Blog post featured image

Basic Security Tipps

Um sich sicher im Internet zu bewegen und seine Daten zu schützen, bedarf es keinem riesigen Aufwand. Schon mit einfachen Mitteln kann man sein Sicherheitsniveau erheblich verbessern. Hier möchte ich ein paar grundlegende Dinge aufzeigen die JEDER beachten und zu einer Gewohnheit mache sollte, um seine Daten nicht zu verlieren oder Kriminellen im Intenet zum Opfer zu fallen.

Stellt euch nur einmal vor jemand knackt euer eMail Account. Über diesen kann ein Angreifer euch dann aus allen euren Diensten aussperren, in dem er das Passwort zurücksetzen lässt und dieses ändert.
Facebook, Instagram, Amazon, Onlinebanking...
Hier wird es sehr schwer wieder an seine gestohlenen Accounts zu gelangen! In der Zwischenzeit wird dann vom Hacker fröhlich bei Amazon auf eure Kosten eingekauft...

Daher hier meine 8 Basic Security Tipps

  1. Datensicherung
  2. Updates
  3. Anti Viren Software
  4. Sichere und einzigartige Passwörter
  5. Passwort Tresor
  6. Zwei Faktor Authentifizierung
  7. Arbeiten mit eingeschränktem User Account
  8. Vorsicht bei Links in eMails

TLDR

  1. Erstelle Backups auf mindestens zwei Medien an unterschiedlichen Orten.
  2. Halte immer alles aktuell. Updates für Betriebssystem & Software installieren.
  3. Nutze ein Antiviren Programm.
  4. Verwende lange, komplexe, einzigartige Passwörter.
    Am besten aus einem langen, absurden Satz jeweils die Anfangsbuchstaben verwenden und den abgeänderten Dienstnamen anhängen.Beispiel:
    Merksatz: Das Lama tanzt mit 4 Polizisten um 2 brennende Mülltonnen?!
    Dienst: Facebook (Gesichtsbuch) -> GB
    Passwort: DLtm4Pu2bM?!+GB
  5. Generiere und speichere Kennwörter in einem Passwort Manager.
    z.B. KeePass oder 1Password.
  6. Verwende wo immer möglich die Zwei Faktor Authentifizierung.
  7. Arbeite nicht mit dem Admin Account, nutze ein eingeschränktes Benutzer Konto.
  8. Klicke nicht auf unbekannte Links in eMails.

1. Datensicherung

"Kein Backup, kein Mitleid" und "Ein Backup ist kein Backup" sind Sprüche die man zum Thema Backup immer wieder hört. Es ist mitunter das wichtigste Mittel um seine Daten zu schützen. Sei es vor Hardwareschäden, z.B. einer kaputten Festplatte oder ein verschüttetes Glas Wasser auf dem Notebook, ein geklautes Notebook oder die heimtückischen Verschlüsselungstrojaner. Ohne eine Kopie der Daten sind diese für immer verloren.
Es gibt verschiedenste Möglichkeiten Backups zu erstellen. Die wohl einfachste ist es, seine wichtigsten Daten auf eine USB Festplatte zu kopieren.
Softwarelösungen wie z.B. Veeam oder Time Machine für Macs, können automatisiert auch den ganzen PC sichern, anstelle nur einzelner Dateien. So vergisst man nicht seine Daten zu sichern und hat immer ein aktuelles Backup.
Wer auch vor Einbruch in die Wohnung oder einem Brand gewappnet sein möchte, fertigt das Backup nicht nur auf einer USB Festplatte an, sondern auch auf einer Zweiten, welche dann z.B. bei Verwandten, Freunden oder einem Bankschließfach hinterlegt wird. Man fertigt täglich ein Backup auf eine Festplatte an die man zuhause hat und tauscht diese dann einmal in der Woche / dem Monat mit der Ausgelagerten aus. So hat man im allerschlimmsten Fall ein etwas älteres Backup noch an einem anderen Ort.
Auch verschlüsselte Sicherungen zu einem Cloudanbieter sind eine Möglichkeit für eine zusätzliche Sicherung.

