17,99 €
Digital einfach besser geschützt!
Wie Sie Ihre Daten zuhause und im Internet vor Betrügern schützen, vermittelt Ihnen dieses Buch. Sichere Passwörter, Browser, Online-Banking, Schutz Ihres Heimnetzwerks und Ihrer Endgeräte, Backups wichtiger Daten oder deren Wiederherstellung: Leicht verständlich und systematisch lernen Sie, sich digital zu schützen. Sie erfahren, welche menschlichen Eigenschaften Angreifer ausnutzen, um beim Phishing oder anderen Angriffen erfolgreich zu sein. Mit konkreten Schutzmaßnahmen für alle gängigen Betrugsmaschen und technischen Schutzvorkehrungen sind Sie ab sofort gewappnet.
Sie erfahren
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 373
Meine digitale Sicherheit für Dummies
Auf dieser Schummelseite finden Sie einfach anzuwendende Tricks für eine erhöhte persönliche Informationssicherheit.
Teilen Sie persönliche Informationen sparsam und bewusst im Internet. Überlegen Sie genau, wo die Angabe Ihres echten Namens wirklich notwendig ist.Seien Sie wachsam bei E-Mails, die zum Download von Dateien oder zur Eingabe von Passwörtern auffordern. Überprüfen Sie die Quelle, bevor Sie handeln.Nutzen Sie verschiedene E-Mail-Adressen für unterschiedliche Zwecke und stellen Sie sicher, dass Sie bei jeder die Passwortwiederherstellung zuverlässig durchführen können. Richten Sie zudem eine separate E-Mail-Adresse für Notfälle ein.Lassen Sie sich nicht hetzen, vor allem nicht beim Surfen oder beim Umgang mit E-Mails. Nehmen Sie sich Zeit, bevor Sie auf Links klicken oder auf Nachrichten reagieren.Sichern Sie jeden Ihrer Accounts durch starke, einzigartige Passwörter (länger als 8 Zeichen, keine simplen Wörter) und aktivieren Sie, wo möglich, die Zwei-Faktor-Authentifizierung. Bewahren Sie Notfallcodes an einem sicheren Ort auf.Überlegen Sie, was zu tun ist, falls Sie Ihr Laptop oder Smartphone verlieren. Priorisieren Sie wichtige Daten und Dokumente und halten Sie einen Notfallplan bereit.Erstellen Sie regelmäßige Backups Ihrer wichtigsten Daten. Sichern Sie Ihre Festplatte in regelmäßigen Abständen, um Datenverlust zu vermeiden.Überwachen Sie Ihre Online-Präsenz, indem Sie regelmäßig Ihren Namen im Internet suchen. Beantragen Sie die Löschung von Inhalten, die ohne Ihre Zustimmung veröffentlicht wurden.Diese Schummelseite soll Ihnen eine schnelle Hilfe beim Erkennen von bösartigen Nachrichten sein!
Seien Sie vorsichtig bei E-Mails von unbekannten Absendern, besonders wenn es um Rechnungen, Zahlungen, Gewinne oder dringende Angelegenheiten geht. Misstrauen ist hier angebracht.Überprüfen Sie die Seriosität des Betreffs in E-Mails. Seien Sie besonders wachsam bei Nachrichten über Rechnungen, Zahlungen oder Gewinne, vor allem, wenn Sie sich an keinen entsprechenden Kauf oder Teilnahme erinnern können.Bei Unsicherheiten über den Inhalt einer E-Mail, verschieben Sie diese in den Junk-Ordner. So verhindern Sie das automatische Nachladen von Bildern oder anderen Inhalten und können die E-Mail sicherer überprüfen.Statt Dateianhänge direkt aus E-Mails herunterzuladen, loggen Sie sich auf der offiziellen Webseite des Anbieters ein und laden Sie die benötigten Dokumente dort herunter, um Sicherheit zu gewährleisten.Achten Sie auf die URL-Struktur: Der erste Punkt vor dem dritten Schrägstrich nach »HTTP(S)« kennzeichnet das Ende der Domain. Der Teil links davon ist die Domain, rechts davon die Top-Level-Domain. Beachten Sie Ausnahmen wie »co.uk« in Großbritannien.Sind Sie nach Bewertung aller vorherigen Punkte immer noch unsicher, ob eine E-Mail vertrauenswürdig ist, öffnen Sie keinesfalls den Anhang. Löschen Sie die E-Mail insbesondere, wenn Anhänge als ».zip« oder Office-Dateien wie ».docx«, ».xlsx« oder ».pptx« formatiert sind.Um bei der Ermittlung von Tätern zu helfen und das Spam- und Phishingaufkommen zu reduzieren, können Sie verdächtige E-Mails ohne Kommentare oder Änderungen an [email protected] weiterleiten. Dies unterstützt die Bekämpfung von Spam und Phishing, ohne dass eine Anzeige erstattet wird.Meine digitale Sicherheit für Dummies
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
1. Auflage 2024
© 2024 Wiley-VCH GmbH, Weinheim
Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.
Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.
Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.
Coverfoto: © blackboard – stock.adobe.comKorrektur: Isolde Kommer
Print ISBN: 978-3-527-72036-1ePub ISBN: 978-3-527-84102-8
Chris Wojzechowski absolvierte eine Ausbildung zum Bürokaufmann und studierte im Anschluss Wirtschaftsinformatik. Er schloss sich ein Studium der Internet-Sicherheit an. Er war im Institut für Internet-Sicherheit verantwortlich für den Bereich Live-Hacking und Awareness und leitete diverse wissenschaftliche Studien. Er ist seit dreizehn Jahren nebenberuflich selbstständig und hat gemeinsam mit Matteo Große-Kampmann die AWARE7 GmbH im Jahr 2019 gegründet und führt diese erfolgreich durch die Höhen und Tiefen der Geschäftswelt.
Prof. Dr.-Ing. Matteo Große-Kampmann ist Professor für Verteilte Systeme an der Hochschule Rhein-Waal. Er ist darüber hinaus Gründer und Geschäftsführer der AWARE7 GmbH. Herr Große-Kampmann hat an der Fakultät Elektrotechnik und Informationstechnik der Ruhr-Universität Bochum und der Westfälischen Hochschule Gelsenkirchen kooperativ promoviert. Herr Große-Kampmann ist Projektkoordinator verschiedener, kompetitiv eingeworbener Forschungsprojekte, welche von der Europäischen Union oder verschiedenen Bundesministerien gefördert werden. Darüber hinaus ist er als Beiratsmitglied, Mentor, Juror und Coach in und an verschiedenen kommunalen, regionalen und internationalen Unternehmen und Veranstaltungen beteiligt.
Matteo Große-Kampmann und Chris Wojzechowski sind gemeinsam seit über fünfzehn Jahren im Bereich Informationssicherheit tätig. Ihre Faszination für digitale Sicherheit und Betrugsmaschen im digitalen Raum haben sie gemeinsam. Sie halten Fachvorträge auf Kongressen, bei Firmenevents, den Verbraucherzentralen und anderen Institutionen und Organisationen. Sie veröffentlichen regelmäßig Forschungsartikel auf weltweit renommierten Konferenzen und stehen regelmäßig in Funk und Fernsehen Rede und Antwort zu aktuellen Fragen der IT-Sicherheit.
