Meine digitale Sicherheit für Dummies - Matteo Grosse-Kampmann - E-Book

Meine digitale Sicherheit für Dummies E-Book

Matteo Große-Kampmann

0,0
17,99 €

-100%
Sammeln Sie Punkte in unserem Gutscheinprogramm und kaufen Sie E-Books und Hörbücher mit bis zu 100% Rabatt.
Mehr erfahren.
Beschreibung

Digital einfach besser geschützt!

Wie Sie Ihre Daten zuhause und im Internet vor Betrügern schützen, vermittelt Ihnen dieses Buch. Sichere Passwörter, Browser, Online-Banking, Schutz Ihres Heimnetzwerks und Ihrer Endgeräte, Backups wichtiger Daten oder deren Wiederherstellung: Leicht verständlich und systematisch lernen Sie, sich digital zu schützen. Sie erfahren, welche menschlichen Eigenschaften Angreifer ausnutzen, um beim Phishing oder anderen Angriffen erfolgreich zu sein. Mit konkreten Schutzmaßnahmen für alle gängigen Betrugsmaschen und technischen Schutzvorkehrungen sind Sie ab sofort gewappnet.

Sie erfahren

  • Alles über zentrale Grundlagen der digitalen Sicherheit
  • Welche Betrugsmaschen es gibt und wie Sie sich schützen
  • Wie Sie Ihre Daten, Ihr Netzwerk und Ihre Endgeräte absichern
  • Wie Sie sich zum Beispiel bei Bankgeschäften online wirklich sicher bewegen

Sie lesen das E-Book in den Legimi-Apps auf:

Android
iOS
von Legimi
zertifizierten E-Readern

Seitenzahl: 373

Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.



Meine digitale Sicherheit für Dummies

Schummelseite

QUICK WINS

Auf dieser Schummelseite finden Sie einfach anzuwendende Tricks für eine erhöhte persönliche Informationssicherheit.

Teilen Sie persönliche Informationen sparsam und bewusst im Internet. Überlegen Sie genau, wo die Angabe Ihres echten Namens wirklich notwendig ist.Seien Sie wachsam bei E-Mails, die zum Download von Dateien oder zur Eingabe von Passwörtern auffordern. Überprüfen Sie die Quelle, bevor Sie handeln.Nutzen Sie verschiedene E-Mail-Adressen für unterschiedliche Zwecke und stellen Sie sicher, dass Sie bei jeder die Passwortwiederherstellung zuverlässig durchführen können. Richten Sie zudem eine separate E-Mail-Adresse für Notfälle ein.Lassen Sie sich nicht hetzen, vor allem nicht beim Surfen oder beim Umgang mit E-Mails. Nehmen Sie sich Zeit, bevor Sie auf Links klicken oder auf Nachrichten reagieren.Sichern Sie jeden Ihrer Accounts durch starke, einzigartige Passwörter (länger als 8 Zeichen, keine simplen Wörter) und aktivieren Sie, wo möglich, die Zwei-Faktor-Authentifizierung. Bewahren Sie Notfallcodes an einem sicheren Ort auf.Überlegen Sie, was zu tun ist, falls Sie Ihr Laptop oder Smartphone verlieren. Priorisieren Sie wichtige Daten und Dokumente und halten Sie einen Notfallplan bereit.Erstellen Sie regelmäßige Backups Ihrer wichtigsten Daten. Sichern Sie Ihre Festplatte in regelmäßigen Abständen, um Datenverlust zu vermeiden.Überwachen Sie Ihre Online-Präsenz, indem Sie regelmäßig Ihren Namen im Internet suchen. Beantragen Sie die Löschung von Inhalten, die ohne Ihre Zustimmung veröffentlicht wurden.

BÖSARTIGE NACHRICHTEN UND LINKS ERKENNEN

Diese Schummelseite soll Ihnen eine schnelle Hilfe beim Erkennen von bösartigen Nachrichten sein!

Seien Sie vorsichtig bei E-Mails von unbekannten Absendern, besonders wenn es um Rechnungen, Zahlungen, Gewinne oder dringende Angelegenheiten geht. Misstrauen ist hier angebracht.Überprüfen Sie die Seriosität des Betreffs in E-Mails. Seien Sie besonders wachsam bei Nachrichten über Rechnungen, Zahlungen oder Gewinne, vor allem, wenn Sie sich an keinen entsprechenden Kauf oder Teilnahme erinnern können.Bei Unsicherheiten über den Inhalt einer E-Mail, verschieben Sie diese in den Junk-Ordner. So verhindern Sie das automatische Nachladen von Bildern oder anderen Inhalten und können die E-Mail sicherer überprüfen.Statt Dateianhänge direkt aus E-Mails herunterzuladen, loggen Sie sich auf der offiziellen Webseite des Anbieters ein und laden Sie die benötigten Dokumente dort herunter, um Sicherheit zu gewährleisten.Achten Sie auf die URL-Struktur: Der erste Punkt vor dem dritten Schrägstrich nach »HTTP(S)« kennzeichnet das Ende der Domain. Der Teil links davon ist die Domain, rechts davon die Top-Level-Domain. Beachten Sie Ausnahmen wie »co.uk« in Großbritannien.Sind Sie nach Bewertung aller vorherigen Punkte immer noch unsicher, ob eine E-Mail vertrauenswürdig ist, öffnen Sie keinesfalls den Anhang. Löschen Sie die E-Mail insbesondere, wenn Anhänge als ».zip« oder Office-Dateien wie ».docx«, ».xlsx« oder ».pptx« formatiert sind.Um bei der Ermittlung von Tätern zu helfen und das Spam- und Phishingaufkommen zu reduzieren, können Sie verdächtige E-Mails ohne Kommentare oder Änderungen an [email protected] weiterleiten. Dies unterstützt die Bekämpfung von Spam und Phishing, ohne dass eine Anzeige erstattet wird.

Meine digitale Sicherheit für Dummies

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

1. Auflage 2024

© 2024 Wiley-VCH GmbH, Weinheim

Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.

Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.

Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.

Coverfoto: © blackboard – stock.adobe.comKorrektur: Isolde Kommer

Print ISBN: 978-3-527-72036-1ePub ISBN: 978-3-527-84102-8

Über die Autoren

Chris Wojzechowski absolvierte eine Ausbildung zum Bürokaufmann und studierte im Anschluss Wirtschaftsinformatik. Er schloss sich ein Studium der Internet-Sicherheit an. Er war im Institut für Internet-Sicherheit verantwortlich für den Bereich Live-Hacking und Awareness und leitete diverse wissenschaftliche Studien. Er ist seit dreizehn Jahren nebenberuflich selbstständig und hat gemeinsam mit Matteo Große-Kampmann die AWARE7 GmbH im Jahr 2019 gegründet und führt diese erfolgreich durch die Höhen und Tiefen der Geschäftswelt.

Prof. Dr.-Ing. Matteo Große-Kampmann ist Professor für Verteilte Systeme an der Hochschule Rhein-Waal. Er ist darüber hinaus Gründer und Geschäftsführer der AWARE7 GmbH. Herr Große-Kampmann hat an der Fakultät Elektrotechnik und Informationstechnik der Ruhr-Universität Bochum und der Westfälischen Hochschule Gelsenkirchen kooperativ promoviert. Herr Große-Kampmann ist Projektkoordinator verschiedener, kompetitiv eingeworbener Forschungsprojekte, welche von der Europäischen Union oder verschiedenen Bundesministerien gefördert werden. Darüber hinaus ist er als Beiratsmitglied, Mentor, Juror und Coach in und an verschiedenen kommunalen, regionalen und internationalen Unternehmen und Veranstaltungen beteiligt.

