Marcel Waldvogel

Sicherheitstipps (nicht nur) fürs Homeoffice

Die Angreifer bilden ein professionell organisiertes Ökosystem. Leider.

Diese Wochen ist alles etwas anders. Immer, wenn sich etwas ändert, gibt es Gewinner und Verlierer. Halunken, die von der aktuellen Situation profitieren wollen und unsere (IT-)Sicherheit und Privatsphäre angreifen wollen, sollen nicht zu den Gewinnern gehören. Dazu ein paar einfache Tipps gegen die gut organisierten und vernetzten Unholde:

Passwörter

  1. Passwortmanager verwenden. Wer keine Präferenz hat, kann denjenigen aus dem Browser verwenden.
  2. Neue Passwörter vom Passwortmanager erzeugen lassen (wer die Wahl hat: 20 Zeichen A-Z, a-z, 0-9; wenn der Dienst dann noch auf ein Sonderzeichen besteht, ein zufälliges irgendwo einfügen).
  3. Alte Passwörter ändern, insbesondere wenn sie einem Muster folgen oder für mehrere unterschiedliche Anbieter genutzt werden.
  4. Zwei-Faktor-Authentisierung aktivieren auf wichtigen Konten. Dazu zählt insbesondere das Hauptmailkonto: Wer Zugriff darauf hat, kann von allen anderen Diensten her das Passwort zurücksetzen.

Mehr zu Passwörtern: Ist 1234 ein gutes Passwort?

Phishing

Mit Phishing werden Mails und andere Versuche bezeichnet, den Empfänger dazu zu bringen, eigentlich geheime Informationen preiszugeben, z.B. Passwörter oder Kreditkartennummern.

  1. Erwarte ich die Mail?
  2. Stimmt der Absender? (Volle Mailadresse!)
  3. Enthält die Mail unerwartete Anweisungen? (Entschlüsseln eines Anhangs mit Passwort, Aktivieren von Makros, …)
  4. Versucht die Mail, meine niederen Instinkte anzusprechen (Angst, Stress, Gier)?
  5. Klingt das Angebot zu gut um wahr zu sein? Dann ist es das das auch. (Niemand würde auf der Strasse einem Unbekannten 100’000 Franken oder mehr einfach so schenken. Wieso sollte das jemand per Mail tun?)
  6. Unsicher, ob die Mail legitim ist? Zweitmeinung bei einem Kollgen/einer Kollegin einholen (oder im Homeoffice der/die Partner/in). Lieber 1x zuviel als zu wenig!
  7. Immer noch unsicher? Dann den Absender anrufen. Und dazu nicht die Information aus der Mail verwenden, sondern die Telefonnumer aus dem Adress- oder Telefonbuch bzw. von der Webseite der Firma. Nicht auf Links in der Mail klicken!

Separate Rechner/Konten

Je einfacher es ist, zwischen Arbeit, privaten Dokumenten und Erholsamem zu wechseln, so gilt das auch für bösartige Software, die einfach bei einem Experiment oder einem unbedachten Klick dann alles lahmlegen kann.

  1. Für Arbeit, Wichtiges Privates und Unwichtiges/Experimente jeweils separate Rechner oder Konten nutzen, möglichst ohne Administratorrechte.
  2. Den „Experimente“-Rechner/Konto dann auch für das Öffnen dubioser Mails und URLs (Webadressen) nutzen, wenn es denn wirklich nicht anders geht.

Ransomware und Backup

Es gibt verschiedene Gründe für Datenverlust. Alle können katastrophal enden, ganz besonders aber bei Ransomware. Deshalb: Rechtzeitig Backup einrichten! Hier ein einfacher, praktikabler Vorschlag für privates Backup:

  1. Zwei externe USB-Festplatten kaufen (ab ca. 50 Franken erhältlich).
  2. Backup alternierend auf diese beiden USB-Disks.
  3. Die Disk nach dem vollendeten Backup wieder ausstecken.
  4. Die Disks an zwei unterschiedlichen Orten lagern.
  5. Bei sensiblen Daten: Die Festplatten von Anfang an verschlüsseln (auch die Hauptfestplatte des Rechners und ganz besonders bei SSDs), das Verschlüsselungspasswort ausdrucken und an zwei zuverlässigen Stellen aufbewahren.

Update 2022-03-07: Offline-Backup (also nicht angesteckte Festplatten) schützt gut gegen digitale Angriffe. Das Off-Site-Backup (der andere Ort) von Punkt 4 oben schützt daneben recht gut gegen Diebstahl, Wasser oder Feuer. Allerdings schützt es nicht gegen NEMP. Das Lagern mindestens einer der Platten in einem Stahlschrank verringert das Datenverlustrisko.

Dies sind ein paar einfache Regeln, die das Risiko reduzieren und auch im privaten Umfeld einfach umzusetzen sind. Ein paar einfache Regeln, die dafür zuverlässig eingehalten werden, sind meiner Ansicht nach im privaten Umfeld wichtiger, als eine perfekte Lösung, die aber zu kompliziert oder unhandlich ist. Falls Sie konkrete Anforderungen an die Datenverfügbarkeit haben (juristische, wirtschaftliche, …; insbesondere als Firma), sollten Sie sich für Ihren spezifischen Fall von einer Fachperson beraten lassen.

Software

Es gilt die Anzahl der Möglichkeiten, mit denen ein Angreifer in das System eindringen kann, möglichst zu reduzieren.

  1. Die Software (inklusive dem Betriebssystem) regelmässig aktualisieren, am besten automatisch. Alte Versionen könnten Sicherheitslücken haben.
  2. Unbenutzte oder veraltete Software deinstallieren. Je weniger Möglichkeiten es für einen Eindringling gibt, desto sicherer sind wir.
  3. Werbeblocker aktivieren. Das schont nicht nur die Augen und die Privatsphäre, sondern reduziert ebenfalls die Angriffsfläche. Über Werbe- und Trackingnetzwerke wurde schon mehrfach bösartige Software verteilt. Es gibt auch andere Möglichkeiten, wertvolle Dienste zu unterstützen (z.B. die Zeitung abonnieren, zu der die Webseite gehört).

Mit diesen paar einfachen Schritten ist das Homeoffice und damit unsere ganze Infrastruktur etwas sicherer geworden. Danke vielmals!

Marcel Waldvogel

Bleibe auf dem Laufenden!

Erhalte eine Mail bei jedem neuen Artikel von mir.

Ca. 1-2 Mails pro Monat, kein Spam.

Dossiers

Cloud+Sicherheit

Dossier Cloud, Sicherheit und Privatsphäre

Blockchain

Dossier Blockchain mit Kryptowährungen, Smart Contracts, NFTs

KI

Dossier Künstliche Intelligenz, Maschinelles Lernen, ChatGPT und Grafik-KI

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Webapps