Mehr Informationen finden Sie unter https://aware7.com/de.
Cover
Titelblatt
Impressum
Über die Autoren
Inhaltsverzeichnis
Einleitung
Konventionen in diesem Buch
Symbole, die in diesem Buch verwendet werden
Teil I: Grundlagen der Cybersicherheit
Kapitel 1: Zurück in die Zukunft? Bedrohungen im Wandel der Zeit
Das ARPANET
Eine kurze Geschichte der Schadsoftware
Schadsoftware heutzutage
Wann man sicher ist
Risikomanagement
Der Prozess der Risikoerkennung
Kapitel 2: Alles, was Sie über Passwörter wissen müssen
Passwörter – easy to learn, hard to master
Sicherheitsfragen sind kein Sicherheitsnetz
Mehrfachverwendung von Passwörtern
Methoden zur Erstellung von Passwörtern
Passwort-Manager – ein guter Kompromiss
Wann soll ich und wann muss ich das Passwort wechseln?
Die Zwei-Faktor-Authentifizierung – der zusätzliche Schutz
Passkeys — die modernisierten Passwörter?
Künstliche Intelligenz – eine Bedrohung für das Passwort
Kapitel 3: My home is my castle: Das Heimnetzwerk sicher einrichten
Der Router – die Achillesferse des Heimnetzes
Kabellose Netzwerke richtig absichern
Einrichten und Verwenden von Gastnetzwerken
Geräte neu starten oder gezielt ausschalten gehört zum guten Ton!
Verdacht auf einen erfolgreichen Angriff
Mögliche Beseitigungen von Bedrohungen in einem kompromittierten persönlichen Netzwerk
Ransomware
Kompromittiertes Konto
Aggressive Beseitigung von Bedrohungen in einem gefährdeten persönlichen Netzwerk
Persönliche Netzwerke und Daten schützen
Kapitel 4: Das Tor zum Internet: Browser, aber sicher
Sichere Verbindungen im Browser
Wo Vorsicht geboten ist
Privatsphäre
Das Darknet
DNS-Server ändern für mehr Privatsphäre
Kapitel 5: Sichere Bankgeschäfte im Internet
Einführung in das Online-Banking
Basics für sicheres Online-Banking
Risiken bei der Geldverwaltung aus der Ferne
Grundlegende Sicherheitsmaßnahmen einhalten
Banking-Apps – Fluch oder Segen?
Ihr Notfallplan: Das ist bei einem Betrug sofort zu tun!
Kapitel 6: Kein Backup — kein Mitleid. So sichern Sie Ihre Daten richtig
Warum sind Backups wichtig?
Verschiedene Datensicherungsmethoden
Die 3-2-1-Backup-Regel
Backups von Mobilgeräten
Backups sind nicht kostenlos
Kapitel 7: Ihre Informationen in fremden Händen — Datenlecks
Abfluss von Daten – die Langzeitnachwirkungen
Arten von Datenlecks – absichtliche und unabsichtliche
Anzeichen, dass Sie das Opfer eines Datenlecks geworden sind
Datenlecks – die richtige Prävention
Datenschutzbehörden und Ihre Rechte
Kapitel 8: Endlich Endgeräte absichern und schützen
Bedrohungen für Computersysteme
macOS-Sicherheit
Windows-Sicherheit
Mobile Endgeräte absichern
Teil II: Der Mensch im Fokus
Kapitel 9: Menschliche Sicherheit
Der menschliche Faktor als Sicherheitsrisiko
Der menschliche Faktor als Schlüssel zur Verbesserung der Sicherheit
Gefährliche Selbstgefälligkeit
Häufige Verbesserungspotenziale
Social Engineering und menschliches Verhalten
Sicherheitsbewusstsein und Schulung
Open Source Intelligence und Oversharing
Clean Desk Policy
Security Awareness: Warum traditionelle Ansätze häufig scheitern und wie die Security Awareness Curve Abhilfe schafft
Rolle der Nutzererfahrung (UX) in der digitalen Sicherheit
Ethik und Verantwortung: Ein Blick auf digitale Sicherheit
Ethik in der digitalen Sicherheit
Datenschutz und Privatsphäre
Fallstudien: Der menschliche Faktor in der digitalen Sicherheit
Zukünftige Herausforderungen
Kapitel 10: Phishing-Mails — so erkennen Sie die falsche Nachricht
Phishing — bewährte Tradition von Kriminellen
Der Wurm muss dem Fisch schmecken — erkennen Sie den Köder
Speerfische und wie Sie die Meerbewohner auf Distanz halten
Ein gesundes Maß an Skepsis
Phishing 4.0 — künstliche Intelligenz als Gamechanger
Kapitel 11: Vishing, Smishing, Chishing — die Familie Phishing wird größer
Smishing
Vishing
Chishing – Phishing im Chat
Kapitel 12: Ransomware — wenn der Rechner nur noch kryptisch spricht
Ransomware entmystifiziert: Geschichte, Funktionsweise und Herausforderung
Die Auswirkungen von Ransomware: persönliche und finanzielle Konsequenzen
Folgen eines Identitätsdiebstahls
Infektionswege: So kommt der Schädling auf Ihr System
Schutz vor Ransomware: Das Immunsystem Ihres Systems
Präventive Maßnahmen zur Sicherung des Systems
Notfall: Das ist zu tun, wenn Sie sich infiziert haben!
Teil III: Lug und Betrug im Internet
Kapitel 13: Die Evergreens: Diese Betrugsmaschen gibt es schon ewig
Der Klassiker: Mit Phishing geben Kriminelle vor jemand zu sein, der sie nicht sind!
Erst geben, dann nehmen. Sie geben und der Kriminelle nimmt!
Die falschen Mitarbeiter am Telefon!
Die Liebe im Internet. Ist nicht immer echt!
In letzter Minute das Angebot bekommen und Geld verloren!
Der Traumjob ist nur einen Klick entfernt. Nicht.
Kriminelle schaffen eine Situation, um Sie zu erpressen
Wenn das Finanzamt sich meldet. Und Sie nicht drangehen!
Kapitel 14: One-Hit-Wonder: Auf diese Maschen fallen Sie garantiert nur einmal herein
Der Betrug per Vorkasse
Der falsche Verwandte
Die nicht existierende Wohltätigkeitsorganisation
Der unseriöse Handwerker
Der einzige Shop mit Produkten
Kapitel 15: Die Newcomer: Neue Technologien schaffen neue Betrugsmaschen
Einführung in neue Technologien und Betrug
Künstliche Intelligenz und digitale Sicherheit
Künstliche Intelligenz und Deepfakes
Das Internet der (unsicheren) Dinge?
Blockchain und Kryptowährungsbetrug
Betrugserkennung in neuen Technologien
Zukunft von Betrug und neuen Technologien
Kapitel 16: So bereiten Sie sich auf eine Ausnahmesituation vor
Warum ein Notfallplan wichtig ist
Was wollen die Angreifer?
