IT-Sicherheit ist nie fertig – Ein persönlicher Weg über viele Jahre

Ein Beitrag wurde in ein neues Thema verschoben: Keepass Entschlüsselung mit Fingerabdruck und Schlüsseldatei

hm..ob Technik sich wie Abenteuer anfühlt liegt auch sicher daran, was man schon alles erlebt hat.

Ich denke schon das das heute für die junge Generation (die die in der Schule ist) bei Interesse an der Materie nach wie vor Abenteuer ist. Das war es für mich in dem Alter auch, nur eben mit Sinclair, Apple IIe+, abtippen von Seitenlangen Programmierungen in Basic aus Fachzeitschriften etc. Der Unterschied zu heute ist natürlich, das dieses Thema “Computer (heute IT)” damals keine so große Beachtung in der Gesellschaft erfahren hat bzw. man nicht ganz ernst genommen wurde.

Ich denke die heutigen Zeiten holen sich Ihr Abenteuer aus der Schaffung möglicher Alternativen nach den Großen Playern. Das Thema Privacy und Security usw. wird sich noch verschärfen..und ja es ist auch ein Stück weit ermüdend. Leider wird es aber m.E. nach so schnell keine wirkliche Lösung geben, die man “schlüsselfertig” und vor allem auch für non-ITler einfach zu nutzend haben kann. Das hat vor allem Apple hervorragend gemacht. Leider wird dieses Modell noch in viele andere Bereiche einziehen.

Und solange es keinen Zwang gibt sich anderen Herstellern und Software zu öffnen (Messaging z.B.) wird es für die Masse keine Lösung geben, denn dann wird der Aufwand viel zu groß für jemanden der einfach nur “nutzen” möchte.

Alles wichtige in Ordnern, bzw. digital Steuerberater. E Rechnung ist für mich Horror. Klarna oder Amazone Account, ansonsten Banking über GOS auf dem nur noch zusätzlich eine Radio läuft.

Nichts wichtiges digital…..

Hauptanforderungen für Passwörter sind Länge, Komplexität und Einzigartigkeit, d.h. genau ein Passwort pro Dienst und keine Wiederverwendung (auch nicht von Teilen des Passworts). Ein Passwort-System, wo sich pro Dienst nur ein kleiner Teil des Passworts ändert, kann das nicht einlösen. Klar gibt es bei PW-Managern ein gewisses Klumpenrisiko, aber ich kenne keinen anderen Weg, um für jeden Zugang ein langes, komplexes und einzigartiges Passwort zu erzeugen.

Wo hier im Thread schon Zukunftsszenarien verhandelt werden: Auch wenn ich derzeit noch ein Fan von KeepassXC und der Kombination Passwort+TOTP bin, schlage ich mich auf die Seite der Heise-Redaktion und sage den Siegeszug von Passkeys voraus…

Ich denke, es gibt auch Kompromisse zwischen Open und Closed Source, zwischen Big Tech und selbstgestrickten Lösungen. Cryptomator plus Public Cloud und Apples Advanced Data Protection fallen mir da ein. Da muss man allerdings auch bei der Verwendung Kompromisse machen: Cryptomator erschwert die Volltextsuche, und Apples Lösungen sind nicht plattformübergreifend. Am liebsten mag ich Projekte wie Joplin, die sowohl Open Source als auch ‘platform agnostic’ sind.

Das sehe ich ganz genau so.

Wenn ihr explizit über GrapheneOS diskutieren möchte - dazu gibt es schon haufenweise Threads. Bitte beim Thema bleiben.

Am letzten Sonntag konnten die Schweizer abstimmen:

• Menschen vor Überwachung, Datenmissbrauch und automatisierten Entscheidungen zu schützen
• ihnen das Recht zu geben, staatliche Leistungen auch offline zu beziehen.
• dass der Kontakt mit Behörden, Post oder Bank auch analog möglich sein soll.
• das Recht auf Vergessenwerden, das Recht auf Informationssicherheit, das Recht, nicht von Maschinen beurteilt zu werden, und generell das Recht auf ein Offlineleben.

Mit 75% der Stimmen wurde all das abgelehnt.

