1. Von plakativ bis hilfreich
»Pssssst! Du da! Ja, genau dich meine ich. Willst du brandheiße Tipps haben, um dich vor Hackern zu schützen? Ich habe ein paar echt geheime Techniken, die noch niemand kennt. Versprochen! Großes Indianerehrenwort!«
Auf der Suche nach Tipps für mehr »Sicherheit« in der digitalen Welt wird man meist schnell fündig. Mit plakativen Überschriften wie »Geheime Insider Tipps gegen Hacker« oder die »Top 10 der goldenen Sicherheitsregeln« wird der Anwender auf Webseiten gelockt, auf denen halbherzig irgendwelche Tipps wild zusammengewürfelt wurden. Hinterher ist man meist nicht schlauer als vorher, installiert womöglich einen zweiten Antiviren-Scanner, tätschelt im Vorbeigehen nochmal die Firewall und klickt anschließend ganz entspannt auf den nächsten E-Mail Anhang eines unbekannten Absenders.
IT-Sicherheit ist ein zu komplexes Thema, als dass es mit ein paar Tipps einfach mal abgehakt werden könnte. Das bedeutet: IT-Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess, der je nach Anwender und Anwendungszweck sehr individuell sein kann. Ich habe mich dennoch dazu hinreißen lassen, euch 5 Tipps mit auf den Weg zu geben, die ich persönlich als essentiell betrachte. Der Hintergrund dieses Beitrags ist die immer wiederkehrende Frage nach Vorträgen oder anderen Gelegenheiten, bei denen ich gefragt werde:
Ja und was kann man jetzt für mehr Sicherheit tun?
Der vorliegende Beitrag soll 5 praxisnahe Tipps für mehr IT-Sicherheit aufzeigen und gleichzeitig kompakt sein. Daher verzichte ich diesmal auf viele Hintergrundinformationen und reduziere den Beitrag auf das Wesentliche.
2. Regelmäßige Updates [Tipp 1]
Wie auch die durch Google durchgeführte Umfrage von »Sicherheitsexperten« belegt, stellt das regelmäßige Einspielen von (System-) Updates eine sehr wichtige Maßnahme gegen bekannte bzw. bekanntgewordene Sicherheitslücken dar.
Gerade weit verbreitete Softwareprodukte wie Betriebssysteme (insbesondere Windows), Internet-Browser (Firefox, Chrome, Safari), Java, Adobe PDF- Reader, Flash oder Microsoft Office sind ein beliebtes Angriffsziel und ein häufiges Einfallstor für Schadsoftware (Viren, Würmer, Trojaner, usw.), insbesondere wenn bei ihnen keine aktuellen Patches bzw. Updates eingespielt wurden.
Das bedeutet: Sowohl das Betriebssystem, als auch alle auf dem System installierten Anwendungen, Plug-Ins, Browser-Erweiterungen etc. sollten stets auf dem aktuellen Stand sein und gehalten werden.
Letztendlich gilt für das Updaten von Software daher eine einfache aber umso bedeutsamere Regel:
Wenn du etwas installiert hast, dann update es auch.
Das Einspielen von Updates ist natürlich nur dann möglich, wenn sie auch bereitgestellt werden. Insbesondere in der Android-Welt stoßen wir hierbei schnell an Grenzen, die im Artikel »Die Update-Problematik bei Android« nochmal näher beleuchtet werden. Daher ist der Tipp auch nur unter der Voraussetzung anwendbar, dass ein bereitstehendes Update auch eingespielt werden kann. Ist diese Voraussetzung allerdings erfüllt, helfen keine Ausreden mehr. Updatet eure Software! Jetzt!
3. Der Umgang mit Passwörtern [Tipp 2]
Passwörter sind ein ständiger Begleiter des Alltags. Wir entsperren damit unseren Rechner oder das Smartphone, loggen uns in das Bankkonto ein oder authentifizieren uns damit bei einem der zahllosen Online-Dienste, die wir nutzen. Es ist daher essentiell sich eingehend mit dem Thema Passwort zu befassen, da wir darüber unsere (digitale) Identität bzw. Online-Konten schützen.
Die üblichen Tipps und den »korrekten« Umgang mit Passwörtern kennt vermutlich jeder:
- Nie das gleiche Passwort: Ein Passwort sollte niemals mehrmals verwendet werden. Das bedeutet: Für jeden Online-Service (bspw. E-Mail Konto, Webshop, Forum) sollte ein individuelles Passwort erstellt werden. Die Wiederverwendung von Passwörtern ist in jedem Fall zu vermeiden.