Matteo Große-Kampmann und Chris Wojzechowski sind gemeinsam seit über fünfzehn Jahren im Bereich Informationssicherheit tätig. Ihre Faszination für digitale Sicherheit und Betrugsmaschen im digitalen Raum haben sie gemeinsam. Sie halten Fachvorträge auf Kongressen, bei Firmenevents, den Verbraucherzentralen und anderen Institutionen und Organisationen. Sie veröffentlichen regelmäßig Forschungsartikel auf weltweit renommierten Konferenzen und stehen regelmäßig in Funk und Fernsehen Rede und Antwort zu aktuellen Fragen der IT-Sicherheit.

Mehr Informationen finden Sie unter https://aware7.com/de.

Inhaltsverzeichnis

Cover

Titelblatt

Impressum

Über die Autoren

Inhaltsverzeichnis

Einleitung

Konventionen in diesem Buch

Symbole, die in diesem Buch verwendet werden

Teil I: Grundlagen der Cybersicherheit

Kapitel 1: Zurück in die Zukunft? Bedrohungen im Wandel der Zeit

Das ARPANET

Eine kurze Geschichte der Schadsoftware

Schadsoftware heutzutage

Wann man sicher ist

Risikomanagement

Der Prozess der Risikoerkennung

Kapitel 2: Alles, was Sie über Passwörter wissen müssen

Passwörter – easy to learn, hard to master

Sicherheitsfragen sind kein Sicherheitsnetz

Mehrfachverwendung von Passwörtern

Methoden zur Erstellung von Passwörtern

Passwort-Manager – ein guter Kompromiss

Wann soll ich und wann muss ich das Passwort wechseln?

Die Zwei-Faktor-Authentifizierung – der zusätzliche Schutz

Passkeys — die modernisierten Passwörter?

Künstliche Intelligenz – eine Bedrohung für das Passwort

Kapitel 3: My home is my castle: Das Heimnetzwerk sicher einrichten

Der Router – die Achillesferse des Heimnetzes

Kabellose Netzwerke richtig absichern

Einrichten und Verwenden von Gastnetzwerken

Geräte neu starten oder gezielt ausschalten gehört zum guten Ton!

Verdacht auf einen erfolgreichen Angriff

Mögliche Beseitigungen von Bedrohungen in einem kompromittierten persönlichen Netzwerk

Ransomware

Kompromittiertes Konto

Aggressive Beseitigung von Bedrohungen in einem gefährdeten persönlichen Netzwerk

Persönliche Netzwerke und Daten schützen

Kapitel 4: Das Tor zum Internet: Browser, aber sicher

Sichere Verbindungen im Browser

Wo Vorsicht geboten ist

Privatsphäre

Das Darknet

DNS-Server ändern für mehr Privatsphäre

Kapitel 5: Sichere Bankgeschäfte im Internet

Einführung in das Online-Banking

Basics für sicheres Online-Banking

Risiken bei der Geldverwaltung aus der Ferne

Grundlegende Sicherheitsmaßnahmen einhalten

Banking-Apps – Fluch oder Segen?

Ihr Notfallplan: Das ist bei einem Betrug sofort zu tun!

Kapitel 6: Kein Backup — kein Mitleid. So sichern Sie Ihre Daten richtig

Warum sind Backups wichtig?

Verschiedene Datensicherungsmethoden

Die 3-2-1-Backup-Regel

Backups von Mobilgeräten

Backups sind nicht kostenlos

Kapitel 7: Ihre Informationen in fremden Händen — Datenlecks

Abfluss von Daten – die Langzeitnachwirkungen

Arten von Datenlecks – absichtliche und unabsichtliche

Anzeichen, dass Sie das Opfer eines Datenlecks geworden sind

Datenlecks – die richtige Prävention

Datenschutzbehörden und Ihre Rechte

Kapitel 8: Endlich Endgeräte absichern und schützen

Bedrohungen für Computersysteme

macOS-Sicherheit

Windows-Sicherheit

Mobile Endgeräte absichern

Teil II: Der Mensch im Fokus

Kapitel 9: Menschliche Sicherheit

Der menschliche Faktor als Sicherheitsrisiko

Der menschliche Faktor als Schlüssel zur Verbesserung der Sicherheit

Gefährliche Selbstgefälligkeit

Häufige Verbesserungspotenziale

Social Engineering und menschliches Verhalten

Sicherheitsbewusstsein und Schulung

Open Source Intelligence und Oversharing

Clean Desk Policy

Security Awareness: Warum traditionelle Ansätze häufig scheitern und wie die Security Awareness Curve Abhilfe schafft

Rolle der Nutzererfahrung (UX) in der digitalen Sicherheit

Ethik und Verantwortung: Ein Blick auf digitale Sicherheit

Ethik in der digitalen Sicherheit

Datenschutz und Privatsphäre

Fallstudien: Der menschliche Faktor in der digitalen Sicherheit

Zukünftige Herausforderungen

Kapitel 10: Phishing-Mails — so erkennen Sie die falsche Nachricht

Phishing — bewährte Tradition von Kriminellen

Der Wurm muss dem Fisch schmecken — erkennen Sie den Köder

Speerfische und wie Sie die Meerbewohner auf Distanz halten

Ein gesundes Maß an Skepsis

Phishing 4.0 — künstliche Intelligenz als Gamechanger

Kapitel 11: Vishing, Smishing, Chishing — die Familie Phishing wird größer

Smishing

Vishing

Chishing – Phishing im Chat

Kapitel 12: Ransomware — wenn der Rechner nur noch kryptisch spricht

Ransomware entmystifiziert: Geschichte, Funktionsweise und Herausforderung

Die Auswirkungen von Ransomware: persönliche und finanzielle Konsequenzen

Folgen eines Identitätsdiebstahls

Infektionswege: So kommt der Schädling auf Ihr System

Schutz vor Ransomware: Das Immunsystem Ihres Systems

Präventive Maßnahmen zur Sicherung des Systems

Notfall: Das ist zu tun, wenn Sie sich infiziert haben!

Teil III: Lug und Betrug im Internet

Kapitel 13: Die Evergreens: Diese Betrugsmaschen gibt es schon ewig

Der Klassiker: Mit Phishing geben Kriminelle vor jemand zu sein, der sie nicht sind!

Erst geben, dann nehmen. Sie geben und der Kriminelle nimmt!

Die falschen Mitarbeiter am Telefon!

Die Liebe im Internet. Ist nicht immer echt!

In letzter Minute das Angebot bekommen und Geld verloren!

Der Traumjob ist nur einen Klick entfernt. Nicht.

Kriminelle schaffen eine Situation, um Sie zu erpressen

Wenn das Finanzamt sich meldet. Und Sie nicht drangehen!

