»Kriterien zur Auswahl sicherer Software« in iX 08/2021

Allgemein

  • Wie sicher ist die Software?

  • Wie gut sind die Daten vor unberechtigten Zugriffen geschützt?

  • Die Sicherheit von quelloffener Software lässt sich am zuverlässigsten prüfen.

  • Falls hinter einer quelloffenen Software ein Unternehmen steht, sollte dieses seine Finanzen und seine finanziellen Interessen an der Software transparent darstellen. Ein gutes Beispiel ist in dieser Hinsicht Delta Chat.

  • Prüft bei der Auswahl von Software nicht nur, ob sie alle funktionalen Anforderungen erfüllt, sondern auch, ob sie datensparsam ist.

  • Über welche Kanäle ist eine Software verfügbar?

    Ist eine Android-App beispielsweise nur über Googles Play Store oder auch über den datenschutzfreundlicheren F-Droid Store erhältlich?

  • Verwendet die Software sichere Verschlüsselungsmethoden?

    Zu unterscheiden ist hier zwischen der Transportverschlüsselung – idealerweise Ende-zu-Ende – und der Verschlüsselung von gespeicherten Daten.

    Die Synchronisierungssoftware Syncthing nutzt beispielsweise sowohl Transport Layer Security (TLS) als auch Perfect Forward Secrecy (PFS) um die Passwortdaten zu schützen.

  • Falls sich der Fingerprint eines Schlüssels ändert, sollte die Software die User darüber informieren.

  • Achtet bei Kommunikationssoftware darauf, dass sei Metadaten vermeidet oder zumindest schützt; sie können sehr viel über das Leben der User aussagen.

Video-Konferenzen

  • Kontrolliert auch bei Open-Source-Software, wie datenschutzfreundlich die Standardeinstellungen sind. So erstellt zum Beispiel Jitsi Meet externe Verbindungen zu gravatar.com und protokolliert mit dem Logging-Level INFO viel zu viele Informationen. Frühere Jitsi-Apps banden auch die Tracker Google CrashLytics, Google Firebase Analytics und Amplitude ein. Betreibt, wenn möglich, eigene STUN-Server, sonst wird meet-jit-si-turnrelay.jitsi.net verwendet.

Virtual Private Network (VPN)

  • Ein Virtual Private Network ist die Basis für den Zugriff auf das Firmennetzwerk von außen.
  • Vertrauen Sie nicht blindlings den Versprechungen von VPN-Anbietern.
  • Nutzt quelloffene Programme wie OpenVPN oder WireGuard.

Fernwartungssoftware

  • Auch für Fernwartungssoftware gibt es Open-Source-Lösungen wie Remotely, deren Quellcode im Gegensatz zu TeamViewer oder AnyDesk auf GitHub einsehbar ist.
  • Auch die Sicherheitsrisiken von quelloffener Software lassen sich nur von Fachleuten erkennen.
  • Nutzt Software, die einen Sicherheits-Audit erfolgreich bestanden hat.

Mobile Apps

  • Smartphone-Apps binden häufig sehr viele Tracker ein, die ohne das Wissen der User Daten an Dritte wie Google oder Facebook weitergeben.

  • εxodus Privacy ist eine Website, die Android-Apps analysiert und anzeigt, welche Tracker in einer App eingebunden sind.

  • Kontrolliert, ob die von einer App angeforderten Berechtigungen zur geplanten Nutzung passen.

  • Es ist zum Beispiel unverständlich, warum Messenger wie Signal, Telegram und WhatsApp zwingend die Eingabe der eigenen Telefonnummer verlangen.

  • Vermeidet Apps, die Werbung einbindet.

    Dies birgt die Gefahr von Malvertising, also der Auslieferung von Werbung mit Schadcode. Darüberhinaus können Trackingunternehmen über die eingebundene Werbung die Aktivitäten der User auswerten und vermarkten.

  • Es gibt zahlreiche Tools wie uBlock Origin für Firefox, Blokada für Android und iOS oder AdGuard Pro für iOS, die die Auslieferung von Werbung und den Abfluss persönlicher Daten unterbinden.

  • Mit HttpCanary für Android-Apps und Charles Proxy für iOS-Apps können User selbst untersuchen, wie sich Apps verhalten, sofern die App-Entwickler nicht auf Certificate-Pinning zurückgreifen. Die Burp Suite schneidet deutlich mehr als nur Datenpakete mit und kann auch Certificate-Pinning umgehen.

Datensicherung und -synchronisation

  • Am sichersten ist es, wenn Daten dezentral gespeichert werden.

    Falls dies nicht möglich ist, sind föderierte Systeme, wie zum Beispiel die E-Mail-Infrastruktur, zentralen vorzuziehen.

  • Können alle relevanten Daten auch sicher über die gesamte Nutzungsdauer gespeichert werden?

  • Kann ein Backup aller relevanten Daten erstellt werden?

  • Liegen diese Backups an einem sicheren Ort?

  • Und wer ist für die Backup-Daten rechtlich zuständig?

  • Erfolgt die Sicherung der relevanten Daten automatisch?

  • Sind die Backups verschlüsselt?

  • Können Daten einer Software zwischen mehreren Geräten abgeglichen werden, ohne dass ein zentraler Server zur Vermittlung dafür nötig ist? So synchronisieren wir bei Cusy z.B. unsere KeePass-Datenbank direkt zwischen unseren Geräten mit Syncthing und nicht über WebDAV oder Nextcloud. Dadurch werden die Passwort-Daten nirgends zwischengespeichert, sondern nur dort gespeichert, wo sie auch gebraucht werden.