- Ständig wechseln: Passwörter sollten regelmäßig gewechselt werden. In diesem Zusammenhang wird gerne verschwiegen, was »regelmäßig« bedeutet. Eigentlich spielt dieser Tipp aber auch nur eine sehr untergeordnete Rolle, denn das ständige Wechseln von Passwörtern bringt kaum einen messbaren Sicherheitsgewinn.
- Komplexe / Starke Passwörter: »Sichere« Passwörter sollten mindestens eine Entropie (die Stärke eines Passworts wird als Entropie angegeben) von 72 Bit und mehr haben. Das bedeutet: Aus mindestens 12 Zeichen bestehen, welche wiederum aus Kleinbuchstaben (a-z), Großbuchstaben (A-Z), Zahlen (0-9) und Sonderzeichen (bspw. !$#) zusammengesetzt sind.
Seien wir ehrlich: Die Verwendung und der Umgang mit Passwörtern ist leider meist fahrlässig. Häufig werden Passwörter eben doch mehrfach verwendet oder ganz einfache Zeichenketten wie bspw. 123456, Eigennamen und Geburtsdaten benutzt.
Andererseits sind die üblichen Empfehlungen für die Praxis weltfremd, ja geradezu eine Zumutung, sofern wir nicht auf Hilfsmittel zurückgreifen. Niemand ist in der Lage sich gut und gerne 30 Passwörter für seine Online-Zugänge zu merken, die aus mindestens 12 Zeichen bestehen, die wiederum aus Klein- und Großbuchstaben inklusive Zahlen und Sonderzeichen zusammengesetzt sind. Die herkömmlichen Passwort-Tipps lassen auch gerne außer Acht, dass ein Passwort zufällig sein sollte, um auch gegen Passwort-Cracker wie Hashcat bestehen zu können.
Die Lösung für das Passwort-Dilemma:
- Es ist empfehlenswert einen Passwort-Manager zu nutzen, der zufällige Passwörter generieren und speichern kann. Dafür eignet sich bspw. das Tool KeePassXC – verfügbar für Windows, Mac OS und GNU/Linux. Ihr solltet allerdings davon absehen, eure Passwörter online in einer »Cloud« abzulegen. Passwörter gehören nicht in fremde Hände. (LastPass Hack, OneLogin Hack, 1Password Daten-Leak)
- Wer sich für die Nutzung eines Passwort-Managers entscheidet, der sollte allerdings bedenken, dass dieser alle Passwörter beinhaltet. Das bedeutet: All eure Passwörter lassen sich einsehen, falls sich jemand Zugriff zu eurem Passwort-Manager verschafft. Daher solltet ihr den Zugang zum Passwort-Manager mit einem Passwort sichern, dass folgende Kriterien erfüllt:
- Zufällig
- Leicht zu merken
- Lang genug, um gegen Brute-Force oder Combinator Angriffe zu bestehen
Solch ein Passwort könnt ihr bspw. über das Diceware-Verfahren erstellen.
Dem Thema »sichere Passwörter« habe ich bereits einen ausführlichen Beitrag gewidmet, der den Umgang mit KeePassXC, der Erstellung eines Passworts nach dem Diceware-Verfahren und weitere Hintergrundinformationen bietet. Wer sich also eingehend mit dem Thema beschäftigen möchte, dem sei der folgende Beitrag empfohlen: Sicheres Passwort wählen: Der Zufall entscheidet.
4. Backups für den Fall der Fälle [Tipp 3]
Während klassische Viren heute eine eher untergeordnete Rolle einnehmen, kann man in den letzten Jahren eine deutliche Zunahme erpresserischer Schadsoftware beobachten, die unter dem Begriff »Ransomware« bekannt geworden sind. Ransomware befällt Rechner und verschlüsselt die Daten, die anschließend für den Nutzer dann nicht mehr abrufbar sind. Das Ziel: Für die Entschlüsselung der Daten fordert ein Angreifer üblicherweise einen Geldbetrag, der über ein Online-Bezahlsystem zu entrichten ist. Es kann aber auch sein, dass eine Ransomware Daten ausschließlich verschlüsselt und euch nicht mehr die Möglichkeit einräumt, die Daten »freizukaufen«. Insbesondere vor diesem Hintergrund spielen Backups bzw. Datensicherungen eine essentielle Rolle.
