Bild: Wikimedia | US Department of Homeland Security / Motherboard Montage: Motherboard

Hacker erklärt: So reist ihr mit eurem Smartphone sicher in die USA ein

Ein paar einfache Tipps helfen, eure Daten vor den Augen der US-Grenzbeamten zu schützen.

|
27 Februar 2018, 11:08am

Bild: Wikimedia | US Department of Homeland Security / Motherboard Montage: Motherboard

Wer reist, muss viel von sich preisgeben. In der EU werden Name, Adresse, Telefonnummer, Reiseziel und weitere Daten von Fluggästen über fünf Jahre gespeichert. Wer in die USA einreist, muss oft noch strengere Checks über sich ergehen lassen: Beamte im Flughafen wollen oft Twitter, Instagram und Facebook checken, am liebsten aber gleich in Smartphone und Notebook reinschauen.

Das ist mehr als bedenklich, denn schon auf Smartphones befinden sich oft sensibelste Dokumente: Intime Fotos und Chats, Arbeitsverträge, Bewerbungsunterlagen oder Dokumente, die Aufschluss über Gesundheitszustand oder Kontostand geben.

Kurt Opsahl beschäftigt sich damit, wie die eigenen Daten auf Reisen geschützt werden können. Er ist stellvertretender Geschäftsführer und Leiter der Rechtsabteilung der Electronic Frontier Foundation (EFF). Die Nonprofit-Organisation setzt sich seit Beginn der 1990er auf der ganzen Welt für digitale Bürgerrechte ein. Opsahl arbeitet dort unter anderem im Coders’ Rights Project. Dort berät er die Menschen, deren Arbeit sie besonders verdächtig macht für Sicherheitsbehörden: Coder, Hacker und Forscher, die sich mit Schwachstellen in kritischen Systemen befassen. Wir haben uns von ihm Tipps für die nächste Reise geholt.

Motherboard: Nehmen wir an, ich will in die USA reisen. Was passiert, bevor ich überhaupt meine Reise antrete?

Kurt Opsahl: Zunächst werden einige deiner persönlichen Daten an die Sicherheitsbehörden übertragen, darunter auch deine Buchungsdaten bei der Airline. Falls du nicht nur ein Touristenvisum für EU-Bürger brauchst, werden außerdem die Daten aus deinem Visumsantrag geprüft. Dann bist du am Flughafen. Auf einigen Flughäfen, wie in Dublin, erfolgt hier schon die Grenzkontrolle – bereits vor dem Abflug. Meistens findet die Kontrolle aber am ersten Flughafen statt, auf dem man in den USA landet. Selbst, wenn du danach noch weiterreist.

Ich nehme meistens mein Smartphone, mein Tablet und vielleicht auch meinen Laptop mit, wenn ich verreise. Wie schlecht ist diese Idee?

Eine der wichtigsten Fragen, über die jeder Reisende nachdenken muss, ist das eigene “Threat Model”. Du überprüfst, wie wahrscheinlich welches Bedrohungsszenario für dich ist. Wenn du zum Beispiel als Journalistin reist und im Besitz geheimer Dokumente bist, die für die USA interessant sind, ist dein Threat Model natürlich höher. Falls du in Kontakt mit Edward Snowden warst und eine Kopie des Snowden-Archivs besitzt, sind Behörden natürlich eher an dir interessiert, als wenn du einfach nur über Filme bloggst.

Okay, ich habe ein Threat Model erstellt. Was jetzt? Wie bereite ich mich genau vor?

Es gibt ein paar Grundregeln. Zuerst solltest du dich entscheiden, welche Geräte du mitnehmen möchtest. Die einfache Antwort ist: Nimm nichts mit. Niemand kann beschlagnahmen und durchsuchen, was du nicht mitbringst. Deshalb solltest du abwägen, ob du die Daten auf den Geräten wirklich brauchst. Wenn du zum Beispiel ein Smartphone hast, kannst du ein Backup erstellen und das Telefon anschließend zurücksetzen, dann hast du ein sauberes Telefon. Bring es über die Grenze und stell deine Daten wieder her, wenn du zurück bist. Nimm nur die Informationen mit, die du benötigst. Das ist natürlich erstmal umständlich, aber es ist nicht so schlimm, wie man denkt. Die meisten Smartphones werden mit Backup-Apps ausgeliefert und man kann Methoden zum Löschen und Resetten finden.

