Aktuell 23. Januar 2020

Digitale Überwachung: Gefahren 2020 - und wie du dich schützen kannst

Illustration einer Überwachungskamera und eines Smartphones

Menschenrechtsverteidiger_innen stehen immer häufiger im Fokus von Cyber-Angriffen.

Von ausgefeilten Spyware-Attacken über großangelegte Phishing-Angriffe auf Smartphones bis hin zur immer allgegenwärtigeren Gesichtserkennungstechnologie – die Möglichkeiten zur Überwachung von Menschenrechtsverteidiger_innen werden immer vielfältiger und weitreichender.

Sicherheitsteams, die Menschen vor solchen Übergriffen schützen sollen, liefern sich ein ständiges Katz-und-Maus-Spiel mit Angreifer_innen, die sich schnell an neue Sicherheitsmaßnahmen anpassen.

Ramy Raoof arbeitet für das Security Lab von Amnesty International, das Menschenrechtsverteidiger_innen weltweit vor technischen Angriffen schützt. Er sagt, man werde sich 2020 ganz besonders darauf konzentrieren, wie gezielte Angriffe auf Smartphones eingedämmt werden können.

Solche Angriffe machten 2019 Schlagzeilen: Im Oktober leitete die zu Facebook gehörende Messaging-App Whatsapp ein öffentlichkeitswirksames Verfahren gegen das israelische Unternehmen NSO Group ein, weil es Spyware-Angriffe auf über 1.000 Whatsapp-Nutzer_innen ermöglicht haben soll.

Am 16. Januar 2020 begann in Tel Aviv ein Gerichtsverfahren, das von Amnesty und anderen Menschenrechtsgruppen angestrengt wurde. Ziel ist es, das israelische Verteidigungsministerium dazu zu bringen, der NSO Group ihre Exportgenehmigung zu entziehen. Denn die Produkte der Firma werden weltweit dazu genutzt, Aktivist_innen ins Visier zu nehmen.

Etienne Maynier, sicherheitstechnischer Experte bei Amnesty International, erklärt, dass es zum Infizieren eines Geräts nicht einmal mehr nötig sei, aktiv auf einen Link zu klicken. Bei einem Angriff mit NSO-Spionagesoftware wurde das Mobiltelefon eines Aktivisten in Marokko mit Spyware infiziert, indem der Internet-Datenverkehr des Nutzers unbemerkt umgelenkt wurde. 

Statt darauf zu warten, dass ein Link angeklickt wird, lenken die Hacker den Datenverkehr im Browser um auf eine Website, die dann unbemerkt versucht, Spionagesoftware zu installieren.

Etienne
Maynier
sicherheitstechnischer Experte bei Amnesty International

Selbst gut gesicherte Mobiltelefone werden immer häufiger erfolgreich gehackt, und Sicherheitsteams stehen vor immer größeren Herausforderungen angesichts von "Zero-Day-Exploits" – hierbei handelt es sich um Angriffe, die dem Hersteller noch unbekannte Schwachstellen in einer Software sofort ausnutzen, bevor dieser eine Gelegenheit hatte, sie zu beheben.

Im Mai 2019 nutzte die NSO Group durch einen "Zero-Day-Exploit" eine Schwachstelle innerhalb der Whatsapp-Software aus, um Spyware-Angriffe auf mehr als 100 Menschenrechtsverteidiger_innen weltweit durchzuführen.

Phishing-Angriffe

Amnesty Tech, ein interdisziplinäres Team aus Technologie- und Menschenrechtsexpert_innen, versucht auch solche Angriffe zu bekämpfen, die weniger technisch ausgeklügelt und dennoch in der Lage sind, innerhalb weniger Minuten sehr viel Schaden anzurichten.

Massenhafte Phishing-Angriffe per SMS oder durch Smartphone-Apps sind kostengünstige und weitverbreitete Methoden, die allzu oft erfolgreich sind.

