Diese Wochen ist alles etwas anders. Immer, wenn sich etwas ändert, gibt es Gewinner und Verlierer. Halunken, die von der aktuellen Situation profitieren wollen und unsere (IT-)Sicherheit und Privatsphäre angreifen wollen, sollen nicht zu den Gewinnern gehören. Dazu ein paar einfache Tipps gegen die gut organisierten und vernetzten Unholde:
Passwörter
- Passwortmanager verwenden. Wer keine Präferenz hat, kann denjenigen aus dem Browser verwenden.
- Neue Passwörter vom Passwortmanager erzeugen lassen (wer die Wahl hat: 20 Zeichen A-Z, a-z, 0-9; wenn der Dienst dann noch auf ein Sonderzeichen besteht, ein zufälliges irgendwo einfügen).
- Alte Passwörter ändern, insbesondere wenn sie einem Muster folgen oder für mehrere unterschiedliche Anbieter genutzt werden.
- Zwei-Faktor-Authentisierung aktivieren auf wichtigen Konten. Dazu zählt insbesondere das Hauptmailkonto: Wer Zugriff darauf hat, kann von allen anderen Diensten her das Passwort zurücksetzen.
Mehr zu Passwörtern: Ist 1234 ein gutes Passwort?
Phishing
Mit Phishing werden Mails und andere Versuche bezeichnet, den Empfänger dazu zu bringen, eigentlich geheime Informationen preiszugeben, z.B. Passwörter oder Kreditkartennummern.
- Erwarte ich die Mail?
- Stimmt der Absender? (Volle Mailadresse!)
- Enthält die Mail unerwartete Anweisungen? (Entschlüsseln eines Anhangs mit Passwort, Aktivieren von Makros, …)
- Versucht die Mail, meine niederen Instinkte anzusprechen (Angst, Stress, Gier)?
- Klingt das Angebot zu gut um wahr zu sein? Dann ist es das das auch. (Niemand würde auf der Strasse einem Unbekannten 100’000 Franken oder mehr einfach so schenken. Wieso sollte das jemand per Mail tun?)
- Unsicher, ob die Mail legitim ist? Zweitmeinung bei einem Kollgen/einer Kollegin einholen (oder im Homeoffice der/die Partner/in). Lieber 1x zuviel als zu wenig!
- Immer noch unsicher? Dann den Absender anrufen. Und dazu nicht die Information aus der Mail verwenden, sondern die Telefonnumer aus dem Adress- oder Telefonbuch bzw. von der Webseite der Firma. Nicht auf Links in der Mail klicken!
Separate Rechner/Konten
Je einfacher es ist, zwischen Arbeit, privaten Dokumenten und Erholsamem zu wechseln, so gilt das auch für bösartige Software, die einfach bei einem Experiment oder einem unbedachten Klick dann alles lahmlegen kann.
- Für Arbeit, Wichtiges Privates und Unwichtiges/Experimente jeweils separate Rechner oder Konten nutzen, möglichst ohne Administratorrechte.
- Den „Experimente“-Rechner/Konto dann auch für das Öffnen dubioser Mails und URLs (Webadressen) nutzen, wenn es denn wirklich nicht anders geht.
Ransomware und Backup
Es gibt verschiedene Gründe für Datenverlust. Alle können katastrophal enden, ganz besonders aber bei Ransomware. Deshalb: Rechtzeitig Backup einrichten! Hier ein einfacher, praktikabler Vorschlag für privates Backup:
- Zwei externe USB-Festplatten kaufen (ab ca. 50 Franken erhältlich).
- Backup alternierend auf diese beiden USB-Disks.
- Die Disk nach dem vollendeten Backup wieder ausstecken.
- Die Disks an zwei unterschiedlichen Orten lagern.
- Bei sensiblen Daten: Die Festplatten von Anfang an verschlüsseln (auch die Hauptfestplatte des Rechners und ganz besonders bei SSDs), das Verschlüsselungspasswort ausdrucken und an zwei zuverlässigen Stellen aufbewahren.
