in der IT-Security App aus dem Land Mecklenburg-Vorpommern.
Diese App dreht sich um ein wichtiges Gebiet der Digitalisierung, um IT-Sicherheit! Mit Informationen zu relevanten Themen aus der IT-Sicherheit, Tests und weiterführenden Links richtet sich diese App vor allem an Unerfahrene. Bei der Erstellung der App war uns wichtig, dass die verschiedenen Inhalte möglichst einfach verständlich, dennoch aussagekräftig, dargestellt werden. Haben Sie tiefergehende Fragen, Anmerkungen oder Änderungswünsche? Dann freuen wir uns auf Ihre E-Mail.
Wir wünschen Ihnen viel Spaß beim Stöbern!
Steinbeis-Transferzentrum Projektierung und Evaluierung von Netzwerken, Stralsund
Björn Anton
Prof. Dr.-Ing. Andreas Noack
Willkommensworte aus dem Ministerium
Wir freuen uns sehr über die Unterstützung des Ministeriums für Energie, Infrastruktur und Digitalisierung des Landes Mecklenburg-Vorpommern! Nachfolgend die Begrüßungsworte von Minister Christian Pegel.
„Die Landesregierung steht bei der Digitalisierung an der Seite unserer
Unternehmen. IT-Sicherheit spielt dabei eine große Rolle. Deshalb
unterstützen wir die Hochschule Stralsund und das
Steinbeis-Transferzentrum bei der Entwicklung einer IT-Security App für
Unternehmen, für einen unkomplizierten und bequemen Zugang zum Thema -
inklusive Erstcheck für ihre Unternehmens-IT-Sicherheit.“
Christian Pegel - Minister für Energie, Infrastruktur und Digitalisierung des Landes Mecklenburg-Vorpommern
„Die Landesregierung steht bei der Digitalisierung an der Seite unserer
Unternehmen. IT-Sicherheit spielt dabei eine große Rolle. Deshalb
unterstützen wir die Hochschule Stralsund und das
Steinbeis-Transferzentrum bei der Entwicklung einer IT-Security App für
Unternehmen, für einen unkomplizierten und bequemen Zugang zum Thema -
inklusive Erstcheck für ihre Unternehmens-IT-Sicherheit.“
Christian Pegel - Minister für Energie, Infrastruktur und Digitalisierung des Landes Mecklenburg-Vorpommern
News
Hier finden Sie Informationen zu Aktualisierungen dieser App sowie Veranstaltungen zur IT-Sicherheit in Mecklenburg-Vorpommern:
Offizieller Release der Security-App, siehe Pressemeldung (Link)
Sie benötigen Hilfe?
Digitalisierung ist ein sehr großer Themenkomplex und bietet enorm viele Chancen, aber auch einige Risiken! Die IT-Security App soll Ihnen dabei helfen, die Risiken der IT-Sicherheit besser einzuschätzen und geeignet gegenzusteuern. Doch nicht immer ist die Sachlage so einfach. Wenn Sie Hilfe benötigen, unterstützen wir Sie gerne!
Wer sind wir?
Das Steinbeis-TransferzentrumProjektierung und Evaluierung von Netzwerken ist seit dem Jahr 1998 an der Hochschule Stralsund angesiedelt und wird von Prof. Dr. Bernhard Stütz geleitet und beschäftigt mehrere Mitarbeiter und Projektleiter. Seit der Gründung unterstützen wir Sie Handwerks- oder Kleinbetriebe, mittlere Unternehmen, kommunale Institutionen und Existenzgründer mit Know-how aus dem Bereich der Netzwerktechnik.
Unser neues Projekt. Gemeinsam mit Projektleiter Prof. Dr. Andreas Noack bieten wir eine durch Profis unterstützte studentische Unternehmensberatung an. Das Angebot ermöglicht uns eine individuelle und flexible Preisgestaltung, denn Sie entscheiden über die Zusammensetzung des Beraterteams, ganz nach Ihren Bedürfnissen!
Studierende der IT-Sicherheit oder Softwareentwicklung
Doktoranden und Post-Docs
Professoren
Wobei unterstützen wir Sie?
Wir bieten Beratung und Schulung zu den Themenkomplexen:
Serversysteme
Netzwerkinfrastruktur
Internet der DInge (IoT)
Künstliche Intelligenz (KI)
Tooling und DevOps
Außerdem begleiten wir Sie bei Ihren Projekten oder führen diese für Sie durch:
Entwicklung von Konzepten (Sicherheit, Netzwerkaufbau, Software, ...)
Geschäftsführung: Prof. Dr. Michael Auer (Vorsitz), Dipl.-Kfm. Manfred Mattulat
Disclaimer
Haftung für Inhalte
Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.
Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Haftung für Links
Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar.
Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Urheberrecht
Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers. Downloads und Kopien dieser Seite sind nur für den privaten, nicht kommerziellen Gebrauch gestattet.
Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.
Datenschutzerklärung
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung auf unserer Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie unsere Website betreten.
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung, Sperrung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Details hierzu entnehmen Sie der Datenschutzerklärung unter „Recht auf Einschränkung der Verarbeitung“.
2. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Steinbeis-Transferzentrum Projektierung und Evaluierung von Netzwerken
Zur Schwedenschanze 15
18435 Stralsund
Germany
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o. Ä.) entscheidet.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)
Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Die jeweilige Rechtsgrundlage, auf denen eine Verarbeitung beruht, entnehmen Sie dieser Datenschutzerklärung. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Widerspruch nach Art. 21 Abs. 1 DSGVO).
Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Wenn Sie widersprechen, werden Ihre personenbezogenen Daten anschließend nicht mehr zum Zwecke der Direktwerbung verwendet (Widerspruch nach Art. 21 Abs. 2 DSGVO).
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
Recht auf Datenübertragbarkeit
Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
Auskunft, Sperrung, Löschung und Berichtigung
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden.
Recht auf Einschränkung der Verarbeitung
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit unter der im Impressum angegebenen Adresse an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen:
Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, benötigen wir in der Regel Zeit, um dies zu überprüfen. Für die Dauer der Prüfung haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn die Verarbeitung Ihrer personenbezogenen Daten unrechtmäßig geschah / geschieht, können Sie statt der Löschung die Einschränkung der Datenverarbeitung verlangen.
Wenn wir Ihre personenbezogenen Daten nicht mehr benötigen, Sie sie jedoch zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen benötigen, haben Sie das Recht, statt der Löschung die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie einen Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben, muss eine Abwägung zwischen Ihren und unseren Interessen vorgenommen werden. Solange noch nicht feststeht, wessen Interessen überwiegen, haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Wenn Sie die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt haben, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines Mitgliedstaats verarbeitet werden.
3. Datenerfassung auf unserer Website
Anfrage per E-Mail, Telefon oder Telefax
Wenn Sie uns per E-Mail, Telefon oder Telefax kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und / oder auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), da wir ein berechtigtes Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen haben.
Die von Ihnen an uns per Kontaktanfragen übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt.
Transport Layer Security (TLS) ist ein sehr wichtiges Protokoll im Internet, alle https-Aufrufe nutzen es. Das Protokoll hat die folgenden Aufgaben:
Sichere Verschlüsselung der Kommunikation
Authentifizierung/Identifizierung des Servers
Wird https eingesetzt und der aktuelle Browser gibt keine Fehlermeldungen oder Warnungen aus, lässt sich in der Regel davon ausgehen, dass die Kommunikation sicher verschlüsselt ist und man mit dem richtigen Server (passend zur Adresse) kommuniziert.
Diese Aussage muss insofern abgeschwächt werden, als das Hacker ein ganzes Repertoire an Möglichkeiten haben, eine sichere Verbindung vorzugaukeln oder die Kommunikation anderweitig zu beeinflussen. Eine gesunde Skepsis sollte daher auch bei aktiver https-Verbindung an den Tag gelegt werden!
Gegen das TLS-Protokoll und seinen mittlerweile unsicheren Vorgänger SSL (SSL 3.0 entspricht etwa TLS 1.0, im August 2018 erschien TLS 1.3) gibt es viele Angriffe. Moderne Browser sind daher angehalten, eine möglichst aktuelle Version von TLS zu verwenden, am besten TLS ≥ 1.2.
Der Webserver gibt jedoch vor, welche Versionen von TLS und SSL genutzt werden können. Wie sicher eine Verbindung Ihres Browsers zu einer Webseite ist, hängt daher maßgeblich von dem Webserver der Webseite ab (siehe auch Tests). In kritischen Fällen wird Ihr Browser jedoch warnen oder die Verbindung zu einem unsicheren Server gänzlich verweigern. Was können Sie tun? Nutzen Sie einen modernen Browser wie Chrome oder Firefox, den Sie stets auf dem aktuellen Update-Stand halten. Hiermit reduzieren Sie das Risiko, einem Hackerangriff ausgesetzt zu werden. Über die Sicherheit Ihrer aktuellen Verbindung können Sie sich informieren, indem Sie auf das Symbol links neben der https://-Adresse clicken.
HTTPS-Informationen in Google Chrome
HTTPS-Informationen in Mozilla Firefox
Webserver, Programmierung und Content-Management-Systeme
Die Sicherheit einer Webseite hängt nicht allein von der verwendeten TLS-Version und deren Einstellungen ab, sondern auch von der Programmierung der Seite selbst. Öffnet die Webseite Angriffspotential für Hacker, kann eine im Hintergrund arbeitende Datenbank schnell übernommen, ein Webshop betrogen (z.B. neuer Preis für Artikel X = -50,00 EUR) oder die Webseite unerlaubt verändert (z.B. Verteilung von Malware an Seitenaufrufende) werden.
Die Sicherheitsrisiken können vielfältig sein. In den nächsten Unterkapiteln gehen wir kurz auf diese Risiken ein.
Version des Webservers
Betreiben Sie eine Webseite? Achten Sie nicht nur darauf, dass Sie eine aktuelle Version von TLS einsetzen, sondern auch der Webserver selbst und seine verwendeten Plugins sollten in einer aktuellen Version vorliegen.
Täglich werden neue Sicherheitslücken gefunden und Angriffe geschrieben, eine Suchfunktion nach aktuellen Angriffen für die gebräuchlichen Webserver Apache, Nginx und IIS finden Sie in der Rubrik Tests.
Programmierung
Die Programmiersprachen, die genutzt werden, um eine Webseite zu erstellen können selbst Fehler enthalten oder durch eine fehlerhafte Programmierung Angriffsoberfläche anbieten! Selbst professionelle Software-Entwickler machen auf 1000 Zeilen Programmiercode im Durschnitt einen Fehler. Bei großen Projekte gibt es oft über 100.000 Zeilen Quellcode, manchmal sogar noch erheblich mehr.
Wenn Sie mit einer Webapplikationen Geld verdienen oder auf diese stark angewiesen sind, sollten Ihre Entwickler in sicherer Softwareentwicklung geschult sein und das Produkt extern auditiert werden. Auf diese Art und Weise können Sie die Anzahl der sicherheitskritischen Fehler reduzieren, bevor ein Hackerangriff auftritt und potentiell hohe Folgekosten mit sich bringt.
Typische Angriffe gegen Webapplikationen sind:
SQL Injection
Das Ausnutzen schwacher Passwörter (Maßnahme: Passwortrichtlinie) oder unsicher gespeicherten Informationen
Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), ...
Eine gute Quelle, um sich über die Gefahren von Webseiten zu informieren ist das Open Web Application Security Project (OWASP). Regelmäßig gibt die OWASP eine Top 10 Liste heraus (siehe OWASP Top 10 (2017)), die über die aktuell zehn häufigsten Schwachstellen in Webapplikationen/Webseiten informiert.
Content-Management-Systeme
Für professionelle Webapplikationen gibt es einige Baukasten-Produkte in Form von Content-Management-Systemen (CMS). Bekannte Produkte sind z.B. Wordpress, Drupal, Joomla oder Typo3.
Ganz besonders diese Produkte müssen permanent auf dem aktuellen Stand gehalten werden, um Angreifer abzuwehren. Problematisch ist die große Verbreitung, denn wenn eine Sicherheitslücke in einem CMS entdeckt wird, geht diese Information in Hackerkreisen herum und es werden in einem sehr kurzen Zeitraum viele Webapplikationen mit diesem CMS attackiert.
Aktuelle Sicherheitslücken finden sich zum Teil öffentlich wieder (siehe auch Rubrik Tests) oder werden als 0-Day-Exploits im Darknet verkauft. Die Bezeichnung 0-Day bezieht sich auf die Dauer nach der Entdeckung des Angriffs durch die Öffentlichkeit, gemeint sind also der breiten Öffentlichkeit unbekannte Angriffe. Siehe auch Was ist ein Zero-Day-Exploit?.
Speicherung von Zugangsdaten
Wenn Sie eine Webseite betreiben, bei der Nutzer sich registrieren können, müssen Sie sich mit dem Thema der Speicherung von Zugangsdaten auseinandersetzen. Gelingt es einem Hacker durch eine ungepatchte Sicherheitslücke, die Benutzernamen und Passwörter aus Ihrer Datenbank zu extrahieren, kann dies einen enormen Schaden für das Renommee Ihrer Webseite bedeuten. Weiterhin drohen ggf. rechtliche Konsequenzen (Datenschutz usw.).
Um den Schaden zu minimieren, ist es wichtig, dem Hacker das Handwerk zu erschweren! Anstatt die Passwörter im Klartext in der Datenbank zu speichern, sollten moderne Verfahren zur Speicherung von Passwörtern genutzt werden, z.B. sha512-crypt. Zusätzlich ist darauf zu achten, dass jedes Passwort mit einem zufälligen Salt-Wert codiert wird.
Beide Maßnahmen führen dazu, dass der Hacker viel Rechenaufwand und eine lange Zeit benötigt, um die codierten Passwörter zu ermitteln.
Wenn es einem Hacker tatsächlich gelungen ist, Passwörter aus Ihrer Datenbank zu stehlen (Notfall, siehe auch Organisatorisches), sollten Sie Ihre Nutzer umgehend darüber informieren und sie bitten, die Passwörter zu erneuern. Weiterhin bringen Sie den Hinweis unter, dass das genutzte Passwort nun als unsicher gilt und auch bei anderen Diensten nicht mehr genutzt werden darf (nur, um sicher zu gehen...). Warnung: Benutzernamen und Passwörter werden im Darknet verkauft, oft mehrfach gekauft und für diverse Zwecke genutzt.
(Distributed) Denial of Service (DDoS)
Denial of Service (DoS) Angriffe verhindern auf unterschiedliche Arten, dass ein Dienst seine Arbeit weiterhin verrichten kann. Ansatzpunkte für einen DoS Angriff sind:
Überlastung der Internet-Anbindung
Überlastung eines Servers (z.B. Prozessorlast, Arbeitsspeicher)
Ausnutzen von Sicherheitslücken, die den Betrieb verhindern
Oft genutzt wird auch der Begriff DDoS (Distributed DoS), der einen gemeinsamen Angriff vieler Systeme beschreibt. Die aktiven Teilnehmer eines DDoS-Angriffs sind sich ihrer Taten dabei oft nicht bewusst, denn häufig werden hierzu Botnetze verwendet. Ein Botnetz besteht dabei aus mit fernsteuernder Malware infizierten PCs, Servern und IoT-Geräten.
Die Verteidigung gegen (D)DoS-Angriffe ist nicht trivial. Nach der obligatorischen Empfehlung für zeitnahe Sicherheitsupdates und einer sicheren Konfiguration (Ansatzpunkte 2. und 3.) lässt sich eine Überlastung der einkommenden Bandbreite (Ansatzpunkt 1.) nicht auf dem eigenen System regulieren.
Ein DDoS-Sturm kann von einem Internetprovider oder ähnlich gut vernetzten Firmen, z.B. Content Delivery Networks (CDN) wie Akamai oder Cloudflare, vorgefiltert oder umgeleitet werden. Dieser Service ist für gewöhnlich nicht kostenlos und ist vor allem für große Webseiten und Webshops geeignet, bei denen eine Ausfallzeit durch einen DDoS-Angriff für finanzielle Folgen oder Verstimmungen sorgen würde. Das Androhen von DDoS-Angriffen ist Geschäftsmodell von Hackern. Weitere Informationen finden Sie z.B. hier So funktionieren DDoS-Angriffe.
Frequently Asked Questions (FAQ)
F:
Woran erkennt man eine sichere Verbindung?
A:
Achten Sie auf das https zu Beginn der URL. Weiterhin können Sie erweiterte Sicherheitsinformationen über einen Click auf das Symbol vor der URL einsehen.
F:
Kann man TLS grundsätzlich vertrauen?
A:
Grundsätzlich immer vertrauen sollte man keinem Verfahren, allerdings ist TLS ein sehr etabliertes Sicherheitsprotokoll. Nutzen Sie eine aktuelle Version (TLS ≥ 1.2), um sicherzugehen.
F:
Gibt es Möglichkeiten, eine TLS-Verbindung zu kompromittieren?
A:
Ja, da gibt es verschiedene Möglichkeiten. Neben den Angriffen auf das TLS-Protokoll selbst (von Zeit zu Zeit werden Schwachstellen entdeckt) bildet das digitale Zertifikat des Servers den Vertrauensanker. Wenn ein Angreifer in der Lage ist, das Zertifikat zu manipulieren, ein gefälschtes Zertifikat zu erlangen oder ein falsches Zertifikat als gültig erscheinen zu lassen, kann er eine TLS-Verbindung unter seine Kontrolle bringen.
F:
Wie kann man sich gegen DoS-Angriffe schützen?
A:
Mit Hilfe spezieller Firewallregeln lassen sich einige DoS-Angriffe abschwächen. Ziel ein DoS-Angriff allerdings auf die Bandbreite der Internetanbindung des Servers ab, sind Profis gefragt. Auf der Seite des Internet Service Providers (ISP) oder bei Content Delivery Networks (CDN) gibt es Lösungsmöglichkeiten, die den anfallenden Internettraffic entsprechend filtern.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Webseiten:
Informationen über Webseiten sammeln
Es gibt verschiedene Webapplikationen, die Informationen über beliebige Adressen (URL) sammeln und ausgeben. Diese Information können hilfreich sein, um Probleme mit der eigenen Webseite zu identifizieren oder herauszufinden, welche Informationen über Ihre Webseite und den Webserver öffentlich sind.
Weiterhin gibt es eine Testapplikation (engl.), die den HTML-Code von Webapplikationen auf Korrektheit überprüft und Fehler bzw. Abweichungen vom Standard anzeigt:
Sicherheitslücken von Webservern und anderer Software suchen
Über die folgenden Links suchen Sie nach aktuellen Sicherheitslücken (und Angriffscode) von üblichen Webservern. Wenn für Ihren Webserver Angriffe existieren, sollten Sie dringend updaten!