Wie will man in einer solchen Gesellschaft noch sinnvoll IT-Sicherheit betreiben?

Ich stehe noch vor dieser ganzen Digitalisierung. Also, wenn man über viele Jahre eigene Aktenordner hat, kann das viel Platz in Anspruch nehmen. Ist auch nicht das non-plus-ultra (und aktuell bräuchte ich etwas, was ich vor ein paar Jahren weggeschmissen habe. Hätte ich es digitalisiert gehabt, hätte ich es aufgehoben).
Kann man die vielen Updates und Folgeprobleme nicht dadurch lösen, dass man sie nicht macht, aber das System auf einer virtuellen Maschine luafen lässt ohne Internetzugang? (ja ist auch Optimierung, aber sicher nur 1x - ich bin kein Freund von immer neuen Features, sondern bleib lieber bei altem und Bewährten)

Gar nicht bzw. Rauszögern. Ich hab nicht wirklich ein Smartphone und will erst ein paar andere Sachen geregelt haben, bevor ich mir was kaufe und sich damit ein neues Problemfeld auftut. Ich verzichte lieber (erstmal) auf Neues.

Wo findest Du da seröse Firmen?

Also bei Linux hatte ich den Moment. Erst wars fremdbestimmt „weg von Windows“, aber dann diverse Vozüge von Liniux kennengelerntund .enn man dinge langsam unsteigt, ist auch die Lerkurve flacher und es bleiben mehr die interessanten

Welche Firma seriös ist, ist eine persönliche Abwägung die bei mir vermutlich anders ausfallen wird als bei Dir. Es gibt einfach zu viele Parameter die in die Bewertung einer Seriosität einfließen können. Daher denke ich, dass diese Fragestellung nicht sinnvoll allgemeingültig beantwortet werden kann.

Ich persönlich baue meine Auswahl auf den folgenden groben Parametern auf:

1. Ich suche nach Lösungen von Firmen oder Organisationen, deren Geschäftsmodell nicht auf Datensammlungen, -auswertung und Profilbildung zu beruhen scheint.
2. Unter diesen Kandidaten bevorzuge ich wenn möglich dann Anbieter die mit einer Ende-zu-Ende-Verschlüsselung Ihren eigenen Zugriff auf meine Daten technisch begrenzen und konfiguriere meine Einstellungen entsprechend, dass ich die Ende-zu-Ende-Verschlüsselung auch aktiviere.
3. Wenn eine solche Ende-zu-Ende-Verschlüsselung nicht möglich ist, bevorzuge ich dann Anbieter aus einem datenschutzfreundlichen Rechtsraum (Europa weil ich hier lebe, aber ggf. auch andere Länder wenn mir diese jetzt oder zukünftig sinnvoll erscheinen.)

Wenn es “Schlüsselfertige Lösungen” für ein Self-Hosting bei mir zu Hause gäbe, deren Sicherheit und administrativen Aufwände auch für einen Laien mit einer kurzen und präzisen Anleitung leistbar wären, dann fände ich solche Lösungen auch interessant.

Von der Betrachtung her, dass ich als Familien-Administrator ggf. spontan ausfallen könnte und meine Familie auf einmal von einem nicht mehr gewarteten System abhängt, nehme ich jedoch immer mehr Abstand von “handkonfigurierten Individualsystemen”.

Ich rede bei mir von fünf Aktenordner in Summe mit allen Dokumenten in einem günstigen Safe der mit vier Schrauben am Boden befestigt ist und ein Zahlenschloss mit sechs Nummern hat. Alles was neu an Papier reinkommt landet in einer Schublade. Zwei mal im Jahr wird gescannt und in den sechsten Ordner abgeheftet. Nur wenn dieser dann voll ist gehe ich alle Ordner durch bis ich wieder einen Ordner frei habe.
Die gescannten Dokumente liegen einfach nur in einer flachen Ordnerstruktur (Arzt mit Unterordnern nach Jahr, Arbeitgeber, Versicherungen mit Unterordner der jeweiligen Versicherungsbezeichnungen, etc.) und wird zwischen den beiden Macs durch Synthing abgeglichen.

