Diese Wochen ist alles etwas anders. Immer, wenn sich etwas ändert, gibt es Gewinner und Verlierer. Halunken, die von der aktuellen Situation profitieren wollen und unsere (IT-)Sicherheit und Privatsphäre angreifen wollen, sollen nicht zu den Gewinnern gehören. Dazu ein paar einfache Tipps gegen die gut organisierten und vernetzten Unholde:
Passwörter
- Passwortmanager verwenden. Wer keine Präferenz hat, kann denjenigen aus dem Browser verwenden.
- Neue Passwörter vom Passwortmanager erzeugen lassen (wer die Wahl hat: 20 Zeichen A-Z, a-z, 0-9; wenn der Dienst dann noch auf ein Sonderzeichen besteht, ein zufälliges irgendwo einfügen).
- Alte Passwörter ändern, insbesondere wenn sie einem Muster folgen oder für mehrere unterschiedliche Anbieter genutzt werden.
- Zwei-Faktor-Authentisierung aktivieren auf wichtigen Konten. Dazu zählt insbesondere das Hauptmailkonto: Wer Zugriff darauf hat, kann von allen anderen Diensten her das Passwort zurücksetzen.
Mehr zu Passwörtern: Ist 1234 ein gutes Passwort?
Phishing
Mit Phishing werden Mails und andere Versuche bezeichnet, den Empfänger dazu zu bringen, eigentlich geheime Informationen preiszugeben, z.B. Passwörter oder Kreditkartennummern.
- Erwarte ich die Mail?
- Stimmt der Absender? (Volle Mailadresse!)
- Enthält die Mail unerwartete Anweisungen? (Entschlüsseln eines Anhangs mit Passwort, Aktivieren von Makros, …)
- Versucht die Mail, meine niederen Instinkte anzusprechen (Angst, Stress, Gier)?
- Klingt das Angebot zu gut um wahr zu sein? Dann ist es das das auch. (Niemand würde auf der Strasse einem Unbekannten 100’000 Franken oder mehr einfach so schenken. Wieso sollte das jemand per Mail tun?)
- Unsicher, ob die Mail legitim ist? Zweitmeinung bei einem Kollgen/einer Kollegin einholen (oder im Homeoffice der/die Partner/in). Lieber 1x zuviel als zu wenig!
- Immer noch unsicher? Dann den Absender anrufen. Und dazu nicht die Information aus der Mail verwenden, sondern die Telefonnumer aus dem Adress- oder Telefonbuch bzw. von der Webseite der Firma. Nicht auf Links in der Mail klicken!
Separate Rechner/Konten
Je einfacher es ist, zwischen Arbeit, privaten Dokumenten und Erholsamem zu wechseln, so gilt das auch für bösartige Software, die einfach bei einem Experiment oder einem unbedachten Klick dann alles lahmlegen kann.
- Für Arbeit, Wichtiges Privates und Unwichtiges/Experimente jeweils separate Rechner oder Konten nutzen, möglichst ohne Administratorrechte.
- Den „Experimente“-Rechner/Konto dann auch für das Öffnen dubioser Mails und URLs (Webadressen) nutzen, wenn es denn wirklich nicht anders geht.
Ransomware und Backup
Es gibt verschiedene Gründe für Datenverlust. Alle können katastrophal enden, ganz besonders aber bei Ransomware. Deshalb: Rechtzeitig Backup einrichten! Hier ein einfacher, praktikabler Vorschlag für privates Backup:
- Zwei externe USB-Festplatten kaufen (ab ca. 50 Franken erhältlich).
- Backup alternierend auf diese beiden USB-Disks.
- Die Disk nach dem vollendeten Backup wieder ausstecken.
- Die Disks an zwei unterschiedlichen Orten lagern.
- Bei sensiblen Daten: Die Festplatten von Anfang an verschlüsseln (auch die Hauptfestplatte des Rechners und ganz besonders bei SSDs), das Verschlüsselungspasswort ausdrucken und an zwei zuverlässigen Stellen aufbewahren.
Update 2022-03-07: Offline-Backup (also nicht angesteckte Festplatten) schützt gut gegen digitale Angriffe. Das Off-Site-Backup (der andere Ort) von Punkt 4 oben schützt daneben recht gut gegen Diebstahl, Wasser oder Feuer. Allerdings schützt es nicht gegen NEMP. Das Lagern mindestens einer der Platten in einem Stahlschrank verringert das Datenverlustrisko.
Dies sind ein paar einfache Regeln, die das Risiko reduzieren und auch im privaten Umfeld einfach umzusetzen sind. Ein paar einfache Regeln, die dafür zuverlässig eingehalten werden, sind meiner Ansicht nach im privaten Umfeld wichtiger, als eine perfekte Lösung, die aber zu kompliziert oder unhandlich ist. Falls Sie konkrete Anforderungen an die Datenverfügbarkeit haben (juristische, wirtschaftliche, …; insbesondere als Firma), sollten Sie sich für Ihren spezifischen Fall von einer Fachperson beraten lassen.
Software
Es gilt die Anzahl der Möglichkeiten, mit denen ein Angreifer in das System eindringen kann, möglichst zu reduzieren.
