Diese Daten stellten zum Zeitpunkt der Erstellung (02/2021) den aktuellen Stand der Technik dar.
Updates, Updates und Updates!
Halten Sie Ihr System immer auf den neusten Stand. Damit wird es unberechtigten Dritten erschwert die von Ihnen verwendete Software als Einfallstor zu nutzen.
Oberste Update Priorität sollten natürlich Betriebssystem und Server Anwendungen bekommen. In Zeiten von Windows Update und Autoupdate Mechanismen auch in kleineren Software Produkten ist dies heutzutage einfacher als je zuvor.
Ein paar Empfehlungen zur Umsetzungen von Lösungen
In allen Windows Versionen ist Windows Update bereits fest und gut integriert. Windows 10 zwingt den Nutzer, wichtige Updates zu installieren, aber in älteren Versionen sind Updates leider noch sehr optional. Ein Update Check pro Tag, z.B. vor Arbeitsbeginn kann extrem viel zum Schutz beitragen. Auch raten wir, neuere Betriebssystem Versionen (speziell Windows und MacOs) einzusetzen da diese bessere Update Unterstützung durch die Hersteller erhalten.
Bedenken bezüglich der Übermittlung von Telemetrie Daten in den neusten Windows Versionen sollten hier zugunsten der erhöhten Sicherheit hinten angestellt werden.
Auf unseren Smartphones befinden Sie unsere Privatesten Daten überhaupt und sind oft ein primäres Ziel von Angriffen. Halten Sie Ihr Smartphone über die von Google oder Apple angebotenen Update Funktionen stehts aktuell. Hier sollten neben den Updates für die verschiedenen Apps im PlayStore oder AppStore nicht die eigentlichen Betriebssystem Updates vergessen werden, welche sich oft in den Einstellungen des Betriebssystems, also außerhalb des Appstores, befinden.
Leider bieten viele Hersteller ab einer gewissen Zeitspanne nach Veröffentlichung des Gerätes keine Updates mehr für das Gerät an. In Ausnahmefällen werden aber noch Security Updates veröffentlicht.
Sollte es aber seitens des Herstellers keine Updates mehr für Ihr System geben, sollte über eine Neuanschaffung nachgedacht werden. Hier müssen natürlich auch Aspekte des Umweltschutzes und finanzielle Überlegungen gegeneinander abgewogen werden.
Noch größere Angriffsflächen haben Websites. Vor allem jene mit bekannten und stark verbreiteten Content Management Systemen wie Wordpress.
Auch hier muss stark auf die aktuellste Version geachtet werden. Nicht nur das Basis System muss aktualisiert werden, sondern ggf. auch Plugins und Themes.
Wenn Ihr Anbieter oder Ihr System kein automatischen Update Mechanismus bereitstellt, sollten Sie dringend entsprechende Unternehmen um Unterstützung bitten. Websites sind 24/7 der "Witterung" ausgesetzt und sollten entsprechend gut gepflegt werden.
Pro Dienst, Pro Account immer andere Passwörter verwenden. Dies betrifft z.B. Ihren Facebook, Instagram oder auch Twitter Account.
Fast wöchentlich werden Datenbanken große Anbieter gestohlen und die darin gespeicherten Kunden / Nutzer Passwörter entwendet. Angenommen Sie verwenden bei üblichen Diensten immer das gleiche Passwort (z.B. bei gmail, hotmail, ebay und Amazon) und nutzen dieses auch für z.B. ein fiktiven Anbieter mit Namen "MeinNeuerEmailAnbieter.de".
Wird dieser Fiktive Anbieter aufgrund von unzureichenden Sicherheitsmechanismen oder eines unzufriedenen Mitarbeiters seiner Datenbank beraubt, so hat der potenzielle Angreifer nun im günstigsten Fall einen Generalschlüssel zu all Ihren anderen Accounts da Sie ja für alle Dienste wie Facebook, Twitter usw... das gleiche Passwort verwendeten.
Anmerkung:
Passwörter werden leider noch allzu oft mit unzureichenden oder gar keinem Hashing Algorithmen bei Anbietern hinterlegt und sind daher potenziell immer in Gefahr.
Fast wöchentlich werden Datenbanken große Anbieter gestohlen und die darin gespeicherten Kunden / Nutzer Passwörter entwendet. Angenommen Sie verwenden bei üblichen Diensten immer das gleiche Passwort (z.B. bei gmail, hotmail, ebay und Amazon) und nutzen dieses auch für z.B. ein fiktiven Anbieter mit Namen "MeinNeuerEmailAnbieter.de".
Wird dieser Fiktive Anbieter aufgrund von unzureichenden Sicherheitsmechanismen oder eines unzufriedenen Mitarbeiters seiner Datenbank beraubt, so hat der potenzielle Angreifer nun im günstigsten Fall einen Generalschlüssel zu all Ihren anderen Accounts da Sie ja für alle Dienste wie Facebook, Twitter usw... das gleiche Passwort verwendeten.
