Was kann ich tun, um Daten zu schützen, wenn ich mit einem Computer über die US-Grenze fahre?

21

Als ich erfolgreich (legal) in die USA einwandern konnte, musste ich einige meiner Computer verschieben, die vertrauliche Daten / Projekte eines Kunden enthalten.

Ich war überrascht, als ich einen Artikel fand, der besagt, dass der CBP berechtigt ist, einen Computer zu scannen (und mich zur Eingabe des TrueCrypt-Passworts zwingen kann!)

Ich kann keine Daten löschen, aber der Verlust extrem vertraulicher Daten ist ein großes Problem für mich. (Was soll ich dem Kunden sagen: "Die Regierung will Ihr Projekt"?)

Ich schwöre, dass ich natürlich kein Terrorist bin, aber ich möchte wissen, was andere Geschäftsleute in einer solchen Situation tun.

usa borders electronic-items Poster
quelle
10
btw. Wäre diese Frage nicht besser für die Sicherheit geeignet .
Vartec
1
@vartec +1, nicht sicher, ob es hier oder da besser passt, aber einige Aspekte der Frage (z. B. die technischen Details, wie Sie Ihre Daten in die Cloud stellen oder abrufen sollten) wären auf der anderen Website eindeutig relevanter.
Entspannter
4
Kennen Sie versteckte Volumes? Kurz gesagt, Sie können die Daten auf dem Laufwerk ausblenden und es so aussehen lassen, als gäbe es überhaupt keine Daten. Nützliche Links: truecrypt.org/docs/plausible-deniability truecrypt.org/hiddenvolume truecrypt.org/docs/hidden-operating-system
ike
Ich hoffe, es versteht sich von selbst, dass Import- und Exportgesetze gelten, und es ist möglicherweise völlig illegal, Daten aus einem Land in ein anderes zu importieren / exportieren (insbesondere bei Verschlüsselung), um Gewinn zu erzielen. (offensichtlich abhängig von den Daten und den Ländern). Dies gilt sowohl für das Herunterladen von Informationen aus der Cloud als auch für das manuelle Mitführen der Informationen.
Xantix
3
Lesen Sie diese Frage unter Sicherheit: security.stackexchange.com/q/11612/485
Rory Alsop

Antworten:

14

Haftungsausschluss: IANAL

Wenn CBP- Beauftragte etwas eindeutig als "geschäftlich vertraulich" gekennzeichnet finden , dürfen sie angeblich nicht ohne Genehmigung von Vorgesetzten vorgehen.

Richtlinien wurden im Dokument DoHS "Privacy Impact Assessment: CBP und ICE Border Searches of Electronic Devices" beschrieben . Wenn CBP-Beauftragte demnach eines Ihrer Geschäftsgeheimnisse preisgeben würden, wären sie dennoch rechtlich haftbar.

Wenn Sie jedoch kein Risiko eingehen möchten, ist die empfohlene Vorgehensweise ( zum Beispiel für ausländische Anwälte ):

  • Verwenden Sie eine hochwertige Verschlüsselung und laden Sie verschlüsselte Dateien in eine Cloud hoch
  • Speichere (passwortgeschützte) Verschlüsselungsschlüssel auf einem kleinen Gerät (z. B. einer microSD-Karte)
  • Desinfizieren Sie Ihren Computer, indem Sie vertrauliche Daten und Verschlüsselungsschlüssel löschen
  • Laden Sie Ihre Daten herunter und entschlüsseln Sie sie nach Bedarf

Beachten Sie, dass dies etwas paranoid ist.

