Inhalte (Webseiten)

Sichere Kommunikation mit https

Transport Layer Security (TLS) ist ein sehr wichtiges Protokoll im Internet, alle https-Aufrufe nutzen es. Das Protokoll hat die folgenden Aufgaben:

1. Sichere Verschlüsselung der Kommunikation
2. Authentifizierung/Identifizierung des Servers

Wird https eingesetzt und der aktuelle Browser gibt keine Fehlermeldungen oder Warnungen aus, lässt sich in der Regel davon ausgehen, dass die Kommunikation sicher verschlüsselt ist und man mit dem richtigen Server (passend zur Adresse) kommuniziert.

Diese Aussage muss insofern abgeschwächt werden, als das Hacker ein ganzes Repertoire an Möglichkeiten haben, eine sichere Verbindung vorzugaukeln oder die Kommunikation anderweitig zu beeinflussen. Eine gesunde Skepsis sollte daher auch bei aktiver https-Verbindung an den Tag gelegt werden!

Gegen das TLS-Protokoll und seinen mittlerweile unsicheren Vorgänger SSL (SSL 3.0 entspricht etwa TLS 1.0, im August 2018 erschien TLS 1.3) gibt es viele Angriffe. Moderne Browser sind daher angehalten, eine möglichst aktuelle Version von TLS zu verwenden, am besten TLS ≥ 1.2.
Der Webserver gibt jedoch vor, welche Versionen von TLS und SSL genutzt werden können. Wie sicher eine Verbindung Ihres Browsers zu einer Webseite ist, hängt daher maßgeblich von dem Webserver der Webseite ab (siehe auch Tests). In kritischen Fällen wird Ihr Browser jedoch warnen oder die Verbindung zu einem unsicheren Server gänzlich verweigern.
Was können Sie tun? Nutzen Sie einen modernen Browser wie Chrome oder Firefox, den Sie stets auf dem aktuellen Update-Stand halten. Hiermit reduzieren Sie das Risiko, einem Hackerangriff ausgesetzt zu werden. Über die Sicherheit Ihrer aktuellen Verbindung können Sie sich informieren, indem Sie auf das Symbol links neben der https://-Adresse clicken.

Webserver, Programmierung und Content-Management-Systeme

Die Sicherheit einer Webseite hängt nicht allein von der verwendeten TLS-Version und deren Einstellungen ab, sondern auch von der Programmierung der Seite selbst. Öffnet die Webseite Angriffspotential für Hacker, kann eine im Hintergrund arbeitende Datenbank schnell übernommen, ein Webshop betrogen (z.B. neuer Preis für Artikel X = -50,00 EUR) oder die Webseite unerlaubt verändert (z.B. Verteilung von Malware an Seitenaufrufende) werden. Die Sicherheitsrisiken können vielfältig sein. In den nächsten Unterkapiteln gehen wir kurz auf diese Risiken ein.

Version des Webservers

Betreiben Sie eine Webseite? Achten Sie nicht nur darauf, dass Sie eine aktuelle Version von TLS einsetzen, sondern auch der Webserver selbst und seine verwendeten Plugins sollten in einer aktuellen Version vorliegen.
Täglich werden neue Sicherheitslücken gefunden und Angriffe geschrieben, eine Suchfunktion nach aktuellen Angriffen für die gebräuchlichen Webserver Apache, Nginx und IIS finden Sie in der Rubrik Tests.

Programmierung

Die Programmiersprachen, die genutzt werden, um eine Webseite zu erstellen können selbst Fehler enthalten oder durch eine fehlerhafte Programmierung Angriffsoberfläche anbieten! Selbst professionelle Software-Entwickler machen auf 1000 Zeilen Programmiercode im Durschnitt einen Fehler. Bei großen Projekte gibt es oft über 100.000 Zeilen Quellcode, manchmal sogar noch erheblich mehr.
Wenn Sie mit einer Webapplikationen Geld verdienen oder auf diese stark angewiesen sind, sollten Ihre Entwickler in sicherer Softwareentwicklung geschult sein und das Produkt extern auditiert werden. Auf diese Art und Weise können Sie die Anzahl der sicherheitskritischen Fehler reduzieren, bevor ein Hackerangriff auftritt und potentiell hohe Folgekosten mit sich bringt.

Typische Angriffe gegen Webapplikationen sind:

• SQL Injection
• Das Ausnutzen schwacher Passwörter (Maßnahme: Passwortrichtlinie) oder unsicher gespeicherten Informationen
• Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), ...

Eine gute Quelle, um sich über die Gefahren von Webseiten zu informieren ist das Open Web Application Security Project (OWASP). Regelmäßig gibt die OWASP eine Top 10 Liste heraus (siehe OWASP Top 10 (2017)), die über die aktuell zehn häufigsten Schwachstellen in Webapplikationen/Webseiten informiert.

Content-Management-Systeme

Für professionelle Webapplikationen gibt es einige Baukasten-Produkte in Form von Content-Management-Systemen (CMS). Bekannte Produkte sind z.B. Wordpress, Drupal, Joomla oder Typo3.
Ganz besonders diese Produkte müssen permanent auf dem aktuellen Stand gehalten werden, um Angreifer abzuwehren. Problematisch ist die große Verbreitung, denn wenn eine Sicherheitslücke in einem CMS entdeckt wird, geht diese Information in Hackerkreisen herum und es werden in einem sehr kurzen Zeitraum viele Webapplikationen mit diesem CMS attackiert.

Aktuelle Sicherheitslücken finden sich zum Teil öffentlich wieder (siehe auch Rubrik Tests) oder werden als 0-Day-Exploits im Darknet verkauft. Die Bezeichnung 0-Day bezieht sich auf die Dauer nach der Entdeckung des Angriffs durch die Öffentlichkeit, gemeint sind also der breiten Öffentlichkeit unbekannte Angriffe. Siehe auch Was ist ein Zero-Day-Exploit?.

Speicherung von Zugangsdaten

Wenn Sie eine Webseite betreiben, bei der Nutzer sich registrieren können, müssen Sie sich mit dem Thema der Speicherung von Zugangsdaten auseinandersetzen. Gelingt es einem Hacker durch eine ungepatchte Sicherheitslücke, die Benutzernamen und Passwörter aus Ihrer Datenbank zu extrahieren, kann dies einen enormen Schaden für das Renommee Ihrer Webseite bedeuten. Weiterhin drohen ggf. rechtliche Konsequenzen (Datenschutz usw.).

Um den Schaden zu minimieren, ist es wichtig, dem Hacker das Handwerk zu erschweren! Anstatt die Passwörter im Klartext in der Datenbank zu speichern, sollten moderne Verfahren zur Speicherung von Passwörtern genutzt werden, z.B. sha512-crypt. Zusätzlich ist darauf zu achten, dass jedes Passwort mit einem zufälligen Salt-Wert codiert wird.
Beide Maßnahmen führen dazu, dass der Hacker viel Rechenaufwand und eine lange Zeit benötigt, um die codierten Passwörter zu ermitteln.

Wenn es einem Hacker tatsächlich gelungen ist, Passwörter aus Ihrer Datenbank zu stehlen (Notfall, siehe auch Organisatorisches), sollten Sie Ihre Nutzer umgehend darüber informieren und sie bitten, die Passwörter zu erneuern. Weiterhin bringen Sie den Hinweis unter, dass das genutzte Passwort nun als unsicher gilt und auch bei anderen Diensten nicht mehr genutzt werden darf (nur, um sicher zu gehen...).
Warnung: Benutzernamen und Passwörter werden im Darknet verkauft, oft mehrfach gekauft und für diverse Zwecke genutzt.

(Distributed) Denial of Service (DDoS)

Denial of Service (DoS) Angriffe verhindern auf unterschiedliche Arten, dass ein Dienst seine Arbeit weiterhin verrichten kann. Ansatzpunkte für einen DoS Angriff sind:

1. Überlastung der Internet-Anbindung
2. Überlastung eines Servers (z.B. Prozessorlast, Arbeitsspeicher)
3. Ausnutzen von Sicherheitslücken, die den Betrieb verhindern

Oft genutzt wird auch der Begriff DDoS (Distributed DoS), der einen gemeinsamen Angriff vieler Systeme beschreibt. Die aktiven Teilnehmer eines DDoS-Angriffs sind sich ihrer Taten dabei oft nicht bewusst, denn häufig werden hierzu Botnetze verwendet. Ein Botnetz besteht dabei aus mit fernsteuernder Malware infizierten PCs, Servern und IoT-Geräten.

Die Verteidigung gegen (D)DoS-Angriffe ist nicht trivial. Nach der obligatorischen Empfehlung für zeitnahe Sicherheitsupdates und einer sicheren Konfiguration (Ansatzpunkte 2. und 3.) lässt sich eine Überlastung der einkommenden Bandbreite (Ansatzpunkt 1.) nicht auf dem eigenen System regulieren.
Ein DDoS-Sturm kann von einem Internetprovider oder ähnlich gut vernetzten Firmen, z.B. Content Delivery Networks (CDN) wie Akamai oder Cloudflare, vorgefiltert oder umgeleitet werden. Dieser Service ist für gewöhnlich nicht kostenlos und ist vor allem für große Webseiten und Webshops geeignet, bei denen eine Ausfallzeit durch einen DDoS-Angriff für finanzielle Folgen oder Verstimmungen sorgen würde. Das Androhen von DDoS-Angriffen ist Geschäftsmodell von Hackern. Weitere Informationen finden Sie z.B. hier So funktionieren DDoS-Angriffe.

Frequently Asked Questions (FAQ)

F:	Woran erkennt man eine sichere Verbindung?
A:	Achten Sie auf das https zu Beginn der URL. Weiterhin können Sie erweiterte Sicherheitsinformationen über einen Click auf das Symbol vor der URL einsehen.
F:	Kann man TLS grundsätzlich vertrauen?
A:	Grundsätzlich immer vertrauen sollte man keinem Verfahren, allerdings ist TLS ein sehr etabliertes Sicherheitsprotokoll. Nutzen Sie eine aktuelle Version (TLS ≥ 1.2), um sicherzugehen.
F:	Gibt es Möglichkeiten, eine TLS-Verbindung zu kompromittieren?
A:	Ja, da gibt es verschiedene Möglichkeiten. Neben den Angriffen auf das TLS-Protokoll selbst (von Zeit zu Zeit werden Schwachstellen entdeckt) bildet das digitale Zertifikat des Servers den Vertrauensanker. Wenn ein Angreifer in der Lage ist, das Zertifikat zu manipulieren, ein gefälschtes Zertifikat zu erlangen oder ein falsches Zertifikat als gültig erscheinen zu lassen, kann er eine TLS-Verbindung unter seine Kontrolle bringen.
F:	Wie kann man sich gegen DoS-Angriffe schützen?
A:	Mit Hilfe spezieller Firewallregeln lassen sich einige DoS-Angriffe abschwächen. Ziel ein DoS-Angriff allerdings auf die Bandbreite der Internetanbindung des Servers ab, sind Profis gefragt. Auf der Seite des Internet Service Providers (ISP) oder bei Content Delivery Networks (CDN) gibt es Lösungsmöglichkeiten, die den anfallenden Internettraffic entsprechend filtern.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Webseiten:

Informationen über Webseiten sammeln

Es gibt verschiedene Webapplikationen, die Informationen über beliebige Adressen (URL) sammeln und ausgeben. Diese Information können hilfreich sein, um Probleme mit der eigenen Webseite zu identifizieren oder herauszufinden, welche Informationen über Ihre Webseite und den Webserver öffentlich sind.

Seriöse Anbieter (ohne Gewähr):

• Netcraft
• BrowserSPY

Weiterhin gibt es eine Testapplikation (engl.), die den HTML-Code von Webapplikationen auf Korrektheit überprüft und Fehler bzw. Abweichungen vom Standard anzeigt:

• W3C Markup Validation Service

Sicherheitslücken von Webservern und anderer Software suchen

Über die folgenden Links suchen Sie nach aktuellen Sicherheitslücken (und Angriffscode) von üblichen Webservern. Wenn für Ihren Webserver Angriffe existieren, sollten Sie dringend updaten!

• Exploits Apache
• Exploits Nginx
• Exploits IIS

In der Exploit-Datenbank finden sich neben den Webservern noch viele weitere Sicherheitslücken, z.B. für Content-Management-Systeme wie Wordpress, Drupal, Joomla oder Typo3.
Suchen Sie direkt in der Datenbank nach beliebigen Stichworten:

Linksammlung

OWASP Top 10 (2017) Im OWASP Top 10 (2017) Bericht werden die häufigsten Sicherheitsprobleme von Webseiten/Webapplikationen ermittelt und in einer übersichtlichen Form dargestellt (engl.).

Was ist ein Zero-Day-Exploit? Die Webseite definiert den Begriff des Zero-Day-Exploits (auch 0-Day-Exploit).

So funktionieren DDoS-Angriffe In diesem Artikel wird der Begriff DDoS erläutert, Techniken genannt und Gegenmaßnahmen ausgeführt.

Netcraft Eine Webapplikation (engl.), die ausführliche Informationen über den Webserver und die Webseitenprogrammierung von beliebigen Adressen ermittelt.

BrowserSPY Eine Webapplikation (engl.), die Informationen über den Webserver von beliebigen Adressen ermittelt.

W3C Markup Validation Service Die W3 bietet einen Test an (engl.), der beliebige Webapplikationen auf korrekten HTML-Code untersucht und nicht standard-konforme Lösungen anzeigt.

Exploits Apache Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Apache Webserver, der derzeit weltweit am häufigsten genutzt wird.

Exploits Nginx Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Nginx Webserver.

Exploits IIS Suche in der Exploit-Datenbank (Schwachstellen + Angriffscode) nach dem Microsoft IIS Webserver.

Inhalte (WLAN)

Wireless LAN Standards

Wireless Local Area Network (WLAN) ist eine Technologie zur drahtlosen Übertragung von Daten, der sich heute kaum noch jemand verwehren kann. Definiert im Institute of Electrical and Electronics Engineers (IEEE) Standard 802.11 gibt es mittlerweile viele Varianten, die sich in Details unterscheiden. Die folgende Tabelle gibt einen kleinen Einblick in die unterschiedlichen Erweiterungen von IEEE 802.11.

Bezeichnung	Beschreibung
802.11	Der Basisstandard, ursprünglich nur auf der Frequenz 2.4 GHz mit max. 2 Mbit/s und einer Reichweite von ca. 20m in Gebäuden. Hierin wurde auch der Sicherheitsstandard Wired Equivalent Privacy (WEP) definiert.
802.11b/g	Die Erweiterung des Basisstandards auf 2.4 GHz mit drei nicht überlappenden Kanälen (z.B. 1, 6, 11) und brutto Übertragungsraten von max. 11 Mbit/s (802.11b, netto ~ 4.3 Mbit/s) bzw. max. 54 Mbit/s (802.11g, netto ~ 20 Mbit/s).
802.11n (Wi-Fi 4)	Verbreiterung der Kanäle und Einführung von mehreren Sende/Empfangseinheiten (MIMO), die parallel genutzt werden. Hierdurch entsteht eine robustere Verbindung und größere Reichweite (bis zu 70m in Gebäuden), denn es gibt aufgrund der Signalreflektionen der Umwelt (z.B. Wände) mehrere Wege zum Ziel. Außerdem wird hierdurch die Übertragungsrate erhöht, bis zu 600 Mbit/s sind brutto möglich (netto ~ 240 Mbit/s).
802.11a	Diese Erweiterung erlaubt die WLAN-Kommunikation auf der Frequenz 5 GHz mit 19 nicht überlappenden Kanälen, die gleichzeitig genutzt werden können. In diesem Basisstandard sind brutto max. 54 Mbit/s möglich (netto ~ 23 Mbit/s), in Kombination mit IEEE 802.11n jedoch mehr. Die Reichweite der 5 GHz Kommunikation ist aufgrund höheren Frequenz grundsätzlich geringer als bei der Kommunikation auf 2.4 GHz.
802.11ac (Wi-Fi 5)	Mit optimierten Modulationsverfahren, mehreren Sende/Empfangseinheiten (MIMO) und breiteren Kanälen ermöglicht der ac-Standard Brutto-Übertragungsraten von max. 6.9 Gbit/s (8x8 MIMO + 160 MHz Kanäle), was von den meisten Geräten wie Accesspoints oder Smartphones aber nicht in dem Ausmaß unterstützt wird. Diese Erweiterung nutzt ausschließlich das 5 GHz Band und erreicht eine Entfernung von max. 70m in Gebäuden.
802.11ax (Wi-Fi 6)	Der AX-Standard ist der Nachfolger des AC-Standards und liefert durch neue Modulationsverfahren (OFDMA) und MU-MIMO (Multi-User-Multiple-Input Multiple-Output) höhere Übertragungsraten, wobei sowohl der 5 GHz als auch der 2.4 GHz Bereich genutzt werden kann. Mit der Erweiterung Wi-Fi 6E kann zusätzlich ein Spektrum von 480 MHz im 6 GHz Bereich verwendet werden.
802.11s	Standard für Wireless Mesh Netzwerke (WMN). Mesh-Netzwerke stellen ein vermaschtes redundantes Netzwerk zwischen mehreren drahtlosen Geräten her, Geräte leiten die Pakete untereinander weiter. So kann drahtloses Netzwerk kostengünstig, d.h. ohne Verlegung von Kabeln, vergrößert werden.