2. Updates installieren

Die einfachste aber mit am wirkungsvollste Methode für mehr Sicherheit ist es Updates zu installieren. Auch wenn die Betriebssystem Updates oft lästig sein können und immer gerade dann installiert werden möchten wenn man es gerade am wenigsten brauchen kann, sind sie doch sehr wichtig!
Sie schließen Sicherheitslücken die von Hacker, Viren und anderer Schadsoftware ausgenutzt werden um an Daten zu kommen oder diese zu vernichten.
Es ist einfach im Betriebssystem die Updates automatisch installieren zu lassen. Ebenso sollte besonders beim Browser für den Internetzugriff die Updates automatisiert installiert werden sobald eine neue Version verfügbar ist, da sie besonders anfällig für auf Webseiten versteckte Schadsoftware sind.
Daher Software und Betriebssystem immer aktuell halten!

3. Antiviren Software

Wir kommen von Geburt an ausgestattet mit einem Immunsystem das uns gegen schlechte Bakterien und Viren schützt. Computer haben dies leider nicht, weshalb wir etwas nachhelfen müssen. Antiviren Software übernimmt hier die Rolle des Immunsystems. Es gibt zahlreiche Anbieter, kostenlose und bezahlte Versionen. Auch aktuelle Windows Betriebssysteme haben schon eine Software, den "Microsoft Windows Defender" vorinstalliert.
Eine bestimmte Software zu empfehlen finde ich nicht so einfach, am besten googelt man nach aktuellen Tests und vergleicht die Feature Listen. Einige kommen zusätzlich noch mit Spamfiltern, Browser und eMail Schutz. Aber auch schon die einfachste Kostenlose Version bietet Schutz. Zu den namhaften Herstellern zählen unter anderem, G-Data, Sophos, Kaspersky, McAffee, Trend MIcro...

4. Sichere und einzigartige Passwörter

123456, 123456789, qwertz, password,....

Passwort dabei? Hoffentlich nicht! Leider gehören diese seit Jahren zu den beliebtesten Passwörtern. Davon abgesehen, dass diese alleine schon auf Wikipedia stehen, lassen sich solche Passwörter auch sehr leicht erraten. Gerne genutzt sind ebenfalls Kombinationen aus Geburtstag und Namen, der Name des Haustieres oder ähnliches. Daten die sich oft, auf Facebook oder ähnlichem sehr leicht herausfinden lassen. Solche Passwörter sollten unter allen Umständen vermieden werden.
Durch verschiedene Methoden der Angreifer wie z.B. wildes durchprobieren von Zahlen und Buchstabenkombinationen (BruteForce Attack), das nutzen von Wörterbüchern bekannter Wörter (Wordlist Attack) oder das nutzen von bekanntgewordenen Listen mit Benutzernamen und Passwörtern aus bereits gehackten Webseiten (Credential Stuffing), lassen sich auch etwas aufwendigere Kennwörter aushebeln.
Um Angreifern das Leben schwer zu machen gibt es daher drei grundlegende Faktoren für ein sichereres Passwort:

  • Länge
  • Zufälligkeit / Komplexität
  • Einzigartigkeit

Die Länge erschwert BruteForce Attacken erheblich. Ein Passwort mit 8 Zeichen (Groß-,Kleinbuchstaben, Zahlen und Sonderzeichen) kann in ca. 8h geknackt werden,
9 Zeichen ca. 3 Wochen
10 Zeichen ca. 5 Jahre
12 Zeichen ca. 34.000 Jahre. Quelle

Die Dauer verringert sich natürlich jedes Jahr mit dem Fortschreiten der Technik. Es ist denke ich aber gut zu erkennen welche Auswirkung die Länge hat, um das Erraten des Passwortes durch zufälliges Durchprobieren zu erschweren.

Die Komplexität und Zufälligkeit, wenn man keine bekannten Wörter verwendet, machen es unmöglich ein normales Wörterbuch für einen Angriff zu verwenden. mAsdvdTuh4RuiR! steht vermutlich in keinem Wörterbuch.

Die Einzigartigkeit, also für jede Anmeldung bei einem Dienst/ Homepage ein eigenes Passwort zu verwenden, erschwert es Angreifern dieses einfach wieder zu verwenden um auf andere Accounts zuzugreifen, sollte das Passwort von einem der Dienste abhandenkommen.

