Daten- und Identitätsverlust nach Hackerangriffen - ein Risiko, dem man bei seinen Online-Aktivitäten zwangsläufig ausgesetzt ist. Aber auch ein Risiko, das sich mit wenig Aufwand minimieren lässt.
Klar ist: Für mehr Sicherheit im Internet muss man etwas mehr tun. Doch im Grunde braucht man nur drei Dinge, um die eigenen Daten besser vor Hackern zu schützen und so die Gefahr eines Identitätsdiebstahls zu minimieren: ein Passwortsafe, eine eigene Domain und einen E-Mail-Zugang mit einem Catchall-Postfach.
Passwörter sicher hinter Schloss und Riegel
Mit einem Passwortverwaltungsprogramms, auch Passwortsafe genannt, gehört das lästige Erfinden und Merken von immer komplizierteren Passwörtern der Vergangenheit an. Wie der Name schon sagt, speichert ein Passwortsafe beliebig viele Passwörter ab. Zusätzlich kann er auch sichere Passwörter generieren, mit oder ohne Groß- und Kleinbuchstaben, Satzzeichen oder Sonderzeichen, ganz nach Ihren Wünschen oder den Anforderungen der Internetplattform, für die es bestimmt ist. Der Vorteil für Sie: Sie müssen sich nur noch ein Passwort merken, und zwar das für den Passwortsafe – quasi Ihr "Masterpasswort".
Mithilfe eines Passwortsafes ist das mehrfach Verwenden von Passwörtern Geschichte, da er sichere Passwörter generieren und verwalten kann. Foto: Rawpixel.com - www.shutterstock.com
Der richtige Passwortsafe für Ihr Betriebssystem ist ganz leicht im Internet zu finden. Ich selbst nutze das Open-Source-Programm KeePassX, da ich es sowohl auf meinem Mac als auch unter Windows und auf meinem Android-Telefon verwenden kann. Der Download ist kostenfrei – und somit eine Investition von wenigen Minuten in die eigene Sicherheit.
Eine eigene Domain
Mit einer eigenen Domain können Sie beliebige E-Mail-Adressen vergeben. Wozu das gut ist, erkläre ich gleich. Domains sind bereits ab 1 Euro im Monat zu haben, die E-Mail-Funktionalität kostet ungefähr das gleiche. Wenn Sie eine Domain erwerben, stellen Sie sicher, dass Ihr Anbieter Ihnen ein sogenanntes Catchall-Postfach zur Verfügung stellen kann.
Bei der Benennung der Domain sind Sie relativ frei: Vom eigenen Familiennamen bis hin zu erfundenen Begriffen ist alles möglich – solange der gewünschte Name noch frei ist. Ob eine Domain bereits registriert ist, finden Sie zuverlässig bei der DENIC heraus. Für unsere Zwecke sollte der Domainname "obstschnitzel.de" als Beispiel genügen.
Security-Trends 2016
Cyber-Kriminalität wird einfacher und lukrativer. Die zunehmende Digitalisierung von Wirtschaft und Öffentlicher Hand macht Cyber Crime immer lukrativer und den Einsatz der neuesten APT-Methoden (Advanced Persistent Threats) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Hidden Champions im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziel von Cyber-Angriffen zu werden.
Die Vernetzung der Dinge bringt weitere Angriffsvektoren hervor. Die Entwicklung neuer vernetzter Produkte und das Internet der Dinge erweisen sich in Bezug auf mögliche Schwachstellen als regelrechte Fundgrube für Angreifer, insbesondere mit Blick auf nicht abgesicherte Endgeräte, die eine „Brückenfunktion“ zwischen dem Internet der Dinge und Backend-Systemen übernehmen.
Die Cloud sorgt für neue Betriebsmodelle. Unternehmen und Öffentliche Hand setzen ihre Migration in die Cloud fort, die Managed Private Cloud ist dabei weiterhin stark auf dem Vormarsch. Vorteile in Bezug auf Agilität und Kosten überwiegen zunehmend die angenommenen Risiken. Der Weg in die Cloud entbindet Organisationen nicht von ihrer Verantwortung, die Geschäfts- und Kundendaten entsprechend abzusichern. Gerade, weil sich Betriebsmodelle ändern, wird es darum gehen müssen, zu definieren, welche Aufgaben und Verantwortlichkeiten die Organisation und welche der Cloud Service Provider übernimmt und wie Risiken zu managen sind.
Informationssicherheit geht weit über klassische Compliance hinaus. Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, verlassen Organisationen verstärkt ihre auf Compliance fokussierte Perspektive und nehmen einen stärker risikobasierten Standpunkt ein. Ein risikobasierter Ansatz schärft die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen. Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden. Dies gilt auch und vor allem in den Bereichen Medizin und Gesundheitsvorsorge.
Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion. In Deutschland werden die Anforderungen an Datenschutz und Datensicherheit für Betreiber Kritischer Infrastrukturen weiter konkretisiert. Für das Frühjahr 2016 sind detaillierte Rechtsverordnungen in den Bereichen Ernährung, Wasser, Energie und ICT angekündigt, Ende 2016 sind Branchenbeobachtern zufolge Verordnungen für die Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen sowie Staat und Verwaltung zu erwarten. Die konkreten Auflagen in Bezug auf Meldepflicht und den Nachweis zur Implementierung angemessener Standards der Informationssicherheit führen zu einem verstärkten Beratungsbedarf kleiner und mittelständischer Unternehmen.
Incident Response wird zum Daily Business. In Zukunft wird es wichtiger sein, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen. Das frühzeitige Aufspüren gezielter komplexer Angriffe erfordert das Erfassen und die Analyse großer Datenmengen, - z.B. in Form von Logs oder Pcap‘s (packet captures - API zum Mitschneiden von Netzwerkverkehr). Das bedarf Experten-Know-hows, professioneller neuer Tools und einer beständigen Anpassung an Technologie-Trends im Bereich Mobile, Cloud und Internet der Dinge, denn der Datenstrom wird so noch exponentiell wachsen. Unternehmen benötigen mehr denn je leistungsfähige Incident-Response-Strukturen.
Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch. Der komplexen Bedrohungslage steht die Mehrheit von IT-Security-Teams heute vielfach überfordert gegenüber. Was fehlt, sind qualifiziertes Personal und Technologien, um die risikobasierten Maßnahmen, die für den Schutz ihrer Organisation erforderlich wären, zu managen. Eine wirtschaftlich attraktive Alternative, um Engpässe in punkto Personal und Technologie zu umgehen, sind Managed Security Services (MSS), die es mittlerweile in allen relevanten Bereichen der Informationssicherheit gibt. MSS erlauben einen bedarfsorientierten und skalierbaren Abruf topaktuellen Know-hows, von Experten-Support für eine zeitnahe Problemlösung und den Einsatz innovativer Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt.
Industrial Control System (ICS) Security wird wichtiger denn je. Im Rahmen von M2M-Kommunikation, wachsender Vernetzung und einer zunehmenden Aufweichung der Perimeter-Sicherheit von Organisationen wird es immer wichtiger, dass Unternehmen verstehen lernen, wie Office-IT und Produktions-IT sowie die IT im Kontext von Industrie 4.0 und der konventioneller Produktion bei der Abwehr von Angriffen zusammenarbeiten sollten. Hier geht es um ein tieferes Verständnis erforderlicher Prozesse und Technologien zu Prävention, Detektion und Abwehr von Angriffen und wie "Incident Response" auch und gerade im Bereich der Produktions-IT funktionieren sollte.
Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt. Angesichts der dynamischen Bedrohungslage wird es für Organisationen immer wichtiger, aufkommende methodische und technologische Trends so früh wie möglich zu identifizieren und auf ihre Kritikalität zu analysieren. Wesentlich ist auch, die eigenen Abwehrfähigkeiten regelmäßig auf neue Bedrohungen zu überprüfen. Weil Organisationen intern häufig nicht über das Know-how verfügen, werden zunehmend externe Spezialisten für Cyber Threat Intelligence (CTI) zu Rate gezogen. Diese verfügen über fundierte Kenntnisse in den Bereichen Open Source Intelligence, Social Media Intelligence, Human Intelligence, kennen sich mit gängigen Mitteln und Motiven aus und konzentrieren sich vor allem auf die Bereiche Cyber-Crime, Cyber-Aktivismus und Cyber-Spionage.
Alle E-Mails an einem Ort
E-Mail-Adressen sind üblicherweise immer Postfächern zugeordnet. Dementsprechend landet eine an IhrName@obstschnitzel.de adressierte E-Mail natürlich in Ihrem persönlichen Postfach. Um ihre Sicherheit im Internet zu erhöhen, werden Sie auf Ihrer Domain aber jede Menge E-Mail-Adressen erstellen (müssen), die immer nur einem bestimmten Anbieter zugeordnet sind. Dazu kommen wir gleich noch genauer. Für jede E-Mail-Adresse ein eigenes Postfach einzurichten, käme allerdings einem ziemlich großen Aufwand gleich. Gleichzeitig möchten Sie aber auch alle Ihre eingehenden Mails lesen. Die Lösung: ein Catchall-Postfach, das alle E-Mails in einem Postfach bündelt, welche mit @obstschnitzel.de enden, also auch diejenigen mit Tippfehlern. Einmal eingerichtet, gehen alle E-Mails hier ein. Und keine Sorge: Der übliche Spam wird weiterhin vorher von Ihrem E-Mail-Betreiber markiert. Sie sollten auch darauf achten, dass das Catchall-Postfach Filter anbietet. Irgendwann möchten Sie bestimmte E-Mails vielleicht nicht mehr lesen – und wenn Sie die dazugehörigen E-Mail-Adressen mit einem Filter versehen, landen sie gar nicht erst in Ihrem Postfach, sondern werden direkt in den Orkus bewegt.