IEEE 802.11 Standards [IEEE 802.11 Standard (2016)] Vor dem Aufsetzen eines Wireless LANs stellt sich zunächst die Technologiefrage. Die meisten aktuellen Endgeräte (Smartphones, Tablets, Notebooks) unterstützen entweder IEEE 802.11n oder sogar IEEE 802.11a(c). Beide Standards arbeiten aufgrund der MIMO-Technik robuster als herkömmliche Standards und sollten somit bevorzugt werden. Wird eine größere Reichweite (weniger Accesspoints) benötigt und befinden sich wenige WLANs im Umfeld, empfiehlt sich die 2.4 GHz Frequenz. Hier gibt es drei nicht überlappende Frequenzen (z.B. Kanal 1, 6 und 11 für 20 MHz Kanäle), die so weit auseinander liegen, dass sie sich gegenseitig nicht stören. Wenn viele WLANs im Umkreis funken und sich kein freier 2.4 GHz Kanal mit ausreichend Abstand (4 Kanäle nach oben/unten) identifizieren lässt, lohnt sich ein Blick in das 5 GHz Frequenzspektrum. Hier finden sich 19 nicht überlappende Kanäle, so dass es eine größere Wahrscheinlichkeit gibt, einen ungenutzten zu entdecken. Auch hier gibt es unterschiedliche Kanalbreiten und eine Einschränkung der Sendeleistung bei den Kanälen 36-64 und 149-165. Weiterhin muss für die Kommunikation auf 5 GHz (selbst mit den Kanälen 100-140) eine Einschränkung der Reichweite gegenüber 2.4 GHz einkalkuliert werden. Grundsätzlich ist es möglich, dass Kanäle doppelt genutzt werden! Jedoch verringert sich die eigene Übertragungsrate bei Überbelegung des Mediums, denn zur selben Zeit darf immer nur ein Endgerät senden. Für mobile Endgeräte gibt es eine Reihe von Apps, mit denen man einen freien Kanal im WLAN identifizieren kann, z.B. für Android WiFiAnalyzer (open-source) oder WiFi Analyzer.

Sicherheit im Wireless LAN

Die Sicherheit im Wireless LAN ist ein komplexes Thema, denn es gibt viele Stellschrauben, an denen gedreht werden kann. Dieses Kapitel beleuchtet die einzelnen Konfigurationsoptionen, erklärt Zusammenhänge sowie Hintergründe und spricht eine Empfehlung für eine sichere WLAN-Konfiguration aus.

Unverschlüsselt/Hot Spot

Wireless LANs können unverschlüsselt/offen betrieben werden, oft als sogenannte Hot Spots. Hierbei werden alle Daten im Klartext kommuniziert und können von anderen Endgeräten in Reichweite potentiell aufgezeichnet oder sogar verändert werden.
Hot Spots oder offene WLANs findet man an diversen Standorten, z.B. im ICE, im Hotel oder bei diversen Fast-Food Ketten. Endgeräte verbinden sich manchmal automatisch mit diesen offenen Netzen, anschließend muss oftmals im Browser ein Code (z.B. von der Rezeption des Hotels) eingegeben oder die AGBs bestätigt werden, bevor der Internetzugang funktioniert.

Warnung: Jegliche Kommunikation, die nicht anderweitig verschlüsselt ist (z.B. https), kann mitgelesen oder kompromittiert werden. Ihr E-Mail Passwort ist beispielsweise in Gefahr, wenn die E-Mail-App des Smartphones Ihre Nachrichten regelmäßig unverschlüsselt abholt.
Wenn Sie unsicher sind, ob sich Ihre Apps durch Verschlüsselung ausreichend schützen, verzichten Sie im Zweifelsfall auf das Hotel-WLAN oder andere offene Accesspoints.

Wired Equivalent Privacy (WEP)

Mit dem Standard Wired Equivalent Privacy (WEP) verschlüsselte WLANs gelten als unsicher (Rechtsprechung: grob fahrlässig). Wenn ein Endgerät im WEP-Netzwerk aktiv ist, benötigt ein Angreifer im besten Fall ca. 60 Sekunden, um den geheimen Schlüssel des Netzwerks zu entwenden. Anschließend kann der Angreifer in diesem Netzwerk jegliche Kommunikation mitlesen und ändern.
Die entsprechenden Hackertools sind frei im Internet verfügbar, WEP sollte somit nicht mehr genutzt werden!

Wi-Fi Protected Access (WPA)

Es gibt drei Versionen des Wi-Fi Protected Access (WPA) Standards:

• WPA(1) - WPA verbessert die Sicherheit gegenüber WEP deutlich, wurde allerdings als Übergangsstandard ausgelegt, der einen Betrieb mit der alten WEP-Hardware ermöglichen sollte. im Mittelpunkt steht das Temporary Key Integrity Protocol (TKIP), welches die gleichen kryptographischen Algorithmen wie das gebrochene WEP-Protokoll (RC4-Chiffre) nutzt, jedoch die Sicherheit an einigen Schwachstellen von WEP nachbessert. Einige der Angriffe gegen WEP lassen sich auf TKIP übertragen.
• WPA2 - Mit WPA2 wurde das Counter/CBC-Mac Protocol (CCMP) mit der Chiffre AES obligatorisch. Im Vergleich zu TKIP entspricht dies einem Neudesign, welches in Konsequenz deutlich robuster gegen Angreifer ist.
• WPA3 - Der Nachfolger WPA3 beseitigt verbessert die Sicherheit erneut, bekannte Angriffsvektoren gegen WPA2 laufen hiermit ins Leere.

Technische Details zu den Sicherheitsstandards [anzeigen].

Betriebsmodus

Es gibt seit WPA zwei verschiedene Betriebsmodi:

1. Personal Mode
2. Enterprise Mode

Im Personal Mode wird für alle Endgeräte das gleiche WLAN-Passwort: Pre Shared Key (PSK) genutzt. Aus diesem Schlüssel werden temporäre individuelle Schlüssel für jedes Endgerät berechnet.

Die Anmeldung im Enterprise Mode wird mit Benutzernamen und Passwörtern vorgenommen. Unternehmen oder Behörden nutzen meistens diese Variante, da ein Rückschluss auf einzelne Teilnehmer möglichst ist und sich ein gemeinsames Passwort bei vielen Teilnehmern nur begrenzt geheim halten ließe.
Ein Authentication Server (z.B. RADIUS oder Diameter) verwaltet die Zugangsdaten und interagiert in der Anmeldephase (via EAP-Protokollen) mit den WLAN-Nutzern.

Wi-Fi Protected Setup (WPS)

Diese Technologie wurde geschaffen, um Nutzern einen einfachen Zugang zum WLAN zu ermöglichen. Dabei wird ein komplexer Schlüssel generiert, der nach der Eingabe einer PIN oder nach einem Tastendruck (Push-Button) von dem Acesspoint an das Endgerät übertragen wird. Im Fall der PIN lässt sich dieses Verfahren mit verfügbaren Tools angreifen (siehe WPS-WLAN-Hacking). Wenn ein Angreifer das WLAN abhört, während die Push-Button Variante verwendet wird, kommt er in den Besitz des Schlüssels. Es ist jeweils zu bedenken, dass der Abstand eines Angreifers mit einer kostengünstigen Richtfunkantenne (WLAN-Richtfunk mit Hausmitteln) erheblich vergrößert werden kann.

Diverse Sicherheitsfeatures

Neben WPS gibt es diverse Features, die die Sicherheit des WLANs verbessern sollen.

1. Versteckte ESSID. Einige Accesspoints erlauben das Verstecken der ESSID. Dies führt dazu, dass zwar nicht mehr der Textname der Funkzelle versendet wird, jedoch trotzdem Informationen über dessen Parameter in Abständen von 100ms. Hinzu kommt, dass WLAN-Endgeräte permanent nach abgespeicherten versteckten Netzwerken fragen, so dass sie anhand dieser Fragen identifiziert und bei entsprechender Benennung der ESSID sogar einem Haushalt zugeordnet werden können.
2. MAC Adressfilter. Viele Accesspoints ermöglichen die Beschränkung des Zugangs auf bestimmte Endgeräte mit deren physikalischen Adressen (MAC-Adresse). Für Hacker ist es einfach, diese Adressen zu fälschen. Da genutzte Adressen im WLAN unverschlüsselt übertragen werden, kann ein Angreifer zudem schnell eine gültige Adresse ermitteln.

Beide Verfahren erhöhen die tatsächliche Sicherheit nicht, verursachen sogar ggf. Probleme. Damit Anwender sich durch diese Funktionen nicht in falscher Sicherheit wiegen, raten wir von der Nutzung dieser Techniken ab.

Empfehlung für das Aufsetzen eines WLANs

Privat

Personal Mode (gemeinsames Passwort) WPA2 (AES/CCMP) oder WPA3 Zufälliges Passwort (≥ 12 Zeichen) WPS deaktivieren ESSID nicht verstecken, kein MAC Adressfilter

Geschäftlich

Enterprise Mode (Bernutzernamen und Passwörter) WPA2 (AES/CCMP) oder WPA3 Sicheres EAP-Protokoll, z.B. EAP-TLS, EAP-PWD, EAP-TTLS oder EAP-PEAP mit MSCHAPv2 (kein PAP!) Zufällige Benutzerpasswörter WPS deaktivieren ESSID nicht verstecken, kein MAC Adressfilter Zugriffsrechte der Benutzergruppen durchsetzen (Gäste, Geschäftsführung, Personalabteilung, ...) Zugriffe der Endgeräte untereinander verbieten (Client Isolation), nur Server/Internet

Hot Spots und Gäste-WLAN

Hot Spots sind öffentliche WLAN-Netzwerke, die in der Regel unverschlüsselt betrieben werden. Gäste-WLANs verfügen oft über ein Standardpasswort, welches sich die Gäste leicht einprägen können und das somit auch selten gewechselt wird. Oft können Angreifer solche Passwörter einfach bestimmen.

Wenn Sie öffentliche WLAN-Netze oder Gäste-WLANs verwenden, nehmen Sie in Kauf, dass Ihre Kommunikation abgehört und sogar verändert werden kann. Insofern Sie nicht gewährleisten können, dass alle Ihre genutzten Internetdienste (auch Apps!) sicher kommunizieren, gehen Sie damit ein Risiko ein.

Für offene Wireless LANs gab es lange eine Störerhaftung, d.h. der Betreiber war verwantwortlich für seine Gäste. Diese Störerhaftung wurde 2018 abgeschafft, siehe: Gericht bestätigt Abschaffung der WLAN-Störerhaftung.

Frequently Asked Questions (FAQ)

F:	Welche WLAN-Einstellung eignet sich für zuhause?
A:	Personal Mode (d.h. gemeinsames Passwort) mit WPA2 (AES/CCMP) oder WPA3 Zufälliges Passwort (≥ 12 Zeichen) WPS deaktivieren ESSID nicht verstecken, kein MAC Adressfilter Wichtig ist, dass Sie ein sicheres, langes Passwort wählen. Da dieses Passwort relativ selten eingegeben werden muss, empfiehlt sich ein Passwort maximal möglicher Länge.
F:	Welche WLAN-Einstellung sollte im Unternehmen genutzt werden?
A:	Enterprise Mode (d.h. Bernutzernamen und Passwörter) mit WPA2 (AES/CCMP) oder WPA3 Sicheres EAP-Protokoll, z.B. EAP-TLS, EAP-PWD, EAP-TTLS oder EAP-PEAP mit MSCHAPv2 (kein PAP!) Zufällige Benutzerpasswörter WPS deaktivieren ESSID nicht verstecken, kein MAC Adressfilter Zugriffsrechte der Benutzergruppen durchsetzen (Gäste, Geschäftsführung, Personalabteilung, ...) Zugriffe der Endgeräte untereinander verbieten (Client Isolation), nur Server/Internet Achten Sie bei den Benutzerpasswörtern ebenfalls auf eine sinnvolle Passwortrichtlinie. Weiterhin sollte als technische Lösung (Konfigurationstool) oder via Awareness-Kampagne darauf geachtet werden, dass alle Endgeräte sicher konfiguriert sind. Beispielsweise lassen ältere Android-Geräte eine Enterprise-WLAN Verbindung ohne Zertifikat zu, ohne zu warnen.
F:	Eignet sich die 2.4 GHz oder die 5 GHz Technologie besser in einer belebten Gegend?
A:	Die 5 GHz Technologie bietet bis zu 19 nicht überlappende Kanäle (anstatt drei Kanäle bei 2.4 GHz), die gleichzeitig ohne Einbußen kommunizieren können, allerdings ist die Reichweite etwas geringer. 5 GHz ist somit besser geeignet für eine dichte Besiedelung.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik WLAN:

none

Linksammlung

IEEE 802.11 Standard (2016) 802.11-2016 - IEEE Standard for Information technology--Telecommunications and information exchange between systems Local and metropolitan area networks--Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Dies ist der IEEE 802.11 WLAN Standard in der aktuellen Ausgabe. Enthalten sind alle Definitionen für das Wireless LAN Protokoll, allerdings nicht kostenlos verfügbar.

WiFiAnalyzer (open-source) Eine freie Android App ohne Werbung, mit der sich die aktuelle Nutzung der WLAN-Kanäle anzeigen lässt. Nützlich, um einen freien Kanal für das eigene WLAN zu finden.

WiFi Analyzer Eine Android App (mit Werbung oder Premiumversion), die einen Überblick über die aktuelle Kanalnutzung im WLAN gibt.

PMKID-Angriff WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router - ohne das Aufzeichnen des 4-Wege-Handshakes möglich.

WPS-WLAN-Hacking WPS-WLAN-Hacking: Brute-Force-Angriff auf die WPS-Pin (mit reaver)

WLAN-Richtfunk mit Hausmitteln Klobürstenständer aus Alu oder Edelstahl entpuppen sich als ausgezeichnetes Ausgangsmaterial für eine WLAN-Richtantenne. Passen Länge und Durchmesser, lassen sich Funknetze über weite Distanzen oder durch dicke Wände aufspannen.

Gericht bestätigt Abschaffung der WLAN-Störerhaftung Teilerfolg im Streit um Abmahnungen in offenen WLANs: Strafen aus der Zeit vor Abschaffung der Störerhaftung müssen bezahlt werden. Es könne aber nicht verlangt werden, zukünftige Rechtsverletzungen zu verhindern, urteilt das Oberlandesgericht München.

Inhalte (E-Mail)

E-Mails

Die E-Mail ist einer der meistgenutzten Dienste im Internet, mit ihr lassen sich Texte und beliebige Anhänge im Internet versenden. Aus der technischen Perspektive werden für den Versand einer E-Mail mindestens zwei Server genutzt. Der Postausgangsserver nutzt das Simple Mail Transfer Protocol (SMTP) um E-Mails an den zuständigen Posteingangsserver des Adressaten zu versenden. Dort angekommen, kann der Adressat die E-Mail via Post Office Protocol (POP3) oder Internet Messsage Access (IMAP) von seinem Posteingangsserver abholen. Dabei wird IMAP genutzt, wenn auf die E-Mails von mehreren Systemen gleichzeitig zugegriffen werden soll und das Postfach auf allen Systemen synchronisiert sein muss. Mit dem POP3-Protokoll wird zwischen lokalem Löschen und dem Löschen der E-Mails auf dem Server unterschieden, bei gleichzeitiger Nutzung durch mehrere Endsysteme kann hierdurch eine unterschiedliche Sicht auf das Postfach entstehen.

Sicherer Transport von E-Mails

Die Standardvarianten der Protokolle SMTP, POP3 und IMAP nutzen keine Verschlüsselung und übertragen sogar Benutzername und Passwort im Klartext! Aus diesem Grund sind die SSL/TLS-Varianten SMTPS, POP3S und IMAPS zu empfehlen, die bei der kommunikation auf einen sicheren TLS-Tunnel setzen. In der Konfiguration gibt es oft zwei Optionen, z.B. 'SMTPS' und 'SMTP mit TLS', beide sind aus der Sicherheitsperspektive gleichwertig.
Werden die sicheren Varianten der E-Mail-Protokolle verwendet, können lokale Angriffe abgewehrt werden. Die Einstellung gewährleistet jedoch nicht, dass auch die E-Mail-Server im Internet die sicheren Protokollvarianten nutzen müssen!

Keine Ende-zu-Ende-Verschlüsselung

Auch bei eingestellter Verschlüsselung können E-Mails im Klartext kommuniziert werden, wenn die Server untereinander keine Transportverschlüsselung einsetzen. Darüber hinaus liegen E-Mails auf den E-Mail-Servern stets in unverschlüsselter Form vor.
Ein Schutz der E-Mail ist somit nur durch eine Verschlüsselung und digitale Signatur der E-Mail selbst möglich. Dies wird im nächsten Kapitel behandelt.

Sichere E-Mails

Es gibt zwei verbreitete Standards, um die E-Mail zu verschlüsseln und/oder einer digitalen Signatur zu versehen: PGP und S/MIME. Beide Ansätze verfolgen unterschiedliche Strategieen, setzen aber auf der selben Technik auf - der asymmetrischen Kryptographie.

