit auch in Besitz des zweiten Faktors kommen, um ein Login möglich zu machen. Eine Erwähnung der 2FA hätte die Abhandlung über Passwort-Sicherheit komplettiert.
Teil 2 rund um Messaging und VPN
Im zweiten Teil erklärt Tobias, wieso WhatsApp unsicher ist und wieso genau der populäre, als sicher ausgewiesene Messenger Threema so viel besser sein soll. Ebenso führt er aus, warum öffentliche WLAN-Netzwerke bei Fast-Food- oder Café-Ketten nur mit Vorsicht zu genießen sind und welche Wege gesendete und empfangene Daten im weltweiten Datennetz, je nach verschlüsselter oder unverschlüsselter Übermittlungsmethode, überhaupt nehmen.
Der Hauptteil des zweiten Abschnittes beschäftigt sich aber mit VPN-Netzwerken, die zum Schutz der eigenen Privatsphäre auch zunehmend für Privatnutzer interessant werden. Ein Interview mit dem Vertreter eines großen VPN-Anbieters baut Tobias geschickt ins Tagebuch ein und schafft die Überleitung zum HowTo der VPN-Einrichtung auf verschiedensten Plattformen.
Fazit: Gelungene Kryptografie-Einführung direkt aus dem Leben
Mit „Spurlos & Verschlüsselt“ bietet Tobias Gillen einen gelungenen Einblick in die Welt der Kryptografie. Fortgeschrittene Leser mögen kritisieren, dass das Buch weitgehend an der Oberfläche kratzt – ich sehe jedoch genau darin die Stärke des Buches. Denn wo genau nun die technischen Unterschiede zwischen verschiedenen Absicherungsmethoden liegen, das interessiert die Wenigsten. Eine Aussage darüber, wie sicher und alltagstauglich die Lösungen sind, ist für den Normalnutzer sehr viel hilfreicher – und genau diese Antworten liefert Tobias Gillen, hilfreiche Schritt-für-Schritt-Anleitungen inbegriffen.
Ich lege jedem Ahnungslosen, dem die Sicherheit seiner Daten wichtig ist, das gedruckte Erstlingswerk meines Kollegen wärmstens ans Herz. In der Kindle-Edition sind weniger als 6 Euro fällig. Wer es auf Papier gedruckt vorzieht, der muss etwas über 10 Euro bezahlen. Gut investiertes Geld, wie ich finde. Die eigenen Daten sollten die Investition wert sein.
Das Beste: ein herzliches „Fuck You“ an alle Datenschnüffler liefert der Erkenntnisgewinn durch das Buch einem jeden Leser gleich mit. Das gute, sichere Gefühl: Unbezahlbar.
Die gedruckte Version von „Spurlos & Verschlüsselt“ kostet 12,95 Euro und ist im JMB Verlag erschienen. Das Buch gibt es auch in digitaler Form als Kindle-Edition bei Amazon sowie als E-Book im iBookstore und überall, wo es E-Books gibt (5,49 Euro).
Privatsphäre ist im Netze gar nicht so leicht aufrecht zu erhalten. Zumal ja Google Analytics überall fast überall eingebunden ist, hinzukommen noch unzählige Werbenetzwerke und Trafficschätzdienste. Viele arbeiten mit dem Fingerprintvefahren, um Ihre Zahlen genauer zu machen.
Ob ein solches Verfahren „gut“ ode „schlecht“ ist, kommt auf den Anwendungsfall an. Das Browserfingerprinting zum Beispiel oder Cookies liefern nämlich als solches keinen Hinweis auf eine konkrete Person. Erst wenn sie mit Login-Daten oder der IP-Adresse verknüpft werden, wird es kritisch.
[…] kann sie lesen und bearbeiten und auf den anderen Geräten wird das wiederum abgeglichen. Ach ja, als alter Verschlüsselungs-Hase (kleiner Spaß), wäre noch wichtig zu erwähnen, dass iMessage (im Gegensatz zu WhatsApp) eine […]