Social Engineering – Schutz vor Angriffen


Beim Thema Cyber-Crime sind schon lange nicht mehr nur Computersysteme und Netzwerke im Visier der Angreifer sondern auch die NutzerInnen dieser Systeme. Beim Social Engineering nutzt der Angreifer den “Faktor Mensch”, um die Sicherheitssysteme zu überwinden.

Social Engineering

Social Engineering – kurz zusammengefasst

Oft stehen Angreifer dank aktueller Software und Systeme, Firewalls und Virenscannern vor verschlossener Tür. In diesem Fall versuchen sie durch die gezielte Täuschung oder Verschleierung der eigenen Identität das Opfer zu manipulieren. Dabei wird das Opfer dazu verleitet, sensible Daten herauszugeben oder Schadsoftware auf dem System zu installieren. Die Folgen eines solchen Angriffs reichen dann von kleineren Zwischenfällen und eventuellem Datenverlust bis hin zu kompletten Produktionsausfällen, Industriespionage oder Sabotage. Weiterhin besteht die Gefahr eines möglichen Reputationsverlust.

Wie funktioniert Social Engineering?

Das Social Engineering hat viele Parallelen zum Trickbetrug, bei denen das Opfer durch seine menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität manipuliert werden. Der Angreifer täuscht gezielt eine falsche Identität vor und verleitet das Opfer durch konkret formulierte Aufforderungen vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf einem Computer zu installieren.

Die Angriffsmethoden unterscheiden sich dabei sehr stark von einer einfachen E-Mail mit der Aufforderung zur Überweisung eines Geldbetrages auf das Konto des Angreifers bis hin zur sorgfältig geplanten Industriespionage, bei der der Angreifer in mehreren Schritten bzw. Angriffen das Opfer vertrauliche Firmeninformationen entzieht.

Wie erkenne ich Social Engineering?

Ein ganz zentrales Werkzeug bei Angriffen mithilfe von Social Engineering ist die Täuschung der Identität oder die Vortäuschung falscher Tatsachen. Der Angreifer gibt sich beispielsweise als MitarbeiterIn eines bekannten Dienstleisters oder Lieferanten aus, als TechnikerIn oder als MitarbeiterIn eines in der Öffentlichkeit stehenden Unternehmens wie Banken, Logistikfirmen, Telekommunikationsunternehmen oder Internetplattformen (z. B. PayPal, Microsoft, Facebook). Bei großen Unternehmen kann es auch vorkommen, dass der Angreifer sich als Kollege ausgibt. Hierbei nutzt der Angreifer die Anonymität unter den vielen Mitarbeitern aus. Ist das Vertrauen zum Opfer einmal aufgebaut, kann der Angreifer seine Ziele verfolgen wie z. B. vertrauliche Informationen (z. B. Zugangsdaten) abzuziehen oder einen Geldbetrag zu überweisen. Dabei baut der Angreifer auch oft einen künstlichen Druck beim Opfer auf, sodass er sein Handeln nicht überdenken kann und ggf. auch Sicherheitsvorkehrungen übergeht.

Die Kommunikation beim Social Engineering findet meistens per E-Mail digital statt. Gezielte Angriffe können aber noch eine Stufe weitergehen und der Angreifer kommuniziert per Telefon oder kommt z. B. als Handwerker zum Opfer. Auch mit Unterstützung von der bereits heute weit entwickelten künstlichen Intelligenz (KI) kann die Kommunikation erfolgen in dem z. B. die Stimme am Telefon manipuliert wird und auf einmal die Stimme des Chefs zu hören ist. Das 2018 im Internet erschienene Deepfake Video von Barak Obama veranschaulicht sehr gut, wozu ein Angreifer mit dem “Werkzeug” KI fähig ist. In diesem gefälschten Video beschimpft der ehemalige US-Präsident seinen damaligen Nachfolger Donald Trump als “Volldepp”.

Zur Vorbereitung eines gezielten Angriffs werden Informationen über das Opfer häufig aus privaten und beruflichen Sozialen Netzwerken gezogen, aus einer abgefangenen E-Mailkommunikation durch die Kompromittierung eines E-Mailpostfaches oder auch auf persönlichem Wegen direkt bei Familie/Freunde/Kollegen. Dabei reichen schon wenige Informationen wie z. B. Hobbys aus, um das Vertrauen des Opfers zu gewinnen.

Welche Formen von Social Engineering gibt es?

Das Social Engineering umfasst ein breites Feld an Angriffsmethoden. Deshalb möchte ich hier nur die beliebtesten Formen aufführen.

