Ähhhh, IT-Sicherheit? Ich will das nicht. Das ist alles so schwer und so kompliziert. Pffff… und ich habe keinen Bock. Sollen die doch meine Daten haben.
Und herzlichen Glückwunsch Sie sind das perfekte Opfer. 👌👍
Das heißt jetzt nicht, dass man komplett Paranoid durch die digitale Welt stampfen muss, aber vorsichtig sein, so wie an einer Straße, welche man Überqueren will. Die allgemeine Meinung ist ja, dass es sehr kompliziert ist und meistens hat man ja auch nichts zu verstecken. Ihr müsst euch allerdings folgende Analogie im Kopf behalten:
Euren Haustürschlüssel gebt ihr ja auch nicht jedem daher gelaufenen, außerdem schließt ihr die Tür ab. Und wenn möglich schließt ihr nicht mehr benötigte geöffnete Fenster. Ihr hängt ja kein Schild aus dem Fenster wo draufsteht: “Ich habe mir eine 5000 Karat Gold Uhr gekauft!” Und wenn jemand an der Tür klingelt, dann werdet ihr wahrscheinlich überprüfen, wer dort geklingelt hat und ob ihr der Person überhaupt die Tür öffnen wollt. Außerdem werdet ihr auch nicht jede Information mit jedem teilen.
Ihr seht was in der realen Welt gilt, muss auch auf die digitale Welt übertragen werden.
Weiterführende Artikel:
IT-Sicherheit im privaten Umfeld – Teil 2
IT-Sicherheit im privaten Umfeld – Teil 3
IT-Sicherheit – Begrifflichkeiten
Anmeldedaten
Das wichtigste Einfallstor sind die Anmeldedaten zu den digitalen Dienstleistungen dieser Welt. Man sollte sich als erste Regel immer bewusst machen:
Ich gebe meine Anmeldedaten keinen Dritten weiter, niemals.
Ein ordentlicher Administrator oder Support wird euch niemals nach den Anmeldedaten fragen. Wenn man an das Konto ran muss, gibt es mehre Möglichkeiten als Administrator ranzukommen, ohne sich einmal mit den Anmeldedaten des Benutzers anmelden zu müssen. Und falls es doch notwendig sein sollte, weil ein Fehler reproduziert werden muss, dann wird der Benutzer informiert, dass auf sein Benutzerkonto mit Zustimmung des Benutzers zugegriffen wird und im gleichen Moment wird der Administrator ein temporäres Passwort auf dem Account vergeben. Sobald der Admin fertig ist, sollte dem Benutzer ein neues Initialpasswort gegeben werden. Die meist schriftliche Zustimmung wird benötigt um dem Datenschutz gerecht zu werden und das Passwort wird geändert um der Datensicherheit gerecht zu werden.
Also erste Regel, sprecht mir nach: Es werden niemals Anmeldedaten an Dritte weitergegeben.
Passwort
BENUTZT SICHERE PASSWÖRTER!!!!
Multifa…… Nein, so kurz lass ich das nicht. 😁 Fakt ist aber, sichere Passwörter sind der Key. Euer Haus schließt ihr ja auch nicht mit einem Stock ab.
Wie bildet man nun sichere Passwörter?
Die beste Möglichkeit ist sich einen Satz auszudenken, welcher Zahlen enthält, im bestmöglichen Fall auf 8 Wörter zu kommen und dann die ersten Buchstaben zu verwenden. Der Satz “Ich habe gestern 15 Hamburger gegessen!” wird dann als Passwort wie folgt aussehen: “IHg15Hg!“
Und nein, ich benutze das Passwort nicht. 😜
Besser sind aber lange Passwörter, da die aufgewendete Rechenzeit für eine Brute-Force Attacke exponentiell steigt. Heißt mittlerweile wird von Sicherheitsfachleuten empfohlen mehrere Wörter aneinander zupacken. Beispielsweise “Graupel Bundestag Xylophon”.
Damit hat man ein langes Passwort, dass zwar theoretisch für jedes Wort einzeln relative schnell geknackt werden könnte, da nur eine Dudenabfrage durch die Brute-Force Attacke passieren muss. Dadurch, dass es aber drei Wörter sind, welche auch die Länge des Passworts vergrößern, wird die Attacke wieder viel Rechenzeit benötigen. Und es geht hier immer darum, die Zeit bis zum Einbruch zu maximieren.
Allerdings wird diese Variante häufig nicht zu 100% unterstützt, da viele Passwortaufforderungen zu Groß- und Kleinschreibung auch mindestens 8 Zeichen, Ziffern und Sonderzeichen voraussetzen. Im Zweifel hängt man aber einfach noch eine Ziffer an die drei Wörter. Das Leerzeichen sollte in den meisten Fällen als Sonderzeichen erkannt werden.
Und als großer Hinweis, verwendet Passwörter nur einmalig. Jeder Dienst, jeder Account bekommt ein anderes Passwort. Wenn eine Kombination von Anmeldename und Passwort geknackt ist und ihr das Passwort überall habt, werden Angreifer versuchen, wo sie noch mit diesen Anmeldedaten reinkommen.
Die zweite Regel ist also, benutzt sichere Passwörter und benutzt unterschiedliche Passwörter für unterschiedliche Accounts!
Multifaktor Authentifizierung
Multifaktor Authentifizierung gehört zum guten Ton heutzutage. Man kann in vielen Diensten vom Banking zu Google über Microsoft bis hin zu Valve (Steam) Multifaktor Authentifizierung einstellen. Damit ist eine zweite Authentifizierung über einen vom Nutzer angegeben Weg gemeint. Sollte ein Angreifer also doch das Passwort kennen, muss er jetzt noch den Weg kennen über den die Anmeldung akzeptiert wird und diese bestätigen. Dazu gibt es mehrere Möglichkeiten.