In der Exploit-Datenbank finden sich neben den Webservern noch viele weitere Sicherheitslücken, z.B. für Content-Management-Systeme wie Wordpress, Drupal, Joomla oder Typo3.
Suchen Sie direkt in der Datenbank nach beliebigen Stichworten:
Linksammlung
OWASP Top 10 (2017) Im OWASP Top 10 (2017) Bericht werden die häufigsten Sicherheitsprobleme von Webseiten/Webapplikationen ermittelt und in einer übersichtlichen Form dargestellt (engl.).
So funktionieren DDoS-Angriffe In diesem Artikel wird der Begriff DDoS erläutert, Techniken genannt und Gegenmaßnahmen ausgeführt.
Netcraft Eine Webapplikation (engl.), die ausführliche Informationen über den Webserver und die Webseitenprogrammierung von beliebigen Adressen ermittelt.
BrowserSPY Eine Webapplikation (engl.), die Informationen über den Webserver von beliebigen Adressen ermittelt.
W3C Markup Validation Service Die W3 bietet einen Test an (engl.), der beliebige Webapplikationen auf korrekten HTML-Code untersucht und nicht standard-konforme Lösungen anzeigt.
Exploits Apache Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Apache Webserver, der derzeit weltweit am häufigsten genutzt wird.
Exploits Nginx Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Nginx Webserver.
Exploits IIS Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Microsoft IIS Webserver.
Wireless Local Area Network (WLAN) ist eine Technologie zur drahtlosen Übertragung von Daten, der sich heute kaum noch jemand verwehren kann. Definiert im Institute of Electrical and Electronics Engineers (IEEE) Standard 802.11 gibt es mittlerweile viele Varianten, die sich in Details unterscheiden. Die folgende Tabelle gibt einen kleinen Einblick in die unterschiedlichen Erweiterungen von IEEE 802.11.
Bezeichnung
Beschreibung
802.11
Der Basisstandard, ursprünglich nur auf der Frequenz 2.4 GHz mit max. 2 Mbit/s und einer Reichweite von ca. 20m in Gebäuden. Hierin wurde auch der Sicherheitsstandard Wired Equivalent Privacy (WEP) definiert.
802.11b/g
Die Erweiterung des Basisstandards auf 2.4 GHz mit drei nicht überlappenden Kanälen (z.B. 1, 6, 11) und brutto Übertragungsraten von max. 11 Mbit/s (802.11b, netto ~ 4.3 Mbit/s) bzw. max. 54 Mbit/s (802.11g, netto ~ 20 Mbit/s).
802.11n (Wi-Fi 4)
Verbreiterung der Kanäle und Einführung von mehreren Sende/Empfangseinheiten (MIMO), die parallel genutzt werden. Hierdurch entsteht eine robustere Verbindung und größere Reichweite (bis zu 70m in Gebäuden), denn es gibt aufgrund der Signalreflektionen der Umwelt (z.B. Wände) mehrere Wege zum Ziel. Außerdem wird hierdurch die Übertragungsrate erhöht, bis zu 600 Mbit/s sind brutto möglich (netto ~ 240 Mbit/s).
802.11a
Diese Erweiterung erlaubt die WLAN-Kommunikation auf der Frequenz 5 GHz mit 19 nicht überlappenden Kanälen, die gleichzeitig genutzt werden können. In diesem Basisstandard sind brutto max. 54 Mbit/s möglich (netto ~ 23 Mbit/s), in Kombination mit IEEE 802.11n jedoch mehr. Die Reichweite der 5 GHz Kommunikation ist aufgrund höheren Frequenz grundsätzlich geringer als bei der Kommunikation auf 2.4 GHz.
802.11ac (Wi-Fi 5)
Mit optimierten Modulationsverfahren, mehreren Sende/Empfangseinheiten (MIMO) und breiteren Kanälen ermöglicht der ac-Standard Brutto-Übertragungsraten von max. 6.9 Gbit/s (8x8 MIMO + 160 MHz Kanäle), was von den meisten Geräten wie Accesspoints oder Smartphones aber nicht in dem Ausmaß unterstützt wird. Diese Erweiterung nutzt ausschließlich das 5 GHz Band und erreicht eine Entfernung von max. 70m in Gebäuden.
802.11ax (Wi-Fi 6)
Der AX-Standard ist der Nachfolger des AC-Standards und liefert durch neue Modulationsverfahren (OFDMA) und MU-MIMO (Multi-User-Multiple-Input Multiple-Output) höhere Übertragungsraten, wobei sowohl der 5 GHz als auch der 2.4 GHz Bereich genutzt werden kann. Mit der Erweiterung Wi-Fi 6E kann zusätzlich ein Spektrum von 480 MHz im 6 GHz Bereich verwendet werden.
802.11s
Standard für Wireless Mesh Netzwerke (WMN). Mesh-Netzwerke stellen ein vermaschtes redundantes Netzwerk zwischen mehreren drahtlosen Geräten her, Geräte leiten die Pakete untereinander weiter. So kann drahtloses Netzwerk kostengünstig, d.h. ohne Verlegung von Kabeln, vergrößert werden.
IEEE 802.11 Standards [IEEE 802.11 Standard (2016)]
Vor dem Aufsetzen eines Wireless LANs stellt sich zunächst die Technologiefrage. Die meisten aktuellen Endgeräte (Smartphones, Tablets, Notebooks) unterstützen entweder IEEE 802.11n oder sogar IEEE 802.11a(c). Beide Standards arbeiten aufgrund der MIMO-Technik robuster als herkömmliche Standards und sollten somit bevorzugt werden.
Wird eine größere Reichweite (weniger Accesspoints) benötigt und befinden sich wenige WLANs im Umfeld, empfiehlt sich die 2.4 GHz Frequenz.
Hier gibt es drei nicht überlappende Frequenzen (z.B. Kanal 1, 6 und 11 für 20 MHz Kanäle), die so weit auseinander liegen, dass sie sich gegenseitig nicht stören.
Wenn viele WLANs im Umkreis funken und sich kein freier 2.4 GHz Kanal mit ausreichend Abstand (4 Kanäle nach oben/unten) identifizieren lässt, lohnt sich ein Blick in das 5 GHz Frequenzspektrum. Hier finden sich 19 nicht überlappende Kanäle, so dass es eine größere Wahrscheinlichkeit gibt, einen ungenutzten zu entdecken.
Auch hier gibt es unterschiedliche Kanalbreiten und eine Einschränkung der Sendeleistung bei den Kanälen 36-64 und 149-165. Weiterhin muss für die Kommunikation auf 5 GHz (selbst mit den Kanälen 100-140) eine Einschränkung der Reichweite gegenüber 2.4 GHz einkalkuliert werden.
Grundsätzlich ist es möglich, dass Kanäle doppelt genutzt werden! Jedoch verringert sich die eigene Übertragungsrate bei Überbelegung des Mediums, denn zur selben Zeit darf immer nur ein Endgerät senden. Für mobile Endgeräte gibt es eine Reihe von Apps, mit denen man einen freien Kanal im WLAN identifizieren kann, z.B. für Android WiFiAnalyzer (open-source) oder WiFi Analyzer.
Sicherheit im Wireless LAN
Die Sicherheit im Wireless LAN ist ein komplexes Thema, denn es gibt viele Stellschrauben, an denen gedreht werden kann. Dieses Kapitel beleuchtet die einzelnen Konfigurationsoptionen, erklärt Zusammenhänge sowie Hintergründe und spricht eine Empfehlung für eine sichere WLAN-Konfiguration aus.
Unverschlüsselt/Hot Spot
Wireless LANs können unverschlüsselt/offen betrieben werden, oft als sogenannte Hot Spots. Hierbei werden alle Daten im Klartext kommuniziert und können von anderen Endgeräten in Reichweite potentiell aufgezeichnet oder sogar verändert werden. Hot Spots oder offene WLANs findet man an diversen Standorten, z.B. im ICE, im Hotel oder bei diversen Fast-Food Ketten. Endgeräte verbinden sich manchmal automatisch mit diesen offenen Netzen, anschließend muss oftmals im Browser ein Code (z.B. von der Rezeption des Hotels) eingegeben oder die AGBs bestätigt werden, bevor der Internetzugang funktioniert.
Warnung: Jegliche Kommunikation, die nicht anderweitig verschlüsselt ist (z.B. https), kann mitgelesen oder kompromittiert werden. Ihr E-Mail Passwort ist beispielsweise in Gefahr, wenn die E-Mail-App des Smartphones Ihre Nachrichten regelmäßig unverschlüsselt abholt.
Wenn Sie unsicher sind, ob sich Ihre Apps durch Verschlüsselung ausreichend schützen, verzichten Sie im Zweifelsfall auf das Hotel-WLAN oder andere offene Accesspoints.
Wired Equivalent Privacy (WEP)
Mit dem Standard Wired Equivalent Privacy (WEP) verschlüsselte WLANs gelten als unsicher (Rechtsprechung: grob fahrlässig). Wenn ein Endgerät im WEP-Netzwerk aktiv ist, benötigt ein Angreifer im besten Fall ca. 60 Sekunden, um den geheimen Schlüssel des Netzwerks zu entwenden. Anschließend kann der Angreifer in diesem Netzwerk jegliche Kommunikation mitlesen und ändern.
Die entsprechenden Hackertools sind frei im Internet verfügbar, WEP sollte somit nicht mehr genutzt werden!
Wi-Fi Protected Access (WPA)
Es gibt drei Versionen des Wi-Fi Protected Access (WPA) Standards:
WPA(1) - WPA verbessert die Sicherheit gegenüber WEP deutlich, wurde allerdings als Übergangsstandard ausgelegt, der einen Betrieb mit der alten WEP-Hardware ermöglichen sollte. im Mittelpunkt steht das Temporary Key Integrity Protocol (TKIP), welches die gleichen kryptographischen Algorithmen wie das gebrochene WEP-Protokoll (RC4-Chiffre) nutzt, jedoch die Sicherheit an einigen Schwachstellen von WEP nachbessert. Einige der Angriffe gegen WEP lassen sich auf TKIP übertragen.
WPA2 - Mit WPA2 wurde das Counter/CBC-Mac Protocol (CCMP) mit der Chiffre AES obligatorisch. Im Vergleich zu TKIP entspricht dies einem Neudesign, welches in Konsequenz deutlich robuster gegen Angreifer ist.
WPA3 - Der Nachfolger WPA3 beseitigt verbessert die Sicherheit erneut, bekannte Angriffsvektoren gegen WPA2 laufen hiermit ins Leere.
Technische Details zu den Sicherheitsstandards [anzeigen].
WPA führte die beiden Standards TKIP und CCMP ein. In beiden Standards wurde ein Schlüsselmanagement implementiert, d.h.
Unterstützung für Personal (Pre Shared Key, kurz: PSK) und Enterprise Modus (Benutzernamen und Passwörter)
Jeder Teilnehmer bekommt individuelle, temporäre Schlüssel: Pairwise Transient Key (PTK) und Groupwise Transient Key (GTK). Der PTK wird aus dem Pairwise Master Key (PMK) abgeleitet, welcher
im Personal Mode wiederum aus dem Pre Shared Key (PSK) abgeleitet
im Enterprise Mode mit einem Extensible Authentication Protocol (EAP) individuell ausgehandelt
wird. Der PTK wird für die Verschlüsselung der WLAN-Pakete genutzt, der GTK für Nachrichten des Accesspoints an alle angemeldeten WLAN-Endgeräte zur selben Zeit.
Maximale Gültigkeitsdauer für Schlüssel
Angriffe:
Der für das Aushandeln der temporären Schlüssel genutzte 4-Wege-Handshake kann nach dem Aufzeichnen mit Bruteforce oder einem Wörterbuchangriff angegangen werden. Hierdurch können schwache Pre Shared Keys (PSK) offengelegt werden. Durch eine Angriffstechnik aus dem Jahr 2018 [PMKID-Angriff] wird das Aufzeichnen des 4-Wege-Handshake teilweise unnötig. Nutzen Sie sichere Passwörter!
TKIP ist unter bestimmten Umständen anfällig für das Einschleusen von fremden/gefälschten Nachrichten (chopchop). Nutzen Sie CCMP!
TKIP-Accesspoints können unter gewissen Umständen dazu gebracht werden, Endgeräte vorübergehend auszusperren (Problem mit Michael ICV). Nutzen Sie CCMP!
Endgeräte können von Dritten aus dem WLAN-Netzwerk getrennt/blockiert werden. Nutzen Sie die Erweiterung IEEE 802.11w (Protected Management Frames) oder WPA3!
Wenn ein Endgerät den 4-Wege-Handshake eines anderen aufzeichnet, kann er dessen temporären Schlüssel berechnen, wenn ihm der Pre Shared Key (PSK) des WLANs bekannt ist. Nutzen Sie den Enterprise Mode oder WPA3!
WPA2 entspricht der vollständigen Umsetzung der Standarderweiterung IEEE 802.11i (RSN => Robust Security Network), eine Unterstützung von CCMP mit der Chiffre AES wurde damit obligatorisch.
Mit WPA3 wird der 4-Wege-Handshake gegen Simultaneous Authentication of Equals (SAE) ersetzt, was eine Resistenz gegen Bruteforce-/Wörterbuchangriff auf das Passwort bringt. Weiterhin werden Management Frames grundsätzlich abgesichert, so dass ein Denial of Service (DoS) Angriff (Endgeräte trennen) nicht mehr möglich ist. Zusätzlich entfällt die schwache Protokollvariante TKIP bei WPA3.
Betriebsmodus
Es gibt seit WPA zwei verschiedene Betriebsmodi:
Personal Mode
Enterprise Mode
Im Personal Mode wird für alle Endgeräte das gleiche WLAN-Passwort: Pre Shared Key (PSK) genutzt. Aus diesem Schlüssel werden temporäre individuelle Schlüssel für jedes Endgerät berechnet.
Die Anmeldung im Enterprise Mode wird mit Benutzernamen und Passwörtern vorgenommen. Unternehmen oder Behörden nutzen meistens diese Variante, da ein Rückschluss auf einzelne Teilnehmer möglichst ist und sich ein gemeinsames Passwort bei vielen Teilnehmern nur begrenzt geheim halten ließe.
Ein Authentication Server (z.B. RADIUS oder Diameter) verwaltet die Zugangsdaten und interagiert in der Anmeldephase (via EAP-Protokollen) mit den WLAN-Nutzern.
Wi-Fi Protected Setup (WPS)
Diese Technologie wurde geschaffen, um Nutzern einen einfachen Zugang zum WLAN zu ermöglichen. Dabei wird ein komplexer Schlüssel generiert, der nach der Eingabe einer PIN oder nach einem Tastendruck (Push-Button) von dem Acesspoint an das Endgerät übertragen wird.
Im Fall der PIN lässt sich dieses Verfahren mit verfügbaren Tools angreifen (siehe WPS-WLAN-Hacking). Wenn ein Angreifer das WLAN abhört, während die Push-Button Variante verwendet wird, kommt er in den Besitz des Schlüssels. Es ist jeweils zu bedenken, dass der Abstand eines Angreifers mit einer kostengünstigen Richtfunkantenne (WLAN-Richtfunk mit Hausmitteln) erheblich vergrößert werden kann.
Diverse Sicherheitsfeatures
Neben WPS gibt es diverse Features, die die Sicherheit des WLANs verbessern sollen.
Versteckte ESSID. Einige Accesspoints erlauben das Verstecken der ESSID. Dies führt dazu, dass zwar nicht mehr der Textname der Funkzelle versendet wird, jedoch trotzdem Informationen über dessen Parameter in Abständen von 100ms. Hinzu kommt, dass WLAN-Endgeräte permanent nach abgespeicherten versteckten Netzwerken fragen, so dass sie anhand dieser Fragen identifiziert und bei entsprechender Benennung der ESSID sogar einem Haushalt zugeordnet werden können.
MAC Adressfilter. Viele Accesspoints ermöglichen die Beschränkung des Zugangs auf bestimmte Endgeräte mit deren physikalischen Adressen (MAC-Adresse). Für Hacker ist es einfach, diese Adressen zu fälschen. Da genutzte Adressen im WLAN unverschlüsselt übertragen werden, kann ein Angreifer zudem schnell eine gültige Adresse ermitteln.
Beide Verfahren erhöhen die tatsächliche Sicherheit nicht, verursachen sogar ggf. Probleme. Damit Anwender sich durch diese Funktionen nicht in falscher Sicherheit wiegen, raten wir von der Nutzung dieser Techniken ab.
Empfehlung für das Aufsetzen eines WLANs
Privat
Personal Mode (gemeinsames Passwort)
WPA2 (AES/CCMP) oder WPA3
Zufälliges Passwort (≥ 12 Zeichen)
WPS deaktivieren
ESSID nicht verstecken, kein MAC Adressfilter
Geschäftlich
Enterprise Mode (Bernutzernamen und Passwörter)
WPA2 (AES/CCMP) oder WPA3
Sicheres EAP-Protokoll, z.B. EAP-TLS, EAP-PWD, EAP-TTLS oder EAP-PEAP mit MSCHAPv2 (kein PAP!)
Zufällige Benutzerpasswörter
WPS deaktivieren
ESSID nicht verstecken, kein MAC Adressfilter
Zugriffsrechte der Benutzergruppen durchsetzen (Gäste, Geschäftsführung, Personalabteilung, ...)
Zugriffe der Endgeräte untereinander verbieten (Client Isolation), nur Server/Internet
Hot Spots und Gäste-WLAN
Hot Spots sind öffentliche WLAN-Netzwerke, die in der Regel unverschlüsselt betrieben werden. Gäste-WLANs verfügen oft über ein Standardpasswort, welches sich die Gäste leicht einprägen können und das somit auch selten gewechselt wird. Oft können Angreifer solche Passwörter einfach bestimmen.
Wenn Sie öffentliche WLAN-Netze oder Gäste-WLANs verwenden, nehmen Sie in Kauf, dass Ihre Kommunikation abgehört und sogar verändert werden kann. Insofern Sie nicht gewährleisten können, dass alle Ihre genutzten Internetdienste (auch Apps!) sicher kommunizieren, gehen Sie damit ein Risiko ein.
Für offene Wireless LANs gab es lange eine Störerhaftung, d.h. der Betreiber war verwantwortlich für seine Gäste. Diese Störerhaftung wurde 2018 abgeschafft, siehe: Gericht bestätigt Abschaffung der WLAN-Störerhaftung.
Frequently Asked Questions (FAQ)
F:
Welche WLAN-Einstellung eignet sich für zuhause?