Kapitel 14: One-Hit-Wonder: Auf diese Maschen fallen Sie garantiert nur einmal herein

Der Betrug per Vorkasse

Der falsche Verwandte

Die nicht existierende Wohltätigkeitsorganisation

Der unseriöse Handwerker

Der einzige Shop mit Produkten

Kapitel 15: Die Newcomer: Neue Technologien schaffen neue Betrugsmaschen

Einführung in neue Technologien und Betrug

Künstliche Intelligenz und digitale Sicherheit

Künstliche Intelligenz und Deepfakes

Das Internet der (unsicheren) Dinge?

Blockchain und Kryptowährungsbetrug

Betrugserkennung in neuen Technologien

Zukunft von Betrug und neuen Technologien

Kapitel 16: So bereiten Sie sich auf eine Ausnahmesituation vor

Warum ein Notfallplan wichtig ist

Was wollen die Angreifer?

Sofortmaßnahmen beim Verdacht auf eine Infektion mit Schadsoftware

Vorbereitet zu sein, ist entscheidend

Inhalte für KMUs auch für Privatpersonen sinnvoll

Teil IV: Der Top-Ten-Teil

Kapitel 17: Die 10 Tipps für ein sicheres Internet zu Hause

Priorisieren Sie Ihre Passwörter!

Nur so viel Software wie nötig, stets aktuell!

Behalten Sie persönliche Daten für sich!

Seien Sie auf das Schlimmste vorbereitet — Backup erstellen und sich sicher fühlen!

Lassen Sie einen Wächter auf Ihr System achten — installieren Sie Antivirensoftware!

Bösartige Mails erkennen und Angriffe vermeiden — schließen Sie die Tür vor Angreifern!

Halten Sie Abstand von ungesicherten Websites

Vermeiden Sie öffentliche, ungesicherte Netzwerke

Überprüfen und aktualisieren Sie regelmäßig Ihre Einstellungen

Nutzen Sie ein Virtual Private Network (VPN) für mehr Sicherheit unterwegs!

Kapitel 18: Die Top 10 Betrugsmaschen

Ware existiert nicht, wird aber trotzdem verkauft

Der Dreiecksbetrug — Vorsicht, schwer durchschaubar

Die Stellenanzeige — zu verlockend? Vorsicht ist geboten

Romance Scamming — wenn die digitale Liebe nicht echt ist

Paketbetrug per SMS — ein Klick vom Betrüger entfernt

Einsammeln von Daten — besser nicht ins Netz laufen

Windows-Updates — Return of the Suchleiste

Erpressung in allen Formen und Varianten

Gutscheinbetrug — tausche Plastik gegen Geld

Vorschussbetrug — wenn Geld erst gegen Geld fließt

Kapitel 19: Die Top 10 Tipps im Internet

Anpassung und Aktualisierung des Webbrowsers

Schutz Ihrer Daten durch Verschlüsselung

Erstellung regelmäßiger Sicherungskopien

Einsatz eines Werbeblockers

Vorsicht bei E-Mails und ihren Anhängen

Vorsicht bei Downloads, insbesondere von Programmen

Zurückhaltung bei der Weitergabe persönlicher Daten

Schutz Ihrer Online- und Benutzerkonten durch sichere Passwörter

Erstellung unterschiedlicher Benutzerkonten

Aktualisierung des Betriebssystems und anderer Software

Kapitel 20: Die Top 10 prominenten Datenlecks und was Sie daraus lernen können

Der-Facebook-Datenleak: 500 Millionen Betroffene!

iCloud-Fotoleak: Sensibler geht nimmer!

Fremdgehplattform Ashley Madison. Auweia!

Equifax — Angriff auf US-Schufa

Freedom Hosting II — auch im Darknet ist nichts vor Hackern sicher!

Knuddels Hack im September 2018 — die erste Strafe nach DSGVO

LinkedIn — Datendiebstahl und eingesammelte Daten im großen Stil

Snapchat — Daten vieler Minderjähriger enthalten

Twitter — soziale Netzwerke sind ein beliebtes Ziel

Den Schluss macht der Anfang — MySpace im Jahr 2008!

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Tabellenverzeichnis

Kapitel 2

Tabelle 2.1: Zeiten bis zum erfolgreichen Knacken eines Passworts (

https://aware.

...

Kapitel 10

Tabelle 10.1: Techniken zur Manipulierung von Domains

Illustrationsverzeichnis

Kapitel 1

Abbildung 1.1: Die Einsicht auf den Bildschirm ist von der Seite dank der Sichtsc...

Kapitel 2

Abbildung 2.1: Eine Passwortkarte mit Zufallswerten

Abbildung 2.2: Bei diesem Beispiel haben wir uns ein 28-stelliges, zufälliges Pas...

Abbildung 2.3: Auch wenn KeePass den aktuellen Ansprüchen an eine moderne Benutze...

Abbildung 2.4: Obwohl im Passwort-Manager ein Eintrag für eBay hinterlegt ist, wi...

Abbildung 2.5: Bei großen Anbietern wie z. B. Amazon lassen sich unterschiedliche...

Abbildung 2.6: Nach der Eingabe des Benutzernamens und des Passworts wird nach de...

Abbildung 2.7: Bei zahlreichen Diensten wurde der zweite Faktor über die Aktivier...

Abbildung 2.8: Unter dem Empfänger bzw. Absender AUTHMSG versenden zahlreiche Die...

Abbildung 2.9: Zwei Beispiele für Hardware-Tokens. Das eine ist für die Ver- und ...

Abbildung 2.10: Eine Anfrage an den Chatbot ChatGPT kann ohne jegliche Kenntnisse...

Abbildung 2.11: ChatGPT liefert konkrete Vorschläge zur Ausgestaltung von möglich...

Kapitel 3

Abbildung 3.1: Auch ein Rücken kann entzücken. Wichtige Daten sind auf der Rückse...

Abbildung 3.2: Eine Konfigurationsseite eines Routers

Abbildung 3.3: Die Eingabeaufforderung lässt sich ganz unkompliziert über die Suc...

Abbildung 3.4: Die Eingabeaufforderung schreckt viele ab. Dabei lassen sich hierü...

Abbildung 3.5: Mit dem Befehl »ipconfig« bekommen wir die für uns so wichtige IP-...

Abbildung 3.6: Der Hinweis, dass die Webseite nicht erreichbar ist, zeigt Ihnen, ...

Abbildung 3.7: So oder so ähnlich muss das Login-Portal für die Fritz Box sein.

Abbildung 3.8: Die Oberfläche von AVM ist übersichtlich. Das Passwort zu ändern, ...

Abbildung 3.9: Die Oberfläche von AVM ist übersichtlich. Das Passwort zu ändern, ...

Abbildung 3.10: Der WLAN-Gastzugang ist erst aktiv, wenn auch das WLAN eingeschal...

Abbildung 3.11: Ändern Sie den Namen des Gastnetzwerks und setzen Sie einen siche...

Abbildung 3.12: Mehrere virtuelle Local Area Networks (LANs) im Einsatz. Je nach ...

Abbildung 3.13: Die Zeitschaltung der WLAN-Umgebung ist einfach im Seitenmenü zu ...

Kapitel 4

Abbildung 4.1: Eine Webseite, aufgerufen mit dem Webbrowser Google Chrome

Abbildung 4.2: Updateseite von Microsoft Edge

Abbildung 4.3: Der Browser baut eine sichere Verbindung zur Webseite aware7.com a...

Abbildung 4.4: Der Browser baut keine sichere Verbindung zur Webseite

franken-log

...

Abbildung 4.5: Der Inkognito-Browser sorgt keineswegs dafür, dass man anonym im I...

