Beginner Security Guides
Dieser Guide ist einen Überblick über die wichtigsten Best Practices für IT Einsteiger oder IT Fremde Personen. Die Nummerierung zeigt die von uns bevorzugte Priorität. Dieser Guide behandelt außerdem nur Consumer Umgebungen, Server Umgebungen erfordern natürlich ein ganz anderen Schutz.
1. System aktuell halten
Updates, Updates und Updates
Halten Sie Ihr System immer auf den neusten Stand. Damit wird es unberechtigten Dritten erschwert die von Ihnen verwendete Software als Einfallstor zu nutzen. Oberste Update Priorität sollten natürlich Betriebssystem und Server Anwendungen bekommen. In Zeiten von Windows Update und Autoupdate Mechanismen auch in kleineren Software Produkten ist dies heutzutage einfacher als je zuvor.
2. einzigartige Passwörter
Pro Dienst, Pro Account immer andere Passwörter verwenden.
Fast wöchentlich werden Datenbanken große Anbieter gestohlen und die darin gespeicherten Kunden / Nutzer Passwörter entwendet. Angenommen Sie verwenden bei üblichen Diensten immer das gleiche Passwort (z.B. bei gmail, hotmail, ebay und Amazon) und nutzen dieses auch für z.B. ein Fiktiven Anbieter mit Namen "MeinNeuerEmailAnbieter.de". Wird dieser Fiktive Anbieter aufgrund von unzureichenden Sicherheitsmechanismen oder eines unzufriedenen Mitarbeiters seiner Datenbank beraubt, so hat der potenzielle Angreifer nun im günstigsten Fall einen Generalschlüssel zu all Ihren anderen Accounts.
Die Passwörter werden leider noch allzu oft mit unzureichenden oder gar keinem Hashing Algorithmen bei Anbietern hinterlegt und sind daher potenziell immer in Gefahr. Als Nutzer können Sie dieses Risiko am besten entschärfen, wenn Sie für jeden Dienst in individuelles Passwort verwenden.
Natürlich ist dies eine gewaltige Einschränkung in der Bequemlichkeit, aber für diesen Fall gibt es sogenannte Passwortmanager wie 1password (kostenpflichtig) oder Keepass (kostenlos). Mit diesen Programmen können Sie bequem und relativ sicher Ihre Passwörter verwalten.
3. MFA verwenden
Multi Faktor Authentication, oft als Authenticator App verfügbar.
Große Anbieter wie Google oder Microsoft bieten ihren Nutzern sogenannte Authenticator Apps an. Diese bieten bei der Dienst Anmeldung einen weiteren "Vektor" an mit dem sich ein Nutzer zusätzlich zum Benutzernamen und Passwort identifizieren muss. Meist ist dies durch eine extra App auf Ihrem Handy umgesetzt.
Dies hat den riesen Vorteil, dass bei einem Diebstahl Ihres Benutzernamens und Passworts (z.B. auf einer anderen Plattform, durch Trojaner oder ähnliches) ein Angreifer trotz Kenntnis Ihrer Zugangsdaten nicht in der Lage ist, sich bei einem Dienst anzumelden welcher diese Methode unterstützt.
Kurze Erklärung zur Funktionsweise: Bei einer Anmeldung mit Ihren Zugangsdaten fragt dieser auf dem extra "Kanal" nochmal um Erlaubnis ob diese Anmeldung berechtigt ist. Da ein Angreifer selten auch die Kommunikation zwischen Ihrem Handy und dem Dienstanbieter belauscht, ist dies eine relativ sicher Methode um auch nach dem Diebstahl Ihrer Zugangsdaten den Zugang durch unberechtigte Personen zu unterbinden.
4. Misstraue allem, vor allem Mails
Eines vorweg: Niemand wird Ihnen im Internet Geld oder Macht schenken und im Internet ist nichts 100%ig Fälschungssicher. Daher seien Sie besonders beim Thema Finanzen besonders vorsichtig! Damit meine Ich nicht nur Online Banking, dies betrifft auch Dienste Amazon oder Ebay.
Daher sollten folgendes immer bedacht werden:
1. reagieren Sie nie auf E-Mails, wo ein Dienst Sie auffordert, Ihre Daten zu korrigieren oder zu bestätigen. Das würden diese Dienste niemals tun. Dabei handelt es sich um sogenanntes Phishing und soll Sie dazu bewegen, Ihre Zugangsdaten oder Zahlungsdaten auf einer präparierten Seite einzugeben. Natürlich steckt hinter der Zielseite meist nicht der eigentliche Anbieter sondern jemand, welcher mit den von Ihnen eingegebenen Daten auf Ihre Kosten einkaufen geht.
2. Anhänge im Office Format nicht öffnen. Kein seriöser Anbieter versendet Anhänge im Word oder Excel Format an seine Kundschaft. Auch wenn der Absender noch so echt aussieht (alles ist Fälschbar), Anhänge in diesem Formaten nicht öffnen. Wenn die Neugier allerdings zu groß sein sollte, so setzen Sie sich mit dem Anbieter per Telefon oder bekannter Mailadresse in Verbindung und weisen Sie Ihn auf diese EMail hin. So kann der Anbieter entsprechende Maßnahmen ergreifen um weiteren Schaden für andere Kunden und für´s eigene Unternehmen abzuwenden.