E-Mail Verschlüsselung

Jeder Nutzer verfügt über ein zusammengehöriges Schlüsselpaar: Public-Key (PK) und Secret Key (SK). Der Public-Key wird veröffentlicht, der Secret Key geheim gehalten. Anders als bei der herkömmlichen Verschlüsselung wird nicht nur ein Schlüssel zum Ver- und Entschlüsseln genutzt, sondern beide.

Verschlüsselung_PK(Geheimer Text) => 5Kfm32§

Entschlüsselung_SK(5Kfm32§) => Geheimer Text

Wenn Alice eine verschlüsselte E-Mail an Bob senden möchte, nutzt Alice den öffentlichen Schlüssel von Bob PK_Bob. Sobald die E-Mail mit PK_Bob verschlüsselt ist, ist Bob der einzige auf der Welt, der diese E-Mail wieder entschlüsseln kann. Denn nur Bob kennt den dafür benötigten zugehörigen privaten Schlüssel SK_Bob!
Das bedeutet, dass Sie verschlüsselte E-Mails nur an Personen senden können, die über ein solches Schlüsselpaar (PK, SK) verfügen und deren Public-Key Sie kennen.

E-Mail Signatur

E-Mails sollen unverändert beim Adressaten ankommen und auf dem Weg nicht verändert werden können. Dieses Ziel erreichen Sie mit einer digitalen Signatur, einer Unterschrift unter der E-Mail, die gewährleistet, dass kein Bit geändert wurde.

Signatur_SK(Text) => Text + Signatur

Verifikation_PK(Text + Signatur) => Richtig/Falsch

Die klassiche Unterschrift ist einzigartig und kann in der Regel nur von Ihnen unter ein Dokument gesetzt werden. Damit die digitale Signatur ebenfalls einzigartig ist, nutzen Sie hierfür Ihren privaten Schlüssel SK. Weil niemand außer Ihnen im Besitz des privaten Schlüssels Secret Key (SK) ist, sind Sie somit der einzige, der diese digitale Unterschrift leisten kann.
Dahingegen kann jeder, der Ihren öffentlichen Public Key kennt, die Unterschrift überprüfen!
Die digitale Signatur können Sie als Standardeinstellung für Ihre E-Mails nutzen, denn die E-Mail bleibt auch von denen lesbar, die keine Unterstützung für sichere E-Mails installiert haben. Die Signatur wird meistens als Datei im Anhang dargestellt.

PGP vs. S/MIME

Sowohl PGP als auch S/MIME bieten die Möglichkeit an, E-Mails zu verschlüsseln und zu signieren. Bei S/MIME bekommen Sie von einer vertrauenswürdigen Stelle (Certification Authority) nach der Überprüfung Ihrer Identität (E-Mail) ein beglaubigtes Schlüsselpaar (PK, SK).
PGP verfolgt dahingegen den Ansatz, dass sich jeder selbst ein Schlüsselpaar (PK, SK) generiert und sich dessen Korrektheit und Zugehörigkeit von möglichst vielen anderen unterschreiben lässt. Empfänger Ihrer digital signierten E-Mail stützen ihr Vertrauen dabei auf bekannte Beglaubiger Ihres Schlüsselpaars und dessen Verknüpfung mit Ihrer E-Mail Adresse.
S/MIME wird oft von Unternehmen oder Behörden genutzt und ist für den Privatanwender (beglaubigtes Schlüsselpaar) meistens nicht kostenlos, Ausnahmen gibt es aber CAcert Website: Kostenlose Zertifikate. Auf der anderen Seite unterstützt PGP (The GNU Privacy Guard (GPG), OpenPGP) den Open Source Gedanken und lässt sich in der Regel kostenlos nutzen, ist allerdings im Firmenumfeld kaum verbreitet. Eine weitere Entscheidungshilfe finden Sie hier: S/MIME vs. OpenPGP: Eine Entscheidungshilfe.
Die Unterstützung für PGP und S/MIME sind in die meisten aktuellen E-Mailclients integriert, z.B. Thunderbird (mit Enigmail), Outlook oder Evolution. Selbst für Smartphones gibt es Lösungen wie SMile: K-9 Mail – Advanced Email for Android, die E-Mail Verschlüsselung ermöglichen.

Hinweis: Auf die von PGP und S/MIME genutzten asymmetrischen kryptographischen Verfahren (z.B. RSA oder DSA/DSS) gibt es effiziente Angriffe, nutzen Sie daher Schlüssellängen von mindestens 2048 Bit (bei elliptische Kurven mindestens 256 Bit).

Sicherheitsprobleme von PGP und S/MIME

In beiden Varianten, PGP und S/MIME, werden die E-Mail Header (Betreff, From/To/CC-Adressen, Datum, ...) von Verschlüsselung und Signatur ausgenommen. Diese Informationen können also verändert werden, ohne dass dies dem Adressaten auffällt.
Weiterhin wurde im Jahr 2017 eine größere Schwachstelle in OpenPGP und S/MIME entdeckt: EFAIL, die dazu führte, dass verschlüsselte E-Mails unberechtigterweise entschlüsselt werden konnten.

Frequently Asked Questions (FAQ)

F:	Wenn ich SMTPs und IMAPs (sichere E-Mailkommunikation) nutze, sind E-Mails dann vertrauenswürdig?
A:	Nein, E-Mails können auf den Server oder während der Kommunikation zwischen Servern im Internet manipuliert werden.
F:	Warum bekomme ich manchmal keine Empfangsbestätigung, obwohl ich diese in Outlook angefordert habe?
A:	Die Empfangsbestätigung ist kein standardisiertes Verfahren der E-Mail Kommunikation und muss von der Gegenseite nicht unterstützt werden.
F:	Ein Kollege sendet seine E-Mails stets mit einem unleserlichen Anhang (z.B. Dateiname smime.p7s). Was ist das?
A:	Diese Anhänge sind digitale E-Mail-Signaturen. Insofern Ihr E-Mailclient Ende-zu-Ende Sicherheit unterstützt (PGP, S/MIME), können Sie diese Signaturen und damit den Inhalt der E-Mails auf Korrektheit prüfen.
F:	Sind Ende-zu-Ende signierte oder verschlüsselte E-Mails absolut sicher?
A:	Nein, in der Regel sind die Header (Betreff, Datum, Absender, Empfänger, ...) von den Sicherheitsmaßnahmen ausgenommen.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik E-Mail:

Testen Sie Ihr Wissen zum Thema E-Mail!

1) Werden E-Mails grundsätzlich verschlüsselt?

Ja Nein

2) Überträgt das SMTP-Protokoll (Postausgang) auch das Passwort der E-Mailadresse unverschlüsselt?

Ja Nein

3) Angenommen, Sie nutzen das verschlüsselte SMTPS Protokoll. Darf Ihr SMTP-Server die E-Mail an den Mailserver des Adressaten trotzdem über normales SMTP (Klartext) senden?

Ja Nein

4) Ist eine digital signierte E-Mail lesbar, wenn der Empfänger weder S/MIME noch PGP unterstützt?

Nein Ja

5) Welchen öffentlichen Schlüssel verwendet Alice, wenn Sie eine verschlüsselte E-Mail an Bob sendet?

PKAlice PKBob

6) Wie groß sollte die Schlüssellänge bei asymmetrischen Schlüsselpaaren (PGP, S/MIME) mindestens sein?

2048 Bit 128 Bit

7) Kann ein Angreifer den Betreff oder das Datum einer digital signierten E-Mail unbemerkt verändern?

Nein Ja

---

Linksammlung

CAcert Website: Kostenlose Zertifikate CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.

The GNU Privacy Guard (GPG) Projektwebseite von GNUPG, einer freien und kostenlosen Pretty-Good-Privacy (PGP) Alternative.

OpenPGP Projektwebseite von OpenPGP, einer freien und kostenlosen Pretty-Good-Privacy (PGP) Alternative.

S/MIME vs. OpenPGP: Eine Entscheidungshilfe Auf dieser Webseite (2001) diskutiert der Autor Christian Kirsch die Vor- und Nachteile von S/MIME und OpenPGP.

SMile: K-9 Mail – Advanced Email for Android Eine K-9 Mail Variante (E-Mail Client) für Android, die S/MIME unterstützt.

EFAIL Diese Webseite beschreibt den Angriff auf OpenPGP und S/MIME aus dem Jahr 2017, der es ermöglichte, verschlüsselte E-Mails unberechtigterweise zu entschlüssen.

Inhalte (Organisatorisches)

Notfallplan

Je größer das Unternehmen ist, desto sinnvoller ist es, einen Notfallplan zu haben. Der Notfallplan wird bei Systemausfällen und außergewöhnlichen Vorfällen, z.B. wenn ein Server gehacked wurde, genutzt. Die folgenden Fragen soll ein Notfallplan beantworten:

• Welche Auswirkungen und Folgen hat dieser Notfall?
• Wie schnell muss gehandelt werden? Wie viel Ausfallzeit ist zu verkraften?
• Was muss getan werden, um den Notfall zu regulieren?
• Wer hat welche Verantwortlichkeiten? Wer vertritt wen?
• Wer soll in welcher Reihenfolge kontaktiert werden?

Was steht in einem Notfallplan?

• Sammlung der relevanten Dokumente und Informationen über das System, z.B. Zugangsdaten, Dokumentationen, Notfallscripte
• Checklisten
  • Schritte zur Identifizierung des Problems.
  • Welche Schritte müssen in Fall X vorgenommen werden, damit der Betrieb weitergehen kann?
  • Zusätzlich: Wie wird das Backupsystem oder der Minimal/Notbetrieb aktiviert?
• Informationen
  • Zuständigkeiten (inkl. Vertretung) mit Kontaktliste verknüpft.
  • Alarmketten, d.h. wer wird in welcher Reihenfolge informiert?

Die Beschreibung ist bis zu diesem Punkt sehr allgemein gehalten, denn Notfallpläne sollte es für alle für den Betrieb wichtigen Teilgebiete in einer Firma geben! Die IT und im Speziellen die IT-Sicherheit ist nur ein kleiner Teil, der mit mit einem Notfallplan versorgt sein sollte.
Allein auf die IT begrenzt gibt es schon viele unterschiedliche Aspekte, die berücksichtigt werden müssen, z.B.

• Stromausfall
• Wasserschaden
• Hard- und Software-Fehler
• Fehler eines Anwenders bzw. Mitarbeiters
• Hackerangriffe

siehe auch IT-Notfallhandbuch. Weitere Informationen zu Notfallplänen finden Sie z.B. hier Was ist ein IT-Notfallplan? oder hier EDV Notfallplan.

Disaster Recovery Plan

Der Disaster Recovery Plan (DRP), manchmal auch als Business Continuity Plan (BCP) bezeichnet, kann ein Teil des Notfallplans sein, geht aber oft darüber hinaus. In ihm finden sich vollständige Anleitungen, wie ein nicht mehr lauffähiges System wieder in den normalen Betriebszustand gebracht werden kann.
Immer dann, wenn sich Parameter (vor allem Software) eines Systems ändern, muss der Disaster Recovery Plan angepasst oder aktualisiert werden. Damit der Disaster Recovery Plan auch sicher funktioniert, muss er regelmäßig getestet werden! Ohne Tests funktionieren die besten Pläne nicht, oft wegen Kleinigkeiten!
Weiterführende Informationen finden Sie z.B. hier: Zehn Punkte, die ein IT-Disaster-Recovery-Plan enthalten muss.

Backups

Um Datenverlusten durch Defekte oder Malware (Viren, Trojaner, Ransomware, ...) vorzubeugen, sind regelmäßige Backups unumgänglich. Backups können hierbei programmunterstützt oder manuell erfolgen. Wichtige Daten werden auf ein anderes physikalisches Medium übertragen, z.B.

Medium	Eignung	Anmerkungen
CD	-	Die Haltbarkeit von selbstgebrannten CDs ist zum Teil nur wenige Jahre kurz. Zudem ist die Kapizität sehr klein (ca. 700 MB).
DVD	-	Die Haltbarkeit von selbstgebrannten DVD ist noch kürzer als bei CDs. Dafür ist die Kapizität größer (ca. 4-9 GB).
Bluray	+	Die Haltbarkeit von selbstgebrannten Blurays beträgt mehr als 10 Jahre bei einer Kapizität von 25 bis 100 GB. Für mittelfristige Backups sind Blurays eine Möglichkeit.
USB-Stick	+	Einige USB-Sticks haben nur geringe Kapazitäten oder eine langsame Lese/Schreib-Geschwindigkeit, die Haltbarkeit ist größer als bei optischen Datenträgern und die Nutzung (durch Abwärtskompatibilität von USB) auch in den nächsten Jahren gewährleistet. USB-Sticks für Backupzwecke sollten exklusiv für Backup eingesetzt werden, da die Anzahl der Lese-/Schreibzyklen begrenzt ist.
externe Festplatte	+	Mit sehr großen Kapazitäten eigenen sich externe Festplatten gut für Backups. Bei mechanischen Festplatten (HDDs) kann die Haltbarkeit aufgrund permanenter Bewegungen geringer als bei Festplatten mit der Solid State Disk Technik (SSD) sein. SSD-Festplatten speichern die Daten elektrisch auf Speicherchips und erreichen damit deutlich schnellere Zugriffszeiten. Dafür weisen mechanische Festplatten die größeren Kapazitäten auf und sind günstiger zu erwerben.
NAS	o	Network Attached Storage ist ein Festplattenspeicher, der via Netzwerk zugreifbar ist. Wegen dem permanenten Einsatz ist die Haltbarkeit der eingesetzten Festplatten geringer als bei externen Festplatten, die nur für das Backup verwendet werden. Der Einsatz von Redundanz-Verbunden (RAID, z.B. Level 1, 5, 6, 10) wird stark empfohlen, damit der mechanische Ausfall einer Festplatte kompensiert werden kann. Die permanente Zugriffsmöglichkeit macht es Malware einfacher, diesen Speicher ebenfalls zu infizieren.
Cloud	+	Im Internet verfügbarer Speicher unterliegt in der Regel einem professionellen Backup-Konzept im jeweiligen Rechenzentrum. Ein Datenverlust ist sehr unwahrscheinlich. Dagegen spricht die Möglichkeit, dass die Cloud ein Opfer eines Hacker-Angriffs werden kann und dadurch Datenverluste/Kopien entstehen. Weiterhin ist mindestens der Rechenzentrumsbetreiber in der Lage, die gespeicherten Daten einzusehen. Deshalb empfehlen wir eine vollständige Verschlüsselung Ihrer Daten schon vor dem Upload (z.B. Cryptomator). Die ständige Verfügbarkeit Ihrer Daten hängt zusätzlich von Ihrer Internetverbindung ab, Up- und Download benötigen aufgrund der begrenzten Bandbreite länger als bei den anderen Verfahren.
Bandlaufwerk	+	Ursprünglich für den Backup-Zweck geschaffen, bieten Bandlaufwerke eine sehr hohe Kapazität und Haltbarkeit. Diese Technik wird überwiegend im professionellen Umfeld, z.B. Rechenzentren, eingesetzt.

Die Regelmäßigkeit der Backups hängt davon ab, wie schmerzhaft eine Rückstufung der jeweiligen Daten auf den Stand von gestern, vorgestern, vor einer Woche oder vor einem halben Jahr ist. Dabei können Backups natürlich auch unregelmäßig vorgenommen werden, jedoch empfehlen wir dies ausdrücklich nicht (ein ungünstiger Zeitpunkt kann dazu führen, dass Backups ausgelassen werden.).

Weitere Informationen zum Thema Backups finden sich z.B. unter Datensicherung | Verbraucher sicher online oder Methoden zur Datensicherung.

Backups erstellen

Bei Sicherungen von ausführbaren Dateien oder kompletten Systemen sollte Sie darauf achten, dass die zu sichernden Daten vor dem Backup in Ordnung sind (z.B. keine Malware-Infektion). Es gibt unterschiedliche Arten, Backups anzulegen.

Art	Eignung	Erläuterung und Anmerkungen
exklusive Vollsicherung	-	Sie sichern den gesamten aktuellen Datenbestand und ersetzen damit gespeicherte Daten. Durch Kopierfehler oder Malware können Sie so unabsichtlich Ihren Datenbestand zerstören, nicht empfohlen!
Vollsicherung nach Datum	+	Sie sichern den gesamten Datenbestand zu einem gewissen Zeitpunkt, mehrere Zeitpunkte werden auf dem Backupmedium vorgehalten. Das ist die sicherste Lösung, denn Ihre Daten werden voll redundant abgelegt. Der Nachteil ist ein erhöhter Kapazitätsbedarf.
Differentielle Sicherung	o	Nach einem vollständigen initialen Backup werden nur noch die Änderungen gespeichert. Dies geht deutlich schneller, kann aber bei der Infizierung des eigenen Systems, wie bei der exklusiven Sicherung, zu Datenverlusten führen.
Differentielle Sicherung mit Versionskontrolle	+	Nach einem vollständigen initialen Backup werden nur noch die Änderungen gespeichert. Jeder Backup-Vorgang wird jedoch separat vorgehalten, so dass ein Rücksprung auf einen früheren Zustand jederzeit möglich ist. Dies ist der beste Kompromiss, wenn die Kapazität eingeschränkt ist.