Ich kann Linux gut bedienen, nur macht es meinen mentalen Akku leer, wenn ich mich damit in meiner Freizeit beschäftige. Apple Fotos macht genau das was ich brauche so wie es gemacht ist. Immich kann das nicht, es ist primär eine Backup-Lösung. Es ist großartig darin, Dateien sicher auf einem Server zu verwahren, aber dann hört es schon auf.
Vermutlich habe ich einfach Sysadmin-Burnout und kann mich nicht daran erfreuen so etwas selber aufzubauen, weil ich dies bereits auf der Arbeit habe und deswegen zuhause lieber Apple 2,99 Euro im Monat von meiner Kreditkarte abziehen lassen statt Docker-Container updaten, Datenbank-Migrationen überwachen, Reverse Proxy fixen, wenn LetsEncrypt zickt, Backup-Strategien testen.

Und genau das ist die perfekte Überleitung, ich würde ein handkonfiguriertes Individualsystem aufbauen stets am Rande meiner Fähigkeiten, weil immer wenn was läuft, dann würde ich wieder und wieder das nächste angehen. Denn immer wenn etwas läuft, würde ich sofort das Nächste angehen. Ein ewiger Kreislauf.

Die Aktenordner hingegen, die einfach alle Dokumente in der Reihenfolge des Eingangs beinhalten – ohne Trennblätter, ohne Beschriftung – sind für mich gut genug. Sie sind mein Backup, mein Archiv. Damit kann ich meinen Frieden finden und es mental abhaken.

Es ist gut genug. Aber bei FOSS?

Bei FOSS existiert dieses ‚gut genug‘ für mich nicht. Weil der Quellcode offen ist, ist auch die Liste der Möglichkeiten endlos. Jede Unperfektheit ist kein Limit des Herstellers, sondern nur ein Ticket, das ich noch nicht gelöst habe.

Mir hat der Bericht über den persönlichen Weg sehr geholfen, weil ich lange nicht verstand, wieso ich auf der einen Seite alles auf FOSS haben will, aber auf der anderen Seite so zögerte, den Weg konsequent zu Ende zu gehen: Ich wollte der Typ sein, der ‚Herr über seine Daten‘ ist. Dies loszulassen fühlte sich an wie eine Niederlage oder ein Verrat an den Idealen.

Ich liebe Linux. Ich finde Open Source wichtig und richtig. Aber ich habe erkannt: Die Freiheit, alles konfigurieren zu können, wird zur Pflicht, alles konfigurieren zu müssen. Und diese Pflicht kann ich mir gerade nicht leisten.

Ich habe mich entschieden, zu Hause einfach nur Endanwender zu sein. Die 2,99 Euro im Monat an Apple sind nicht die Gebühr für Speicherplatz. Sie sind das Schmerzensgeld, das ich zahle, damit jemand anderes die Verantwortung trägt. Ich kaufe mir damit keine Software, sondern das Recht, mich nicht kümmern zu müssen. Und das ist im Moment der einzige Standard, der für mich zählt.

Ein sehr schöner Artikel, der beispielhaft zeigt, dass IT-Sicherheit ein ständiger (Lern)prozess ist. Inzwischen ist auch “Digitale Souveränität” eine wichtige Komponente der IT-Sicherheit geworden und das macht es nicht einfacher. IT-Komponenten aus den USA sind inzwischen genau so wenig vertrauenswürdig wie aus China.

Im Bereich IT-/Informationsecurity bin ich schon sehr lange unterwegs, von daher ist da schon ein recht nerdiges Setup herausgekommen.

Hier ein kurzer Abriss meiner Implementierung der IT-Sicherheit:

