paranoid.is

Digitale Selbstverteidigung im Zeitalter von Google, Meta & Amazon

Der Totmannschalter

Digitale Daten schützen mit einer Zugriffskontrolle

Automatische Auslösung

Ein Totmannschalter (engl. Dead Man´s Switch) löst aus, wenn eine Person eine bestimmte Zeit keine Aktion mehr durchgeführt hat. Also zum Beispiel, wenn ein Knopf während 12 Stunden nicht gedrückt wird, löst ein Alarm aus. Oft verwendet werden Totmannschalter bei gefährlichen Arbeiten in der Industrie oder bei Einzelarbeitsplätzen. Ein solcher Schalter benutzen auch verfolgte Aktivisten als Versicherung. Diese kommunizieren öffentlich, dass wen Ihnen etwas zustößt automatisch all Ihre belastenden Funde des Feindes veröffentlich werden. Dieses Prinzip benutzen wir, um ein System einzurichten damit bei unserem Tod, Familie und/oder Freunde an unsere wichtigen Daten kommen.

Computer Terminal mit den Nummern von der TV Serie Lost

In der TV-Serie Lost musste Desmond alle 108 Minuten eine Zahlenfolge eintippen.

Funktion des Schalters

Für was ist diese Methode nicht geeignet? Wir arbeiten mit einem Totmannschalter der etwa nach einem Monat auslöst. Alle Dokumente, die nach einem plötzlichen Tod nicht warten können, wie Wohnsitzbescheinigung, Ausweise, und Bestattungswünsche, müssen also vorher an die Hinterbliebenen übergeben werden. Wir empfehlen hier altmodisch eine Papiermappe in der Wohnung zu lagern und dessen Lagerort der Person mitzuteilen welche unseren Ersatzschlüssel hat. Wem dies zu unsicher ist, kann sich Komponente wie die KeePass Key Verteilung an verschiedene Personen von unserer Methode ausleihen.

Für die übrigen Daten wie Online Accounts, Bilder in der Cloud, Projekte, Kryptowährungen und Anleitungen richten wir uns einen Totmannschalter ein. Es ist sicherlich möglich auch diese Daten an dieselbe Person oder gar einem Notar zu überlassen, aber schlussendlich vertrauen wir am allermeisten der Technik. Während es fertige Lösungen gibt und interessante dezentralisierte Projekte, möchten wir uns wie immer auf eine unabhängige, simple und sichere Durchführung konzentrieren. Diese Methode ist zudem völlig kostenlos.

Als zusätzliche Komponente haben wir den Schalter so konstruiert, dass sich die Empfänger zusammenschließen müssen, um Zugriff auf die Daten zu erhalten.

Wir stellen zuerst ein allgemeines Beispiel vor und zeigen dann ein paar Tools auf die dafür verwendet werden können.

Die erste Anleitung erhalten die Empfänger auf einem USB-Stick:

Anleitung 1 - Totmannschalter von Peter an die Empfänger Lisa und Marc

Voraussetzungen

  • Hardware: USB-Stick USB-Lisa1 in Besitz von Lisa und USB-Stick USB-Marc1 in Besitz von Marc.
  • Software: KeePass Passwortmanager (Portable Version für Windows auf USB-Stick, sonst Download).
  • Mails: Peters Mail in die Whitelist aufnehmen von Lisas Mail und von Marcs Mail damit die Nachrichten nicht im Spam landen.

Inhalt USB-Sticks

  • USB-Lisa1: Anleitung1.pdf, Lisa1.kdbx (KeePass Datei), Marc1.key (Key File1), Key2.key (Key File2) KeePass.zip (Software)
  • USB-Marc1: Anleitung1.pdf, Marc1.kdbx (KeePass Datei), Lisa1.key (Key File1), Key2.key (Key File2) KeePass.zip (Software)
  • Empfehlung: Offline / Offsite Backups von den .kdbx und .key Dateien machen.

Auslösung

  • Nach einem Monat Inaktivität wird eine Warnmail von Peters Mail an Lisas Mail und an Marcs Mail gesendet.
  • Inhalt der E-Mail-Nachricht:

Betreff:

Warnung – Totmannschalter von Peter wird in Kürze ausgelöst

Nachricht:

Liebe Lisa, lieber Marc

Diese E-Mail wurde versendet, weil der Totmannschalter von Peter bald ausgelöst wird.

Bitte Peter informieren, falls es sich um ein Missverständnis handelt.

Im Ernstfall wird in einer Woche das Passwort für die KeePass Dateien auf euren USB-Sticks über diese E-Mail und einen Tag später über den Social-Media Account @Peter kommuniziert.