Wir empfehlen ein programmunterstütztes Backup an festgelegten Terminen, um eine regelmäßige Sicherung zu gewährleisten.

Backups prüfen

Die Funktionalität der Backups sollte regelmäßig geprüft werden, auch bei gut geeigneten Medien! Prüfen Sie, ob Sie Ihre Daten tatsächlich wiederherstellen können und notieren Sie die Arbeitsschritte, die dafür notwendig sind. Nur so stellen Sie sicher, dass Sie oder eine andere Person in Ihrem Unternehmen im Zweifelsfall ohne große Verluste weiterarbeiten kann.
Es hat bereits einige Vorfälle in größeren Unternehmen gegeben, wo erst im Verlustfall auffiel, dass das Backup eigentlich nie funktioniert hat und die Daten nicht wiederhergestellt werden konnten.
Um den Gedanken der Ausfallsicherheit auf die Spitze zu treiben (Hot Backup), prüfen Sie das Backup regelmäßig, indem Sie es auf ein gleichwertiges Austausch-System aufspielen (Spiegeln des Systems), welches ab diesem Zeitpunkt die Aufgaben produktiv übernimmt. So prüfen Sie gleichzeitig die Einsatzbereitschaft Ihrer Austausch-Systeme.

Frequently Asked Questions (FAQ)

F:	Sollte ich meine Fotos auf einer CD sichern?
A:	Nein, eine CD ist für die Datensicherung aufgrund ihrer kurzen Haltbarkeit mittel- bis langfristig ungeeignet.
F:	Ist es sicher, die eigenen Daten in die Cloud von z.B. Amazon oder Apple hochzuladen?
A:	Nach der amerikanischen Gesetzgebung darf der amerikanische Staat seine Firmen dazu drängen, Geheimnisse ihrer Kunden herauszugeben. Bevor Sie Ihre Daten in eine öffentliche Cloud hochladen, empfiehlt sich eine unabhängige/selbstständige Verschlüsselung.
F:	Welches ist das beste Medium für eine Datensicherung?
A:	Wir empfehlen die Verwendung einer explizit zu diesem Zweck genutzten externen Festplatte oder die verschlüsselte Speicherung in der Cloud.
F:	Wie wichtig ist ein (IT-)Notfallplan für mein Unternehmen?
A:	Das kommt darauf an, ob Sie kritische Dienste betreiben und wie schmerzhaft ein Ausfall/Datenverlust für das Unternehmen ist. Einen rudimentären (IT-)Notfallplan kann man für jedes Unternehmen empfehlen.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Organisatorisches:

Wie organisieren Sie Ihr Backup?

1) In welchen Abständen führen Sie ein Backup Ihrer beruflichen Daten durch?

An jedem Freitag (oder wöchentlich) Ein oder zwei mal im Jahr

2) In welchen Abständen führen Sie ein Backup Ihrer privaten Daten durch?

Wenn sich einiges geändert hat (z.B. neues Fotoalbum) Am Sonntag (oder wöchentlich)

3) Wie oft prüfen Sie, ob Sie Daten aus dem Backup wiederherstellen können?

Mindestens einmal im Quartal. Nie

4) Auf welchem Medium speichern Sie Ihre Backups?

Externe Festplatte CD-ROM

5) Angenommen, sie nutzen eine große externe Festplatte für Ihre Backups. Nutzen Sie die Festplatte weiterhin für den Transport von Daten von einem PC zum anderen (unter Ihrer Kontrolle)?

Ja, ab und zu kopiere ich damit z.B. Filme. Nein, die Festplatte ist ausschließlich für Backups in Verwendung

6) Sie nutzen eine Public Cloud für die Sicherung Ihrer Daten. Verschlüsseln Sie Ihre Daten vor dem Upload?

Ja, dafür nutze ich ein lokales Programm oder Script im Browser Nein, das ist zu umständlich

---

Wie reagieren Sie im IT-Notfall?

1) Haben Sie in Ihrem IT-Unternehmen einen Notfallplan?

Ja Nein

2) Was machen Sie zuerst, wenn Ihre Webseite gehacked/kompromittiert wurde?

Anzeige bei der Polizei erstatten Den Server vom Netz nehmen

3) Wen kontaktieren Sie zuerst, wenn die zentrale Datenbank Ihres Unternehmens plötzlich nicht mehr erreichbar ist?

Den Datenbankadministrator, erreichbar unter 0123/456789 Meinen Abteilungsleiter, erreichbar unter 0815

4) Nach Feierabend fällt in der IT-Firma plötzlich der Strom aus, was nun?

Ich fahre nach Hause, ohne Strom kann man nicht gut arbeiten. Ich suche die Telefonnummer des Firmenelektrikers aus der Telefonliste des Notfallplans und kontaktiere ihn mit dem Mobiltelefon.

5) Mein Monitor wird plötzlich schwarz.

Ich informiere die IT-Abteilung Ich suche den Notfallplan und entnehme ihm weitere Schritte

6) Die zentrale Datenbank ist seit zwei Stunden offline, wie geht es weiter?

Ich schaue im Disaster Recovery Plan nach Handlungsempfehlungen Feierabend!

---

Linksammlung

IT-Notfallhandbuch Auf dieser Webseite geht es um das IT-Notfallhandbuch. Wie kommt es zu einem IT-Notfall und was muss danach passieren?

Was ist ein IT-Notfallplan? Diese Webseite beschreibt die Inhalte eines IT-Notfallplans und erläutert, warum dieser für Ihr Unternehmen wichtig ist.

EDV Notfallplan Diese Webseite zeigt eine kurze Checkliste zum Thema Notfallplan und erläutert zwei Beispiele.

Zehn Punkte, die ein IT-Disaster-Recovery-Plan enthalten muss Die Webseite diskutiert zehn Punkte, die in einem Disaster Recovery für IT enthalten sein sollten.

Cryptomator Freie clientseitige Verschlüsselung für Ihre Cloud-Daten. Open Source Software: Keine Hintertüren, keine Anmeldung.

Datensicherung | Verbraucher sicher online Diese Webseite hält Informationen zur Datensicherung vor, u.a. auch Tutorials und Erklärvideos.

Methoden zur Datensicherung In diesem PDF hält der Autor Stefan Schumacher vielfältige Informationen zum Thema Datensicherung vor.

Inhalte (Social Engineering)

Social Engineering

Mit Social Engineering bezeichnet man das soziale Manipulieren von Personen. Die Manipulation hat das Ziel, die Zielpersonen zu Verhaltensweisen zu bewegen, die dem Social Engineer einen Vorteil bringen. Die Verhaltensweisen können hierbei sehr vielfältig sein und reichen von Kleinigkeiten bis zu komplexen Handlungen oder einer grundsätzlichen Änderung des Verhaltens. Beispiele für ungünstige Verhaltensweisen sind:

• Das Öffnen einer E-Mail oder eines Hyperlinks
• Ein unbedachtes Ausfüllen von Formularfeldern (Eingabe von PIN/TAN, damit das Konto nicht "gesperrt" wird)
• Das Aufsammeln und Prüfen von vermeintlich verlorenen USB-Sticks
• Eine Überweisung tätigen, damit der nigerianische Prinz die versprochenen 137 Millionen Dollar zurück überweisen kann.
• Die Tür zum Rechenzentrum einem Unbekannten aufhalten, weil er gerade einen schweren Monitor trägt.
• An einem heißen Sommertag seinen Benutzernamen und das Passwort gegen ein leckeres Eis eintauschen, bei dem Eiswagen vor dem Firmenparkplatz.
• Dem Neuen aus der IT-Abteilung den PC freischalten, damit er ein wichtiges Update machen kann.
• Vertrauliche Dokumente in die Papiertonne werfen, die die Putztruppe sehr vorbildlich an jedem Abend leert.
• Einer direkten und vertraulichen Anweisung des Chefs via E-Mail folgen und eine strategisch wichtige, aber geheime, Überweisung in Höhe von 2 Millionen Dollar tätigen.
• Ein guter Bekannter hat plötzlich einen neuen Social Media Account, sendet eine Freundschaftsanfrage und einen Link zu einer tollen Webseite (Geheimtip). Dem Bekannten wird vertraut und der Link geöffnet.

Die Beispiele implizieren bereits, dass es viele Möglichkeiten für das Hacken des Menschen gibt. Solche Angriffe sind oft weitaus wirkungsvoller und effizienter als technische Hacks, denn der Mensch stellt bisweilen eine tatsächlich sehr große Schwachstelle dar. Dabei stammen die Methoden des Social Engineerings aus der Psychologie und bauen ein vermeintliches Vertrauensverhältnis auf ("Hier ist ein super interessanter Link von deinem Cousin Jeff."), üben Druck aus (Chefmasche, vertrauliche Anweisung via E-Mail) oder wecken schlicht das Interesse des Adressaten ("E-Mail Anhang: Scarlett_Johansson_schon_wieder_nackt.exe").
Einige sehr ansehnliche Beispiele für Social Engineering gibt es in den Verfilmungen Who Am I – Kein System ist sicher und Mr. Robot. Weiterhin gibt es einen empfehlenswerten und noch heute anwendbaren Buchklassiker aus dem Jahr 1936, der sich mit der gezielten Manipulation von Menschen beschäftigt: How to Win Friends and Influence People (engl.). Informationen zum Thema Social Engineering finden sich ebenfalls im IT-Grundschutz Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz: Social Engineering.

Angriffstechniken und Fachbegriffe

Für die verschiedenen Angriffstechniken des Social Engineerings gibt es Fachbegriffe:

• Phishing/Pharming – oft Spam E-Mails, die auf eine scheinbar vertrauenswürdige Webseite locken wollen (ähnliche URL, z.B. gogle.de), welche dann aber Daten wie PIN/TAN abgreift oder Malware ausliefert.
• Spear Phishing – Zielgerichtete E-Mail, oft mit sehr persönlichem Bezug und nur an eine Person addressiert, die z.B. Malware auf dem Zielrechner installieren soll oder Daten abgreift.
• Hoaxes/Scam – Spezielle Form von Spam, die mit Falschmeldungen lockt oder z.B. große Geldbeträge (für "kleine" Unkostenbeträge) in Aussicht stellt (Nigeria Scam)
• Shoulder Surfing/Tailgaiting/Dumpster Diving – Shoulder Surfing ist das Zusehen oder Aufzeichnen bei Notieren/Eintippen eines Geheimnisses. Tailgaiting nennt man das Vordringen in nicht öffentliche Bereiche, indem der Angreifer durch eine geöffnete Tür wie selbstverständlich mit hindurchgeht. Dumpster Diving bezeichnet das Suchen von Informationen im Abfall.

Awareness

Social Engineering Angriffe sind oft besonders erfolgreich, denn viele Menschen lassen sich mit psychologischen Mitteln beeinflussen. Technisch fassbar sind Social Engineering Angriffe zudem nur selten, weil diese ausgefeilten Manipulationen des Menschen den technischen Fassungsbereich meistens umschiffen.

Was kann man gegen Social Engineering tun? Aufklären! Regelmäßige Awareness-Kampagnen und Schulungen helfen den Mitarbeitern eines Unternehmens oder einer Behörde, sich mit den drohenden Risiken auseinanderzusetzen und Angriffe als solche zu identifizieren. Sicherheitsschulungen klären über typische Maschen des Social Engineerings auf, geben Verhaltensregeln bei Angriffen an die Hand und erhöhen im Allgemeinen das Sicherheitsbewusstsein.
Aber Vorsicht! Mit dem Thema Social Engineering sollte sehr behutsam umgegangen werden, insbesondere dann, wenn externe Unternehmen die Effektivität der Awareness-Kampagnen an den eigenen Mitarbeitern testen. Besonders die persönlichen Manipulationen hinterlassen psychologische Spuren, die das Wesen nachhaltig beeinflussen können (Minderwertigkeitskomplexe, Resignation, Fehlender Mut für neue Tätigkeiten, ...). Achten Sie bei Inhouse-Schulungen darauf, dass Schuldzuweisungen und unsachliche Kritik vermieden werden, das Thema Social Engineering ist empfänglich dafür.

Awareness-Kampagnen sollten technisch soweit wie möglich unterstützt werden. Zur technischen Unterstützung gehören:

• Modernes Betriebssystem mit aktuellen Sicherheitsupdates
• Moderner Internetbrowser mit Malware/Phishing Warnung (z.B. Firefox, Chrome)
• Das Begrenzen der Nutzerrechte auf ein sinnvolles Maß. Anstatt Verboten bieten Sie einen "Schutz" vor Gefahren und nehmen nicht notwendige "Verantwortung" (z.B. Einspielen von Updates) ab.
  Beispielsweise lassen sich mit einem Active Directory Server (ADS) die Windows-Clients einer Domäne reglementieren. Welche Nutzergruppen müssen Anwendungen installieren, wer benötigt unregulierten Internetzugriff (auch außerhalb von Webseiten), automatisches Einspielen von Updates, ...
• Zentrale Antivirus/Spam/Scam-Lösung (z.B. auf dem E-Mailserver) oder auf den Endgeräten
• Zentrale Backups der Daten

Verhaltensregeln

Es gibt einige grundlegende Verhaltensregeln, die Social Engineering Angriffe erschweren:

1. Passwörter und Zugangsdaten werden grundsätzlich nie weitergegeben, auch nicht an den IT-Administrator!
2. Nachrichten (E-Mails, Kurznachrichten, usw.) und Links nur öffnen, wenn Sie von vertrauenswürdigen Quellen stammen. Prüfen Sie die Adressen im Zweifelsfall auf Tippfehler!
3. Firmeninterna dürfen nur über die entsprechende Abteilung (geschult!) kommuniziert werden, immer darauf verweisen.
4. Persönliche und berufliche Dinge werden strikt getrennt (z.B. unterschiedliche E-Mailadressen, Smartphones).
5. Bei neuen Kontakten eine gesunde Skepsis an den Tag legen, im Zweifelsfall auf das Bauchgefühl hören und merkwürdiges Verhalten und Vorfälle stets melden!

Weitere Informationen finden Sie in der Informationsbroschüre von DATEV und Deutschland sicher im Netz e.V.: Verhaltensregeln zum Thema "Social Engineering".

Frequently Asked Questions (FAQ)

F:	Ich habe unaufgeordert eine E-Mail von einer mir unbekannten Adresse bekommen, soll ich auf den enthaltenen Link clicken?
A:	Nein! Grundsätzlich :)
F:	Meine Bank fordert mich auf meine PIN und TAN zur Überprüfung einzusenden. Ist das merkwürdig?
A:	Abseits entsprechender Formulare auf der Webseite wird Ihre Bank Sie niemals zur Eingabe von PIN/TAN auffordern.
F:	Ein Kollege benötigt noch schnell mein Passwort, um etwas wichtiges zu ändern.
A:	Passwörter sind persönlich und werden geheim gehalten, auch vor den Kollegen.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Social Engineering:

Wie gut kennen Sie sich mit Social Engineering aus?

1) Sie bekommen einen Anruf aus der Personalabteilung. Damit Ihre Gehaltsabrechnung bald digital bearbeitet werden kann, benötigt die Anruferin Ihren vollen Namen, die E-Mail Adresse und Raumnummer.

Das Verhalten ist merkwürdig, ich informiere meine Vorgesetzte. Unbedenkliche Informationen gebe ich immer heraus.

2) Sie bekommen eine berufliche E-Mail auf Ihre private E-Mailadresse. Wie verhalten Sie sich?

Wenn der Absender bekannt ist, bitte ich telefonisch um eine erneute Versendung an die berufliche Adresse, ansonsten lösche ich die E-Mail. Ich beantworte die E-Mail.

3) Im Firmengebäude entdecken Sie eine unbekannte und unbegleitete Person, wie verhalten Sie sich?

Das geht mich nichts an, ich bin nicht befugt, das Vorzeigen eines Ausweises zu verlangen. Ich frage die Person, ob Sie sich ausweisen und den Grund der Anwesenheit belegen kann. Ansonsten begleite ich die Person zu meiner Vorgesetzten oder dem Sicherheitsdienst.

4) In welche Ablage kommen nicht mehr benötigte vorvertragliche Unterlagen?

Papiertonne Aktenvernichter

5) Sie finden einen USB-Stick auf dem Parkplatz. Was nun?

Ich gebe den USB-Stick bei der IT-Abteilung ab und verweise auf den Fundort. Ich ermittle den Besitzer über die enthaltenen Daten (Virenschutz aktiv) und gebe den Stick zurück.

6) Der Chef sendet eine E-Mail mit der Anweisung, eine Zahlung in Höhe von 467.000 EUR an die Müller Software GmbH (IBAN: DE123...) zu tätigen. Durch den Kauf der neuen Buchhaltungssoftware schafft sich Firma einen Vorteil vor der Konkurrenz. Um den Vorteil vor der Konkurrenz zu nutzen, darf bis zur Lieferung keine Information über den Kauf kommuniziert werden.