A:
Personal Mode (d.h. gemeinsames Passwort) mit
WPA2 (AES/CCMP) oder WPA3
Zufälliges Passwort (≥ 12 Zeichen)
WPS deaktivieren
ESSID nicht verstecken, kein MAC Adressfilter
Wichtig ist, dass Sie ein sicheres, langes Passwort wählen. Da dieses Passwort relativ selten eingegeben werden muss, empfiehlt sich ein Passwort maximal möglicher Länge.
F:
Welche WLAN-Einstellung sollte im Unternehmen genutzt werden?
A:
Enterprise Mode (d.h. Bernutzernamen und Passwörter) mit
WPA2 (AES/CCMP) oder WPA3
Sicheres EAP-Protokoll, z.B. EAP-TLS, EAP-PWD, EAP-TTLS oder EAP-PEAP mit MSCHAPv2 (kein PAP!)
Zufällige Benutzerpasswörter
WPS deaktivieren
ESSID nicht verstecken, kein MAC Adressfilter
Zugriffsrechte der Benutzergruppen durchsetzen (Gäste, Geschäftsführung, Personalabteilung, ...)
Zugriffe der Endgeräte untereinander verbieten (Client Isolation), nur Server/Internet
Achten Sie bei den Benutzerpasswörtern ebenfalls auf eine sinnvolle Passwortrichtlinie. Weiterhin sollte als technische Lösung (Konfigurationstool) oder via Awareness-Kampagne darauf geachtet werden, dass alle Endgeräte sicher konfiguriert sind. Beispielsweise lassen ältere Android-Geräte eine Enterprise-WLAN Verbindung ohne Zertifikat zu, ohne zu warnen.
F:
Eignet sich die 2.4 GHz oder die 5 GHz Technologie besser in einer belebten Gegend?
A:
Die 5 GHz Technologie bietet bis zu 19 nicht überlappende Kanäle (anstatt drei Kanäle bei 2.4 GHz), die gleichzeitig ohne Einbußen kommunizieren können, allerdings ist die Reichweite etwas geringer. 5 GHz ist somit besser geeignet für eine dichte Besiedelung.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik WLAN:
none
Linksammlung
IEEE 802.11 Standard (2016) 802.11-2016 - IEEE Standard for Information technology--Telecommunications and information exchange between systems Local and metropolitan area networks--Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Dies ist der IEEE 802.11 WLAN Standard in der aktuellen Ausgabe. Enthalten sind alle Definitionen für das Wireless LAN Protokoll, allerdings nicht kostenlos verfügbar.
WiFiAnalyzer (open-source) Eine freie Android App ohne Werbung, mit der sich die aktuelle Nutzung der WLAN-Kanäle anzeigen lässt. Nützlich, um einen freien Kanal für das eigene WLAN zu finden.
WiFi Analyzer Eine Android App (mit Werbung oder Premiumversion), die einen Überblick über die aktuelle Kanalnutzung im WLAN gibt.
PMKID-Angriff WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router - ohne das Aufzeichnen des 4-Wege-Handshakes möglich.
WPS-WLAN-Hacking WPS-WLAN-Hacking: Brute-Force-Angriff auf die WPS-Pin (mit reaver)
WLAN-Richtfunk mit Hausmitteln Klobürstenständer aus Alu oder Edelstahl entpuppen sich als ausgezeichnetes Ausgangsmaterial für eine WLAN-Richtantenne. Passen Länge und Durchmesser, lassen sich Funknetze über weite Distanzen oder durch dicke Wände aufspannen.
Gericht bestätigt Abschaffung der WLAN-Störerhaftung Teilerfolg im Streit um Abmahnungen in offenen WLANs: Strafen aus der Zeit vor Abschaffung der Störerhaftung müssen bezahlt werden. Es könne aber nicht verlangt werden, zukünftige Rechtsverletzungen zu verhindern, urteilt das Oberlandesgericht München.
Die E-Mail ist einer der meistgenutzten Dienste im Internet, mit ihr lassen sich Texte und beliebige Anhänge im Internet versenden. Aus der technischen Perspektive werden für den Versand einer E-Mail mindestens zwei Server genutzt.
Der Postausgangsserver nutzt das Simple Mail Transfer Protocol (SMTP) um E-Mails an den zuständigen Posteingangsserver des Adressaten zu versenden. Dort angekommen, kann der Adressat die E-Mail via Post Office Protocol (POP3) oder Internet Messsage Access (IMAP) von seinem Posteingangsserver abholen. Dabei wird IMAP genutzt, wenn auf die E-Mails von mehreren Systemen gleichzeitig zugegriffen werden soll und das Postfach auf allen Systemen synchronisiert sein muss. Mit dem POP3-Protokoll wird zwischen lokalem Löschen und dem Löschen der E-Mails auf dem Server unterschieden, bei gleichzeitiger Nutzung durch mehrere Endsysteme kann hierdurch eine unterschiedliche Sicht auf das Postfach entstehen.
Sicherer Transport von E-Mails
Die Standardvarianten der Protokolle SMTP, POP3 und IMAP nutzen keine Verschlüsselung und übertragen sogar Benutzername und Passwort im Klartext!
Aus diesem Grund sind die SSL/TLS-Varianten SMTPS, POP3S und IMAPS zu empfehlen, die bei der kommunikation auf einen sicheren TLS-Tunnel setzen. In der Konfiguration gibt es oft zwei Optionen, z.B. 'SMTPS' und 'SMTP mit TLS', beide sind aus der Sicherheitsperspektive gleichwertig.
Werden die sicheren Varianten der E-Mail-Protokolle verwendet, können lokale Angriffe abgewehrt werden. Die Einstellung gewährleistet jedoch nicht, dass auch die E-Mail-Server im Internet die sicheren Protokollvarianten nutzen müssen!
Keine Ende-zu-Ende-Verschlüsselung
Auch bei eingestellter Verschlüsselung können E-Mails im Klartext kommuniziert werden, wenn die Server untereinander keine Transportverschlüsselung einsetzen. Darüber hinaus liegen E-Mails auf den E-Mail-Servern stets in unverschlüsselter Form vor.
Ein Schutz der E-Mail ist somit nur durch eine Verschlüsselung und digitale Signatur der E-Mail selbst möglich. Dies wird im nächsten Kapitel behandelt.
Sichere E-Mails
Es gibt zwei verbreitete Standards, um die E-Mail zu verschlüsseln und/oder einer digitalen Signatur zu versehen: PGP und S/MIME. Beide Ansätze verfolgen unterschiedliche Strategieen, setzen aber auf der selben Technik auf - der asymmetrischen Kryptographie.
E-Mail Verschlüsselung
Jeder Nutzer verfügt über ein zusammengehöriges Schlüsselpaar: Public-Key (PK) und Secret Key (SK). Der Public-Key wird veröffentlicht, der Secret Keygeheim gehalten. Anders als bei der herkömmlichen Verschlüsselung wird nicht nur ein Schlüssel zum Ver- und Entschlüsseln genutzt, sondern beide.
VerschlüsselungPK(Geheimer Text) => 5Kfm32§
EntschlüsselungSK(5Kfm32§) => Geheimer Text
Wenn Alice eine verschlüsselte E-Mail an Bob senden möchte, nutzt Alice den öffentlichen Schlüssel von Bob PKBob. Sobald die E-Mail mit PKBob verschlüsselt ist, ist Bob der einzige auf der Welt, der diese E-Mail wieder entschlüsseln kann. Denn nur Bob kennt den dafür benötigten zugehörigen privaten Schlüssel SKBob!
Das bedeutet, dass Sie verschlüsselte E-Mails nur an Personen senden können, die über ein solches Schlüsselpaar (PK, SK) verfügen und deren Public-Key Sie kennen.
E-Mail Signatur
E-Mails sollen unverändert beim Adressaten ankommen und auf dem Weg nicht verändert werden können. Dieses Ziel erreichen Sie mit einer digitalen Signatur, einer Unterschrift unter der E-Mail, die gewährleistet, dass kein Bit geändert wurde.
SignaturSK(Text) => Text + Signatur
VerifikationPK(Text + Signatur) => Richtig/Falsch
Die klassiche Unterschrift ist einzigartig und kann in der Regel nur von Ihnen unter ein Dokument gesetzt werden. Damit die digitale Signatur ebenfalls einzigartig ist, nutzen Sie hierfür Ihren privaten Schlüssel SK. Weil niemand außer Ihnen im Besitz des privaten Schlüssels Secret Key (SK) ist, sind Sie somit der einzige, der diese digitale Unterschrift leisten kann.
Dahingegen kann jeder, der Ihren öffentlichen Public Key kennt, die Unterschrift überprüfen!
Die digitale Signatur können Sie als Standardeinstellung für Ihre E-Mails nutzen, denn die E-Mail bleibt auch von denen lesbar, die keine Unterstützung für sichere E-Mails installiert haben. Die Signatur wird meistens als Datei im Anhang dargestellt.
PGP vs. S/MIME
Sowohl PGP als auch S/MIME bieten die Möglichkeit an, E-Mails zu verschlüsseln und zu signieren. Bei S/MIME bekommen Sie von einer vertrauenswürdigen Stelle (Certification Authority) nach der Überprüfung Ihrer Identität (E-Mail) ein beglaubigtes Schlüsselpaar (PK, SK).
PGP verfolgt dahingegen den Ansatz, dass sich jeder selbst ein Schlüsselpaar (PK, SK) generiert und sich dessen Korrektheit und Zugehörigkeit von möglichst vielen anderen unterschreiben lässt. Empfänger Ihrer digital signierten E-Mail stützen ihr Vertrauen dabei auf bekannte Beglaubiger Ihres Schlüsselpaars und dessen Verknüpfung mit Ihrer E-Mail Adresse.
S/MIME wird oft von Unternehmen oder Behörden genutzt und ist für den Privatanwender (beglaubigtes Schlüsselpaar) meistens nicht kostenlos, Ausnahmen gibt es aber CAcert Website: Kostenlose Zertifikate. Auf der anderen Seite unterstützt PGP (The GNU Privacy Guard (GPG), OpenPGP) den Open Source Gedanken und lässt sich in der Regel kostenlos nutzen, ist allerdings im Firmenumfeld kaum verbreitet. Eine weitere Entscheidungshilfe finden Sie hier: S/MIME vs. OpenPGP: Eine Entscheidungshilfe.
Die Unterstützung für PGP und S/MIME sind in die meisten aktuellen E-Mailclients integriert, z.B. Thunderbird (mit Enigmail), Outlook oder Evolution. Selbst für Smartphones gibt es Lösungen wie SMile: K-9 Mail – Advanced Email for Android, die E-Mail Verschlüsselung ermöglichen.
Hinweis: Auf die von PGP und S/MIME genutzten asymmetrischen kryptographischen Verfahren (z.B. RSA oder DSA/DSS) gibt es effiziente Angriffe, nutzen Sie daher Schlüssellängen von mindestens 2048 Bit (bei elliptische Kurven mindestens 256 Bit).
Sicherheitsprobleme von PGP und S/MIME
In beiden Varianten, PGP und S/MIME, werden die E-Mail Header (Betreff, From/To/CC-Adressen, Datum, ...) von Verschlüsselung und Signatur ausgenommen. Diese Informationen können also verändert werden, ohne dass dies dem Adressaten auffällt.
Weiterhin wurde im Jahr 2017 eine größere Schwachstelle in OpenPGP und S/MIME entdeckt: EFAIL, die dazu führte, dass verschlüsselte E-Mails unberechtigterweise entschlüsselt werden konnten.
Frequently Asked Questions (FAQ)
F:
Wenn ich SMTPs und IMAPs (sichere E-Mailkommunikation) nutze, sind E-Mails dann vertrauenswürdig?
A:
Nein, E-Mails können auf den Server oder während der Kommunikation zwischen Servern im Internet manipuliert werden.
F:
Warum bekomme ich manchmal keine Empfangsbestätigung, obwohl ich diese in Outlook angefordert habe?
A:
Die Empfangsbestätigung ist kein standardisiertes Verfahren der E-Mail Kommunikation und muss von der Gegenseite nicht unterstützt werden.
F:
Ein Kollege sendet seine E-Mails stets mit einem unleserlichen Anhang (z.B. Dateiname smime.p7s). Was ist das?
A:
Diese Anhänge sind digitale E-Mail-Signaturen. Insofern Ihr E-Mailclient Ende-zu-Ende Sicherheit unterstützt (PGP, S/MIME), können Sie diese Signaturen und damit den Inhalt der E-Mails auf Korrektheit prüfen.
F:
Sind Ende-zu-Ende signierte oder verschlüsselte E-Mails absolut sicher?
A:
Nein, in der Regel sind die Header (Betreff, Datum, Absender, Empfänger, ...) von den Sicherheitsmaßnahmen ausgenommen.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik E-Mail:
Testen Sie Ihr Wissen zum Thema E-Mail!
1) Werden E-Mails grundsätzlich verschlüsselt?
2) Überträgt das SMTP-Protokoll (Postausgang) auch das Passwort der E-Mailadresse unverschlüsselt?
3) Angenommen, Sie nutzen das verschlüsselte SMTPS Protokoll. Darf Ihr SMTP-Server die E-Mail an den Mailserver des Adressaten trotzdem über normales SMTP (Klartext) senden?
4) Ist eine digital signierte E-Mail lesbar, wenn der Empfänger weder S/MIME noch PGP unterstützt?
5) Welchen öffentlichen Schlüssel verwendet Alice, wenn Sie eine verschlüsselte E-Mail an Bob sendet?
6) Wie groß sollte die Schlüssellänge bei asymmetrischen Schlüsselpaaren (PGP, S/MIME) mindestens sein?
7) Kann ein Angreifer den Betreff oder das Datum einer digital signierten E-Mail unbemerkt verändern?
Linksammlung
CAcert Website: Kostenlose Zertifikate CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.
The GNU Privacy Guard (GPG) Projektwebseite von GNUPG, einer freien und kostenlosen Pretty-Good-Privacy (PGP) Alternative.
OpenPGP Projektwebseite von OpenPGP, einer freien und kostenlosen Pretty-Good-Privacy (PGP) Alternative.
EFAIL Diese Webseite beschreibt den Angriff auf OpenPGP und S/MIME aus dem Jahr 2017, der es ermöglichte, verschlüsselte E-Mails unberechtigterweise zu entschlüssen.
Je größer das Unternehmen ist, desto sinnvoller ist es, einen Notfallplan zu haben. Der Notfallplan wird bei Systemausfällen und außergewöhnlichen Vorfällen, z.B. wenn ein Server gehacked wurde, genutzt. Die folgenden Fragen soll ein Notfallplan beantworten:
Welche Auswirkungen und Folgen hat dieser Notfall?
Wie schnell muss gehandelt werden? Wie viel Ausfallzeit ist zu verkraften?
Was muss getan werden, um den Notfall zu regulieren?
Wer hat welche Verantwortlichkeiten? Wer vertritt wen?
Wer soll in welcher Reihenfolge kontaktiert werden?
Was steht in einem Notfallplan?
Sammlung der relevanten Dokumente und Informationen über das System, z.B. Zugangsdaten, Dokumentationen, Notfallscripte
Checklisten
Schritte zur Identifizierung des Problems.
Welche Schritte müssen in Fall X vorgenommen werden, damit der Betrieb weitergehen kann?
Zusätzlich: Wie wird das Backupsystem oder der Minimal/Notbetrieb aktiviert?
Informationen
Zuständigkeiten (inkl. Vertretung) mit Kontaktliste verknüpft.
Alarmketten, d.h. wer wird in welcher Reihenfolge informiert?
Die Beschreibung ist bis zu diesem Punkt sehr allgemein gehalten, denn Notfallpläne sollte es für alle für den Betrieb wichtigen Teilgebiete in einer Firma geben! Die IT und im Speziellen die IT-Sicherheit ist nur ein kleiner Teil, der mit mit einem Notfallplan versorgt sein sollte.
Allein auf die IT begrenzt gibt es schon viele unterschiedliche Aspekte, die berücksichtigt werden müssen, z.B.
Der Disaster Recovery Plan (DRP), manchmal auch als Business Continuity Plan (BCP) bezeichnet, kann ein Teil des Notfallplans sein, geht aber oft darüber hinaus. In ihm finden sich vollständige Anleitungen, wie ein nicht mehr lauffähiges System wieder in den normalen Betriebszustand gebracht werden kann.
Immer dann, wenn sich Parameter (vor allem Software) eines Systems ändern, muss der Disaster Recovery Plan angepasst oder aktualisiert werden. Damit der Disaster Recovery Plan auch sicher funktioniert, muss er regelmäßig getestet werden! Ohne Tests funktionieren die besten Pläne nicht, oft wegen Kleinigkeiten!
Weiterführende Informationen finden Sie z.B. hier: Zehn Punkte, die ein IT-Disaster-Recovery-Plan enthalten muss.
Backups
Um Datenverlusten durch Defekte oder Malware (Viren, Trojaner, Ransomware, ...) vorzubeugen, sind regelmäßige Backups unumgänglich. Backups können hierbei programmunterstützt oder manuell erfolgen. Wichtige Daten werden auf ein anderes physikalisches Medium übertragen, z.B.
Medium
Eignung
Anmerkungen
CD
-
Die Haltbarkeit von selbstgebrannten CDs ist zum Teil nur wenige Jahre kurz. Zudem ist die Kapizität sehr klein (ca. 700 MB).
DVD
-
Die Haltbarkeit von selbstgebrannten DVD ist noch kürzer als bei CDs. Dafür ist die Kapizität größer (ca. 4-9 GB).
Bluray
+
Die Haltbarkeit von selbstgebrannten Blurays beträgt mehr als 10 Jahre bei einer Kapizität von 25 bis 100 GB. Für mittelfristige Backups sind Blurays eine Möglichkeit.
USB-Stick
+
Einige USB-Sticks haben nur geringe Kapazitäten oder eine langsame Lese/Schreib-Geschwindigkeit, die Haltbarkeit ist größer als bei optischen Datenträgern und die Nutzung (durch Abwärtskompatibilität von USB) auch in den nächsten Jahren gewährleistet. USB-Sticks für Backupzwecke sollten exklusiv für Backup eingesetzt werden, da die Anzahl der Lese-/Schreibzyklen begrenzt ist.
externe Festplatte
+
Mit sehr großen Kapazitäten eigenen sich externe Festplatten gut für Backups. Bei mechanischen Festplatten (HDDs) kann die Haltbarkeit aufgrund permanenter Bewegungen geringer als bei Festplatten mit der Solid State Disk Technik (SSD) sein. SSD-Festplatten speichern die Daten elektrisch auf Speicherchips und erreichen damit deutlich schnellere Zugriffszeiten. Dafür weisen mechanische Festplatten die größeren Kapazitäten auf und sind günstiger zu erwerben.
