Don't Click Shit (German)

Schwache Passwörter, unverschlüsselte Kommunikation und verdächtige Dateien. Erfahren Sie wie Sie Ihr Onlineleben sicherer gestalten können.

Translation in english: Don’t Click Shit (English)

Inhalt

  1. Don’t click shit
  2. Verwenden Sie starke Passwörter
  3. Multifaktor Authentifizierung
  4. Betriebssystem und Software
  5. Antivirus
  6. Erstellen Sie Backups
  7. Nutzen Sie Kryptographie
  8. Mobile Sicherheit
  9. Physikalische Sicherheit
  10. Bleiben Sie sicher!
  11. Credits

Don’t click shit

Was ist damit gemeint?

Klicken Sie auf keine verdächtigen Links und führen Sie keine unbekannten Programme aus.

Als verdächtig werden alle Dateien bezeichnet, die Ihnen unerwartet zugesandt werden.

Verdächtige Dateien

Öffnen Sie keine verdächtigen Dateien, Email Anhänge oder archivierte Daten - sofern Sie deren Herkunft nicht zu 100% vertrauen.

Markieren Sie unerwünschte Emails als Spam bevor Sie diese öffnen. Dateien oder Links von unbekannten Personen sollten standardmässig als bösartig eingestuft und dementsprechend behandelt werden.

Halten Sie Rücksprache mit derjenigen Person die Ihnen die verdächtige Datei(en) übermittelt hat. Idealerweise sollten Sie die Rücksprache nicht über denselben Weg führen, über welchen die Datei oder der Link an Sie übermittelt wurde. Wenn Sie z.B. unerwartet ein Word Dokument durch eine Email erhalten, so kontaktieren Sie den Sender per Telefon oder Instant Messenger. Orientieren Sie sich darüber warum Ihnen diese Datei oder Link zugestellt wurde, bevor Sie diese ausführen bzw. klicken.

Die gefährlichsten Dateien um Überblick:

  • Ausführbare Dateien: .exe, .com, .cmd, .bat, .ps1, .swf, .jar etc.
  • Microsoft Office Dokumente, besonders Dokumente mit Makros: doc/docx/docm, xls/xslx/xlsm etc.
  • PDF Dokumente: .pdf
  • Vektor Grafiken, mit verstecktem Code: .svg
  • Archive Dateien, besonders Passwort geschützte: .zip, .rar, .7z

Manchmal ist es schwer bösartige Dateien von harmlosen Dateien unter Zeitdruck voneinander zu unterscheiden. Verwenden Sie deshalb VirusTotal um die verdächtige Datei durch mehrere Viren Scanner gleichzeitig überprüfen zu lassen. Bedenken Sie jedoch beim der Verwendung von VirusTotal, dass Sie diese Datei (und deren Inhalt) einer Drittpartei (Google) zur Verfügung stellen.

Klicken Sie nicht auf verdächtige Links. Dies gilt besonders dann, wenn Sie die Seite nicht kennen. Überprüfen Sie die korrektheit des Links bevor Sie den Link klicken. Es ist üblich dass Angreifer versuchen einen sehr ähnlichen Domain Namen zu verwenden, um unvorsichtige Personen in die Falle zu locken. Beispiele für solche Domain Namen sind: facelook.com, gooogle.com, etc. Stellen Sie sicher dass Sie die HTTPS Version der Seite verwenden und überprüfen Sie das SSL Zertifikat um sicher zu stellen dass dieses nicht kopiert oder gefälscht wurde.

Bösartige Links können in HTML Dateien, Dokumenten und Emails enthalten sein. Somit wird nicht der Ziel Domain Name angezeigt sonder eine andere. Um den korrekten Domain Namen herausfinden zu können, bewegen Sie Ihre Maus auf den Link und warten Sie einen Moment bis ein kleines Pop-up auftaucht, dies verrät Ihnen wohin der Link wirklich führt. Sie können VirusTotal auch dazu verwenden um verdächtige Links zu übermitteln und überprüfen zu lassen.

