Einfache Maßnahmen und Verhaltensregeln
Nicht immer erfordert ein zufriedenstellendes Sicherheitsniveau aufwändige, technische Maßnahmen und Verhaltensregeln. Dieser Artikel beschreibt ausgewählte Lösungsvorschläge, damit Sie rasch und unkompliziert ein gutes Sicherheitsniveau erreichen können.
Heutzutage ist das weltumspannende Internet allgegenwärtig und die Nutzung ist aus dem Alltag nicht mehr wegzudenken. Menschen verbringen immer mehr Zeit im Internet mit Computer oder Smartphone. Auch eigenständige Geräte, wie zum Beispiel IoT-Geräte, sind mit dem Internet verbunden. Der Wandel zu erhöhter Online-Zeit erhöht die Gefahr, das Opfer eines digitalen ungebeten Missetäters zu werden. Überdies lockt die hohe Zahl der Internetteilnehmer leider auch Kriminelle an, die versuchen Schaden anzurichten.
Bereits mit wenigen Vorbereitungen ist die Angriffsfläche für solche Gefahren sehr stark reduzierbar. Ein guter Ansatz, um ein zufriedenstellendes Sicherheitsniveau einzurichten, ist der Aufbau in einzelnen Stufen bzw. Schichten. Mit geringem Aufwand ist jedoch ein guter Schutz realisierbar.
Drei relevante Schritte für ein Mindestniveau an IT-Sicherheit
Eine Strategie zum Aufbau eines zufriedenstellenden Sicherheitsniveaus für Anwenderinnen und Anwender lässt sich in drei ausgewählten Schritten wie folgt kurz zusammenfassen:
- Geeignete Vorsorge treffen und Daten schützen
- Überlegt handeln und kritisch hinterfragen
- Im Ernstfall vorbereiteten Notfallplan ausführen und Daten wiederherstellen
Konkrete Maßnahmen zu diesen Schritten sind:
Vorsorge Treffen
Systeme und Programme aktuell halten
Sicherheitslücken in Systemen und Programmen tauchen ständig auf und sind üblicherweise nur sehr eingeschränkt vollständig zu verhindern. Um den Zeitraum zwischen Bekanntwerden und Schließen einer solchen Schwachstelle in einer Applikation oder einem Betriebssystem möglichst gering zu halten, sind regelmäßige Updates aus zuverlässigen Quellen besonders empfehlenswert. Einfach und schnell gelingt dies, wenn die automatische Updatefunktion des jeweiligen Produktes bzw. Programms aktiviert ist. Produkte ohne automatische Aktualisierungsfunktion sollten entweder regelmäßig manuell aktualisiert werden oder nicht mehr bzw. nur für spezielle und entsprechend geprüfte Einsatzzwecke verwenden.
Sichere Passwörter wählen und diese nicht wiederverwenden
Ein großes Angriffspotenzial bieten schwer überschaubare Mengen an Benutzerkonten bei unterschiedlichen Online-Dienstleistern (z.B.: eCommerce-Shop, Social-Media-Plattform etc.) bzw. für die eigenen IT-Geräte (z.B.: Notebook, Smartphone). Für sehr viele Aktivitäten im Internet ist ein eigenes Benutzerkonto erforderlich. Jeder Webshop, jedes Forum und jede sonstige Plattform benötigen Benutzernamen, um sie zu identifizieren und ein für die Authentifizierung zugeordnetes Passwort, um unberechtigte Verwendung zu unterbinden. Darüber hinaus ermöglichen manche Plattformen 2-Faktor-Authentifizierung mittels voneinander unabhängiger Authentifizierungsfaktoren (z.B. 2 aus 3: Besitz, Biometrie/Inhärenz, Wissen). Weitere Details zur 2-Faktor-Authentifizierung sind im nächsten Abschnitt zu finden. Ein ausgewähltes Passwort für die Zugangsdaten sollte in geeigneter Form sicher sein und eine dementsprechende Mindestlänge aufweisen sowie möglichst gewählt zufällig sein. Eine wichtige Empfehlung in diesem Zusammenhang ist, diese Passwörter nicht mehrfach zu verwenden. Diese Empfehlung begründet sich vor dem Hintergrund, dass immer wieder Angriffe auf diverse Plattformen erfolgreich sind und manchmal die gespeicherten Benutzerdaten den Weg zu Kriminellen finden. Wird ein Passwort nur einmalig eingesetzt, beschränkt sich das damit verbundene Risiko auf die betroffene Plattform.
- Zum Artikel über Passwort-Auswahl auf onlinesicherheit.gv.at
- Zum Artikel über Passwort-Manager auf onlinesicherheit.gv.at
- Zum Artikel über Passwortsicherheit auf onlinesicherheit.gv.at
2-Faktor-Authetifizierung nutzen
Um ein Benutzerkonto vor unberechtigter Verwendung zu schützen, ist dieses, wie zuvor beschrieben, mit den Zugangsdaten (dabei handelt es sich vorwiegend um Benutzername und Passwort) geschützt. Benutzernamen können einerseits zufällig gewählt sein und andererseits beispielsweise die eigene E-Mail-Adresse enthalten. Um die Grundsicherung mit Benutzernamen und Passwort zu verbessern, wurde die 2-Faktor-Authentifizierung entwickelt. Diese verwendet einen sogenannten zusätzlichen Faktor für den Schutz des Benutzerkontos. Bei dieser Methode bestätigt der Benutzer über einen zusätzlichen, getrennten bzw. unabhängigen Kanal seine Absicht, sein Konto zu verwenden. Da 2-Faktor-Authentifizierung die Sicherheit verbessert ist es sehr empfehlenswert, möglichst diese zusätzliche Absicherung des Benutzerkontos zu verwenden.
