Sicherheit für Private

Tipp 1: Überprüfung bestehender Datenlecks

Sie können mit verschiedenen unentgeltlich am Internet verfügbaren Tools herausfinden, ob Ihre E-Mail-Adresse schon einmal Teil eines Datenlecks war. Über den  HPI Identity Leak Checker kann ermittelt werden, ob zu einem E-Mail-Konto gehörige Informationen und Passwörter bereits in einem bekannten Hack enthalten sind. Dieser Identitätschecker verfügt derzeit über die Daten von fast sieben Milliarden gehackten Konten aus 800 Datenlecks.

Täglich kommen fast eine Million neue Konten dazu, die in Datenlecks enthalten sind. Gibt man auf der Webseite des HPI Identity Leak Checker seine E-Mail-Adresse an, wird dem Absender auf diese Adresse ein Bericht zugestellt, aus dem hervorgeht, ob diese Adresse – oder zugehörige Informationen – Teil eines Datenlecks waren.

Für größere Unternehmen und Organisationen gibt es den Identitätschecker auch als kostenpflichtigen Service. Sie können im Client Ihre E-Mail-Domäne(n) registrieren lassen und erhalten dann regelmäßig Listen mit allen E-Mail-Adressen, die in der/den Domäne/-n von einem Datenleck betroffen sind.

Ein weiteres Webservice, um bestehende Datenlecks aufzuspüren, hat der Microsoft-Mitarbeiter Troy Hunt mit seinem Webservice Have I been Pwned ins Leben gerufen.

Tipp 2: Sichere Passwörter und Passwort-Manager

Ein wichtiges Einfalltor für Computerkriminalität sind einfache und leicht ausspähbare oder errechenbare Passwörter. Das Hasso-Plattner-Institut veröffentlicht jedes Jahr eine Liste der beliebtesten Passwörter in Deutschland. Diese sah 2018 folgendermaßen aus:

  1. 123456
  2. 12345
  3. 123456789
  4. ficken
  5. 12345678
  6. hallo123
  7. hallo
  8. 123
  9. passwort
  10. Master

Über die Webseite How secure is my password kann man die Sicherheit von Passwörtern überprüfen (bitte geben Sie hier nicht Ihr wirkliches Password ein, sondern ein diesem ähnliches!). Sie errechnet die Zeit, die benötigt wird, um das angegebene Passwort mit modernen Programmen zu „cracken“.

Eine Empfehlung für sichere Passwörter ist umfangreich. Folgt man den folgenden fünf Regeln und ändert die Passwörter auch laufend, lebt man sicherer:

  • Länge von mehr als 15 Zeichen
  • Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
  • Möglichst keine Wörter aus dem Wörterbuch
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Anwendungen und Diensten
  • Passwortwechsel bei Sicherheitsvorfällen und für Passwörter, welche die obigen Regeln nicht erfüllen

Für viele Benutzer ist es schwierig, den Überblick über viele verschiedene und lange Passwörter zu behalten. Dabei kann man inzwischen aus einer großen Anzahl von Passwort-Managern auswählen, die neben Passwörtern und Benutzer-IDs auch andere sensible Informationen wie PIN-Codes und andere geheime Informationen verschlüsselt speichern. Ein gutes Programm in diesem Bereich ist der Passwort-Manager mSecure des Herstellers mSeven Software, der sowohl als mobile App (für iOS und Android) als auch am Desktop für macOS und Windows verfügbar ist. Im sogenannten „Security Center“ macht mSecure auf schwache, doppelte und alte Passwörter aufmerksam, die dann direkt geändert werden können. Die Daten werden in einer speziell geschützten Cloud des Betreibers verschlüsselt gespeichert.

Da man niemals sicher sein kann, dass nicht auch dieses System trotz inhärenter Verschlüsselung einmal gehackt wird, sollte man aber auch hier nicht die vollen Passwörter und Details speichern, sondern einen Teil davon in einem anderen System oder sogar auf Papier an einem sicheren Ort verfügbar halten.

Wenn Sie sich von einem unsicheren Rechner aus angemeldet haben (z.B. von einem fremden Smartphone oder in einem Internetcafé), sollten Sie danach unbedingt Ihre Passwörter ändern, da Sie nicht wissen, ob Programme installiert wurden, welche diese aufgezeichnet haben!