  • Nach einer weiteren Woche wird eine E-Mail mit dem Passwort für die KeePass Dateien von Peters Mail an Lisas Mail und an Marcs Mail versendet.
  • Als Backup Maßnahme wird das Passwort einen Tag später öffentlich auf Social-Media gepostet unter @Peter.

KeePass öffnen

  • Das Passwort funktioniert für beide Dateien Lisa1.kdbx und Marc1.kdbx.
  • Die Zwei-Faktor-Authentifikation erfolgt mit Key Files - Marcs Lisa1.key öffnet Lisas Lisa1.kdbx und umgekehrt.

Werkzeuge

Wir benötigen ein passwortgeschütztes Tool wo wir eine Nachricht zeitversetzt auslösen können und diese Auslösung jeweils verschieben können. E-Mail bietet sich durch die große Verbreitung und Zukunftssicherheit an. Wir benötigen also eine E-Mail-Adresse bei einem Anbieter der einen zeitversetzten Versand anbietet. Leider haben wir keine Mailservices die wir allgemein empfehlen gefunden die diese Option anbieten. Da wir die Mailadresse aber nur einmalig für die Übertragung eines Passwortes benutzen mit dem nur Involvierte etwas anfangen können, kommt es uns nicht so darauf an welchen Anbieter wir nehmen. Wir entschieden uns daher ausgerechnet für Yandex. Wer eine bessere Alternative findet, kann uns dies gerne mitteilen. Um ganz sicherzugehen, kann die Nachricht PGP verschlüsselt werden und der Private Key den Empfängern zugestellt werden. Anleitungen gibts im Netz. Zusätzlich falls die Mail nicht auslöst wollen wir etwas anderes als Backup für den Schalter verwenden. Hier bietet sich Social Media an. Geplante Posts für Twitter, Facebook und Co. können durch Dienste wie Buffer und Hootsuite eingerichtet werden. Da wir hier aber gerne den Open Source Weg gehen empfehlen wir Minds.com die einen Post zu planen bereits integriert haben. Eine private Nachricht zu planen geht nicht, deshalb kann das Passwort nur öffentlich gepostet werden. Hier ist optional wieder eine manuelle Verschlüsselung per PGP möglich. Minds bietet sogar eine Paywall per Kryptowährung an, die kreativ in den Totmannschalter integriert werden könnte.

Weitere Schritte

Inhalt der KeePass Datei

Wir empfehlen möglichst wenig Informationen in den KeePass Dateien auf den USB-Sticks abzuspeichern und stattdessen nur ein Link und Passwort zur eigentlichen Passwortdatei bereitzustellen. So kann die eigentliche Datei stetig angepasst werden ohne den Empfängern neue USB-Sticks ausstellen zu müssen. Gehostet werden kann die kleine verschlüsselte Datei auf dem eigenen Server oder z. B. auf einem Cloud-Provider der Sharing per Links unterstützt.

In unserem Beispiel beinhaltet Lisa1.kdbx und Marc1.kdbx folgendes:

  • Anleitung2.pdf
  • Passwort zu KeePass2.kdbx

Anleitung 2 - Zugang zu den Daten

  • KeePass Datei KeePass2.kdbx unter URL downloaden
  • Passwort dazu befindet sich in Lisa1.kdbx oder Marc1.kdbx
  • Key2.key Keyfile von USB-Lisa1 oder USB-Marc1 verwenden.
  • In KeePass2.kdbx findet ihr alle wichtigen Daten, Logins und eine finale Anleitung3.pdf.

Anleitung 3 - Verwendung der Daten

Die letzte Anleitung und der Inhalt von KeePass2.kdbx ist individuell. So kann zum Beispiel das Login für unseren Passwortmanager enthalten sein oder der Zugriff auf unser Computer und Smartphone.

Wichtig ist, dass gewährleistet und erprobt ist, dass die Empfänger auf alles Zugriff haben, was sie haben müssen und umgekehrt unwichtiges Privates nicht enthalten ist zum Schutz unserer Privatsphäre und für die Übersichtlichkeit.

Anwendungsbeispiel:

Wir kreieren zwei Cryptomator Tresore, Privat und Totmannschalter, auf einer Nextcloud. KeePass2.kdbx gewährt Zugriff auf die Cloud und den Totmannschalter Tresor. Dort hinein packen wir alles, was nützlich für die Hinterbliebenen sein könnte inklusive einer Kopie unseres Passwortmanagers, Scans von wichtigen Dokumenten und Ferienfotos.


Referenzen

  1. Verwendete Schrift in Titelbild: ModeSeven von Andrew Bulhak