Sofortmaßnahmen beim Verdacht auf eine Infektion mit Schadsoftware
Vorbereitet zu sein, ist entscheidend
Inhalte für KMUs auch für Privatpersonen sinnvoll
Teil IV: Der Top-Ten-Teil
Kapitel 17: Die 10 Tipps für ein sicheres Internet zu Hause
Priorisieren Sie Ihre Passwörter!
Nur so viel Software wie nötig, stets aktuell!
Behalten Sie persönliche Daten für sich!
Seien Sie auf das Schlimmste vorbereitet — Backup erstellen und sich sicher fühlen!
Lassen Sie einen Wächter auf Ihr System achten — installieren Sie Antivirensoftware!
Bösartige Mails erkennen und Angriffe vermeiden — schließen Sie die Tür vor Angreifern!
Halten Sie Abstand von ungesicherten Websites
Vermeiden Sie öffentliche, ungesicherte Netzwerke
Überprüfen und aktualisieren Sie regelmäßig Ihre Einstellungen
Nutzen Sie ein Virtual Private Network (VPN) für mehr Sicherheit unterwegs!
Kapitel 18: Die Top 10 Betrugsmaschen
Ware existiert nicht, wird aber trotzdem verkauft
Der Dreiecksbetrug — Vorsicht, schwer durchschaubar
Die Stellenanzeige — zu verlockend? Vorsicht ist geboten
Romance Scamming — wenn die digitale Liebe nicht echt ist
Paketbetrug per SMS — ein Klick vom Betrüger entfernt
Einsammeln von Daten — besser nicht ins Netz laufen
Windows-Updates — Return of the Suchleiste
Erpressung in allen Formen und Varianten
Gutscheinbetrug — tausche Plastik gegen Geld
Vorschussbetrug — wenn Geld erst gegen Geld fließt
Kapitel 19: Die Top 10 Tipps im Internet
Anpassung und Aktualisierung des Webbrowsers
Schutz Ihrer Daten durch Verschlüsselung
Erstellung regelmäßiger Sicherungskopien
Einsatz eines Werbeblockers
Vorsicht bei E-Mails und ihren Anhängen
Vorsicht bei Downloads, insbesondere von Programmen
Zurückhaltung bei der Weitergabe persönlicher Daten
Schutz Ihrer Online- und Benutzerkonten durch sichere Passwörter
Erstellung unterschiedlicher Benutzerkonten
Aktualisierung des Betriebssystems und anderer Software
Kapitel 20: Die Top 10 prominenten Datenlecks und was Sie daraus lernen können
Der-Facebook-Datenleak: 500 Millionen Betroffene!
iCloud-Fotoleak: Sensibler geht nimmer!
Fremdgehplattform Ashley Madison. Auweia!
Equifax — Angriff auf US-Schufa
Freedom Hosting II — auch im Darknet ist nichts vor Hackern sicher!
Knuddels Hack im September 2018 — die erste Strafe nach DSGVO
LinkedIn — Datendiebstahl und eingesammelte Daten im großen Stil
Snapchat — Daten vieler Minderjähriger enthalten
Twitter — soziale Netzwerke sind ein beliebtes Ziel
Den Schluss macht der Anfang — MySpace im Jahr 2008!
Abbildungsverzeichnis
Stichwortverzeichnis
End User License Agreement
Kapitel 2
Tabelle 2.1: Zeiten bis zum erfolgreichen Knacken eines Passworts (
https://aware.
...
Kapitel 10
Tabelle 10.1: Techniken zur Manipulierung von Domains
Kapitel 1
Abbildung 1.1: Die Einsicht auf den Bildschirm ist von der Seite dank der Sichtsc...
Kapitel 2
Abbildung 2.1: Eine Passwortkarte mit Zufallswerten
Abbildung 2.2: Bei diesem Beispiel haben wir uns ein 28-stelliges, zufälliges Pas...
Abbildung 2.3: Auch wenn KeePass den aktuellen Ansprüchen an eine moderne Benutze...
Abbildung 2.4: Obwohl im Passwort-Manager ein Eintrag für eBay hinterlegt ist, wi...
Abbildung 2.5: Bei großen Anbietern wie z. B. Amazon lassen sich unterschiedliche...
Abbildung 2.6: Nach der Eingabe des Benutzernamens und des Passworts wird nach de...
Abbildung 2.7: Bei zahlreichen Diensten wurde der zweite Faktor über die Aktivier...
Abbildung 2.8: Unter dem Empfänger bzw. Absender AUTHMSG versenden zahlreiche Die...
Abbildung 2.9: Zwei Beispiele für Hardware-Tokens. Das eine ist für die Ver- und ...
Abbildung 2.10: Eine Anfrage an den Chatbot ChatGPT kann ohne jegliche Kenntnisse...
Abbildung 2.11: ChatGPT liefert konkrete Vorschläge zur Ausgestaltung von möglich...
Kapitel 3
Abbildung 3.1: Auch ein Rücken kann entzücken. Wichtige Daten sind auf der Rückse...
Abbildung 3.2: Eine Konfigurationsseite eines Routers
Abbildung 3.3: Die Eingabeaufforderung lässt sich ganz unkompliziert über die Suc...
Abbildung 3.4: Die Eingabeaufforderung schreckt viele ab. Dabei lassen sich hierü...
Abbildung 3.5: Mit dem Befehl »ipconfig« bekommen wir die für uns so wichtige IP-...
Abbildung 3.6: Der Hinweis, dass die Webseite nicht erreichbar ist, zeigt Ihnen, ...
Abbildung 3.7: So oder so ähnlich muss das Login-Portal für die Fritz Box sein.
Abbildung 3.8: Die Oberfläche von AVM ist übersichtlich. Das Passwort zu ändern, ...
Abbildung 3.9: Die Oberfläche von AVM ist übersichtlich. Das Passwort zu ändern, ...
Abbildung 3.10: Der WLAN-Gastzugang ist erst aktiv, wenn auch das WLAN eingeschal...
Abbildung 3.11: Ändern Sie den Namen des Gastnetzwerks und setzen Sie einen siche...
Abbildung 3.12: Mehrere virtuelle Local Area Networks (LANs) im Einsatz. Je nach ...
Abbildung 3.13: Die Zeitschaltung der WLAN-Umgebung ist einfach im Seitenmenü zu ...
Kapitel 4
Abbildung 4.1: Eine Webseite, aufgerufen mit dem Webbrowser Google Chrome
Abbildung 4.2: Updateseite von Microsoft Edge
Abbildung 4.3: Der Browser baut eine sichere Verbindung zur Webseite aware7.com a...
Abbildung 4.4: Der Browser baut keine sichere Verbindung zur Webseite
franken-log
...
Abbildung 4.5: Der Inkognito-Browser sorgt keineswegs dafür, dass man anonym im I...
Abbildung 4.6: Die Einstellung im Browser lässt sich so einstellen, dass sogenann...
Abbildung 4.7: In der Mail-App von macOS erscheint bei Mails, die von einem Newsl...
Abbildung 4.8: Der Darknet- bzw. Tor-Browser kann einfach kostenfrei heruntergela...