Ich führe die Überweisung durch und entspreche dem Wunsch der Geheimhaltung, denn die E-Mail kam von der korrekten Adresse! Ich lasse mir die Anweisung des Chefs telefonisch/persönlich von ihm bestätigen oder informiere die IT-Abteilung über die E-Mail.

7) Ein neuer Kunde wird zu Ihnen per Telefon durchgestellt und fragt Sie nach Ihrer E-Mail-Adresse, damit er offiziell ein Angebot anfordern kann.

Sie legen auf und melden den Vorfall ihrer Vogesetzten. Sie nennen dem Kunden Ihre E-Mail Adresse.

---

Linksammlung

Who Am I – Kein System ist sicher Wikipedia: Who Am I – Kein System ist sicher ist ein deutscher Thriller des Regisseurs Baran bo Odar aus dem Jahr 2014. Der Film spielt in Berlin und handelt von einer Hackergruppe, die global auf sich aufmerksam machen will.

Mr. Robot Wikipedia: Mr. Robot ist eine US-amerikanische Thriller-Fernsehserie von Sam Esmail, die seit 2015 auf dem Kabelsender USA Network ausgestrahlt wird. Die Serie handelt von einem jungen IT-Sicherheitsspezialisten mit einer dissoziativen Identitätsstörung.

How to Win Friends and Influence People (engl.) How to Win Friends and Influence People is a self-help book written by Dale Carnegie, published in 1936. Over 15 million copies have been sold worldwide, making it one of the best-selling books of all time. In 2011, it was number 19 on Time Magazines list of the 100 most influential books.

IT-Grundschutz: Social Engineering Ein Auszug aus dem IT-Grundschutz Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema Social Engineering (G 5.42)

Verhaltensregeln zum Thema "Social Engineering" Eine Informationsbroschüre von DATEV und Deutschland sicher im Netze e.V. zum Thema Verhaltensregeln bei "Social Engineering".

Inhalte (Unternehmensnetzwerk)

Die Planungsphase

Unternehmensnetzwerke wachsen oft gemeinsam mit dem Unternehmen, kleine Betriebe haben deutlich kleinere Anforderungen als große internationale Firmen. Die meisten Firmen fangen jedoch mit wenigen Mitarbeitern an, so dass viele Unternehmensnetzwerke mit der Zeit einige Umbauarbeiten mitmachen.

Bei der Planung eines Netzwerks ist es enorm wichtig, das Netzwerk skalierbar und erweiterbar zu strukturieren. Einige Verbesserungen können natürlich auch im Nachhinein durchgeführt werden, jedoch oftmals nur mit erheblichem Planungsaufwand und Kosten sowie mit Unannehmlichkeiten verbunden.

Welche Punkte sollten Sie bei der Umplanung oder Neuplanung bedenken?

• Sicherheit! Die Sicherheit eines Netzwerks sollte schon in der Planungsphase bedacht und integriert werden. Stellen Sie die Weichen zu spät, fällt Ihnen das früher oder später auf die Füße.
• Logische Trennung von unabhängigen Bereichen. Bereiche, die in der Praxis kaum verzahnt sind, sollten aus Sicherheitsgründen auch in der IT nicht künstlich verzahnt werden. Mehr Informationen dazu gibt es im nächsten Kapitel.
• Software- und Planungskosten übersteigen oft die Hardwarekosten! Sparen Sie nicht am falschen Ende, denn mit hochqualitativer Hardware können Sie voraussichtlich einigen Problemen aus dem Weg gehen.
• Keep it simple, stupid! Ihre Lösung für das Unternehmensnetzwerk sollte so einfach wie möglich sein.

Als Hintergrundinformation finden Sie an dieser Stelle (Wie baue ich ein Netzwerk für ein kleines oder mittelständisches Unternehmen?) einen Artikel zum Aufbau eines Unternehmensnetzwerks, allerdings ohne explizite Berücksichtigung der IT-Sicherheit. Weiterhin finden Sie als Praxisbeispiel einen Verweis zu einem englischen Dokument, das sich mit der Konzeptionierung eines sicheren lokalen Netzwerks auseinandersetzt: Designing a Secure Local Area Network.

Security by Design

Sicherheit wird bei der Planung eines Netzwerks bereits berücksichtigt. Bei der Planung jeder Teilkomponente oder Teilbereich des Unternehmensnetzwerks werden die folgenden Fragen beantwortet und Prinzipien zu Grunde gelegt.

• Reduzierung der Angriffsoberfläche, d.h. alle nicht genutzten Optionen, alle nicht genutzten Funktionen der Netzwerkkomponenten werden abgeschaltet. Wie bei Firewalls wird das Whitelist-Prinzip verfolgt: Ausschließlich notwendige Funktionen sind zugelassen, alles andere wird deaktiviert!
• Hohe Sicherheitseinstellungen sind der Standard. Anstatt die Sicherheitseinstellungen, z.B. im Browser, nach dem Setup eines Systems so weit zu erhöhen, solange der Arbeitsprozess funktioniert, werden die Sicherheitseinstellungen vom Maximum so lange reduziert bis der Prozess arbeitsfähig ist.
• Nur die benötigten Resourcen/Zugangsrechte werden zur Verfügung gestellt. Beispielsweise muss der Geschäftsführer nicht in der Lage sein, auf alle Daten aus den Unternehmensinterna (z.B. Passwortdatenbank) zuzugreifen. Der Netzwerk-Administrator wiederum benötigt keinen Zugriff auf die Unterlagen der Personalbuchhaltung.

Weitere Informationen zu Security by Design Prinzipien entnehmen Sie diesem englischen Artikel der OWASP: Security by Design Principles.

Auftrennung des Netzwerks

Für verschiedene Aufgabengebiete gibt es eine Trennung, z.B. Einkauf und Personal. Auch in Computernetzwerken sollten diese Bereiche getrennt und spezielle Schnittstellen definiert werden, über die beide Bereiche kommunizieren können.
Besonders wichtig ist die Trennung bei gefährdeten Aufgaben, z.B. Recherchen im Darknet, Zugriffen aus dem Internet, uvm. Technisch realisieren lässt sich eine Trennung der Netzwerke auf unterschiedliche Wege

• Physikalische Trennung, z.B. Darknet-Recherchen werden ausschließlich auf einem gesonderten PC durchgeführt, der über einen separaten Internetanschluss verfügt. Der private Schlüssel einer Zertifizierungsstelle ist lediglich auf einem PC gespeichert, der keinen Netzwerkzugang hat.
• Verschiedene VLANs für unterschiedliche Abteilungen oder Aufgaben. Mit der VLAN-Technik ist es möglich, die Ports eines oder mehrerer Netzwerkswitches auf unterschiedliche (virtuelle) Netzwerke aufzuteilen. Zwischen den Netzwerken ist danach keine Kommunikation mehr möglich, nur noch innerhalb eines Netzwerks. Zusätzlich kann es Komponenten wie Router oder Proxyserver geben, die bestimmte Schnittstellen zwischen den Netzwerken öffnen.
• Unterschiedliche IP-Subnetze trennen die Abteilungen logisch voneinander. Kommunizieren können die Computer aus unterschiedlichen Abteilungen nur über Router, so lange die einzelnen PCs diese logische Trennung nicht überwinden. Letzteres ist für einen geübten Hacker allerdings keine ausreichend große Hürde.

Firewall und Proxyserver

Neben der netzwerktechnischen Trennung der lokalen Aufgabengebiete ist auf jeden Fall ein kontrollierter Übergang zwischen dem Unternehmensnetzwerk und dem Internet notwendig. Dies wird durch eine Firewall gewährleistet, die wie eine Art virtueller Türsteher arbeitet und Pakete hereinlässt, die gewissen Richtlinien entsprechen. In diesem Dokument definiert das Bundesamt für die Sicherheit in der Informationstechnik den Begriff der Firewall: BSI für Bürger - Firewall. In der nachfolgenden Abbildung sieht man drei Netzwerkzonen: Das Internet, das lokale Netzwerk (LAN) und eine demilitarisierte Zone (DMZ). Wobei den meisten sicherlich klar ist, welche Gefahren potentiell im Internet lauern ist die Differenzierung zwischen LAN und DMZ möglicherweise etwas unklarer.
Das LAN beschreibt Ihr internes Unternehmensnetzwerk mit allen vertraulichen Daten (Datenbanken, Server, Endgeräte, usw.). In der DMZ werden Dienste angesiedelt, die aus dem Internet zugreifbar sein sollen. Bei diesen Diensten gibt es ein erhöhtes Risiko (wegen der Öffnung in Richtung des Internets), dass die vorhandenen Server kompromittiert werden können. Deshalb beschreibt die nächte Abbildung einen Aufbau, der etwas sicherer ist. Es gibt nun zwei separate Firewalls, eine hinter dem Internet und eine weitere vor Ihrem lokalen Netzwerk. Firewalls werden im Idealfall nach dem Whitelist-Ansatz konfiguriert. Das bedeutet:

• Netzwerkpakete für erlaubte Dienste dürfen ausschließlich mit diesen Diensten kommunizieren.
• Alle anderen Netzwerkpakete werden blockiert oder zurückgewiesen.

In einigen Fällen wird zudem ein Proxyserver eingesetzt. Der Proxyserver empfängt eine Netzwerkanfrage stellvertretend für das eigentliche Ziel, interpretiert diese Anfrage, formuliert die Anfrage an das eigentliche Ziel neu und informiert nach Erhalt der Antwort den Urheber der Netzwerkanfrage.
Zur Sicherheit: Ein Proxyserver lässt keine direkte Verbindung zwischen Quelle und Ziel zu und ist in der Lage, Anfragen und Antworten zu beeinflussen. Beispielsweise könnte ein Proxyserver Anfragen an Webadressen verweigern, die nicht mit einer .de-Domäne enden. Die Antworten wieder könnten um Malware und Werbung reduziert werden.
Anmerkung: Ein Proxyserver funktioniert nicht mit Ende-zu-Ende abgesicherten Verbindungen wie https, deshalb nimmt derzeit dessen praktische Verbreitung ab.

Intrusion Detection Systeme

Intrusion Detection Systeme (IDS) sind in der Lage, Angriffe auf Systeme zu erkennen und zu melden. Die Variante Intrusion Prevention System (IPS) kann zusätzlich Angriffe unterbinden oder aktive Gegenmaßnahmen auslösen.
Die IDS/IPS Systeme können dabei im Netzwerk aktiviert werden und passierenden Datenverkehr überwachen/filtern oder auf einem Endgerät installiert werden und diese auf Angriffe überwachen, beispielsweise anhand von Logfiles. Es gibt zwei Prinzipien, nach denen IDS/IPS Systeme arbeiten können:

• Signaturbasierte Erkennung greift auf eine Datenbank von schadhaften Daten zurück und reagiert, wenn schadhafter Code gefunden wird.
• Mit Heuristik wird überprüft, ob das System von seinem Standardverhalten abweicht. Hier kann auch künstliche Intelligenz eingesetzt werden.

In der Praxis haben sich die signaturbasierten Verfahren auf Grund von Genauigkeit (false positives vs. false negatives) und Performance bei der Überprüfung durchgesetzt. Zukünftig mag sich das Blatt wenden.

Weitere Tools für den professionellen Einsatz

Je umfangreicher Unternehmensnetzwerke werden, desto größer ist der Bedarf nach Hilfestellung bei der Administration. Dafür existieren eine Reihe von Möglichkeiten:

• Monitoring Software überwacht die vitalen Daten von Servern oder Geräten, neben der aktuellen Erreichbarkeit z.B. Prozessor/Netzwerkast oder Speicherauslastung. Bekannte Software (auszugsweise): Nagios, Icinga, Shinken.
• Konfigurationsmanagement unterstützt Systemadministratoren bei dem Konfigurieren aller verwalteten Systeme. Dabei können, (fast) unabhängig vom jeweiligen Betriebssystem, Änderungen auf ganze Gruppen von Systemen ausgerollt werden.
• Security Operations Center (SOC) ist ein System, das sicherheitsbezogene Informationen aus verschiedensten Quellen zusammenträgt und kompakt darstellt. So ermittelt ein SOC-Administrator rasch Angriffe oder sogar Auffälligkeiten in Firmennetzwerken und leitet mit den im System hinterlegten Informationen Gegenmaßnahmen ein.
  Neben den technischen Tools (IDS/IPS, Monitoring, usw.) integriert ein SOC also auch die sicherheitsbezogenen Prozesse des Unternehmens. Weitere Informationen finden Sie hier Was ist ein Security Operations Center (SOC)?.

Frequently Asked Questions (FAQ)

F:	Ein Kollege hat eine wahnsinnig gut, aber komplexe Idee, wie man das Unternehmensnetzwerk verbessern kann. Direkt umsetzen?
A:	Wahnsinnig gute Ideen sollten in der Regel einfach und nicht komplex sein. Neben der Funktionalität ist wichtig, dass das Netzwerk durch möglichst viele Personen wartbar bleibt.
F:	Die Mitarbeiter wünschen sich eine Hoheit über die Konfiguration Ihrer PCs.
A:	Sprechen Sie mit Ihren Mitarbeitern und fragen Sie, was diese wirklich wollen (z.B. surfen, Programme installieren, ...). Den konkreten Bedürfnissen sollte entsprochen werden, wenn keine starken Sicherheitsbedenken dagegen sprechen.
F:	Auf welche Art sind unterschiedlich priorisierte Netze am besten zu trennen?
A:	Die physikalische Trennung ist oft wenig wirtschaftlich, die Trennung über logische Subnetze zu unsicher. Wir empfehlen die Trennung mit VLAN.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Unternehmensnetzwerk:

none

Linksammlung

Wie baue ich ein Netzwerk für ein kleines oder mittelständisches Unternehmen? In diesem Artikel geht es um den Aufbau eines Netzwerks für ein kleines oder mittelständisches Unternehmen. Dieser Artikel dient als Einstieg oder Hintergrundinformation, denn die Sicherheit wird bei den Ausführungen nur am Rande betrachtet.

Designing a Secure Local Area Network Ein englisches Paper über die Konzeptionierung eines sicheren lokalen Netzwerks.

Security by Design Principles Ein englischer Artikel der OWASP über Prinzipien, wenn nach Security by Design Motto entwickelt wird.

BSI für Bürger - Firewall Das Bundesamt für Sicherheit in der Informationstechnik erklärt den Begriff Firewall und gibt Hinweise.

Was ist ein Security Operations Center (SOC)? Dieser Artikel erläutert den Begriff Security Operations Center, beschreibt Eigenschaften und den Aufbau.

Inhalte (Mobilfunk)

Mobilfunk

Mobilfunk ist ein zentraler Bestandteil unserer heutigen Kommunikation und ein wichtiger Baustein der Digitalisierung! Dabei spielt nicht nur das klassische Telefonieren und die SMS eine Rolle, heute rücken die Datendienste immer mehr in den Vordergrund. Viele Menschen verfügen heute über Smartphones mit denen ein mobiler Internetzugang möglich wird und Apps unterwegs genutzt werden können.

Seit dem Siegeszug der Handy sind einige Mobilfunkgenerationen an uns vorbeigegangen, aber zum Teil auch geblieben.

• GSM (2G). Die zweite Generation (2G) des Mobilfunks wird als Global System for Mobile Communications (GSM) bezeichnet und erlaubt neben der klassischen Telefonie auch eine Internetanbindung. GPRS (bis zu 55 kbit/s) und EDGE (bis zu 220 kbit/s) heissen die Standards, die eine Internetanbindung ermöglichen.
  GSM ist noch weit verbreitet und versorgt besonders in ländlichen Regionen Menschen mit der Möglichkeit zu Telefonieren und SMS zu senden. Die Internetanbindung bietet für aktuelle Maßstäbe jedoch nur noch unzureichend Bandbreite, normales Surfen ist kaum möglich und von dem Nutzen multimedialer Inhalten wie Videos kann nicht die Rede sein.
• UMTS (3G). Der Standard UMTS (Universal Mobile Telecommunications System) der dritten Generation wird zur Zeit noch häufig verwendet. Mit Datenraten bis zu 7.2 Mbit/s ist das Nutzen von multimedialen Inhalten möglich. Doch die Funkzellen (Empfangsbereich der UMTS-Stationen) haben bei UMTS eine geringere Größe, die Netzabdeckung ist besonders in ländlichen Gebieten noch nicht so gut wie mit GSM.
• LTE (4G). Long Term Evolution ist der Standard der vierten Generation und bietet Datenraten bis zu 100 Mbit/s, damit ist das Internet uneingeschränkt nutzbar. LTE ist ein reiner Datendienst, klassische Telefongespräche oder SMS werden von diesem Standard nicht mehr unterstützt, dafür wird auf UMTS oder GSM ausgewichen. Der Ausbau von LTE wird derzeit massiv vorangetrieben, allerdings nutzen noch nicht alle aktuellen Mobilfunk-Verträge den LTE-Standard (die Smartphones könnten es aber meistens).
• (5G). Die fünfte Generation des Mobilfunks steht in den Startlöchern, sie soll zunächst mit der 4G-Technik koexistieren und Funkzellen mit unterschiedlichen Eigenschaften (Viel Bandbreite, schnelle Antwortzeiten, ...) bieten. Als Grundvoraussetzung für 5G ist der Ausbau des Breitband/Glasfasernetzes zu sehen, denn die neuen Funkzellen mit hohen Bandbreiten benötigen eine hervorragende Netzanbindung.