5. Firewall
Immer sinnvoll
Mit Modernen Windows Betriebssystemen wird eine vorkonfigurierte Firewall mitgeliefert und erfüllt damit schon einen extrem guten Schutz für Endanwender. Zusätzlich befindet man sich daheim auch hinter einem Router und ist damit nicht direkt aus dem Internet zu erreichen d.h. man hat sehr oft schon 2 große Hürden für ungewollte Besucher von außen. Aber anders sieht es aus wenn der Rechner regelmäßig in fremden Netzen (öffentliche WLANs usw....) unterwegs ist oder sich im lokalem Netz schon Fremdlinge rum treiben.
Pauschal ist es immer eine extrem gute Idee, in Richtung Internet soviel Hürden wie möglich zu haben und eine gut konfigurierte Software Firewall wie die Windows Firewall ist ein sehr guter Anfang da auch normal Sterbliche einen soliden Grundschutz bekommen ohne sich mit der Materie auseinander setzen zu müssen.
Aber vor allem eine Firewall schütz nur gegen Angriffe von Außen! Missachtet man einige Punkte in diesem Guide so umgeht man diesen Schutz und der Angriff kommt dann nicht mehr von außen - dann ist er nämlich schon drin und dann kann auch die beste Firewall nur noch bedingt helfen. Sie kann zumindest insofern helfen, dass ein Angreifer nicht so einfach die gestohlenen Daten nach Hause schicken kann.
6. Weniger ist mehr
Reduzierung der Angriffsfläche
Wir leben leider in einer Überflussgesellschaft und wie im Real Life ist dies auch im Internet nicht immer gesund. Installieren und nutzen Sie nur das, was Sie wirklich brauchen.
Nicht mehr benötigte Software sollte sofort entfernt werden. Allein durch die Tatsache, dass Software nicht mehr benötigt wird, wird Sie vom Nutzer auch nicht mehr wahrgenommen und bekommt nicht mehr die notwendige Pflege z.B. in Form von Software Updates und bietet damit natürlich ein noch höheres Gefahren Potenzial.
Ganz zu schweigen von dem unnötigen Ressourcen Verbrauch auf dem betroffenen System.
7. Transportweg Verschlüsselung
Gut, auch wenn man nichts zu verbergen hat.
Verschlüsselung bei regulären Web Inhalten ist endlich flächendeckend in Form von SSL vorhanden (oft gekennzeichnet neben der URL in Ihrem Browser). Damit werden Inhalte zwischen Ihnen und dem Webserver sicherer übertragen und Sie können durch das Zertifikat sicher sein, dass der Webserver der ist, der er sein sollte.
Bei E-Mail Verschlüsselung und Signierung sieht dies durch das komplizierte Handling und der geringen Verbreitung leider noch etwas anders aus. Aber auch dort gibt es immer mehr Bestrebungen dies auch für normaler Nutzer ohne IT Studium praktikabel nutzbar zu machen. Viele Mail Programme wie z.B. Outlook unterstützen Standards wie PGP oder S/MIME aber im Mobile Bereich sieht es leider noch nicht so gut aus. Vor allem im Apfel Lager.
8. Datenträger Verschlüsselung
Damit kann ein Diebstahl "fast" egal sein.
Wer hat nicht schon mal ein Handy oder ähnliches Gerät verloren oder es wurde gestohlen (Wir noch nie!). Meist ist nicht der Verlust des Gerätes das Schmerzhafteste an der Geschichte, sondern das jemand anderes die Daten hat. Mal davon abgesehen, dass die Daten auch für einen Selbst verloren sind wenn nicht regelmäßig Backups gemacht wurden.
Zurück zum Thema: um den Schmerz des Verlustes in Falle eines jeden Gerätes zu minimieren gibt es die Verschlüsselung von Datenträgern. Also dem Gerätespeicher im Handy, der Festplatte oder SSD im Computer usw... Viele Anbieter von Smartphones bieten dies als vorinstallierte App mit an. Für Windows gibt es Bitlocker. Alle Lösungen sorgen dafür, dass der Inhalt auf dem verschlüsselten Datenträger anschließend nur mit entsprechenden Schlüssel durch den Benutzer gelesen werden kann. Heutzutage hat dies auch keine großen Auswirkungen mehr auf Performance, fast alle Modernen Endgeräte haben ausreichend Leistung, um die Mehrarbeit durch die Verschlüsselung zu bewältigen.
Im Falle eines Diebstahls eines Gerätes kann der Dieb nur noch wenig mit den Daten anfangen.
Vor allem im Business Umfeld kann der Verlust eines Datenträgers auch finanziell sehr schmerzhaft sein. Nicht nur, dass sensible Geschäftsgeheimnisse abhanden gekommen sein können. Vor allem beim Verlust von Personen bezogenen Kundendaten ist dies ggf. mit hohen Bußgeldern verbunden.
Und am besten ist es natürlich, die Daten gar nicht erst zu verlieren, auch mit aktiver Verschlüsselung. Verschlüsselung ist immer nur aktuell sicher! In 5 bis 10 Jahren kann dies ganz anders aussehen. Und im Gegensatz zu gern entwendeten Kreditkarten Daten sind Personen bezogene Daten auch dann immer noch gültig und somit Wertvoll.
9. Virenscanner
Besser als nichts
Virenscanner sind gut, aber oft sinnlos wenn man die vorherigen Punkte ignoriert. Hält man sich aber an die zuvor genannten Regeln, kommt man sehr gut mit den von Microsoft bereitgestelltem "Grundschutz" aus denn dieser ist durch seine gute Integration in vielen Bereichen tauglicher als Fremdsoftware Produkte.