Ich kriege immer mal die Frage, was so die wichtigsten IT-Sicherheitsmaßnahmen oder Cybersicherheitsstipps sind, die man so befolgen sollte. Man kann das auch Top-Cyber-Hygienemaßnahmen nennen, völlig egal. Daher heute meine Top-Liste der Cybersicherheitstipps, die ihr als Privatleute umsetzen solltet. Im Stil der „listicles“ ist das natürlich etwas subjektiv und gilt auch nur für Privatanwender. Wenn ihr euch als besonders gefährdet einschätzt (z. B. weil ihr JournalistIn seid oder eine NGO in einem autoritären Regime betreibt, sind das nur die Basics und ihr braucht zusätzlichen Schutz). Auch im Unternehmenskontext gelten einige andere Regeln und Umstände, die andere Cyber-Hygienemaßnahmen erforderlich machen. Natürlich sind das auch nicht alle Cybersicherheitstipps und man könnte noch mehr machen. Just to get you started:
Podcast: Play in new window | Download (Duration: 28:53 — 26.4MB)
Subscribe: Apple Podcasts | Spotify | RSS | More
Shownotes
- Google Malvertisement, https://thehackernews.com/2022/12/new-malvertising-campaign-via-google.html
- Wireless Evil Twin, https://www.security-insider.de/was-ist-ein-evil-twin-a-727155/
- BSI Warnung vor Kaspersky, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par-7/Archiv/FAQ-Kaspersky/faq_node.html
- ClamXAV Anti Malware, https://www.clamxav.com
- Wie lange braucht es ein Passwort zu cracken? https://www.passwordmonster.com
- Why should we use password managers? We asked a security researcher, https://www.cylab.cmu.edu/news/2022/01/27-password-managers.html
- The Risk of Public Wifi https://www.forbes.com/advisor/business/public-wifi-risks/#:~:text=One%20of%20the%20biggest%20risks,your%20devices%20without%20you%20knowing
- CISA Best practices public WiFi https://www.cisa.gov/sites/default/files/publications/Best%2520Practices%2520for%2520Using%252
- Nachtrag 29.09.2023 : Zur Diskussion um Schlangenöl den Sinn und Zweck von Antivirus
- 0Public%2520WiFi.pdf
- Die Schlangenöl Branche https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html
- Schutz oder Schlangenöl? https://www.heise.de/select/ct/2017/5/1488560529789980
- Do you still need Antivirus? https://www.security.org/antivirus/do-you-need-antivirus/
- Is Antivirus Software Becoming Obsolete? https://www.poweradmin.com/blog/are-malware-threats-making-antivirus-software-obsolete/
- 31 Antivirus Statistics and Trends https://dataprot.net/statistics/antivirus-statistics/#:~:text=On%20average%2C%20antivirus%20software%20is,25%25%20successful%20at%20detecting%20malware.&text=Statistics%20on%20computer%20viruses%20and,%2Dthe%2Dline%20antivirus%20software.
- Do you need antivirus protection in 2023?
- https://surfshark.com/blog/do-i-need-antivirus
- You Don’t Need to Buy Antivirus Software https://www.nytimes.com/wirecutter/blog/best-antivirus/
- Understanding Anti-Virus Software https://www.cisa.gov/news-events/news/understanding-anti-virus-software
- Antivirus and other security software https://www.ncsc.gov.uk/collection/device-security-guidance/policies-and-settings/antivirus-and-other-security-software
- Virenschutz und falsche Antivirensoftware https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Virenschutz-Firewall/Virenschutzprogramme/virenschutzprogramme_node.html
Timecodes
00:02:05 Installiere einen Ad-Blocker
00:04:27 Nutze kein öffentliches WLAN
00:07:56 Schütze den Bildschirm mit privacy screens
00:11:33 Schalte Zwei-Faktor-Authentifizierung ein
00:12:29 Nutze Festplattenverschlüsselung
00:14:05 Installiere Anti Malware
00:16:30 E-Mail Skepsis
00:19:40 Habe Backups
00:22:14 Nutze komplexe Passwörter + Passwortmanager
00:26:37 Automatische Softwareupdates
Hinweise
Blog & Podcast über die dunkle Seite der Digitalisierung: Cyber-Sicherheit, Cyber-War, Spionage, Hacker, Sabotage, Subversion und Desinformation. Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Dieser Cyber Security Podcast erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed.
Sound & Copyright
- Modem Sound, Creative Commons.
- © Vint Cerf, „Internet shows up in December 1975“, in: IEEE Computer Society, Computing Conversations: Vint Cerf on the History of Packets, December 2012.
- © L0pht Heavy Industries testifying before the United States Senate Committee on Governmental Affairs, Live feed from CSPAN, May 19, 1998.
- © Barack Obama, Cybersecurity and Consumer Protection Summit Address, 13 February 2015, Stanford University, Stanford, CA.
- © Michael Hayden, „We kill people based on meta-data,“ in: The Johns Hopkins Foreign Affairs Symposium Presents: The Price of Privacy: Re-Evaluating the NSA, April 2014.
- © Bruce Schneier, „Complexity is the enemy of security, in IEEE Computer Society, Bruce Schneier: Building Cryptographic Systems, March 2016.
- Beats, Bass & Music created with Apple GarageBand
Normalerweise höre ich den Podcast sehr gerne und meistens bin ich auch einverstanden mit dem was du so erzählst. Aber bei dieser Folge musste ich doch an einigen Stellen etwas schlucken. Du hast zwar am Anfang den Disclaimer für IT-Fachleute gebracht, aber der hilft nicht, wenn du den ganzen Nicht-Nerds da draußen dann falsche Sachen erzählst.