Bösartige Links können auch als QR-Codes oder hinter gekürzten Links versteckt werden. Links die von solchen Link shortener Services stammen, sind z.B. tinyurl.com, bit.ly, ow.ly, tw.co, etc. Geben Sie diese URLs nicht in Ihrem Browser ein und scannen Sie keine QR-Codes mit Ihrem Smartphone, sofern Sie nicht sicher sind wohin diese führen.

Gekürzte Links können teilweise aufgelöst werden indem einer dieser Webseiten verwendet wird:

Als alternative können Sie auch ein Browser Addon dafür verwenden:

Verdächtige Pop-Ups

Nehmen Sie sich vor Pop-Ups in Ihren Browser, Anwendungen und Betriebssystem in acht. Lesen Sie Pop-Up Nachrichten und ‘Akzeptieren’ Sie nichts auf die schnelle.

Pop-Ups bergen verschiedene Gefahren: manche installieren bösartige SSL Zertifikate welche einem Angreifer erlauben Ihren Internet Verkehr einzusehen; manche können bösartige Software auf Ihrem Computer installieren oder Ihren Browser auf bösartige Websites umleiten, welche dazu verwendet werden Ihr System mit Schadsoftware zu infizieren.

Verdächtige Geräte

Stecken Sie keine unbekannten USB-Sticks, CD/DVD, externe Festplatten etc. in Ihren Computer. Dies sind Techniken die Ihrem Computer Schaden zufügen können, noch bevor Ihr Antivirus deren Inhalt beurteilen kann. Wenn Sie das Geräte ausserhalb oder innerhalb Ihres Büros gefunden, es durch die Post oder eine Lieferung Ihnen zugestellt wurde oder Ihnen ein Fremder einen solchen Datenträger überreicht und Sie dazu auffordert ein Dokument zu drucken oder Sie dazu auffordert das Gerät bloss an Ihr Computer an zu schliessen - ist es mit hoher Wahrscheinlichkeit bösartig. Vertrauen Sie nur Ihren eigenen Geräten und seien Sie vorsichtig wenn Sie Geräte von Mitarbeitern oder Bekannten an Ihrem Computer anschliessen.

Verwenden Sie starke Passwörter

Wie sind starke Passwörter aufgebaut?

Starke Passwörter äussern sich in deren Länge und Komplexität. Sie sind vorsichtig zusammengewürfelt um zu verhindern dass es auf einfache Art und Weise erraten werden kann.

Wählen Sie Sätze die Sie nicht einfach vergessen: dies kann eine Zeile eines Gedichts, oder Songs, ein Proverb, ein Slogan, etc. sein. Um Ihr Passwort noch sicherer zu gestalten, ersetzen Sie Buchstaben mit ähnlichen Sonderzeichen oder Nummern: A -> 4, B -> 8, C -> (, E -> 3, I -> 1, L = 7, S -> 5, T -> 7, etc. Dadurch dass Sie Sonderzeichen und zufällig grosse oder kleine Buchstaben wählen, wird die Passwort Komplexität erhöht.

Wie erstelle ich ein starkes Passwort?

Nachfolgend ist eine grobe Beschreibung die Sie verwenden können um ein starkes Passwort zu erstellen. Es gilt kreativ zu werden.

  1. Wählen Sie eine starke Basis, z.B. den Satz: w3llD0nem8.
  2. Kombinieren Sie Ihr Passwort mit Ihrem System, indem Sie z.B. Ihren Server Namen am Ende des Passworts anhängen:

    w3lld0nem8'cyllective

    Halbieren Sie den Namen und fügen Sie die Hälften am Anfang und am Ende des Passworts an:

    cyllew3lld0nem8'ctive

    ctivew3lld0nem8'cylle

  3. Vergessen Sie nicht den Namen des Servers (oder den Namen den Sie gewählt haben) auch mit Sonderzeichen und Nummern zu ersetzen: (yllew3lld0nem8'Ct1v3

Behalten Sie Ihr Passwort geheim!