NAS
o
Network Attached Storage ist ein Festplattenspeicher, der via Netzwerk zugreifbar ist. Wegen dem permanenten Einsatz ist die Haltbarkeit der eingesetzten Festplatten geringer als bei externen Festplatten, die nur für das Backup verwendet werden. Der Einsatz von Redundanz-Verbunden (RAID, z.B. Level 1, 5, 6, 10) wird stark empfohlen, damit der mechanische Ausfall einer Festplatte kompensiert werden kann. Die permanente Zugriffsmöglichkeit macht es Malware einfacher, diesen Speicher ebenfalls zu infizieren.
Cloud
+
Im Internet verfügbarer Speicher unterliegt in der Regel einem professionellen Backup-Konzept im jeweiligen Rechenzentrum. Ein Datenverlust ist sehr unwahrscheinlich. Dagegen spricht die Möglichkeit, dass die Cloud ein Opfer eines Hacker-Angriffs werden kann und dadurch Datenverluste/Kopien entstehen. Weiterhin ist mindestens der Rechenzentrumsbetreiber in der Lage, die gespeicherten Daten einzusehen. Deshalb empfehlen wir eine vollständige Verschlüsselung Ihrer Daten schon vor dem Upload (z.B. Cryptomator). Die ständige Verfügbarkeit Ihrer Daten hängt zusätzlich von Ihrer Internetverbindung ab, Up- und Download benötigen aufgrund der begrenzten Bandbreite länger als bei den anderen Verfahren.
Bandlaufwerk
+
Ursprünglich für den Backup-Zweck geschaffen, bieten Bandlaufwerke eine sehr hohe Kapazität und Haltbarkeit. Diese Technik wird überwiegend im professionellen Umfeld, z.B. Rechenzentren, eingesetzt.
Die Regelmäßigkeit der Backups hängt davon ab, wie schmerzhaft eine Rückstufung der jeweiligen Daten auf den Stand von gestern, vorgestern, vor einer Woche oder vor einem halben Jahr ist. Dabei können Backups natürlich auch unregelmäßig vorgenommen werden, jedoch empfehlen wir dies ausdrücklich nicht (ein ungünstiger Zeitpunkt kann dazu führen, dass Backups ausgelassen werden.).
Bei Sicherungen von ausführbaren Dateien oder kompletten Systemen sollte Sie darauf achten, dass die zu sichernden Daten vor dem Backup in Ordnung sind (z.B. keine Malware-Infektion). Es gibt unterschiedliche Arten, Backups anzulegen.
Art
Eignung
Erläuterung und Anmerkungen
exklusive Vollsicherung
-
Sie sichern den gesamten aktuellen Datenbestand und ersetzen damit gespeicherte Daten. Durch Kopierfehler oder Malware können Sie so unabsichtlich Ihren Datenbestand zerstören, nicht empfohlen!
Vollsicherung nach Datum
+
Sie sichern den gesamten Datenbestand zu einem gewissen Zeitpunkt, mehrere Zeitpunkte werden auf dem Backupmedium vorgehalten. Das ist die sicherste Lösung, denn Ihre Daten werden voll redundant abgelegt. Der Nachteil ist ein erhöhter Kapazitätsbedarf.
Differentielle Sicherung
o
Nach einem vollständigen initialen Backup werden nur noch die Änderungen gespeichert. Dies geht deutlich schneller, kann aber bei der Infizierung des eigenen Systems, wie bei der exklusiven Sicherung, zu Datenverlusten führen.
Differentielle Sicherung mit Versionskontrolle
+
Nach einem vollständigen initialen Backup werden nur noch die Änderungen gespeichert. Jeder Backup-Vorgang wird jedoch separat vorgehalten, so dass ein Rücksprung auf einen früheren Zustand jederzeit möglich ist. Dies ist der beste Kompromiss, wenn die Kapazität eingeschränkt ist.
Wir empfehlen ein programmunterstütztes Backup an festgelegten Terminen, um eine regelmäßige Sicherung zu gewährleisten.
Backups prüfen
Die Funktionalität der Backups sollte regelmäßig geprüft werden, auch bei gut geeigneten Medien! Prüfen Sie, ob Sie Ihre Daten tatsächlich wiederherstellen können und notieren Sie die Arbeitsschritte, die dafür notwendig sind. Nur so stellen Sie sicher, dass Sie oder eine andere Person in Ihrem Unternehmen im Zweifelsfall ohne große Verluste weiterarbeiten kann.
Es hat bereits einige Vorfälle in größeren Unternehmen gegeben, wo erst im Verlustfall auffiel, dass das Backup eigentlich nie funktioniert hat und die Daten nicht wiederhergestellt werden konnten.
Um den Gedanken der Ausfallsicherheit auf die Spitze zu treiben (Hot Backup), prüfen Sie das Backup regelmäßig, indem Sie es auf ein gleichwertiges Austausch-System aufspielen (Spiegeln des Systems), welches ab diesem Zeitpunkt die Aufgaben produktiv übernimmt. So prüfen Sie gleichzeitig die Einsatzbereitschaft Ihrer Austausch-Systeme.
Frequently Asked Questions (FAQ)
F:
Sollte ich meine Fotos auf einer CD sichern?
A:
Nein, eine CD ist für die Datensicherung aufgrund ihrer kurzen Haltbarkeit mittel- bis langfristig ungeeignet.
F:
Ist es sicher, die eigenen Daten in die Cloud von z.B. Amazon oder Apple hochzuladen?
A:
Nach der amerikanischen Gesetzgebung darf der amerikanische Staat seine Firmen dazu drängen, Geheimnisse ihrer Kunden herauszugeben. Bevor Sie Ihre Daten in eine öffentliche Cloud hochladen, empfiehlt sich eine unabhängige/selbstständige Verschlüsselung.
F:
Welches ist das beste Medium für eine Datensicherung?
A:
Wir empfehlen die Verwendung einer explizit zu diesem Zweck genutzten externen Festplatte oder die verschlüsselte Speicherung in der Cloud.
F:
Wie wichtig ist ein (IT-)Notfallplan für mein Unternehmen?
A:
Das kommt darauf an, ob Sie kritische Dienste betreiben und wie schmerzhaft ein Ausfall/Datenverlust für das Unternehmen ist. Einen rudimentären (IT-)Notfallplan kann man für jedes Unternehmen empfehlen.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Organisatorisches:
Wie organisieren Sie Ihr Backup?
1) In welchen Abständen führen Sie ein Backup Ihrer beruflichen Daten durch?
2) In welchen Abständen führen Sie ein Backup Ihrer privaten Daten durch?
3) Wie oft prüfen Sie, ob Sie Daten aus dem Backup wiederherstellen können?
4) Auf welchem Medium speichern Sie Ihre Backups?
5) Angenommen, sie nutzen eine große externe Festplatte für Ihre Backups. Nutzen Sie die Festplatte weiterhin für den Transport von Daten von einem PC zum anderen (unter Ihrer Kontrolle)?
6) Sie nutzen eine Public Cloud für die Sicherung Ihrer Daten. Verschlüsseln Sie Ihre Daten vor dem Upload?
Wie reagieren Sie im IT-Notfall?
1) Haben Sie in Ihrem IT-Unternehmen einen Notfallplan?
2) Was machen Sie zuerst, wenn Ihre Webseite gehacked/kompromittiert wurde?
3) Wen kontaktieren Sie zuerst, wenn die zentrale Datenbank Ihres Unternehmens plötzlich nicht mehr erreichbar ist?
4) Nach Feierabend fällt in der IT-Firma plötzlich der Strom aus, was nun?
5) Mein Monitor wird plötzlich schwarz.
6) Die zentrale Datenbank ist seit zwei Stunden offline, wie geht es weiter?
Linksammlung
IT-Notfallhandbuch Auf dieser Webseite geht es um das IT-Notfallhandbuch. Wie kommt es zu einem IT-Notfall und was muss danach passieren?
Was ist ein IT-Notfallplan? Diese Webseite beschreibt die Inhalte eines IT-Notfallplans und erläutert, warum dieser für Ihr Unternehmen wichtig ist.
EDV Notfallplan Diese Webseite zeigt eine kurze Checkliste zum Thema Notfallplan und erläutert zwei Beispiele.
Mit Social Engineering bezeichnet man das soziale Manipulieren von Personen. Die Manipulation hat das Ziel, die Zielpersonen zu Verhaltensweisen zu bewegen, die dem Social Engineer einen Vorteil bringen. Die Verhaltensweisen können hierbei sehr vielfältig sein und reichen von Kleinigkeiten bis zu komplexen Handlungen oder einer grundsätzlichen Änderung des Verhaltens. Beispiele für ungünstige Verhaltensweisen sind:
Ein unbedachtes Ausfüllen von Formularfeldern (Eingabe von PIN/TAN, damit das Konto nicht "gesperrt" wird)
Das Aufsammeln und Prüfen von vermeintlich verlorenen USB-Sticks
Eine Überweisung tätigen, damit der nigerianische Prinz die versprochenen 137 Millionen Dollar zurück überweisen kann.
Die Tür zum Rechenzentrum einem Unbekannten aufhalten, weil er gerade einen schweren Monitor trägt.
An einem heißen Sommertag seinen Benutzernamen und das Passwort gegen ein leckeres Eis eintauschen, bei dem Eiswagen vor dem Firmenparkplatz.
Dem Neuen aus der IT-Abteilung den PC freischalten, damit er ein wichtiges Update machen kann.
Vertrauliche Dokumente in die Papiertonne werfen, die die Putztruppe sehr vorbildlich an jedem Abend leert.
Einer direkten und vertraulichen Anweisung des Chefs via E-Mail folgen und eine strategisch wichtige, aber geheime, Überweisung in Höhe von 2 Millionen Dollar tätigen.
Ein guter Bekannter hat plötzlich einen neuen Social Media Account, sendet eine Freundschaftsanfrage und einen Link zu einer tollen Webseite (Geheimtip). Dem Bekannten wird vertraut und der Link geöffnet.
Die Beispiele implizieren bereits, dass es viele Möglichkeiten für das Hacken des Menschen gibt. Solche Angriffe sind oft weitaus wirkungsvoller und effizienter als technische Hacks, denn der Mensch stellt bisweilen eine tatsächlich sehr große Schwachstelle dar. Dabei stammen die Methoden des Social Engineerings aus der Psychologie und bauen ein vermeintliches Vertrauensverhältnis auf ("Hier ist ein super interessanter Link von deinem Cousin Jeff."), üben Druck aus (Chefmasche, vertrauliche Anweisung via E-Mail) oder wecken schlicht das Interesse des Adressaten ("E-Mail Anhang: Scarlett_Johansson_schon_wieder_nackt.exe").
Einige sehr ansehnliche Beispiele für Social Engineering gibt es in den Verfilmungen Who Am I – Kein System ist sicher und Mr. Robot. Weiterhin gibt es einen empfehlenswerten und noch heute anwendbaren Buchklassiker aus dem Jahr 1936, der sich mit der gezielten Manipulation von Menschen beschäftigt: How to Win Friends and Influence People (engl.). Informationen zum Thema Social Engineering finden sich ebenfalls im IT-Grundschutz Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz: Social Engineering.
Angriffstechniken und Fachbegriffe
Für die verschiedenen Angriffstechniken des Social Engineerings gibt es Fachbegriffe:
Phishing/Pharming – oft Spam E-Mails, die auf eine scheinbar vertrauenswürdige Webseite locken wollen (ähnliche URL, z.B. gogle.de), welche dann aber Daten wie PIN/TAN abgreift oder Malware ausliefert.
Spear Phishing – Zielgerichtete E-Mail, oft mit sehr persönlichem Bezug und nur an eine Person addressiert, die z.B. Malware auf dem Zielrechner installieren soll oder Daten abgreift.
Hoaxes/Scam – Spezielle Form von Spam, die mit Falschmeldungen lockt oder z.B. große Geldbeträge (für "kleine" Unkostenbeträge) in Aussicht stellt (Nigeria Scam)
Shoulder Surfing/Tailgaiting/Dumpster Diving – Shoulder Surfing ist das Zusehen oder Aufzeichnen bei Notieren/Eintippen eines Geheimnisses. Tailgaiting nennt man das Vordringen in nicht öffentliche Bereiche, indem der Angreifer durch eine geöffnete Tür wie selbstverständlich mit hindurchgeht. Dumpster Diving bezeichnet das Suchen von Informationen im Abfall.
Awareness
Social Engineering Angriffe sind oft besonders erfolgreich, denn viele Menschen lassen sich mit psychologischen Mitteln beeinflussen. Technisch fassbar sind Social Engineering Angriffe zudem nur selten, weil diese ausgefeilten Manipulationen des Menschen den technischen Fassungsbereich meistens umschiffen.
Was kann man gegen Social Engineering tun? Aufklären! Regelmäßige Awareness-Kampagnen und Schulungen helfen den Mitarbeitern eines Unternehmens oder einer Behörde, sich mit den drohenden Risiken auseinanderzusetzen und Angriffe als solche zu identifizieren. Sicherheitsschulungen klären über typische Maschen des Social Engineerings auf, geben Verhaltensregeln bei Angriffen an die Hand und erhöhen im Allgemeinen das Sicherheitsbewusstsein. Aber Vorsicht! Mit dem Thema Social Engineering sollte sehr behutsam umgegangen werden, insbesondere dann, wenn externe Unternehmen die Effektivität der Awareness-Kampagnen an den eigenen Mitarbeitern testen. Besonders die persönlichen Manipulationen hinterlassen psychologische Spuren, die das Wesen nachhaltig beeinflussen können (Minderwertigkeitskomplexe, Resignation, Fehlender Mut für neue Tätigkeiten, ...). Achten Sie bei Inhouse-Schulungen darauf, dass Schuldzuweisungen und unsachliche Kritik vermieden werden, das Thema Social Engineering ist empfänglich dafür.
Awareness-Kampagnen sollten technisch soweit wie möglich unterstützt werden. Zur technischen Unterstützung gehören:
Modernes Betriebssystem mit aktuellen Sicherheitsupdates
Moderner Internetbrowser mit Malware/Phishing Warnung (z.B. Firefox, Chrome)
Das Begrenzen der Nutzerrechte auf ein sinnvolles Maß. Anstatt Verboten bieten Sie einen "Schutz" vor Gefahren und nehmen nicht notwendige "Verantwortung" (z.B. Einspielen von Updates) ab.
Beispielsweise lassen sich mit einem Active Directory Server (ADS) die Windows-Clients einer Domäne reglementieren. Welche Nutzergruppen müssen Anwendungen installieren, wer benötigt unregulierten Internetzugriff (auch außerhalb von Webseiten), automatisches Einspielen von Updates, ...
Zentrale Antivirus/Spam/Scam-Lösung (z.B. auf dem E-Mailserver) oder auf den Endgeräten
Zentrale Backups der Daten
Verhaltensregeln
Es gibt einige grundlegende Verhaltensregeln, die Social Engineering Angriffe erschweren:
Passwörter und Zugangsdaten werden grundsätzlich nie weitergegeben, auch nicht an den IT-Administrator!
Nachrichten (E-Mails, Kurznachrichten, usw.) und Links nur öffnen, wenn Sie von vertrauenswürdigen Quellen stammen. Prüfen Sie die Adressen im Zweifelsfall auf Tippfehler!
Firmeninterna dürfen nur über die entsprechende Abteilung (geschult!) kommuniziert werden, immer darauf verweisen.
Persönliche und berufliche Dinge werden strikt getrennt (z.B. unterschiedliche E-Mailadressen, Smartphones).
Bei neuen Kontakten eine gesunde Skepsis an den Tag legen, im Zweifelsfall auf das Bauchgefühl hören und merkwürdiges Verhalten und Vorfälle stets melden!
Ich habe unaufgeordert eine E-Mail von einer mir unbekannten Adresse bekommen, soll ich auf den enthaltenen Link clicken?
A:
Nein! Grundsätzlich :)
F:
Meine Bank fordert mich auf meine PIN und TAN zur Überprüfung einzusenden. Ist das merkwürdig?
A:
Abseits entsprechender Formulare auf der Webseite wird Ihre Bank Sie niemals zur Eingabe von PIN/TAN auffordern.
F:
Ein Kollege benötigt noch schnell mein Passwort, um etwas wichtiges zu ändern.
A:
Passwörter sind persönlich und werden geheim gehalten, auch vor den Kollegen.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Social Engineering:
Wie gut kennen Sie sich mit Social Engineering aus?
1) Sie bekommen einen Anruf aus der Personalabteilung. Damit Ihre Gehaltsabrechnung bald digital bearbeitet werden kann, benötigt die Anruferin Ihren vollen Namen, die E-Mail Adresse und Raumnummer.
2) Sie bekommen eine berufliche E-Mail auf Ihre private E-Mailadresse. Wie verhalten Sie sich?
3) Im Firmengebäude entdecken Sie eine unbekannte und unbegleitete Person, wie verhalten Sie sich?
4) In welche Ablage kommen nicht mehr benötigte vorvertragliche Unterlagen?
5) Sie finden einen USB-Stick auf dem Parkplatz. Was nun?
6) Der Chef sendet eine E-Mail mit der Anweisung, eine Zahlung in Höhe von 467.000 EUR an die Müller Software GmbH (IBAN: DE123...) zu tätigen. Durch den Kauf der neuen Buchhaltungssoftware schafft sich Firma einen Vorteil vor der Konkurrenz. Um den Vorteil vor der Konkurrenz zu nutzen, darf bis zur Lieferung keine Information über den Kauf kommuniziert werden.
7) Ein neuer Kunde wird zu Ihnen per Telefon durchgestellt und fragt Sie nach Ihrer E-Mail-Adresse, damit er offiziell ein Angebot anfordern kann.
Linksammlung
Who Am I – Kein System ist sicher Wikipedia: Who Am I – Kein System ist sicher ist ein deutscher Thriller des Regisseurs Baran bo Odar aus dem Jahr 2014. Der Film spielt in Berlin und handelt von einer Hackergruppe, die global auf sich aufmerksam machen will.
Mr. Robot Wikipedia: Mr. Robot ist eine US-amerikanische Thriller-Fernsehserie von Sam Esmail, die seit 2015 auf dem Kabelsender USA Network ausgestrahlt wird. Die Serie handelt von einem jungen IT-Sicherheitsspezialisten mit einer dissoziativen Identitätsstörung.
How to Win Friends and Influence People (engl.) How to Win Friends and Influence People is a self-help book written by Dale Carnegie, published in 1936. Over 15 million copies have been sold worldwide, making it one of the best-selling books of all time. In 2011, it was number 19 on Time Magazines list of the 100 most influential books.
