Wir waren gut aufgestellt - und doch wurden wir Anfang des Jahres gehackt. Das hat sowohl bei uns, als auch bei euch ein Gefühl der Unsicherheit zurückgelassen: Wie sicher sind meine Accounts? Was kann ich tun, um mich besser zu schützen? Was macht ein gutes, sicheres Passwort aus? So viele Fragen!
Bernd van Straelen ist zertifizierter Berater für Datenschutz und Informationssicherheit und stand uns als Marke und Team nach unserem Hacking-Angriff mit Rat und Tat zur Seite. Ich freue mich sehr darüber, dass er sich dazu bereiterklärt hat, meine gesammelten Fragen aus der Community zu beantworten.
Stifte raus, es geht los!
1. Passwort, Emailadresse, Account
Joana: "Was macht ein gutes, sicheres Passwort aus? Was sind No-Gos?"
Bernd: "Passwörter sollten nicht einfach zu erraten sein und das Wichtigste ist eine gute Länge der Passphrase (8-16 Zeichen). Wichtig ist hierbei, dass neben Buchstaben auch Zahlen, Sonderzeichen und Groß- und Kleinschreibung verwendet werden."
Joana: "Ist wirklich für jede Anmeldung/Account ein neues Passwort nötig? Was ist mit Mehrfachnutzung z.B. nach Themen? Shopping, Social Media…"
Bernd: "Schlechte Idee, denn Hacker, haben diese ein Passwort ergattert, werden versuchen, das auf sehr vielen weiteren Webseiten anzuwenden und hätten so sehr schnell Zugriff auf diverse Seiten."
Joana: "Empfehlungen für Passwort Manager - welchen kann ich nutzen?"
Bernd: "Ich bin nicht wirklich ein Fan von Passwortmanagern (da auch diese gehackt werden können), aber wenn man so etwas nutzen möchte, bietet „Tante Google“ eine Menge Dienste an."
Joana: "Wie viele Mailadressen sollte man für welche Zwecke haben?"
Bernd: "Also es spricht eigentlich nichts gegen eine 2. oder 3. Emailadresse. So kann man eine für seriöse Zwecke verwenden und die anderen für Newsletter, Gewinnspiele etc."
Joana: "Was macht eine sichere Emailadresse aus? Was sind No-Gos bei einer Emailadresse (Geburtsdatum etc.)?"
Bernd: "Was man bei einer Emailadresse preisgibt ist schon spannend. Die „echte“ Email sollte so gestaltet sein, dass der Empfänger in der Lage ist, den Adressaten zu erkennen (das vermindert auch die Wahrscheinlichkeit im Spamordner zu landen). Für alle geschäftlichen Belange empfehle ich immer eine eigene Domäne zu wählen."
Joana: "Wie oft sollte man alle seine Passwörter ändern?"
Bernd: "Früher hieß es alle 6 Wochen, aber mit der Komplexität, mit der Passwörter heute ausgestellt werden, würde ich einen Passwortwechsel eigentlich ohne Not nicht mehr in Betracht ziehen. Das ist auch die Empfehlung vom BSI."
Joana: "Wie kann ich sicherstellen, dass ich das Master-Passwort nicht vergesse - wo speichern?"
Bernd: "Aufschreiben, ab in den Tresor oder in einem Briefumschlag in den persönlichen Dokumenten aufbewahren, also dort wo z.B. Rentenbescheide oder Verträge aufbewahrt werden"
Joana: "Versicherung gegen Cyber Kriminalität ist für Unternehmen sinnvoll - für mich privat auch?"
Bernd: "Nein, da eine Cyberversicherung bestimmte Hürden erfüllt sehen will, die oftmals ein privates Budget stark strapazieren."
Joana: "Darf ich rechtlich meine beruflichen Passwörter (Angestelltenverhältnis) zusammen mit meinen privaten Passwörtern in einem Passwortmanager speichern?"
Bernd: "Es kommt darauf an, wie die Arbeitsverträge aussehen und die Nutzung privater Dinge erlaubt ist. Umgekehrt ist es auch nicht empfehlenswert, denn sollte man als Privatperson gehackt werden und kommen Diebe so an Daten des Firmenaccounts, kann dies erhebliche zivilrechtliche Konsequenzen haben."
2. Wie sicher ist…
Joana: "…Apple Schlüsselbund, Google Chrome?"
Bernd: "Für private Nutzung geht das in Ordnung, aber bitte mit verifizierter Passphrase und 2 Faktor Authentifizierung"
Joana: "…ein generiertes/vorgeschlagenes Passwort?"
Bernd: "Wenn man es sich merken kann.. ansonsten ist es sinnlos"
Joana: "….mit Facebook einloggen oder mit Google einloggen?"
Bernd: "Die SSO* sind echt in Mode gekommen. Kann man machen, aber bin ich kein Fan davon, weil man so seine Onlinaktivitäten einem erheblich grösseren Publikum zur Verfügung stellt, was wiederum eine Schwachstelle darstellt."
*Single Sign-on (SSO, mitunter auch als „Einmalanmeldung“ übersetzt) bedeutet, dass ein Benutzer mit bei einem Identity Provider (IDP) zentral abgelegten Logindaten auf alle Rechner und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich an den einzelnen Diensten mit eigenen Logindaten zusätzlich anmelden zu müssen.
