Aus dem Unterricht des CAS Digital Risk Management zum Thema “Sicher im digitalen Alltag” mit Andreas Freimüller bloggt Martin Steiner:

Wir bewegen uns heute alle wie (fast) selbstverständlich im digitalen Raum. Im Internet surfen, E-Mails versenden, auf Facebook liken und mit Twitter zwitschern gehören heute zum guten Ton. Im Modul “Sicher im digitalen Alltag” lernten wir die Risiken kennen, die wir dabei antreffen, sowie Lösungsansätze, um diese Gefahren zu eliminieren.

Datensicherung/Backup

Folgende Punkte sind für eine funktionierende Datensicherung zu beachten:

  • Regelmässige, automatisierte Sicherungen durchführen
  • Immer mindestens zwei Kopien erstellen, eine davon an einem anderen Standort speichern; alternative Speicherorte wie zum Beispiel NAS-Systeme oder die Cloud in Betracht ziehen
  • Regelmässige Tests durchführen, ob die Wiederherstellung auch wirklich funktioniert (Restore-Tests)
  • Allenfalls über Verschlüsselung der Backup-Medien nachdenken, vor allem dann, wenn die Medien an einem Drittstandort gelagert werden
  • Bei mehreren Geräten und/oder umfangreichen Sicherungen professionelle Backup-Tools einsetzen

Passwörter

Wir unterscheiden verschiedene Passworttypen:

  • Passworttyp #1: Eines für alle
  • Passworttyp #2: 1, 2 oder 3
  • Passworttyp #3: wIr_baUen_uns_LANGE-EselsbrÜcken
  • Passworttyp #4: die faulen ToolverwenderInnen

Empfehlungen im Umgang mit Passwörtern:

  • Das Passwort darf nicht leicht zu erraten sein (wie Namen, Auto-Kennzeichen, Geburtsdaten etc.)
  • Gross- und Kleinbuchstaben sowie Sonderzeichen und Ziffern verwenden
  • Das Passwort sollte mindestens acht Zeichen lang sein, “size matters” trifft in diesem Fall zu: Je länger, umso besser und damit sicherer!
  • Voreingestellte Passwörter (z. B. des Herstellers bei der Auslieferung von Systemen) sind durch individuelle Passwörter zu ersetzen
  • Das Passwort darf nur dem Benutzer bekannt sein und ist geheim zu halten
  • Das Passwort sollte regelmässig gewechselt werden, zum Beispiel alle 30 Tage
  • Das Passwort ist unverzüglich zu wechseln, wenn es unautorisierten Personen bekannt geworden ist
  • Alte Passwörter sollten nach einem Passwortwechsel nicht mehr verwendet werden
  • Die Eingabe des Passwortes sollte unbeobachtet stattfinden

Auf der Homepage des Datenschutzbeauftragten des Kantons Zürich findet man ein Online-Tool, um die Stärke eines Passwortes zu prüfen.

Der Gebrauch eines Passwort-Managers erleichtert den Umgang mit Passwörtern. Sinnvollerweise wird dafür eine App auf dem Smartphone genutzt. Das Angebot an entsprechenden Applikationen in den Herstellershops ist riesig.

Cloud

Cloud-Dienste (DropBox, iCloud, Google Docs, Microsoft Azure, etc.) bieten eine Alternative zu lokalem Speicher. Dabei sind folgende Punkte zu beachten:

  • Ist es für mich relevant, wo die Daten gespeichert sind (CH, EU, USA)?
  • Wie sieht es mit der Verfügbarkeit der Daten aus?
  • Werden die gültigen und für mich wichtigen Sicherheitsbestimmungen eingehalten?
  • Wie sieht es bei einem Restore (Wiederherstellung) der Daten aus? Fallen dabei Extrakosten an?
  • Habe ich genügend Bandbreite, um bei Bedarf auch grössere Datenmengen hoch- und runterladen zu können?

