IT Security Guide (DE)

IT Security Guide

Wir haben hier einen kleinen, kompakten Guide erstellt, der eine Sensibilisierung im Thema der IT-Sicherheit herstellen soll und eine Orientierung mit konkreten Maßnahmen vorgibt. Auch wenn die hier angeführten Maßnahmen nicht sehr komfortabel erscheinen und zusätzliche Schritte im Alltag erfordern, ist die digitale Sicherheit heutzutage um so wichtiger.

Alle hier empfohlenen Apps sind open source & kostenlos und wurden von mir genutzt oder mindestens evaluiert.

Datensicherheit

1. Welche sensiblen Daten sind wo gespeichert? (Sensible Daten sind beispielsweise Dokumente, Fotos, Kontaktdaten) Prüfe auch, ob sensible Daten auf Fotos in deiner synchronisierten Fotobibliothek vorhanden sind. (Fotos von Ausweis/Führerschein)

2. Vermeide, sensible Daten auf Cloud-Speichern zu hinterlegen (Dropbox, Google Drive, iCloud)

3. Achtung: Wenn du sensible Daten gelöscht hast, entferne diese auch aus dem Papierkorb

4. Beschränke auch den physischen Zugriff zu Daten. (Passwörter und PINs bei Smartphones, Laptops, Desktop-Rechnern. Festplatten mit Passwörtern sichern)

5. Stelle sicher und teste, dass du deine Geräte jederzeit entfernt orten und sperren kannst.

Backups

• Stelle sicher, dass du jederzeit den Verlust deiner Daten - beispielsweise durch Schadsoftware - auf Rechner und Smartphone verkraften kannst. (Desaster Recovery)

• Dafür sind regelmäßige Backups von wichtigen Daten erforderlich

• Stelle sicher, dass die Speichermedien für das Backup nicht dauerhaft mit dem Computer und/oder Netzwerk verbunden sind.

Allgemeine Hinweise

• Versuche, so wenig Daten wie möglich anfallen zu lassen. Daten, die nicht anfallen, können auch nicht abhanden kommen.

• Dein persönliches Sicherheitskonzept nur so sicher wie das schwächste Glied in der Kette.

Accountsicherheit

Passwörter

Mit einem Passwort-Manager bewegt man sich nicht nur sicherer sondern auch schneller und effizienter durchs Internet.

• Der eingebaute Passwortmanagers des Browsers (Chrome/Firefox) sollte auf alle Fälle vermieden werden.

• Jeder Dienst/Website/App sollte ein eindeutiges, langes Passwort haben. (mindestens 16 Stellen)

• Mit dem Master-Passwort sicherst du den Zugriff zu deinem Passwort-Manager.

  • An das Master-Passwort solltest du dich leichter erinnern können. Es muss dennoch lang und komplex genug sein. (z.B. ein ausgedachter Satz)

  • Das Master-Passwort sollte niemals aus persönlichen Informationen bestehen (Geburtsdatum, Wohnort, Automarke o.ä.)

  • Das Master-Passwort sollte niemals irgendwo digital abgelegt werden.

• Stelle sicher, dass du jederzeit von überall Zugriff auf den Passwort-Manager hast. Die meisten Passwort-Manager verfügen über eine Cloud-Synchonisierung. Diese ist idR sicher und wird dringend empfohlen.

• Wenn möglich, aktiviere die 2-Faktor Anmeldung auch für deinen Passwort Manager (mehr dazu im folgenden Absatz)

Passwort-Manager Empfehlungen:

• Bitwarden https://bitwarden.com (Alle Plattformen, iOS, Android, Desktop, Browser Add-On, uvm. inkl. Synchronisation)

2-Faktor Anmeldung

Es sollte für alle Accounts die 2-Faktor Anmeldung aktiviert sein. Dabei muss bei jedem neuen Login für einen geschützten Dienst ein automatisch generierter Code von einem anderen Gerät (“der 2. Faktor”) eingegeben werden.

• Aktiviere die 2-Faktor Anmeldung für alle Accounts, bei denen es möglich ist.

• Nachdem du die 2-Faktor Anmeldung bei einem Dienst aktiviert hast, werden oft Backup-Codes generiert. Diese sicher speichern.