Abbildung 4.9: Die lange Variante der Darknet-Internetadresse von Facebook
Abbildung 4.10: Einstellungen zum DNS-Server können unkompliziert in den Systemei...
Kapitel 5
Abbildung 5.1: Eine angebliche SMS von der Volksbank. Dabei wird keine konkrete B...
Abbildung 5.2: Es gib keinen 100 %-igen Schutz. Aus diesem Grund sollte sich jede...
Kapitel 6
Abbildung 6.1: Ransombildschirm von Wannacry
Abbildung 6.2: Auf dem Bild ist ein Ausschnitt der Stadt Gelsenkirchen zu sehen. ...
Abbildung 6.3: Duplicati ist eine freie Software mit vielen Vorteilen. Die Softwa...
Abbildung 6.4: Wer die bereitgestellten Funktionen von Duplicati nutzt, hat die M...
Abbildung 6.5: Time Machine unter macOS ist ein sehr mächtiges Werkzeug zur Wiede...
Abbildung 6.6: Diese Anzeige bekommen Sie präsentiert, wenn Ihr macOS-System kein...
Abbildung 6.7: Die Dauer der Erstellung des Backups wird Ihnen fortlaufend angeze...
Abbildung 6.8: Sobald der Punkt »Time Machine-Backups durchsuchen« angeklickt wur...
Abbildung 6.9: Die Einstellung für die Anfertigung von Backups unter Windows läss...
Abbildung 6.10: Mit einer Windows-Sicherung können gängige Einstellungen und Apps...
Abbildung 6.11: Ungewohnt, aber auf dem richtigen Weg zur Erstellung einer vollst...
Abbildung 6.12: Um einen Wiederherstellungspunkt erstellen zu können, müssen wir ...
Abbildung 6.13: Bei der Benennung des Backups sollte das Datum in einer beliebige...
Abbildung 6.14: Die Erstellung des Wiederherstellungspunktes wird mit einem kurze...
Abbildung 6.15: Die Anzahl der möglichen Wiederherstellungspunkte ist klar nach D...
Abbildung 6.16: Die Anzahl der möglichen Wiederherstellungspunkte ist klar nach D...
Abbildung 6.17: Bevor der Wiederherstellungsprozess gestartet werden kann, muss e...
Abbildung 6.18: Jetzt kann nur noch abgewartet werden. Der Computer sollte nicht ...
Abbildung 6.19: Dieser Text grüßt Sie, nachdem Sie erfolgreich ein System zurückg...
Kapitel 7
Abbildung 7.1: Der Datendiebstahl der Hacker-Gruppierung ist seit mehr als 10 Jah...
Abbildung 7.2: Heise investigativ stellt zwei Möglichkeiten für Whistleblower ber...
Abbildung 7.3: Der sichere Datei-Drop von Heise ist über das Darknet erreichbar u...
Abbildung 7.4: Die Oberfläche von Identity Leak Checker ist verständlich und einf...
Abbildung 7.5: Um die Information über die Betroffenheit in einem Datendiebstahl ...
Abbildung 7.6: Das Ergebnis einer Abfrage der E-Mail-Adresse »chris@wojzechowski....
Abbildung 7.7: HIBP ist eine sehr minimalistische Webseite. Das Logo und das Such...
Abbildung 7.8: Sobald die Suche ausgelöst wird, erhalten Sie sofort das Ergebnis....
Abbildung 7.9: Die Anzeige unter dem Suchfeld erscheint in Rot, sobald Treffer ve...
Abbildung 7.10: Mein zweiter Vorname ist natürlich nicht »Otto«. Dies ist ledigli...
Abbildung 7.11: Ein Private-Relay können Abonnenten von iCloud+ in Anspruch nehme...
Kapitel 8
Abbildung 8.1: Bei der Man-in-the-Middle-Attacke schleicht sich ein Krimineller u...
Abbildung 8.2: Ein Captive-Portal, welches auf einer Konferenz eingesetzt wurde
Abbildung 8.3: Zero-Day-Exploits finden am Markt einen Abnehmer. Für kritische Si...
Abbildung 8.4: Für Laien schwierig zu erkennen. Aber die offizielle Webseite von ...
Abbildung 8.5: Auch diese Webseite soll den Eindruck erwecken, es handle sich um ...
Abbildung 8.6: macOS-Updates automatisch durchführen
Kapitel 9
Abbildung 9.1: Die Autoren stellen Shoulder Surfing nach (ca. 2016).
Abbildung 9.2: Der angreifende Autor erkennt die PIN-Eingabe genau.
Kapitel 10
Abbildung 10.1: DMARC-Richtlinie
Abbildung 10.2: DMARC-Richtlinie
Kapitel 12
Abbildung 12.1: Media Markt berichtet über technische Störungen aufgrund einer er...
Abbildung 12.2: Verschlüsselungsbildschirm des AIDS-Trojaners
Abbildung 12.3: Eine Ransomnote der Gruppe Bit paymer
Abbildung 12.4: Ein Beispiel für eine Readme-Datei nach der Infizierung durch ein...
Kapitel 13
Abbildung 13.1: Im Namen von zahlreichen Banken versenden Kriminelle tagtäglich T...
Abbildung 13.2: Manche Anschreiben sind klüger gestaltet und manche etwas plump. ...
Abbildung 13.3: Beim Surfen erscheint plötzlich eine Warnmeldung. Eigentlich ist ...
Abbildung 13.4: Eine Anfrage mit Links, die vor allem männliche Empfänger zum Kli...
Abbildung 13.5: Als »Currency Exchange Service« wird die Stelle angepriesen. Alle...
Abbildung 13.6: Wenn eine Ransomware sich erfolgreich auf Ihrem System ausgebreit...
Kapitel 14
Abbildung 14.1: Der Betrug per WhatsApp beginnt fast immer mit der Ankündigung, d...
Abbildung 14.2: Nach dem Schlagwort »Gesponsert« sollte Ausschau gehalten werden....
Kapitel 15
Abbildung 15.1: Typisches Beispiel einer aktuellen Betrugsmail, bei der über das ...
Abbildung 15.2: Sextortion-Mail
Abbildung 15.3: Ein Kamerastream, welcher über Shodan einsehbar ist, da die Kamer...
Kapitel 18
Abbildung 18.1: SMS zum Paketbetrug
Abbildung 18.2: Sextortion-Mail
Kapitel 20
Abbildung 20.1: Aktivierte und deaktivierte Einstellungen im iCloud-Account
Abbildung 20.2: Erweiterter Datenschutz beim iPhone
Abbildung 20.3: Das Datenleck von Ashley Madison bei Have I been Pwned
Abbildung 20.4: Wie kompliziert ist die Abmeldung von Webseiten? Cyberpflege klär...
Cover
Titelblatt
Impressum
Über die Autoren
Inhaltsverzeichnis
Einleitung
Fangen Sie an zu lesen
Abbildungsverzeichnis
Stichwortverzeichnis
End User License Agreement
1
2
5
6
7
21
23
24
25
26
27
28
29
30
31
32
33
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
209
210
211
212
213
214
215
216
217
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
279
280
281
282
285
286
287
Bevor Sie sich auf die zahlreichen Tipps und Tricks in diesem Buch stürzen, sollten Sie folgende Hinweise lesen:
Alle Links, die Sie in diesem Buch finden werden, sind nach dem gleichen Prinzip aufgebaut: https://aware.link/00000.
