Safer Net

Hallo zusammen!

Aus gegebenem Anlass möchte ich mir Zeit nehmen und etwas aufzeigen um ein wenig Bewusstsein für (auch eure eigene) Online-Sicherheit zu schaffen.
Ich weiß, es sieht nach viel Text und Blabla aus – aber ich bitte euch trotzdem ihn zu lesen. Es ist ein kleines Sammelsurium aus 23 Jahren Erfahrung im Computersupport und Fehlern, die den Usern immer wieder passieren.

Und ja – ich bin mir bewusst, dass das ja eh jeder weiß 😉 – nur wer hält sich daran?
Ich habe versucht, alles so gut es geht “nicht-technisch” zu halten und habe für Interessierte auch noch Links zu diversen Begriffen hinzugefügt.
Am Ende ist dieser Artikel nicht für mich, sondern für jeden von euch und kann euch unangenehme Situationen in eurem Online-Leben ersparen.

So – aber nun geht’s los…

Erfahrungsgemäß verwendet die Großzahl der User für alles das gleiche Passwort. Manche haben sogar auch schon zwei oder drei – was am Ende aber immer noch zu wenig ist.

Viele haben das Szenario der Überwachung durch den Staat und der Großkonzerne im Kopf und pochen auf ihre Anonymität und den Datenschutz – tun aber selbst nichts dafür.

Im heutigen Internet ist die größte Schwachstelle eigentlich nicht der Computer – es ist derjenige der davor sitzt.

Überlegt mal selbst:

  1. Hab ich für jeden Dienst (sei es Email, Amazon, Facebook usw.) ein eigenes Kennwort?
  2. Wie sicher sind meine Kennwörter? Haben sie mehr als 10 Zeichen inkl. Sonderzeichen, Ziffern und bestehen sie nicht aus simplen Kombinationen wie “xy12345”?
  3. Verbiete ich meinem Browser Kennwörter zu speichern und habe ich das automatische Ausfüllen von Zugangsdaten deaktiviert?
  4. Speichere ich meine Zugangsdaten verschlüsselt und habe keine lesbaren Textdateien herumliegen?
  5. Verwende ich einen “guten” Virenschutz, den ich aktuell halte bzw. der sich selbst regelmäßig mit Updates versorgt?
  6. Vertraue ich niemandem, der mich nach Zugangsdaten fragt, gebe diese nicht weiter und lasse niemanden einfach so auf meinen Computer zugreifen?
  7. Habe ich keine Raubkopien installiert und verwende nur Originalsoftware vom Hersteller direkt bzw. Open Source Software?
  8. Mache ich regelmäßig Backups von meinem Computer?
  9. Halte ich mein Betriebssystem und meine Software mittels Updates aktuell?

Wenn ihr die oben genannten Punkte erfüllt -> Gratulation! Ihr seid sicherer unterwegs als so ziemlich alle Anwender die ich kenne!
Ihr könnt euch nun entspannt zurücklehnen, einen Kaffee trinken und müsst diesen Artikel nicht weiterlesen.

Erfüllt ihr sie doch nicht so ganz oder macht ihr eigentlich nichts davon?
Dann wärt ihr im Sinne der eurer eigenen Sicherheit gut beraten weiterzulesen…

1. Kennwörter und Dienste

Aus Bequemlichkeit und teils Gutgläubigkeit verwendet der Großteil aller User für viele Dienste die gleichen Zugangsdaten. Manche sind zumindest schon so weit um für Banking, Shopping und alles was mit Zahlungen zu tun hat eigene Kennwörter zu nehmen.

Was viele nicht bedenken ist, dass wenn ein Service kompromittiert ist, eure Daten offen liegen und in Datenbanken über das Internet verteilt werden. Hier z.B. könnt ihr nachsehen, ob eure Daten schon in frei Verfügbaren Datenbanken zu finden sind: https://haveibeenpwned.com/. Dazu einfach eure E-Mail Adresse eingeben und die Suchmaschine spuckt aus, ob ihr bereits ein Opfer wurdet und von welchem Dienst die Daten stammen.

