Hallo Community,
eine Frage die mich schon sehr lange auf Trab hält und die ich bisher nicht abschließend beantworten konnte, vielleicht mit eurer Hilfe?
Alle hier die wir uns mit Datenschutz/Datensicherheit beschäftigen, suchen letztlich irgendwo einen Kompromiss, der es uns erlaubt, Hard und Software für uns nutzbar zu machen, ohne ein zu großes Maß unserer Privatsphäre aufzugeben. Soweit so gut, jeder hat irgendwo diese Linie gezogen. Was mich wirklich umtreibt sind die Daten die ich physisch auf meinem Handy täglich mit mir herumtrage. Fast überall hin. Schnell ist so ein Gerät mal verloren, liegengelassen, gestohlen oder sonst irgendwie in falsche Hände geraten. Bei mir persönlich war es ein Raub im letzten Urlaub. Ein realistisches Szenario, das jeden von uns quasi täglich treffen kann. Wie sicher sind die Daten vor unbefugtem Zugriff? Man stelle sich vor…die dienstlichen Mails, der Passwort Manager, die Fotos der Partnerin, die Joyclub-Nachrichten, you name it… Ihr seht worauf das rausläuft, Supergau.
Nun nutze ich persönlich ein halbwegs aktuelles iphone mit ernstzunehmendem Passcode, in der Hoffnung (und durchaus auch im Glauben!) dass diese kleinen teuren Gräte dicht sind und bleiben, auch wenn sie mal wegkommen. Wohlgemerkt, mein thread modell berücksichtigt nur den gemeinen Dieb oder auch den engagierten Nerd, der mein meist im AFU zustand gesperrtes Iphone in die Hände bekommt, nicht die um unser aller Sicherheit in rührender Weiße bemühten staatlichen Drei-Buchstaben-Institutionen, die mit größtem Aufwand und unbeschränkten Ressourcen Zugang zu meinem Telefon bekommen wollen. (Oder den Räuber, der einfach freundlich nach dem Passcode fragt, während er mit der 38er an meiner Stirn kratzt [glücklicherweise bei mir nicht der Fall gewesen, Jahrelanger Crackgenuss hat hier wohl die dafür nötige Einsicht dauerhaft erodiert] ) Was meint Ihr? Hält das verlorene Iphone dicht? Oder ist Software im Umlauf, die es in sinnvoller Zeit auslesen kann?
Und wie gerne würde ich dem Hersteller den Rücken kehren, Android verwenden, degoogelt, graphene, dual boot mit sandbox und so, Datenschutz eben. Aber wie sieht es da aus? Ein Zoo an Hardware, und dazu die verschiedenen OS? Wie sicher kann da die einzelne Instanz sein? Ich zweifle stark!
Ich bin gespannt auf eure Einschätzung, gerne mit links zu Fallbeispielen oder Untersuchungen diesbezüglich.
Ich errinnere mich an ein Interview mit Martin Frost, in dem er einmal sagte, dass jedes iPhone mit spezieller Software problemlos entsperrt werden könne!
Wenn schon schon spezial Software ein „halbwegs aktuelles iphone mit ernst zunehmendem Passcode“ nicht aufbekommt wird das irgendein 08/15 Dieb erst recht nicht. Wobei die eh kein Interesse an den Daten haben, wenn geht es denen um verkaufsfähige Ersatzteile.
Tja ich weiss nicht. Du weiss schon wer Martin Frost ist? Der Gründer des ehemals grössten Darknet Marktplatzes. Ist denke schon, dass er Ahnung von der Materie hat!
A) Er wurde erwischt. SO viel Ahnung hatte er offensichtlich nicht. Und inwiefern ihm das jetzt großartig Kompetenz zuspricht ist mir nicht klar.
B) Das Interview ist alt und er sitzt seit Monaten für viele Jahre im Knast. Welche Phones auf welche Art kompromittierbar sind ist kein fest gesetzter Faktor sondern dynamisch. Selbst wenn die Dokumente aus April überholt sein sollten, geben sie doch recht eindeutig die Richtung vor: Aktuelle Pixel (bevorzugt mit Graphene) und Iphones sind für Behörden ein Problem.
C) Der durchschnittliche Taschendieb wird kein Cellebrite & Co. verwenden. Dem werden deine SMS und Tinder likes höchstwahrscheinlich auch ziemlich egal sein.
Aus dem Bericht geht zwar hervor, dass das Handy des Attentäters in nur 40 Min. geknackt wurde. Aber mithilfe der offiziellen Software und durchschnittlicher Hardware kann es Monate dauern oder gar unmöglich sein, die Verschlüsselung eines aktuellen Smartphones zu knacken. Cellebrite ist weltweit führend in dieser Sparte.