Wir benutzen einen sogenannten Link-Verkürzungsdienst. Dieser hilft uns alle Links im Buch aktuell zu halten - auch wenn das Buch bereits gedruckt ist. Denn Webseiten ändern sich regelmäßig oder sind nicht mehr verfügbar. Alle Links sind durch uns manuell geprüft und stellen kein Risiko dar. Sollte ein Link wider Erwarten nicht funktionieren, schreiben Sie uns gerne eine E-Mail an [email protected] mit dem Betreff »MDSTT Link«
Sie können das Buch am Stück, kapitelweise oder nur bei Bedarf lesen.
Unter diesem Zeichen finden Sie kleine Tipps und Tricks, die wir als praktisch empfinden und die Ihnen weiterhelfen können. In kleinen Häppchen serviert.
Unter diesem Symbol finden Sie tiefergehende Informationen zu einem bestimmten Thema. Sie müssen diese Abschnitte nicht lesen, allerdings sind die meisten Abschnitte so interessant, dass es sich lohnt.
Aufpassen! Bei diesem Symbol ist Vorsicht geboten und wir empfehlen Ihnen besonders aufmerksam an diesen Stellen zu sein.
Unter diesem Symbol finden Sie Beispiele und mehr. Oft werden unter diesem Symbol Geschichten zur Verdeutlichung eines Sachverhalts beschrieben, teilweise aus unserer beruflichen Praxis, teilweise aus privaten Erfahrungen.
Teil I
IN DIESEM TEIL…
Geschichte und Bedrohungen des Internets Entstehung von SchadsoftwareSicherheit und RisikomanagementPasswortsicherheit Herausforderungen und LösungenZwei-Faktor-AuthentifizierungRolle der künstlichen IntelligenzSichere Heimnetzwerke Einrichten von LAN und WLANRolle des RoutersSicherheitsbedrohungenSichere Internetbrowser Wichtige Browser und StatistikenSichere VerbindungenUmgang mit Cookies und TrackernSicherheit im Online-Banking Grundlagen und RisikenSicherheitsmaßnahmen und AngriffsartenTAN-Verfahren und Banking-AppsWichtigkeit von Backups Schutz vor Hardwareausfällen und menschlichen Fehlern3-2-1-Backup-RegelBackups von MobilgerätenDatenlecks LangzeitnachwirkungenVerschiedene Arten und AnzeichenPrävention und Reduzierung des digitalen FußabdrucksAbsicherung von Endgeräten Bedrohungen für ComputersystemeRansomware auf dem MacSicherheit von macOS und WindowsKapitel 1
IN DIESEM KAPITEL
erfahren Sie etwas über Gefahren im Internetlernen Sie grundlegende Maßnahmen für mehr digitale Sicherheit kennenlernen Sie die Grundzüge der Risikoeinschätzung kennenDigitale Bedrohungen haben in den letzten Jahrzehnten rapide zugenommen und sind zu einer ernsthaften Gefahr für Unternehmen, Organisationen und Einzelpersonen weltweit geworden. Die Bedrohungen reichen von Viren und Malware bis hin zu Phishing und Ransomware und haben sich im Laufe der Zeit ständig weiterentwickelt und verändert.
Die ersten Schritte in Richtung einer vernetzten Welt gab es in den 1960er-Jahren, als das amerikanische Verteidigungsministerium mit der Entwicklung des »Advanced Research Projects Agency Network (ARPANET)« begann. 1969 wurde das erste Datenpaket der Welt zwischen der University of California, Los Angeles (UCLA) und der Stanford University ausgetauscht.
Doch bis das Internet annähernd die Form hatte, wie wir sie heute kennen, sollten noch Jahrzehnte vergehen. So gab es beispielsweise Anfang 1994 ungefähr 700 Internetseiten. Heutzutage gibt es allein 172 Millionen ».com«- und ».net«-Domains (Stand: 25.03.2023).
Das World Wide Web ist zweifellos eine der bahnbrechendsten Innovationen im Bereich der Informationsvermittlung. Es hat eine so signifikante Auswirkung auf unseren Alltag, dass man es oft mit der Erfindung des Druckens vergleicht. Bevor das Internet jedoch zu einem praktischen Werkzeug wurde, mussten zahlreiche Grundlagen gelegt werden. Dabei sticht das ARPANET als einer der Wegbereiter des Internets hervor.
ARPANET, die Kurzform für »Advanced Research Projects Agency Network«, entstand durch die Zusammenarbeit des MIT und des US-Verteidigungsministeriums. Das Hauptziel war die Verknüpfung amerikanischer Universitäten, die für das Verteidigungsministerium forschen. Im Jahr 1969 wurden das Stanford Research Institute, die University of Utah, die University of California, Los Angeles und die University of California, Santa Barbara, miteinander vernetzt. Am 29. Oktober 1969 um 22:30 Uhr Ortszeit wurde die erste Verbindung von Host zu Host zwischen dem Stanford Research Institute und der University of California, Los Angeles, aufgebaut. Der erste Befehl »login« wurde gesendet, allerdings brach der Host-Computer während der Eingabe der ersten beiden Buchstaben zusammen, sodass die ersten übertragenen Buchstaben »lo« waren. Ab 1970 wurde die Kommunikation durch das Network Control Protocol sichergestellt.
Bis zum 5. Dezember 1969 wurden alle vier Universitäten durch das Netzwerk miteinander verbunden. Seitdem wuchs das ARPANET kontinuierlich auf 213 Hosts bis 1981 mit einem durchschnittlichen Wachstum von einem neuen Host alle 20 Tage. Im Jahr 1971 wurde das ARPANET für den Betrieb freigegeben. Am 1. Januar 1983 wurde das bisher verwendete Kommunikationsprotokoll durch TCP ersetzt. Wer an der gesamten Geschichte des Internets interessiert ist, dem sei die aufschlussreiche Zusammenfassung der Internet Society »A Brief History of the Internet« empfohlen (https://aware.link/00101).
Das ARPANET nutzte viele technologische Neuerungen, die mittlerweile zum Standard geworden sind. Für das Netzwerk wurden speziell Telnet und das File Transfer Protocol (FTP) entwickelt und bis 1973 implementiert. Telnet ermöglichte Client-Server-Verbindungen basierend auf einem zeichenorientierten Datenaustausch. Heutzutage wird SSH als Alternative zum unverschlüsselten Telnet verwendet. Auch FTP, das die Dateiübertragung zwischen Clients und Servern ermöglicht, legte einen wichtigen Grundstein in Bezug auf Protokolle. FTP wird noch häufig genutzt, oft in der verschlüsselten Version als Secure File Transfer Protocol (SFTP).
Die paketorientierte Kommunikation war ebenfalls eine neuartige und heute unverzichtbare Entwicklung. Obwohl die Paketvermittlung das Risiko des Paketverlusts birgt, bietet sie immense Vorteile, wie beispielsweise die gleichzeitige Nutzung der verfügbaren Leitungen durch mehrere Nutzer.