Joana: "…öffentliches WLAN?"
Bernd: "Nur bei verschlüsselten Geräten und dann bitte nur „unwichtiges Surfen" oder per VPN"
Joana: "…die Nutzung fremder Geräte?"
Bernd: "Wenn es die Geräte des Arbeitgebers sind ist es ok, ansonsten müsste man sich fragen: Wie kommt man an fremde Geräte? Aber Spass beiseite, man weiß nie, was jemand in einem Internetcafe alles vorinstalliert hat. Also NEIN."
Joana: "…das Akzeptieren von Cookies?"
Bernd: "Ich mache es und finde es gut, weil sonst Werbung, wie wir sie kennen, bald nicht mehr möglich ist und dann gibt es Zwangswerbung (bei Youtube, Facebook, etc.)"
Joana: "…das alleinige Öffnen von dubiosen Mails (ohne auf Links zu klicken)"
Bernd: "..kann schon dazu führen das System zu kompromittieren, besonders wenn die Vorschau an ist."
Joana: "…das Teilen von Daten über Whatsapp?"
Bernd: "Whatsapp ist nicht für seine Sicherheit bekannt, aber wenn eine End-to-End Verschlüsselung angeboten wird, steht seitens der IT Sicherheit nichts im Weg."
Joana: "…Online Banking?"
Bernd: "Geht es heute noch ohne? Wichtig hierbei ist, die Passwörter nicht speichern lassen und eine 2-Faktor-Authentifizierung zu nutzen, wenn diese Angeboten wird."
Joana: "...Webcams? Abkleben bei Nicht-Nutzung?"
Bernd: "Immer eine recht gute Idee."
Joana: "…es, ein Grundpasswort zu haben und davon Varianten zu erstellen?"
Bernd: "Jepp, der Königsweg ein gutes Passwort und danach die Phrase wo man hinwill z.B. PassW0rt##Google wenn man zu Google will oder PassW0rt##Amazon wenn man zu Amazon möchte (bitte nehmt nicht dieses...)."
Joana: "…Gesichtserkennung?"
Bernd: "Kann immernoch leicht ausgetrickst werden."
Joana: "…ein geteilter Zugang, wenn mehrere Personen z.B. einen Account verwalten?"
Bernd: "Absolutes No-Go, niemals einen Account teilen. Da gibt es andere, bessere Möglichkeiten zusammenzuarbeiten."
3. Was tun, wenn…
Joana: "…ich das Gefühl habe, dass ich einen Virus auf dem Computer habe? Woran kann ich es erkennen?"
Bernd: "Der Rechner „rödelt“ viel herum (Kann man in Taskmanager sehen wenn er a) ausgelastet ist, oder b) er unglaublich viele Daten versendet. Oder wenn Programme sich merkwürdig verhalten oder der Virenschutz deaktiviert wurde."
Joana: "…man täglich zwei- bis dreistellige ungewollte Mails bekommt? Wie kann man Spam-E-Mails reduzieren oder verhindern?"
Bernd: "Reduzieren oder mich von dubiosen Plattformen und Verteilern abmelden. Jede Mail sollte vom Gesetz her einen Abmeldelink haben, ansonsten die betreffenden Mails im Mailprogamm als Spam kennzeichnen. Dann landen diese alle im Spamordner. Den kann man dann regelmäßig kontrollieren und danach entsorgen."
Joana: "…ich nicht mehr weiß, wo ich mich in all den Jahren überall angemeldet habe? (Gewinnspiele, Einmalbestellungen…)"
Bernd: "Schlusstrich ziehen, ein paar neue Emailadressen (für solche Zwecke) anlegen und nur noch die Verwendung von sicheren Kennwörtern."
Joana: "…ich mir nicht sicher bin, ob die Mail/Anruf/Website sicher ist? Wie kann ich es herausfinden/prüfen?"
Bernd: "Wenn man nicht weiß, wo man suchen soll wird es schwer. Als kleiner Anhaltspunkt: https verwenden, Coockiewarnmeldung aktivieren, Impressum, Datenschutzerklärung (wenn geschäftlich), Ansonsten den netten Datenschutzbeauftragten befragen."
Joana: "…ich gehackt wurde? Erste Schritte, Anlaufstellen, Verhalten?"
Bernd: "Privat: Rechner vom Netz trennen, Daten soweit sichern, Rechner neu aufsetzen oder Fachmann/Fachfrau befragen. Beruflich Rechner vom Netzwerk trennen und den IT Dienstleister SOFORT informieren."
Joana "…ich regelmäßig unzählige fehlgeschlagene Loginversuche angezeigt bekomme?"
Bernd: "Nervig, aber zeigt, dass es noch zu keinem Erfolg führte. Bei privat: Router trennen (bei Wiedereinwahl gibt es eine neue IP Adresse. Bei Webseiten privat auf Schwachstellen prüfen, Provider informieren und ein echt sicheres Passwort erstellen (mindesten 16 Zeichen lang). Beruflich IT Dienstleister informieren."
Joana: "Danke für die vielen Informationen, lieber Bernd!"
Falls ihr mehr über seine Arbeit erfahren möchtet oder akut seinen Rat braucht, findet ihr HIER seine Website.