Ab sofort mehr Sicherheit
Von heute an geben Sie auf jeder Internetplattform, die für die Neuregistrierung eine E-Mail-Adresse verlangt, eine individuelle E-Mail-Adresse an. Vor dem at "@"-Zeichen Ihrer Domain können Sie beliebige Zahlen- und Buchstabenkombinationen wählen, da Sie nun ein Catchall-Postfach haben, in dem alle Ihre E-Mails landen. Sie müssen nur noch den Algorithmus finden, der für Sie persönlich am besten funktioniert. Ich habe mich dazu entschieden, den Anbieter mit dem aktuellen Jahr zu kombinieren an dem ich mich bei der Seite registriert habe. Würde ich mich heute also in einem Sozialen Netzwerk anmelden, dann wäre meine E-Mail-Adresse sozialesnetzwerk2016@obstschnitzel.de, bei meinem Kreditinstitut könnte es meinebank2015@obstschnitzel.de sein und bei meinem Online-Shop onlineshop2013@obstschnitzel.de. Die dazugehörigen Passwörter müssen Sie sich weder ausdenken noch merken – das übernimmt Ihr Passwortsafe für Sie.
Empfehlenswerte Passwort-Manager für iOS
1Password Dieser Passwort-Manager schützt Ihre Daten mittels authentifizierter AES 256-Bit-Verschlüsselung – das ist militärischer Standard. Dank automatischer Sperre sind Ihre Daten wie in einem Tresor weggesperrt, auch wenn Sie Ihr iPhone verlieren sollten oder es gestohlen wird. Mit dem Passwortgenerator lassen sich starke und einzigartige Passwörter erstellen, die alle an einer zentralen Stelle gesichert sind. Zusätzlich bietet die App eine direkte Integration in Safari und TouchID. <br><br> Preis: kostenlos
OneSafe OneSafe gehört zu den besten Apps dieser Kategorie und kann neben Benutzername und Passwörtern auch Kreditkarten- und Kontodaten sowie Dokumente und Bilder sicher verwalten. Die App bietet neben iCloud auch die Möglichkeit der Synchronisierung über Dropbox. Auch oneSafe verwendet für die Speicherung der Daten den höchsten Sicherheitsstandard - die AES-256-Verschlüsselung. <br><br> Preis: 4,99 Euro
LastPass Password Manager Auch die App LastPass gehört zu den besten Passwortmanager-Apps. Mit LastPass müssen Sie sich nur ein Passwort (Masterkennwort) merken, denn die App füllt Ihre Anmeldungen für Sie aus und synchronisiert Ihre Passwörter überall, wo Sie sie benötigen. Mit dem integrierten Passwort-Generator erstellen Sie ein garantiert sicheres Kennwort. Die App kann zwei Wochen lang kostenlos getestet werden, danach erfordert es den Premiumdienst. Dieser kostet 12 Dollar pro Jahr. <br><br> Preis: kostenlos
SplashID In der kostenlosen App SplashID speichern Sie Ihre sensiblen Daten wie Web-Logins, Kreditkarten, PINs, E-Mail-Einstellungen, Lizenznummern und mehr mit der 256-Bit-AES-Verschlüsselung ab. Sodass Sie am Ende nur noch eine PIN für all Ihre Zugänge benötigen. Die gespeicherten Passwörter können Sie über iCloud, WLAN oder USB-Stick mit anderen Geräten synchronisieren. Leider gibt es keinen Excel-Export, um Daten weiterzuverarbeiten oder sie bei App-Wechsel mitumzuziehen. <br><br> Preis: kostenlos
Dashlane Nach dem Download von Dashlane muss ein Dashlane-Account angelegt werden. Hierbei sollten Sie schon auf ein sicheres Passwort achten, denn dieses verwenden Sie für Ihre Passwortliste. Auch hier wird die 256-AES-Verschlüsselung verwendet. Sollte Ihnen mal kein Kennwort einfallen, können Sie sich über die App ein unknackbares Kennwort generieren lassen. In der Premiumversion haben Sie noch die Möglichkeit Ihre Daten mit anderen Geräten zu synchronisieren. Hinweis: die App ist nur in den Sprachen Englisch, Französisch und Spanisch verfügbar. <br><br> Preis: kostenlos
LoginBox Pro Die App LoginBox kombiniert einen Passwort-Manager mit dem Browser und meldet Sie auf den gewünschten Internetseiten wie der Ihrer Bank, PayPal, eBay, Gmail, Punktesammel-Konten und weiteren mit nur einem Klick an. Das Besondere an dieser App ist der verminderte Klickaufwand, denn Sie müssen keine URLs, Benutzernamen oder Passwörter mehr eingeben. Dank der Sofortsuche werden die Webseiten noch schneller gefunden. Auch LoginBox ist mit dem höchsten Sicherheitsstandard ausgestattet. <br><br> Preis: 7,99 Euro
mSecure Auch mSecure verwaltet Ihre Passwörter und synchronisiert sie über WLAN oder iCloud auf andere Geräte. Zur Verschlüsselung wird 256-Bit-Blowfish eingesetzt. Zu Beginn setzen Sie ein Masterpasswort für den App-Zugriff. Anschließend können Sie eine Liste mit Passwörtern und Login-Daten pflegen. Dank der Kategorisierung Ihrer Logins wie Privat und Geschäftlich haben Sie Ihre Daten immer im Überblick. <br><br> Preis: 9,99 Euro
RoboForm RoboForm übernimmt Benutzernamen und Passwörter, die Sie auf einer Webseite wie Ebay, Amazon oder Facebook eingeben und meldet Sie zukünftig automatisch dort an. Neben Zugangsdaten speichert die App auch persönliche Daten wie Ihre Adresse und Kontoinformationen ab, wodurch Sie Formulare per Drag and Drop ausfüllen können. RoboForm selbst sichern Sie mit einem Masterkennwort oder einer Touch-ID ab. <br><br> Preis: kostenlos
Im Endeffekt haben Sie nun für jeden Anbieter eine individuelle E-Mail-Adresse mit dazugehörigem Passwort. Inwiefern Ihnen das mehr Sicherheit bringt? Nun, Sie erkennen sofort, wenn eine Internetplattform gehackt wurde oder ein Anbieter Ihre Daten weitergegeben hat. Geht beispielsweise auf Ihrer E-Mail-Adresse sozialesnetzwerk2016@obstschnitzel.de eine E-Mail mit dem Betreff „Ihr Bankkonto wurde gesperrt“ oder auch „Wichtige Mitteilung von Ihrem Online-Shop“ ein, dann wissen Sie, dass diese E-Mail auf jeden Fall unseriös ist. Denn eine „offizielle“ E-Mail Ihrer Bank würde an meinebank2015@obstschnitzel.de gehen, eine offizielle E-Mail Ihres Online-Shops an onlineshop2013@obstschnitzel.de. Damit ist klar: Ihr Soziales Netzwerk wurde gehackt – und Ihre dort hinterlegte E-Mail-Passwort-Kombination gestohlen. Das ist ärgerlich. Aber nicht tragisch. Denn erinnern Sie sich: Diese E-Mail-Passwort-Kombination verwenden Sie nur einmal. Da Sie bei anderen Anbietern andere Kombinationen nutzen, sind Ihre Daten dort (noch) sicher. Lediglich die E-Mail-Passwort-Kombination, die Sie für die gehackte Internetplattform verwenden, wurde gestohlen. Haben Sie das erkannt, können Sie diese E-Mail-Adresse in Ihrem Catchall-Postfach markieren und dort ankommende E-Mails direkt löschen lassen.
Lange Rede, kurzer Sinn
Der große Vorteil: Mit diesem System merken Sie sehr schnell, ob eine von Ihnen genutzte Internetplattform gehackt wurde – und auch welche. Da Sie stets individuelle E-Mail-Passwort-Kombinationen verwenden, müssen Sie nicht gleich alle Ihre Passwörter ändern und können E-Mails, die an Ihre gestohlene Adresse gehen, gleich löschen lassen. Ein weiteres Plus: Sie erkennen, welche Anbieter tatsächlich „sicher“ sind. Und auch, wer beim Datenschutz viel verspricht, aber nichts leistet.
Auf der anderen Seite bringt das System natürlich auch gewisse Nachteile. Zum einen ist dort natürlich ein geringerer Mehraufwand bei der Neuregistrierung. Zum anderen verlieren Sie all Ihre Zugänge auf einmal, sollte die Datenbank Ihres Passwortsafes einmal defekt sein. Regelmäßige Backups sind deshalb lebenswichtig. Ich empfehle, dass Sie Ihre Passwortdatenbank auf einem privaten Medium wie einem USB-Stick sichern. Denn auch ein Cloud-Anbieter kann irgendwann einmal gehackt werden – und dann sind all Ihre wichtigen Passwörter verloren. Auch die regelmäßige Sicherung bedeutet einen geringen Mehraufwand. Doch seien wir mal ehrlich: Das sollte Ihnen Ihre Sicherheit im Internet schon wert sein. Oder? (sh)