vartec
quelle
Empfangsseitig macht das interne CBP-Verfahren kaum einen Unterschied. Die Behörde und über die Behörde hinaus kann die US-Regierung als Ganzes weiterhin Computer durchsuchen, Kennwörter oder Entschlüsselungen verlangen, ohne dass dies einer besonderen Begründung oder eines ordnungsgemäßen Verfahrens bedarf.
Entspannter
@Annoyed: Stimmt, aber nur, weil sie das können, heißt das nicht, dass es etwas Durchschnittliches ist, das Joe erleben wird.
Vartec
Sicher (das habe ich übrigens auch in meiner Antwort geschrieben), aber das war auf jeden Fall der Fall und es hat nichts mit diesem Detail des Verfahrens zu tun.
Entspannter
10

Eine willkürliche Durchsuchung Ihrer Computer erscheint sehr unwahrscheinlich, aber was ich lese, deutet auch darauf hin, dass Sie im Grunde genommen keinen Rechtsbehelf dagegen haben, sollte dies geschehen. Die einzige praktikable Lösung, die mir bekannt ist, besteht darin, die Daten irgendwo hochzuladen und sie dann herunterzuladen, sobald Sie in den USA sind.

Dies führt natürlich zu allen möglichen neuen Sicherheitsproblemen (wie Sie die Übertragung und den Server vor den Risiken schützen, die Sie befürchten usw.), verhindert jedoch, dass Grenzschutzbeamte auf Ihre Daten zugreifen, ohne etwas Illegales zu tun. Ich habe keine Ahnung, ob viele (Geschäfts-) Leute sich tatsächlich die Mühe machen, es zu tun.

Entspannt
quelle
3
Für Reisen außerhalb der USA stellt mein Arbeitgeber Leih-Laptops zur Verfügung, auf denen keine Daten gespeichert sind, die über das für die Reise erforderliche Minimum hinausgehen und bei der Ankunft nicht per VPN verbunden werden können. aber AIUI sind sie mehr besorgt über Diebstahl / Verlust als am Grenzübergang selbst beschnüffelt zu werden.
Dan Neely
5

Eine Möglichkeit besteht darin, mit einer Software wie TrueCrypt eine vollständige Laufwerkverschlüsselung durchzuführen . Sie können den Schlüssel dann auf einem USB-Laufwerk speichern und ihn von einer vertrauenswürdigen Person senden lassen, sobald Sie die Grenze überschritten haben.

Auf diese Weise können Sie den Computer physisch nicht entschlüsseln, wenn Sie dazu aufgefordert werden. Stellen Sie sicher, dass der USB-Stick erst an Sie gesendet wird, wenn Sie die Grenze sicher überschritten haben. Die einzigen Probleme dabei wären, wenn die Regierung eine Kopie der verschlüsselten Daten anfertigte und dann das Laufwerk in der Mail abfing.

Eine andere Alternative besteht darin, dass ein Freund den Schlüssel verschlüsselt und in die Cloud hochlädt. Sie könnten Ihnen dann das Passwort mitteilen, sobald Sie sicher in den USA sind.

Ric
quelle
Mit TrueCrypt können Sie auch eine "Datei" verschlüsseln. Dabei handelt es sich eigentlich nur um einen Container, in dem alle zu verschlüsselnden Dateien gespeichert sind. Von dort können Sie auch zwei verschiedene Passwörter haben. Eine, die einen Datensatz enthüllt, eine andere, die einen separaten Datensatz ergibt. Wenn Sie also zur Eingabe eines Kennworts gezwungen werden, können Sie die geringere der beiden Möglichkeiten angeben: Plausible Deniability. TrueCrypt ist ideal für internationale Reisende mit sensiblen Daten.
Eric
4
Wenn es wirklich darum geht, dass Inhalte nicht entschlüsselt werden können, kann dies zu noch größeren Problemen führen, möglicherweise zur Beschlagnahmung des Materials oder zur Inhaftierung. Computer-orientierte Menschen lieben ausgefeilte technische Gegenmaßnahmen, aber es spielt keine Rolle, wie sie funktionieren. Es hilft Ihnen nicht, aus der Zwangslage herauszukommen, die dadurch entsteht, dass Sie kein Recht haben, Ihre Daten nicht weiterzugeben, und keinen Rückgriff auf Grenzschutzbeamte Forderungen.
Entspannter
3

Obwohl ich mich frage, was so anstrengend sein könnte, um einen ganzen PC (einen Desktop) zu importieren - ich denke, es gibt buchstäblich keine Optionen, wenn die CBP darauf aus ist, zu überprüfen, was auch immer Sie in die USA bringen. Einschließlich der Schrauben und Muttern, die Ihren PC halten.