Abbildung 4.6: Die Einstellung im Browser lässt sich so einstellen, dass sogenann...

Abbildung 4.7: In der Mail-App von macOS erscheint bei Mails, die von einem Newsl...

Abbildung 4.8: Der Darknet- bzw. Tor-Browser kann einfach kostenfrei heruntergela...

Abbildung 4.9: Die lange Variante der Darknet-Internetadresse von Facebook

Abbildung 4.10: Einstellungen zum DNS-Server können unkompliziert in den Systemei...

Kapitel 5

Abbildung 5.1: Eine angebliche SMS von der Volksbank. Dabei wird keine konkrete B...

Abbildung 5.2: Es gib keinen 100 %-igen Schutz. Aus diesem Grund sollte sich jede...

Kapitel 6

Abbildung 6.1: Ransombildschirm von Wannacry

Abbildung 6.2: Auf dem Bild ist ein Ausschnitt der Stadt Gelsenkirchen zu sehen. ...

Abbildung 6.3: Duplicati ist eine freie Software mit vielen Vorteilen. Die Softwa...

Abbildung 6.4: Wer die bereitgestellten Funktionen von Duplicati nutzt, hat die M...

Abbildung 6.5: Time Machine unter macOS ist ein sehr mächtiges Werkzeug zur Wiede...

Abbildung 6.6: Diese Anzeige bekommen Sie präsentiert, wenn Ihr macOS-System kein...

Abbildung 6.7: Die Dauer der Erstellung des Backups wird Ihnen fortlaufend angeze...

Abbildung 6.8: Sobald der Punkt »Time Machine-Backups durchsuchen« angeklickt wur...

Abbildung 6.9: Die Einstellung für die Anfertigung von Backups unter Windows läss...

Abbildung 6.10: Mit einer Windows-Sicherung können gängige Einstellungen und Apps...

Abbildung 6.11: Ungewohnt, aber auf dem richtigen Weg zur Erstellung einer vollst...

Abbildung 6.12: Um einen Wiederherstellungspunkt erstellen zu können, müssen wir ...

Abbildung 6.13: Bei der Benennung des Backups sollte das Datum in einer beliebige...

Abbildung 6.14: Die Erstellung des Wiederherstellungspunktes wird mit einem kurze...

Abbildung 6.15: Die Anzahl der möglichen Wiederherstellungspunkte ist klar nach D...

Abbildung 6.16: Die Anzahl der möglichen Wiederherstellungspunkte ist klar nach D...

Abbildung 6.17: Bevor der Wiederherstellungsprozess gestartet werden kann, muss e...

Abbildung 6.18: Jetzt kann nur noch abgewartet werden. Der Computer sollte nicht ...

Abbildung 6.19: Dieser Text grüßt Sie, nachdem Sie erfolgreich ein System zurückg...

Kapitel 7

Abbildung 7.1: Der Datendiebstahl der Hacker-Gruppierung ist seit mehr als 10 Jah...

Abbildung 7.2: Heise investigativ stellt zwei Möglichkeiten für Whistleblower ber...

Abbildung 7.3: Der sichere Datei-Drop von Heise ist über das Darknet erreichbar u...

Abbildung 7.4: Die Oberfläche von Identity Leak Checker ist verständlich und einf...

Abbildung 7.5: Um die Information über die Betroffenheit in einem Datendiebstahl ...

Abbildung 7.6: Das Ergebnis einer Abfrage der E-Mail-Adresse »chris@wojzechowski....

Abbildung 7.7: HIBP ist eine sehr minimalistische Webseite. Das Logo und das Such...

Abbildung 7.8: Sobald die Suche ausgelöst wird, erhalten Sie sofort das Ergebnis....

Abbildung 7.9: Die Anzeige unter dem Suchfeld erscheint in Rot, sobald Treffer ve...

Abbildung 7.10: Mein zweiter Vorname ist natürlich nicht »Otto«. Dies ist ledigli...

Abbildung 7.11: Ein Private-Relay können Abonnenten von iCloud+ in Anspruch nehme...

Kapitel 8

Abbildung 8.1: Bei der Man-in-the-Middle-Attacke schleicht sich ein Krimineller u...

Abbildung 8.2: Ein Captive-Portal, welches auf einer Konferenz eingesetzt wurde

Abbildung 8.3: Zero-Day-Exploits finden am Markt einen Abnehmer. Für kritische Si...

Abbildung 8.4: Für Laien schwierig zu erkennen. Aber die offizielle Webseite von ...

Abbildung 8.5: Auch diese Webseite soll den Eindruck erwecken, es handle sich um ...

Abbildung 8.6: macOS-Updates automatisch durchführen

Kapitel 9

Abbildung 9.1: Die Autoren stellen Shoulder Surfing nach (ca. 2016).

Abbildung 9.2: Der angreifende Autor erkennt die PIN-Eingabe genau.

Kapitel 10

Abbildung 10.1: DMARC-Richtlinie

Abbildung 10.2: DMARC-Richtlinie

Kapitel 12

Abbildung 12.1: Media Markt berichtet über technische Störungen aufgrund einer er...

Abbildung 12.2: Verschlüsselungsbildschirm des AIDS-Trojaners

Abbildung 12.3: Eine Ransomnote der Gruppe Bit paymer

Abbildung 12.4: Ein Beispiel für eine Readme-Datei nach der Infizierung durch ein...

Kapitel 13

Abbildung 13.1: Im Namen von zahlreichen Banken versenden Kriminelle tagtäglich T...

Abbildung 13.2: Manche Anschreiben sind klüger gestaltet und manche etwas plump. ...

Abbildung 13.3: Beim Surfen erscheint plötzlich eine Warnmeldung. Eigentlich ist ...

Abbildung 13.4: Eine Anfrage mit Links, die vor allem männliche Empfänger zum Kli...

Abbildung 13.5: Als »Currency Exchange Service« wird die Stelle angepriesen. Alle...

Abbildung 13.6: Wenn eine Ransomware sich erfolgreich auf Ihrem System ausgebreit...

Kapitel 14

Abbildung 14.1: Der Betrug per WhatsApp beginnt fast immer mit der Ankündigung, d...

Abbildung 14.2: Nach dem Schlagwort »Gesponsert« sollte Ausschau gehalten werden....

Kapitel 15

Abbildung 15.1: Typisches Beispiel einer aktuellen Betrugsmail, bei der über das ...

Abbildung 15.2: Sextortion-Mail

Abbildung 15.3: Ein Kamerastream, welcher über Shodan einsehbar ist, da die Kamer...

Kapitel 18

Abbildung 18.1: SMS zum Paketbetrug

Abbildung 18.2: Sextortion-Mail

Kapitel 20

Abbildung 20.1: Aktivierte und deaktivierte Einstellungen im iCloud-Account

Abbildung 20.2: Erweiterter Datenschutz beim iPhone

Abbildung 20.3: Das Datenleck von Ashley Madison bei Have I been Pwned

Abbildung 20.4: Wie kompliziert ist die Abmeldung von Webseiten? Cyberpflege klär...