Aber auch bei ganz klassischen Problemen, wie ein Hardware-Defekt der Festplatte oder dem unbeabsichtigten Löschen von Daten kann euch ein Backup im wahrsten Sinne des Wortes »den Arsch retten«.
In der Praxis unterscheidet man zwischen verschiedenen Sicherungsarten, wie der Komplettsicherung oder der inkrementellen Sicherung. Gekoppelt mit einer passenden Backupstrategie kann daraus schon fast eine Obsession werden – je nachdem wie wichtig eure Daten eben sind.
Gerade das Backup im Privatumfeld sollte nach meiner Auffassung leicht zu handeln sein. Zunächst einmal ganz kurz wie ich mein Backup durchführe:
- Speicherort: Externes USB-Gehäuse mit zwei Festplatten, die über RAID-1 gespiegelt sind
- Weiterer Speicherort: Externe USB-Festplatte zu Hause
- Sicherungssoftware: BorgBackup
- Sicherungsart / Backupstrategie: Während der Laufzeit werden automatisch inkrementelle Backups erstellt / Einmal wöchentlich ein vollständiges Backup
Das war es auch schon. Einmal eingerichtet ist es äußerst simpel zu handeln. Alle Daten auf den externen Laufwerken sind mit 256-bit AES verschlüsselt. Je nach Betriebssystem oder Anforderungen werdet ihr andere Software oder Backupstrategien verwenden müssen. Wer es wirklich ganz einfach machen möchte, der sollte mindestens einmal im Monat seine Daten auf eine externe USB-Festplatte sichern und dies auch regelmäßig beibehalten.
Persönlich rate ich euch von Backups in irgendwelchen flauschigen »Clouds« ab. Je nach Anforderung muss ein Backup auch nicht ständig über ein Network Attached Storage (NAS) im Netzwerk erreichbar sein oder sogar über irgendein Web-Interface mit dem Internet verbunden sein.
Der Sinn und Zweck von einem Backup: Die Wiederherstellung von Daten, falls sie euch irgendwie abhandenkommen. Wie ihr das Ziel letztendlich erreicht, liegt natürlich an euch und euren Anforderungen. Nur eines möchte ich euch noch mitgeben: Die Idee, immer und von überall auf eure Daten zugreifen zu müssen, haben euch irgendwelche »Marketing-Fuzzis« eingepflanzt.
5. Browser: Das Tor zur Welt [Tipp 4]
Ähnlich wie E-Mails spielen Werbeanzeigen (sog. Malvertising) eine zentrale Rolle bei der Verbreitung von Schadsoftware. Insbesondere wenn es gelingt Schadcode in den Anzeigen von großen Werbenetzwerken wie bspw. DoubleClick (Google) unterzubringen, vervielfacht das die Wahrscheinlichkeit einer erfolgreichen Infektion. Das Spiel dabei ist meist dasselbe: In Browsern und deren Addons, wie bspw. Flash, wird versucht eine Schwachstelle ausnutzen. Gelingt dies wird zusätzlicher Schadcode geladen, der unter anderem die Festplatte verschlüsselt oder sensible Zugangsdaten von den infizierten Rechnern ausspäht.
Dass Angreifer insbesondere den Browser zum Verbreiten von Schadsoftware ausnutzen ist kein Zufall. Denn dieser ist der »Schlüssel« zum Internet bzw. zum World Wide Web, mit dem wir sowohl private als auch berufliche Aufgaben erledigen. Ferner bieten Browser ein hervorragendes Angriffsziel, denn sie sind über die Jahre zu einem hochkomplexen Werkzeug geworden, das keiner mehr (so richtig) beherrschen kann.
Nach meiner Auffassung ist es daher essentiell, einen aktuellen Browser zu verwenden, der über entsprechende Plugins aufgerüstet werden kann, um die Sicherheit weiter zu erhöhen. Hierfür eignet sich insbesondere Firefox, der gerade bei Forks äußerst beliebt ist. Forks wie IceCat oder Orfox haben allerdings oftmals eine Einschränkung, die nicht unerwähnt bleiben sollte. Sicherheitslücken, die in Firefox geschlossen wurden, erreichen Forks oftmals erst Tage oder auch Monate später. Hinsichtlich der Sicherheit ist es daher empfehlenswert, das Original, also Firefox zu verwenden. In Kombination mit Firefox halte ich folgende Addons für eine sinnvolle Ergänzung:
- μBlock Origin: Der beliebte Tracking- und Werbeblocker ist ein »Must-have«. Einstellungstipps zum Addon findet ihr hier.
