Eine ganz andere Form der Darstellung dieser Inhalte findet sich im Glossar der Informationssicherheit und Netzpolitik. Jetzt > 215 Seiten PDF. Ebenfalls kaum linear lesbar, aber im Gegensatz zur Website alphabetisch strukturiert und deutlich weniger "Geschichten".
Für diese Zielgruppe gibt es eine Serie von Artikeln zu
Wie bin ich im Internet sicher unterwegs?
Frage: Halt, warum soll ich eigentlich "sicher im Internet" sein? Dieser lange Text klingt unnötig mühsam. Computernutzung ist kompliziert genug, ich brauche keine weiteren Verhaltensregeln. Was ist eigentlich das Schlimmste was mir passieren kann wenn ich das alles nicht befolge?
Internetnutzer die solche Regeln ignorierten haben mit Geldverlust (manchmal auch viel Geld) oder dem Verlust ihrer Daten (Fotos, Emails, etc.) bezahlt, manchmal haben sie auch beides verloren.
Denn Kriminalität verlagert sich immer mehr ins Internet. Angreifer wollen natürlich in erster Linie an ihr Geld. Das tun sie, indem sie z.B. versuchen, an ihre Bankkonten oder Kreditkarten-Daten zu kommen. Aber die Angreifer haben auch noch andere Ticks auf Lager, denn nicht nur aus dem Bankkonto lässt sich Geld schlagen.
Auf dem schwarzen Markt für gestohlene Daten lässt sich vieles versilbern. Gutes Geld bringen z.B. auch Facebook- oder Email-Accounts die dann für Betrugsversuche gegen ihre Friends und Kontakte genutzt werden. Noch wertvoller sind die Zugänge zu Spielen wie World-of-Warcraft, Minecraft oder andere Spiele bei denen virtuelle Schätze gesammelt werden.
Andere Angriffe sind noch brutaler: Ransomware verschlüsselt alle ihre Dateien und verlangt dann ein Lösegeld in Form von Bitcoin. Selbst wenn sie zahlen (was nicht so ganz einfach ist, haben Sie denn Bitcoins zur Hand?), so ist trotzdem nicht sicher, dass sie ihre Daten je wiedersehen.
Falls sie Daten in Cloud-Speichern gesichert haben, so sind die Angreifer auch daran interessiert. Der Zugang dazu ist bei infiziertem Gerät leicht zu bekommen. Wenn die Daten selbst nicht zu verkaufen sind, so kann der Angreifer immer noch eine Erpressung versuchen.
Als Ergebnis vieler dieser Angriffe verlieren Sie ihre Daten, ihre Fotos, ihre Kontakte, etc.
Dies betrifft Angriffe auf ihr Smartphone genauso wie auf ihr Laptop. Oft verlieren sie sogar beides, z.B. wenn ihr iPhone über "Mein iPhone suchen/Mein Mac suchen" mit dem Laptop logisch verbunden ist. Wer das Passwort zu ihrer Apple-ID hat, der kann schlimmstenfalls beide Geräte löschen (siehe diese drastische Geschichte).
Frage: Und wenn ich diese Regeln hier einhalte, dann kann mir nichts passieren, oder?
Diese Tipps sind für all die Internet-Nutzer ausreichend, die sich NICHT vor Zugriffen von Behörden, Geheimdiensten oder Industriespionage fürchten müssen, sondern "nur" vor Kriminellen. Die folgenden Tipps reichen, um die Wahrscheinlichkeit für einen Angriff von Kriminellen auf Laptop oder Smartphone, ihr Bankkonto und ihre anderen Accounts soweit zu senken, dass der Verlust von Daten und/oder Geld unwahrscheinlich wird. Und in Verbindung mit einer regelmäßigen Datensicherung für den Fall der Fälle hält sich der Verlust in aller Regel in engen Grenzen. Wer stärkeren Schutz benötigt, für den gibt es weitergehende Tipps.
Hier die Liste der Themen für den Basis-Schutz gegen Kriminelle:
Hilfe bei Problemen im Internet (Betrug, Cyber-Mobbing, Identitätsdiebstahl, Verleumdung, Verhetzung, aber auch Hilfe die man im Internet finden kann, z.B. bei Suizidgedanken, oder Gewalt oder Problemen von Kindern und Jugendichen - vorbeugend, aber auch wenn bereits etwas passiert ist)
Diese obigen Artikel haben als Zielgruppe all die Nutzer, die "nur" Angst vor Cyberkriminellen haben müssen. Diese Regeln reichen nicht für Menschen mit höheren Bedrohungsstufen, z.B. Journalisten die die Identität ihrer Informanten schützen müssen, Rechtsanwälte, und andere Berufe mit Berufsgeheimnis. Und dazu gehören vor allem auch Firmen, deren Konstruktionsdaten, aber auch schon ihre Preislisten Ziele von Industriespionage sind, sei es durch Geheimdienste oder aber eine "böse" Konkurrenz die entsprechende Blackhat-Hacker beauftragt.