Weitere Informationen finden Sie hier Wie funktioniert Mobilfunk?.

Sicherheit

Die Sicherheit im Mobilfunkbereich ist ein kritisches Thema, denn neben der Sicherheit der grundlegenden Dienste wie Telefonie, SMS oder Internetverbindung, stützen sich viele erweiterte Dienste (z.B. SMS-Tan) darauf auf. Das Sicherheitsniveau der verschiedenen Mobilfunkgenerationen unterscheidet sich dabei erheblich!

• GSM hat gleich mehrere Sicherheitsprobleme. Zum einen muss sich die Basisstation gegenüber dem Mobiltelefon nicht ausweisen, ein Hacker kann somit in die Rolle der Basisstation schlüpfen. Mit diesem Trick (IMSI-Catcher) können Telefongespräche und Daten potentiell abgehört und Endgeräte geortet werden! Die Kosten dieses Angriffs sind seit der Verfügbarkeit von Software Defined Radios und entsprechender Software erheblich gesunken.
  Zum anderen weisen einige der Verschlüsselungsverfahren von GSM Schwachstellen auf (einige A3/A8, A5/1, A5/2), so dass sich Gespräche schon relativ günstig (Hardwarekosten ab 10 EUR) belauschen und im schlimmsten Fall eine SIM-Karte drahtlos klonen lässt. Die Folge ist u.a. die Möglichkeit, SMS oder Gespräche abzuhören und einzuschleusen.
• UMTS setzt überwiegend sichere Verfahren ein und verlangt, dass sich die Basisstation gegenüber dem Mobiltelefon ausweist. Jedoch existiert ein Szenario, bei dem auf den alten Mobilfunkstandard GSM zurückgeschaltet werden kann, um weiterhin einen IMSI-Catcher Angriff durchzuführen, siehe Seminararbeit IMSI Catcher.
• LTE nutzt sichere Verfahren und ist ein reiner Datenstandard, so dass ein Angriff über das Zurückschalten auf UMTS oder GSM nicht mehr möglich ist. Grundsätzlich ist dieses das aktuell sicherste Mobilfunkverfahren, jedoch gibt es auch hier schon erste kleinere Angriffe, z.B. Breaking LTE on Layer Two.

Das Fazit dieses Kapitels ist, dass Mobilfunkprotokollen nicht unbegrenztes Vertrauen geschenkt werden sollte. Insbesondere des Protokoll GSM ist anfällig gegen Angriffe. Ein großes Problem in diesem Umfeld ist, dass alte unsichere Verfahren zum Teil sehr lange weiterverwendet werden, da die Verfahren auf der SIM-Karte codiert sind. Wie alt ist Ihre SIM-Karte?

Signalisierungssystem 7 (SS7)

Das Signalisierungssystem Nummer 7 ist eine Reihe von Protokollen für die Gesprächssignalisierung (Steuerung, d.h. Vermittlung usw.) klassischer Telefonnetze. Neben analoger Telefonie (POTS) und ISDN wird das Protokoll ebenfalls für Mobilfunknetze und VoIP genutzt. Der Weg, den Sprach-, Text- und Datennachrichten durch die Telefonnetze nehmen wird von SS7 festgelegt, weltweit, über Providergrenzen hinweg. Nach dem Aufkommen von Mobiltelefonen wurde das SS7 Protokoll außerdem um neue Features erweitert, die es ermöglichen, die aktuelle Position von Mobiltelefonen zu ermitteln und die Kommunikation dorthin zu senden.
SS7 wurde bereits 1981 spezifiziert und seitdem weiterentwickelt. Das System wurde in einer Zeit entwickelt, als die internationalen Telefonprovider sich untereinander vertrauten (d.h. keine Authentifizierung, keine Verschlüsselung) und es mobile Kommunikation kaum gab.

Sicherheitsprobleme

Das SS7 Protokoll wird weltweit für die Vermittlung von Telefoniedaten genutzt. Einige Anbieter in nicht sehr regulierten Ländern bieten einen kostenpflichtigen Dienst an, der es erlaubt, unüberprüfte/manipulierte Daten in das weltweite SS7-System einzuschleusen. Hiermit ist es möglich, Telefongespräche, SMS oder Daten beliebig umzuleiten und Mobiltelefone zu orten. Außerdem kann Kommunikation von beliebigen Absendernummern eingeschleust und Telefongespräche abgehört werden. Siehe auch SS7: Locate. Track. Manipulate. und SS7 Hacking.
In der Vergangenheit gab es bereits einige Sicherheitsvorfälle, die sich auf Manipulationen des SS7-Systems zurückführen lassen, beispielsweise ist das Abfgangen von SMS-Tans bereits mehrfach vorgekommen! Aktuell gibt es keinen flächendeckenden Schutz gegen Manipulationen des SS7-Systems, auch wenn einige Anbieter bereits Intrusion Detection Systeme (Angriffserkennung) einsetzen.

Frequently Asked Questions (FAQ)

F:	Ist eine SMS sicher?
A:	Nein, neben zahlreichen Möglichkeiten, diese mit Schwachstellen in GSM/UMTS zu manipulieren, bietet das SS7-System einen sehr einfachen und relativ kostengünstigen Zugang zur Manipulation von Mobilfunk-Kommunikation (inkl. SMS).
F:	Meine Mobilfunkverbindung bricht ständig zusammen, werde ich abgehört?
A:	Möglich, aber eher unwahrscheinlich, denn IMSI-Catcher zum lokalen Abhören sind noch verhältnismäßig teuer oder komplex. Lassen Sie sich anrufen anstatt selbst anzurufen, das erschwert einen IMSI-Catcher Angriff erheblich!

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Mobilfunk:

Wie sicher ist Ihre Mobilfunkkommunikation?

1) Kann man SMS-Tan/mobileTAN bedenkenlos einsetzen?

Nein Ja

2) Schätzen Sie die Kosten für einen Angriff auf die Mobiltelefonie ab!

mindestens 10.000 EUR weniger als 2.000 EUR

3) Können Schwachstellen der Verschlüsselungsalgorithmen für den Mobilfunk mit einem Firmware-Update des Smarthphones behoben werden?

Nein Erst ab Android 6.0

---

Linksammlung

Wie funktioniert Mobilfunk? Auf dieser Webseite werden Informationen zur Funktionsweise von Mobilfunknetzen zusammengetragen. Die Informationen reichen von 2G bis 5G!

Seminararbeit IMSI Catcher In dieser Seminararbeit (engl.) von Daehyun Strobel wird beschrieben, wie IMSI Catcher Angriffe (Abhören, Einschleusen von Daten) gegen GSM und UMTS funktionieren.

Breaking LTE on Layer Two Diese Publikation (engl.) beschreibt drei Angriffe auf LTE. 1.) Deanonymisierung von LTE-Geräten, 2.) Informationen über ausgetauschte Webseitenaufrufe sammeln und 3.) Änderung von verschlüsselten Bits in der LTE-Kommunikation.

SS7: Locate. Track. Manipulate. In diesem Video (engl.) von dem CCC-Kongress stellt Tobias Engel einige Angriffe auf das SS7-System (Telefonvermittlung) vor.

SS7 Hacking Auf dieser Webseite (engl.) werden einige Informationen zu Angriffen auf das SS7-System (Telefonvermittlung) dargstellt.

Inhalte (Internet of Things / Smart Home)

Internet of Things (IoT)

Der Deutsche Bundestag veröffentlichte im Jahr 2012 eine Definition: Das Internet der Dinge (IoT) ist "die technische Vision, Objekte jeder Art in ein universales digitales Netz zu integrieren". Sehr allgemein gehalten, entwickelte sich der Begriff IoT zu einem Buzzword ohne eine präzise Definition. Mit IoT bezeichnet man vernetzte Alltagsgegenstände wie

• Auto, Toaster, Waschmaschine
• TV, Smartphone, Smarthome
• Überwachungskamera, Router/Accesspoint

Eine genaue Abgrenzung ist schwierig, denn wo es bei einem vernetzten Toaster klar wäre, dieses als IoT-Gerät zu bezeichnen, eröffnet ein WLAN-Router als Infrastrukturkomponente, die es auch schon vor IoT gab, eine neue Kategorie. Viele IoT-Geräte haben eine geringe Größe und sollen oftmals wenig Energie verbrauchen, da die Stromversorgung z.B. mit Batterien umgesetzt ist. Beide Eigenschaften begrenzen die Rechenresourcen führen nicht selten dazu, dass die Sicherheit auf der Strecke bleibt. Immer mehr Hersteller klassischer unvernetzter Geräte stürzen sich zur Zeit auf den IoT-Markt und produzieren Geräte, die funktional hervorragend sind (Expertise des Herstellers), nicht aber im Punkt Sicherheit.

Technologien

Ebenso wenig klar wie die Definition von IoT ist die Festlegung auf Vernetzungstechnologieen. Typische Technologien zur Vernetzung sind

• IEEE 802.3 Ethernet → Netzwerkkameras, ...
• IEEE 802.11 Wireless LAN → Tablets, eBook Reader, ...
• IEEE 802.15.1 Bluetooth oder deren Ableger (z.B. BLE) → Kopfhörer, Smartwatch, ...
• IEEE 802.15.4 ZigBee → Smarte Glühbirnen, LED-Leisten, ...
• GSM/UMTS/LTE/5G → Smartphones, Alarmanlagen, ...
• DECT → Funktelefone, ...

Hinzu kommen viele proprietäre Protokolle! Hierbei nutzen die meisten Produkte lizenz- und genehmigungsfreie ISM-Frequenzen (Industrial, Scientific and Medical Band) zur drahtlosen Kommunikation.

Sicherheit

Im Vergleich zu klassischen Geräten bieten IoT-Geräte oftmals größere Angriffsflächen. Es bieten sich üblicherweise drei Ansatzpunkte für Hacker:

1. Die IoT-App auf Smartphone/Tablet oder im Browser
2. Der Cloud-Dienst (Daten werden meistens im Internet gesammelt/Geräte von dort gesteuert)
3. Funkprotokoll zur lokalen drahtlosen Kommunikation

Erschwerend kommt die Resourcenknappheit (Leistungsfähigkeit, Energieeffizienz) hinzu, so dass insbesondere die Funkkommunikation und die Kommunikation mit dem Cloud-Dienst Angriffspotential bietet.

Smarthome

Smarthome Geräte sorgen für ein intelligentes Haus: Lampen, Rollladen, Heizung und Garagentor lassen sich per App oder mit Hilfe von Sensoren wie Bewegungsmeldern oder Thermometern steuern. Der Nutzen der Smarthome Geräte ist unbestritten, besonders für Funktionen die Situationen vorausahnen und Aufgaben erleichtern, wie eine automatische Lichtsteuerung bei Dunkelheit. Aber nicht alle Smarthome Geräte erfüllen ein Sicherheitsniveau, das man für sein eigenes Heim erwartet. Zum Teil lässt sich die Kontrolle über das Licht, die Heizung oder die Alarmanlage von Hackern übernehmen oder sogar die Haustür mit ein paar Funknachrichten öffnen.

Die Frage der Sicherheit spielt in der Gesellschaft eine immer größere Rolle, sogar die BILD-Zeitung titelte bereits Acht von 13 Sicherheits-Systemen sind nicht sicher!. Bisher konzentrieren sich die allermeisten Sicherheitsanalysen auf die Sicherheit der Smartphone/Tablet-Apps oder Cloud-Dienste, denn diese Fachgebiete wurden bereits lange vor dem IoT-Boom erforscht und Erkenntnisse können übertragen werden.
Die (meistens proprietären) Funkprotokolle blieben eine lange Zeit unbeobachtet, weil es keine klassischen Schnittstellen gab, um die ausgetauschten Daten generisch zu analysieren. Mit dem Aufkommen von Software Defined Radios (SDR), die auf fast beliebigen Funkfrequenzen empfangen und senden können, ändert sich das. Mit Spezialsoftware wie der frei verfügbaren Software Universal Radio Hacker (URH) lassen sich die Funkprotokolle beinahe so einfach wie in der klassischen IT-Sicherheit analysieren und angreifen.

Produkte und Funkprotokolle

Auf dem Markt gibt es eine Vielzahl von Smarthomeprodukten und täglich werden es mehr. Es gibt unterschiedliche Preissegmente, beispielsweise kostet eine Funksteckdose mit Fernbedienung/App-Steuerung ca. 30 EUR im Baumarkt und bis zu 150 EUR von einem teuren Hersteller. Wir klassifizieren die Funkprotokolle in drei Kategorien: Ganz besonders in dem günstigen Preissegment, aber auch in den teureren Bereichen gibt es Geräte, die über keine ausreichende Sicherheit verfügen. Dies betrifft vor allem den Bereich der lokalen Funkprotokolle. Beinahe die Hälfte der untersuchten Smarthome Geräte (über alle Preisniveaus hinweg) hatten keinerlei Sicherheitsmechanismen implementiert, darüber hinaus gibt es einige weitere Geräte mit erheblichen Mängeln. Ein System ohne jegliche Fehler oder Ungenauigkeiten im Funkprotokoll konnten wir bisher nicht ermitteln.
Grundsätzlich, so stellten wir fest, sind besonders die günstigen Produkte von schweren Sicherheitsmängeln betroffen. Eine Entwarnung gibt es jedoch nicht, auch sehr teure Geräte konnten teilweise übernommen, in einem Fall sogar drahtlos zerstört werden.

Empfehlungen und Hinweise

In diesem Kapitel sprechen wir einige grundsätzliche Empfehlungen und Hinweise zur Planung eines Smarthomes aus.

• Vorkonfigurierte Geräte oder Geräte, die sich mit Kippschaltern konfigurieren lassen, weisen in der Regel keine Sicherheitsmerkmale auf! (Günstige Preiskategorie)
• Smarthome Geräte, die mit einem Anlernvorgang an ein Steuergerät angelernt werden (z.B. Fernbedienung + Steckdose), haben oft nur wenige Sicherheitsmaßnahmen. (Mittlere bis hohe Preiskategorie)
• Eine Zentrale, an die die Geräte lokal angelernt werden und die über eine App/Browser/Cloud die Geräte steuert, ist ein Hinweis darauf, dass in der Regel eine etwas höhere Sicherheit vorliegt. (Hohe Preiskategorie)

Die Wahl des richtigen Smarthome Geräts hängt von dem Anwendungsprofil ab. Eine Lichtsteuerung ist weniger sensitiv als das Anschließen eines Heizstrahlers an einer Funksteckdose oder die Heizungssteuerung. Je nach Anwendungsgebiet sollte die Wahl für einen Hersteller oder eine Preiskategorie getroffen werden. Sinnvoll ist es jedoch, bei einem Hersteller zu bleiben und dort die aktuelle Serie zu wählen, denn diese ist im Idealfall auch noch ein oder zwei Jahre später am Markt und kann Erweiterungs- oder Ersatzgeräte liefern.

Grundsätzlich sollte man die Entscheidung treffen, ob die eigene Technik durch einen Internetdienst (Cloud) gesteuert werden soll oder nicht (Datenschutz!). Wählen Sie am besten eine Produkteserie aus, die mit Verschlüsselung wirbt, denn diese Geräte sind meistens schwieriger zu hacken. Vermeiden Sie das Mischen von Herstellern oder Produktserien, um ein gleichmäßiges Sicherheitsniveau zu erreichen, denn wenn ein sicheres mit einem unsicheren Gerät zusammenarbeitet, reduziert sich die Sicherheit auf das geringere Niveau.

Empfehlungen für konkrete Smarthome Systeme sprechen wir an dieser Stelle nicht aus, um eine Bevor- oder Benachteiligung verschiedener Hersteller oder Produktserien zu vermeiden. Im Rahmen der Beratungstätigkeiten des Steinbeis-Transferzentrums für Netze decken wir den Bereich IoT-Sicherheit und Produktentwicklung jedoch ab.

Frequently Asked Questions (FAQ)

F:	Ist eine smarte, funkbasierte Alarmanlage grundsätzlich unsicher?
A:	Grundsätzlich ist diese nicht unsicher, aber Angriffe werden derzeit einfacher. Achten Sie auf einen seriösen Anbieter und ggf. Testberichte.
F:	Mir wird bei dem Gedanken an Smarthome unwohl. Wird sich diese Technik durchsetzen?
A:	Sehr wahrscheinlich, derzeit strömen viele neue Hersteller auf den Markt und viele herkömmliche Hersteller rüsten ihre Produkte nach oder erschließen neue Geschäftsmodelle basierend auf der IoT-Technik. Es ist davon auszugehen, dass die Vernetzung verschiedenster Geräte weiterhin zunimmt und klassische Geräte früher oder später vom Markt verschwinden. Unsere Empfehlung: Behalten Sie eine gesunde Skepsis, doch nehmen Sie lieber früher (freiwillig) als später (gezwungen) teil.
F:	Was benötige ich, um die Sicherheit von Smarthome-Systemen selbst zu untersuchen?
A:	Ein günstiges Software Defined Radio (SDR) wie das RTLSDR und eine kostenlose Analysesoftware wie den Universal Radio Hacker (URH)

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Internet of Things / Smart Home:

none

Linksammlung

Acht von 13 Sicherheits-Systemen sind nicht sicher! Sie heißen Sicherheits-Sets und versprechen, dass sie Haus oder Wohnung vor Einbrechern schützen. Doch eine aktuelle Untersuchung der Geräte von 13 Herstellern durch das unabhängige Institut AV-Test zeigt, dass viele dieser Sicherheits-Kits selbst unsicher sind. BILD stellt die Ergebnisse vor.