Wie erstellte ich denn nun aber so ein Passwort, dass ich mir auch noch merken kann?
Das ist eigentlich ganz einfach. Anstelle einfach nur ein Wort zu verwenden, benutzt man am besten einen ganzen Satz. Davon jedoch immer nur die Anfangsbuchstaben.
Das Passwort mAsdvdTuh4RuiR! z.B. erfüllt unsere 3 Kriterien, 15 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, keine Wörter, Einzigartig.
Der Merksatz dazu lautet:
mein Auto steht draußen vor der Tür und hat 4 Reifen und ist Rot!
Auf diese Weise kann man sich ein wenig kreativ austoben, ein sicheres Passwort erstellen und man kann es sich auch noch merken!
Hilfreich sind auch etwas absurdere Sätze, diese prägen sich besser ein. Beispielsweise:
Das Lama tanzt mit 4 Polizisten um 2 brennende Mülltonnen?!
DLtm4Pu2bM?!
...

Wie gesagt, verwendet man für jeden Dienst am besten ein eigenes Passwort. Möchte man sich jedoch nicht ein komplett neues Passwort für jeden Dienst merken, kann man sich mit folgendem Trick helfen. Man kann zu seinem gewählten Passwort etwas ein oder anfügen was mit dem Dienst zu tun hat. Jedoch sollte man nicht direkt den Namen des Dienstes verwenden, da dies dann wieder einfach zu erraten ist.
Hier ein Beispiel:
Facebook = GesichtsBuch -> GB
mAsdvdTuh4RuiR! -> mAsdvdTuh4RuiR!+GB

Instagram = Foto App -> FA
mAsdvdTuh4RuiR! -> mAsdvdTuh4RuiR!+FA

So muss man sich nur ein komplexes Passwort zu merken, hat jedoch für jede Anmeldung ein einzigartiges Passwort.

Zusatztipp für einzigartige Accounts/ eMail Adressen.
Abhängig vom eMail Provider und der Seite/ dem Dienst bei dem man sich anmelden möchte, ist es möglich seine eMail Adresse zu erweitern. Man kann z.B. für den Facebook Account anstelle nur
name.nachname@gmail.com,
name.nachname+facebook@gmail.com
verwenden.
Einfach zwischen den Namen und dem @ mit einem + etwas hinzufügen. So wird auch schnell klar welcher Anbieter die eMail Adresse an Spamer weiter gibt. ;)
Zudem ist solch eine Adresse für Credential Stuffing nicht zu verwenden da hier sogar die eMail Adresse einzigartig ist.

5. Passwort Tresor

Noch einfacher, um einzigartige Kennwörter zu verwenden und sich nur ein Passwort zu merken ist es einen Passwort Tresor zu verwenden. Dieser kann für jede Anmeldung ein einzigartiges Kennwort aus zufälligen Zeichenkombinationen erstellen und dieses sicher abspeichern. Um die gespeicherten Passwörter zu verwenden muss man sich mit nur einem Passwort anmelden und kann aus dem Tresor die Daten kopieren. Viele Passwort Manager Tools kommen auch mit einem Browser Plugin das die Passwörter automatisch auf den richtigen Seiten ausfüllt. Manche Tools haben sogar eine Mobileapp die sich in das Betriebssystem integriert und in Apps Passwörter ausfüllen können. Hierzu werden die Passwörter entweder über einen lokalen Ordner (z.B. auf einer NAS) oder den entsprechenden Cloud Dienst zwischen den Geräten synchronisiert.
Hier kann ich zwei Tools empfehlen.
Als kostenlose Variante KeePass.
Und die bezahlte Variante 1Password, eine "eierlegende Wollmilchsau".
1Password
Die Apps für Windows / Mac OS, iOS und Android kann man über einen eigenen Dienst oder die 1Password Cloud synchronisieren. Es gibt Browser Plugins und als super extra Feature wie ich finde, erkennt 1Password ob man Passwörter doppelt verwendet und ob Zugangsdaten in einem Hack veröffentlicht wurden.
Hierzu verwendet 1Password den Dienst "have i been pwned" von Troy Hunt.
Es werden keine ganzen Passwörter übertragen, lediglich ein Teil eines Hashes des Passwortes.
"have i been pwned" ist ein Dienst mit dem man überprüfen kann, ob seine Daten irgend wo im Internet von einer gehackten Seite veröffentlicht wurden. Hierzu kann man seine eMail Adresse eingeben und erhält das Ergebnis aus welchen Breaches Zugangsdaten erkannt wurden. Werft mal einen Blick darauf!
https://haveibeenpwned.com/

