Worin genau besteht das Gefahrenpotenzial in der digitalen Welt? Wie schützt man sich dagegen? Über das Backup habe ich schon mal etwas geschrieben, ebenso über Spam. Mythen gibt es in der IT viele. Ob man in die Cloud muss, welche Social-Media-Plattformen ok sind oder wo man einkaufen sollte, will ich hier nicht behandeln. Hier geht es um die Einschätzung der IT-Sicherheit und wie man sich selbst dazu verhalten sollte.
Passwort dauernd ändern
Das führt nur dazu, dass ein zu einfaches Passwort gewählt wird. Pro System ein richtig gutes und langes Passwort, eine Passphrase, wenn möglich, ist die bessere Wahl. Und dazu MFA benutzen, wenn möglich.
Ausnahme: Es besteht der Verdacht, dass der Zugang kompromittiert wurde. Dann sollte das Passwort so schnell wie möglich geändert werden.
Links nicht anklicken
Das Anklicken ist nicht das Problem. Die Warnungen danach ignorieren oder gedankenlos Daten eintippen dagegen schon. „Böse Links“ könnten überall sein. So verbaut man sich nur den Nutzwert des ganzen Internets. Aber wenn der Browser sagt „Wollen Sie das wirklich?“, sollte man auf ihn hören. Und Daten gibt man nur demjenigen, von dem man sicher ist, dass sie ihn auch etwas angehen.
Ausnahme: Der Link passt offensichtlich gar nicht zum Rest. Wenn mir meine Bank schreibt, sie wollen irgend etwas von mir, aber der Link geht zu vladimirconsulting.ru … *hust* Das sollte man besonders bei Links in Emails beachten. Mehr dazu in Spam Erkennen.
QR-Codes sind gefährlich
QR-Codes an sich sind sehr praktische Hilfsmittel, um unsere physikalische Welt, insbesondere die des Drucks mit der digitalen zu verknüpfen. Ähnlich wie schon bei den Links gesagt, ist nicht der QR-Code das Problem. Der Code enthält typischerweise eine URL. Das Problem entsteht, wenn man dem Link blind vertraut, weil man den Code von einer vermeintlich vertrauenswürdigen Quelle hat.
Angreifer nutzen dabei auch aus, dass die herkömmlichen Schutzmechanismen typischerweise textbasiert arbeiten und ein Bild erst mal nicht als “Angriffsvektor” erkennen.
Wer will schon etwas von mir?
Gezielte Attacken sind die Ausnahme. Die meisten Angriffe gehen in die breite Masse. Nur weil man ein “kleines Licht” ist, ist man also nicht vor Angriffen und Schaden geschützt.
Wenn der wirklich hereinwill, schafft der das ohnehin
Eben weil die meisten Angriffe in die breite Masse gehen, sind die normalen Sicherheitsstandards meist ausreichend. Angreifer halten sich typischerweise nicht lange gezielt mit einem System auf.
Das Update kann warten
Wenn es ein Update gibt, ist auch der Fehler bekannt, den es behebt. Genau solche bekannte Fehler werden in der breiten Masse ausgenutzt.
Dagegen ist man doch versichert
Versicherungen ersetzen den finanziellen Schaden. Den Aufwand, den Schaden zu beheben, hat man trotzdem. Dazu zahlen Versicherungen typischerweise nur, wenn man die Sicherheitsstandards eingehalten hat.
Dafür habe ich doch meinen Scanner
Malware-Scanner schützen vor Bedrohungen, die sie kennen. Viele Angriffe beruhen heute auf menschlichen Schwächen (“social engineering”). Und sie können dank moderner Technik sehr schnell variiert werden. Die sogenannte menschliche Firewall ist das, was hier zählt, also der gesunde Menschenverstand.
Ich mache doch schon XYZ, da kommt keiner drauf
An der Verbesserung der Sicherheitsmaßnahmen haben viele Leute, die da richtig professionell drin sind und das auch beruflich machen, über eine lange Zeit gearbeitet. Und diese Maßnahmen sind sorgfältig geprüft worden. Dass eine im stillen Kämmerlein erfundene Maßnahme das ersetzen kann, ist, gelinde gesagt, unwahrscheinlich.
Wenn es kompliziert ist, ist es sicher
Einige Systeme haben eine Vielzahl von Mechanismen, die angeblich die Sicherheit verbessern. Die Wahrheit ist oft das Gegenteil: Je geradliniger ein System zu bedienen ist, desto eher fallen “Ungereimtheiten” auf. Wer sich wie ein “dressierter Affe” durch unzählige Sicherheitsabfragen klicken muss, der ermüdet und wird bald überall blind auf “ok” drücken. Für solche Fälle sollte man sich wieder am guten alten “KISS-Prinzip” orientieren. “Keep it simple, stupid” bedeutet, dass nur dumme Leute hinter mehr Aufwand auch mehr Nutzen vermuten.
Die Kunst ist dabei, die Waage zu halten. Ein Passwort mit einem zweiten Faktor ist Stand der Technik und sollte für jeden zumutbar sein. Das Passwort alle 10 Minuten neu eingeben zu müssen und dabei nicht die Zwischenablage benutzen zu dürfen ist dagegen sinnlos und hilft nur dem Angreifer.
Weitere Aspekte und Ausblick
Immer wieder entsteht ein neuer Mythos. Es dauert oft eine Weile, bis sich die Experten darüber einig sind, wie das zu bewerten ist. Die Cybersicherheit oder Cybersecurity ist ein schnelllebiges Geschäft. Dinge, die heute noch als Stand der Technik gelten und Unternehmen wie Privatpersonen ausreichend schützen, können morgen schon überholt und unzureichend sein. Hacker oder Cyberkriminelle entwickeln ihre Methoden natürlich auch weiter, und so bleibt es ein ewiger Wettlauf, die Ziele vor Angriffen zu schützen. Das beginnt schon damit, zu erkennen, was überhaupt ein Ziel sein kann und welche Sicherheitsmaßnahmen effizient sind, auch vor dem Aspekt, dass die Systeme natürlich auch benutzbar bleiben müssen. Wichtig ist auch, richtig zu handeln, wenn man doch ein Opfer eines Angriffs geworden ist. Beispielsweise sollten nicht leichtfertig Backups eingespielt werden, so lange nicht sicher geklärt ist, ob das System bereinigt ist.