Orientierungspunkte

Cover

Titelblatt

Impressum

Über die Autoren

Inhaltsverzeichnis

Einleitung

Fangen Sie an zu lesen

Abbildungsverzeichnis

Stichwortverzeichnis

End User License Agreement

Seitenliste

1

2

5

6

7

21

23

24

25

26

27

28

29

30

31

32

33

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

209

210

211

212

213

214

215

216

217

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

279

280

281

282

285

286

287

Einleitung

Konventionen in diesem Buch

Bevor Sie sich auf die zahlreichen Tipps und Tricks in diesem Buch stürzen, sollten Sie folgende Hinweise lesen:

Alle Links, die Sie in diesem Buch finden werden, sind nach dem gleichen Prinzip aufgebaut: https://aware.link/00000.

Wir benutzen einen sogenannten Link-Verkürzungsdienst. Dieser hilft uns alle Links im Buch aktuell zu halten - auch wenn das Buch bereits gedruckt ist. Denn Webseiten ändern sich regelmäßig oder sind nicht mehr verfügbar. Alle Links sind durch uns manuell geprüft und stellen kein Risiko dar. Sollte ein Link wider Erwarten nicht funktionieren, schreiben Sie uns gerne eine E-Mail an [email protected] mit dem Betreff »MDSTT Link« 

Sie können das Buch am Stück, kapitelweise oder nur bei Bedarf lesen.

Symbole, die in diesem Buch verwendet werden

Unter diesem Zeichen finden Sie kleine Tipps und Tricks, die wir als praktisch empfinden und die Ihnen weiterhelfen können. In kleinen Häppchen serviert.

Unter diesem Symbol finden Sie tiefergehende Informationen zu einem bestimmten Thema. Sie müssen diese Abschnitte nicht lesen, allerdings sind die meisten Abschnitte so interessant, dass es sich lohnt.

Aufpassen! Bei diesem Symbol ist Vorsicht geboten und wir empfehlen Ihnen besonders aufmerksam an diesen Stellen zu sein.

Unter diesem Symbol finden Sie Beispiele und mehr. Oft werden unter diesem Symbol Geschichten zur Verdeutlichung eines Sachverhalts beschrieben, teilweise aus unserer beruflichen Praxis, teilweise aus privaten Erfahrungen.

Teil I

Grundlagen der Cybersicherheit

IN DIESEM TEIL…

Geschichte und Bedrohungen des Internets Entstehung von SchadsoftwareSicherheit und RisikomanagementPasswortsicherheit Herausforderungen und LösungenZwei-Faktor-AuthentifizierungRolle der künstlichen IntelligenzSichere Heimnetzwerke Einrichten von LAN und WLANRolle des RoutersSicherheitsbedrohungenSichere Internetbrowser Wichtige Browser und StatistikenSichere VerbindungenUmgang mit Cookies und TrackernSicherheit im Online-Banking Grundlagen und RisikenSicherheitsmaßnahmen und AngriffsartenTAN-Verfahren und Banking-AppsWichtigkeit von Backups Schutz vor Hardwareausfällen und menschlichen Fehlern3-2-1-Backup-RegelBackups von MobilgerätenDatenlecks LangzeitnachwirkungenVerschiedene Arten und AnzeichenPrävention und Reduzierung des digitalen FußabdrucksAbsicherung von Endgeräten Bedrohungen für ComputersystemeRansomware auf dem MacSicherheit von macOS und Windows

Kapitel 1

Zurück in die Zukunft? Bedrohungen im Wandel der Zeit

IN DIESEM KAPITEL

erfahren Sie etwas über Gefahren im Internetlernen Sie grundlegende Maßnahmen für mehr digitale Sicherheit kennenlernen Sie die Grundzüge der Risikoeinschätzung kennen

Digitale Bedrohungen haben in den letzten Jahrzehnten rapide zugenommen und sind zu einer ernsthaften Gefahr für Unternehmen, Organisationen und Einzelpersonen weltweit geworden. Die Bedrohungen reichen von Viren und Malware bis hin zu Phishing und Ransomware und haben sich im Laufe der Zeit ständig weiterentwickelt und verändert.

Die Geschichte des Internets

Die ersten Schritte in Richtung einer vernetzten Welt gab es in den 1960er-Jahren, als das amerikanische Verteidigungsministerium mit der Entwicklung des »Advanced Research Projects Agency Network (ARPANET)« begann. 1969 wurde das erste Datenpaket der Welt zwischen der University of California, Los Angeles (UCLA) und der Stanford University ausgetauscht.

Doch bis das Internet annähernd die Form hatte, wie wir sie heute kennen, sollten noch Jahrzehnte vergehen. So gab es beispielsweise Anfang 1994 ungefähr 700 Internetseiten. Heutzutage gibt es allein 172 Millionen ».com«- und ».net«-Domains (Stand: 25.03.2023).

Das ARPANET

Das World Wide Web ist zweifellos eine der bahnbrechendsten Innovationen im Bereich der Informationsvermittlung. Es hat eine so signifikante Auswirkung auf unseren Alltag, dass man es oft mit der Erfindung des Druckens vergleicht. Bevor das Internet jedoch zu einem praktischen Werkzeug wurde, mussten zahlreiche Grundlagen gelegt werden. Dabei sticht das ARPANET als einer der Wegbereiter des Internets hervor.

ARPANET, die Kurzform für »Advanced Research Projects Agency Network«, entstand durch die Zusammenarbeit des MIT und des US-Verteidigungsministeriums. Das Hauptziel war die Verknüpfung amerikanischer Universitäten, die für das Verteidigungsministerium forschen. Im Jahr 1969 wurden das Stanford Research Institute, die University of Utah, die University of California, Los Angeles und die University of California, Santa Barbara, miteinander vernetzt. Am 29. Oktober 1969 um 22:30 Uhr Ortszeit wurde die erste Verbindung von Host zu Host zwischen dem Stanford Research Institute und der University of California, Los Angeles, aufgebaut. Der erste Befehl »login« wurde gesendet, allerdings brach der Host-Computer während der Eingabe der ersten beiden Buchstaben zusammen, sodass die ersten übertragenen Buchstaben »lo« waren. Ab 1970 wurde die Kommunikation durch das Network Control Protocol sichergestellt.

Bis zum 5. Dezember 1969 wurden alle vier Universitäten durch das Netzwerk miteinander verbunden. Seitdem wuchs das ARPANET kontinuierlich auf 213 Hosts bis 1981 mit einem durchschnittlichen Wachstum von einem neuen Host alle 20 Tage. Im Jahr 1971 wurde das ARPANET für den Betrieb freigegeben. Am 1. Januar 1983 wurde das bisher verwendete Kommunikationsprotokoll durch TCP ersetzt. Wer an der gesamten Geschichte des Internets interessiert ist, dem sei die aufschlussreiche Zusammenfassung der Internet Society »A Brief History of the Internet« empfohlen (https://aware.link/00101).

Das ARPANET nutzte viele technologische Neuerungen, die mittlerweile zum Standard geworden sind. Für das Netzwerk wurden speziell Telnet und das File Transfer Protocol (FTP) entwickelt und bis 1973 implementiert. Telnet ermöglichte Client-Server-Verbindungen basierend auf einem zeichenorientierten Datenaustausch. Heutzutage wird SSH als Alternative zum unverschlüsselten Telnet verwendet. Auch FTP, das die Dateiübertragung zwischen Clients und Servern ermöglicht, legte einen wichtigen Grundstein in Bezug auf Protokolle. FTP wird noch häufig genutzt, oft in der verschlüsselten Version als Secure File Transfer Protocol (SFTP).