Außerdem solltest du alle deine Geräte so einstellen, dass für einen Login ein Passwort benötigt wird. Und du solltest dich ausloggen, zum Beispiel bei Twitter, Facebook und Co. Wenn sie dann auf deine Daten zugreifen wollen, benötigen sie zumindest ein Passwort von dir und müssen nicht einfach nur die App öffnen.

Ich bin jetzt am Flughafen in den USA angekommen. Wie werde ich überprüft?

Das kommt auch auf dich als Person an. Die US-Regierung möchte das sogenannte “Extreme Vetting” einführen, das eine deutlich umfangreichere Überprüfung beinhaltet. Das Heimatschutzministerium würde dann online nach deinen Social-Media-Accounts suchen und die Suchergebnisse analysieren. Wenn du aus der EU kommst, ist das aber eher unwahrscheinlich. Dieser Check passiert dann wahrscheinlich nur, wenn du zum Beispiel in der Vergangenheit straffällig geworden bist oder etwas in deinem Datenbankeintrag auffällig ist. Menschen aus bestimmten Ländern werden dafür viel eher überprüft. Das Krasse ist, dass sie dich aus beliebigen Gründen oder sogar grundlos an der Einreise hindern können.

Welche technische Möglichkeiten haben Sicherheitsbehörden?

Auch das hängt vom Land ab, aber du solltest davon ausgehen, dass die Technik auf dem neuesten Stand ist. Das heißt, dass die Beamten Sicherheitsmaßnahmen, vor allem bei älteren oder nicht geupdateten Geräten, umgehen können. Dann können sie zum Beispiel dein Telefon an sich nehmen, deine Daten kopieren und es dir dann wieder aushändigen, ohne dass du davon erfährst. Es ist also sehr wichtig, dass du das Betriebssystem deines Smartphones immer updatest, vor allem vor einer Reise. In Ländern, in denen ein laxerer Umgang mit Gesetzen herrscht, können Sicherheitsbehörden Malware, also Schad-Software, auf deinem Gerät installieren. Wir haben Fälle gesehen, in denen autoritäre Regimes Oppositionelle festgenommen und ihre Geräte manipuliert haben, um diese Communities zu infiltrieren.

Sollte ich vielleicht einfach mein Smartphone ausschalten, wenn ich am Flughafen bin?

Das ist eine gute Idee. Das heißt zwar, dass du für eine relativ kurze Zeit ohne dein Telefon auskommen muss, aber bei den meisten Geräten benötigt man ein Passwort, um es wieder anzuschalten. Das ist also ein guter Weg, um es zu schützen. Aber viele Smartphones kann man heute per Fingerabdruck oder irgendeiner Form von Gesichtserkennung entsperren. Das ist ein Problem. Nach einem Passwort müssen sie dich explizit fragen. Deinen Finger können sie einfach nehmen und auf den Sensor drücken, sodass du nicht entscheiden kannst, ob du ihrer Forderung nachkommst.

Angenommen mein Telefon wurde – wie auch immer – entsperrt. Können Sicherheitsbehörden dann alle meine privaten Nachrichten, zum Beispiel aus meinen Social-Media-Accounts, lesen? Wollen sie das überhaupt?

Das sind zwei verschiedene Fragen: einerseits, ob sie das können und andererseits, ob sie das wollen. Und diese Unterscheidung sollte man unbedingt machen. Was sie tun können, und das ist nicht außergewöhnlich: Sie sehen sich öffentliche Posts auf Social Media an und stellen dazu Fragen. Um an private Nachrichten zu kommen, müssen sie dich bitten, dein Telefon zu entsperren um dann Zugriff auf deine Accounts zu erhalten. Das ist eher selten, denn man bräuchte einen triftigen Grund dafür.

Das führt zur zweiten Frage, nämlich ob sie darauf zugreifen wollen. Das führt uns wieder zum Threat Model. Gibt es einen Grund, warum sie sich alle privaten Daten anschauen wollen? Vielleicht hast du ja einen Artikel geschrieben und darin erwähnt, dass dir eine Quelle aus der US-Regierung geheime Dokumente weitergegeben hat. Vielleicht erwähnst du sogar, dass das per Direktnachricht auf Twitter passiert ist. Dann hätten sie einen Grund und könnten diese Möglichkeit nutzen, um sich die Direktnachrichten anzuschauen.