- Decentraleyes: Stellt Ressourcen, die Webseiten gerne von Drittseiten (ajax.googleapis.com, code.jquery.com) einbinden, lokal zur Verfügung. Wie das Addon genau funktioniert und weshalb ich es für empfehlenswerte halte, könnt ihr hier nachlesen.
- First Party Isolation: Mit dem Addon First Party Isolation wird das Surf-Container Konzept von Firefox aktiviert, was das seitenübergreifende Tracking via (Ever-)Cookies verhindert. Wie das Container-Konzept funktioniert, könnt ihr hier nachlesen.
- NoScript: Das Addon steuert die Freigabe von JavaScript und weiteren Inhalten auf Webseiten. Weiterhin enthält NoScript eine XSS-Protection.
Hinweis: Das Addon erfordert aktive Nutzeraktionen und ist daher nicht für jeden Anfänger geeignet. - CanvasBlocker: Mit dem Addon könnt ihr das Canvas Fingerprinting durch Webseiten bzw. Skripts unterbinden.
- Smart Referer: Übermittelt keinen Referrer, wenn ihr auf eine andere Seite wechselt. Das Addon »unterdrückt« also bei einem Wechsel auf eine andere Domain, die URL der ursprünglichen Webseite.
- Skip Redirect: Umgeht nach Möglichkeit die nervigen Redirects, die bspw. Google und andere Unternehmen einsetzen.
- Neat URL: Hilft beim Schutz eurer Privatsphäre, indem Tracking-Parameter aus URLs (bspw. von Google Analytics) entfernt werden.
Und auch ein paar Tipps zum Umgang mit Firefox bzw. einem Browser möchte ich euch mit auf den Weg geben:
- Updates: Haltet den Browser stets aktuell, um euch gegen bekanntgewordene Sicherheitslücken zu schützen.
- Zugangsdaten: Speichert keine Zugangsdaten (Benutzername / Passwort) im Browser, sondern in eurem Passwort-Manager.
- Plugins: Installiert euch nur jene Plugins, die ihr wirklich benötigt. Auch Plugins sollten regelmäßig geupdatet werden, was in der Regel automatisch passiert.
Für all jene die möglichst spurenarm im Internet surfen möchten, an dieser Stelle noch der Hinweis zur Artikelserie »Not my data! Das 3-Browser-Konzept«.
6. Awareness: Der menschliche Schutzschild [Tipp 5]
Folgende Aussage mag abgedroschen klingen:
Der beste Schutz sitzt noch immer vor dem Rechner.
Denn gleichzeitig hört man auch folgende Aussage relativ häufig:
Die größte Schwachstelle ist immer der Nutzer.
Ganz plump kann man daraus folgern: Bei der Nutzung eines Rechners sollte stets das Hirn eingeschaltet werden. Oder etwas eleganter formuliert: Ein umsichtig und selbstreflektierter Anwender ist der beste Schutzschild gegen Schadsoftware, Phishing und andere Gemeinheiten.
Doch der umsichtige und selbstreflektierte Anwender findet auch schnell seine Grenzen, denn oftmals wird der Nutzer auf perfide Art und Weise getäuscht und zu einer Handlung psychologisch »gezwungen«. Insbesondere die Technik des sog. Social Engineerings wird von Angreifern immer weiter verfeinert und gilt als äußerst erfolgversprechend. Als Social Engineering wird eine Vorgehensweise bezeichnet, bei der die vermeintliche »Schwachstelle« Mensch ausgenutzt wird. Der Angriff richtet sich demnach nicht primär gegen einen Computer, sondern gegen dessen (menschlichen) Benutzer. Social Engineering nutzt gezielt menschliche Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Nutzern aus, um dadurch an vertrauliche Informationen zu gelangen oder das Opfer zu bestimmten Aktionen zu bewegen. Mit Hilfe psychologischer Tricks und Beeinflussungstechniken wird deshalb bspw. versucht, den Nutzer dazu zu bewegen, dass er einen schadhaften E-Mail Anhang öffnet oder über eine gefälschte Webseite (Phishing) seine persönlichen Daten preisgibt.