- Die Software (inklusive dem Betriebssystem) regelmässig aktualisieren, am besten automatisch. Alte Versionen könnten Sicherheitslücken haben.
- Unbenutzte oder veraltete Software deinstallieren. Je weniger Möglichkeiten es für einen Eindringling gibt, desto sicherer sind wir.
- Werbeblocker aktivieren. Das schont nicht nur die Augen und die Privatsphäre, sondern reduziert ebenfalls die Angriffsfläche. Über Werbe- und Trackingnetzwerke wurde schon mehrfach bösartige Software verteilt. Es gibt auch andere Möglichkeiten, wertvolle Dienste zu unterstützen (z.B. die Zeitung abonnieren, zu der die Webseite gehört).
Mit diesen paar einfachen Schritten ist das Homeoffice und damit unsere ganze Infrastruktur etwas sicherer geworden. Danke vielmals!
Aktuelles zu Sicherheit
- Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen SpamwelleAktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch … Weiterlesen: Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle
- Wie die Open-Source-Community an Ostern die (IT-)Welt retteteHuch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte … Weiterlesen: Wie die Open-Source-Community an Ostern die (IT-)Welt rettete
- Endet die Zeit im Jahr 2038?Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut … Weiterlesen: Endet die Zeit im Jahr 2038?
- Wie zählt ein Computer?Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit … Weiterlesen: Wie zählt ein Computer?
- Spamwelle zu Weihnachten?Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die … Weiterlesen: Spamwelle zu Weihnachten?
- «5 Minuten für mehr Datenschutz»: Tracking vermeiden«Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz … Weiterlesen: «5 Minuten für mehr Datenschutz»: Tracking vermeiden
- 2FA verschwindet in der CloudZwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder kopierten Passwörtern schützt. Durch … Weiterlesen: 2FA verschwindet in der Cloud
- IT-Sicherheit ≠ BürostuhlDer Bund hat am 17. Juli 2023 einen Brief an seine Informatikdienstleister verschickt. Die Forderungen reichen von selbstverständlich bis fragwürdig. Wir … Weiterlesen: IT-Sicherheit ≠ Bürostuhl
- 📹 Cloud: Technologie für Datenschutz?Moderne Technologie wie Homomorphe Verschlüsselung könne vielleicht künftig den Datenschutz in der Cloud garantieren, meinte kürzlich der oberste Datenschützer. Hier Hintergründe … Weiterlesen: 📹 Cloud: Technologie für Datenschutz?
- SBB-Kundentracking: Offene FragenSeit einer Woche wird heiss über die zukünftige biometrische Verfolgung der Bahnhofsbesucher diskutiert. Hier ein paar Bemerkungen und Fragen zum «KundenFrequenzMessSystem … Weiterlesen: SBB-Kundentracking: Offene Fragen
- Cloud-Sicherheit am WinterkongressAm Winterkongress der Digitalen Gesellschaft halten Adrienne Fichter, Patrick Seemann und ich zwei Vorträge zu Cloud-Sicherheit am 25. Februar. Es hat … Weiterlesen: Cloud-Sicherheit am Winterkongress
- Jugendschutzgesetz: Ein kleiner Medien-FaktencheckIn der letzten Woche haben sowohl Tagesanzeiger als auch NZZ über das JSFVG berichtet. In den jeweiligen Artikeln werden die Aussagen … Weiterlesen: Jugendschutzgesetz: Ein kleiner Medien-Faktencheck
- Rechteausweitung von Google mit MapsGoogle Maps ändert seine URL von maps.google.com auf google.com/maps. Eigentlich sollte das keine Schlagzeile wert sein müssen. Wieso doch, darüber diskutieren … Weiterlesen: Rechteausweitung von Google mit Maps
- Was uns Ransomware zu Datenschutz und Datensicherheit lehrtWinterzeit ist Viruszeit. Neben Menschen erkranken aktuell aber auch wieder vermehrt Computer, aktuell an Ransomware. In der Cloud ist ein grosser … Weiterlesen: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt
- Hinter den Kulissen der VerschlüsselungVerschlüsselung nutzen wir täglich: Kaum mehr eine Webseite, Nachricht oder Mail nutzt nicht mindestens ein bisschen Verschlüsselung. Und trotzdem wissen viele … Weiterlesen: Hinter den Kulissen der Verschlüsselung
- Erklärt: Das Kleingedruckte bei Cyber-VersicherungRisiken von Cyberangriffen können hoch sein, sogar geschäftsgefährdend. Perfekter Schutz ist unmöglich. Aber ist die Versicherung die Lösung? Ein Podcast zusammen … Weiterlesen: Erklärt: Das Kleingedruckte bei Cyber-Versicherung
- Digitales Offline-Geld?Immer wieder taucht die Frage nach dem Einsatz von digitalem Geld bei Netzausfall auf. Hier eine Übersicht über die Möglichkeiten und … Weiterlesen: Digitales Offline-Geld?
- Per Anhalter durch die BlockchainBlockchain ist seit über 10 Jahren ganz oben auf der Hype-Hitparade und wird als magische Lösung für alle Digitalisierungsprobleme gehandelt. Aber … Weiterlesen: Per Anhalter durch die Blockchain
Schreibe einen Kommentar