IT-Sicherheit für Dummies. Rainer W. Gerling
Читать онлайн книгу.
und häufige Fehler
IN DIESEM KAPITEL
Typische Fehleinschätzungen der Nutzerinnen
Fehler der Administratoren
Fake News der IT-Sicherheit
Um die IT-Sicherheit ranken sich viele Mythen. Die Nutzerinnen der IT haben teilweise seltsame Vorstellungen, wie Informationstechnik (IT) und IT-Sicherheit funktioniert.
Andere Nutzerinnen überschätzen das Risiko. »Ich mache kein Online-Banking. Das ist viel zu gefährlich.« »Ich will kein Smartphone, da werde ich nur ausspioniert.« »Die Geheimdienste können mich dann komplett verfolgen.«
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt auf der Webseite für Verbraucherinnen und Verbraucher (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/sicherheitsirrtuemer_node.html) gängige IT-Sicherheitsirrtümer zusammen, die wir zu vier mal fünf häufigen Irrtümern ergänzt haben und im Folgenden in vier Kategorien vorstellen.
Internet-Sicherheit
Sie surfen wahrscheinlich auch regelmäßig im Internet und wollen sich dabei schützen. Einige Nutzerinnen haben seltsame Vorstellungen, wie man sich schützt und was die Schutzmechanismen leisten können.
Eine Firewall schützt vor allen Angriffen aus dem Internet.Eine Firewall schützt unsere Rechner erst einmal überhaupt nicht. Erst das Regelwerk der Firewall erzeugt den Schutz. Je nach Firewall gibt es im Lieferumfang unter Umständen ein Default-Regelwerk. Gerade im Privatbereich ist dieses jedoch nicht auf maximalen Schutz ausgelegt, sondern eher auf Vermeidung von Support-Anrufen. Eine Firewall als virtueller Pförtner lässt immer einigen Datenverkehr passieren, zum Beispiel E-Mail-Empfang und Web-Surfen, und damit kann auch Schadsoftware durch die Firewall gelangen. Für einen IT-Laien ist eine sichere Konfiguration einer Firewall nicht leistbar, da sie ein gutes technisches Verständnis der Internet-Protokolle voraussetzt.
Wenn das Virenschutzprogramm aktuell ist, muss ich Updates für andere Software nicht sofort installieren. Ein kostenloses Virenschutzprogramm ist völlig ausreichend.Virenschutzprogramme erkennen nicht alle Schadsoftware. Gerade aktuelle, neue Viren werden nicht sofort erkannt. Deswegen müssen wir trotz Virenscanner Softwareupdates immer unverzüglich einspielen. Windows 7 ist mittlerweile auch mit einem aktuellen Virenscanner unsicher. Kostenlose Virenschutzprogramme haben häufig eine geringere Funktionalität als die kostenpflichtigen Versionen und eine geringere Updatefrequenz, denn der Hersteller lebt vom Verkauf der Software. Die in der freien Version fehlende Funktionalität ist aber der innovative Teil des Virenscanners, den Sie gerne zum Schutz Ihres Rechners nutzen würden. In Unternehmen ist der Einsatz kostenloser Virenschutzprogramme aus lizenzrechtlichen Gründen nicht möglich, da die kostenlosen Varianten überwiegend nur für einen nicht-kommerziellen Einsatz lizenziert werden.
Ein einziges langes und komplexes Passwort reicht für alle meine Internet-Dienste vollkommen aus.Es ist keine gute Idee, wenn wir für alle Dienste, die wir nutzen, immer dasselbe Passwort verwenden. Bei vielen Diensten wird als Nutzername eine E-Mail-Adresse verwendet. Werden der Nutzername und das zugehörige Passwort bei einem Dienst von Kriminellen gestohlen, ist es dann auch bei allen anderen Diensten kompromittiert, denn da funktioniert in diesem Fall dieselbe Kombination aus E-Mail-Adresse und Passwort! Und wenn Sie dann auch noch dasselbe Passwort bei Ihrem E-Mail-Anbieter nutzen, hat der Angreifer auch Zugriff auf all Ihre E-Mails. Anbieter wie »';– have i been pwnded« (https://haveibeenpwned.com/) zeigen, wie oft und in welchem Umfang dies geschieht. Nur wenn Sie für jeden (!) Dienst ein eigenes Passwort verwenden, können Sie im Falle des Falles den Schaden auf den Anbieter des kompromittierten Dienstes begrenzen.