Universal Radio Hacker (URH) Der Universal Radio Hacker ist eine Software für Pentesting von Funkprotokollen mit Software Defined Radios (SDR). Die Software unterstützt die Analyse von proprietären Funkprotokollen und bietet verschiedene Möglichkeiten, in Funkprotokolle einzugreifen. Die Bedienung ist ergonomisch designed und auf Nachrichtentechnik-Laien zugeschnitten. Verfügbar für Linux, Windows und MAC.

Inhalte (Desktop)

Den Computer 'pflegen'

Da in vielen Firmen der Betrieb ohne Computer-Technik nur noch eingeschränkt möglich ist und Computer immer neuen Gefahren ausgesetzt sind, ist eine Pflege der Computer unabdingbar. Dazu zählen sowohl regelmäßige Datensicherungen, als auch das System durch Updates und Upgrades auf dem aktuellen Stand zu halten.

Backups

Sei es durch versehentliches Löschen, einen technischen Defekt oder Viren und Trojanern, es kann immer passieren, dass Daten, welche auf dem Computer gespeichert oder von diesem erreichbar sind, unwiderruflich vernichtet werden. Um in diesem Fall die Daten wiederherstellen zu können, sind Sicherungen notwendig. Diese können sowohl von dem kompletten System erfolgen, als auch nur von den Daten, mit denen gearbeitet wird. Weitere Informationen dazu gibt es hier in der Rubrik Organisatorisches.

Updates

Bei Updates gibt es normale Updates, die Fehler beheben und Sicherheitsupdates, die Sicherheitslücken schließen, durch die der Computer angreifbar wird. Da Computer immer komplexer werden, kann es dabei vorkommen, dass der Computer nach dem Aufspielen nicht mehr wie gewohnt oder gar nicht mehr funktioniert. Daher sollte vor dem Aufspielen der Updates auf unverzichtbare Systeme eine Sicherung erfolgen oder die Updates erst auf unkritischen Systemen getestet werden.
Microsoft veröffentlicht für Windows die Updates gebündelt am zweiten Dienstag im Monat. Sollte es Probleme geben oder gravierende Sicherheitslücken bekannt werden, welche bereits ausgenutzt werden, kann es auch Updates außerhalb dieses Dienstages geben. Da durch das Veröffentlichen der Updates auch bisher unbekannte Schwachstellen bekannt und ausgenutzt werden, ist es wichtig, nicht zu lange mit den Updates zu warten.

Upgrades

Bei Betriebssystemen muss zwischen zwei Arten unterschieden werden: Rolling Release und Standard Release. Bei dem Rolling-Relase-Prinzip gibt es immer wieder kleine Updates, die Teile des Betriebssystems aktualisieren, aber keine Upgrades, bei denen große Teile bzw. das komplette Betriebssystem getauscht wird. Rolling Releases findet man primär bei Linux-Distributionen wie z.B. Arch, Manjaro oder Gentoo. Diese werden vom Anbieter gewartet und benötigen keine Upgrades. Microsoft Windows nutzt bis Windows 10 das Standard-Release-Prinzip. Es gibt eine Version, wie Windows XP, Windows Vista, Windows 7 oder Windows 8 und diese kann nur durch ein vollständiges Upgrade auf eine neuere Version aktualisiert werden. Mit Windows 10 geht Microsoft in die Richtung des Rolling-Release-Prinzips. Es gibt nur noch eine Version, welche halbjährlich durch Funktionsupdates erweitert wird.

Jedes Standard-Release-Betriebssystem hat einen Lebenszyklus. Dieser wird normalerweise mit der Veröffentlichung bekannt gegeben und kann sich durch größere Updates (z.B. Service Packs) verlängern. Innerhalb dieses Lebenszyklus bietet der Anbieter des Betriebssystems Fehlerbehebungen und Sicherheitsupdates an. Da nach dem Ende des Lebenszyklusses keine Sicherheitslücken mehr behoben werden, sollten alle Computer, die in irgendeiner Form vernetzt sind, rechtzeitig auf ein neues Betriebssystem aktualisiert werden. Dabei sollte darauf geachtet werden, dass der Lebenszyklus der aktualisierten Version möglichst groß ist, um somit wieder genug Zeit bis zum nächsten Upgrade zu haben.
Hier gibt es die Informationen zu den aktuellen Lebenszyklen häufig genutzter Betriebssysteme:

• Informationsblatt zum Lebenszyklus von Windows
• Lebenszyklus- und Veröffentlichungskadenz von Debian
• Lebenszyklus- und Veröffentlichungskadenz von Ubuntu
• Lebenszyklus- und Veröffentlichungskadenz von Red Hat Enterprise Linux
• Lebenszyklus- und Veröffentlichungskadenz von SUSE

Während es in kleineren Unternehmen nicht unüblich ist, jeden Computer händisch auf eine neue Version upzugraden bzw. dieser Schritt auch zum Hardwarewechsel genutzt nutzt, ist dies in größeren Unternehmen und Einrichtungen zu zeitaufwendig. Hier werden automatisierte Ansätze verwendet, welche zwar in der Vorbereitung weitaus aufwendiger sind, dafür die Ausfallzeit der einzelnen Computer minimieren und sich auf ganze Gruppen von Systemen beziehen lassen.

Antivirus

Antivirensoftware bietet keinen 100%igen Schutz. Gerade neu auftretende Schädlinge sind nicht einfach von der Software zu erkennen, da die Zahl der täglich erscheinenden Varianten enorm groß ist (siehe Zahlen, bitte! Täglich 390.000 neue Schadprogramme). Verlassen Sie sich deshalb nicht auf die Zuverlässigkeit Ihrer Antivirensoftware! Sie bietet zwar einen Schutz gegen übliche Gefahren, ist der Schädling jedoch zu neu oder alt (schon aus der Datenbank herausgefallen) ist die Antivirensoftware meistens nutzlos. Dennoch macht es Sinn, auf jedem System eine Antivierensoftware zu nutzen und auf dem aktuellen Stand zu halten. Bei AV-Test.org finden Sie aktuelle Tests zu Antivirenprogrammen, sowohl für den Privatgebrauch als auch für Unternehmen.

Software

Nicht nur das Betriebssystem muss gepflegt werden, auch Ihre verwendete Software kann Angriffen ausgesetzt sein. Gerade für weit verbreitete Software wie dem Browser (Mozilla Firefox, Google Chrome, Microsoft Internet Explorer, Microsoft Edge), Adobe Reader + Adobe Flash oder Microsoft Office werden Sicherheitslücken gesucht, um das System kompromittieren zu können. Daher ist es wichtig, auch die Anwender-Software auf dem aktuellen Stand zu halten oder Produkte zu wählen, welche einen besseren Schutz bieten.

Bewusst clicken

Es reichen oftmals nur ein paar Clicks aus und der Computer ist verseucht, Daten werden gelöscht oder verschlüsselt. Wie bereits bei Social Engineering beschrieben wird, sind die Möglichkeiten vielfältig.
Daher ist es wichtig, dass man sich bewusst macht, was ein Click bewirkt und welche Folgen er haben kann. Insbesondere vorsichtig sollte man werden, wenn sich das System plötzlich anders verhält, Dialoge anders formuliert sind oder sich das Design (leicht) geändert hat.

Eine gesunde Skepsis ist angebracht, d.h. antworten Sie z.B. nicht auf E-Mails von sonderbaren Adressen, installieren Sie keine Programme, von denen Sie nicht wissen, was sie bewirken. Folgen Sie keinen Links aus unbekannten oder unseriösen Quellen (davon gibt es reichlich im Internet...). Werden Sie außerdem hellhörig, wenn bestehende Programme oder Apps ein ungewöhnliches Verhalten an den Tag legen (z.B. plötzlicher Bedarf für neue Berechtigungen) oder unlogische Forderungen stellen, wie zum Beispiel eine Taschenlampen-App, die Zugriff auf das Adressbuch des Smartphones benötigt.

Im Zweifelsfall brechen Sie einen Vorgang besser ab, bevor Sie spontane Entscheidungen treffen, deren Folgen Sie nicht absehen können. Vergewissern Sie sich bei unklaren Vorgängen bei Personen, die sich mit der Materie auskennen. Ein falscher Click kann gravierende Schäden anrichten, z.B. mussten schon mehrere Krankenhäuser den Betrieb für mehrere Tage einstellen, weil die IT durch einen einzelnen Click lahmgelegt wurde (Trojaner Petya - Verheerende Lücken bei der IT-Sicherheit).

Rechte beschränken

Gerade in kleineren Firmen, in denen jeder Angestellte einen Computer zum Arbeiten hat, jedoch keine Rechtverwaltung wie Active Directory verwendet wird, kommt es vor, dass die Angestellten mit dem bei der Installation des PCs eingerichteten Account arbeiten. Unter Windows verfügt dieser Standard-Account aber über Administrator-Berechtigungen und somit uneingeschränktem Zugriff auf das System. Nutzer sollten lediglich normale Benutzer-Accounts ohne administrative Berechtigungen auf den jeweiligen Systemen verwenden, um das Risiko einer Ausbreitung von Schadsoftware im Unternehmen zu minimieren. Dieses bietet zwar keinen 100%igen Schutz bei Eindringlingen, sorgt aber dafür, dass diese erst einmal nur mit den Berechtigungen des Nutzers agieren können und somit u.a. unerwüschte Programme nicht so einfach installieren dürfen.

Trennung von Arbeit und Freizeit

Facebook, Moorhuhn, Instagram oder einen Flyer für das nächste Fest erstellen... Gerade bei Kleinigkeiten ist die Versuchung oft groß, diese schnell nebenbei am Arbeits-PC zu machen. Aber auch dies erzeugt oft neue Möglichkeiten, die ein Hacker nutzen kann, um den Computer unter seine Kontrolle zu bekommen. Sei es, weil dafür Daten aus dem Internet oder von einem externen Medium, wie einem USB-Stick kopiert werden, Programme ausgeführt oder Internet-Seiten besucht werden müssen.
Es minimiert das Risiko für das Unternehmen, aber auch den einzelnen Mitarbeiter, wenn eine Richtlinie private Aktivitäten auf den Arbeitsgeräten reglementiert. Idealerweise werden private Aktivitäten, soweit grundsätzlich erlaubt, nur auf eigenen Geräten durchgeführt.

Arbeitssystem portabel halten

Ein Arbeits-PC sollte immer leicht zu ersetzen sein, um bei einem Schaden die Ausfallzeit zu minimieren. Verwenden viele Mitarbeiter ähnliche Computer mit demselben Betriebssystem und derselben oder ähnlicher Software, kann ein Tausch im Falle eines Defektes sehr schnell erfolgen. Als Tauschgerät kann somit ein derzeit nicht genutztes Gerät verwendet werden, nur noch minimale Anpassungen werden benötigt. Dies setzt, gerade für den Fall des Festplattendefektes aber voraus, dass die Daten, mit denen gearbeitet wird, zentral im Netzwerk gespeichert sind und nicht nur lokal vorliegen. Sollte es jedoch keine zentrale Speicherung und auch kein Backup geben, kann sich die Wiederherstellung der Arbeitsfähigkeit des Angestellten verzögern und erheblichen Datenverlust mit sich führen.

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, befasst sich mit allen Fragen rund um die IT-Sicherheit in der Informationsgesellschaft. Ziel des BSI ist es, den sicheren Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft zu ermöglichen und voranzutreiben. Das BSI wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Es bietet nicht nur für Einrichtungen, sondern auch für Unternehmen und Privatpersonen sehr viele hilfreiche Informationen zur IT-Sicherheit. So bietet es eine Empfehlungen für Privatanwender zur sicheren Nutzung von PCs unter Microsoft Windows 7 an. Auch stellt das BSI unter Bürger-CERT (Computer Emergency Response Team) eine Übersicht aktueller Warnungen für kleine Unternehmen und Bürger zur Verfügung sowie unter CERT-Bund Meldungen aktuelle Warnungen für Computer-Systeme bereit.

Frequently Asked Questions (FAQ)

F:	Ich habe eine aktuelle Antivirensoftware installiert, ist mein PC nun sicher?
A:	Nein, er widersteht nun voraussichtlich Angriffen, die auf die breite Masse angelegt sind. Gezielte Attacken und sehr neue oder alte Malware können Ihnen vermutlich noch schaden.
F:	Sendet Ihr PC regelmäßig Nutzungsstatistiken und teilweise private Daten an amerikanische Großkonzerne wie Microsoft?
A:	Oft ist das Deaktivieren der Datensammelwut von aktueller Software nicht ganz trivial. Genau lesen, bevor Sie bewusst clicken!
F:	Darf ich private E-Mails mit dem Arbeits-PC beantworten?
A:	Das hängt von der Richtlinie Ihres Unternehmens ab, jedoch empfehlen wir, dies zu vermeiden. Sie reduzieren so das Risiko für das Unternehmen, sich mit Malware zu infizieren und gleichzeitig Ihre Verantwortung dafür.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Desktop:

Testen Sie Ihr Wissen zum Thema Desktop!

1) Bietet Antiviren-Software 100%igen Schutz vor Schädlingen?

Ja Nein

2) Sollten Mitarbeiter mit dem Standard Windows-Benutzer arbeiten?

Ja Nein

3) Sind Computer auch nach ihrem Lebenszyklus noch ausreichend sicher?

Ja Nein

4) Sollten Updates ohne Bedenken eingespielt werden?

Ja Nein

---

Linksammlung

Informationsblatt zum Lebenszyklus von Windows Diese Seite von Mirosoft informiert über den Lebenszyklus der verschiedenen Windows-Versionen.

Lebenszyklus- und Veröffentlichungskadenz von Debian Diese Seite informiert über die Lebenszyklus- und Veröffentlichungskadenz von Debian.

Lebenszyklus- und Veröffentlichungskadenz von Ubuntu Diese Seite informiert über die Lebenszyklus- und Veröffentlichungskadenz von Ubuntu.

Lebenszyklus- und Veröffentlichungskadenz von Red Hat Enterprise Linux Diese Seite informiert über die Lebenszyklus- und Veröffentlichungskadenz von Red Hat Enterprise Linux.

Lebenszyklus- und Veröffentlichungskadenz von SUSE Diese Seite informiert über die Lebenszyklus- und Veröffentlichungskadenz von SUSE.

Zahlen, bitte! Täglich 390.000 neue Schadprogramme Momentan hat man das Gefühl, in jedem Mail-Anhang und hinter jedem Link versteckt sich irgendeine Malware. Antiviren-Hersteller und Test-Labore verstärken diesen Eindruck noch durch irrwitzig hohe Zahlen neuer Schadprogramme.

AV-Test.org Tests von Antivirenprodukten eines unabhängigen Forschungsinstituts.

Trojaner Petya - Verheerende Lücken bei der IT-Sicherheit Lahmgelegte Krankenhäuser, Flugzeuge am Boden, streikende Bankautomaten – die Gefahren von Cyberattacken auf unsere Infrastruktur wachsen. Sechs Wochen nach WannaCry sind Tausende Computer weltweit einem Cyberangriff durch den Trojaner "Petya" zum Opfer gefallen. Doch IT-Sicherheit gibt es nicht zum Nulltarif.

Empfehlungen für Privatanwender zur sicheren Nutzung von PCs unter Microsoft Windows 7 Empfehlungen für Privatanwender zur sicheren Nutzung von PCs unter Microsoft Windows 7

Bürger-CERT (Computer Emergency Response Team) Das Bürger-CERT informiert und warnt Bürger und Bürgerinnen, sowie kleine Unternehmen schnell und kompetent vor Viren, Würmern und anderen Sicherheitslücken.

CERT-Bund Meldungen Aktuelle Meldungen von Schwachstellen vom CERT-Bund des BSI

Inhalte (Passwörter)

Die Wahl des richtigen Passworts

Die Wahl des richtigen Passworts ist ein schwieriges Problem, denn lange komplizierte Passwörter lassen sich schlecht merken, kurze oder einfache Passwörter dafür schnell erraten. Ein Kompromiss muss gefunden werden, d.h. ein möglichst komplexes Passwort, welches sich aber einfach merken lässt. Idealerweise beinhalten Passwörter dabei keine Daten, die mit dessen Besitzer in Verbindung gebracht werden können, z.B. die zweistellige Jahreszahl des Geburtsjahrs.

Der Kontext

Verschiedene Dienste erhalten ganz individuell eine unterschiedliche Priorität. Werden bei einem Dienst Finanz- oder andere personenbezogenen Daten hinterlegt, wird er meistens als sehr schützenswert eingeordnet. Weniger schützenswert ist dahingegen vielleicht der Social Media Account, sicherlich liegt dies aber im Auge des (jugendlichen?) Betrachters.
Es ist in Ordnung, schwächere Passwörter für geringer priorisierte Dienste zu nutzen. Wichtig ist allerdings, das Passwörter (oder auch Teile davon) möglichst nicht mehrfach verwendet werden! Insbesonders nicht über unterschiedlich klassifizierte Dienste hinweg.