• Netzwerk Hardware: Das ist jetzt alles Made in EU, Mikrotik aus Lettland. Damit konnte auch kostengünstige eine 2*10GbE Single-Mode Hausverkabelung realisiert werden. Die China-SFP+ Module sind größenteils inzwischen verreckt, sie wurden durch SPF+ Module von FlexOptix ersetzt, die sind zwar recht teuer, dafür aber auch zuverlässig.
• Security-Lösung: OPNsense - made in NL. Mit AVM konnte ich mich aufgrund der fehlenden Features wie z.B. VLAN nie anfreunden. Als DECT/SIP Telefonzentrale tut eine alte Fritzbox bei mir aber noch ihren Dienst im Telefonie VLAN (Ein Mikrotik Switch stellt das auf dem Port als Native VLAN bereit). OPNsense ist so konfiguriert, dass es Mails schickt, wenn das IDS (Suricata) etwas auffälliges bemerkt.
• Eine OPNsense terminiert auch die PPPoE Verbindung des Telekom Glasfaseranschlusses.
• Backup: Dafür gibt es einen alten Server (Intel Xeon Basis) mit FreeBSD und jede Menge Festplatten-Slots. Da ist das ZFS Filesystem ein echter Segen Bei der Sicherung der Passwortmanagerdateien wird zusätzlich noch mit GnuPG verschlüsselt, Sicher ist Sicher…
• Server: FreeBSD für Storage/Media-Server und Linux für Virtualisierung/Container. Die Container selbst basieren meist auf Debian-Slim oder Alpine.
• Desktop: Bisher alles Fedora-Linux/Gnome. Wenn von denen aber tatsächlich so ein invasive KI- kommen sollte, dann wird Fedora wohl durch Mint ersetzt. Ein ganz alter Notebook von 2008 läuft mit Debian 13 als Desktop-OS.
• Mobile: Da sind noch ein Apple iPhone und eine Apple-Watch. Für wichtige Dinge wird jedoch ein Google Pixel 8 mit GrapheneOS verwendet. Beim Kauf eines Smartphones ist das hier inzwischen die Short-List: https://grapheneos.org/faq#recommended-devices
• Patch-Management: Da ist das Paket cron-apt sehr nützlich, es schickt regelmäßig eine Mail, wenn es etwas zu patchen gibt. Bei den Containern, die ich meist aus Git-Repositories baue, ist git hier das passende Werkzeug, um zu prüfen, dass Patchen angesagt ist.
• E-Mail: Wie im Blog-Beitrag schon dargestellt ist das eine extrem sicherheitsrelevante Komponente. Da vertraue ich nur einer Person: Mir selbst, daher nutze ich auch kein Mailbox.org o.Ä., sondern meinen eigenen Mailcow Server. Zustellprobleme hatte ich bisher keine bei den großen Mailprovidern. Dafür aber mit Unternehmen, die einfach zu inkompetent sind, mit Mail-Reputationstools umzugehen. Macht nichts, dann wird eben wo anders bestellt.
• Accounts: Da ist man mit der eigenen E-Mail Lösung natürlich perfekt ausgerüstet: Für jeden Account gibt es eine eigene E-Mail Adresse ohne “+”, denn den Trick kennen die Spammer auch.
• Passwörter: Wie E-Mail, jeder Account hat ein eigenes, komplexes Passwort. Es dürfen dabei auch gerne mehr als 32 Zeichen sein. KeepassXC/DX etc. sind dafür der perfekte Ablageort. Sehr nützlich bei KeepassXC: Der Passwortgenerator mit Angaben zur Entropie und das TOTP-Tool.
• Mit Syncthing konnte ich mich nie anfreuden. Braucht man auch nicht, wenn man Nextcloud hat, der hat nämlich eine WebDAV-Schnittstelle, die von einigen Passwortmanagern unterstützt wird, ansonsten richtet es der Nextcloud-Client.
• Social-Media: Außer Fediverse braucht man eigentlich nichts mehr. Dennoch möchte ich schon noch über die Niederungen und Schmuddelecken von Social-Media informiert sein. Dazu gibt es unter dem GrapheneOS User “Meta” Installationen von Facebook, Instagram und Whatsapp. Natürlich sind unter diesem User keine Kontakte gespeichert und der Beitrag zu Wegwerfnummern (Aldi-Talk) in diesem Blog war da sehr nützlich
• Smartphone und Apps: Damit Apps nicht zu viele Daten in die Welt ist auf allen Smartphones ein Wireguard Client installiert, der sämtlichen Traffic über einen PIhole Server im Internet routet. Doof für Utic, weil am Ziel immer die IP-Adresse des Netcup Servers erscheint und nicht die von O2.

Auf die Frage, ob ich paranoid bin, stelle ich mir eher die Frage “Bin ich paranoid genug?”