Zum einen über eigene Smartphone Anwendungen, wie es bei Steam ist. Das ist mit Abstand eine der sichersten Varianten, ist allerdings auch mit viel Konfiguration verbunden, wenn man das Smartphone tauschen möchte. Banken verwenden auch ihre eigenen TAN Anwendungen um Aufträge vom Benutzer bestätigen zu lassen.
Dann gibt es die selten verwendeten YubiKeys bzw. FIDO Authentifizierungen. Damit wird ein Hardwareschlüssel, also ein USB Stick, als zweite Authentifizierung benötigt.
Man kann das ganze auch über ein im System einzuspielendes Zertifikat erledigen. Beispielsweise wird diese Möglichkeit beim Finanzamt für die Elster Online Funktion verwendet. Ebenfalls kann eine Smartcard als zweite Authentifizierung Pflicht sein. Das kommt meistens in größeren Unternehmen zum Einsatz.
Es gibt TOTP (Time-based One-Time Password). Dazu muss man einen Token, ähnlich dem TAN System, allerdings automatisch an Hand der Zeit und einem Schlüssel generierte Zahlenfolge, als Bestätigung eingeben. Hier gibt es Beispielsweise den Google Authenticator, aber auch Keepass XC hat solch eine Funktion.
Und zu guter Letzt gibt es die Möglichkeit sich einen Code über E-Mail, SMS oder per Anruf zukommen zulassen.
Ja, dass sind alles Methoden, welche die Anmeldezeit erhöhen und man muss immer sein Smartphone oder das jeweilige Pendant griffbereit haben. Aber es kann die Sicherheit des Accounts ungemein erhöhen und man kann sich damit auch ein häufiges ändern der Passwörter vermeiden. Also statt alle vier Wochen oder drei Monate, nur noch alle ein bis zwei Jahre. Voraussetzung ist natürlich weiterhin auch ein sicheres Passwort zu haben.
Dritte Regel: Benutzt, wenn möglich, Multifaktor Authentifizierung.
Nicht überall Accounts erstellen
Das ist simpel – Muss ich wirklich für jeden Dienst einen eigenen Account erstellen?
Das ist ein Drahtseilakt. Wenn ich den Service nur einmal verwende und es die Möglichkeit gibt, diesen Dienst als Gast zu verwenden, dann verwendet diesen Dienst auch als Gast. Gibt es die Möglichkeit andere Anmeldedaten von Google oder Amazon zu verwenden? Wenn ja, möchte ich dieser Webseite wirklich Zugriff auf die entsprechenden Accounts per API erlauben? Vertraue ich der Webseite.
Ganz klar, je weniger Accounts ihr habt, umso weniger Anmeldedaten muss man sich merken, allerdings sollte man sich auch bewusst sein, dass die Webseite auf die Kontodaten von einem anderen Dienst zugreift, wenn man sich stattdessen bspw. mit Google, Amazon oder Facebook Account anmeldet.
Password Safe
Ich werde hier nicht weiter darauf eingehen, aber benutzt einen Password Safe. Ich persönlich benutze Keypass, weil ich was dagegen habe meine Passwörter auf einem Server zu lagern, der außerhalb meiner Reichweite ist. Aber die meisten Passwortspeicher sind besser als gar kein Speicher und vor allem besser als es auf einen Stück Papier zu schreiben. Password Safes sind verschlüsselt und können euch auch automatisch sichere Passwörter generieren.
Seht nur zu, dass ihr euch das Masterpasswort merkt, es ist das einzige Passwort, was ihr euch merken müsst. Okay, zwei – für die Anmeldung am PC auch. Kann man sich daran nicht mehr erinnern, ist der gesamte Passwortspeicher verloren. Falls ihr eine “Versicherung” haben wollt, kann das Masterpasswort ausgedruckt werden. Es muss sicher abgeschlossen, fern vom Zugriff anderer und nur für den Notfall ausgedruckt werden. Keine dritte Person außer ihr selber darf da ran kommen.
Aber wie gesagt, es ist das einzige Passwort, dass ihr euch merken müsst, das bekommt man hin. Ich merk mir als Admin auch mehr als 20-30 Passwörter. Da schafft ihr es, euch eins zu merken – oder halt zwei.
Vierte Regel lautet: Es werden keine Passwörter aufgeschrieben und wenn, dann wird ein Password Safe verwendet.
Fazit
Wichtig ist ein sicheres Passwort zu verwenden. Umso schwieriger wird es für einen Angreifer das Passwort zu erraten. Der Angreifer muss so viel Zeit benötigen, dass er keinen Bock mehr hat, weiter Zeit in eine Brute-Force Attacke zu stecken.
Als Übersicht nochmal alle Regeln:
- Niemals Anmeldedaten an andere Personen geben. Eure Anmeldedaten dürft nur ihr wissen!
- Sichere und unterschiedliche Passwörter benutzen.
- Wenn möglich Multifaktor Authentifizierung benutzen.
- Keine Passwörter aufschreiben. Und wenn dann ein Password Safe mit sicherem Masterpasswort verwenden.
Wenn ihr die Regeln einhaltet, seit ihr bereits einen weiten Schritt vorwärts in Richtung sicherer Nutzung von IT-Systemen. Die Regeln sind natürlich zu 100% auch auf Unternehmenskonten übertragbar.
Pingback: IT-Sicherheit im privaten Umfeld - Teil 2 | LierschIT
Pingback: IT-Sicherheit im privaten Umfeld - Teil 3 | LierschIT
Pingback: IT-Sicherheit - Begrifflichkeiten | LierschIT
Pingback: KeepassXC - Der Safe für deine Passwörter | LierschIT