IT-Grundschutz: Social Engineering Ein Auszug aus dem IT-Grundschutz Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema Social Engineering (G 5.42)
Unternehmensnetzwerke wachsen oft gemeinsam mit dem Unternehmen, kleine Betriebe haben deutlich kleinere Anforderungen als große internationale Firmen. Die meisten Firmen fangen jedoch mit wenigen Mitarbeitern an, so dass viele Unternehmensnetzwerke mit der Zeit einige Umbauarbeiten mitmachen.
Bei der Planung eines Netzwerks ist es enorm wichtig, das Netzwerk skalierbar und erweiterbar zu strukturieren. Einige Verbesserungen können natürlich auch im Nachhinein durchgeführt werden, jedoch oftmals nur mit erheblichem Planungsaufwand und Kosten sowie mit Unannehmlichkeiten verbunden.
Welche Punkte sollten Sie bei der Umplanung oder Neuplanung bedenken?
Sicherheit! Die Sicherheit eines Netzwerks sollte schon in der Planungsphase bedacht und integriert werden. Stellen Sie die Weichen zu spät, fällt Ihnen das früher oder später auf die Füße.
Logische Trennung von unabhängigen Bereichen. Bereiche, die in der Praxis kaum verzahnt sind, sollten aus Sicherheitsgründen auch in der IT nicht künstlich verzahnt werden. Mehr Informationen dazu gibt es im nächsten Kapitel.
Software- und Planungskosten übersteigen oft die Hardwarekosten! Sparen Sie nicht am falschen Ende, denn mit hochqualitativer Hardware können Sie voraussichtlich einigen Problemen aus dem Weg gehen.
Keep it simple, stupid! Ihre Lösung für das Unternehmensnetzwerk sollte so einfach wie möglich sein.
Als Hintergrundinformation finden Sie an dieser Stelle (Wie baue ich ein Netzwerk für ein kleines oder mittelständisches Unternehmen?) einen Artikel zum Aufbau eines Unternehmensnetzwerks, allerdings ohne explizite Berücksichtigung der IT-Sicherheit. Weiterhin finden Sie als Praxisbeispiel einen Verweis zu einem englischen Dokument, das sich mit der Konzeptionierung eines sicheren lokalen Netzwerks auseinandersetzt: Designing a Secure Local Area Network.
Security by Design
Sicherheit wird bei der Planung eines Netzwerks bereits berücksichtigt. Bei der Planung jeder Teilkomponente oder Teilbereich des Unternehmensnetzwerks werden die folgenden Fragen beantwortet und Prinzipien zu Grunde gelegt.
Reduzierung der Angriffsoberfläche, d.h. alle nicht genutzten Optionen, alle nicht genutzten Funktionen der Netzwerkkomponenten werden abgeschaltet. Wie bei Firewalls wird das Whitelist-Prinzip verfolgt: Ausschließlich notwendige Funktionen sind zugelassen, alles andere wird deaktiviert!
Hohe Sicherheitseinstellungen sind der Standard. Anstatt die Sicherheitseinstellungen, z.B. im Browser, nach dem Setup eines Systems so weit zu erhöhen, solange der Arbeitsprozess funktioniert, werden die Sicherheitseinstellungen vom Maximum so lange reduziert bis der Prozess arbeitsfähig ist.
Nur die benötigten Resourcen/Zugangsrechte werden zur Verfügung gestellt. Beispielsweise muss der Geschäftsführer nicht in der Lage sein, auf alle Daten aus den Unternehmensinterna (z.B. Passwortdatenbank) zuzugreifen. Der Netzwerk-Administrator wiederum benötigt keinen Zugriff auf die Unterlagen der Personalbuchhaltung.
Weitere Informationen zu Security by Design Prinzipien entnehmen Sie diesem englischen Artikel der OWASP: Security by Design Principles.
Auftrennung des Netzwerks
Für verschiedene Aufgabengebiete gibt es eine Trennung, z.B. Einkauf und Personal. Auch in Computernetzwerken sollten diese Bereiche getrennt und spezielle Schnittstellen definiert werden, über die beide Bereiche kommunizieren können. Besonders wichtig ist die Trennung bei gefährdeten Aufgaben, z.B. Recherchen im Darknet, Zugriffen aus dem Internet, uvm.
Technisch realisieren lässt sich eine Trennung der Netzwerke auf unterschiedliche Wege
Physikalische Trennung, z.B. Darknet-Recherchen werden ausschließlich auf einem gesonderten PC durchgeführt, der über einen separaten Internetanschluss verfügt. Der private Schlüssel einer Zertifizierungsstelle ist lediglich auf einem PC gespeichert, der keinen Netzwerkzugang hat.
Verschiedene VLANs für unterschiedliche Abteilungen oder Aufgaben. Mit der VLAN-Technik ist es möglich, die Ports eines oder mehrerer Netzwerkswitches auf unterschiedliche (virtuelle) Netzwerke aufzuteilen. Zwischen den Netzwerken ist danach keine Kommunikation mehr möglich, nur noch innerhalb eines Netzwerks. Zusätzlich kann es Komponenten wie Router oder Proxyserver geben, die bestimmte Schnittstellen zwischen den Netzwerken öffnen.
Unterschiedliche IP-Subnetze trennen die Abteilungen logisch voneinander. Kommunizieren können die Computer aus unterschiedlichen Abteilungen nur über Router, so lange die einzelnen PCs diese logische Trennung nicht überwinden. Letzteres ist für einen geübten Hacker allerdings keine ausreichend große Hürde.
Firewall und Proxyserver
Neben der netzwerktechnischen Trennung der lokalen Aufgabengebiete ist auf jeden Fall ein kontrollierter Übergang zwischen dem Unternehmensnetzwerk und dem Internet notwendig. Dies wird durch eine Firewall gewährleistet, die wie eine Art virtueller Türsteher arbeitet und Pakete hereinlässt, die gewissen Richtlinien entsprechen. In diesem Dokument definiert das Bundesamt für die Sicherheit in der Informationstechnik den Begriff der Firewall: BSI für Bürger - Firewall.
In der nachfolgenden Abbildung sieht man drei Netzwerkzonen: Das Internet, das lokale Netzwerk (LAN) und eine demilitarisierte Zone (DMZ). Wobei den meisten sicherlich klar ist, welche Gefahren potentiell im Internet lauern ist die Differenzierung zwischen LAN und DMZ möglicherweise etwas unklarer.
Das LAN beschreibt Ihr internes Unternehmensnetzwerk mit allen vertraulichen Daten (Datenbanken, Server, Endgeräte, usw.). In der DMZ werden Dienste angesiedelt, die aus dem Internet zugreifbar sein sollen. Bei diesen Diensten gibt es ein erhöhtes Risiko (wegen der Öffnung in Richtung des Internets), dass die vorhandenen Server kompromittiert werden können.
Firewall Szenario: Triple Homed Firewall
Deshalb beschreibt die nächte Abbildung einen Aufbau, der etwas sicherer ist. Es gibt nun zwei separate Firewalls, eine hinter dem Internet und eine weitere vor Ihrem lokalen Netzwerk.
Firewall Szenario: Zwei Dual Homed Firewalls + Dirty Net
Firewalls werden im Idealfall nach dem Whitelist-Ansatz konfiguriert. Das bedeutet:
Netzwerkpakete für erlaubte Dienste dürfen ausschließlich mit diesen Diensten kommunizieren.
Alle anderen Netzwerkpakete werden blockiert oder zurückgewiesen.
In einigen Fällen wird zudem ein Proxyserver eingesetzt. Der Proxyserver empfängt eine Netzwerkanfrage stellvertretend für das eigentliche Ziel, interpretiert diese Anfrage, formuliert die Anfrage an das eigentliche Ziel neu und informiert nach Erhalt der Antwort den Urheber der Netzwerkanfrage. Zur Sicherheit: Ein Proxyserver lässt keine direkte Verbindung zwischen Quelle und Ziel zu und ist in der Lage, Anfragen und Antworten zu beeinflussen. Beispielsweise könnte ein Proxyserver Anfragen an Webadressen verweigern, die nicht mit einer .de-Domäne enden. Die Antworten wieder könnten um Malware und Werbung reduziert werden.
Anmerkung: Ein Proxyserver funktioniert nicht mit Ende-zu-Ende abgesicherten Verbindungen wie https, deshalb nimmt derzeit dessen praktische Verbreitung ab.
Intrusion Detection Systeme
Intrusion Detection Systeme (IDS) sind in der Lage, Angriffe auf Systeme zu erkennen und zu melden. Die Variante Intrusion Prevention System (IPS) kann zusätzlich Angriffe unterbinden oder aktive Gegenmaßnahmen auslösen.
Die IDS/IPS Systeme können dabei im Netzwerk aktiviert werden und passierenden Datenverkehr überwachen/filtern oder auf einem Endgerät installiert werden und diese auf Angriffe überwachen, beispielsweise anhand von Logfiles.
Intrusion Detection System (IDS)
Es gibt zwei Prinzipien, nach denen IDS/IPS Systeme arbeiten können:
Signaturbasierte Erkennung greift auf eine Datenbank von schadhaften Daten zurück und reagiert, wenn schadhafter Code gefunden wird.
Mit Heuristik wird überprüft, ob das System von seinem Standardverhalten abweicht. Hier kann auch künstliche Intelligenz eingesetzt werden.
In der Praxis haben sich die signaturbasierten Verfahren auf Grund von Genauigkeit (false positives vs. false negatives) und Performance bei der Überprüfung durchgesetzt. Zukünftig mag sich das Blatt wenden.
Weitere Tools für den professionellen Einsatz
Je umfangreicher Unternehmensnetzwerke werden, desto größer ist der Bedarf nach Hilfestellung bei der Administration. Dafür existieren eine Reihe von Möglichkeiten:
Monitoring Software überwacht die vitalen Daten von Servern oder Geräten, neben der aktuellen Erreichbarkeit z.B. Prozessor/Netzwerkast oder Speicherauslastung. Bekannte Software (auszugsweise): Nagios, Icinga, Shinken.
Konfigurationsmanagement unterstützt Systemadministratoren bei dem Konfigurieren aller verwalteten Systeme. Dabei können, (fast) unabhängig vom jeweiligen Betriebssystem, Änderungen auf ganze Gruppen von Systemen ausgerollt werden.
Security Operations Center (SOC) ist ein System, das sicherheitsbezogene Informationen aus verschiedensten Quellen zusammenträgt und kompakt darstellt. So ermittelt ein SOC-Administrator rasch Angriffe oder sogar Auffälligkeiten in Firmennetzwerken und leitet mit den im System hinterlegten Informationen Gegenmaßnahmen ein.
Neben den technischen Tools (IDS/IPS, Monitoring, usw.) integriert ein SOC also auch die sicherheitsbezogenen Prozesse des Unternehmens. Weitere Informationen finden Sie hier Was ist ein Security Operations Center (SOC)?.
Frequently Asked Questions (FAQ)
F:
Ein Kollege hat eine wahnsinnig gut, aber komplexe Idee, wie man das Unternehmensnetzwerk verbessern kann. Direkt umsetzen?
A:
Wahnsinnig gute Ideen sollten in der Regel einfach und nicht komplex sein. Neben der Funktionalität ist wichtig, dass das Netzwerk durch möglichst viele Personen wartbar bleibt.
F:
Die Mitarbeiter wünschen sich eine Hoheit über die Konfiguration Ihrer PCs.
A:
Sprechen Sie mit Ihren Mitarbeitern und fragen Sie, was diese wirklich wollen (z.B. surfen, Programme installieren, ...). Den konkreten Bedürfnissen sollte entsprochen werden, wenn keine starken Sicherheitsbedenken dagegen sprechen.
F:
Auf welche Art sind unterschiedlich priorisierte Netze am besten zu trennen?
A:
Die physikalische Trennung ist oft wenig wirtschaftlich, die Trennung über logische Subnetze zu unsicher. Wir empfehlen die Trennung mit VLAN.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Unternehmensnetzwerk:
none
Linksammlung
Wie baue ich ein Netzwerk für ein kleines oder mittelständisches Unternehmen? In diesem Artikel geht es um den Aufbau eines Netzwerks für ein kleines oder mittelständisches Unternehmen. Dieser Artikel dient als Einstieg oder Hintergrundinformation, denn die Sicherheit wird bei den Ausführungen nur am Rande betrachtet.
Mobilfunk ist ein zentraler Bestandteil unserer heutigen Kommunikation und ein wichtiger Baustein der Digitalisierung! Dabei spielt nicht nur das klassische Telefonieren und die SMS eine Rolle, heute rücken die Datendienste immer mehr in den Vordergrund. Viele Menschen verfügen heute über Smartphones mit denen ein mobiler Internetzugang möglich wird und Apps unterwegs genutzt werden können.
Seit dem Siegeszug der Handy sind einige Mobilfunkgenerationen an uns vorbeigegangen, aber zum Teil auch geblieben.
GSM (2G). Die zweite Generation (2G) des Mobilfunks wird als Global System for Mobile Communications (GSM) bezeichnet und erlaubt neben der klassischen Telefonie auch eine Internetanbindung. GPRS (bis zu 55 kbit/s) und EDGE (bis zu 220 kbit/s) heissen die Standards, die eine Internetanbindung ermöglichen.
GSM ist noch weit verbreitet und versorgt besonders in ländlichen Regionen Menschen mit der Möglichkeit zu Telefonieren und SMS zu senden. Die Internetanbindung bietet für aktuelle Maßstäbe jedoch nur noch unzureichend Bandbreite, normales Surfen ist kaum möglich und von dem Nutzen multimedialer Inhalten wie Videos kann nicht die Rede sein.
UMTS (3G). Der Standard UMTS (Universal Mobile Telecommunications System) der dritten Generation wird zur Zeit noch häufig verwendet. Mit Datenraten bis zu 7.2 Mbit/s ist das Nutzen von multimedialen Inhalten möglich. Doch die Funkzellen (Empfangsbereich der UMTS-Stationen) haben bei UMTS eine geringere Größe, die Netzabdeckung ist besonders in ländlichen Gebieten noch nicht so gut wie mit GSM.
LTE (4G). Long Term Evolution ist der Standard der vierten Generation und bietet Datenraten bis zu 100 Mbit/s, damit ist das Internet uneingeschränkt nutzbar. LTE ist ein reiner Datendienst, klassische Telefongespräche oder SMS werden von diesem Standard nicht mehr unterstützt, dafür wird auf UMTS oder GSM ausgewichen. Der Ausbau von LTE wird derzeit massiv vorangetrieben, allerdings nutzen noch nicht alle aktuellen Mobilfunk-Verträge den LTE-Standard (die Smartphones könnten es aber meistens).
(5G). Die fünfte Generation des Mobilfunks steht in den Startlöchern, sie soll zunächst mit der 4G-Technik koexistieren und Funkzellen mit unterschiedlichen Eigenschaften (Viel Bandbreite, schnelle Antwortzeiten, ...) bieten. Als Grundvoraussetzung für 5G ist der Ausbau des Breitband/Glasfasernetzes zu sehen, denn die neuen Funkzellen mit hohen Bandbreiten benötigen eine hervorragende Netzanbindung.
Die Sicherheit im Mobilfunkbereich ist ein kritisches Thema, denn neben der Sicherheit der grundlegenden Dienste wie Telefonie, SMS oder Internetverbindung, stützen sich viele erweiterte Dienste (z.B. SMS-Tan) darauf auf. Das Sicherheitsniveau der verschiedenen Mobilfunkgenerationen unterscheidet sich dabei erheblich!
GSM hat gleich mehrere Sicherheitsprobleme. Zum einen muss sich die Basisstation gegenüber dem Mobiltelefon nicht ausweisen, ein Hacker kann somit in die Rolle der Basisstation schlüpfen. Mit diesem Trick (IMSI-Catcher) können Telefongespräche und Daten potentiell abgehört und Endgeräte geortet werden! Die Kosten dieses Angriffs sind seit der Verfügbarkeit von Software Defined Radios und entsprechender Software erheblich gesunken.
Zum anderen weisen einige der Verschlüsselungsverfahren von GSM Schwachstellen auf (einige A3/A8, A5/1, A5/2), so dass sich Gespräche schon relativ günstig (Hardwarekosten ab 10 EUR) belauschen und im schlimmsten Fall eine SIM-Karte drahtlos klonen lässt. Die Folge ist u.a. die Möglichkeit, SMS oder Gespräche abzuhören und einzuschleusen.
UMTS setzt überwiegend sichere Verfahren ein und verlangt, dass sich die Basisstation gegenüber dem Mobiltelefon ausweist. Jedoch existiert ein Szenario, bei dem auf den alten Mobilfunkstandard GSM zurückgeschaltet werden kann, um weiterhin einen IMSI-Catcher Angriff durchzuführen, siehe Seminararbeit IMSI Catcher.
LTE nutzt sichere Verfahren und ist ein reiner Datenstandard, so dass ein Angriff über das Zurückschalten auf UMTS oder GSM nicht mehr möglich ist. Grundsätzlich ist dieses das aktuell sicherste Mobilfunkverfahren, jedoch gibt es auch hier schon erste kleinere Angriffe, z.B. Breaking LTE on Layer Two.
Das Fazit dieses Kapitels ist, dass Mobilfunkprotokollen nicht unbegrenztes Vertrauen geschenkt werden sollte. Insbesondere des Protokoll GSM ist anfällig gegen Angriffe. Ein großes Problem in diesem Umfeld ist, dass alte unsichere Verfahren zum Teil sehr lange weiterverwendet werden, da die Verfahren auf der SIM-Karte codiert sind. Wie alt ist Ihre SIM-Karte?
Signalisierungssystem 7 (SS7)
Das Signalisierungssystem Nummer 7 ist eine Reihe von Protokollen für die Gesprächssignalisierung (Steuerung, d.h. Vermittlung usw.) klassischer Telefonnetze. Neben analoger Telefonie (POTS) und ISDN wird das Protokoll ebenfalls für Mobilfunknetze und VoIP genutzt. Der Weg, den Sprach-, Text- und Datennachrichten durch die Telefonnetze nehmen wird von SS7 festgelegt, weltweit, über Providergrenzen hinweg. Nach dem Aufkommen von Mobiltelefonen wurde das SS7 Protokoll außerdem um neue Features erweitert, die es ermöglichen, die aktuelle Position von Mobiltelefonen zu ermitteln und die Kommunikation dorthin zu senden.
SS7 wurde bereits 1981 spezifiziert und seitdem weiterentwickelt. Das System wurde in einer Zeit entwickelt, als die internationalen Telefonprovider sich untereinander vertrauten (d.h. keine Authentifizierung, keine Verschlüsselung) und es mobile Kommunikation kaum gab.