Allgemein sollte man doch eher davon ausgehen, dass, wenn dein Handy gestohlen wird, nicht ein IT-Spezialist dahintersteckt. Somit erübrigt sich schon fast die Frage nach der Sicherheit deiner Daten bei Diebstahl. Hierbei geht es um den Verkauf der Hardware und nicht um die Entschlüsselung der Daten eines Otto-Normal-Verbrauchers.
Mein Banking, E-Mail und ggf. Google Konto sind unzugänglich, sobald ich den ersten Internetzugriff bekomme und das dauert weniger als 1 Std. nach Diebstahl. Bei keinem von uns liegen empfindliche Stattsgeheimnisse auf dem Speicher und das sollte eine technisch versierte Person auch wissen, die sich ernsthaft mit der illegalen Entschlüsselung deines Gerätes beschäftigt.
Nebenbei verstehe ich hier auch nicht, wieso Martin Frost als Cryptospezialist aufgeführt wird.
Vielen Dank für eure Einschätzungen! Ich gebe es ja zu, mein Thread Modell ist ein wenig weit hergeholt, die meisten Diebe oder Finder meines Telefones werden anderes im Sinn haben als meine Daten auszulesen, schon klar. Aber dennoch, ein viel besseres Gefühl hab ich trotzdem, wenn ich weiß dass die Daten sehr schwer bis gar nicht erreichbar sind. Wäre schon bitter gewesen wenn die Erkenntnis aus dieser Diskussion gewesen wäre, das jedes halbwegs motivierte script kiddy eine fertige Lösung bei github downloaden könnte mit der das möglich ist. Danke an dieser Stelle speziell für den Cellebrite Hinweis, das würde ich schon mal als Benchmark ansehen. Erschreckend hier: Samsung, Huawei, Motorola und co anscheinend alles kein Problem, auch ein Pixel 8 mit Stock Firmware im AFU Zustand kein Problem oder wie interpretiert ihr die Cellebrite Matrix? Hier dann meine nächste Frage, weiß jemand ob Software im Umlauf ist, die das ebenfalls leistet und die deutlich zugänglicher ist als Cellebrite? Wenn man nach „Android passcode recover“ o.ä. googelt gibt es ja schon einiges, meint ihr irgend etwas davon funktioniert wirklich oder wird das alles Fake sein? Hat es vielleicht sogar mal jemand wirklich getestet?
Conclusion an dieser Stelle für mich: Entweder Iphone oder Pixel mit Graphene, zumindest gegen diesen Angriffsvektor.
Für Diebe ist das aber mit Sicherheit kein Benchmark. Die Lösungen sind für staatliche Sicherheitsbehörden, die bekommt man nicht einfach mal so zum Verkauf und sind ziemlich teuer. Ich denke deine Sorgen sind vollkommen übertrieben, wenn du dir primär um Datenextraktion nach Diebstahl sorgen machst. Wenn du auf Nummer Sicher gehen willst hol dir halt ein Google Pixel und installierst GrapheneOS. Ist auch unabhängig davon eine gute Entscheidung.
Eine neunstellige PIN hat eine Milliarde Möglichkeiten. Eine moderne CPU in einem Consumer-PC schafft je nach Software zwischen einer und zehn Millionen Versuche pro Sekunde. Dies setzt allerdings voraus, dass der Angreifer in der Lage ist, die Software des iPhones einem Brute-Force-Angriffssystem auszusetzen. In der Vergangenheit gab es immer wieder erfolgreiche Angriffe mit Techniken, die in jeder gut ausgestatteten Handywerkstatt zu finden sind. In der Regel wurden dabei jedoch Sicherheitslücken ausgenutzt und keine fundamentalen Methoden verwendet, denen der Hersteller nichts entgegenzusetzen hätte. Beispiele für das Ausnutzen solcher Sicherheitslücken finden sich im Internet zuhauf, dürften aber alle nicht mehr funktionieren. Das heißt aber nicht, dass es nicht heute oder morgen eine gibt, bei der eine Technik wieder erfolgreich ist.
Fazit: Sicherer wäre es, eine alphanumerische PIN zu verwenden (beim iPhone geht das), weil das die Komplexität des Passwortes deutlich erhöht. Wichtig: Man sollte immer eine aktuelle Version seiner Geräte verwenden. „Halbwegs aktuell“ wie in deinem Fall bedeutet, dass es (oft sogar bekannte) Probleme in deiner Software gibt und möglicherweise eine Schwachstelle für das hier diskutierte Problem enthalten ist. Des Weiteren sollte man eine Remotelöschfunktion aktivieren bzw. in Unternehmen ein MDM System verwenden. Eine automatische Löschung als Gegenmaßnahme gegen Brute Force sollte aktiviert sein und man sollte darauf achten, dass das Handy auch verschlüsselt ist. Bei iOS ist das glaube ich seit Version 5 standardmäßig der Fall. Dann hast du getan, was du kannst und ein Angreifer mit handelsüblichen Ressourcen wird irgendwann die Lust verlieren oder einen Lucky Punch landen oder anderweitig an deine PIN gekommen sein. Aber ich wiederhole mich, weil es wichtig ist. Das größte Problem sind ungepatchte Sicherheitslücken.