Mit der Entwicklung des neuen Netzwerks NSFNET, das Supercomputer und Wissenschaftler verband, kam das ARPANET-Projekt Ende der 1980er-Jahre zum Abschluss. Am 28. Februar 1990 wurde das ARPANET stillgelegt, einige Hosts wurden noch bis Juli 1990 betrieben. Vinton Cerf, eine der treibenden Kräfte hinter dem Projekt, verfasste zum Anlass der Stilllegung das »Requiem of the ARPANET«:
It was the first, and being first, was best,
but now we lay it down to ever rest.
Now pause with me a moment, shed some tears.
For auld lang syne, for love, for years and years
of faithful service, duty done, I weep.
Lay down thy packet, now, O friend, and sleep.
Vinton Cerf (gesamtes Requiem abrufbar bei https://aware.link/00102)
Es steht außer Frage, dass die Entwicklung des ARPANETs viele Protokolle hervorgebracht hat, die heute unverzichtbare Bestandteile aktueller Verfahren sind.
Bereits im ARPANET gab es erste Computerviren, welche die Geschichte des ARPANETs und die Computergeschichte allgemein geprägt haben. Die Rede ist von Creeper und Reaper.
Creeper, entwickelt von Bob Thomas im Jahr 1971, gilt als der erste Computerwurm. Thomas wollte herausfinden, ob es möglich ist, ein replizierendes Programm zu schreiben, und setzte es aufgrund eines Fehlers im Firmennetzwerk frei. Es war nicht bösartig und hatte lediglich die Aufgabe, von Maschine zu Maschine zu springen und dabei die folgende Nachricht zu hinterlassen:
I’m the creeper, catch me if you can!
Creeper war nicht dazu ausgelegt, Schaden zu verursachen oder Daten zu stehlen. Der harmlose Wurm erwies sich aber nach kurzer Zeit als extrem lästig, da immer wieder die oben genannte Nachricht auf dem Bildschirm erschien.
Die Antwort auf Creeper war Reaper, ein Programm, welches als erstes Anti-Virus-Programm der Geschichte gilt. Entwickelt von Ray Tomlinson hatte Reaper nur eine einzige Aufgabe: Creeper zu finden und zu löschen. Reaper hat damit den Grundstein für zukünftige Anti-Malware- und Anti-Virus-Programme gelegt, indem es demonstriert, dass schädliche oder störende Programme automatisch gefunden und beseitigt werden können. Dabei hatte Reaper selbst auch Eigenschaften eines Netzwerkwurms.
In den frühen Tagen des Internets waren Computer und Netzwerke nicht so verbreitet wie heute, und es gab nur wenige Bedrohungen, die auf Computer abzielten. Lange Zeit ging es bei Angriffen auf Computersysteme auch ausschließlich um technische Angriffe und es wurde vor allem Schadsoftware geschrieben. Wenn Schadsoftware geschrieben wurde, dann wurde sie häufig nur verbreitet um der Verbreitung willen. Das erste Computervirus auf der Welt verbreitete sich über »Disketten«, wurde im Jahr 1981 entdeckt und hieß »Elk Cloner«. Elk Cloner hatte es nur auf Apple-Computer abgesehen. Das Programm verbreitete sich selbstständig und richtete keinen direkten Schaden an den Geräten an. Für die Nutzenden war das Virus dennoch störend, da sich der Bildschirminhalt löschte und der folgende Text erschien, der erst nach einem Neustart des Computers entfernt wurde:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES IT’S CLONER!
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM TOO
SEND IN THE CLONER!
Das erste Schadprogramm, das als digitale Pandemie bezeichnet werden kann, war »ILOVEYOU«. Es wurde von einem philippinischen Informatikstudenten entwickelt und verbreitete sich im Mai 2000 extrem schnell über das gesamte Internet. Dieses Schadprogramm wird als E-Mail-Wurm bezeichnet. Nutzende, die auf den Anhang einer infizierten Mail klickten, schickten diese Nachricht an ihr gesamtes Adressbuch weiter. Das dadurch deutlich erhöhte Aufkommen an E-Mails konnten die damaligen E-Mail-Server nicht bewältigen, und sie stürzten ab.
Der Fokus lag also gerade zu Beginn des Internets hauptsächlich auf Viren und Würmern, die darauf abzielten, Computer zu infizieren, zu verlangsamen oder zu zerstören. Diese Bedrohungen wurden hauptsächlich von Hackern entwickelt, die entweder die Grenzen der digitalen Welt ausloten oder Chaos stiften wollten.
Mit der zunehmenden Verbreitung des Internets und der damit verbundenen Technologien wie Smartphones und anderen vernetzten Geräten hat sich das Bedrohungsszenario jedoch dramatisch verändert.
Mit vernetzten Geräten sind an dieser Stelle Geräte aus dem »Internet der Dinge« gemeint. Dies können verschiedene Geräte sein, die eine Netzwerkverbindung haben, zum Beispiel Kühlschränke, Kaffeemaschinen oder Kinderspielzeug.
Heute gibt es eine Vielzahl von Bedrohungen, die darauf abzielen, persönliche Daten zu stehlen, Finanzbetrug zu begehen oder Unternehmen zu erpressen. Phishing und andere Angriffe, die nicht die Technologie, sondern den Menschen, der die Technologie bedient, angreifen, sind zu einer der größten Bedrohungen geworden. Betrüger verwenden gefälschte E-Mails, SMS oder Social-Media-Beiträge, um ihre Opfer dazu zu bringen, persönliche Daten oder Passwörter preiszugeben. Besonders perfide sind E-Mails mit einem Dateianhang, welche im Rahmen von Ransomware-Kampagnen versendet werden. Diese Ransomware geht häufig so vor, dass sie versucht, weitere Systeme im Netzwerk zu übernehmen, Daten von diesen Systemen stiehlt und im Anschluss alles verschlüsselt und dann ein Lösegeld einfordert. Näheres zu dieser Art von Angriffen erfahren Sie in Kapitel 12 .
Wenn Sie in einer Organisation oder einem Unternehmen arbeiten, ist es die Aufgabe der dortigen IT-Abteilung, die Auswirkungen von Phishing oder von schadhaften Dateianhängen zu minimieren und beispielsweise Back-up-Konzepte oder Notfallpläne vorzuhalten. Für Sie als Privatperson sind jedoch nur Sie selbst verantwortlich und wir werden Ihnen im Laufe dieses Buches das nötige Handwerkszeug an die Hand geben, um sich selbst zu schützen und die Auswirkungen eines Cyberangriffs zu minimieren.
Die digitale Bedrohungslandschaft ist also ständig im Wandel, und es ist wichtig, dass Unternehmen und Einzelpersonen sich auf dem neuesten Stand halten, um sich vor Bedrohungen zu schützen. Dazu gehören regelmäßige Software-Updates, starke Passwörter und der Einsatz von Sicherheitssoftware wie Antivirus-Programmen und Firewalls. Eine frühzeitige Erkennung von Bedrohungen und eine schnelle Reaktion sind der beste Weg, um digitale Bedrohungen zu minimieren und zu verhindern, dass sie sich zu ernsthaften Problemen entwickeln. Darüber hinaus kann es helfen, wenn Sie Informationen über aktuelle Betrugsmaschen kennen und auf dem Schirm haben. An dieser Stelle haben Sie mit dem Kauf dieses Buches schon einen Schritt in die richtige Richtung gemacht.