Für diese gelten deutlich strengere Anforderungen an die Absicherung ihrer Systeme und ihrer Daten, bzw. der Daten ihrer Kunden und Klienten.
Zielgruppe 2:
Exponierte Personengruppen wie Journalisten, Rechtsanwälte, politische und LGBT-Aktivisten, Personen die vor Ex-Partnern flüchten, etc.
Auch für exponierte Personengruppen gelten zuerst einmal die oben beschriebenen Grundanforderungen. Durch das Beherzigen der oben gelisteten Grundregeln können auch bei exponierten Personen viele Angriffe vermieden werden. Aber darüber hinaus sind, je nach Bedrohungslage, zusätzliche Vorsichtsmaßnahmen notwendig.
In 2024 weist Apple auf viele gezielte professionelle Angriffe gegen Journalisten und Politiker hin, sie empfehlen der 'Lockdown Modus' von iOS, hier die Details zu professioneller Spyware.
Häufige Sicherheitsirrtümer
Auch wenn man gewisse "Weisheiten" immer wieder hört, so müssen die trotzdem nicht wahr sein. Hier sind Listen mit .
Das Widerlegen dieser Sicherheitsirrtümer überlasse ich gern dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI).
Es ist mir nicht gelungen, die Inhalte zu Informationssicherheit und Privatsphäre auf dieser Website so darzustellen, dass der Text linear lesbar ist. Die Themen sind alle eng miteinander verwoben. Hier finden sich mehr Details zu den "Link-Konventionen".
Zielgruppe 3: Personen die für Firmen-IT verantwortlich sind
Ausgangspunkt dieses Teils waren die Texte der "Eisberg-Reihe", einer Buchserie zu "Informationssicherheit und das Eisberg-Prinzip". Die Texte daraus wurden von mir erweitert und befinden sich hier auf der Website in zum Teil erweiterter Form. Aber auch für die Mitarbeiten von Firmen gelten die oben dargestellten Grundanforderungen. Die allermeisten der erfolgreichen Angriffe gegen Firmen könnten durch die Beherzigung der oben gelisteten Regeln sehr wohl vermieden werden.
Aber um eine Firma sicher gegen Hacker-Angriffe zu machen wird zusätzlich in der Regel professionelle Hilfe notwendig sein, entweder indem das Unternehmen IT-Sicherheitsprofis einstellt, oder für zusätzliche Beratung bezahlt. Die traurige Erfahrung zeigt, dass die allermeisten System-Administratoren, Programmierer und IT-Techniker von Angriff und Verteidigung leider oft sehr wenig Ahnung haben.
Außerdem gibt es hier eine Checkliste zur Checkliste zur "Härtung" einer Firmen-IT. Der Kern dessen, was m.E. technisch auf dem Gebiet der IT-Sicherheit schief läuft, habe ich in diesen Thesen zur IT-Sicherheit beschrieben.
Ein weiteres Thema, das mich sehr interessiert ist die Ethik des Technikers und Wissenschaftlers. Dieses Thema hat viele Verbindungen zur Sicherheitsproblematik: ohne ethisch korrektes Verhalten kann es keine Sicherheit geben.
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Offenlegung im Sinne des §§24 und 25 österreichisches Mediengesetzes und § 5 E-Commerce-Gesetz: Medieninhaber: Philipp Schaumann, A-2384 Breitenfurt bei Wien,
grundlegende Ausrichtung: Förderung der Informationssicherheit
Kontakt mit dem Webmaster
Legales:
Für den Inhalt von Sites, auf die wir verlinken, können wir offensichtlich nicht verantwortlich sein, da wir diese nicht kontrollieren und überwachen. Wenn wir dahin verlinken, dann bedeutet das, dass da irgendwann mal was war, was interessant und hilfreich war. Wir kennen aber weder den gesamten Inhalt dieser Sites, noch merken wir, wenn daraus etwas wird, was wir nicht mehr gut finden.
Solche Links werden nur aus Gründen der Benutzerfreundlichkeit zur Verfügung gestellt. Die Aufnahme eines solchen Links impliziert keine Billigung der Inhalte der verknüpften Website und keine Verbindung zu deren Betreiber. Die Nutzung eines Links kann zum Verlassen dieser Website führen und erfolgt auf eigene Verantwortung des Nutzers.