Die paketorientierte Kommunikation war ebenfalls eine neuartige und heute unverzichtbare Entwicklung. Obwohl die Paketvermittlung das Risiko des Paketverlusts birgt, bietet sie immense Vorteile, wie beispielsweise die gleichzeitige Nutzung der verfügbaren Leitungen durch mehrere Nutzer.

Mit der Entwicklung des neuen Netzwerks NSFNET, das Supercomputer und Wissenschaftler verband, kam das ARPANET-Projekt Ende der 1980er-Jahre zum Abschluss. Am 28. Februar 1990 wurde das ARPANET stillgelegt, einige Hosts wurden noch bis Juli 1990 betrieben. Vinton Cerf, eine der treibenden Kräfte hinter dem Projekt, verfasste zum Anlass der Stilllegung das »Requiem of the ARPANET«:

It was the first, and being first, was best,

but now we lay it down to ever rest.

Now pause with me a moment, shed some tears.

For auld lang syne, for love, for years and years

of faithful service, duty done, I weep.

Lay down thy packet, now, O friend, and sleep.

Vinton Cerf (gesamtes Requiem abrufbar bei https://aware.link/00102)

Es steht außer Frage, dass die Entwicklung des ARPANETs viele Protokolle hervorgebracht hat, die heute unverzichtbare Bestandteile aktueller Verfahren sind.

Creeper – die erste Malware

Bereits im ARPANET gab es erste Computerviren, welche die Geschichte des ARPANETs und die Computergeschichte allgemein geprägt haben. Die Rede ist von Creeper und Reaper.

Creeper

Creeper, entwickelt von Bob Thomas im Jahr 1971, gilt als der erste Computerwurm. Thomas wollte herausfinden, ob es möglich ist, ein replizierendes Programm zu schreiben, und setzte es aufgrund eines Fehlers im Firmennetzwerk frei. Es war nicht bösartig und hatte lediglich die Aufgabe, von Maschine zu Maschine zu springen und dabei die folgende Nachricht zu hinterlassen:

I’m the creeper, catch me if you can!

Creeper war nicht dazu ausgelegt, Schaden zu verursachen oder Daten zu stehlen. Der harmlose Wurm erwies sich aber nach kurzer Zeit als extrem lästig, da immer wieder die oben genannte Nachricht auf dem Bildschirm erschien.

Reaper

Die Antwort auf Creeper war Reaper, ein Programm, welches als erstes Anti-Virus-Programm der Geschichte gilt. Entwickelt von Ray Tomlinson hatte Reaper nur eine einzige Aufgabe: Creeper zu finden und zu löschen. Reaper hat damit den Grundstein für zukünftige Anti-Malware- und Anti-Virus-Programme gelegt, indem es demonstriert, dass schädliche oder störende Programme automatisch gefunden und beseitigt werden können. Dabei hatte Reaper selbst auch Eigenschaften eines Netzwerkwurms.

Eine kurze Geschichte der Schadsoftware

In den frühen Tagen des Internets waren Computer und Netzwerke nicht so verbreitet wie heute, und es gab nur wenige Bedrohungen, die auf Computer abzielten. Lange Zeit ging es bei Angriffen auf Computersysteme auch ausschließlich um technische Angriffe und es wurde vor allem Schadsoftware geschrieben. Wenn Schadsoftware geschrieben wurde, dann wurde sie häufig nur verbreitet um der Verbreitung willen. Das erste Computervirus auf der Welt verbreitete sich über »Disketten«, wurde im Jahr 1981 entdeckt und hieß »Elk Cloner«. Elk Cloner hatte es nur auf Apple-Computer abgesehen. Das Programm verbreitete sich selbstständig und richtete keinen direkten Schaden an den Geräten an. Für die Nutzenden war das Virus dennoch störend, da sich der Bildschirminhalt löschte und der folgende Text erschien, der erst nach einem Neustart des Computers entfernt wurde:

ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES IT’S CLONER!

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM TOO

SEND IN THE CLONER!

Das erste Schadprogramm, das als digitale Pandemie bezeichnet werden kann, war »ILOVEYOU«. Es wurde von einem philippinischen Informatikstudenten entwickelt und verbreitete sich im Mai 2000 extrem schnell über das gesamte Internet. Dieses Schadprogramm wird als E-Mail-Wurm bezeichnet. Nutzende, die auf den Anhang einer infizierten Mail klickten, schickten diese Nachricht an ihr gesamtes Adressbuch weiter. Das dadurch deutlich erhöhte Aufkommen an E-Mails konnten die damaligen E-Mail-Server nicht bewältigen, und sie stürzten ab.

Der Fokus lag also gerade zu Beginn des Internets hauptsächlich auf Viren und Würmern, die darauf abzielten, Computer zu infizieren, zu verlangsamen oder zu zerstören. Diese Bedrohungen wurden hauptsächlich von Hackern entwickelt, die entweder die Grenzen der digitalen Welt ausloten oder Chaos stiften wollten.

Schadsoftware heutzutage

Mit der zunehmenden Verbreitung des Internets und der damit verbundenen Technologien wie Smartphones und anderen vernetzten Geräten hat sich das Bedrohungsszenario jedoch dramatisch verändert.

Mit vernetzten Geräten sind an dieser Stelle Geräte aus dem »Internet der Dinge« gemeint. Dies können verschiedene Geräte sein, die eine Netzwerkverbindung haben, zum Beispiel Kühlschränke, Kaffeemaschinen oder Kinderspielzeug.

Heute gibt es eine Vielzahl von Bedrohungen, die darauf abzielen, persönliche Daten zu stehlen, Finanzbetrug zu begehen oder Unternehmen zu erpressen. Phishing und andere Angriffe, die nicht die Technologie, sondern den Menschen, der die Technologie bedient, angreifen, sind zu einer der größten Bedrohungen geworden. Betrüger verwenden gefälschte E-Mails, SMS oder Social-Media-Beiträge, um ihre Opfer dazu zu bringen, persönliche Daten oder Passwörter preiszugeben. Besonders perfide sind E-Mails mit einem Dateianhang, welche im Rahmen von Ransomware-Kampagnen versendet werden. Diese Ransomware geht häufig so vor, dass sie versucht, weitere Systeme im Netzwerk zu übernehmen, Daten von diesen Systemen stiehlt und im Anschluss alles verschlüsselt und dann ein Lösegeld einfordert. Näheres zu dieser Art von Angriffen erfahren Sie in Kapitel 12 .

Wenn Sie in einer Organisation oder einem Unternehmen arbeiten, ist es die Aufgabe der dortigen IT-Abteilung, die Auswirkungen von Phishing oder von schadhaften Dateianhängen zu minimieren und beispielsweise Back-up-Konzepte oder Notfallpläne vorzuhalten. Für Sie als Privatperson sind jedoch nur Sie selbst verantwortlich und wir werden Ihnen im Laufe dieses Buches das nötige Handwerkszeug an die Hand geben, um sich selbst zu schützen und die Auswirkungen eines Cyberangriffs zu minimieren.