Niemand ausser Sie sollte das Passwort kennen. Geben Sie es niemandem weiter, dies beinhaltet Ihr Chef, System Administrator, Helpdesk, Frau, Eltern, Kinder, etc. Es gibt kein legitimer Grund dass irgendjemand Sie nach Ihrem Passwort fragt. Technisch gesehen weiss nicht einmal Ihr System über Ihr Passwort Bescheid, es wurde einmalig durch eine Kryptografische Berechnung in einen Hash transformiert und ist somit nicht direkt lesbar.

Schreiben Sie niemals Ihr Passwort auf Papier und legen Sie nie eine Klartext (nicht verschlüsselte) Kopie Ihres Passworts auf Ihrem Computer ab. Ein Passwort geschütztes Excel Sheet ist nicht verschlüsselt. Ein Passwort geschütztes Archiv ist nicht ordnungsgemäss verschlüsselt. Verwenden Sie ein vertrauenswürdigen Passwort Manager falls möglich.

Passwörter Wechseln

Wechseln Sie Ihr Passwort regelmässig, mindestens einmal pro Jahr. Passwörter die Sie sehr oft verwenden, z.B. im Beruf, sollten Sie mindestens jeden Monat wechseln.

Als Faustregel gilt: je mehr Sie ein Passwort verwenden, desto öfters sollten Sie es wechseln.

Wollen Sie noch immer einfache Passwörter verwenden?

Passwörter sind lang, komplex und einzigartig. Dies bedeutet sie sollten länger als 12 Zeichen sein, mehrere Arten von Zeichen beinhalten (Buchstaben, Zahlen, Sonderzeichen) und sich für jeden Service, für jede Website und jedes System unterscheiden. Passwörter sollten nicht aus Worten bestehen die sich in Wörterbüchern nachschlagen lassen. Passwörter sollten nicht von persönlichen Daten oder dem verwendeten System Daten abstammen. Persönliche Informationen wie das Geburtsjahr, Wohnort oder Computer Name etc. können einem Angreifer helfen Ihr Passwort zu erraten, sofern diese Informationen in Ihr Passwort eingeflossen sind.

Passwort Manager

Verwenden Sie ein Passwort Manager und befolgen Sie folgende Regeln:

  1. Generieren Sie zufällige Passwörter die sich in der Länge und Komplexität konfigurieren lassen.
  2. Wählen Sie ein starkes Master Passwort.
  3. Verwenden Sie ein Passwort Manager der Ihre Passwörter verschlüsselt bevor sie in die Cloud synchronisiert oder in Ihrem System abgelegt werden.
  4. Erstellen Sie regelmässige Backups Ihrer Passwort Manager Datenbank.

Gute Passwort Manager:

Multifaktor Authentifizierung

Aktivieren Sie Multifaktor Authentifizierung

Die hochwertigsten Online Services bieten Ihnen die Möglichkeit Zweifaktor Authentifizierung zu aktivieren. Nutzen Sie diese Gelegenheit um Ihr Account besser zu schützen.

Links zu Multifaktor Authentifizierung Einstellungen von bekannten Online Services:

Weitere Services welche die Multifaktor Authentifizierung anbieten: https://twofactorauth.org/

Vermeiden Sie SMS Authentifizierung

Ziehen Sie Google Authenticator, physikalische Token oder Mobile App Verifikation dem SMS Code vor, sofern Sie eine Wahl haben.

Betriebssystem und Software

Führen Sie keine Software mit administrativen Privilegien aus. Melden Sie sich an Ihrem Betriebssystem interaktiv als normalen Benutzer an und erhöhen Sie nur Ihre Privilegien, über das Programm Menu Ausführen..., wenn es notwendig ist. Dies beispielsweise bei Installationen oder wenn Sie legitime Programme auszuführen. Führen Sie Programme wie Java, Flash, PowerShell oder cmd Skripte niemals mit administrativen Berechtigungen aus.