Daher ist es in umso wichtiger, dass ihr euch vorsichtig und umsichtig in der IT-Welt bewegt und nicht auf alles klickt oder installiert, »was bei Drei nicht auf den Bäumen ist«. Zusammengefasst noch ein paar Tipps:
- E-Mail Anhang: Fragwürdige E-Mail Anhänge von unbekannter und zweifelhafter Herkunft sollten nicht unvorsichtig geöffnet werden. Gerade in den Anhängen verbirgt sich oftmals Schadsoftware und aktuell meist Ransomware, die eure komplette Festplatte verschlüsselt.
- Phishing: Prüft Links und die Webseiten, auf die sie führen, ganz genau. Insbesondere über E-Mails »angeln« Angreifer nach Benutzername und Passwort, indem sie euch auf täuschend echt aussehende Duplikate von bekannten Webseiten (bspw. Bank, Webshop, etc.) locken.
- Downloads: Vermeidet es unbekannte oder dubiose Webseiten zu besuchen, auf denen ihr dann noch womöglich Software herunterladet. Bezieht eure Software ausschließlich aus vertrauenswürdigen Quellen.
- Fremde WLANs: Trotz der nahezu flächendeckenden Verschlüsselung gibt es noch immer gute Gründe (TLS-Interception bzw. TLS-Middleboxen), fremden WiFi-Netzwerken nicht zu trauen. Vermeidet Online-Zahlungen oder andere sensiblen Vorgänge und wartet damit besser, bis ihr wieder zu Hause seid. Alternativ könnt ihr auch ein VPN nutzen.
- Nichts ist umsonst: Das gilt insbesondere für Online-Werbung, die euch ein kostenloses iPhone verspricht. Oder aber auch für Apps und Dienste, die ihr vermeintlich »kostenlos« nutzen dürft. Bedenkt immer: Kostenlos bedeutet meist, dass ihr mit euren persönlichen Daten bezahlt.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
7. Fazit
Es gibt keine allgemeingültigen Vorgehensweisen und Tipps, mit denen ihr euch vor allen Gemeinheiten schützen könnt, die in der IT-Welt lauern. Die vorgestellten Tipps können euch aber dabei helfen, euer persönliches Risiko zu minimieren. Allerdings solltet ihr immer bedenken, dass IT-Sicherheit ein ständiger Prozess ist, der es notwendig macht, umgesetzte Maßnahmen in Zukunft kritisch zu hinterfragen und sich an neue Herausforderungen, wie Ransomware, anzupassen. Ein Beispiel: Anti-Viren-Scanner (AV-Scanner) galten insbesondere in den 90er Jahren als beliebte Schutzmaßnahme gegen Schadsoftware. Wie die Artikelserie Antiviren-Scanner: Mehr Risiko als Schutz? allerdings vor Augen führt, eignen sich AV-Scanner heute jedoch nur bedingt, um ein System und die darauf befindlichen Daten, nachhaltig vor Schadsoftware zu schützen.
Abschließend noch ein paar Worte, warum ich gerade diese Tipps gewählt habe: Es war nicht einfach, mich auf 5 Tipps zu beschränken. Denn andere wichtige Schutzmaßnahmen, wie Verschlüsselung oder das Härten eines Rechners sind meist ebenso wichtig. Insgesamt war es mein Bauchgefühl und Erfahrung, die mich dazu veranlasst hat, diese 5 Tipps zu wählen. Sollte der Beitrag allerdings gut bei euch ankommen, so kann ich mir gut vorstellen, daraus eine Serie zu machen.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Sicheres Passwort wählen: Der Zufall entscheidet
Firefox: about:config | user.js – Firefox-Kompendium Teil10
KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1
Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
Firefox: First Party Isolation – Firefox-Kompendium Teil4
23 Ergänzungen zu “5 praxisnahe Tipps für mehr IT-Sicherheit: Echt jetzt!”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Sehr guter und wichtiger Artikel! Danke dafür!
Hallo Mike,
vielen Dank für deine Erläuterungen, eigentlich ja Basics, aber wohl vielfach immer noch nicht beachtet.
Ein paar Fragen:
1. Addons für FF:
Haben nach deiner Ansicht Smart Referer und Self-Destructing Cookies den im Privacy-Handbuch empfohlenen Cookie Controller und die dort ergänzenden Einstellungen zum Referer unter about:config in der Effizienz abgelöst?