Abschließend noch ein theoretischer Ansatz, wie das FBI oder die NSA vorgehen könnten und natürlich auch für gut ausgestattete und spezialisierte Kriminelle ein möglicher Ansatz wäre. Mit dieser Frage habe ich mich bereits 2015 beschäftigt, nachdem die NSA nach wochenlangem Hickhack das iPhone des Attentäters von San Bernadino entschlüsselt hatte. Man weiß es nicht genau, aber es könnte NAND-Mirroring verwendet worden sein. Das Prinzip ist einfach. Man erstellt eine bitgenaue Kopie des verschlüsselten Flashspeichers und probiert eine kleine Anzahl möglicher Kombinationen aus (gerade so viele, dass die Brute-Force-Gegenmaßnahmen nicht greifen) und setzt die Kopie wieder in den Originalzustand zurück und probiert die nächsten Kombinationen aus. Was man dann braucht ist ein hoher Automatisierungsgrad und eine schnelle Infrastruktur. Bei einer sechsstelligen PIN wie beim iPhone mit einer Million Möglichkeiten ist der Aufwand dann überschaubar. Das ist dann so ein fundamentaler Ansatz, wie ich ihn oben schon erwähnt habe, und der Hersteller dürfte machtlos sein. Dafür braucht man auch keinen Supercomputer, sondern ein Team von guten Informatikern, eine starke Motivation und z.B. einen MacPro aus dem oberen Preissegment. Allerdings steigt mit zunehmender Komplexität des Passworts auch hier der Aufwand signifikant. Aber wenn du es mit solchen Gegnern aufnimmst, ist das Handy wahrscheinlich dein kleinstes Problem.
Funktioniert bei einem Secure Element wie beim iPhone oder Google Pixel nicht, da man das Secure Element nicht kopieren kann. Die verschlüsselten Nutzerdaten kann man zwar kopieren, aber viel Glück das zu entschlüsseln, da diese mit symmetrischer Verschlüsselung mit langem zufälligem Schlüssel verschlüsselt sind, da helfen selbst Quantencomputer nicht.
Wohl kaum in den letzten Jahren mit o.g. Smartphones. Das war vielleicht vor 10 Jahren mal so.
Schon eine 6 stellige PIN gilt als sicher bei modernen iPhones und Google Pixels. Die Nutzer-Daten sind mit einem zufälligen langen Schlüssel verschlüsselt, der nur vom Secure Element freigegeben wird, wenn der Nutzer die korrekte PIN eingibt. Diese Eingabe unterliegt starken Einschränkungen und falsche Eingaben verlängern die Zeit in der die nächste Eingabe gemacht werden kann. Das Secure Element hat nur minimale Angriffsfläche, ist unabhängig vom Hauptprozessor und kann nicht kopiert werden. Es wurde auch mit Hinblick auf Insider-Threats und physische Sicherheit entwickelt.
Ja, wie ich schon geschrieben habe, ist eine aktuelle Software (und natürlich auch Hardware) der entscheidende Faktor, wenn es um die Sicherheit der Daten auf einem Mobiltelefon geht. Ich habe auch erwähnt, dass die bekannten Angriffsvektoren heute nicht mehr funktionieren. Aber ich würde meine Finger nicht ins Feuer legen, wenn es um die Frage geht, ob es nicht heute schon Sicherheitslücken in aktuellen Systemen gibt (von denen die Öffentlichkeit nichts weiß) und schon gar nicht, was in Zukunft noch alles gefunden wird. Das ist ein Katz-und-Maus-Spiel, das sich ewig fortsetzen wird. Die Tatsache, dass auch heute noch Geräte von Behörden geknackt werden zeigt doch, dass es die absolut sichere Technik nicht gibt und selbst diese Superbehörden haben noch keine Superquantencomputer. Erfolgreiche Angriffe sind noch gar nicht so lange her. Es gibt einige bekannte Fälle aus dem Jahr 2018 und jünger[1]. Sie sind zwar nicht im Detail beschrieben, aber es gab sie. Selbst Secure Enclave wurde (angeblich) erfolgreich umgangen. Ich muss allerdings zugeben, dass ich mich seit 2016 nicht mehr im Detail mit dem Thema beschäftigt habe. Es hat mich damals einfach aus rein akademischem Interesse dazu gebracht, tiefer zu bohren.