Eine mögliche Lösung finden Sie im "Aber wie?" Kapitel unter dem Punkt Passwortmanager.
Anmerkung:
Passwörter werden leider noch allzu oft mit unzureichenden oder gar keinem Hashing Algorithmen bei Anbietern hinterlegt und sind daher potenziell immer in Gefahr.
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Autem laudantium in adipisci ipsa optio quas id excepturi non, eos cupiditate, necessitatibus sapiente illo error. Vero adipisci quidem aut itaque labore.
Verwenden Sie in Ihren Passwörter niemals persönliche Daten wie Geburtsdatum, Geburtsname oder Geburtsort. Generell aber allem keine Daten, die öffentlich bekannt sind. Haben Sie diese Daten sogar in Ihren Social Media Accounts (Facebook, LinkedIn) oder auf Ihrer eigenen Website veröffentlicht, so kommen Sie einem versierten Angreifer sogar entgegen. Es gibt bequeme und kostenlose Tools, welche diese Informationen abgreifen, verarbeiten und aufbereitet für den Einbruch in Ihr System verwenden. Alternative werden auch Daten aus vergangenen Leaks verwendet. Große Social Media Anbieter wie Facebook und Linked in haben regelmäßig solche Datenschutz Probleme.
Wenn Sie sprechende Passwörter benötigen, dann aber ohne persönliche Daten.
Lorem ipsum dolor sit amet, consectetur adipisicing elit. Autem laudantium in adipisci ipsa optio quas id excepturi non, eos cupiditate, necessitatibus sapiente illo error. Vero adipisci quidem aut itaque labore.
Ein paar Empfehlungen zur Umsetzungen von Lösungen
Natürlich ist die Verwendung von individuellen Passwörter eine gewaltige Einschränkung der Bequemlichkeit, aber für diesen Fall gibt es sogenannte Passwortmanager wie 1password (kostenpflichtig) oder Keepass (kostenlos). Mit diesen Programmen können Sie bequem und relativ sicher Ihre Passwörter verwalten. Stellen Sie sich diese Manager als Datenbank vor. Sie benötigen Ihr Passwort für Facebook, also suchen Sie in Ihrem Passwort Manager nach Facebook und erhalten dort das entsprechende Passwort welches sie per Kopierfunktion in den entsprechenden Anmeldedialog übernehmen können.
Sie müssen Sich somit in Zukunft im Idealfall immer nur ein Passwort merken: dass Passwort Ihres Passwort Managers. Kommt das Passwort für einer Ihrer Accounts nun abhanden, dann ist nur ein Konto betroffen.
Was ist, wenn ein Passwort Manager gestohlen wird?
Wenn der Dieb nicht über Ihren Schlüssel / Passwort zum Passwortmanager verfügt, hat er keine Chance an die Passwörter im Passwortmanager zu kommen. Die Datei, in dem Ihre Passwörter verschlüsselt sind, ist zumeist in AES256 verschlüsselt. Dies ist mit heutiger Hardware nicht praktikabel zeitnah zu "knacken". Allerdings sollte man dass Passwort für den Passwort Store nicht zu kurz oder zu einfach wählen. Ein sogenannter Brute Force Angriff (Dabei werden viele verschiedene Passwörter ausprobiert) könnte je nach Passwortmanager noch möglich sein.
Daher gilt hier: Wenn Sie sich jetzt nur noch ein Passwort merken müssen, wählen Sie ein möglichst langes. Ein Satz mit mehr als 12 Zeichen reicht schon aus. Mehr dazu aber später im Thema Passwortsicherheit.
Die vorherige Lösung mit dem Passwort Manager verringert nur die Gefahr, dass ein Diebstahl von Daten aus einem Account auch andere Accounts gefährden. Aber Sie erhöht nicht die Sicherheit der einzelnen Accounts bei Diebstahl eines Ihrer Passwörter.
Eine Maßnahme um jeden Account besser vor einem Hack durch Passwort Diebstahl zu schützen ist die Verwendung einer 2 Faktor Anmeldung (2 Factor Authentication). Auch wenn Sie gleiche Passwörter für alle Dienste verwenden, wäre eine 2 Faktor Anmeldung eine letzte Barriere, die Ihr Konto retten könnte.
Dabei wird zusätzlich zu Ihrem Passwort ein weiteres "Geheimnis" abgefragt und dies möglichst auf einem anderen Weg als über die Login Maske des Anbieters wie z.B. über Ihr Mobil Telefon per SMS oder Authenticator App.
Weitere Details zu Verwendung und weitere Vorteile finden Sie im Kapitel "2FA - 2 Factor Authentication".