2.Vertrauenswürdige Webseiten:
Wie vertrauenswürdig sind z.B. github.com, xda-developers.com bzw. ähnliche Portale oder SouerceForge.net, also Seiten, wo man ich mir u.a. wichtige Sicherheitssoftware oder alternative Programme u.a. auch für den Schritt zum alternativen Android Custom ROM herunterlade? Wer garantiert, dass hier nichts gehackt ist und die Software sicher ist – auch wenn ich sie trotz aller Bedenken zu Scannern immer durch einen AV-Scanner gegenchecken lassen würde? Gibt es dazu Erfahrungen, gerade auch negative?
zu 1. Das sind lediglich meine Vorschläge. Es gibt da draußen noch andere Plugins, mit denen sich ganz ähnliche Ergebnisse erzielen lassen. Daher sind die Empfehlungen vom Privacy-Handbuch ebenfalls in Ordnung.
zu 2. Niemand garantiert irgendetwas. Und ob du eine Seite als vertrauenswürdig einstufst oder nicht, dass kann dir niemand abnehmen. Bevor ich einen neuen Service nutze, jage ich Webseiten aber gerne mal durch Webbkoll, um einen Eindruck davon zu bekommen, wie viel Wert der Betreiber auf Sicherheit und Datenschutz legt. Tut mir Leid, aber ich werde keine Bewertung von Webseiten vornehmen, sonst bekomme ich gleich 100x Anfragen dazu. ;-)
Vielen Dank für diesen wirklich sehr gut lesbaren und vor allem verständlichen Artikel! Es ist in der Tat so, dass eigentlich auf vielen Seiten immer wieder ähnliche oder identische Tipps & Tricks zum Thema IT-Sicherheit gegeben werden. Aber alle Anregungen münden in dem gleichen Fazit und dies wurde hier sehr gut und prominent herausgestellt: man muss einfach aufpassen was man macht!
Ich bin derzeit selbst in der IT-Branche tätig und erlebe die o. g. „Lücken“ leider tagtäglich bei unseren Kunden. Manchmal bin ich fassungslos und sehr oft einfach frustriert, da die späteren Nacharbeiten bei „kompromitierten Systemen“ immer noch nicht betriebswirtschaftlich als erhebliches Risikopotential gesehen wird.
Kleine Randnotiz: ich empfinde es besonders im Mittelstand und kleineren Unternehmen als äußerst erheblich auf diese Gefahren aktiv hinzuweisen! Ransomware kann einen mit kleinsten Angriffen an den Rand des Ruins bringen und ich würde behaupten, dass derzeit keine einzige Unternehmerhaftpflichtversicherung solche Schäden und Risikiken überhaupt andeckt oder dies in Erwägung zieht.
Das wäre mal interessant in einem Folgebeitrag konkret zu beleuchten.
Vielen Dank für das Engagement und alle Autoren, Blogger und IT-Spezialisten vom Kuketz-Blog.
And now for something completely different …
Hier haben wir das neueste Sportwagen-Model, leistungsstark und prestigegeladen. Okay, bei der Fahrwerksabstimmung ist ein bisschen geschlampt worden, da ist der Fahrzeuglenker in Kurven schon mal gefordert, sonst geht es mit Karacho von der Straße. Und ja, die Bremsen sind nicht ganz so perfekt justiert, da sollte der Käufer dieses Top-Automobils vielleicht noch mal persönlich rangehen. Dann noch ein oder zwei Bauteile beim Lenksystem eigenhändig ausgetauscht, und schon haben wir ein fast verkehrstaugliches Auto …
Wenn in anderen Industrien dermaßen unsichere Technik an die Käufer ausgeliefert würde wie in der IT, ginge ein Aufschrei durch die Welt. Statt dessen nimmt die Masse der Nutzer ziemlich klaglos hin, was ihnen da an Devices und digitalen Services auf den Tisch gelegt wird – und wir, eine relativ kleine Minderheit, fixen dem Pfusch unaufhörlich hinterher.
Das spricht natürlich nicht gegen Mikes Kampf für Sicherheit und Privatsphäre, die es eigentlich out of the box geben sollte, ganz im Gegenteil. Nur manchmal befällt mich einfach ein überwältgendes Gefühl von Absurdität angesichts der Situation.
Hallo Herr Kuketz, vielen Dank für den Artikel!