Diese werden dann für Phishing (https://de.wikipedia.org/wiki/Phishing), Kreditkartenbetrug und evt. auch Bestellungen bei Onlineshoppingportalen genutzt.
Sowas dann mit dem Verkäufer zu regeln und schadlos auszusteigen ist mehr als mühsam – habe ich bei einigen nicht nur einmal erlebt…

Was kann man nun tun um trotzdem nicht wahnsinnig zu werden vor lauter Passwörtern und Benutzernamen?
Hier zeige ich euch zwei Möglichkeiten:

1.1. Leicht zu merkende Passwörter pro Service

Die Tatsache, dass Kennwörter einfach nur kompliziert sein müssen, wurde längst widerlegt. Mittlerweilen schaffen es recht gute Heimcomputer schon aus dem Hash (https://de.wikipedia.org/wiki/Kryptographische_Hashfunktion) oder per Brute-Force (https://de.wikipedia.org/wiki/Brute-Force-Methode) in absehbarer Zeit einfache Passwörter, die  recht kurz sind zu knacken. Es gibt auch Onlinedatenbanken, die simple und gängige Kennwörter mittels Hash aus Wortlisten finden (z.B. https://crackstation.net).
Professionelle Hacker verwenden bessere Hardware und angemietete Server mit richtig Leistung, bei denen das noch viel schneller geht.
Fazit: auf die Länge kommt es an 😉

Hier ein Beispiel für einfach zu merkende und sinnvolle Passwörter:
Für Amazon: $1967$Mein#Passwort@amazon
Für Gmail: $1967$Mein#Passwort@gmail
Für Facebook: $1967$Mein#Passwort@facebook

Hier ist alles enthalten: Zahlen, Sonderzeichen, Groß-/Kleinschreibung und sogar der Dienst (dazu komme ich später noch).

Was für euch eine gute Kombination ist, müsst ihr selbst herausfinden – das hier sind nur Beispiele.
Der Name des Dienstes am Ende hat zwei Funktionen. Zum ersten habt ihr dadurch bei jedem Dienst ein anderes Passwort, zum zweiten könnt ihr schnell erkennen, welcher Dienst gehackt wurde, wenn ihr ein Erpressermail bekommt wo euer Kennwort angegeben ist.

Und glaubt mir, 99,99% aller Betrüger, die da draußen unterwegs sind, sehen sich keine Passwörter per Hand an, sondern probieren über Programme das automatische Anmelden bei diversen Webseiten mit den gekaperten Zugangsdaten. Somit reicht die kleine Änderung am Ende des Kennworts (wie z.B. der Anbieter) vollkommen aus.

1.2. Ein Passwortmanager

Bei gespeicherten Passwörtern im Browser können Angreifer Informationen über Schadprogramme wie Trojaner auslesen, die Kennwörter sind hier nicht ausreichend geschützt. Dazu kommt: Jeder, der Zugriff auf euren Computer hat, kann sich einfach bei allen Diensten anmelden, deren Zugangsdaten gespeichert sind.

Auch sind die gespeicherten Passwörter in Klartext auslesbar. Wenn also eine neue Lücke in Browsern gefunden wird und ihr auf eine präparierte Webseite geht, wäre es möglich, eure Zugangsdaten per Scripts abzugreifen.

Im Gegensatz zum Speichern der Passwörter im Browser sind bei einem Passwortmanager die Zugangsdaten nicht dauerhaft verfügbar und ihr müsst euer Masterpasswort (welches echt gut sein sollte, da ihr damit alle eure Zugangsdaten schützt) eingeben.
Auch wenn diese als Plugins im Browser laufen, ist die Chance (bei dementsprechenden Einstellungen wie z.B. automatisches Sperren des Tresors nach 5 Minuten) verschwindend gering, dass ihr hier Opfer von Datendiebstahl werdet.