Wir sollten uns aber auch nicht auf die hypothetische Gefahren des Mobiltelefons versteifen. Das Leben ist gefährlich, das ist einfach so. Kommen wir zurück zum Risikomanagement des OP, und da wird es wohl keine zwei Meinungen geben. Die Systeme aktuell zu halten und die vorhandenen Sicherheitsmaßnahmen zu aktivieren, ist das A und O der Gefahrenabwehr. Ich habe zum Beispiel auch keine Instanz meines Passwortmanagers auf dem iPhone und meine Daten sind Ende-zu-Ende verschlüsselt auf meinem Server. Mein Restrisiko sind die E-Mail-Accounts und die App-Daten als solche, auf die außer den iOS-nativen Möglichkeiten keine weiteren Maßnahmen wirken. Damit kann ich leben, damit muss ich leben. Zu meinem Notfallmanagement gehört auch noch ein zweites (altes) iPhone auf dem meine Authenticator Codes gespeichert sind (hätte ich aber auch noch im KeePass) und meine Online Banking Apps als Zweitgerät konfiguriert, um mich nicht aus meinem Online Leben auszusperren. Wenn das Handy weg ist, sind das die wirklichen Probleme, die man hat. Ist man überhaupt noch handlungsfähig. Der Thread hier ist sehr abstrakt und ein interessanter Zeitvertreib und deshalb schätze ich deinen Einwand sehr. Hat mich dazu gebracht, mich wieder etwas in das Thema einzulesen.
Danke an alle nochmal für die wirklich interessante Diskussion! @Cyberduck „halbwegs aktuelles iphone“ meinte in meinem Fall dass die Hardware einigermaßen aktuell ist, also von letztem Jahr. Das OS ist natürlich auf dem neuesten Stand.
Blöde Frage, wenn du keinen Passwortmanager auf dem Handy hast, wie nutzt du die entsprechenden Zugänge von unterwegs? Oder findet dass dann einfach nicht statt, nur von zu Hause? Da wäre dann die Balance zwischen Sicherheit und Nutzbarkeit stark in eine Richtung verschoben finde ich.
Gerade auf dem sichersten Gerät (iPhone/Google Pixel) den Passwortmanager nicht zu verwenden macht absolut keinen Sinn. PCs/Laptops und Server sind deutlich unsicherer.
In meinem Workflow ist das nicht vorgesehen. Was ich vom Handy aus machen muss, ist auch dort hinterlegt, wie zum Beispiel die Logins der Banking Apps, um die 2FA zu gewährleisten. Online Banking benutze ich aber vom Desktop oder Laptop aus. Dann sind die Zugangsdaten der üblichen Verdächtigen wie E-Mail, Google und Facebook Account auf dem Handy gespeichert und der Zugang zur Ende-zu-Ende-Verschlüsselungs-App. Da sind dann die Informationen gespeichert, die ich unterwegs brauchen könnte. Wie oben schon erwähnt, sind das die Dinge, mit deren Restrisiko ich einverstanden bin.
Meinen Passwortmanager habe ich mit einem Keyfile als zweiten Faktor abgesichert und die Frage ob ich das Keyfile auf dem Handy haben möchte habe ich (für mich persönlich) mit Nein beantwortet. Man muss auch bereit sein Kompromisse einzugehen und da habe ich für mich ein ausgewogenes Verhältnis gefunden. Aber jeder baut sein eigenes Nest. Ich komme mit meinem gut klar.
Wer sich an die Empfehlungen hier hält ist vor jeder „normalen“ Bedrohung sicher.
Denk mal nach, die hatten seine Leiche, also alle relevanten Körperteile! Die konnten seine Wohnung durchwühlen und seinen Vater „kooperieren lassen“. Fast jeder Geheimdienst und Sicherheitsspezialist auf der Welt hätte dem Secret Service in dem Fall sofort geholfen.
AFU = after first unlock. Ich denke also ein Telefon, das nach dem Neustart mindestens einmal den korrekten passcode gesehen hat. Ich habe die Abkürzung aus den Cellebrite Dateien.
Nein, aber es bringt mich auf einen Gedanken: ich habe für meinen Bruder (für den Fall, dass ich nicht mehr in der Lage bin, zu kommunizieren) neben einer Vorsorgevollmacht auch eine Notfall-Liste hinterlegt, in der steht, welche Kunden er informieren muss, Krankenversicherung, Altersvorsorge, Konten, Keypass-Zugang usw.
Die sollte ich dann auf jeden Fall an einem Ort hinterlegen, auf den bei einer Wohnungsdurchsuchung keiner Zugriff hat.