Kurt Opsahl berät für die Electronic Frontier Foundation Hacker in Sicherheitsfragen. | Bild: Kurt Opsahl

Bringt Verschlüsselung mir etwas oder können sie mich nicht sowieso nach meinem Passwort fragen?

Verschlüsselung hilft, falls deine Daten kopiert wurden. Sind sie verschlüsselt, müssen sie die Verschlüsselung erst knacken, um Einblick zu gewinnen. Sind sie nicht verschlüsselt, haben sie Zugriff auf alles. Verschlüsselung sorgt also vor allem dafür, Sicherheitsbeamte dazu zu bewegen, mit dir zu interagieren, damit sie Zugriff erhalten. Vorausgesetzt, dein Gerät ist auf dem neuesten Stand und sie können es nicht ohne weiteres knacken. Und das ist eine schwierige Situation: Du stehst unter sehr viel Druck, mit den Beamten zu kooperieren, weil sie dich sonst zurückschicken könnten.

Eine allgemeine Regel ist: Wenn du Staatsbürgerin des Landes bist, kann dir die Einreise nicht verwehrt werden. Wenn du deinen ständigen Wohnsitz dort hast, kann dir die Einreise auch nicht verwehrt werden, aber es kann dazu führen, dass dein Aufenthaltsstatus überprüft wird. Und wenn du mit einem Visum einreist, kann dir die Einreise verweigert werden, wenn du nicht kooperierst.

Es gibt da diesen Mythos: Akku rausnehmen. Dann ist das Gerät garantiert offline. Was ist da dran? Oder vergesse ich einfach lieber mein Passwort?

Lass mich zuerst die zweite Frage beantworten. In den meisten Fällen ist es eine Straftat, Staatsbeamte anzulügen. Wenn du also sagst, dass du dein Passwort vergessen hast, obwohl das nicht stimmt, hast du eventuell eine Straftat begangen. Die Konsequenzen könnten schlimmer sein als die Offenlegung dessen, was du versuchst zu schützen. Es ist auch einfach sehr unwahrscheinlich, dass du wirklich dein Passwort fürs Smartphone vergessen hast. Das könnte sogar weitere Untersuchungen nach sich ziehen. Du solltest eher fragen, ob es wirklich erforderlich ist, dein Passwort herauszugeben. Wenn sie “nein” sagen, dann solltest du die Ausgabe verweigern. Wenn sie damit drohen, dich zurückschicken wenn du nicht kooperierst, dann musst du eine Entscheidung treffen.

Deinen Akku zu entfernen wird dir wiederum nicht viel mehr bringen als dein Handy einfach ganz auszuschalten. Also es nicht nur in den Flug- oder Sleep-Modus zu versetzen. Wenn du dein Telefon einfach ausschaltest, ist das ein ziemlich guter Mittelweg zwischen erhöhter Sicherheit und dem Schritt, einen Schraubenzieher in die Hand zu nehmen und deinen Akku abzuklemmen.

Ich bin wieder zu Hause. Was sollte ich jetzt tun?

Wenn du meinen Vorschlägen gefolgt bist, ist es jetzt an der Zeit, noch einmal dein Telefon zurück zu setzen und dein Backup wieder herzustellen. Dann sollte dein Gerät wieder auf dem gleichen Stand wie zuvor sein. Wenn dein Threat Model ein erhöhtes Risiko ergeben hat, solltest du überprüfen, ob dein Gerät manipuliert wurde. Falls zu du zu irgendeinem Zeitpunkt deine Passwörter herausgegeben hast, solltest du sie so schnell wie möglich ändern, da sie häufig gespeichert werden. Wenn sie dann wieder an deine Accounts wollen, müssen sie dich erneut fragen. Und grundsätzlich gilt bei Reisen immer: Man sollte so freundlich wie möglich bleiben, um die Situation nicht eskalieren zu lassen. Manchmal regen sich Menschen auf, wenn ihre Position oder Pflichten infrage gestellt werden.