Ein Service, das ich selbst verwende und immer wieder weiterempfehle ist Bitwarden (https://bitwarden.com/). Im Gegensatz zu den meisten anderen Passwortmanagern ist Bitwarden ein Open Source Projekt, d.h. der Quellcode der Anwendung ist für jeden einsehbar und es können keine versteckten Hintertüren oder Spionagetools eingebaut sein. Des weiteren ist Bitwarden für Privatnutzer in der Basisversion (die vollkommen ausreicht) kostenlos.

Auch wenn die Daten auf deren Server gespeichert sind, kann die niemand einsehen, da sie von eurer Seite aus schon voll verschlüsselt an diese geschickt werden.
Deshalb ist es auch wichtig, sich das Masterpasswort auszudrucken und irgendwo zu hinterlegen, da wenn es vergessen wurde, niemand jemals diese Daten wiederherstellen kann.

1.3 Zwei-Faktor Authentifizierung (2FA)

Klingt kompliziert – ist es aber nicht.
Hier wird einfach mittels eines Codes, der sich alle paar Sekunden (üblicherweise 30 oder 60) ändert, ein zusätzlicher Schutz des Kontos aufgebaut.
Hierzu kann man z.B. die App “Google Authenticator” (ist nur eine App – Google speichert die Daten nicht und ihr habt die nur am Gerät) oder auch Bitwarden verwenden.

Bei jedem Login wird nach Benutzernamen und Passwort zusätzlich dieser Code verlangt. Hat also jemand eure Zugangsdaten, kann er trotzdem nicht auf das mit 2FA gesicherte Konto zugreifen, weil ja nur ihr das Gerät mit diesem Code habt.
Wichtig dabei ist, dass ihr den ursprünglichen Code (meistens eine lange Zeichenfolge) ausdruckt – für den Fall, dass ihr euer Handy verliert. Verwendet ihr Bitwarden, wird der Code mitgespeichert und muss nicht extra gesichert werden.

Zum Abschluss beim Thema Passwörter…
Kennwörter, Zugangsdaten, Kreditkartendaten und sonstige persönliche Informationen NIE NIE NIE irgendwo unverschlüsselt rumgammeln lassen. Sowas kann richtig böse enden.
Auch wer glaubt, dass mit Passwörtern gesicherte Office-Dokumente sicher sind, den muss ich leider eines Besseren belehren, da mittlerweile genug Programme im Umlauf sind, die diesen Schutz entfernen können. Gilt übrigens auch für PDF-Dokumente.

2. Virenschutz

Zu aller erst sei gesagt: es gibt keinen 100%igen Virenschutz. Trotzdem sollte man unbedingt einen verwenden. Es gibt schlechte, gute und bessere Programme – wobei sich das im Laufe der Zeit ständig ändert und je nach Entwicklung immer ein anderes die Nase vorne hat.

Ich persönlich verwende Kaspersky Produkte. Warum? Ich hatte damit noch nie schlechte Erfahrungen, die Lizenz ist günstig und wenn schon ein Produkt – dann ein russisches 😉
Aber jetzt im Ernst: Kaspersky Internet Security hat ergänzend zu einer großen Virendatenbank einen guten heuristischen Scan und bietet auch eine lokale Firewall (ähnlich der Windows-Firewall) die den Netzwerkverkehr ständig im Auge hält. Dank der Integration in den jeweiligen Browser wird auch vor Scripts auf Webseiten gewarnt, welche Schadcode enthalten könnten.

Gerade für User, die immer noch Raubkopien verwenden ist ein starker Virenschutz unerlässlich. Vorbei sind die Zeiten wo “Jugend forscht”, “Wer ist der schnellste” und “Weils einfach Spaß macht” die Treiber der Raubkopienersteller/Hacker waren.

Mittlerweilen ist auch das ein recht gutes Business geworden, indem Trojaner oder sonstige Schadsoftware mit den illegalen Kopien oder den Cracks auf den Computer kommen.
Meist wird der Rechner dann zu einem sogenannten Zombie, der sich dann zum Kommandoserver verbindet und auf Aufgaben wartet.

