Kriterien für sichere und nachhaltige Software¶
Veit Schiele
5. Mai 2021
5–6 Minuten
- Open Source
Der beste Weg, um zu überprüfen, wie sicher eure Daten vor unbefugtem Zugriff sind, ist die Verwendung von Open-Source-Software.
- Virtual Private Network
Dies ist in der Regel die Grundlage für den Zugriff auf ein Unternehmensnetzwerk von außen. Vertraut jedoch nicht blind auf die oft falschen Versprechungen der VPN-Anbieter, sondern nutzt Open-Source-Programme wie OpenVPN oder WireGuard.
- Remote desktop software
Remotely ist eine gute Open-Source-Alternative zu TeamViewer oder AnyDesk.
- Konfiguration
Auch bei Open-Source-Software solltet ihr prüfen, ob die Standardeinstellungen wirklich datenschutzfreundlich sind:
Jitsi Meet zum Beispiel stellt externe Verbindungen zu gravatar.com her und protokolliert mit der Protokollierungsstufe
INFOviel zu viele Informationen. Frühere Jitsi-Apps banden auch die Tracker Google CrashLytics, Google Firebase Analytics und Amplitude ein. Betreibt nach Möglichkeit eure eigenen STUN-Server, ansonsten wird meet-jit-si-turnrelay.jitsi.net verwendet.- Verschlüsselungsmethoden
Hier ist zu unterscheiden zwischen der Transportverschlüsselung – idealerweise Ende-zu-Ende – und der Verschlüsselung der gespeicherten Daten.
Die Synchronisationssoftware Syncthing zum Beispiel nutzt sowohl TLS als auch Perfect Forward Secrecy zum Schutz der Kommunikation.
Sie sollten informiert werden, wenn sich der Fingerabdruck eines Schlüssels ändert.
- Metadaten
Stellt sicher, dass die Kommunikationssoftware Metadaten vermeidet oder zumindest schützt; sie können viel über das Leben der Nutzer*innen verraten.
- Audits
Auch die Sicherheitsrisiken von Open-Source-Software können nur von Expert*innen erkannt werden. Verwendet Software, die ein Sicherheitsaudit erfolgreich bestanden hat.
- Tracker
In Smartphone-Apps sind oft viele Tracker integriert, die ohne das Wissen der Nutzer*innen Daten an Dritte wie Google oder Facebook weitergeben. εxodus Privacy ist eine Website, die Android-Apps analysiert und zeigt, welche Tracker in einer App enthalten sind.
Sie prüft auch, ob die von einer App angeforderten Berechtigungen zum Verwendungszweck passen. So ist es zum Beispiel unverständlich, warum Messenger wie Signal, Telegram und WhatsApp zwangsweise die Eingabe der eigenen Telefonnummer verlangen.
- Malvertising
Vermeidet Apps, die Werbung einbetten und damit das Risiko von Schadcode-Werbung bergen. Außerdem können Tracking-Unternehmen die Aktivitäten der Nutzer*innen über eingebettete Werbung auswerten und vermarkten.
Es gibt zahlreiche Tools wie uBlock Origin für Firefox, Blokada für Android und iOS oder AdGuard Pro für iOS, die die Auslieferung von Werbung und das Durchsickern von persönlichen Daten verhindern. Mit HttpCanary für Android-Apps und Charles Proxy für iOS-Apps können Nutzer’innen selbst untersuchen, wie sich Apps verhalten, wenn die App-Entwickler nicht auf Certificate-Pinning zurückgreifen. Burp Suite fängt weit mehr als nur Datenpakete ab und kann auch Certificate-Pinning umgehen.
- Dezentrale Datenspeicherung
Am sichersten ist es, wenn Daten dezentral gespeichert werden. Wenn dies nicht möglich ist, sind föderierte Systeme, wie z.B. E-Mail-Infrastrukturen, zentralisierten Systemen vorzuziehen.
- Finanzielle Transparenz
Wenn Unternehmen hinter Open-Source-Software stehen, sollten sie ihre Finanzen und finanziellen Interessen an der Software transparent machen. Ein gutes Beispiel in dieser Hinsicht ist Delta Chat.
- Verfügbarkeit
Ist eine Android-App z.B. nur über den Play Store von Google oder auch über den datenschutzfreundlicheren F-Droid Store erhältlich?
- Datensparsamkeit
Prüft bei der Auswahl einer Software nicht nur, ob sie alle funktionalen Anforderungen erfüllt, sondern auch, ob sie nur die notwendigen Daten speichert.
- Daten-Synchronisation
Daten aus einer Software sollten zwischen mehreren Geräten synchronisiert werden können, ohne dass ein zentraler Server dies vermitteln muss. Wir synchronisieren zum Beispiel unsere KeePass-Datenbank direkt zwischen unseren Geräten mit Syncthing und nicht über WebDAV oder Nextcloud. Das bedeutet, dass die Passwortdaten nirgendwo zwischengespeichert werden, sondern nur dort, wo sie benötigt werden.
- Backup
Um sicherzustellen, dass alle relevanten Daten während der gesamten Nutzungsdauer sicher verfügbar sind, sollten Sicherungskopien angefertigt werden. Diese sollten an einem sicheren Ort aufbewahrt werden, der auch rechtlich zulässig ist. Die Sicherung sollte zudem automatisch erfolgen und die Backups sollten verschlüsselt sein.
Weiterführende Inhalte¶