WARNUNG: Falls Sie Programme mit den Rechten eines lokalen Administrator ausführen, ermöglichen Sie es dem Programm, Account Informationen und Sitzungsinformationen von anderen Benutzern, die momentan oder vor kurzem an Ihrem Computer arbeiteten, mitzulesen. Somit kann ein Angreifer die mitgelesenen Account Informationen verwenden um die gesamte Active Directory Domain zu kompromittieren.

Verwenden Sie Raubkopierte Software? Führen Sie keine Software oder Installation von unvertrauten Quellen aus. Dies beinhaltet Torrents und andere Peer-to-Peer Netzwerke. Gefährlich sind Keygens und andere Cracking Tools, welche Administrator Berechtigungen benötigen. Diese sollten nicht ausgeführt werden.

Es handelt sich hier nicht um Moral oder Ethik sondern darum dass die Verwendung dieser Tools unsicher ist. Durch das Downloaden von Raubkopien passiert es schnell dass sich ein Trojaner auf Ihr System einschleicht. Dazu kommt dass raubkopierte Software einem nicht die Möglichkeit bietet diese zu aktualisieren. Das Sicherheitsrisiko ist es nicht wert. Darüber hinaus ist es unakzeptabel, dass die Software nicht aktuell gehalten werden kann.

Windows

Aktivieren Sie automatische System Updates. Mehr Informationen darüber finden Sie hier auf der offiziellen FAQ Seite. Vergewissern Sie sich dass Ihr Windows Update alle Microsoft Produkte auf Updates überprüft.

Führen Sie regelmässige Software Updates aller Ihrer Software durch. Dafür kann unteranderem Flexera verwendet werden: http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/personal-software-inspector/

macOS

Aktivieren Sie die AppStore auto-updates wie von Apple empfohlen. Stellen Sie sicher dass auch das Office Paket automatisch auf Updates überprüft wird, wie es von Microsoft empfohlen wird.

Verwenden Sie Homebrew um Ihre Programme aktuell zu halten. Um herauszufinden welche Programme Sie schon in Homebrew verwenden, können Sie folgenden Befehl verwenden:

brew search vlc
brew search wireshark
brew search gpgtools
brew search <tool>

Um Homebrew zu installieren, folgen Sie der offiziellen Anleitung auf: https://brew.sh/

Linux

Moderne Linux Distributionen erlauben es Ihnen automatische Software Updates durchzuführen oder diese manuell vor zu nehmen. Für Debian basierte Distributionen kann dies wie folgt gemacht werden:

apt-get update && apt-get -y upgrade

Orientieren Sie sich im Zweifelsfall bei der Dokumentation Ihrer gewählten Distribution.

Antivirus

MacOS & Linux

Unter Linux oder MacOS sollte kein Antivirus verwendet werden. Security Software kann auch Sicherheitslücken beinhalten und ist somit nicht sicherer als andere Arten von Code. Ein Antivirus erfordert normalerweise erhöhte Privilege im Betriebssystem und stellt somit eine neue Gefahr für das System dar. Wenn Sie jedoch Empfehlungen in diesem Artikel folgen können Sie ein Antivirus, welcher nicht kontinuierlich das System überwacht, sondern es von Zeit zu Zeit überprüft installieren. Malwarebytes bietet eine solche Art von Scanner an, Bitdefender ist dabei eine gründlichere Option.

Windows

Unter Windows sollten Sie definitiv ein Antivirus verwenden. Vergessen Sie dabei jedoch nicht dass ein Antivirus nicht sehr effektiv gegen moderne Online Bedrohungen ist. Es kann von einer Effizienzrate von 15% bis 30% ausgegangen werden.

Es ist zudem nicht leicht eine Antivirus Software zu wählen, wenn man von Online Tests ausgeht. Es gibt jedoch mehr oder weniger objektive Reviews und Test Resultate.