Wie sicher ist mein Passwort?

Die Sicherheit eines Passworts ist abhängig von dessen Länge (>10) und den verwendeten Zeichen (z.B. nur Kleinbuchstaben?). Weiterhin wichtig ist, dass Passwörter keine Strukturen aufweisen (z.B. 12345, abcde) und keine sinnvollen Bestandteile (z.B. schuh, 1967) enthalten.

Gegen die Sicherheit eines Passworts spielt die Zeit, denn täglich werden leistungsstärkere Rechenmaschinen produziert, die immer mehr Passwörter pro Sekunde testen können, viele Milliarden Passwörter pro Sekunde sind möglich! Bekommt der Angreifer eine Datei mit Ihrem verschlüsselten Passwort in die Hände, schützt nur noch ein langes komplexes Passwort Ihre Sicherheit. In der Rubrik 'Tests' können Sie die Sicherheit Ihres Passworts prüfen.

Wie sollten Passwortrichtlinien aussehen?

Für Passwortrichtlinien, z.B. mindestens eine Zahl und ein Sonderzeichen, ≥ 8 Zeichen, 1 Monat Gültigkeit, gelten die selben Grundsätze wie für Passwörter selbst. Sind sie zu komplex, lassen sich Passwörter nicht merken und werden aufgeschrieben. Sollten die erstellten Passwörter zu einfach sein, können Sie schnell gebrochen werden.
Erschwerend kommt hinzu, dass Anwender dazu neigen, Richtlinien falsch anzuwenden, wenn die individuelle Priorität für den Dienst oder das allgemeine Verständnis für Sicherheit geringer ist. Zum Beispiel: 'Monat=01', 'Monat=02', ... (Richtlinie aus dem Text)
Wägen Sie die Komplexität der Passwortrichtlinien deshalb sinnvoll ab!

Wie erstelle ich ein gutes Passwort?

Eine hervorragende Methode, ein gut merkbares komplexes Passwort zu erzeugen, ist der Merksatz!
Beispielsweise wird aus dem Satz 'Schokolade ist Gottes Entschuldigung für Brokkoli.' und drei zufälligen Zahlen das Passwort: 18SiGEfB.4 (Dieses Passwort bitte nicht verwenden!)
Mit diesem Prinzip lassen sich sehr sichere Passwörter erzeugen, der Satz sollte jedoch besser etwas länger sein.

Passwort Manager

Passwort Manager sind Anwendungen mit denen Sie Ihre Passwörter verwalten können. Sie speichern dabei alle Passwörter und deren Verwendungszweck in einem Container, den Sie mit einem sicheren Masterpasswort verschlüsseln. Nach der Eingabe des Masterpassworts bekommen Sie Zugang zu Ihren unterschiedlichen Passwörtern und müssen Sich so nur noch ein einzelnes, aber sicheres, Passwort merken!
Gute Passwort Manager machen ihre Nutzung sehr bequem, indem sie nach dem Freischalten mit dem Masterpasswort

• Passwörter automatisch in die richtigen Formularfelder eintragen,
• sichere Passwörter für neue Dienste generieren und
• den Passwort Manager von vielen Geräten aus (Smartphone, Webbrowser, ...) nutzbar machen.

Bekannte Produkte sind LastPass und 1Password. Beide lassen sich kostenlos auf verschiedenen Betriebssystemen nutzen.

Mehrfaktor-Authentifizierung

Der Hauptzweck von Passwörtern ist die Authentifizierung des Besitzers bei einem Dienst. Das bedeutet, der Besitzer bestätigt durch die Kenntnis des Passworts seine Identität. Um widerstandsfähiger gegen Angriffe zu werden, wird die Authentifizierung über mehrere unabhängige Wege durchgeführt, z.B. https-Webseite + SMS oder Brief + Anruf. Wesentlich für die Mehrfaktor-Authentifizierung ist, dass die beiden Transportwege für die Authentifizierung tatsächlich getrennt sind, denn wenn der Angreifer die Kontrolle über die unabhängigen Wege bekommt, funktioniert sein Angriff. Laufen die Wege jedoch auf einem potentiell gefährdeten Gerät zusammen, z.B. Smartphone-App + SMS, ist der Sicherheitsgewinn durch die Mehrfaktor-Authentifizierung fragwürdig.

Alternativen zu Passwörtern

Die Prüfung biometrischer Merkmale, wie Fingerabdruck oder Gesichtserkennung, ist eine Option. Vielen biometrischen Verfahren muss man jedoch eine vergleichbar geringere Sicherheit bescheinigen. Natürlich gibt es auch sichere biometrische Verfahren, z.B. Ohrmuschel oder Iris-Scan, diese sind jedoch meistens teurer oder wenig portabel.

Die Authentifizierung mit digitalen Zertifikaten oder Hardware-Tokens wird oft in größeren Unternehmen oder Projekten eingesetzt. Diese Methoden sind Passwörtern aufgrund einer höheren Sicherheit vorzuziehen.

Frequently Asked Questions (FAQ)

F:	Wie lang sollte ein sicheres Passwort sein?
A:	Unter der Annahme, der Angreifer hat eine einfache Datenbank (MD5, ohne Salt) mit Ihrem sicheren Passwort unter Kontrolle, sollten es derzeit ≥ 12 Zeichen sein (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen).
F:	Welche Alternative zu Passwörter empfehlen Sie?
A:	Die Authentifizierung mit ≥ 2 Faktoren ist sinnvoll. Darüber hinaus empfehlen wir den Login mit digitalen Zertifikaten (z.B. SSH-Server, VPN), insofern dies möglich ist.
F:	Wie sicher ist eine biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung, ...)?
A:	Derzeit sind die meisten biometrischen Verfahren noch nicht auf einem Sicherheitsniveau, das mit guten Passwörtern mithalten kann. Es gibt natürlich auch gute biometrische Verfahren (Iris-Scan, Ohrmuschel, ...), die meistens allerdings nicht portabel, teuer oder wenig praktikabel sind.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Passwörter:

Testen Sie Ihr Passwort lokal

Geben Sie ein Passwort ein, um dessen Sicherheit zu testen. Die Eingabe verbleibt auf Ihrem Gerät und wird nicht in das Internet kommuniziert.
Passwort: anzeigen

Anmerkung: Diese Zahlen gelten für die Durchsuchung von 50% des Schlüsselraums (Ihr Passwort ist zu 50% enthalten) durch Rechentechnik aus dem Jahr 2018. Die Geschwindigkeit von Computern unterliegt dabei einem exponentiellen Wachstum (Verdopplung der Geschwindigkeit jedes Jahr bzw. jede zwei Jahre, je nach Quelle). Um mit der Zeit Schritt zu halten und Angriffen von sehr solventen Widersachern (Organisierte Kriminalität oder Regierungsorganisationen) zu widerstehen, sind für eine akzeptable Sicherheit sehr hohe (z.B. Jahrtausende) Bruteforce-Aufwände notwendig. Ein Passwort der Länge 128 Bit gilt im Jahr 2018 als sicher (Quelle: BSI). Sollte Ihr Passwort zudem in einem Hacker-Wörterbuch enthalten sein, ist der Angriff um ein Vielfaches schneller! Vermeiden Sie daher Passwörter mit sinnvollen Bestandteilen (Teilwörtern, Zahlenkombinationen, Wiederholungen, usw.).

Testen Sie Ihr Passwort im Internet

Im Internet gibt es einige Anbieter, die einen kostenlosen Passwort-Check anbieten. Dabei wird das eingegebene Passwort zur Überprüfung möglicherweise in das Internet gesendet. Prüfen Sie die Seriösität des Anbieters (z.B. https://, Impressum, ...), bevor Sie ein eigenes Passwort eintragen!

Seriöse Anbieter (ohne Gewähr):

• Passwort-Sicherheit-Check: Wie sicher ist mein Passwort?
• Passwortfuchs

Prüfen Sie, ob Ihr Passwort im Internet bekannt ist

Wenn Server im Internet kompromittiert werden, erbeuten Hacker dabei oft die gespeicherten Zugangsdaten. In manchen Fällen werden die erbeuteten Zugangsdaten später im Darknet veräußert oder öffentlich publiziert (Leak). Einige seriöse Anbieter sammeln die erbeuteten Zugangsdaten und bieten über eine Webseite eine Schnittstelle an, nach dem Auftreten der eigenen Zugangsdaten zu suchen.

Seriöse Anbieter (ohne Gewähr):

• Have I been pwned?

Linksammlung

LastPass Die Webseite des Passwort-Managers LastPass, automatischer Formularausfüller, zufälliger Passwortgenerator und sicherer digitale Wallet-App, die auch kostenlos genutzt werden kann.

1Password Dies ist die Webseite des Passwort-Managers 1Password, welcher auch kostenlos genutzt werden kann.

Passwort-Sicherheit-Check: Wie sicher ist mein Passwort? Checkdeinpasswort.de bietet die Überprüfung der Passwortqualität als Service an. Nach der Eingabe eines Passworts wird eine Einschätzung über dessen Sicherheit abgegeben.

Passwortfuchs Ähnlich wie Checkdeinpasswort.de beschäftigt sich Passwortfuchs.de mit der Sicherheit von Passwörtern.

Have I been pwned? Diese Webseite sammelt Informationen über von Hackern erbeutete Zugangsdaten. Hierzu zählen kompromittierte E-Mailaccounts und ganz allgemein offengelegte Passwörter.

Inhalte (Speicher)

Speichertechnologien

Je nach Anwendungsfall werden unterschiedliche Anforderungen an den Speicher gestellt. Im Desktop-PC muss dieser schnell sein, aber keine 50 Jahre halten, während für Langzeitsicherungen die Reaktionsgeschwindigkeit nicht so wichtig ist, wenn dieser dafür garantiert mehrere Jahre lesbar ist.

Speicher für den Anwender-PC

Gab es früher nur Festplatten als Speicher für den Computer, gibt es seit vielen Jahren auch SSDs als Alternative. Waren die SSDs lange sehr teuer, weswegen im Computer primär noch Festplatten eingesetzt wurden, gibt es inzwischen Markenprodukte mit sehr hoher Qualität und vielen Gigabyte (GB) Speicher für unter 100 EUR. Während im heimischen PC beispielsweise 500GB aufgrund der immer größer werdenden Programme und Datenaufkommen (z.B. Bilder, Videos) schnell an seine Grenzen kommen, reicht dieser Speicherplatz für einen Büro-PC mehr als aus. Dabei bietet eine SSD viele Vorteile gegenüber der klassischen Festplatte:

• Geschwindigkeit (Lesen/Schreiben): Während Festplatten bei ca. 200 MB/s liegen, können SSDs bis zu 2500 MB/s erreichen.
• Zugriffszeit: Während Festplatten bis zu 12 ms benötigen, um auf Daten zugreifen zu können, benötigen SSDs etwa 0,1 ms.
• Stromverbrauch: SSDs benötigen etwa 1/3 - 1/2 der Energie von herkömmlichen Festplatten.
• Startzeit: Während eine Festplatte mechanische Teile hat, welche erst einmal in Bewegung kommen müssen, ist eine SSD sofort einsatzbereit.
• Lautstärke: Da eine Festplatte mechanische Teile hat, produziert diese auch Geräusche während eine SSD lautlos ist.

Auch was die Haltbarkeit betrifft, schlagen sich SSDs sehr gut. Wie bei Fahrzeugen geben die Hersteller die Garantie in Jahren bzw. in einer Mindestmenge an Daten an, die geschrieben werden können, bevor ein Fehler auftreten kann. Diese Angaben variieren je nach Hersteller. Zum Beispiel umfasst Samsungs Garantie für die SSD 860 Evo 5 Jahre oder das 600-fache der Speichergröße. Für einen normalen PC ist dies verglichen mit der Nutzungsdauer mehr als ausreichend. Gerade durch die viel niedrigere Zugriffszeit sollte eine SSD für den Desktop-PC die erste Wahl sein, da das Starten des Computers und von Programmen dadurch nur einen Bruchteil der Zeit benötigt, die eine klassische Festplatte benötigen würde.

Speicher für den Laptop

Was für den Desktop-PC gilt, gilt auch für den Laptop. Ein weiterer Vorteil einer SSD ist hierbei, dass sie durch den Verzicht auf mechanische Teile resistent gegen Erschütterungen und Bewegungen jeglicher Art ist. Insbesondere bei einem Laptop, welcher im Betrieb bewegt werden darf, verringert sich dadurch die Gefahr von Datenverlusten. Eine geringere Wärmeenticklung und der vergleichsweise geringere Energieverbrauch spricht zusätzlich für den Einsatz einer SSD in Laptops.

Speicher für Datensicherung

Die Kriterien für die Auswahl eines Speichermediums zu Datensicherhungszwecken unterscheiden sich von den klassischen Auswahlkritierien für Speichermedien. An erster Stelle steht die Haltbarkeit des Speichermediums, die sich allerdings bei den verschiedenen Technologien erheblich unterscheiden kann. Informationen zum Speicher für Backups gibt es in der Rubrik Organisatorisches.

Festplattenverschlüsselung

Festplattenverschlüsselung wird genutzt, um sensible Daten vor unbefugten Zugriff zu schützen. Dabei kann gewählt werden, ob die ganze Festplatte, eine Partition oder nur ausgewählte Daten verschlüsselt werden sollen. Gerade beim Einsatz von Notebooks, auf denen sensible Daten gespeichert sind, bietet sich eine Festplattenverschlüsselung an, um im Falle eines Diebstahls oder bei Auslandsreisen das Risiko eines Datendiebstahls oder Missbrauchs zu minimieren. Im Ausnahmefall ist wichtig, dass das Gerät ausgeschaltet (d.h. nicht entsperrt) ist, um die verschlüsselten Daten sicher vor Fremdzugriffen zu halten.
Zu bedenken ist, dass ebenfalls Backups von sensiblen Daten verschlüsselt werden sollten, sofern diese nicht räumlich, z.B. in einem Safe, geschützt gelagert werden können.

Bei der Verschlüsselung gibt es zwei Arten: Softwareverschlüsselung und Hardwareverschlüsselung. Bei der Softwareverschlüsselung werden die Daten von dem Betriebssystem oder einem systemnahen Programm (z.B. VeraCrypt, TrueCrypt, EncFS, Bitlocker, ... siehe Verschlüsselung: Die besten Gratis-Datentresore) verschlüsselt. Da die Daten bei dem Schreiben ver- und bei dem Lesen entschlüsselt werden, führt dies zu geringen Leistungseinbußen des Computers. Seit etwa 2008 verfügen Prozessoren über die AES-Befehlszeilenerweiterung, welche durch viele der Verschlüsselungsprogramme genutzt wird und Leistungseinbußen kaum noch spürbar macht. Bei der Hardwareverschlüsselung gibt es eine zusätzliche Komponente, welche z.B. in der Festplatte verbaut ist, die fast in Echtzeit ver- und entschlüsselt.

Wichtig für die Sicherheit Ihrer Daten ist das verwendete Verfahren für die Verschlüsselung und Authentifizierung. Bei den Verfahren muss zwischen Aufwand zum Ver-/Entschlüsseln und Sicherheitseigenschaften abgewägt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierfür AES-XTS, da diese Chiffre gute Sicherheitseigenschaften neben einer hervorragenden Effizienz bietet.

Bei den Verschlüsselungsprogrammen gibt es mehrere Möglichkeiten der Authentifizierung (Identifizierungs des Besitzers), dies können Passwörter oder PINs, biometrische Merkmale wie Fingerabdruck oder auch Chipkarten oder Password-Token wie spezielle USB-Sticks sein.
Die beste Verschlüsselung bringt nichts, wenn das genutzte Passwort dafür neben der Tastatur klebt oder ein Standardpasswort verwendet wird. Wie stark ein Passwort ist, kann unter Passwort geprüft werden.

Frequently Asked Questions (FAQ)

F:	Ist eine Festplattenverschlüsselung für den Reise-Laptop sinnvoll?
A:	Ja, in der Tat. So können Firmengeheimnisse am besten geschützt werden, denn auf dem Schwarzmarkt werden z.T. gestohlene Laptops gehandelt und erzielen gute Preise aufgrund der potentiell enthaltenen Daten.
F:	Wie notwendig ist eine Festplattenverschlüsselung auf dem festen PC zuhause?
A:	Nicht unbedingt notwendig, außer Sie befürchten Industriespionage oder ähnliches. In diesem Fall sollten Sie Ihre Daten (auch die ausgedruckten) möglichst vollständig sichern.

---

Wurde Ihre Frage nicht beantwortet? Senden Sie uns Ihre Frage für die Rubrik Speicher:

none

Linksammlung

Verschlüsselung: Die besten Gratis-Datentresore Dieser Artikel beschäftigt sich mit dem Thema der Festplattenverschlüsselung. Im Artikel werden nach einer Einführung fünf unterschiedliche Software-Varianten vorgestellt.