Der IT-Sicherheitsexperte Eugene Spafford sagt, dass das einzig sichere System eines ist, welches »nicht am Strom hängt, in Beton gegossen wurde und in einem mit Blei verkleideten Raum aufgestellt ist«. Ein solches System ist natürlich sicher, allerdings hat es auch eine sehr eingeschränkte Funktionalität und Nutzbarkeit. Dies ist das Dilemma, in dem sich die digitale Sicherheit heutzutage befindet. Mit jedem Schritt an zusätzlicher Sicherheit werden Systeme meist unkomfortabler in Bezug auf ihre Nutzbarkeit und die Produktivität. Darüber hinaus muss auch immer in Betracht gezogen werden, dass eine Sicherheitsmaßnahme »angemessen« sein muss.
Das geheime Lieblingsrezept für einen sehr fluffigen Pizzateig kann in einem bewachten, hermetisch abgeriegelten Gebäude in einem extra bewachten Safe lagern. Allerdings ist dies vermutlich nicht angemessen. Für das Rezept reicht es in den meisten Fällen aus, dieses in einer Küchenschublade zu lagern, ohne weitere Sicherheitsmaßnahmen zu treffen.
Auch hier ist jedoch Vorsicht die Mutter der Porzellankiste. Wenn Sie Pizzeria-Besitzer sind, lässt sich die Aufbewahrung des Rezepts im Safe schon eher rechtfertigen.
So wie mit der Pizza ist es auch mit der digitalen Sicherheit. Wir müssen für unser persönliches Risikoempfinden ein akzeptables Schutzniveau finden. Dieses kann je nach individuellen Umständen verschieden sein und muss dementsprechend immer im Einzelfall definiert werden.
Wenn wir über Risiken sprechen, müssen wir zunächst über digitale Bedrohungen sprechen. Diese sind in drei essenzielle Konzepte der digitalen Sicherheit aufgeteilt:
Vertraulichkeit (Confidentiality)
Integrität (Integrity)
Verfügbarkeit (Availability)
Diese drei Konzepte werden auch als CIA-Triade bezeichnet.
Vertraulichkeit ist die Eigenschaft eines Systems, Ihre persönlichen Daten vor fremden Blicken zu schützen. Arbeitet man beispielsweise an einem öffentlichen Ort an einem Laptop und hat keine weiteren Schutzmaßnahmen getroffen, können Menschen, die hinter einem stehen oder sitzen, einfach auf den Rechner schauen und Daten einsehen. Eine nicht-technische Gegenmaßnahme wäre hier eine Sichtschutzfolie (s. Abbildung 1.1). Preislich bewegen sich die Folien im Bereich von 10–50 EUR.
Abbildung 1.1: Die Einsicht auf den Bildschirm ist von der Seite dank der Sichtschutzfolie erheblich schwieriger.
Technisch wird Vertraulichkeit meist über die sogenannte Kryptografie hergestellt. Es wird mithilfe der Kryptografie mathematisch sichergestellt, dass Dritte nicht unberechtigt Einsicht in die Daten erhalten.
Integrität beschreibt die Eigenschaft eines Systems, dass die Daten nicht durch Dritte geändert werden können. Dies wird einerseits erreicht, indem technische Maßnahmen eingesetzt werden, welche nicht erlauben, Daten zu ändern, und Maßnahmen, die eine nicht erlaubte Änderung wieder rückgängig machen. Beispielsweise möchte man einer Freundin 100 Euro überweisen. Mechanismen der Integrität stellen sicher, dass man an die ausgewählte Freundin auch tatsächlich 100 Euro überweist und nicht 150 an eine andere Person. Integrität ist vor allem dann wichtig, wenn die zu schützenden Daten eine Grundlage für andere Entscheidungen darstellen. Beispielhaft zu nennen wären hier zum Beispiel Behandlungen oder Medikamente, die einem Patienten durch einen Arzt verschrieben werden.
Das letzte Schutzziel ist die Verfügbarkeit. Dies beschreibt die Eigenschaft eines Systems, auf Daten zuzugreifen, wenn der Zugriff benötigt wird. Verfügbarkeit kann auch durch analoge Ereignisse, wie zum Beispiel einen Stromausfall, ausgelöst werden. Auch kann eine Verschlüsselung, welche nicht mehr rückgängig zu machen ist, da beispielsweise das Passwort verloren wurde, dazu führen, dass die Verfügbarkeit eingeschränkt ist.
Diese Schutzziele erlauben es uns nun, detaillierter und genauer über Sicherheit sowie die Beeinträchtigung von Sicherheit zu sprechen.
Eine Behörde unserer Stadt fragt Informationen über uns ab. Wir versenden die Informationen über ein Portal, welches über ein nicht gültiges TLS-Zertifikat verfügt (vgl. Kapitel 4 ). Die Vertraulichkeit ist nun beeinträchtigt, da die Dateien während des Hochladens beim Portal nicht verschlüsselt wurden. Dies kann ebenfalls zu einer Manipulation der Integrität führen, wenn ein unberechtigter Dritter die Dateien abfängt, wenn das Dokument nicht zusätzlich qualifiziert signiert wurde. Die Verfügbarkeit der Datei ist nicht beeinträchtigt, da die Originaldatei noch auf dem Rechner liegt und weiterhin nutzbar ist.
Nachdem wir im vorherigen Abschnitt definiert haben, wie wir über die Beeinträchtigung von IT-Sicherheit sprechen wollen und in welchen Dimensionen, wollen wir nun über das Thema Risiko sprechen. Risikomanagement ist grundsätzlich der Prozess, bei dem potenzielle Gefahren und Schwachstellen identifiziert, analysiert und bewertet werden. Aus dieser Analyse werden dann Maßnahmen zum Schutz von Informationen und Systemen abgeleitet. Im ersten Schritt muss alles, was für einen selbst »von Wert« ist, identifiziert werden. Typische Fragen, um Werte und Wertvolles im privaten Bereich zu identifizieren, sind:
Nutze ich digitales Banking?
Habe ich eine E-Mail-Adresse?
Welche Plattformen, Netzwerke und Services sind mit meiner E-Mail-Adresse verknüpft?
Habe ich viele sensible oder wichtige Daten auf meinem Computer gespeichert?
Ist mein Smartphone ein Dreh- und Angelpunkt meiner digitalen Identität?
Nachdem wir die für uns relevanten Werte identifiziert haben, beginnen wir, uns Gedanken über mögliche Bedrohungen zu machen. Diese Bedrohungen können wir mithilfe der CIA-Triade aus dem vorherigen Abschnitt modellieren. Beispielsweise haben wir unser Smartphone als werthaltig identifiziert. Dann können wir folgende Bedrohungen identifizieren:
Vertraulichkeit:
Wenn das Smartphone ungesperrt an einem Ort liegt, sind Daten einsehbar.