Erstellen Sie Backups

macOS

Verwenden Sie eine verschlüsselte, externe Festplatte mit Time Machine konfigurierten Backups. Schliessen Sie die Festplatte an, während Sie wichtige Arbeiten erledigen, somit wird automatisch ein Backup Ihrer Arbeit auf der Festplatte abgelegt. Die empfohlene Festplatten Grösse sollte mindestens doppelt so gross sein wie Ihre interne Festplatte. Anleitung Apple

Windows

Unter Windows 10 kann die Backup und Wiederherstellung auf einfache Art und Weise konfiguriert werden. Unter Einstellungen -> Update und Sicherheit -> Sicherung. Anleitung Microsoft

Linux

Unter Linux gibt es mehrere Backup möglichkeiten, von tar bis rsync auf einen externen Fileserver. Für Linux Neukommer können benutzerfreundliche Tools ausgewählt werden.

Sie können die Backups auf Cloud Provider wie Dropbox, iCloud Drive, Google Drive, etc. übertragen. Vergessen Sie dabei aber nicht Ihre Backups dementsprechend zu verschlüsseln bevor Sie diese übertragen.

Nutzen Sie Kryptographie

Überprüfen Sie Website Verschlüsselung

Vergewissern Sie sich dass Sie sensitive Daten nur über HTTPS geschützte Websites übermitteln. Sie erkennen dies daran dass sich https:// in der Adresszeile befindet, das Zertifikat durch Ihren Browser validiert wurde und keine Sicherheitsmeldungen beim Verbinden auf die Seite auftrat.

Sie sollten sich trotz HTTPS nicht in falscher Sicherheit wiegen. Der Domain Name sollte überprüft werden, weil dieser leicht gefälscht und der Website Inhalt geklont werden kann.

Akzeptieren Sie keine unvertrauten Zertifikaten, weder temporär noch permanent.

Verschlüsseln Sie Ihre Daten

Sie können Ihr System mit Full Disk Encryption verschlüsseln um Ihre Daten bei einem Diebstahl Ihres Computers oder Laptops zu schützen. Alle modernen Betriebssysteme unterstützen dieses Feature kostenlos.

macOS

Aktivieren Sie File Vault. https://support.apple.com/de-de/HT204837

Linux

Jede bekannte Distribution bietet einem die Möglichkeit Full Disk Encryption zu aktivieren. Je nachdem welche Distribution im Einsatz ist, finden Sie in der offiziellen Dokumentation nützliche Anleitungen, wie Sie vorgehen können.

Windows

Unter Windows kann BitLocker verwendet werden. Bitlocker ist einfach zu konfigurieren und zu verwenden. https://www.howtogeek.com/234826/how-to-enable-full-disk-encryption-on-windows-10/

Falls Ihre Windows Version ohne BitLocker installiert wurde, kann VeraCrypt eingesetzt werden.

Verschlüsselte Kommunikation

Verwenden Sie End-to-End verschlüsselte Kommunikation für private und vertrauliche Daten. End-to-End Verschlüsselung versichert Ihnen dass niemand anders als Ihr Gegenüber an der Konversation teilnehmen kann. Verwenden Sie die End-to-End Verschlüsselung PGP, GPG oder S/MIME für Email basierte Konversationen. Für Instant Messenger sind Signal, WhatsApp, iMessage, Viber und Threema empfohlen, da diese End-to-End Verschlüsselung verwenden. Facebook Messenger, Google Allo und Telegram bieten Geheime Chats welche als sicherer als deren Standard Version betrachtet werden können.

Email Verschlüsselung:

End-to-End verschlüsselte Instant Messenger:

Hoch anonyme Instant Messenger:

Auf https://www.eff.org/secure-messaging-scorecard finden Sie Anleitungen zu sicheren Instant Messenger und deren Bewertungen.

Verschlüsselte Cloud Daten

Bevor Sie sensitive Daten in der Cloud speichern, stellen Sie sicher dass die Daten verschlüsselt sind. Bedenken Sie dass die “Cloud” ein fremder Server ist. Verschlüsseln Sie Ihre Daten mit Boxcryptor oder Cryptomator bevor Sie Ihre Daten in der Cloud ablegen.