Sicherheitsprobleme
Das SS7 Protokoll wird weltweit für die Vermittlung von Telefoniedaten genutzt. Einige Anbieter in nicht sehr regulierten Ländern bieten einen kostenpflichtigen Dienst an, der es erlaubt, unüberprüfte/manipulierte Daten in das weltweite SS7-System einzuschleusen. Hiermit ist es möglich, Telefongespräche, SMS oder Daten beliebig umzuleiten und Mobiltelefone zu orten. Außerdem kann Kommunikation von beliebigen Absendernummern eingeschleust und Telefongespräche abgehört werden. Siehe auch SS7: Locate. Track. Manipulate. und SS7 Hacking.
In der Vergangenheit gab es bereits einige Sicherheitsvorfälle, die sich auf Manipulationen des SS7-Systems zurückführen lassen, beispielsweise ist das Abfgangen von SMS-Tans bereits mehrfach vorgekommen! Aktuell gibt es keinen flächendeckenden Schutz gegen Manipulationen des SS7-Systems, auch wenn einige Anbieter bereits Intrusion Detection Systeme (Angriffserkennung) einsetzen.
Frequently Asked Questions (FAQ)
F:
Ist eine SMS sicher?
A:
Nein, neben zahlreichen Möglichkeiten, diese mit Schwachstellen in GSM/UMTS zu manipulieren, bietet das SS7-System einen sehr einfachen und relativ kostengünstigen Zugang zur Manipulation von Mobilfunk-Kommunikation (inkl. SMS).
F:
Meine Mobilfunkverbindung bricht ständig zusammen, werde ich abgehört?
A:
Möglich, aber eher unwahrscheinlich, denn IMSI-Catcher zum lokalen Abhören sind noch verhältnismäßig teuer oder komplex. Lassen Sie sich anrufen anstatt selbst anzurufen, das erschwert einen IMSI-Catcher Angriff erheblich!
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Mobilfunk:
Wie sicher ist Ihre Mobilfunkkommunikation?
1) Kann man SMS-Tan/mobileTAN bedenkenlos einsetzen?
2) Schätzen Sie die Kosten für einen Angriff auf die Mobiltelefonie ab!
3) Können Schwachstellen der Verschlüsselungsalgorithmen für den Mobilfunk mit einem Firmware-Update des Smarthphones behoben werden?
Linksammlung
Wie funktioniert Mobilfunk? Auf dieser Webseite werden Informationen zur Funktionsweise von Mobilfunknetzen zusammengetragen. Die Informationen reichen von 2G bis 5G!
Seminararbeit IMSI Catcher In dieser Seminararbeit (engl.) von Daehyun Strobel wird beschrieben, wie IMSI Catcher Angriffe (Abhören, Einschleusen von Daten) gegen GSM und UMTS funktionieren.
Breaking LTE on Layer Two Diese Publikation (engl.) beschreibt drei Angriffe auf LTE. 1.) Deanonymisierung von LTE-Geräten, 2.) Informationen über ausgetauschte Webseitenaufrufe sammeln und 3.) Änderung von verschlüsselten Bits in der LTE-Kommunikation.
SS7: Locate. Track. Manipulate. In diesem Video (engl.) von dem CCC-Kongress stellt Tobias Engel einige Angriffe auf das SS7-System (Telefonvermittlung) vor.
SS7 Hacking Auf dieser Webseite (engl.) werden einige Informationen zu Angriffen auf das SS7-System (Telefonvermittlung) dargstellt.
Der Deutsche Bundestag veröffentlichte im Jahr 2012 eine Definition: Das Internet der Dinge (IoT) ist "die technische Vision, Objekte jeder Art in ein universales digitales Netz zu integrieren". Sehr allgemein gehalten, entwickelte sich der Begriff IoT zu einem Buzzword ohne eine präzise Definition.
Mit IoT bezeichnet man vernetzte Alltagsgegenstände wie
Auto, Toaster, Waschmaschine
TV, Smartphone, Smarthome
Überwachungskamera, Router/Accesspoint
Eine genaue Abgrenzung ist schwierig, denn wo es bei einem vernetzten Toaster klar wäre, dieses als IoT-Gerät zu bezeichnen, eröffnet ein WLAN-Router als Infrastrukturkomponente, die es auch schon vor IoT gab, eine neue Kategorie.
Viele IoT-Geräte haben eine geringe Größe und sollen oftmals wenig Energie verbrauchen, da die Stromversorgung z.B. mit Batterien umgesetzt ist. Beide Eigenschaften begrenzen die Rechenresourcen führen nicht selten dazu, dass die Sicherheit auf der Strecke bleibt. Immer mehr Hersteller klassischer unvernetzter Geräte stürzen sich zur Zeit auf den IoT-Markt und produzieren Geräte, die funktional hervorragend sind (Expertise des Herstellers), nicht aber im Punkt Sicherheit.
Technologien
Ebenso wenig klar wie die Definition von IoT ist die Festlegung auf Vernetzungstechnologieen. Typische Technologien zur Vernetzung sind
IEEE 802.3 Ethernet → Netzwerkkameras, ...
IEEE 802.11 Wireless LAN → Tablets, eBook Reader, ...
IEEE 802.15.1 Bluetooth oder deren Ableger (z.B. BLE) → Kopfhörer, Smartwatch, ...
Hinzu kommen viele proprietäre Protokolle! Hierbei nutzen die meisten Produkte lizenz- und genehmigungsfreie ISM-Frequenzen
(Industrial, Scientific and Medical Band) zur drahtlosen Kommunikation.
Sicherheit
Im Vergleich zu klassischen Geräten bieten IoT-Geräte oftmals größere Angriffsflächen. Es bieten sich üblicherweise drei Ansatzpunkte für Hacker:
Die IoT-App auf Smartphone/Tablet oder im Browser
Der Cloud-Dienst (Daten werden meistens im Internet gesammelt/Geräte von dort gesteuert)
Funkprotokoll zur lokalen drahtlosen Kommunikation
Erschwerend kommt die Resourcenknappheit (Leistungsfähigkeit, Energieeffizienz) hinzu, so dass insbesondere die Funkkommunikation und die Kommunikation mit dem Cloud-Dienst Angriffspotential bietet.
Smarthome
Smarthome Geräte sorgen für ein intelligentes Haus: Lampen, Rollladen, Heizung und Garagentor lassen sich per App oder mit Hilfe von Sensoren wie Bewegungsmeldern oder Thermometern steuern.
Der Nutzen der Smarthome Geräte ist unbestritten, besonders für Funktionen die Situationen vorausahnen und Aufgaben erleichtern, wie eine automatische Lichtsteuerung bei Dunkelheit. Aber nicht alle Smarthome Geräte erfüllen ein Sicherheitsniveau, das man für sein eigenes Heim erwartet. Zum Teil lässt sich die Kontrolle über das Licht, die Heizung oder die Alarmanlage von Hackern übernehmen oder sogar die Haustür mit ein paar Funknachrichten öffnen.
Die Frage der Sicherheit spielt in der Gesellschaft eine immer größere Rolle, sogar die BILD-Zeitung titelte bereits Acht von 13 Sicherheits-Systemen sind nicht sicher!.
Bisher konzentrieren sich die allermeisten Sicherheitsanalysen auf die Sicherheit der Smartphone/Tablet-Apps oder Cloud-Dienste, denn diese Fachgebiete wurden bereits lange vor dem IoT-Boom erforscht und Erkenntnisse können übertragen werden.
Die (meistens proprietären) Funkprotokolle blieben eine lange Zeit unbeobachtet, weil es keine klassischen Schnittstellen gab, um die ausgetauschten Daten generisch zu analysieren. Mit dem Aufkommen von Software Defined Radios (SDR), die auf fast beliebigen Funkfrequenzen empfangen und senden können, ändert sich das. Mit Spezialsoftware wie der frei verfügbaren Software Universal Radio Hacker (URH) lassen sich die Funkprotokolle beinahe so einfach wie in der klassischen IT-Sicherheit analysieren und angreifen.
Produkte und Funkprotokolle
Auf dem Markt gibt es eine Vielzahl von Smarthomeprodukten und täglich werden es mehr. Es gibt unterschiedliche Preissegmente, beispielsweise kostet eine Funksteckdose mit Fernbedienung/App-Steuerung ca. 30 EUR im Baumarkt und bis zu 150 EUR von einem teuren Hersteller.
Wir klassifizieren die Funkprotokolle in drei Kategorien:
Ganz besonders in dem günstigen Preissegment, aber auch in den teureren Bereichen gibt es Geräte, die über keine ausreichende Sicherheit verfügen. Dies betrifft vor allem den Bereich der lokalen Funkprotokolle. Beinahe die Hälfte der untersuchten Smarthome Geräte (über alle Preisniveaus hinweg) hatten keinerlei Sicherheitsmechanismen implementiert, darüber hinaus gibt es einige weitere Geräte mit erheblichen Mängeln. Ein System ohne jegliche Fehler oder Ungenauigkeiten im Funkprotokoll konnten wir bisher nicht ermitteln.
Grundsätzlich, so stellten wir fest, sind besonders die günstigen Produkte von schweren Sicherheitsmängeln betroffen. Eine Entwarnung gibt es jedoch nicht, auch sehr teure Geräte konnten teilweise übernommen, in einem Fall sogar drahtlos zerstört werden.
Empfehlungen und Hinweise
In diesem Kapitel sprechen wir einige grundsätzliche Empfehlungen und Hinweise zur Planung eines Smarthomes aus.
Vorkonfigurierte Geräte oder Geräte, die sich mit Kippschaltern konfigurieren lassen, weisen in der Regel keine Sicherheitsmerkmale auf! (Günstige Preiskategorie)
Smarthome Geräte, die mit einem Anlernvorgang an ein Steuergerät angelernt werden (z.B. Fernbedienung + Steckdose), haben oft nur wenige Sicherheitsmaßnahmen. (Mittlere bis hohe Preiskategorie)
Eine Zentrale, an die die Geräte lokal angelernt werden und die über eine App/Browser/Cloud die Geräte steuert, ist ein Hinweis darauf, dass in der Regel eine etwas höhere Sicherheit vorliegt. (Hohe Preiskategorie)
Die Wahl des richtigen Smarthome Geräts hängt von dem Anwendungsprofil ab. Eine Lichtsteuerung ist weniger sensitiv als das Anschließen eines Heizstrahlers an einer Funksteckdose oder die Heizungssteuerung. Je nach Anwendungsgebiet sollte die Wahl für einen Hersteller oder eine Preiskategorie getroffen werden. Sinnvoll ist es jedoch, bei einem Hersteller zu bleiben und dort die aktuelle Serie zu wählen, denn diese ist im Idealfall auch noch ein oder zwei Jahre später am Markt und kann Erweiterungs- oder Ersatzgeräte liefern.
Grundsätzlich sollte man die Entscheidung treffen, ob die eigene Technik durch einen Internetdienst (Cloud) gesteuert werden soll oder nicht (Datenschutz!). Wählen Sie am besten eine Produkteserie aus, die mit Verschlüsselung wirbt, denn diese Geräte sind meistens schwieriger zu hacken. Vermeiden Sie das Mischen von Herstellern oder Produktserien, um ein gleichmäßiges Sicherheitsniveau zu erreichen, denn wenn ein sicheres mit einem unsicheren Gerät zusammenarbeitet, reduziert sich die Sicherheit auf das geringere Niveau.
Empfehlungen für konkrete Smarthome Systeme sprechen wir an dieser Stelle nicht aus, um eine Bevor- oder Benachteiligung verschiedener Hersteller oder Produktserien zu vermeiden. Im Rahmen der Beratungstätigkeiten des Steinbeis-Transferzentrums für Netze decken wir den Bereich IoT-Sicherheit und Produktentwicklung jedoch ab.
Frequently Asked Questions (FAQ)
F:
Ist eine smarte, funkbasierte Alarmanlage grundsätzlich unsicher?
A:
Grundsätzlich ist diese nicht unsicher, aber Angriffe werden derzeit einfacher. Achten Sie auf einen seriösen Anbieter und ggf. Testberichte.
F:
Mir wird bei dem Gedanken an Smarthome unwohl. Wird sich diese Technik durchsetzen?
A:
Sehr wahrscheinlich, derzeit strömen viele neue Hersteller auf den Markt und viele herkömmliche Hersteller rüsten ihre Produkte nach oder erschließen neue Geschäftsmodelle basierend auf der IoT-Technik. Es ist davon auszugehen, dass die Vernetzung verschiedenster Geräte weiterhin zunimmt und klassische Geräte früher oder später vom Markt verschwinden. Unsere Empfehlung: Behalten Sie eine gesunde Skepsis, doch nehmen Sie lieber früher (freiwillig) als später (gezwungen) teil.
F:
Was benötige ich, um die Sicherheit von Smarthome-Systemen selbst zu untersuchen?
A:
Ein günstiges Software Defined Radio (SDR) wie das RTLSDR und eine kostenlose Analysesoftware wie den Universal Radio Hacker (URH)
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Internet of Things / Smart Home:
none
Linksammlung
Acht von 13 Sicherheits-Systemen sind nicht sicher! Sie heißen Sicherheits-Sets und versprechen, dass sie Haus oder Wohnung vor Einbrechern schützen. Doch eine aktuelle Untersuchung der Geräte von 13 Herstellern durch das unabhängige Institut AV-Test zeigt, dass viele dieser Sicherheits-Kits selbst unsicher sind. BILD stellt die Ergebnisse vor.
Universal Radio Hacker (URH) Der Universal Radio Hacker ist eine Software für Pentesting von Funkprotokollen mit Software Defined Radios (SDR). Die Software unterstützt die Analyse von proprietären Funkprotokollen und bietet verschiedene Möglichkeiten, in Funkprotokolle einzugreifen. Die Bedienung ist ergonomisch designed und auf Nachrichtentechnik-Laien zugeschnitten. Verfügbar für Linux, Windows und MAC.
Da in vielen Firmen der Betrieb ohne Computer-Technik nur noch eingeschränkt möglich ist und Computer immer neuen Gefahren ausgesetzt sind, ist eine Pflege der Computer unabdingbar. Dazu zählen sowohl regelmäßige Datensicherungen, als auch das System durch Updates und Upgrades auf dem aktuellen Stand zu halten.
Backups
Sei es durch versehentliches Löschen, einen technischen Defekt oder Viren und Trojanern, es kann immer passieren, dass Daten, welche auf dem Computer gespeichert oder von diesem erreichbar sind, unwiderruflich vernichtet werden. Um in diesem Fall die Daten wiederherstellen zu können, sind Sicherungen notwendig. Diese können sowohl von dem kompletten System erfolgen, als auch nur von den Daten, mit denen gearbeitet wird. Weitere Informationen dazu gibt es hier in der Rubrik Organisatorisches.
Updates
Bei Updates gibt es normale Updates, die Fehler beheben und Sicherheitsupdates, die Sicherheitslücken schließen, durch die der Computer angreifbar wird. Da Computer immer komplexer werden, kann es dabei vorkommen, dass der Computer nach dem Aufspielen nicht mehr wie gewohnt oder gar nicht mehr funktioniert. Daher sollte vor dem Aufspielen der Updates auf unverzichtbare Systeme eine Sicherung erfolgen oder die Updates erst auf unkritischen Systemen getestet werden.
Microsoft veröffentlicht für Windows die Updates gebündelt am zweiten Dienstag im Monat. Sollte es Probleme geben oder gravierende Sicherheitslücken bekannt werden, welche bereits ausgenutzt werden, kann es auch Updates außerhalb dieses Dienstages geben. Da durch das Veröffentlichen der Updates auch bisher unbekannte Schwachstellen bekannt und ausgenutzt werden, ist es wichtig, nicht zu lange mit den Updates zu warten.
Upgrades
Bei Betriebssystemen muss zwischen zwei Arten unterschieden werden: Rolling Release und Standard Release. Bei dem Rolling-Relase-Prinzip gibt es immer wieder kleine Updates, die Teile des Betriebssystems aktualisieren, aber keine Upgrades, bei denen große Teile bzw. das komplette Betriebssystem getauscht wird. Rolling Releases findet man primär bei Linux-Distributionen wie z.B. Arch, Manjaro oder Gentoo. Diese werden vom Anbieter gewartet und benötigen keine Upgrades. Microsoft Windows nutzt bis Windows 10 das Standard-Release-Prinzip. Es gibt eine Version, wie Windows XP, Windows Vista, Windows 7 oder Windows 8 und diese kann nur durch ein vollständiges Upgrade auf eine neuere Version aktualisiert werden. Mit Windows 10 geht Microsoft in die Richtung des Rolling-Release-Prinzips. Es gibt nur noch eine Version, welche halbjährlich durch Funktionsupdates erweitert wird.
Jedes Standard-Release-Betriebssystem hat einen Lebenszyklus. Dieser wird normalerweise mit der Veröffentlichung bekannt gegeben und kann sich durch größere Updates (z.B. Service Packs) verlängern. Innerhalb dieses Lebenszyklus bietet der Anbieter des Betriebssystems Fehlerbehebungen und Sicherheitsupdates an. Da nach dem Ende des Lebenszyklusses keine Sicherheitslücken mehr behoben werden, sollten alle Computer, die in irgendeiner Form vernetzt sind, rechtzeitig auf ein neues Betriebssystem aktualisiert werden. Dabei sollte darauf geachtet werden, dass der Lebenszyklus der aktualisierten Version möglichst groß ist, um somit wieder genug Zeit bis zum nächsten Upgrade zu haben.
Hier gibt es die Informationen zu den aktuellen Lebenszyklen häufig genutzter Betriebssysteme:
Während es in kleineren Unternehmen nicht unüblich ist, jeden Computer händisch auf eine neue Version upzugraden bzw. dieser Schritt auch zum Hardwarewechsel genutzt nutzt, ist dies in größeren Unternehmen und Einrichtungen zu zeitaufwendig. Hier werden automatisierte Ansätze verwendet, welche zwar in der Vorbereitung weitaus aufwendiger sind, dafür die Ausfallzeit der einzelnen Computer minimieren und sich auf ganze Gruppen von Systemen beziehen lassen.
Antivirus
Antivirensoftware bietet keinen 100%igen Schutz. Gerade neu auftretende Schädlinge sind nicht einfach von der Software zu erkennen, da die Zahl der täglich erscheinenden Varianten enorm groß ist (siehe Zahlen, bitte! Täglich 390.000 neue Schadprogramme). Verlassen Sie sich deshalb nicht auf die Zuverlässigkeit Ihrer Antivirensoftware! Sie bietet zwar einen Schutz gegen übliche Gefahren, ist der Schädling jedoch zu neu oder alt (schon aus der Datenbank herausgefallen) ist die Antivirensoftware meistens nutzlos. Dennoch macht es Sinn, auf jedem System eine Antivierensoftware zu nutzen und auf dem aktuellen Stand zu halten. Bei AV-Test.org finden Sie aktuelle Tests zu Antivirenprogrammen, sowohl für den Privatgebrauch als auch für Unternehmen.