Beim Phishing geht es darum, jemandem persönliche Informationen wie z. B. Passwörter zu entlocken. Die Betroffenen werden häufig aufgefordert, auf einen Link zu klicken und ihr Passwort zurückzusetzen, wobei es so aussieht, als sei der Absender ihr Mobilfunkanbieter oder eine Social-Media-Plattform. Manchmal wird auch über eine App ein Link versendet, in dem ein schädlicher Code enthalten ist. Diese Nachrichten sehen so aus, als kämen sie von einem Freund oder Kontakt der Betroffenen.

Etienne Maynier erklärt, dass diese Angriffe oftmals durch "Social Engineering" funktionieren. Dabei werden die Betroffenen nicht technisch, sondern sozial ausgetrickst. Der Absender gibt zum Beispiel vor, eine vertrauenswürdige Organisation zu sein, die eine Zusammenarbeit anbietet und fordert die Nutzer_innen auf, auf einen Link zu klicken oder ein Dokument zu öffnen.

"Es ist eine sehr kostengünstige und effiziente Methode, die ganz leicht größer aufgezogen werden kann", so Ramy Raoof. Er mutmaßt, dass die neue Phishing-Welle im Jahr 2020 eine Bedrohung für Menschenrechtler_innen weltweit darstellen wird, da Mobiltelefone immer stärker für die Menschenrechtsarbeit genutzt werden.

Tipps für eine sichere Kommunikation

Ramy Raoof, Tactical Technologist bei Amnesty Tech, gibt ein paar einfache Tipps:

Grundlegendes für iPhone und Android: Es sollten nur Apps aus dem offiziellen App Store heruntergeladen werden, um die Gefahr eines Angriffs zu minimieren und zu verhindern, dass persönliche Informationen unbemerkt gestohlen werden. Betriebssystem und Apps sollten regelmäßig aktualisiert werden, damit immer die neuesten Patches installiert sind. "Kontowiederherstellung" sollte freigegeben sein für den Fall, dass das Mobiltelefon einmal nicht mehr zugänglich ist. Die Displaysperre sollte schwer zu erraten sein und zum Beispiel aus einer achtstelligen PIN oder einem alphanumerischen Passwort bestehen.

Passwort-Management: Der Vorteil eines Passwort-Managers ist, dass man sich Passwörter nicht zu merken braucht und daher nicht ständig dieselben Passwörter benutzen muss. Ein Passwort-Manager generiert und speichert sichere Kennwörter, damit für verschiedene Seiten und Dienste unterschiedliche Passwörter verwendet werden können. Einige Beispiele sind KeePassXC, 1Password und Lastpass. Wichtig ist, dass regelmäßig Backups von der Passwort-Datenbank gemacht werden.

Messaging-Apps: Wenn wir Messaging-Apps für Menschenrechtsverteidiger_innen empfehlen, prüfen wir diese Apps auf ihre Richtlinien (z. B. Nutzungsbedingungen, Datenschutzerklärung) und die genutzte Technologie (Open Source oder nicht, getestet oder nicht, Sicherheit). Außerdem bewerten wir natürlich die Allgemeinsituation, also ob die App in ihrer Funktionalität dem Bedarf und der jeweils gegebenen Bedrohungslage gerecht wird. Im Allgemeinen weisen Signal und Wire sehr gute Sicherheits-Funktionalitäten auf. Wichtig: Für Signal wird eine SIM-Karte benötigt, wohingegen man sich für Wire mit einem Benutzernamen bzw. einer E-Mail-Adresse registrieren kann.

Öffentliches WLAN und VPN-Verbindungen: Wer sich in einem Café oder Flughafen mit dem öffentlichen WLAN verbindet, der vertraut seine Internetaktivitäten diesem Netzwerk an. Wenn in diesem Netzwerk Hacker_innen unterwegs sind, könnten sie möglicherweise persönliche Daten stehlen. Durch die Nutzung einer VPN-App können Online-Aktivitäten nicht von anderen Nutzer_innen desselben Netzwerks eingesehen werden. Zwei Möglichkeiten sind NordVPN und TunnelBear.

Mehr dazu