Ich habe in der Vergangenheit externe Festplatten (VM-Images) verschickt und FedEx / UPS hatte keine Probleme mit der Lieferung in und aus Ländern der Dritten Welt. Ich habe mich mit ein paar Laptops in meinem Rucksack frei auf der ganzen Welt bewegt, ohne Probleme und ohne Inspektion (außer durch die Flughafenscanner).

Ich habe das Gefühl, dass die CBP-Kollegen maximal prüfen möchten, was sich im CPU-Tower im Vergleich zu dem befindet, was sich auf der Festplatte befindet. Wenn die Informationen kein Terabyte sind, können Sie sie auch vorübergehend auf ein USB-Stick verschieben. Ich habe noch nie gehört, dass ein Laptop mit USB-Stick nach Daten durchsucht wurde.

happybuddha
quelle
3

Aus unserer verwandten Frage zu Security Stack Exchange :

tylerls Top-Antwort nennt EFF-Empfehlungen:

  • Tragen Sie so wenig Daten wie möglich über die Grenze.
  • Bewahren Sie eine Sicherungskopie Ihrer Daten an einem anderen Ort auf.
  • Verschlüsseln Sie die Daten auf Ihrem Gerät.
  • Speichern Sie die benötigten Informationen an einem anderen Ort und laden Sie sie dann herunter, wenn Sie Ihr Ziel erreichen.
  • Schützen Sie die Daten auf Ihren Geräten mit Passwörtern.

... US-Zollrichtlinie, die sich selbst die Erlaubnis und Verantwortung gibt, alle eingehenden Geräte (und Daten auf diesen Geräten), einschließlich Computer, Mobiltelefone usw., zu überprüfen.

... eine Reihe von Fällen, in denen Zollbeamte Überwachungssoftware auf Transitcomputern platzieren

... Vergessen Sie nicht den Wert von Truecrypt versteckten Volumes. Die Plausibilitätsverweigerung ist hilfreich im Umgang mit Regierungen.

Und ich würde vorschlagen, dass dies keine auf Paranoiker beschränkten Aktivitäten sind, sondern dass jeder Unternehmer, der in die USA reist, ihnen folgen sollte. Ich nehme keine Geräte mit Geschäftsdaten an, wenn ich das verhindern kann, und wenn möglich vermeide ich auch, personenbezogene Daten zu erfassen.

Rory Alsop
quelle
0

Vielleicht möchten Sie diesen Artikel lesen. http://www.cba.org/CBa/PracticeLink/tayp/laptopborder.aspx

"Sobald die Mitarbeiter an ihrem Ziel angekommen sind, arbeiten sie mit Daten, die auf den Servern des Unternehmens gespeichert sind, über ein sicheres virtuelles privates Netzwerk (VPN). (Sichere Verbindungen sind ein Muss, da das US-Recht unter bestimmten Umständen das Abfangen von E-Mail- und Remote-Serververbindungen zulässt.) Mitarbeiter können Dateien auf ihre Computer herunterladen, die Ergebnisse ihrer Arbeit auf Unternehmensserver hochladen und ihre Computer "forensisch säubern", bevor sie wieder auf Reisen gehen. "

Jingyang
quelle
In Anbetracht der jüngsten Ereignisse in Bezug auf den Betrieb der NSA und anderer US-Behörden ist die Aussage "Das US-Gesetz erlaubt das Abfangen von E-Mail- und Remoteserververbindungen" zumindest umstritten.
Simon