Mir ist spontan eine Vorkehrung eingefallen wie man sich vor dem SuperGau „Master-Passwort Hack“ evetuell schützen könnte. (Dürfte allerdings nicht helfen, wenn man einen Keylogger aufm Rechner hat):
Man denkt sich eine zusätzliche PIN zu dem im KepassX gespeicherten Passwort aus, die man nach dem copy-paste ins Passwortfeld an x-ter Stelle einfügt.
Z.B.: Wenn PW = 12345 > PW mit PIN = 1234abcd5
Bin allerdings kein Informatiker und kann deshalb für nichts garantieren :)
########
Weiterhin empfehlen Sie das Addon „Privacy Settings“ im Full-Privacy-Mode. Das könnte bei einigen Web-Mailern nach meiner Erfahrung zu Problemen führen, da der dom.storage > enabled sein muss.
Ja, mit den Privacy Settings im »Full Privacy Mode« kann es mitunter zu Problemen kommen. Dann bietet sich die Option »Privacy (compatible)« an.
Vielen Dank für den Artikel!
Einige Addons kannte ich noch garnicht, besonders der Canvas Blocker schaut interissant aus!
„Nichts ist umsonst“
Vorsicht mit solchen Aussagen. Mit solch einer Einstellung wird mir immer klar zu machen versucht, dass GNU/Linux ja nichts taugen kann, und man lieber „professionelle“ Software (Windows, ua.) verwenden sollte.
Damit meinte ich insbesondere Dienste wie Facebook, WhatsApp, Google und Konsorten. Wer diesen Blog schon länger verfolgt, der weiß: Ich bin ein absoluter Verfechter von GNU/Linux bzw. Open Source / FOSS. Vielleicht kommt das aber in der Passage nicht ganz rüber. ;-)
Hi Mike!
Es geht um Punkt 5: „Zugangsdaten: Speichert keine Zugangsdaten (Benutzername / Passwort) im Browser“.
Ich speichere die (meiner Meinung nach) unkritischen Logins im Firefox. Diese werden doch durch Firefox verschlüsselt und sind per Masterpasswort gesichert. Was spricht dagegen?
Für die kritischen Logins nutze ich natürlich Keepass(x).
Danke!
Das meinte ich: Sicherheitsanforderungen und Umsetzungen sind immer individuell. Aber klar, das kannst du so machen. Das mache ich für »unkritische« Kontos teilweise auch. Nur als Faustregel gilt: Besser eben nicht.
Hallo Mitleser,
wegen Tip 3 (Passwort gehört nicht in die Cloud) würde gerne eine Meinung zu folgender Konfiguration hören:
Keepass auf Desktop und Mobilgeräten. Master-Passwort für Datenbank mit Diceware erstellt (28 Zeichen) + Schlüsseldatei.
Datenbank liegt in Dropbox wegen Synchronisierung mit mehreren Geräten. (unauffällige) Schlüsseldatei nur lokal auf jedem Gerät vorhanden, nicht auf Dropbox.
Kann man damit ohne „Bauchweh“ leben?
Ich zitiere mal auf Ziffer 6.2 von folgendem Artikel.
Und dazu weiter:
Also persönlich hätte ich Bauchschmerzen – aber wenn du keine hast, dann ist das für dich vielleicht dennoch eine brauchbare Lösung. Wie auch im Artikel bereits erwähnt ist IT-Sicherheit immer individuell.
Hallöchen Mike!
Das mit den Paßwörtern ist ja immer so eine Sache, in der Cloud würde ich die aber sogar fünffach verschlüsselt nicht abspeichern! Allerdings verwende ich hier mit meinem SeaMonkey den integrierten Paßwortmanager mit extra Paßwort, wodurch diese bereits verschlüsselt gespeichert werden.
Zusätzlich verwende ich das Add-on SyncPlaces, über welches die Paßwörter extra gepackt und verschlüsselt auf einem nur mir bekannten FTP-Server liegen! Einer Cloud jedoch traue ich nicht weiter wie ich den zugehörigen Server werfen kann. Das dient in meinem Fall jedoch nur dafür, daß mir im Falle eines Falles diese nicht verloren gehen. Letztens hat sich z. B. mein Backup-System verabschiedet, so daß ich nun für die zusätzliche Sicherung dankbar bin.
Diese Lösung ist zwar auch nur bedingt zu empfehlen, aber besser als der Verlust sämtlicher Paßwörter und das wären bei mir etliche hundert!