Update 2022-03-07: Offline-Backup (also nicht angesteckte Festplatten) schützt gut gegen digitale Angriffe. Das Off-Site-Backup (der andere Ort) von Punkt 4 oben schützt daneben recht gut gegen Diebstahl, Wasser oder Feuer. Allerdings schützt es nicht gegen NEMP. Das Lagern mindestens einer der Platten in einem Stahlschrank verringert das Datenverlustrisko.
Dies sind ein paar einfache Regeln, die das Risiko reduzieren und auch im privaten Umfeld einfach umzusetzen sind. Ein paar einfache Regeln, die dafür zuverlässig eingehalten werden, sind meiner Ansicht nach im privaten Umfeld wichtiger, als eine perfekte Lösung, die aber zu kompliziert oder unhandlich ist. Falls Sie konkrete Anforderungen an die Datenverfügbarkeit haben (juristische, wirtschaftliche, …; insbesondere als Firma), sollten Sie sich für Ihren spezifischen Fall von einer Fachperson beraten lassen.
Software
Es gilt die Anzahl der Möglichkeiten, mit denen ein Angreifer in das System eindringen kann, möglichst zu reduzieren.
- Die Software (inklusive dem Betriebssystem) regelmässig aktualisieren, am besten automatisch. Alte Versionen könnten Sicherheitslücken haben.
- Unbenutzte oder veraltete Software deinstallieren. Je weniger Möglichkeiten es für einen Eindringling gibt, desto sicherer sind wir.
- Werbeblocker aktivieren. Das schont nicht nur die Augen und die Privatsphäre, sondern reduziert ebenfalls die Angriffsfläche. Über Werbe- und Trackingnetzwerke wurde schon mehrfach bösartige Software verteilt. Es gibt auch andere Möglichkeiten, wertvolle Dienste zu unterstützen (z.B. die Zeitung abonnieren, zu der die Webseite gehört).
Mit diesen paar einfachen Schritten ist das Homeoffice und damit unsere ganze Infrastruktur etwas sicherer geworden. Danke vielmals!
Aktuelles zu Sicherheit
- Auch du, mein Sohn FirefoxIch habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen… Auch du, mein Sohn Firefox weiterlesen
- «Voting Village»-TranskriptLetzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche… «Voting Village»-Transkript weiterlesen
- «QualityLand» sagt die Gegenwart voraus und erklärt sieIch habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat… «QualityLand» sagt die Gegenwart voraus und erklärt sie weiterlesen
- 50 Jahre «unentdeckbare Sicherheitslücke»Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel… 50 Jahre «unentdeckbare Sicherheitslücke» weiterlesen
- Stimmbeteiligung erhöhen ohne eVotingEines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung… Stimmbeteiligung erhöhen ohne eVoting weiterlesen
- 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im… 🧑🏫 «eVoting: Rettung der Demokratie oder Todesstoss?» weiterlesen
- Mutmassungen über «Jia Tan»: Spuren eines HackersIch habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden,… Mutmassungen über «Jia Tan»: Spuren eines Hackers weiterlesen
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch… Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle weiterlesen
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte… Wie die Open-Source-Community an Ostern die (IT-)Welt rettete weiterlesen
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut… Endet die Zeit im Jahr 2038? weiterlesen
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit… Wie zählt ein Computer? weiterlesen
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die… Spamwelle zu Weihnachten? weiterlesen
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz… «5 Minuten für mehr Datenschutz»: Tracking vermeiden weiterlesen
- 2FA verschwindet in der CloudZwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch… 2FA verschwindet in der Cloud weiterlesen
- IT-Sicherheit ≠ BürostuhlDer Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir… IT-Sicherheit ≠ Bürostuhl weiterlesen
- 📹 Cloud: Technologie für Datenschutz?Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe… 📹 Cloud: Technologie für Datenschutz? weiterlesen
- SBB-Kundentracking: Offene FragenSeit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem… SBB-Kundentracking: Offene Fragen weiterlesen
- Cloud-Sicherheit am WinterkongressAm Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat… Cloud-Sicherheit am Winterkongress weiterlesen
Schreibe einen Kommentar