Software
Nicht nur das Betriebssystem muss gepflegt werden, auch Ihre verwendete Software kann Angriffen ausgesetzt sein. Gerade für weit verbreitete Software wie dem Browser (Mozilla Firefox, Google Chrome, Microsoft Internet Explorer, Microsoft Edge), Adobe Reader + Adobe Flash oder Microsoft Office werden Sicherheitslücken gesucht, um das System kompromittieren zu können. Daher ist es wichtig, auch die Anwender-Software auf dem aktuellen Stand zu halten oder Produkte zu wählen, welche einen besseren Schutz bieten.
Bewusst clicken
Es reichen oftmals nur ein paar Clicks aus und der Computer ist verseucht, Daten werden gelöscht oder verschlüsselt. Wie bereits bei Social Engineering beschrieben wird, sind die Möglichkeiten vielfältig.
Daher ist es wichtig, dass man sich bewusst macht, was ein Click bewirkt und welche Folgen er haben kann. Insbesondere vorsichtig sollte man werden, wenn sich das System plötzlich anders verhält, Dialoge anders formuliert sind oder sich das Design (leicht) geändert hat.
Eine gesunde Skepsis ist angebracht, d.h. antworten Sie z.B. nicht auf E-Mails von sonderbaren Adressen, installieren Sie keine Programme, von denen Sie nicht wissen, was sie bewirken. Folgen Sie keinen Links aus unbekannten oder unseriösen Quellen (davon gibt es reichlich im Internet...). Werden Sie außerdem hellhörig, wenn bestehende Programme oder Apps ein ungewöhnliches Verhalten an den Tag legen (z.B. plötzlicher Bedarf für neue Berechtigungen) oder unlogische Forderungen stellen, wie zum Beispiel eine Taschenlampen-App, die Zugriff auf das Adressbuch des Smartphones benötigt.
Im Zweifelsfall brechen Sie einen Vorgang besser ab, bevor Sie spontane Entscheidungen treffen, deren Folgen Sie nicht absehen können. Vergewissern Sie sich bei unklaren Vorgängen bei Personen, die sich mit der Materie auskennen. Ein falscher Click kann gravierende Schäden anrichten, z.B. mussten schon mehrere Krankenhäuser den Betrieb für mehrere Tage einstellen, weil die IT durch einen einzelnen Click lahmgelegt wurde (Trojaner Petya - Verheerende Lücken bei der IT-Sicherheit).
Rechte beschränken
Gerade in kleineren Firmen, in denen jeder Angestellte einen Computer zum Arbeiten hat, jedoch keine Rechtverwaltung wie Active Directory verwendet wird, kommt es vor, dass die Angestellten mit dem bei der Installation des PCs eingerichteten Account arbeiten. Unter Windows verfügt dieser Standard-Account aber über Administrator-Berechtigungen und somit uneingeschränktem Zugriff auf das System. Nutzer sollten lediglich normale Benutzer-Accounts ohne administrative Berechtigungen auf den jeweiligen Systemen verwenden, um das Risiko einer Ausbreitung von Schadsoftware im Unternehmen zu minimieren. Dieses bietet zwar keinen 100%igen Schutz bei Eindringlingen, sorgt aber dafür, dass diese erst einmal nur mit den Berechtigungen des Nutzers agieren können und somit u.a. unerwüschte Programme nicht so einfach installieren dürfen.
Trennung von Arbeit und Freizeit
Facebook, Moorhuhn, Instagram oder einen Flyer für das nächste Fest erstellen... Gerade bei Kleinigkeiten ist die Versuchung oft groß, diese schnell nebenbei am Arbeits-PC zu machen. Aber auch dies erzeugt oft neue Möglichkeiten, die ein Hacker nutzen kann, um den Computer unter seine Kontrolle zu bekommen. Sei es, weil dafür Daten aus dem Internet oder von einem externen Medium, wie einem USB-Stick kopiert werden, Programme ausgeführt oder Internet-Seiten besucht werden müssen.
Es minimiert das Risiko für das Unternehmen, aber auch den einzelnen Mitarbeiter, wenn eine Richtlinie private Aktivitäten auf den Arbeitsgeräten reglementiert. Idealerweise werden private Aktivitäten, soweit grundsätzlich erlaubt, nur auf eigenen Geräten durchgeführt.
Arbeitssystem portabel halten
Ein Arbeits-PC sollte immer leicht zu ersetzen sein, um bei einem Schaden die Ausfallzeit zu minimieren. Verwenden viele Mitarbeiter ähnliche Computer mit demselben Betriebssystem und derselben oder ähnlicher Software, kann ein Tausch im Falle eines Defektes sehr schnell erfolgen. Als Tauschgerät kann somit ein derzeit nicht genutztes Gerät verwendet werden, nur noch minimale Anpassungen werden benötigt. Dies setzt, gerade für den Fall des Festplattendefektes aber voraus, dass die Daten, mit denen gearbeitet wird, zentral im Netzwerk gespeichert sind und nicht nur lokal vorliegen. Sollte es jedoch keine zentrale Speicherung und auch kein Backup geben, kann sich die Wiederherstellung der Arbeitsfähigkeit des Angestellten verzögern und erheblichen Datenverlust mit sich führen.
Bundesamt für Sicherheit in der Informationstechnik
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, befasst sich mit allen Fragen rund um die IT-Sicherheit in der Informationsgesellschaft. Ziel des BSI ist es, den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Das BSI wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Es bietet nicht nur für Einrichtungen, sondern auch für Unternehmen und Privatpersonen sehr viele hilfreiche Informationen zur IT-Sicherheit. So bietet es eine Empfehlungen für Privatanwender zur sicheren Nutzung von PCs unter Microsoft Windows 7 an. Auch stellt das BSI unter Bürger-CERT (Computer Emergency Response Team) eine Übersicht aktueller Warnungen für kleine Unternehmen und Bürger zur Verfügung sowie unter CERT-Bund Meldungen aktuelle Warnungen für Computer-Systeme bereit.
Frequently Asked Questions (FAQ)
F:
Ich habe eine aktuelle Antivirensoftware installiert, ist mein PC nun sicher?
A:
Nein, er widersteht nun voraussichtlich Angriffen, die auf die breite Masse angelegt sind. Gezielte Attacken und sehr neue oder alte Malware können Ihnen vermutlich noch schaden.
F:
Sendet Ihr PC regelmäßig Nutzungsstatistiken und teilweise private Daten an amerikanische Großkonzerne wie Microsoft?
A:
Oft ist das Deaktivieren der Datensammelwut von aktueller Software nicht ganz trivial. Genau lesen, bevor Sie bewusst clicken!
F:
Darf ich private E-Mails mit dem Arbeits-PC beantworten?
A:
Das hängt von der Richtlinie Ihres Unternehmens ab, jedoch empfehlen wir, dies zu vermeiden. Sie reduzieren so das Risiko für das Unternehmen, sich mit Malware zu infizieren und gleichzeitig Ihre Verantwortung dafür.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Desktop:
Testen Sie Ihr Wissen zum Thema Desktop!
1) Bietet Antiviren-Software 100%igen Schutz vor Schädlingen?
2) Sollten Mitarbeiter mit dem Standard Windows-Benutzer arbeiten?
3) Sind Computer auch nach ihrem Lebenszyklus noch ausreichend sicher?
4) Sollten Updates ohne Bedenken eingespielt werden?
Zahlen, bitte! Täglich 390.000 neue Schadprogramme Momentan hat man das Gefühl, in jedem Mail-Anhang und hinter jedem Link versteckt sich irgendeine Malware. Antiviren-Hersteller und Test-Labore verstärken diesen Eindruck noch durch irrwitzig hohe Zahlen neuer Schadprogramme.
AV-Test.org Tests von Antivirenprodukten eines unabhängigen Forschungsinstituts.
Trojaner Petya - Verheerende Lücken bei der IT-Sicherheit Lahmgelegte Krankenhäuser, Flugzeuge am Boden, streikende Bankautomaten – die Gefahren von Cyberattacken auf unsere Infrastruktur wachsen. Sechs Wochen nach WannaCry sind Tausende Computer weltweit einem Cyberangriff durch den Trojaner "Petya" zum Opfer gefallen. Doch IT-Sicherheit gibt es nicht zum Nulltarif.
Bürger-CERT (Computer Emergency Response Team) Das Bürger-CERT informiert und warnt Bürger und Bürgerinnen, sowie kleine Unternehmen schnell und kompetent vor Viren, Würmern und anderen Sicherheitslücken.
CERT-Bund Meldungen Aktuelle Meldungen von Schwachstellen vom CERT-Bund des BSI
Die Wahl des richtigen Passworts ist ein schwieriges Problem, denn lange komplizierte Passwörter lassen sich schlecht merken, kurze oder einfache Passwörter dafür schnell erraten. Ein Kompromiss muss gefunden werden, d.h. ein möglichst komplexes Passwort, welches sich aber einfach merken lässt.
Idealerweise beinhalten Passwörter dabei keine Daten, die mit dessen Besitzer in Verbindung gebracht werden können, z.B. die zweistellige Jahreszahl des Geburtsjahrs.
Der Kontext
Verschiedene Dienste erhalten ganz individuell eine unterschiedliche Priorität. Werden bei einem Dienst Finanz- oder andere personenbezogenen Daten hinterlegt, wird er meistens als sehr schützenswert eingeordnet. Weniger schützenswert ist dahingegen vielleicht der Social Media Account, sicherlich liegt dies aber im Auge des (jugendlichen?) Betrachters.
Es ist in Ordnung, schwächere Passwörter für geringer priorisierte Dienste zu nutzen. Wichtig ist allerdings, das Passwörter (oder auch Teile davon) möglichst nicht mehrfach verwendet werden! Insbesonders nicht über unterschiedlich klassifizierte Dienste hinweg.
Wie sicher ist mein Passwort?
Die Sicherheit eines Passworts ist abhängig von dessen Länge (>10) und den verwendeten Zeichen (z.B. nur Kleinbuchstaben?). Weiterhin wichtig ist, dass Passwörter keine Strukturen aufweisen (z.B. 12345, abcde) und keine sinnvollen Bestandteile (z.B. schuh, 1967) enthalten.
Gegen die Sicherheit eines Passworts spielt die Zeit, denn täglich werden leistungsstärkere Rechenmaschinen produziert, die immer mehr Passwörter pro Sekunde testen können, viele Milliarden Passwörter pro Sekunde sind möglich! Bekommt der Angreifer eine Datei mit Ihrem verschlüsselten Passwort in die Hände, schützt nur noch ein langes komplexes Passwort Ihre Sicherheit. In der Rubrik 'Tests' können Sie die Sicherheit Ihres Passworts prüfen.
Wie sollten Passwortrichtlinien aussehen?
Für Passwortrichtlinien, z.B. mindestens eine Zahl und ein Sonderzeichen, ≥ 8 Zeichen, 1 Monat Gültigkeit, gelten die selben Grundsätze wie für Passwörter selbst. Sind sie zu komplex, lassen sich Passwörter nicht merken und werden aufgeschrieben. Sollten die erstellten Passwörter zu einfach sein, können Sie schnell gebrochen werden.
Erschwerend kommt hinzu, dass Anwender dazu neigen, Richtlinien falsch anzuwenden, wenn die individuelle Priorität für den Dienst oder das allgemeine Verständnis für Sicherheit geringer ist. Zum Beispiel: 'Monat=01', 'Monat=02', ... (Richtlinie aus dem Text)
Wägen Sie die Komplexität der Passwortrichtlinien deshalb sinnvoll ab!
Wie erstelle ich ein gutes Passwort?
Eine hervorragende Methode, ein gut merkbares komplexes Passwort zu erzeugen, ist der Merksatz!
Beispielsweise wird aus dem Satz 'Schokolade ist Gottes Entschuldigung für Brokkoli.' und drei zufälligen Zahlen das Passwort: 18SiGEfB.4(Dieses Passwort bitte nicht verwenden!)
Mit diesem Prinzip lassen sich sehr sichere Passwörter erzeugen, der Satz sollte jedoch besser etwas länger sein.
Passwort Manager
Passwort Manager sind Anwendungen mit denen Sie Ihre Passwörter verwalten können. Sie speichern dabei alle Passwörter und deren Verwendungszweck in einem Container, den Sie mit einem sicheren Masterpasswort verschlüsseln. Nach der Eingabe des Masterpassworts bekommen Sie Zugang zu Ihren unterschiedlichen Passwörtern und müssen Sich so nur noch ein einzelnes, aber sicheres, Passwort merken!
Gute Passwort Manager machen ihre Nutzung sehr bequem, indem sie nach dem Freischalten mit dem Masterpasswort
Passwörter automatisch in die richtigen Formularfelder eintragen,
sichere Passwörter für neue Dienste generieren und
den Passwort Manager von vielen Geräten aus (Smartphone, Webbrowser, ...) nutzbar machen.
Bekannte Produkte sind LastPass und 1Password. Beide lassen sich kostenlos auf verschiedenen Betriebssystemen nutzen.
Mehrfaktor-Authentifizierung
Der Hauptzweck von Passwörtern ist die Authentifizierung des Besitzers bei einem Dienst. Das bedeutet, der Besitzer bestätigt durch die Kenntnis des Passworts seine Identität.
Um widerstandsfähiger gegen Angriffe zu werden, wird die Authentifizierung über mehrere unabhängige Wege durchgeführt, z.B. https-Webseite + SMS oder Brief + Anruf. Wesentlich für die Mehrfaktor-Authentifizierung ist, dass die beiden Transportwege für die Authentifizierung tatsächlich getrennt sind, denn wenn der Angreifer die Kontrolle über die unabhängigen Wege bekommt, funktioniert sein Angriff. Laufen die Wege jedoch auf einem potentiell gefährdeten Gerät zusammen, z.B. Smartphone-App + SMS, ist der Sicherheitsgewinn durch die Mehrfaktor-Authentifizierung fragwürdig.
Alternativen zu Passwörtern
Die Prüfung biometrischer Merkmale, wie Fingerabdruck oder Gesichtserkennung, ist eine Option. Vielen biometrischen Verfahren muss man jedoch eine vergleichbar geringere Sicherheit bescheinigen. Natürlich gibt es auch sichere biometrische Verfahren, z.B. Ohrmuschel oder Iris-Scan, diese sind jedoch meistens teurer oder wenig portabel.
Die Authentifizierung mit digitalen Zertifikaten oder Hardware-Tokens wird oft in größeren Unternehmen oder Projekten eingesetzt. Diese Methoden sind Passwörtern aufgrund einer höheren Sicherheit vorzuziehen.
Frequently Asked Questions (FAQ)
F:
Wie lang sollte ein sicheres Passwort sein?
A:
Unter der Annahme, der Angreifer hat eine einfache Datenbank (MD5, ohne Salt) mit Ihrem sicheren Passwort unter Kontrolle, sollten es derzeit ≥ 12 Zeichen sein (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen).
F:
Welche Alternative zu Passwörter empfehlen Sie?
A:
Die Authentifizierung mit ≥ 2 Faktoren ist sinnvoll. Darüber hinaus empfehlen wir den Login mit digitalen Zertifikaten (z.B. SSH-Server, VPN), insofern dies möglich ist.
F:
Wie sicher ist eine biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung, ...)?
A:
Derzeit sind die meisten biometrischen Verfahren noch nicht auf einem Sicherheitsniveau, das mit guten Passwörtern mithalten kann. Es gibt natürlich auch gute biometrische Verfahren (Iris-Scan, Ohrmuschel, ...), die meistens allerdings nicht portabel, teuer oder wenig praktikabel sind.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Passwörter:
Testen Sie Ihr Passwort lokal
Geben Sie ein Passwort ein, um dessen Sicherheit zu testen. Die Eingabe verbleibt auf Ihrem Gerät und wird nicht in das Internet kommuniziert.
Passwort: anzeigen
Anmerkung: Diese Zahlen gelten für die Durchsuchung von 50% des Schlüsselraums (Ihr Passwort ist zu 50% enthalten) durch Rechentechnik aus dem Jahr 2018. Die Geschwindigkeit von Computern unterliegt dabei einem exponentiellen Wachstum (Verdopplung der Geschwindigkeit jedes Jahr bzw. jede zwei Jahre, je nach Quelle).
Um mit der Zeit Schritt zu halten und Angriffen von sehr solventen Widersachern (Organisierte Kriminalität oder Regierungsorganisationen) zu widerstehen, sind für eine akzeptable Sicherheit sehr hohe (z.B. Jahrtausende) Bruteforce-Aufwände notwendig. Ein Passwort der Länge 128 Bit gilt im Jahr 2018 als sicher (Quelle: BSI). Sollte Ihr Passwort zudem in einem Hacker-Wörterbuch enthalten sein, ist der Angriff um ein Vielfaches schneller! Vermeiden Sie daher Passwörter mit sinnvollen Bestandteilen (Teilwörtern, Zahlenkombinationen, Wiederholungen, usw.).
Testen Sie Ihr Passwort im Internet
Im Internet gibt es einige Anbieter, die einen kostenlosen Passwort-Check anbieten. Dabei wird das eingegebene Passwort zur Überprüfung möglicherweise in das Internet gesendet. Prüfen Sie die Seriösität des Anbieters (z.B. https://, Impressum, ...), bevor Sie ein eigenes Passwort eintragen!
Prüfen Sie, ob Ihr Passwort im Internet bekannt ist
Wenn Server im Internet kompromittiert werden, erbeuten Hacker dabei oft die gespeicherten Zugangsdaten. In manchen Fällen werden die erbeuteten Zugangsdaten später im Darknet veräußert oder öffentlich publiziert (Leak). Einige seriöse Anbieter sammeln die erbeuteten Zugangsdaten und bieten über eine Webseite eine Schnittstelle an, nach dem Auftreten der eigenen Zugangsdaten zu suchen.
LastPass Die Webseite des Passwort-Managers LastPass, automatischer Formularausfüller, zufälliger Passwortgenerator und sicherer digitale Wallet-App, die auch kostenlos genutzt werden kann.
1Password Dies ist die Webseite des Passwort-Managers 1Password, welcher auch kostenlos genutzt werden kann.
Passwort-Sicherheit-Check: Wie sicher ist mein Passwort? Checkdeinpasswort.de bietet die Überprüfung der Passwortqualität als Service an. Nach der Eingabe eines Passworts wird eine Einschätzung über dessen Sicherheit abgegeben.
Passwortfuchs Ähnlich wie Checkdeinpasswort.de beschäftigt sich Passwortfuchs.de mit der Sicherheit von Passwörtern.