Grüße aus Augsburg
Mike, TmoWizard
Also 5. Browser:
Das Tor zur Welt [Tipp 4] ist natürlich die richtige Basis wo man beim Schutz anfangen muss um einen Großteil an (Internet-)Sicherheit für sich zu gewinnen… aber leider dreht sich nicht unbedingt alles nur alleine um einen Browser. Also ich würde heutzutage grundsätzlich immer das gesamte System als „Das Tor zur Welt“ betrachten. Und genau deshalb empfinde ich auch den Einsatz von zusätzlichen Tools wie hier aufgelistet: https://www.kuketz-blog.de/opensnitch-littlesnitch-fuer-linux/ als fast unverzichtbaren Basisschutz, weil Betriebssysteme ja leider nicht per default (standardmässig und mit GUI zur Entscheidung) über alle Vorgänge (Programm XY will sich nach YZ verbinden) informieren.
Als Ergänzung für den o.g. Link möchte ich hier noch kurz auf das für Windows verfügbare und grundsätzlich kostenlose „Windows Firewall Control“ hinweisen, mit dem ich bislang wirklich sehr gute Erfahrungen gemacht habe und mir einen Rechner ohne solch einen Schutz auch nicht mehr vorstellen kann.
Wer sich gerne tiefer in den Kaninchenbau wagen möchte, der findet auf dem Blog genügend weitere Anregungen. Zum Beispiel hier: »Linux härten«: Ein sicheres Desktop-System
Hi, Mike, danke für diesen Beitrag!
Eine Frage zu
Könntest du bitte sagen, welches USB-Gehäuse du benutzt? Ich habe ebenfalls versucht, obiges bei mir umzusetzen. Zuerst hatte ich mir die Icy Box IB-RD2253-U31 besorgt, in die allerdings meine beiden 2,5 Zoll-Platten nicht passten, weil deren Bauhöhe zu groß war (> 9,5 mm). Dann habe ich das StarTech S252BU33R gekauft. Da passen zwar die Platten rein – aber Borgbackup rödelt stundenlang herum, ohne zu einem Ende zu kommen. Ich vermute, dass der eingebaute RAID-Controller nichts taugt.
Daher die Frage: Welches Teil versieht bei dir zuverlässig den Dienst?
Icy Box IB-RD3620SU3.
Danke! Das erste Backup damit verlief heute damit erfolgreich.
Vielleicht sollte mensch dementsprechend besser von IT-Sicherung sprechen – genauso wie philosophisch vom Zeitalter der Aufklärung, und nicht etwa von der Aufgeklärtheit, die Rede ist.
Noch eine Analogie: eine elektrische Sicherung wird ebenfalls zuweilen auf ihre Funktionstüchtigkeit überprüft.
Hallo Mike,
vielen Dank für deine tolle Webseite und die vielen guten Tipps und Infos zur IT-Sicherheit.
Ich habe jetzt Mozilla Firefox und die oben empfohlenen Add-Ons
(μBlock Origin (Empfehlung: Wie ihr das Addon einstellen solltet)
NoScript – Für Firefox Mobile: Download von »NSA++ (NoScript 3.5 alpha)«
Self-Destructing Cookies
HTTPS Everywhere
Smart Referer
CanvasBlocker
Privacy Settings [aktiviert dort »Full Privacy«])
installiert.
Leider funktionieren jetzt auf vielen Webseiten viele Inhalte nicht mehr, werden nicht geladen und angezeigt, Videos lassen sich nicht mehr abspielen, downloads nicht mehr starten.
Es ist zwar toll, wenn mein PC jetzt „safe“ ist, ich aber in der Ansicht von Webseiteninhalten und der Nutzung von Medieninhalten (downloads, Videos usw.) so stark beschnitten werde.
Gibt es denn keine Möglichkeit, sich abzusichern aber dennoch nicht einen großen Teil der angebotenen Inhalte zu verlieren?
Viele Grüße
Klaus
Hallo Klaus,
lies dir mal die Serie »Not my data!« durch. Ansonsten gilt: Diese Addons bringen in der Tat mehr Sicherheit und Privatsphäre, nur muss man sich damit auch beschäftigen und die Addons feintunen bzw. für einzelne Seiten anpassen. Wie das geht, steht unter anderem in der verlinkten Artikelserie.