Die digitale Bedrohungslandschaft ist also ständig im Wandel, und es ist wichtig, dass Unternehmen und Einzelpersonen sich auf dem neuesten Stand halten, um sich vor Bedrohungen zu schützen. Dazu gehören regelmäßige Software-Updates, starke Passwörter und der Einsatz von Sicherheitssoftware wie Antivirus-Programmen und Firewalls. Eine frühzeitige Erkennung von Bedrohungen und eine schnelle Reaktion sind der beste Weg, um digitale Bedrohungen zu minimieren und zu verhindern, dass sie sich zu ernsthaften Problemen entwickeln. Darüber hinaus kann es helfen, wenn Sie Informationen über aktuelle Betrugsmaschen kennen und auf dem Schirm haben. An dieser Stelle haben Sie mit dem Kauf dieses Buches schon einen Schritt in die richtige Richtung gemacht.

Wann man sicher ist

Der IT-Sicherheitsexperte Eugene Spafford sagt, dass das einzig sichere System eines ist, welches »nicht am Strom hängt, in Beton gegossen wurde und in einem mit Blei verkleideten Raum aufgestellt ist«. Ein solches System ist natürlich sicher, allerdings hat es auch eine sehr eingeschränkte Funktionalität und Nutzbarkeit. Dies ist das Dilemma, in dem sich die digitale Sicherheit heutzutage befindet. Mit jedem Schritt an zusätzlicher Sicherheit werden Systeme meist unkomfortabler in Bezug auf ihre Nutzbarkeit und die Produktivität. Darüber hinaus muss auch immer in Betracht gezogen werden, dass eine Sicherheitsmaßnahme »angemessen« sein muss.

Das geheime Lieblingsrezept für einen sehr fluffigen Pizzateig kann in einem bewachten, hermetisch abgeriegelten Gebäude in einem extra bewachten Safe lagern. Allerdings ist dies vermutlich nicht angemessen. Für das Rezept reicht es in den meisten Fällen aus, dieses in einer Küchenschublade zu lagern, ohne weitere Sicherheitsmaßnahmen zu treffen.

Auch hier ist jedoch Vorsicht die Mutter der Porzellankiste. Wenn Sie Pizzeria-Besitzer sind, lässt sich die Aufbewahrung des Rezepts im Safe schon eher rechtfertigen.

So wie mit der Pizza ist es auch mit der digitalen Sicherheit. Wir müssen für unser persönliches Risikoempfinden ein akzeptables Schutzniveau finden. Dieses kann je nach individuellen Umständen verschieden sein und muss dementsprechend immer im Einzelfall definiert werden.

Wenn wir über Risiken sprechen, müssen wir zunächst über digitale Bedrohungen sprechen. Diese sind in drei essenzielle Konzepte der digitalen Sicherheit aufgeteilt:

Vertraulichkeit (Confidentiality)

Integrität (Integrity)

Verfügbarkeit (Availability)

Diese drei Konzepte werden auch als CIA-Triade bezeichnet.

Vertraulichkeit

Vertraulichkeit ist die Eigenschaft eines Systems, Ihre persönlichen Daten vor fremden Blicken zu schützen. Arbeitet man beispielsweise an einem öffentlichen Ort an einem Laptop und hat keine weiteren Schutzmaßnahmen getroffen, können Menschen, die hinter einem stehen oder sitzen, einfach auf den Rechner schauen und Daten einsehen. Eine nicht-technische Gegenmaßnahme wäre hier eine Sichtschutzfolie (s. Abbildung 1.1). Preislich bewegen sich die Folien im Bereich von 10–50 EUR.

Abbildung 1.1: Die Einsicht auf den Bildschirm ist von der Seite dank der Sichtschutzfolie erheblich schwieriger.

Technisch wird Vertraulichkeit meist über die sogenannte Kryptografie hergestellt. Es wird mithilfe der Kryptografie mathematisch sichergestellt, dass Dritte nicht unberechtigt Einsicht in die Daten erhalten.

Integrität

Integrität beschreibt die Eigenschaft eines Systems, dass die Daten nicht durch Dritte geändert werden können. Dies wird einerseits erreicht, indem technische Maßnahmen eingesetzt werden, welche nicht erlauben, Daten zu ändern, und Maßnahmen, die eine nicht erlaubte Änderung wieder rückgängig machen. Beispielsweise möchte man einer Freundin 100 Euro überweisen. Mechanismen der Integrität stellen sicher, dass man an die ausgewählte Freundin auch tatsächlich 100 Euro überweist und nicht 150 an eine andere Person. Integrität ist vor allem dann wichtig, wenn die zu schützenden Daten eine Grundlage für andere Entscheidungen darstellen. Beispielhaft zu nennen wären hier zum Beispiel Behandlungen oder Medikamente, die einem Patienten durch einen Arzt verschrieben werden.

Verfügbarkeit

Das letzte Schutzziel ist die Verfügbarkeit. Dies beschreibt die Eigenschaft eines Systems, auf Daten zuzugreifen, wenn der Zugriff benötigt wird. Verfügbarkeit kann auch durch analoge Ereignisse, wie zum Beispiel einen Stromausfall, ausgelöst werden. Auch kann eine Verschlüsselung, welche nicht mehr rückgängig zu machen ist, da beispielsweise das Passwort verloren wurde, dazu führen, dass die Verfügbarkeit eingeschränkt ist.

Diese Schutzziele erlauben es uns nun, detaillierter und genauer über Sicherheit sowie die Beeinträchtigung von Sicherheit zu sprechen.

Eine Behörde unserer Stadt fragt Informationen über uns ab. Wir versenden die Informationen über ein Portal, welches über ein nicht gültiges TLS-Zertifikat verfügt (vgl. Kapitel 4 ). Die Vertraulichkeit ist nun beeinträchtigt, da die Dateien während des Hochladens beim Portal nicht verschlüsselt wurden. Dies kann ebenfalls zu einer Manipulation der Integrität führen, wenn ein unberechtigter Dritter die Dateien abfängt, wenn das Dokument nicht zusätzlich qualifiziert signiert wurde. Die Verfügbarkeit der Datei ist nicht beeinträchtigt, da die Originaldatei noch auf dem Rechner liegt und weiterhin nutzbar ist.

Risikomanagement

Nachdem wir im vorherigen Abschnitt definiert haben, wie wir über die Beeinträchtigung von IT-Sicherheit sprechen wollen und in welchen Dimensionen, wollen wir nun über das Thema Risiko sprechen. Risikomanagement ist grundsätzlich der Prozess, bei dem potenzielle Gefahren und Schwachstellen identifiziert, analysiert und bewertet werden. Aus dieser Analyse werden dann Maßnahmen zum Schutz von Informationen und Systemen abgeleitet. Im ersten Schritt muss alles, was für einen selbst »von Wert« ist, identifiziert werden. Typische Fragen, um Werte und Wertvolles im privaten Bereich zu identifizieren, sind:

Nutze ich digitales Banking?

Habe ich eine E-Mail-Adresse?

Welche Plattformen, Netzwerke und Services sind mit meiner E-Mail-Adresse verknüpft?

Habe ich viele sensible oder wichtige Daten auf meinem Computer gespeichert?

Ist mein Smartphone ein Dreh- und Angelpunkt meiner digitalen Identität?

Nachdem wir die für uns relevanten Werte identifiziert haben, beginnen wir, uns Gedanken über mögliche Bedrohungen zu machen. Diese Bedrohungen können wir mithilfe der CIA-Triade aus dem vorherigen Abschnitt modellieren. Beispielsweise haben wir unser Smartphone als werthaltig identifiziert. Dann können wir folgende Bedrohungen identifizieren:

Vertraulichkeit:

Wenn das Smartphone ungesperrt an einem Ort liegt, sind Daten einsehbar.