Integrität:
Wenn ich in den Systemeinstellungen die »Installation aus Drittquellen« zulasse, kann dies dazu führen, dass ich schadhafte Applikationen auf mein Smartphone lade. Diese könnten andere Apps und in Verbindung stehenden Daten manipulieren.
Verfügbarkeit:
Vergesse ich mein Smartphone, dann bin ich nicht erreichbar und habe keinen unverzüglichen Zugriff auf die Daten auf dem Smartphone.
Im nächsten Schritt bewerten wir die Schwachstellen und die bereits durch uns eingesetzten Gegenmaßnahmen, um herauszufinden, ob diese Bedrohungen tatsächlich relevant sind:
Vertraulichkeit:
Wenn das Smartphone ungesperrt an einem öffentlichen Ort liegt, sind Daten einsehbar.
Die automatische Bildschirmsperre ist aktiviert. Dies ist kein Risiko
.
Integrität:
Wenn ich in den Systemeinstellungen die »Installation aus Drittquellen« zulasse, kann dies dazu führen, dass ich schadhafte Applikationen auf mein Smartphone lade. Diese könnten andere Apps und in Verbindung stehenden Daten manipulieren.
Diese Systemeinstellung ist nicht aktiv. Dies ist kein Risiko
.
Verfügbarkeit:
Vergesse ich mein Smartphone, dann bin ich nicht erreichbar und habe keinen unverzüglichen Zugriff auf die Daten auf dem Smartphone.
Es gibt keine technische Gegenmaßnahme gegen das Vergessen. Dies ist ein Risiko
.
Nun müssen wir das Risiko bestimmen. Es verbleibt ein Risiko im Bereich Verfügbarkeit, da wir das Smartphone immer vergessen können. Nun ist eine Argumentation zu sagen, dass kaum noch Menschen ihr Smartphone vergessen und die Wahrscheinlichkeit gering ist und wir das Risiko daher akzeptieren können. Wenn Sie diese Argumentation nicht mittragen können, da Sie immer Zugriff auf bestimmte Daten benötigen, ist eine weitere Alternative mithilfe eines Kontrollmechanismus, das Risiko zu verlagern. Dieser könnte zum Beispiel sein, dass relevante Daten auf einem Cloud-Speicher abgelegt werden, damit die Daten nicht nur auf dem Smartphone verfügbar sind, sondern theoretisch auf jedem System mit Internetzugang.
Digitales Risikomanagement, die Bedrohungen und auch die Gegenmaßnahmen sind immer im Wandel. Das heißt, es sollten regelmäßig Risikobewertungen und -behandlungsstrategien überprüft und aktualisiert werden, um auf neue Bedrohungen und Veränderungen reagieren zu können.
Nutzen Sie Tage wie den »Ändere dein Passwort-Tag«, um sich zumindest kurz Gedanken über Ihr digitales Risiko zu machen und eventuell Gegenmaßnahmen einzuführen. Dieser Tag ist jährlich am 1. Februar.
Niemand ist perfekt und man wird immer wieder auf Bedrohungen treffen, die nicht mitbedacht wurden. Lassen Sie sich von anderen an der Stelle nicht entmutigen oder mangelnde Kompetenz unterstellen. Sehen Sie das Ganze als Erfahrungsaustausch und evaluieren Sie in Ruhe, ob der Hinweis für Sie anwendbar ist.
Das Erkennen eines Risikos ist in der Rückschau oft einfach. Die wahre Schwierigkeit im Risikomanagement besteht jedoch darin, Bedrohungen und Risiken im Voraus zu erkennen und angemessene Maßnahmen zu ergreifen, um das Risiko zu minimieren.
Risikomanagement ist dabei ein kontinuierlicher Prozess, der Risiken aktiv steuern und kontrollieren soll. Daher sollten Sie den Zyklus in regelmäßigen Abständen wiederholen, um auf neue Risiken oder Bedrohungen zu reagieren. Wenn Sie beispielsweise ein Backup an einem anderen Ort lagern, müsste dieser neue Standort eine Risikoanalyse durchlaufen. Auf diese Weise wird das Rad des Risikomanagements stetig weitergedreht.
Im weiteren Verlauf dieses Buches werden Sie verschiedene Risiken und Gegenmaßnahmen kennenlernen. Beachten Sie bitte: Sie haben vielleicht eine viel besser passende Option für sich persönlich gefunden.
Kapitel 2
IN DIESEM KAPITEL
erfahren Sie alles, was Sie über Passwörter wissen müssenlernen Sie wichtige Eigenschaften von Passwörtern kennenerlernen Sie einfache Tipps und Tricks, um sich sichere Passwörter auszudenken und zu verwaltenBereits Kinder im Kindergarten verwehren einem den Zugang zur Spielhöhle, falls auf Aufforderung nicht das korrekte Passwort genannt wird. Auch wenn die Zugangsbeschränkung nur temporär aufgestellt ist, wer das Passwort nicht kennt, erhält auch keinen Zutritt. Dieser bleibt der elitären Gruppe vorbehalten, die im Besitz des Wissens ist. Wer trotzdem mitspielen möchte, dem bleiben folgende Vorgehensweisen:
Passwörter raten, bis das korrekte gefunden ist
jemanden finden, der einem das Passwort verrät
genau zuhören, wenn jemand ein Passwort nennt und Zugang erhält
versuchen, an der Zugangsbeschränkung auch ohne Passwort vorbeizukommen
Aber was hat das mit der digitalen Sicherheit zu tun? Eine ganze Menge. Die Kinder fragen ein Merkmal ab, um berechtigte von unberechtigten Personen zu unterscheiden. Von diesen Merkmalen gibt es drei unterschiedliche. Wenn Kriminelle den Versuch unternehmen, in Accounts einzudringen, Informationen zu stehlen oder Daten abzufangen, dann sind die Vorgehensweisen die Gleichen – nur eben digital. Im Internet sind zahlreiche Informationen hinter dem Schutz eines Passworts verborgen.
Bei einer Zugangsbeschränkung wird zwischen drei unterschiedlichen Authentifizierungsmerkmalen unterschieden:
Wissen – damit ist das Passwort gemeint. Aber auch eine PIN zählt dazu.Besitz – die zugangsberechtigte Person hat z. B. eine Karte oder ein Token.Merkmal – die Person hat ein Merkmal, an dem sie erkannt werden kann z. B. Fingerabdruck, Iris oder Venenmuster.Das macht das Passwort auch zu einem so schlechten Merkmal. Jemand muss dabei zugucken, zuhören oder es anderweitig abfangen und ist dann eine berechtigte Person, da sie das Passwort besitzt.
Das nutzen Kriminelle ebenso aus wie normale Bürger, Unternehmen und Organisationen. Passwörter finden im Alltag sehr häufig Anwendung – das kleine Geheimnis, das jeder mit sich und für seine Privatsphäre herumträgt.
Ein Passwort entscheidet häufig über die Zugänglichkeit der Informationen. Schwache Passwörter bedeuten auch einen schwachen Schutz der Informationen, Daten und Teilnehmer.