Verwenden Sie ein VPN

Um Ihren Netzwerkverkehr und die darin enthaltenen Meta-/Daten vor Mitleser zu schützen, sollten Sie ein VPN einsetzen. Sie können von mehreren verschiedenen VPN Anbietern auswählen oder Ihren eigenen VPN Server konfigurieren. Verwenden Sie stets Ihr Firmen VPN wenn Sie mit Firmen Daten arbeiten.

Anleitungen wie Sie Ihren eigenen VPN Server aufsetzen, finden Sie beispielsweise hier: https://arstechnica.com/gadgets/2017/05/how-to-build-your-own-vpn-if-youre-rightfully-wary-of-commercial-options/

Mobile Sicherheit

Das Mobile Netzwerk ist genau so unsicher wie ein öffentlicher WiFi Access Point. Verwenden Sie dieselben Verschlüsselungs Tools während Sie diese Netzwerke verwenden. Nehmen Sie nicht einfach an dass Ihre SMS oder Anrufe privat sind: verwenden Sie stattdessen End-to-End verschlüsselte Anrufe und Nachrichten.

Verwenden Sie iOS Produkte. Die Sicherheit von Apple Produkten sind mit Abstand am sichersten, im Vergleich zu Android.

Unterlassen Sie es Ihr Smartphone zu jailbreaken. Verwenden Sie ausschliesslich autorisierte und vertrauenswürdige App Quellen wie Google Play und AppStore. Installieren Sie keine “dringende Sicherheits Updates” welche nicht direkt vom Software Hersteller stammen.

Physikalische Sicherheit

Behalten Sie Ihre Geräte im Auge. Ihr Computer und andere elektronische Geräte sollten genau so sicher behandelt werden wie Ihre Kredit Karte und Hausschlüssel. Bedenken Sie wenn ein Angreifer in die Nähe Ihrer Geräte kommen kann, ohne dass Sie es bemerken, wird er höchst wahrscheinlich in der Lage sein Ihr System zu kompromittieren. Es hilft wenn Sie Ihre Sitzung sperren, ist jedoch keine Absicherung gegen moderne Angriffe.

Darum, lassen Sie Ihre Geräte nicht unbeaufsichtigt, besonders nicht wenn diese eingeschaltet sind. Fahren Sie Ihr Gerät immer herunter oder aktivieren Sie den Schlafmodus, sofern Sie Ihr Gerät verlassen, auch wenn Sie dies nur für ein paar Minuten tun. Konfigurieren Sie Ihr Gerät so, dass Sie nach einem Passwort gefragt werden, sobald Sie das Gerät wieder verwenden wollen.

Trennen Sie sensitive und nicht sensitive Arbeiten durch unterschiedliche Computer. Wenn Sie Ihren Kindern erlauben denselben Computer zu verwenden auf dem Sie Online Banking betreiben - können Sie einem Angriff zum Opfer fallen. Verwenden Sie einen Computer in einem Internet Kaffee oder Computer Club um Online einzukaufen - können Sie einem Angriff zum Opfer fallen. Falls Sie Firmen Emails von einem Hotel Computer aus senden - können Sie einem Angriff zum Opfer fallen.

Verwenden Sie separate Computer für geschäftliche und finanzielle Aktivitäten, welche privat und geheim gehalten werden sollen. Verwenden Sie eine dedizierte virtuelle Maschine oder physisches System für die kritischsten Aktivitäten.

Bleiben Sie sicher!

Vielen Dank dass Sie sich um Ihre persönliche Online Sicherheit sorgen. Teilen Sie diese Tipps mit Ihren Freunden, Kollegen und Bekannten um die Welt etwas sicherer zu gestalten.

Diese Tipps wurden von mehreren Security Experten zusammengestellt, welche jahrelange Erfahrungen gesammelt haben im Bauen, Untersuchen und ethischem Hacken von Computer, Applikationen und Netzwerken.

Credits

Der ursprüngliche “Don’t Click Shit” Artikel stammt von github.com/sapran/dontclickshit und wurde durch cyllective auf Deutsch übersetzt.