Integrität:

Wenn ich in den Systemeinstellungen die »Installation aus Drittquellen« zulasse, kann dies dazu führen, dass ich schadhafte Applikationen auf mein Smartphone lade. Diese könnten andere Apps und in Verbindung stehenden Daten manipulieren.

Verfügbarkeit:

Vergesse ich mein Smartphone, dann bin ich nicht erreichbar und habe keinen unverzüglichen Zugriff auf die Daten auf dem Smartphone.

Im nächsten Schritt bewerten wir die Schwachstellen und die bereits durch uns eingesetzten Gegenmaßnahmen, um herauszufinden, ob diese Bedrohungen tatsächlich relevant sind:

Vertraulichkeit:

Wenn das Smartphone ungesperrt an einem öffentlichen Ort liegt, sind Daten einsehbar.

Die automatische Bildschirmsperre ist aktiviert. Dies ist kein Risiko

.

Integrität:

Wenn ich in den Systemeinstellungen die »Installation aus Drittquellen« zulasse, kann dies dazu führen, dass ich schadhafte Applikationen auf mein Smartphone lade. Diese könnten andere Apps und in Verbindung stehenden Daten manipulieren.

Diese Systemeinstellung ist nicht aktiv. Dies ist kein Risiko

.

Verfügbarkeit:

Vergesse ich mein Smartphone, dann bin ich nicht erreichbar und habe keinen unverzüglichen Zugriff auf die Daten auf dem Smartphone.

Es gibt keine technische Gegenmaßnahme gegen das Vergessen. Dies ist ein Risiko

.

Nun müssen wir das Risiko bestimmen. Es verbleibt ein Risiko im Bereich Verfügbarkeit, da wir das Smartphone immer vergessen können. Nun ist eine Argumentation zu sagen, dass kaum noch Menschen ihr Smartphone vergessen und die Wahrscheinlichkeit gering ist und wir das Risiko daher akzeptieren können. Wenn Sie diese Argumentation nicht mittragen können, da Sie immer Zugriff auf bestimmte Daten benötigen, ist eine weitere Alternative mithilfe eines Kontrollmechanismus, das Risiko zu verlagern. Dieser könnte zum Beispiel sein, dass relevante Daten auf einem Cloud-Speicher abgelegt werden, damit die Daten nicht nur auf dem Smartphone verfügbar sind, sondern theoretisch auf jedem System mit Internetzugang.

Digitales Risikomanagement, die Bedrohungen und auch die Gegenmaßnahmen sind immer im Wandel. Das heißt, es sollten regelmäßig Risikobewertungen und -behandlungsstrategien überprüft und aktualisiert werden, um auf neue Bedrohungen und Veränderungen reagieren zu können.

Nutzen Sie Tage wie den »Ändere dein Passwort-Tag«, um sich zumindest kurz Gedanken über Ihr digitales Risiko zu machen und eventuell Gegenmaßnahmen einzuführen. Dieser Tag ist jährlich am 1. Februar.

Niemand ist perfekt und man wird immer wieder auf Bedrohungen treffen, die nicht mitbedacht wurden. Lassen Sie sich von anderen an der Stelle nicht entmutigen oder mangelnde Kompetenz unterstellen. Sehen Sie das Ganze als Erfahrungsaustausch und evaluieren Sie in Ruhe, ob der Hinweis für Sie anwendbar ist.

Der Prozess der Risikoerkennung

Das Erkennen eines Risikos ist in der Rückschau oft einfach. Die wahre Schwierigkeit im Risikomanagement besteht jedoch darin, Bedrohungen und Risiken im Voraus zu erkennen und angemessene Maßnahmen zu ergreifen, um das Risiko zu minimieren.

Risikomanagement ist dabei ein kontinuierlicher Prozess, der Risiken aktiv steuern und kontrollieren soll. Daher sollten Sie den Zyklus in regelmäßigen Abständen wiederholen, um auf neue Risiken oder Bedrohungen zu reagieren. Wenn Sie beispielsweise ein Backup an einem anderen Ort lagern, müsste dieser neue Standort eine Risikoanalyse durchlaufen. Auf diese Weise wird das Rad des Risikomanagements stetig weitergedreht.

Im weiteren Verlauf dieses Buches werden Sie verschiedene Risiken und Gegenmaßnahmen kennenlernen. Beachten Sie bitte: Sie haben vielleicht eine viel besser passende Option für sich persönlich gefunden.

Kapitel 2

Alles, was Sie über Passwörter wissen müssen

IN DIESEM KAPITEL

erfahren Sie alles, was Sie über Passwörter wissen müssenlernen Sie wichtige Eigenschaften von Passwörtern kennenerlernen Sie einfache Tipps und Tricks, um sich sichere Passwörter auszudenken und zu verwalten

Bereits Kinder im Kindergarten verwehren einem den Zugang zur Spielhöhle, falls auf Aufforderung nicht das korrekte Passwort genannt wird. Auch wenn die Zugangsbeschränkung nur temporär aufgestellt ist, wer das Passwort nicht kennt, erhält auch keinen Zutritt. Dieser bleibt der elitären Gruppe vorbehalten, die im Besitz des Wissens ist. Wer trotzdem mitspielen möchte, dem bleiben folgende Vorgehensweisen:

Passwörter raten, bis das korrekte gefunden ist

jemanden finden, der einem das Passwort verrät

genau zuhören, wenn jemand ein Passwort nennt und Zugang erhält

versuchen, an der Zugangsbeschränkung auch ohne Passwort vorbeizukommen

Aber was hat das mit der digitalen Sicherheit zu tun? Eine ganze Menge. Die Kinder fragen ein Merkmal ab, um berechtigte von unberechtigten Personen zu unterscheiden. Von diesen Merkmalen gibt es drei unterschiedliche. Wenn Kriminelle den Versuch unternehmen, in Accounts einzudringen, Informationen zu stehlen oder Daten abzufangen, dann sind die Vorgehensweisen die Gleichen – nur eben digital. Im Internet sind zahlreiche Informationen hinter dem Schutz eines Passworts verborgen.

Bei einer Zugangsbeschränkung wird zwischen drei unterschiedlichen Authentifizierungsmerkmalen unterschieden:

Wissen – damit ist das Passwort gemeint. Aber auch eine PIN zählt dazu.Besitz – die zugangsberechtigte Person hat z. B. eine Karte oder ein Token.Merkmal – die Person hat ein Merkmal, an dem sie erkannt werden kann z. B. Fingerabdruck, Iris oder Venenmuster.

Das macht das Passwort auch zu einem so schlechten Merkmal. Jemand muss dabei zugucken, zuhören oder es anderweitig abfangen und ist dann eine berechtigte Person, da sie das Passwort besitzt.

Das nutzen Kriminelle ebenso aus wie normale Bürger, Unternehmen und Organisationen. Passwörter finden im Alltag sehr häufig Anwendung – das kleine Geheimnis, das jeder mit sich und für seine Privatsphäre herumträgt.

Ein Passwort entscheidet häufig über die Zugänglichkeit der Informationen. Schwache Passwörter bedeuten auch einen schwachen Schutz der Informationen, Daten und Teilnehmer.