„Nutze kein öffentliches WLAN“? Aus welcher Computerbild von 2010 hast du das denn? Das kann man doch heutzutage so undifferenziert nicht mehr erzählen! Das Mindeste, was hier kommen muss, ist die Einschränkung, dass das nur bei nicht-verschlüsseltem Netzwerkverkehr relevant ist. Du vergisst zu erwähnen, dass heutzutage (zum Glück!) nahezu alles TLS-verschlüsselt übertragen wird, und ein Angriff auf die WLAN-Verbindung darum maximal die Domain des Zielservers zu Tage brächte. Das reicht zwar unter Umständen schon, um die Verbindung kompromittiert zu nennen, aber es wäre auf jeden Fall wichtig gewesen, es zu benennen.
Schließlich *wollen wir doch* nach wie vor, dass es überall frei zugängliche WLAN-Hotspots gibt. Nicht nur, aber vor allem in den Zügen der DB und im Nahverkehr erst recht. Als Tourist in der Innenstadt, als Bürger auf dem Amt, als Gast im Restaurant, als Kunde im Supermarkt, usw… überall brauchen wir WLAN (gib „maslow pyramid wifi“ in eine Suchmaschine ein). Deine Warnung vor freien WLAN-Hotspots erweist der ganzen Freifunk-Community einen Bärendienst. Sie sorgt nun eher dafür, dass Argumentationen zu mehr freien Internetzugängen aller Wind aus den Segeln genommen wird, weil die Leute das bereits vorhandene WLAN-Angebot lieber ignorieren und stattdessen weiter den Mobilfunkanbietern nicht nur ihr ganzes Geld, sondern auch noch all ihren Traffic bescheren, der diese dadurch zu ähnlichen Datenoligopolisten macht wie GAFAM. Und das ist wirklich bedenklich!
Also: für heutzutage normalen Alltagsgebrauch ist es völlig ok, offene WLAN-Netze zu verwenden, es sei denn man hat es mit sehr exotischen Frickeldiensten zu tun, die noch IMAP über Port 143 und HTTP über Port 80 machen. Aber da werden dir ja glücklicherweise heutzutage schon von Mailprogramm und Browser die roten Warnmeldungen präsentiert.
Der zweite wesentliche Punkt, bei dem ich mich fast verschluckt hab, ist „Installiere Anti Malware“. Du sagst selber schon, dass das Thema unter Fachleuten kontrovers diskutiert wird. Leider ist das eine nicht mal leichte Untertreibung. Selbst Mainstream-Medien wie golem.de ließen schon vor inzwischen fast sieben Jahren verlauten, dass die Schlangenöl-Branche nur sich selbst dient und ansonsten nur Schaden anrichtet. Deine Aussage lässt sich zusammenfassen mit: wenn du Ahnung hast, ist Anti Malware schlecht, wenn du keine Ahnung hast, ist es gut. Das Gegenteil ist der Fall! Unbedarfte installieren sich nun irgendein Antivir und denken dann, sie sind unverwundbar und können darum bedenkenlos auf alles klicken. *Nein!* Deine Aussage ist so ein fatales Signal, dass es schon einigermaßen fahrlässig ist, sowas öffentlich zu verkünden. Bitte revidier sie in einer deiner nächsten Folge und verkünde, dass du dich geirrt hast. Du sagst danach ja selbst, dass man Skepsis bei E-Mail an den Tag legen soll. Das gilt aber nicht nur bei E-Mail, sondern immer und überall im Internet. Aufpassen und mitdenken ist gefragt, genau wie in der Offlinewelt auch. Es gilt die einfache Faustregel: wenn dir jemand unverhofft was schenken will, ist es meistens Betrug. Sei immer kritisch, frag im Zweifelsfall erstmal Leute die sich auskennen und klick nicht immer gleich auf die großen Buttons, auch wenn sie noch so gute Versprechungen machen.
Ansonsten bleibt mir zu dem Thema noch die Empfehlung, mal bei Fefe nach dem Begriff „Schlangenöl“ zu suchen [2], um sich ein umfassendes Bild über das ganze Ausmaß des Wahnsinns zu machen.
Der Rest deiner Hinweise ist nicht ganz so kritisch, auch wenn ich an einigen Stellen andere Formulierungen gewählt hätte. Bei 2FA hätte man noch erwähnen können, dass man das auch ganz gut ohne Google oder Microsoft machen kann, denn TOTP ist ein IETF-Standard, der von einer großen Zahl von Passwordmanagern und anderen Programmen unterstützt wird [3].
Trotzdem vielen Dank für deinen Podcast, den ich normalerweise sehr gern höre und es auch weiterhin tun werde. Alles Gute!
[1]: https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html
[2]: https://blog.fefe.de/?q=Schlangen%C3%B6l
[3]: https://en.wikipedia.org/wiki/Comparison_of_OTP_applications
Hey! Danke! Das sind valide Punkte, ich werde das mal in einer eigenen Folge aufgreifen. Du hast natürlich recht, dass das in der Kürze der letzten Folge vielleicht etwas irreführend ist. Insofern ist es eine gute Idee, die Debatte mal aufzudröseln.
LG,
Matthias!
Danke für das Feedback in der nächsten Folge 🙂
Danke, gerne! 🙂
Zu Adblock Plus sei noch angemerkt, dass es in den Standardeinstellungen „gute“ Werbung erlaubt („Acceptable Ads“), es also NICHT alles blockt, was es könnte und lieber selbst von der Werbeindustrie kassiert.
Andere Plugins wie uBlock Origin sind da vielleicht empfehlenswerter.