Neben den genannten Anbietern kann man eine Cloud auch selber betreiben, man spricht dann von einer “Privat-Cloud”. Inzwischen gibt es auch Mischformen, sogenannte Hybrid-Clouds. Hier entscheidet der Kunde je nach Anwendungsfall, ob die Daten lokal oder bei einem Cloud-Anbieter gespeichert werden sollen.

E-Mail

E-Mail ist immer noch das wichtigste elektronische Kommunikationsmittel im Business-Alltag. Wir haben die grössten Risiken im Umgang mit E-Mail definiert:

  • Vertraulichkeit (falsche Empfänger, Zugriff von Administrator etc.)
  • Mail mit Viren
  • Spam
  • Phishing (Links auf gefälschte Sites, z.B. Banken)
  • Spoofing (Mail unter falschem Namen erhalten/versenden)
  • Zeitfresser

Spam ist normalerweise “nur” lästig, eine reelle Gefahr geht aber meistens nicht davon aus. Gegen Phishing und Spoofing hilft vor allem Bewusstsein schaffen bei den Mitarbeitenden. Zudem kann man mit aktuellen Spam-Filtern und Virenscannern einen grossen Teil der Gefahren technisch abhandeln.

Die Verschlüsselung zwischen E-Mail-Client und dem Mail-Server ist in den meisten Fällen mit SSL möglich. Eine End-to-End-Verschlüsselung lässt sich mit PGP bewerkstelligen.

Wie funktioniert E-Mail-Verschlüsselung?

Mobile

Der Gebrauch von Mobile Devices (Smartphone, Tablets, Smart Watches etc.) ist heute ebenfalls selbstverständlich. Auch in diesem Bereich gibt es Risiken:

  • Gerät defekt
  • Verlust des Geräts
  • Diebstahl des Geräts
  • Unsichere Verbindungen

Darum ist es wichtig, auch auf diesen Devices einen Passwortschutz (auch z.B. biometrisch) einzurichten. Bei den meisten Herstellern kann man Ortung und Fernlöschung aktivieren. Zudem ist es wichtig, auch an ein Backup der auf den Mobile Devices gespeicherten Daten zu denken.

Social Media

Bei den Social Media kann man über falsche Privacy-Einstellungen stolpern. Zugriffsrechte für Freunde und Fremde sollte man so restriktiv wie möglich handhaben. Beiträge, Filme und Fotos immer bewusst posten. Auch auf einen Social Media Account ist ein Hacker-Angriff möglich, darum gilt auch hier: Passwort-Regeln beachten.

Die meisten Firmen passen die AGB periodisch an. Mit der Nutzung des jeweiligen Angebots kann es passieren, dass die geänderten Bedingungen durch die Kundin stillschweigend akzeptiert werden.

Safe Browsing

Surfen im Netz ist nicht ohne Risiko. Nachfolgend die grössten Gefahrenquellen:

  • nicht aktualisierter Browser
  • Cookies (speichern u.a. besuchte Seiten)
  • aktive Inhalte (Java, Flash – können Aktionen ausführen)
  • verseuchte Sites

Um keine Probleme zu bekommen, sollte man immer die aktuellste Version eines Browsers nutzen, aktive Inhalte – soweit möglich – deaktivieren und Cookies nur selektiv zulassen. Auch hier gilt, wie schon bei den E-Mails: Mit aktuellem Spam-Filter und Virenscanner kann man einen grossen Teil der Gefahren technisch abhandeln.

Tor (Windows) und Onion (Apple) Browser ermöglichen anonymes Surfen im Internet.

MELANI

emblem

Die Melde- und Analysestelle für Informationssicherung des Bundes MELANI erteilt zu allen Bereichen der digitalen Welt wirksame und aktuelle Verhaltensregeln.

Fazit

Hundertprozentige Sicherheit gibt es nicht. Mit gesundem Misstrauen und den nötigen technischen Vorkehrungen kann man sich aber in der digitalen Welt weitestgehend gefahrenfrei bewegen.