In den letzten Tagen ist ein groß angelegter Hackerangriff bekannt geworden. Mehrere Politiker und Prominente finden plötzlich persönliche Daten im Netz, verteilt über ein von Fremden übernommenes Twitter Konto. Personen aus dem “öffentlichen Leben” sagen meist auch, sie hätten nichts zu verbergen. Doch nun stehen die Tränen in den Augen. Und das kann jedem digitalen Nutzer geschehen.
Auf die Intension der subversiven Gruppe gehe ich hier nicht ein, aber der lang angelegte und breit gefächerte Angriff zeigt, dass es so manche Schwachstelle im digitalen Leben eines jeden einzelnen Nutzers gibt. Daher eine kleine Liste an Maßnahmen, welche keinen Anspruch auf Vollzähligkeit erhebt:
- Egal welche Plattform genutzt wird, teilt so wenig wie möglich mit.
- Keine dubiosen Plattformen nutzen.
- Prüfen, wo die Plattform Daten speichert. EU ist dank unter anderem DSGVO unter strengen Sicherheitsauflagen.
- Passwortmanager nutzen.
Es gibt Programme, welche über mehrere OS arbeiten, komplexe Passwörter erstellen können und selbst geschützt sind. - Keine einfachen Passwörter nutzen, auch wenn es so verlockend einfach ist. Siehe Punkt oben. Gerade das Masterpasswort für den Passwortmanager sollte sehr komplex sein.
Zum Beispiel: Ich brauche 1 Passwort, welches verdammt nochmal sicher zu merken ist. Ergibt: Ib1P,wvnszmi. - Das oben genannte Passwort auf keinen Fall verwenden, denn es ist nun öffentlich gepostet.
- Zweifaktorauthentifizierung nutzen, entweder eine Mobilfunknummer (am besten eine, nur für diesen Zweck) oder eine E-Mail-Adresse (auch nur für diesen Zweck).
- Keinen Login via Social Media nutzen.
- Mehrere E-Mail-Konten verwenden: eines zur Kommunikation, eines für Newsletter, eines für Logins, eines für die Wiederherstellung von Logins.
- Auf der Arbeit prüfen, ob die zuhörenden / umstehenden Personen auch berechtigt sind.
- Berufliche/Private Daten nicht am Telefon in der Öffentlichkeit nennen.
- Ende-zu-Ende verschlüsselte Messenger verwenden wie Threema, Signal. Auch WhatsApp verschlüsselt Chats, aber Telefonnummern und Kontakte werden an das Mutterunternehmen Facebook zur Generierung von Werbung weitergeleitet.
- Beruflich genutzte Smartphones per MDM absichern.
- Ist die Bürotür aus Glas? Kann man von außen auf den Bildschirm schauen? Wenn ja, kann auch eine einfache Milchglasfolie Schutz bieten.
- PC beim Verlassen des Büros sperren.
- Bildschirmsperre am Smartphone einrichten.
- E-Mails per OpenPGP verschlüsseln. S/MIME ist derzeit nicht abgesichert. Beide Systeme sind anfällig für eFail (OpenPGP hat schon einen kurzfristig ausgelegten Workaround) und werden es aufgrund der Protokollstruktur auch immer sein.
- HTML in E-Mails sowie das Nachladen von Bildern deaktivieren.
- Smartphone Apps nur aus dem Original App Store. Aber auch hier prüfen, wer der Entwickler ist. Eine Amazon App wird ganz bestimmt nicht von einem Entwickler names “One World Development” im Store eingestellt. Und die Berechtigungen prüfen. Eine Taschenlampenanwendung braucht keinen Internet- und Kontaktezugriff.
- Sich nicht aufregen, wenn die selbst veröffentlichten Daten in falsche Hände geraten, sondern daraus lernen.
- Hirn einschalten: Kommt einem etwas dubios vor, aus welchem (lächerlichen) Grund auch immer, dann lasst es.
Es gibt keine 100% Absicherung. Aber oben genannte Tipps können helfen. Im Falle des oben erwähnten Falles, konnte auch die Zweifaktorauthentifizierung von Google ausgetrickst werden. Der Fehler ist mittlerweile aber behoben.
Bleibt noch die Frage nach dem verwendeten OS. Was soll man nutzen? Windows, Linux? Mobil eher Android als iOS?
Dass die Systeme (außer Linux, je nachdem welche Version eingesetzt wird) “nach Hause telefonieren”, sollte allen klar sein. Die Firmen haben ihre Gründe. Aber auch aus den erhobenen Daten kann eine Sicherheit enstehen. Wenn man eine große Datenansammlung hat, kann man einfacher, schneller Anomalien aufdecken. Und diese Daten haben rein gar nichts mit der Datensicherheit zu tun. Sind eure Daten nochmals auf den Geräten verschlüsselt, kann auch das System diese nicht abgreifen.
Sicherungsmaßnahmen wie Apple sie einsetzt oder Samsung KNOX bzw BlackBerry DTEK helfen nicht, wenn man eine kompromittierte App nutzt, öffentlich Daten teilt oder die Daten selbst nicht absichert. Passwort 123456 ist kein Passwort!
Pingback: Hackerangriff / Doxing – Manchmal ist es so einfach | BB10QNX.de