Ich surfe nur auf seriösen Webseiten, darum kann mir nichts passieren.Auch das Webangebot eines vertrauenswürdigen Anbieters kann gehackt sein – dann wird über diese scheinbar ganz seriöse Webseite Schadsoftware verbreitet. Viele Anbieter finanzieren ihre Webangebote über Werbung. Die Werbeanzeigen werden dabei direkt von den Werbeanbietern geladen. Und auch diese können gehackt werden und mit der Werbung Schadsoftware verteilen. Auch Browser können Sicherheitslücken haben, über welche sich Ihr Rechner hacken lässt. Letztendlich gibt es keine Garantie, dass eine Webseite dauerhaft frei von Schadsoftware bleibt, egal wie gut ihr Ruf ist.
Die Nutzung eines Virtual Private Networks (VPN) erlaubt eine anonyme und sichere Internetnutzung.Wenn Sie das VPN eines kommerziellen Anbieters verwenden, nutzen Sie das Internet mit einer IP-Adresse des Anbieters. Ihr Internet-Provider kann nicht mehr analysieren, welche Seiten Sie im Internet aufrufen. Dafür sieht jedoch der VPN-Anbieter alles, was Sie im Internet über das VPN so anstellen. Da dieser Dienst bezahlt wird, ist dem Anbieter in der Regel auch Ihre echte Identität bekannt. Damit erfolgt keine anonyme, sondern nur eine pseudonyme Nutzung des Internets. Es hängt vom Anbieter ab, ob er Ihre Identität auf Nachfrage von Dritten (zum Beispiel von Sicherheitsbehörden) offenlegt. Ein VPN stellt die Vertraulichkeit der Kommunikation in unsicheren Netzen, beispielsweise in einem öffentlichen WLAN, sicher. Es ist kein Anonymisierungsdienst.Ein VPN verschlüsselt ausschließlich den Datenverkehr zwischen Ihrem PC und dem VPN-Server und schützt damit vor dem Abhören Ihrer Kommunikation in nicht-vertrauenswürdigen Netzen. Ein VPN schützt Sie nicht vor dem Download von Schadsoftware und nur eingeschränkt vor unberechtigten Zugriffen auf Ihren PC. In einem öffentlichen WLAN kann je nach Konfiguration Schutz vor Zugriffen durch andere gleichzeitige Nutzerinnen des WLANs möglich sein.
Mobile und Cloud-Sicherheit
Einige Nutzerinnen haben recht naive Vorstellungen, was ein Cloud-Dienstleister leisten kann, insbesondere, wenn der Kunde die Dienstleistung kostenlos in Anspruch nimmt. Auch beim sicheren Umgang mit Smartphones gibt es bei manchen Nutzerinnen einige Unklarheiten.
Meine in der Cloud gespeicherten Daten sind vor einem Fremdzugriff sicher geschützt.Schützen Sie auch den Zugriff auf Ihre Daten in der Cloud nur durch ein Passwort? Wird Ihr Passwort einem Dritten bekannt, so ist für den Dritten der Zugriff auf Ihre Daten möglich. Außerdem haben die Administratoren und möglicherweise andere Beschäftigte des Cloud-Anbieters Zugriff auf Ihre Daten. Dieser Zugriff ist den Beschäftigten zwar untersagt, aber er ist in der Regel nicht technisch unterbunden.
Wenn ich meine Daten in der Cloud speichere, benötige ich kein Backup.Gerade kostenloser Speicherplatz in der Cloud ist nicht immer mit umfangreichen automatischen Backups versehen. Schließlich kostet ein Backup Geld, was mit dem kostenlosen Angebot nicht verdient wird.Auch Cloud-Anbieter haben schon Daten verloren oder mussten sogar danach ihr Geschäft aufgegeben. Und dann sind Ihre Daten, die Sie bei dem Cloud-Anbieter gespeichert haben, unter Umständen nicht mehr zugreifbar. Zwei Kopien der Daten, auf Ihrem Rechner und in der Cloud sind zu wenig für ein verlässliches Backup. Ein Großbrand in einem Straßburger Rechenzentrum eines großen französischen Cloud-Anbieters im Frühjahr 2021 führte vielen Kunden vor Augen, dass die Daten, die in der Cloud gespeichert sind, verloren gehen können. Diese Erfahrung wollen Sie bestimmt nicht machen.Ein Backup basiert auf der Idee, das Sie mehrere Kopien einer Datei so speichern, dass