Have I been pwned? Diese Webseite sammelt Informationen über von Hackern erbeutete Zugangsdaten. Hierzu zählen kompromittierte E-Mailaccounts und ganz allgemein offengelegte Passwörter.
Je nach Anwendungsfall werden unterschiedliche Anforderungen an den Speicher gestellt. Im Desktop-PC muss dieser schnell sein, aber keine 50 Jahre halten, während für Langzeitsicherungen die Reaktionsgeschwindigkeit nicht so wichtig ist, wenn dieser dafür garantiert mehrere Jahre lesbar ist.
Speicher für den Anwender-PC
Gab es früher nur Festplatten als Speicher für den Computer, gibt es seit vielen Jahren auch SSDs als Alternative. Waren die SSDs lange sehr teuer, weswegen im Computer primär noch Festplatten eingesetzt wurden, gibt es inzwischen Markenprodukte mit sehr hoher Qualität und vielen Gigabyte (GB) Speicher für unter 100 EUR. Während im heimischen PC beispielsweise 500GB aufgrund der immer größer werdenden Programme und Datenaufkommen (z.B. Bilder, Videos) schnell an seine Grenzen kommen, reicht dieser Speicherplatz für einen Büro-PC mehr als aus. Dabei bietet eine SSD viele Vorteile gegenüber der klassischen Festplatte:
Geschwindigkeit (Lesen/Schreiben): Während Festplatten bei ca. 200 MB/s liegen, können SSDs bis zu 2500 MB/s erreichen.
Zugriffszeit: Während Festplatten bis zu 12 ms benötigen, um auf Daten zugreifen zu können, benötigen SSDs etwa 0,1 ms.
Stromverbrauch: SSDs benötigen etwa 1/3 - 1/2 der Energie von herkömmlichen Festplatten.
Startzeit: Während eine Festplatte mechanische Teile hat, welche erst einmal in Bewegung kommen müssen, ist eine SSD sofort einsatzbereit.
Lautstärke: Da eine Festplatte mechanische Teile hat, produziert diese auch Geräusche während eine SSD lautlos ist.
Auch was die Haltbarkeit betrifft, schlagen sich SSDs sehr gut. Wie bei Fahrzeugen geben die Hersteller die Garantie in Jahren bzw. in einer Mindestmenge an Daten an, die geschrieben werden können, bevor ein Fehler auftreten kann. Diese Angaben variieren je nach Hersteller. Zum Beispiel umfasst Samsungs Garantie für die SSD 860 Evo 5 Jahre oder das 600-fache der Speichergröße. Für einen normalen PC ist dies verglichen mit der Nutzungsdauer mehr als ausreichend.
Gerade durch die viel niedrigere Zugriffszeit sollte eine SSD für den Desktop-PC die erste Wahl sein, da das Starten des Computers und von Programmen dadurch nur einen Bruchteil der Zeit benötigt, die eine klassische Festplatte benötigen würde.
Speicher für den Laptop
Was für den Desktop-PC gilt, gilt auch für den Laptop. Ein weiterer Vorteil einer SSD ist hierbei, dass sie durch den Verzicht auf mechanische Teile resistent gegen Erschütterungen und Bewegungen jeglicher Art ist. Insbesondere bei einem Laptop, welcher im Betrieb bewegt werden darf, verringert sich dadurch die Gefahr von Datenverlusten. Eine geringere Wärmeenticklung und der vergleichsweise geringere Energieverbrauch spricht zusätzlich für den Einsatz einer SSD in Laptops.
Speicher für Datensicherung
Die Kriterien für die Auswahl eines Speichermediums zu Datensicherhungszwecken unterscheiden sich von den klassischen Auswahlkritierien für Speichermedien. An erster Stelle steht die Haltbarkeit des Speichermediums, die sich allerdings bei den verschiedenen Technologien erheblich unterscheiden kann. Informationen zum Speicher für Backups gibt es in der Rubrik Organisatorisches.
Festplattenverschlüsselung
Festplattenverschlüsselung wird genutzt, um sensible Daten vor unbefugten Zugriff zu schützen. Dabei kann gewählt werden, ob die ganze Festplatte, eine Partition oder nur ausgewählte Daten verschlüsselt werden sollen. Gerade beim Einsatz von Notebooks, auf denen sensible Daten gespeichert sind, bietet sich eine Festplattenverschlüsselung an, um im Falle eines Diebstahls oder bei Auslandsreisen das Risiko eines Datendiebstahls oder Missbrauchs zu minimieren. Im Ausnahmefall ist wichtig, dass das Gerät ausgeschaltet (d.h. nicht entsperrt) ist, um die verschlüsselten Daten sicher vor Fremdzugriffen zu halten.
Zu bedenken ist, dass ebenfalls Backups von sensiblen Daten verschlüsselt werden sollten, sofern diese nicht räumlich, z.B. in einem Safe, geschützt gelagert werden können.
Bei der Verschlüsselung gibt es zwei Arten: Softwareverschlüsselung und Hardwareverschlüsselung. Bei der Softwareverschlüsselung werden die Daten von dem Betriebssystem oder einem systemnahen Programm (z.B. VeraCrypt, TrueCrypt, EncFS, Bitlocker, ... siehe Verschlüsselung: Die besten Gratis-Datentresore) verschlüsselt. Da die Daten bei dem Schreiben ver- und bei dem Lesen entschlüsselt werden, führt dies zu geringen Leistungseinbußen des Computers. Seit etwa 2008 verfügen Prozessoren über die AES-Befehlszeilenerweiterung, welche durch viele der Verschlüsselungsprogramme genutzt wird und Leistungseinbußen kaum noch spürbar macht. Bei der Hardwareverschlüsselung gibt es eine zusätzliche Komponente, welche z.B. in der Festplatte verbaut ist, die fast in Echtzeit ver- und entschlüsselt.
Wichtig für die Sicherheit Ihrer Daten ist das verwendete Verfahren für die Verschlüsselung und Authentifizierung. Bei den Verfahren muss zwischen Aufwand zum Ver-/Entschlüsseln und Sicherheitseigenschaften abgewägt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierfür AES-XTS, da diese Chiffre gute Sicherheitseigenschaften neben einer hervorragenden Effizienz bietet.
Bei den Verschlüsselungsprogrammen gibt es mehrere Möglichkeiten der Authentifizierung (Identifizierungs des Besitzers), dies können Passwörter oder PINs, biometrische Merkmale wie Fingerabdruck oder auch Chipkarten oder Password-Token wie spezielle USB-Sticks sein.
Die beste Verschlüsselung bringt nichts, wenn das genutzte Passwort dafür neben der Tastatur klebt oder ein Standardpasswort verwendet wird. Wie stark ein Passwort ist, kann unter Passwort geprüft werden.
Frequently Asked Questions (FAQ)
F:
Ist eine Festplattenverschlüsselung für den Reise-Laptop sinnvoll?
A:
Ja, in der Tat. So können Firmengeheimnisse am besten geschützt werden, denn auf dem Schwarzmarkt werden z.T. gestohlene Laptops gehandelt und erzielen gute Preise aufgrund der potentiell enthaltenen Daten.
F:
Wie notwendig ist eine Festplattenverschlüsselung auf dem festen PC zuhause?
A:
Nicht unbedingt notwendig, außer Sie befürchten Industriespionage oder ähnliches. In diesem Fall sollten Sie Ihre Daten (auch die ausgedruckten) möglichst vollständig sichern.
Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Speicher:
none
Linksammlung
Verschlüsselung: Die besten Gratis-Datentresore Dieser Artikel beschäftigt sich mit dem Thema der Festplattenverschlüsselung. Im Artikel werden nach einer Einführung fünf unterschiedliche Software-Varianten vorgestellt.
Glossar
BCP
Der Begriff Business Continuity Plan wird synonym zu Disaster Recovery Plan (DRP) genutzt. Eine Anleitung, die beschreibt, wie der Betrieb (z.B. IT) nach einem Unfall wieder aufgebaut werden kann.
BSSID
Der Basic Service Set Identifier ist die physikalische (MAC-)Adresse eine Accesspoints.
CDN
Ein Content-Delivery-Network ist ein regional verteilter Service, der insbesondere Medieninhalte anstatt des eigentlichen Servers zur Verfügung stellt. Somit kann die Last des Servers (oder dessen Anbindung) erheblich reduziert werden.
CMS
Ein Content-Management-System ist ein Applikation, die es erlaubt, Webapplikationen im Baukastenprinzip zu erstellen. Inhalte und Design können konfiguriert werden und so entsteht mit verhältnismäßig wenig Aufwand eine professionelle Webseite, ein Webshop oder ein Forum.
(D)DoS
(Distributed) Denial of Service. Dieser Angriff bringt einen Dienst auf unterschiedliche Arten dazu, dass er seine Aufgabe nicht mehr erfüllen kann. Oftmals wird darunter das Überlasten der Netzwerkanbindung verstanden. In der Variante DDoS nutzt der Angreifer eine große Zahl von (kompromittierten) Systemen, um das Ziel zu überlasten.
DRP
Disaster Recovery Plan ist eine Anleitung, die beschreibt, wie der Betrieb (z.B. IT) nach einem Unfall wieder aufgebaut werden kann.
Dumpster Diving
Dumpster Diving bezeichnet das Suchen von Informationen im Abfall.
EAP
Extensible Authentication Protocol. Eine offene Gruppe von Authentifizierungs- und Schlüsselaustauschprotokollen mit unterschiedlichen Sicherheitseigenschaften. Bekannt sind z.B. EAP-TLS, EAP-TTLS, EAP-PEAP oder EAP-PWD.
ESSID
Extended Service Set Identifier, der Text-Name einer WLAN-Funkzelle, die sich über mehrere Accesspoints (mehrere BSSIDs) hinweg erstreckt.
GSM
Global System for Mobile Communications ist der Name für den Mobilfunkstandard der zweiten Generation (2G). Neben Sicherheitsproblemen ist auch die Bandbreite nicht besonders hoch, dafür ist die Netzabdeckung die beste der Mobilfunkstandards.
GTK
Groupwise Transient Key. Dieser temporäre Schlüssel wird für sichere Nachrichten des Accesspoints an alle Endgerät genutzt.
Hoaxes/Scam
Spezielle Form von Spam, die mit Falschmeldungen lockt oder z.B. große Geldbeträge (für \"kleine\" Unkostenbeträge) in Aussicht stellt (Nigeria Scam)
IDS
Ein Intrusion Detection System überwacht ein Netzwerk oder System auf Angriffe. Die aktive Variante IPS (Intrusion Prevention System) kann darüber hinaus auch Maßnahmen einleiten, Angriffe zu unterbinden.
IEEE
Institute of Electrical and Electronics Engineers. Dieses Institut erarbeitet internationale Standards, besonders bekannt sind Ethernet (802.3) oder WLAN (802.11).
IMSI-Catcher
Ein IMSI-Catcher ist ein Gerät (oder Software+SDR), das sich als Basisstation für Mobiltelefone ausgibt, Gespräche oder Daten potentiell abhören und Geräte orten kann.
ISDN
Integrated Services Digital Network bezeichnet das digitale Telefonnetz, welches in der Zeit vor dem Breitbandausbau (DSL, Kabel-Anbindung) oft genutzt wurde.
ISM
Industrial, Scientific and Medical Band. Lizenz- und genehmigungsfreie Funkfrequenzen, typischerweise 433.92MHz und 868.3MHz.
LTE
Long Term Evolution (4G) ist die vierte Generation der Mobilfunkstandards. Ein reiner Datendienst mit höherer Sicherheit und Bandbreite. Die Netzabdeckung ist jedoch schlechter als bei GSM und UMTS
MAC
Physikalische Adresse eines Netzwerkgeräts (auch WLAN). MAC bedeutet hier Media Access Control, ein Teil der zweiten Schicht des ISO/OSI Referenzmodells für Netzwerke.
Multiple Input Multiple Output (MIMO)
Mehrere Sende- und Empfangseinheiten im WLAN, die parallel betrieben werden. Hierdurch wird die Übertragungsrate gesteigert und die Robustheit des Netzwerks gegen Störungen erhöht, denn es gibt durch unterschiedliche Reflektionen der Umgebung (z.B. Wände) oft mehrere Pfade zum Ziel.
NAS
Network Attached Storage ist ein Festplattenspeicher, der über Netzwerk erreichbar ist. Bessere Geräte haben Platz für mehrere Festplatten und bieten verschiedene Redundanzmodi (RAID) an.
Phishing/Pharming
oft Spam E-Mails, die auf eine scheinbar vertrauenswürdige Webseite locken wollen (ähnliche URL, z.B. gogle.de), welche dann aber Daten wie PIN/TAN abgreift oder Malware ausliefert.
PMK
Pairwise Master Key. Dies ist der Schlüssel, aus dem im WLAN weitere Schlüssel abgeleitet werden. Der PMK selbst wird entweder aus dem PSK abgeleitet oder über ein EAP Protokoll sicher ausgehandelt.
POTS
Plain old telephone service ist der Fachbegriff für die alte analoge Festnetztelefonie.
PSK
Pre Shared Key ist ein geheimer Schlüssel, der vorab auf einem Endgerät installiert wurde. Häufig genutzt im WLAN.
PTK
Pairwise Transient Key. Dieser temporäre Schlüssel wird für die sichere Kommunikation zwischen Accesspoint und Endgerät genutzt.
RAID
Hinter der Bezeichnung Redundant Array of Independent Disks (RAID) verbirgt sich die Verknüpfung mehrerer Festplatten, so dass diese eine höhere Geschwindigkeit oder Ausfallsicherheit erreichen. Unterschiedliche RAID-Modi (0, 1, 3, 5, 6, 10, 50, ...) erreichen unterschiedliche Ergebnisse bei Geschwindigkeit und Ausfallsicherheit.
RSN
Robust Security Network. Eine mit WPA geschützte WLAN-Funkzelle wird als RSN bezeichnet.
SDN
Software Defined Networking ist eine Technik mit der ganze Netzwerke und Netzwerkelemente (Switches, Router) virtuell dargestellt werden können. Spezielle Switches und Router können diese virtuelle Konfiguration laden und mit flexiblen Hardwarenbausteinen in der Praxis realisieren.
SDR
Ein Software Defined Radio (SDR) ist ein Gerät, das es ermöglicht, auf fast beliebigen Funkfrequenzen zu empfangen. Einige SDRs sind zusätzlich in der Lage, auf diesen Frequenzen beliebige Daten zu senden.
Shoulder Surfing
Shoulder Surfing ist das Zusehen oder Aufzeichnen bei Notieren/Eintippen eines Geheimnisses.
SOC
Ein Security Operations Center ist die Kommunikationszentrale für sicherheitsrelevante Dienste. Hier werden Ergebnisse von Monitoring-Software, Intrusion Detection Systemen und anderen Quellen zusammengetragen, ausgewertet und eskaliert.
Spear Phishing
Mit Spear Phishing bezeichnet man eine zielgerichtete E-Mail, oft mit sehr persönlichem Bezug und nur an eine Person addressiert, die z.B. Malware auf dem Zielrechner installieren soll oder Daten abgreift.
SSD
Solid State Disk (SSD) ist eine moderne Form der Festplatte, die vor allem mit der Datenübertragungs- und Zugriffsgeschindigkeit gegenüber klassischen Festplatten punktet. Daten werden in Speicherchips abgelegt, es gibt keine mechanischen Komponenten mehr bei dieser Festplattentechnologie.
SSL
Das Secure Socket Layer (SSL) Protokoll wird u.a. für die sichere Kommunikation mit Webseiten (https) genutzt. Die Version 3.0 entspricht in etwa TLS 1.0, welches als Nachfolgeprotokoll weiterentwickelt wird. SSL wird nicht mehr weiterentwickelt und gilt als unsicher.
Tailgaiting
Tailgaiting nennt man das Vordringen in nicht öffentliche Bereiche, indem der Angreifer durch eine geöffnete Tür wie selbstverständlich mit hindurchgeht.
TLS
Das Transport Layer Security (TLS) Protokoll stellt die Weiterentwicklung von SSL dar (SSL 3.0 ~ TLS 1.0) und wird u.a. für die sichere Kommunikation mit Webseiten (https) verwendet. Aus Sicherheitsgründen sollte eine möglichst aktuelle Version von TLS genutzt werden, mindestens TLS 1.2. Von der Nutzung kleinerer TLS-Versionen und SSL wird wegen Sicherheitsbedenken grundsätzlich abgeraten.
UMTS
Universal Mobile Telecommunications System bezeichnet die dritte Generation (3G) der Mobilfunkstandards. Die Bandbreite ist größer, aber die Abdeckung schlechter als bei GSM.
URH
Universal Radio Hacker (URH) ist eine Software die bei der Analyse und Sicherheitsuntersuchung von Funkprotokollen unterstützt. Zum Senden und Empfangen von beliebigen Funkfrequenzen wird ein Software Defined Radio (SDR) genutzt.
URL
Mit Uniform Resource Locator bezeichnet man eine Internetadresse, z.B: http://www.stz-netze.de
VLAN
Virtual Local Area Network ist die virtuelle Auftrennung eines Netzwerks in mehrere separate Netzwerke, die zwar die Infrastruktur (z.B. Switches, Router, einige Server) teilen, jedoch nicht direkt miteinander kommunizieren können.
VoIP
Voice over IP ist eine Technik, um Sprache digitalisiert über das Internet zu übertragen. Im Gegensatz zu POTS und ISDN wird keine exklusive Leitung mehr zum Ziel aufgebaut, Sprachpakete werden mit andern Datenpaketen gemeinsam im Internet versendet.
WEP
Wired Equivalent Privacy. Der mittlerweile gebrochene Sicherheitsstandard für WLAN, von der Nutzung wird dringend abgeraten (grob fahrlässig).
WPA
Wi-Fi Protected Access. Der aktuelle Sicherheitsstandard für Wiress LAN wird als WPA bezeichnet. Es gibt derzeit drei Versionen WPA1, WPA2 und das noch nicht breit unterstützte WPA3. Empfohlen ist die Nutzung von mindestens WPA2 (AES/CCMP).
WPS
Wi-Fi Protected Setup. Automatischer, aber möglicherweise unsicherer, Austausch von Schlüsselmaterial zwischen Accesspoint und Endgerät. Von der Verwendung wird abgeraten (Deaktivieren!), wenn es nicht dringend benötigt wird.
0-Day
0-Day- oder Zero-Day-Exploits beschreiben Fehler in Hardware oder Software mit entsprechenden Maßnahmen, diese auszunutzen. Diese 0-Days werden oft eine ganze Zeit lang genutzt, bevor sie von der Öffentlichkeit entdeckt werden (...bekannt seit 0 Tagen/0 Days).