• Die 2-Faktor Anmeldung über SMS sollte vermieden werden - ist aber besser als garnichts.

• Erstelle regelmäßig ein Backup der 2-Faktor Authenticator App.

⚠️ Mit dem Verlust der 2-Faktor Authenticator App geht auch der Zugang zum Konto selbst verloren.

2-Faktor Authenticator App Empfehlungen:

• iOS: Ravio Authenticator https://apps.apple.com/de/app/raivo-authenticator/id1459042137

• iOS: 2FAS https://apps.apple.com/us/app/2fa-authenticator-2fas/id1217793794

• Android: Aegis Authenticator https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis

• Android: 2FAS https://play.google.com/store/apps/details?id=com.twofasapp

Der Google Authenticator sollte auf keinen Fall genutzt werden! *

Wichtige zu sichernde Dienste:

• Cloud-Speicher (Dropbox)

• Social-Media (Twitter, Instagram, TikTok, Discord, Twitch)

• Finanz-Apps (PayPal, Banking, Investment)

• Google https://myaccount.google.com/signinoptions/two-step-verification

• Apple https://appleid.apple.com/account/manage

• Microsoft https://account.microsoft.com/security

Zugriffe

• Welche Personen haben noch Zugriff auf deine Accounts?

  • Ist dieser Zugriff zwingend notwendig?

  • Ist der Zugriff von weiteren Personen mit 2-Faktor Anmeldung geschützt?

• Aktiviere Benachrichtigungen über neue Logins (standardmäßig oft aktiv)

• Haben andere Dienste Zugriff auf meine Accounts?

Auf vielen Diensten kann man sich über seine bestehenden Accounts anmelden (z.B. “Login mit Google”).
Diese Dienste haben damit bestimmte Zugriffsrechte auf deinen Accounts. (z.B. im eigenen Namen Tweets verfassen, auf Kontakte zugreifen etc.)
Prüfe, welche Anwendung Zugriff auf wichtige Accounts haben und entferne diese, wenn sie nicht zwingend notwendig sind. (Diese Liste ist selbstverständlich nicht vollständig)

• Google https://myaccount.google.com/permissions

• Apple https://appleid.apple.com/account/manage/section/security

• Twitter https://twitter.com/settings/connected_apps

Instagram, TikTok, Discord …

• Welche Smartphone Apps haben welche Berechtigungen? Entferne nicht notwendige Berechtigungen.

• Sind alte Geräte in deinem Google/Apple Account registriert? Diese bei Bedarf entfernen.

  • Google: https://myaccount.google.com/security

  • Apple: https://appleid.apple.com/account/manage/section/devices

Gerätesicherheit

• Windows: Prüfe, ob der Windows Defender aktiviert ist. Antivirus/Antimalwaresoftware von anderen Herstellern ist nicht zwingend notwendig und kann sogar ein Risiko sein.

• Prüfe welche Anwendungen auf dem Gerät installiert sind und/oder im Hintergrund laufen. Bei unbekannten Diensten den Namen googlen und/oder Experten konsultieren.

Phishing

• Sei vorsichtig, wenn du auf Links aus externen Quellen klickst

• Stimmt die Internetadresse genau überein?

• Wirst du per E-Mail aufgefordert, eine Aktion in deinem Konto vorzunehmen (bsp. PayPal möchte dass du dein Passwort aktualisierst), besuche die Internetseite selbst im Browser anstatt auf den Link zu klicken.

• Ad-Blocker haben oft eingebaute Phishing & Malware Filter Empfehlung: uBlock Origin https://ublockorigin.com/

• Dein Passwort-Manager (als Browser Add-On) wird dir ein Passwort nicht vorschlagen, wenn die Adresse nicht exakt übereinstimmt. Der Passwort-Manager wird dich beispielsweise niemals bei einer betrügerischen Seite services-paypal.scam mit deinen paypal.com Zugangsdaten anmelden lassen.

Roman Zipp, [email protected], Version 03-2024

Footnotes

* Bei Verlust des Zugriff auf das Google Konto wird auch der Google Authenticator gesperrt.