Tipp 3: Zwei-Faktor-Authentifizierung

Der Einsatz von Zwei-Faktor-Authentifizierung ist über das besseres Passwort-Management hinaus in jedem Fall zu empfehlen.

Die zwei Faktoren, die dabei verwendet werden, kommen aus unterschiedlichen Bereichen: einerseits aus dem Bereich „Wissen“ (darunter fällt ein Passwort oder ein selbst gewählter PIN-Code), andererseits aus dem physischen Besitz (beispielsweise eine Smartcard oder ein Token, der einen Code anzeigt) oder aus einer „Eigenschaft“ (beispielsweise ein biometrisches Merkmal wie ein Fingerabdruck).

Zwei-Faktor-Authentifizierung ist viel sicherer als ein einfaches Passwort, da es dann nicht mehr ausreicht, ein solches abzufangen (z.B. durch Phishing oder über den Einsatz von Keyloggern), um illegal in ein System zu kommen. Es steht auch für die meisten Kreditkarten zur Verfügung (z.B. Mastercard „Secure Pay“ oder „Verified by Visa“) und verhindert deren Missbrauch.

Google hat neuerdings damit begonnen, mit dem Titan Security Key einen neuartigen Sicherheits-Layer einzuziehen. Die 50 US-Dollar teuren Schlüssel können über Bluetooth oder den USB-Port mit einem Rechner oder Smartphone verbunden sein und werden abgefragt, nachdem das Google-Passwort eingegeben wurde. Google selbst verwendet diese Technologie für die eigenen 85.000 Mitarbeiter und ist stolz darauf, dass kein einziges ihrer Benutzerkonten gehackt werden konnte.

Da die Google-Schlüssel in Europa noch nicht verkauft werden, wird der Einsatz anderer FIDO-kompatibler Schlüssel empfohlen. FIDO ist die Abkürzung für „Fast IDentity Online“, also „schnelle Identität bei digitalen Verbindungen“, und bezeichnet eine Allianz von Software- und Hardwareherstellern, die bessere Sicherheit für die Anmeldung im Internet erreichen wollen.

Die Preise für derartige Schlüssel sind im Vergleich zu ihrer Wirkung sehr gering - so kostet etwa der FEITIAN Multipass Security Key um die 22 Euro.

Tipp 4: Sorgfältiger Umgang mit persönlichen Daten

Persönliche Daten sind ein wahrer Schatz, dessen viele Kriminelle habhaft werden möchten. Die Motive können vielfältig sein – hier nur einige davon:

  • Jemand möchte Sie erpressen.
  • Jemand möchte Ihre Identität fälschen.
  • Jemand möchte bei Ihnen zu Hause einbrechen und benötigt die Adresse.
  • Jemand möchte Daten über Sie weiterverkaufen.
  • Jemand möchte Sie stalken.

Diese Liste kann beliebig fortgesetzt werden und zeigt auf, dass Sie wachsam sein sollten, wem Sie diese wertvollen Daten geben.  Die Eingabe der Sozialversuchungsnummer, von Kontoverbindungen oder gar die Versendung von Reisepasskopien per E-Mail können im Falle von Datenlecks zu großen Problemen für Betroffene führen.

Missbrauch persönlicher Fotos

Eine interessante Möglichkeit, um herauszufinden, ob etwa etwa das eigene Profilbild oder Fotos widerrechtlich von anderen verwendet werden, bietet die Google-Bildersuche. Dazu muss man ein Bild in die Google-Suche hochladen. Diese liefert dann als Ergebnis, ob sie eine Person erkannt hat bzw. ob das Bild in einem Profil verwendet wird. Häufig werden im Internet Bilder von Models, Schauspielern und anderen in der Öffentlichkeit stehenden Persönlichkeiten für Fake-Profile in sozialen Netzwerken missbraucht.

Für Bilder sollte man auch immer die Speicherung von Informationen über den Aufnahmeort abschalten (das so genannten "Geo-Tagging"), weil sonst Kriminelle über den Aufnahmeort des Fotos wertvolle Hinweise über Ihren Aufenthaltsort, Ihr Bewegungsprofil oder Ihre Wohnsituation erhalten können.

Tipp 5: Einsatz von Schadsoftware-Scannern und regelmäßige Updates

Jeder Computer und jedes Smartphone benötigen einen guten Virenscanner und eine Firewall, damit laufend die Gefahr der Infektion mit Schadsoftware überprüft und abgewendet werden kann. Auf den Webbrowsern sollten Möglichkeiten, Programme auszuführen (z.B. mittels JavaScript) oder Informationen auszulesen (mittels Cookies), so weit möglich deaktiviert werden.

Überdies muss regelmäßig das Einspielen von Updates und Patches für alle verwendeten Systeme geprüft und durchgeführt werden. Dazu gehören vor allem Betriebssystem-Updates und ab und zu auch der Wechsel der Hardware, um ein neues, besseres Betriebssystem mit neuen Sicherheitsmerkmalen zu installieren.

Aber nicht zu vergessen sind auch die vielen Geräte, die das "Internet der Dinge" ausmachen. Auch diese müssen regelmäßig einem Update unterzogen werden.

Tipp 6: Backups von allen wichtigen Systemen

Gerade die Angriffe mit Ransomware zeigen, wie wichtig es ist, laufend Backups der Systeme zu machen und diese über lange Zeit sicher aufzubewahren. Die Aufbewahrung sollte auf keinen Fall am Ort der Systeme erfolgen, da etwa bei einem Brand die völlige Zerstörung aller Daten droht, falls nicht noch ein zusätzliches Cloud-Backup existiert.

Wichtig ist hier auch, dass Backups über mehrere Monate bis zu Jahren hin aufbewahrt werden, soweit nicht bei Unternehmen ohnehin regulatorische Regelungen über die Aufbewahrungspflicht bestehen. Oft ist es nämlich schwierig, den Zeitpunkt des Befalls durch Schadsoftware zu ermitteln, die sich über Monate im System einnistet. Gleiches gilt für die kriminelle Veränderung von Daten und Programmen. Mittels vieler Backups kann so einerseits dazu beigetragen werden, dass man Computerforensikern bei der Suche nach digitalen Spuren hilft, andererseits lassen sich vielleicht so wesentliche Daten rekonstruieren, die durch Schadsoftware oder sonstige Sabotage zerstört wurden.

Backups sollten immer verschlüsselt abgespeichert werden. Das gilt besonders auch für Cloud-Backups!

Tipp 7: Verschlüsselung verwenden / VPN und sichere Clouds

Die meisten Webseiten bieten heute an, dass man mit ihnen sicher verschlüsselt über den Einsatz des HTTPS-Protokolls kommuniziert. Dazu muss lediglich ein Zertifikat angemeldet und jährlich erneuert werden und auf der Webseite im WWW-Verzeichnis eingespielt sein. Wie gut eine Webseite dahingehend abgesichert ist, kann man einfach über die Services SSL-Scanner oder Web Inspector prüfen.

Während Privatanwender die PGP-Verschlüsselung nützen können, empfiehlt sich für größere Organisationen der Einsatz von Chipkarten, die auch zugleich als Mitarbeiterausweise verwendet werden können.

Eine interessante Variante ist auch die beispielsweise von staatlicher Seite implementierte Bürgerkarte – eine Chipkarte, die auch eine mobile Variante hat (die Handysignatur), die ohne Chipkartenleser auskommt.

Verschlüsselung von Nachrichten und Speicherplatz

Nicht zu vergessen ist auch die Verschlüsselung von Festplatten und USB-Sticks, die meist sehr einfach mit den vom Betriebssystem zur Verfügung stehenden Mitteln möglich ist. Wichtig ist bei vertraulichen Nachrichten auch, dass verschlüsselte Mails oder Mail-Anhänge versendet werden. Dazu kann man mit einfachen Mitteln eine Infrastruktur aufsetzen, die S/MIME verwendet.

Verschlüsselung im Netzwerk

Private und Firmen können inzwischen sehr einfach ihre Kommunikation verschlüsseln, indem sie VPNs (sogenannte „Virtuelle private Netzwerke“) verwenden. Diese ermöglichen es, zwar das öffentliche Netzwerk zu verwenden, dort aber einen sogenannten „IP-Tunnel“ zwischen sich und den Heimsystemen aufzubauen, durch den sicher kommuniziert werden kann. Über das Verwenden von VPNs hinaus empfiehlt sich auch die Verwendung von sicheren Cloud-Lösungen. Diese stehen keineswegs nur großen Unternehmen zur Verfügung, sondern können auch von privaten Anwendern etwa von Hornetdrive, einem verschlüsselten Cloud-Speicher, bezogen werden.

Verschlüsselte Chat-Systeme

In Zeiten zunehmender Bedrohungen durch Datenlecks in Chat-Systemen empfiehlt es sich, sich die Sicherheitsmerkmale der Anbieter anzuschauen. Hier sind das Schweizer Threema (vom Hersteller Threema GmbH) oder Signal (vom Hersteller Open Whisper Systems) gute Beispiele für sichere, fortgeschrittene Applikationen.

Tipp 8: Sichere E-Mails und mehr Mail-Disziplin

Der alte Spruch „Jedes Schrifterl ist ein Gifterl“ gilt besonders bei der Verwendung von nicht verschlüsselten E-Mails, die einfach von Unbefugten mitgelesen werden können. Sehr vertrauliche Inhalte sollten immer verschlüsselt ausgetauscht – oder überhaupt nicht elektronisch übermittelt werden.

Es empfiehlt sich auch die Verwendung eines E-Mail-Systems, das verschlüsselt operiert, wie beispielsweise ProtonMail vom Schweizer Anbieter Proton Technologies AG in Genf oder Hushmail vom kanadischen Anbieter Hush Communications Ltd.

Je nach Sicherheitsstandard sollte die Möglichkeit, über Webmail ins Mail-System einzusteigen, überlegt werden. Hier kann es beispielsweise vorkommen, dass man an einem öffentlichen Rechner (etwa in einer Flughafenlounge) in sein E-Mail-System einsteigt, ohne zu bemerken, dass ein Krimineller vorher einen Keylogger auf diesem Rechner installiert hat. Wird in diesem Fall keine Zwei-Faktor-Authentifizierung verwendet, könnte ein Krimineller nun ausreichende Anmeldeinformationen ausgespäht haben, sich in Ihrem Namen anmelden und alle Ihre Nachrichten lesen und neue versenden.

Tipp 9: Vorsicht mit unbekannten USB-Sticks

USB-Sticks oder das, was dafür gehalten wird, können großen Schaden anrichten und durch Anstecken den betroffenen Computer mit Malware infiszieren.

Ein gutes Beispiel ist der „Rubber Ducky“, ein USB-Stick, der, an einen Computer angesteckt, ein Backdoor („Hintertür“) installiert, Dokumente und Passwort stiehlt und einen Angriffsvektor für spätere Penetrationstests aufbaut.

Man sollte nur USB-Sticks verwenden, deren Herkunft man kennt und die vor der Verwendung geprüft wurden!

Tipp 10: Abschluss einer Cyber-Versicherung für Privatpersonen und Haushalte

Viele Versicherungsunternehmen bieten inzwischen im Rahmen von Hausratsversicherungen oder als separat gekennzeichnete Cyberprodukte die Absicherung gegen die finanziellen Folgen von Cyberangriffen an.

Ein österreichischer Versicherer hat im Rahmen der Erweiterung einer Haushaltsschutz-Versicherung eine umfangreiche "IT Assistance“ für Probleme mit Computern oder Unterhaltungselektronik im Angebot. Der Versicherer wirbt mit folgenden Leistungsmerkmalen:

  • Soforthilfe eines IT-Spezialisten per Chat oder Telefon bei Fragen zu Computer, Smartphone und Co.
  • Hilfe bei Hard- und Software-, Netzwerk- oder Internetproblemen
  • Beratung bei Identitätsdiebstahl und Cyber-Mobbing
  • Services: Onlinedatensicherung und IT-Remoteunterstützung

Für private Versicherte inkludiert diese vergleichsweise günstige Versicherung überdies

  • „Unterstützung beim Umgang mit den allgemeinen Gefahren des Internetgebrauchs, wie z.B. Cyber-Mobbing durch Verunglimpfungen in sozialen Netzwerken und Cyber-Crime durch das Ausspähen von Passwörtern oder Zugangsdaten (‚Phishing‘) oder Identitätsdiebstahl
  • Qualifizierte Begleitung und Unterstützung bei der Beurteilung von Cyberrisiken und Organisation der Einleitung von rechtlichen Schritten – wenn notwendig
  • Koordination und Organisation rechtlicher Beratung (max. 1 h pro Kalenderjahr) – telefonisch, schriftlich oder persönlich.“