Falls jemand entdeckt, dass auf eine Website verlinkt wird, deren Inhalt zweifelhaft scheint oder falls irgendwelche Copyright-Verletzungen begangen wurden, so bitte ich als Webmaster um entsprechende Nachricht. Diese Website kann Hinweise auf andere Eigentumsrechte und Informationen zu Urheberrechten enthalten, die beachtet und befolgt werden müssen.
Die Autoren haben sich zwar bei der Erstellung dieser Website große Mühe gegeben, aber trotzdem können Informationen auf dieser Site technische Ungenauigkeiten, inhaltliche oder typografische Fehler enthalten. Wir übernehmen für die Korrektheit des Inhalts keine Haftung. Unternehmen wird empfohlen, sich bei der Implementierung von Lösungen von Sicherheitsspezialisten unterstützen zu lassen (die dann sehr wohl eine Haftung für ihre Aussagen übernehmen).
Datenschutzerklärung /Privacy Policy:
Aus Anlass der neuen DSGVO habe ich den Text präzisiert. Hier die Details:
Auf werden dieser Website keine personen-bezogenen Daten über die Besucher gesammelt und es werden auch keine Cookies eingesetzt, weder die konventionellen http-Cookies, noch irgendwelche neuen trickreichen wie z.B. Flash-Cookies. Es werden auch keine Webpixel oder Webbugs verwendet und kein Google Analytics oder ähnliche Dienste, die Zugriffsdaten zu anderen Diensten schicken. Es gibt auf meiner Website keine Werbung, d.h. auch keine entsprechenden Tracker, es werden keine Daten an andere Stellen weitergegeben. (Wenn Sie auf einen der externen Links auf meiner Website klicken so passiert Standard-Web-Verhalten: die Zielwebsite wird darüber informiert, dass Sie von dieser Website kommen [referrer-Feld] - wenn Sie dies vermeiden möchten, so können Sie den Link kopieren ("Adresse des Links kopieren" oder "Copy Link Location") und direkt in die Browser-Zeile eingeben.)
Die Website wird in Deutschland "gehostet". Der Webserver schreibt Logs über die Zugriffe aller Surfer. Diese Logs enthalten die vollständigen IP-Adressen, sie sind daher indirekt personen-bezogen. Diese "globalen" Logs nutzt der Webhoster als Betreiber der Webserver für Fehlersuche und Angriffsabwehr etc. Diese Logs werden nach 7 Tagen gelöscht. Für Zugriffsstatistiken werden Kopien der Logs in meinen Bereich auf dem Server kopiert. Ich habe dies jedoch so eingestellt, dass nur die vorderen 2 der 4 Bytes der IP-Adresse erhalten bleiben. D.h. die Log-Daten in meinen Datenbereichen sind nicht mehr personen-bezogen, ein Rückschluss auf einen einzelnen Besucher ist nicht möglich. Es findet auch nur die Grundauswertung der Logs durch einen lokalen Webalizer statt, d.h. es gibt Statistiken über die Zahl der Hits, Pages und Besucher - aufgeschlüsselt pro Page, pro Tag, pro Stunde, welcher Suchbegriff wurde bei Google verwendet, etc.
Es wird auf der Website Javascript eingesetzt, aber keine anderen aktiven Inhalte. Die wenigen Javascript-Teile dienen nur der lokalen Darstellung, keine Datenübertragungen oder ähnliches. (Mehr Hintergründe über Daten die auf Webservern entstehen finden sich in meinem Text Spuren im Internet.)
Wer sich bei mir für den Newsletter anmeldet, der muss natürlich seine Email-Adresse hinterlassen (Email-Adressen sind immer personen-bezogen und unterliegen damit dem Datenschutz). Diese Mailadressen vearbeite ich lokal auf meinem Heim-PC. Weitere Daten zu den Newsletter-Empfängern werden jedoch nicht von mir erhoben oder gespeichert. Für den Versand der Newsletter verwende ich (weil wegen der Spam-Problematik das Versenden von privaten Mail-Accounts kaum noch gelingt :-( ) die Firma Mailjet in Luxemburg (mailjet.com), d.h. auch dort liegen diese Email-Adressen vor. Früher konnte ich dort die Mails als 'text-only' versenden lassen, leider gibt es jetzt dort nur noch HTML-Versionen. Ich will und kann aber trotzdem nicht tracken, wer den Newsletter geöffnet und/oder gelesen hat (Massenmails ohne Tracking sind übrigens extrem unüblich, es gibt ansonsten fast keinen Newsletter, der nicht mittels sog. Tracking-Pixel das Leseverhalten analysiert). Das System in Luxemburg informiert mich natürlich über Abmeldungen vom Newsletter und die Adressen die unzustellbar oder blockiert waren.
Anmerkung: Die juristischen Formulierungen beruhen auf den Tipps, die Michael Pilz im "Eisbergbuch"
gibt.
sicherheitskultur.at