- Zum Artikel über 2-Faktorauthentifizierung auf onlinesicherheit.gv.at
- Zum Artikel über Kontomanagement auf onlinesicherheit.gv.at
WLAN absichern
Betreiben sie ein eigenes WLAN, dann sollte dies umgehend nach Inbetriebnahme in geeigneter Form abgesichert werden. Leider werden auch private WLAN-Netzwerke von unautorisierten Personen angegriffen. Guter Schutz vor Angreifern ist leichter als oftmals gedacht. Viele WLAN-Router enthalten eine Reihe von Schutzvorkehrungen für die Verbesserung der Sicherheit. Der Schutz des WLANs umfasst generell zwei wesentliche Eckpunkte. Einerseits betrifft dies Zugangsbeschränkungen zum WLAN sowie zur Administrationsoberfläche und andererseits die gesicherte bzw. verschlüsselte Datenübertragung. Die Absicherung eines WLAN ist recht einfach durchführbar und ist in mehreren Stufen einfach umsetzbar.
- Zum Schwerpunkt WLAN-Sicherheit auf onlinesicherheit.gv.at
- Zum Artikel Sicherheit der Fritz!Box auf onlinesicherheit.gv.at
Anti-Virus aktivieren
Ein Anti-Virus-Programm aktiviert einen dauerhaften "Wächter". Dieser Wächter prüft und meldet verdächtige Programme oder Prozesse und unterbindet deren Ausführung. Somit zählt es zu jenen Programmen, die auf einem Computer oder einem mobilen Gerät unbedingt vorhanden sein sollten. Allerdings ist eine laufende Aktualisierung solcher Programme besonders wichtig, da diese überwiegend nach dem „Blacklist-Verfahren“ agieren. Das bedeutet, nur dem Anti-Virus bekannte Schadprogramme sind identifizierbar und können gemeldet bzw. blockiert werden.
Überlegt handeln
Auf den Hausverstand setzen
Für einen Großteil der Angriffe ist es nötig auf Ihrem Computer oder dem Smartphone Schadcode auszuführen. Dazu muss dieser auf den Computer gelangen und dort auch zur Ausführung gebracht werden. Kriminelle versuchen mit allen möglichen und denkbaren Mitteln Ihnen solchen Schadcode unterzujubeln. Oft wird zu diesem Zweck entweder eine Drucksituation oder eine trügerische Vertrauenssituation aufgebaut. Dies ist auch bei Phishing-Angriffen zu beobachten. Die Empfehlung lautet daher: Wird auf Sie aktiv zugegangen, diverse Dateien aus dem Internet zu laden und derartige Dateien zu starten, oder auf diverse Verlinkungen (z.B.: in E-Mails) zu klicken, folgen Sie dieser Aufforderung nicht! Erhalten Sie ein E-Mail, in der eine Institution, beispielsweise eine Bank oder ein Kreditkartenunternehmen, ein Versäumnis einklagen will, dann folgen Sie keinen mitgesendeten Verlinkungen, sondern navigieren Sie selbst zur offiziellen Webpräsenz vom angesprochenen Institut oder Unternehmen. Darüber hinaus sollten Sie solche Angelegenheiten nicht per Email klären sondern beim – vermeintlich – betroffenen Unternehmen oder der Institution telefonisch anfragen.
Im Ernstfall vorbereiteten Notfallplan ausführen
Sollte trotz aller Vorbereitungsmaßnahmen der Ernstfall eintreten und eines Ihrer Benutzerkonten kompromittiert oder Daten auf ihrem PC vernichtet bzw. unbrauchbar gemacht worden sein, gilt es, zwar schnell aber vordergründig überlegt zu handeln. Dies ist jedoch in der ersten aufkommenden Unsicherheit meist nicht so einfach möglich, wenn nicht zuvor ein geeigneter Plan für genau solche Fälle bereitliegt und eine geeignete Vorsorge getroffen wurde.
Ein Verzeichnis für Benutzerkonten erstellen und aktuell halten
Alle vorhandenen Zugangsdaten auf einen Blick zu sehen ist sehr hilfreich. Zu diesem Zweck ist es aber nicht notwendig, die vollständigen Daten aufzulisten. Das bedeutet beispielsweise trotzdem das Passwort nicht im Klartext zu notieren. Somit hat man im Ernstfall schnell einen Überblick, welche Konten für Online-Zugänge existieren und möglicherweise auch mitbetroffen sind. Auch helfen derartige Listen nicht mehr benötigte Benutzerkonten zu sichten und diese im Bedarfsfall zeitgerecht zu löschen. Dies hat auch den Effekt, dass gelöschte Konten gewöhnlich nicht mehr missbraucht werden können, sofern der Betreiber die Daten rechtzeitig löscht.
Regelmäßiges Sichern wichtiger Daten
Datenverlust passiert häufig und richtet großen Schaden an. Auch Kriminelle zerstören bzw. verschlüsseln beispielsweise mittels Schadsoftware (sogenannter Ransomware) Daten und fordern für die Freigabe Lösegeld. Falls Ihre Daten in möglichst aktueller Form auf einem getrennten, nicht zugänglichen Datenspeicher abgesichert sind, geht die Energie der Kriminellen ins Leere.
- Zum Artikel über Datensicherung & Wiederherstellung auf onlinesicherheit.gv.at
- Zum Artikel für Programme zur Datensicherung auf onlinesicherheit.gv.at
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria