Digitale Sicherheit E-Book

Georg Stadler

DIGITALE SICHERHEIT

Georg Stadler

DIGITALE SICHERHEIT

Die praktische Toolbox zum Schutz von E-Mails, Smartphone, PC & Co.

Für Fragen und Anregungen:

[email protected]

2. Auflage 2020

© 2019 by Finanzbuch Verlag, ein Imprint der Münchner Verlagsgruppe GmbH

Nymphenburger Straße 86

D-80636 München

Tel.: 089 651285-0

Fax: 089 652096

Alle Rechte, insbesondere das Recht der Vervielfältigung und Verbreitung sowie der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (durch Fotokopie, Mikrofilm oder ein anderes Verfahren) ohne schriftliche Genehmigung des Verlages reproduziert oder unter Verwendung elektronischer Systeme gespeichert, verarbeitet, vervielfältigt oder verbreitet werden.

Die im Buch veröffentlichten Ratschläge wurden von Verfasser und Verlag sorgfältig erarbeitet und geprüft. Eine Garantie kann jedoch nicht übernommen werden. Ebenso ist die Haftung des Verfassers beziehungsweise des Verlages und seiner Beauftragten für Personen-, Sach- und Vermögensschäden ausgeschlossen.

Redaktion: Daniel Wiechmann, Tanja Ruzicska

Korrektorat: Manuela Kahle

Umschlaggestaltung: Marc-Torben Fischer

Umschlagfoto: Shutterstock, Liu zishan

Satz: Carsten Klein, Torgau; Andreas Linnemann, München

Druck: CPI books GmbH, Leck

eBook: ePubMATIC.com

ISBN Print: 978-3-95972-334-3

ISBN E-Book (PDF) 978-3-96092-614-6

ISBN E-Book (EPUB, Mobi) 978-3-96092-615-3

Inhalt

Vorwort »Die größte existierende Sicherheitslücke ist unsere Bequemlichkeit.«

So funktioniert der Klau von Daten

1. E-Mail-Sicherheit

2.Passwort-Sicherheit

3.Smartphone-Sicherheit

4.Internet-Sicherheit

Bedrohungsszenarien: Warum Sicherheit niemandem egal sein sollte

5.Computer-Sicherheit

6.Daten sicherheit

7. Sichere Kommunikation

8. Alexa, Kameras und andere Wanzen

9. Wie Sie im Fall einer Trennung Daten richtig schützen

10. Wie Sie Ihren digitalen Nachlass regeln

11. Das Smartphone als Brieftasche

12. Was tun, wenn das Kind in den Brunnen gefallen ist?

13. Sagen Sie es weiter! Wie halten es Ihre Familie und Freunde mit der digitalen Sicherheit?

Doxing, Hacking, Phishing: Das kleine Hacker-ABC

Ihre Sicherheits-Checkliste

VORWORT

»Die größte existierende Sicherheitslücke ist unsere Bequemlichkeit.«

Liebe Leserinnen und Leser,

der Beginn des Jahres 2019 wurde überschattet von einem großen Daten-Leak, das in Deutschland tagelang für Aufregung sorgte. Sensible Daten und Dokumente von Politikern und Prominenten waren plötzlich für jeden im Netz verfügbar. Und sind es, etwas Recherchewillen vorausgesetzt, noch immer. Zu den veröffentlichten Daten gehörten die Mobilnummern von Politikern wie Martin Schulz, zahlreiche Privatadressen, persönliche Chats, interne Parteidokumente, aber auch Kreditkartendaten, Impfpässe sowie Einzugsermächtigungen für Lastschriftverfahren.

Ging man anfangs im Zusammenhang mit dem Leak noch von einem gezielten Hackerangriff aus, stellte sich schnell heraus, dass die Daten nicht etwa von einem mit allen Wassern gewaschenen Cyberkriminellen oder gar von einem ausländischen Geheimdienst mit unheimlichem Know-how und Spezialwissen beschafft worden waren. Nein, beim mutmaßlichen Täter handelt es sich wohl um einen 20-jährigen Schüler, der mit viel Fleiß und Akribie die wohl größte Sicherheitslücke ausgenutzt hat, die in jedem erdenklichen Fachbereich weltweit existiert: die Bequemlichkeit von uns Menschen.

Der Angreifer hatte sich den Zugang zu Rechnern, Servern, Mail-Postfächern und persönlichen Social-Media-Profilen vor allem durch schlecht gesicherte Passwörter besorgt. Mit Sicherheit wäre die Datensammlung des Täters etwas weniger umfangreich ausgefallen, wenn seine Opfer ein paar einfache Grundregeln beim Schutz ihrer Daten und Nachrichten beachtet hätten. Doch genau das haben sie nicht getan!

Wenig später zeigte die Veröffentlichung der sogenannten »Collections 1–5« – eine Sammlung von mehr als 2 Milliarden (!) Mail-Adressen, dazugehörigen Passwörtern und weiteren Daten –, dass auch Millionen Bürger privat Opfer von Internet-Hacks sind. Auch sie dürften sich zu wenig abgesichert oder sich fahrlässig im Netz bewegt haben.

Dabei gibt es eine ganze Reihe einfacher Regeln und Kniffe, die jeder auf seinem Smartphone und auf seinem PC schnell und unkompliziert umsetzen kann, um die Grundsicherheit seiner Daten deutlich zu erhöhen. Um diese Maßnahmen geht es in diesem kleinen Leitfaden. Sie können sogar gleich während des Lesens damit beginnen, die meisten der von mir vorgeschlagenen Sicherheitsmaßnahmen umzusetzen. Sie werden sehen, so schwer ist es nicht.

Unter www.hackerimpfung.de finden Sie weiterführende Informationen und Anleitungen rund um das Thema Datensicherheit.

Viel Erfolg!

München, Januar 2019

Georg Stadler

So funktioniert der Klau von Daten

Nicht nur Bequemlichkeit führt dazu, dass viele von uns ihre Daten nur mangelhaft schützen. Es gibt noch zwei weitere Faktoren: Unwissenheit und Resignation.

Das Thema Datensicherheit ist für sich genommen extrem unsexy. Es erscheint vielen als zu kompliziert und schwer zu verstehen. Also machen sie sich gar nicht erst die Mühe, sich damit zu beschäftigen. Die Folge sind ganz konkrete Wissenslücken in Sachen Sicherheit, dank derer Angreifer ein leichtes Spiel haben.

Außerdem glauben viele, Datenschutz sei ohnehin zwecklos, weil in diesem Bereich eine hundertprozentige Sicherheit nicht möglich sei: Wer immer es wolle, könne auf alle erhobenen Daten zugreifen. Aussichtslos, sich dagegen zu wehren.

Ein solches Denken ist gefährlich. Ja, Daten sind immer hackbar. So wie in jedes Haus eingebrochen werden kann. Doch es macht einen großen Unterschied, ob die Tür des Hauses offen steht oder abgeschlossen ist, ob das Haus eine Alarmanlage hat und ob der wertvolle Schmuck in einem Safe und nicht nur lose in einer Schublade liegt.

Ich bin sicher, dass jeder von Ihnen, bevor Sie aus dem Haus gehen, zumindest die Tür ins Schloss fallen lässt, wenn nicht sogar abschließt. Obwohl Sie wissen, dass ein Einbrecher diese Sicherheitsvorkehrung locker mit einem Stemmeisen bezwingen kann. Doch die geschlossene Tür macht es einem potentiellen Dieb ein bisschen schwerer. Vielleicht sogar so schwer, dass er sich lieber eine leichtere Beute, wie zum Beispiel ein Haus mit einem geöffneten Fenster, sucht.

Jede Sicherheitsmaßnahme, die Sie an Ihrem Smartphone oder an Ihrem PC aktiv umsetzen, erschwert es einem Dieb, an Ihre Daten zu gelangen. Doch wie gehen diese Diebe eigentlich vor?

In der Regel nutzen Datendiebe Schwachstellen in der IT von Telekommunikations-, Software- oder Handelsund Finanzunternehmen aus, um sensible Kundendaten auszuspähen. Diese Daten werden dann entweder an Dritte verkauft oder aber – zum Beispiel im Fall von Kreditkartendaten – von den Dieben selbst missbraucht. Betroffen von solchen Attacken waren bereits namhafte Unternehmen wie Vodafone, Twitter, Adobe oder internationale Banken in der Schweiz, Chile oder den USA.

Damit Sie ein Gefühl dafür bekommen, dass diese Angriffe Sie persönlich betreffen, bitte ich Sie, jetzt sofort jede Ihrer aktuell genutzten Mail-Adressen auf den folgenden Webseiten checken zu lassen:

https://haveibeenpwned.com

Die deutsche Alternative des Hasso-Plattner-Instituts:

https://sec.hpi.de/ilc

Diese Webseiten zeigen an, ob Ihre Mail-Adresse in der Vergangenheit Teil eines entdeckten Hacks war. In der Regel ist es nicht Ihr Mail-Account, der gehackt wurde, sondern ein wenig abgesicherter Online-Account, bei dem Sie Ihre Mail-Adresse eingerichtet haben. Gehören Sie zu den Menschen, die für sämtliche Accounts ein und dasselbe Passwort verwenden, sollten Sie sofort das Passwort für diesen Mail-Account ändern. Tun Sie dies nicht, besteht die Gefahr, dass Hacker einen vollständigen Zugriff auf Ihren E-Mail-Account haben. Selbst, wenn Sie glauben, dass Ihre privaten Mail-Nachrichten keine wertvollen Informationen beinhalten, weil sie nur privater Natur sind, kann Sie der Datenklau teuer zu stehen kommen.

Ihr Mail-Account dient ja nicht nur als Messenger, sondern sehr wahrscheinlich auch als Zugang zu weiteren Accounts wie Zahlungsdienstleistern und Online-Shops. Nutzen Sie auch dort dasselbe Passwort – wie es aus Bequemlichkeit oft der Fall ist –, können sich die Datendiebe dort ohne Problem einloggen. Sind in diesem Online-Shop zusätzlich auch noch Ihre Kreditkarten-Daten oder andere Zahlungsmöglichkeiten automatisch hinterlegt – so eine One-Click-Bestellung ist ja schon sehr praktisch! –, haben die Hacker gefunden, worauf sie von Anfang an aus waren. Richtig, Ihre privaten Gespräche mit Freunden und Familie sind in der Regel für Hacker nicht sehr interessant. Ihre Konto- und Kreditkarten-Nummer dagegen schon.

In welchen Online-Shops sie suchen müssen, erfahren die Hacker übrigens durch Newsletter oder Bestellbestätigungen in Ihrem Postfach. Ich bin mir sicher, dass die wenigsten den Newsletter eines Online-Shops als sensibles Datenmaterial ansehen. Missachtet ein Online-Shopper jedoch einfachste Sicherheitsmaßnahmen und verwendet zum Beispiel immer wieder ein und dasselbe Passwort gepaart mit derselben Mail-Adresse, werden selbst alltägliche Newsletter zur Gefahr.

Ich bitte Sie daher nochmal: Checken Sie all Ihre genutzten Mail-Adressen unter https://haveibeenpwned.com oder https://sec.hpi.de/ilc und ändern Sie im Falle eines Hacks umgehend Ihr Passwort, sowohl in Ihrem Mail-Account, als auch überall dort, wo Sie möglicherweise Kontoinformationen hinterlegt haben.

1.

E-MAIL-SICHERHEIT

Wie zuvor beschrieben, ist Ihr Mail-Account der Schlüssel zu fast allen Internet-Accounts. Sichern Sie ihn richtig ab. Ändern Sie JETZT das Passwort für Ihren Mail-Account und verwenden Sie ein neues sicheres Passwort. Welche Eigenschaften ein sicheres Passwort hat, wie Sie mit Sicherheitsfragen umgehen sollten und welche Möglichkeiten es gibt, Ihre Passwörter professionell zu verwalten, erfahren Sie im Kapitel 2: Passwort-Sicherheit. Doch es gibt neben einem starken und möglichst langen Passwort noch andere Sicherheitsmaßnahmen, mit denen Sie Ihren Mail-Account schützen können.

Step 1: Verwenden Sie einen Mail-Account mit einer Zwei-Faktor-Authentifizierung.

Eine Zwei-Faktor-Authentifizierung stellt sicher, dass der erstmalige Zugriff auf Ihren Mail-Account nicht nur mittels Passwort möglich ist, sondern zusätzlich über eine zweite Maßnahme der Authentifizierung erfolgt. Diese Identifizierung kann beispielsweise über SMS, eine App oder spezielle kleine Geräte, auch »Token« genannt, erfolgen. Sollten Sie das Online-Banking Ihrer Bank nutzen, ist Ihnen das Prinzip bestimmt schon vertraut. Um eine Überweisung zu tätigen, müssen Sie sich nicht nur mit Ihrem Passwort auf der Webseite der Bank anmelden, sondern die Überweisung zusätzlich mit einer TAN-Nummer oder mit einer App freigeben. Besonders sicher wird dieses Verfahren dann, wenn die zwei Authentifizierungsmöglichkeiten (Passwort + TAN) an zwei verschiedenen Orten gespeichert und aufbewahrt werden. Sie sollten daher bei der Zwei-Faktor-Authentifizierung möglichst darauf achten, dass beide Authentifizierungsmethoden physisch voneinander getrennt sind. Beispielsweise, indem die 1. Authentifizierung auf Ihrem PC erfolgt, die 2. Authentifizierung jedoch auf Ihrem Smartphone. In der Praxis nutzen die meisten fast nur ein Smartphone, um online zu gehen. In diesem Fall ist die Zwei-Faktor-Authentifizierung meist auf dem Smartphone vereint. Doch selbst wenn die physische Trennung nicht möglich ist, erhöht die Zwei-Faktor-Authentifizierung die Sicherheit und sie ist immer besser als die alleinige Absicherung mit einem Passwort.

Übertragen auf Ihren Mail-Account entsteht nun folgendes Szenario: Hat jemand Ihr Passwort erbeutet und will sich damit von einem anderen PC oder einem anderen Smartphone in ihren Mail-Account einloggen, ist dies nur dann möglich, wenn diese Person auch die zweite Authentifizierung kennt. Sprich: Hat der Datendieb nicht auch Ihr Smartphone gestohlen, mit dem Sie jeden neuen Zugriff zum Mail-Account bestätigen müssen, ist der Zugriff auf Ihren Mail-Account für ihn deutlich erschwert.

In der Regel erfolgt die Aktivierung der Zwei-Faktor-Authentifizierung beim Einrichten Ihres E-Mail-Kontos. Sie müssen dafür meist ihre Mobilfunknummer oder eine alternative Mail-Adresse hinterlegen. Aus eigener Erfahrung weiß ich, dass viele Nutzer sich in diesem Fall lieber für die alternative E-Mail entscheiden. Sie wollen nicht, dass die datenhungrigen Internetkonzerne auch noch ihre Mobilfunknummer kennen. In diesem Fall ist die Angabe der Mobilfunknummer jedoch die bessere Entscheidung, da Sie von einem unerlaubten Login-Versuch unmittelbar erfahren und mit Hilfe Ihres E-Mail-Providers Gegenmaßnahmen einleiten können.

Beispiel für eine Zwei-Faktor-Code-Abfrage

Eine dritte Möglichkeit ist die Nutzung sogenannter Authenticator Apps oder Tokens, wie zum Beispiel dem »Google Authenticator«. Diese Programme werden meist per QR-Code mit dem Account verknüpft und generieren bei Bedarf den zusätzlichen Sicherheitscode.

Ist die Zwei-Faktor-Authentifizierung nicht aktiviert, kann es immerhin noch sein, dass Sie eine Nachricht bekommen, in der nachgefragt wird, ob wirklich Sie hinter dem Login von einem fremden Gerät stecken. Allerdings kann es in so einem Fall bereits zu spät sein, wenn der Angreifer die schwache Sicherung ausgenutzt und das Passwort Ihres Accounts geändert hat.

Überprüfen Sie daher jetzt sofort, ob Ihr E-Mail-Provider eine Zwei-Faktor-Authentifizierung anbietet. Tut er das, aktivieren Sie die Funktion wie in der Anleitung Ihres E-Mail-Providers beschrieben. Arbeitet er dagegen ohne Zwei-Faktor-Authentifizierung, sollten Sie über einen Wechsel Ihres E-Mail-Providers nachdenken (siehe Seite 21: Woran Sie einen guten E-Mail-Provider erkennen).

In der Regel bieten sämtliche relevanten E-Mail-Provider eine Zwei-Faktor-Authentifizierung an, etwa Microsoft, Apple oder Google. Seit Juni 2019 haben auch die beiden großen deutschen Mail-Anbieter GMX und Web.de nachgezogen und bieten eine Zwei-Faktor-Authentifizierung an. Auch der eigene Facebook- oder Amazon-Account lassen sich mit einer Zwei-Faktor Authentifizierung schützen. Zu finden ist die Zwei-Faktor-Authentifizierung meist in den