Danke, sehr interessanter Beitrag

Hast du dazu mehr Infos? Mit Brave Search finde ich nur alte Artikel 1+ Jahre

Ich kaufe (noch) chinesische und amerikanische HW. Kannst du näher begründen warum das ein Problem ist, wenn ich On-Top Open Source SW installiere?

@ip6li Was ist bei Dir die Definition von Teuer? Die Optiken von fs.com funktionieren und lassen sich auch umprogrammieren, wenn man Geräte hat die gewissen Optiken vorraussetzen.

OPNsense vermutlich weil leichter zu konfigurieren als RouterOS?

Richtest Du für jeden Account di E-Mail-Adresse dann auch ein oder verwendest Du Catch-All mit all seinen Nachteilen?

Hast Du Username+Kennwort+OTP im selben Keepass?

Bei mir jedenfalls sind es zwei verschiedene KDBX-Datenbanken in KeePassXC. Fand ich erst extrem umständlich, jetzt habe ich mich gut daran gewöhnt, die TOTP-Datenbank aufzuschließen, indem ich das Passwort dafür mit STRG-C aus der Passwortdatenbank anwähle.

Zwei verschiedene Datenbanken zu nutzen, wird auch in der Doku von XC empfohlen, doch so klar ist mir das nicht, ob das erschwerte Handling tatsächlich einen so großen Sicherheitsgewinn verspricht, zumal wenn ich keine Lust habe, zwei verschiedene lange Masterpasswörter manuell einzugeben (s.o.). TOTP in dieselbe Datei wie die Passwörter zu packen, scheint ein Trend der Zeit zu sein (Bitwarden, Proton Pass usw.).

Kommt halt drauf an wovor ich mich schützen will.

Ich nutzte TOTP damit bei einem Datenleck die Angreifer nicht auf den Account kommen.

Die Gefahr, dass die Passwortdatenbank abhandenkommt, sehe ich als offline selfhoster als geringer an.

Dagegen ist der Komfort Gewinn und damit der Wille, wo es geht TOTP einzusetzen, am größten.

Ich nutze 1Password auf allen Geräten. Einmal im Jahr fahre ich einen Export nach Vaultwarden als Backup, welches ich aber ansonsten nicht nutze. Ich lasse 1Password alles automatisch ausfüllen.

Am MacBook mit TouchID sind lange Passwörter kein Problem. Ohne Biometrie wird es jedoch schnell mühsam, ständig Passwörter und OTP-Codes händisch einzutragen. Zwar fängt das 1Password-Plugin vieles ab, aber ich sträube mich gegen Workflows, die ohne deutlichen Sicherheitsgewinn nur Zeit fressen.

Auch wenn manche da Sicherheitsbedenken haben: Bitte mehr Biometrie auch für den Desktop! Nicht immer ist das so gut integriert wie bei Apple: Windows Hello arbeitet außer beim Gerätelogin nicht immer gut mit anderen Apps zusammen. Und Linux bekommt erst peu à peu Support für Secure Elements wie TPM, die dafür sorgen dass biometrische Merkmale benutzbar sind, aber unter keinen Umständen das Gerät verlassen.

Es braucht fprintd mit Match-on-Chip / Match-on-Sensor. T14, X1 Carbon können dies, bei anderen Geräten fehlt meist der Treiber.

Was ich gerne hätte wäre einen Quick Unlock: Masterkennwort im Passwortmanager einmal eingeben und mit dem Finger auf den FIDO2-Key entsperre ich dann jedes weitere mal den Manager. KeepassXC mit FIDO2/HMAC-SHA1 sollte ja gehen.

https://support.1password.com/system-authentication-linux/

Mit KeePassXC und Windows Hello geht das. Was nicht geht (nicht dass ich wüsste), ist zum Beispiel Bitlocker to Go oder Cryptomator-Vaults mit Hello aufzuschließen. Das meine ich mit unzureichender Integration, die auf dem Mac vermutlich besser ist.

bei einer Hausdurchsuchung dürfen sie dich zum Fingerprint etc zwingen, jedoch nicht zur Herausgabe des Passworts.

Das ist in DE und CH gleich.