Nun könnte der eine oder andere sagen: “Mir ist egal, ob mein Computer im Hintergrund Spam-Mails verschickt, Youtube Videos ansieht um diese zu pushen, sich an DDoS (https://de.wikipedia.org/wiki/Denial_of_Service) Attacken beteilig uvm.”.
Nur… wer sagt euch, dass über diese Schadsoftware nicht auch euer Handeln und eure Daten ausspioniert werden?

Also besser zu Originalsoftware greifen – es gibt genügend Anbieter, welche Lizenzkeys rausschmeissen – oder eben alternative Open Source Software verwenden.

3. Was ist noch zu beachten?

Gerade in unserer Zeit, wo nicht mehr viele vom Schlag eines Robin Hoods unterwegs sind, sollte man sich bewusst sein, dass einem niemand was schenkt und alles seinen Preis hat.
Es wird euch nie ein Mitarbeiter einer Firma kontaktieren um Zugangsdaten, Bankdaten oder Kreditkarteninformationen zu bekommen.
Es wird nie jemand von sich aus bei euch anrufen, da ein Virus oder Trojaner bei euch gefunden wurde und er diesen entfernen will.
Sollte das dennoch passieren, ist es definitiv ein Versuch euch reinzulegen.

Auch der Millionär, der euch was schenken will – euer Onkel, der plötzlich finanzielle Hilfe braucht – der reiche Politflüchtling, der sein Vermögen außer Landes schaffen will oder die Anwaltsfirma, die euch von der bevorstehenden Erbschaft informiert -> ALLES BETRUG!
Nie auf solche Mails antworten, keine persönlichen Daten preisgeben und schon gar keine Konto- oder Kreditkarteninformationen teilen!

Erpressermails, in denen Bitcoins verlangt werden, damit man nicht bloßgestellt wird, sind genauso nur ein Versuch euch das Geld aus der Tasche zu ziehen. Auch wenn ihr vielleicht wegen der einen oder anderen Sache ein schlechtes Gewissen habt – solange keine persönlichen Inhalte in diesem Mail stehen und der einzige Bezugspunkt zu euch die E-Mail Adresse ist, könnt ihr das getrost ignorieren. Nicht antworten -> löschen. Auch wenn kurz darauf ein zweites Mail kommt.
Jemand, der wirklich kompromittierendes Material von euch hat, schickt zumindest ein Bild, einen kurzen Videoclip von euch oder einen Auszug aus einem vertraulichen Text.

Auch wichtig: gebt Webseitenadressen bitte immer in die Adressleiste des Browsers ein und sucht nicht einfach in einer Suchmaschine danach. Hier kann es ganz schnell passieren, dass ihr Opfer von Phishing werdet.

Solltet ihr dennoch einmal auf eine Webseite kommen, die:

  • euch einen Gewinn verspricht, da ihr gerade der 1.000.000 Besucher seid 
  • Programme anbietet, die euren PC schneller machen, weil er zu langsam ist
  • plötzlich Viren im Browser findet und euch helfen will
  • sich mit einem Fenster in den Vordergrund stellt und nicht mehr schließen lässt
  • unaufgefordert einen Download startet und zum Ausführen des selben auffordert

Einfach das Browserfenster schließen oder im Zweifelsfall den Computer neu starten. Nie etwas anklicken, das nach der Lösung aussieht und nie auf so ein Angebot eingehen.