6. 2FA - Zwei Faktor Authentifizierung

Auch wenn man den Begriff 2FA noch nicht gehört hat, kennen es viele aber schon vom Online Banking. Es geht darum neben einem Benutzernamen und Passwort das man kennt, zusätzlich noch etwas zu haben um sich authentifizieren zu können. Beim Online Banking ist das die TAN als SMS aufs Handy oder ein TAN-Generator, in den man seine Bankkarte steckt.
Dieser Zweite Faktor schützt davor, falls doch jemand in die Hände von unserem Benutzernamen und Passwort kommt sich anmelden zu können, da der zweite Faktor fehlt. Schon sehr viele Dienste im Internet bieten eine Zweifaktor Authentifizierung an. Wenn die Möglichkeit gegeben ist, sollte dies auf jeden Fall eingestellt werden.
Gerade Dienste wie Amazon oder Gmail, mit denen ein erheblicher Schaden zugeführt werden kann, bieten dies an. Viele können sich auch Geräte merken und benötigen den zweiten Faktor nur bei der ersten Anmeldung an einem neuen Gerät. Üblich sind Codes per SMS, Code Generatoren wie der Google Authenticator, oder über eine Funktion in der App selbst. Auch Hardware Dongels wie den Yubikey seien erwähnt.

7. Arbeiten mit eingeschränktem User Account

Ja es ist einfacher und bequemer mit einem Admin User auf dem Computer zu arbeiten. Es macht aber leider nicht nur euch das Leben leichter, sondern auch Hackern und Schadsoftware. Solltet Ihr z.B. eine eMail bekommen die Schadsoftware enthält oder eine manipulierte Website besuchen ist es hier viel einfacher für die Schadsoftware sich auszuführen, euer System zu übernehmen, sich zu verbreiten und Schaden anzurichten, da sie mit den selben Rechten operiert mit denen Ihr angemeldet seid.
Arbeitet ihr jetzt aber mit einem normalen Benutzer der nicht die Rechte hat am System etwas zu verändern, scheitert auch hier die Schadsoftware oder der Hacker und es muss mir schwereren Geschützen aufgefahren werden, was sich zum Glück in der Masse nicht lohnt.

Hier solltet Ihr dann auch darauf achten, ob plötzlich die Windows UAC (User Access Control / Benutzer Zugriffs Kontrolle) ohne euer Zutun erscheint. Hier solltet Ihr jedes Mal hinterfragen was ihr gerade gemacht habt das höhere Rechte erfordert. Wenn ihr z.B. gerade eine neue Software installiert ist es berechtigt und Ihr könnt euer OK geben. Wenn ihr jedoch eine eMail aufruft und der Dialog erscheint ist Vorsicht geboten! Hier versucht irgendeine Schadsoftware das System zu infizieren.

8. Vorsicht bei Links in eMails

Eine gute Angewohnheit ist auch, nicht direkt ohne zu schauen und denken auf Links in eMails zu klicken.
Hinter vermeintlich vertraulichen Links können sich doch falsche Seiten verstecken.
Wenn man in einer eMail (oder über jeden Link im Browser) mit dem Mauszeiger fährt und ohne darauf zu klicken stehen bleibt wird unten in der Statusleiste angezeigt was sich hinter dem Link verbirgt. Diesen sollte man sich anschauen und überlegen ob man die Adresse kennt und dieser vertrauen kann. Gerne werden in Phishing Mails kleine Buchstaben dreher in der Adresse verwendet, mit ähnlich aussehenden Buchstaben oder ganzen Adressen ausgetauscht.
amazon.biz, paypall.com, sparkasse-hinterdupfingen.de.vu oder ähnliches könnte sich dahinter verstecken.
Bei eMails die einen auffordern sein Passwort zu ändern oder doch hier bitte noch einmal sich anzumelden sollte man diese Webseite nicht über den Link besuchen, sondern direkt die bekannte Adresse eingeben und die Seite so zu besuchen. Sollte die eMail legitim sein, wird man auch auf der echten Seite z.B. in seinem Profil darauf hingewiesen.

Dies sind ein paar einfache Grundregeln, die keine besonders große Hürde darstellen, das Leben im Internet aber erheblich sicherer machen! Nehmt sie euch bitte zu Herzen und macht sie euch zu einer Gewohnheit.

Back to top