Ein Beispiel eines Kunden von mir aus nicht allzu langer Vergangenheit:
Im Zuge des Shutdowns musste seine Tochter sich bei Microsoft Teams anmelden. Anstatt den Link aus dem Mail der Schule zu nehmen hat er bei Google nach “microsoft team herunterladen” gesucht und ist dabei auf eine präparierte Webseite gekommen. Über diese (und natürlich auch durch den fehlenden Virenschutz) hat er sich einen Cryptolocker (Ransomware) (https://de.wikipedia.org/wiki/Ransomware) eingefangen.
Alle Dateien wurden verschlüsselt und er sollte Lösegeld in Form von Bitcoins zahlen. Ein weiteres Problem war, dass es sich hier auch noch um seinen Arbeitscomputer handelte und er keinerlei Backups hatte. Also ein Supergau. Am Ende wars viel Arbeit und Zeit, aber wir konnten glücklicherweise wieder alles herstellen. So viel zu “mir wird schon nichts passieren”.

4. Backups

Regelmässige Backups sind das Um und Auf. Am Besten verwendet ihr ein Programm, welches den kompletten Computer sichert. So habt ihr im Falle eines Problems binnen kürzester Zeit wieder einen funktionierenden Zustand.

Was benötigt man dafür? Eine externe Festplatte und ein Sicherungsprogramm. Hier verwende ich Acronis True Image. Es ist leicht zu bedienen und bietet auch Versioning und inkrementelle Backups.

Bei inkrementellen Backups handelt es sich um ein Sicherungsverfahren, wo einmal ein komplettes Backup gemacht wird und danach nur noch die Änderungen geschrieben werden, was die benötigte Zeit und die Größe der Backups massiv verringert.
Durch Versioning kann man dann je nach Einstellung auf ein aktuelles oder älteres Backup zugreifen. Im Bedarfsfall kann man auch nur einzelne Dateien zurückholen.

Weiters bietet Acronis zusätzlich noch einen erweiterten Schutz gegen Ransomware (Cryptolocker) und ist in Kombination mit einem guten Virenschutz ein unschlagbares Duo.

5. Zu guter Letzt: Software aktualisieren

Ja… Systemupdates sind nervig, die ewigen Neustarts auch. Dennoch sollte man sie unbedingt durchführen. Es gibt keine perfekte Software, kein sicheres Betriebssystem und “never touch a running system” ist heutzutage eines der schlimmsten Prinzipien, das man haben kann.

Laufend werden neue Schwachstellen in Browsern, Betriebssystemen und anderen Programmen gefunden, über die Schadsoftware eingeschleust werden kann. Betriebssystem- und Softwareupdates stopfen diese Lücken, auch wenn sie manchmal neue aufreißen. Aber auch diese werden wieder geschlossen sobald sie bekannt werden. Seine Software nicht upzudaten ist meiner Meinung nach grob fahrlässig und führt über kurz oder lang zu weit mehr Aufwand, als sie laufend aktuell zu halten.

Hier noch eine Warnung an alle Apple User: Auch wenn man immer wieder liest, das man am Mac eh keinen Virenschutz oder sonstiges benötigt: MacOS ist auch nur ein Betriebssystem – und wenn es keine Fehler hätte, gäbe es keine Updates 😉

So – das wars erstmal.
Wer Rechtschreibfehler findet darf sie behalten und bitte nehmt mir das fehlende Gendern nicht übel – denkt euch einfach das er/sie, Benutzer/Benutzerin, Mitarbeiter/Mitarbeiterin usw. 😉

Für konstruktive Kritik und Ergänzungen bin ich jederzeit Dankbar.
Sollte mir noch was einfallen, werde ich den Artikel ergänzen.

Liebe Grüße
Markus

 

Rückmeldungen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  1. Wow, du hast ja echtes Talent zum schrieben 😉 vielen Dank Markus! Alle Punkte überfordern mich auf einmal, starte mal mit der doppelauthentivizierung 👍

  2. Danke Markus für die Mühe und die ausführlichen Erklärungen und Tipps! Meine Passwörter sollte ich wirklich verbessern und von Bitwarden hat mir Jari schon erzählt das werd ich auch noch machen! Danke dir! LG

  3. You really make it seem really easy with your presentation but I to find this topic to be actually one thing which I think I might by no means understand. It seems too complicated and extremely wide for me. I’m looking ahead for your next put up, I will try to get the hang of it!