Phishing

Die bekanntesten Form des Social Engineering ist das Phishing und damit hat sicher schon jeder einmal seine Erfahrung gemacht. Hierbei ist das Angriffsziel die Zugangsdaten wie z. B. Passwörter. Durch vertrauensvoll wirkende E-Mails soll das Opfer dazu gebracht werden, auf einen Link zu klicken und auf einer Zielseite seine Zugangsdaten einzugeben. Ein klassisches Beispiel sind hier gefälschte E-Mails und Webseiten von Banken, auf denen das Opfer seine Bankdaten wie Passwort oder auf TAN-Nummer eingeben soll.

CEO Fraud

Eine weitere Form ist das sogenannte CEO Fraud (CEO-Betrug). Hierbei versucht der Angreifer in einem Unternehmen, Entscheidungsträger oder befugte MitarbeiterInnen so zu manipulieren, dass diese vermeintlich im Auftrag des Chefs Überweisungen hoher Geldbeträge veranlassen.

Baiting

Beim Baiting macht sich der Angreifer die Neugierde seines potentiellen Opfers zu Nutze. Dabei wird ein digitaler oder physischer Köder eingesetzt, hinter dem sich zumeist Schadsoftware verbirgt. Bei dem Köder kann es sich beispielsweise um einen E-Mailanhang handeln, der ein vermeintlich brisantes Dokument beinhaltet. Aber auch ein USB-Stick mit scheinbar interessanten Daten weckt das Interesse des Finders, diesen an seinem Computer anzustecken worüber letztendlich die Schadsoftware installiert wird. Das Baiting ähnelt dem Phishing, es unterscheidet sich aber dadurch, dass es etwas Konkretes unzwar den Köder verspricht.

Pretexting

Das Pretexting als weitere Form wird gerne in Verbindung mit anderen Social Engineering Formen kombiniert und ist in den meisten Fällen eine Vorstufe eines nachgelagerten Angriffes. Der Angreifer erfindet hierbei eine glaubwürdige, aber erfundene Geschichte zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Dabei werden gerne extra dafür angelegte E-Mailadressen, Telefonnummern und Webseiten zur Verifizierung der Geschichte zur Hilfe genommen. Das Hauptziel des Angriffes sind persönliche und/oder geschäftliche Daten. In den meisten Fällen gibt der Angreifer vor, die Daten zur Identitätsfeststellung oder für die Ausführung von Dienstleistungen zu benötigen. Dabei kann er sich als Techniker, aber auch interner Mitarbeiter, Polizist, Lieferant usw. ausgeben.

Tailgating

Social Engineering finden nicht nur digital statt, sondern umfassen auch Angriffe in der realen Welt – darum geht es beim Tailgating. Hierbei geht es um das physische Eindringen des Angreifers in den gesicherten Bereich eines Unternehmens. Dort gelangt man normalerweise durch entsprechende Zugangskontrollen nicht hinein. Diese Zugangskontrollen umgeht der Angreifer mithilfe von Pretexting. So kann der Angreifer beispielsweise vorgeben, der vorher angekündigte Elektriker oder der neue Kollege zu sein. Der Angriff kann aber auch durch einen tatsächlich im Unternehmen angestellten Mitarbeiter erfolgen.

Wie kann man sich gegen Social Engineering schützen?

Die Angreifer nutzen zusammengefasst zwei Dinge aus: einmal unsere menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst bzw. Respekt und einmal unklare Regellungen in Unternehmensabläufen. Daher ist es nicht einfach, einen sicheren Schutz aufzubauen. Grundsätzlich minimieren aber folgende Punkte das Risiko eines erfolgreichen Angriffs:

  • Haben Sie ein gesundes Misstrauen gegenüber der Person, die Ihnen Fremd ist und stimmen Sie sich vor der Preisgabe von Informationen mit Ihrem Vorgesetzten ab.
  • Nutzen Sie als Mitarbeiter regelmäßig sogenannte Security-Awarness-Schulungen bzw. bieten Sie diese als Unternehmer Ihren Mitarbeiter an. Dadurch findet eine Sensibilisierung im Bereich der IT-Sicherheit statt.
  • Binden Sie einen Informationssicherheits-Experten ein, um Ihre Unternehmens-Prozesse auf IT-Sicherheit und potentielle Angriffsziele zu überprüfen.
  • Teilen Sie nicht zu viele und am besten keine beruflichen Informationen in sozialen Netzwerken. Diese könnten vom Angreifer für Täuschungsversuche missbraucht werden.
  • Geben Sie keine Zugangsdaten per Telefon oder E-Mail heraus. Seriöse Unternehmen wie Banken erfragen solche sensiblen Informationen niemals über solche Kanäle.
  • Prüfen Sie E-Mails von unbekannten Absendern genau. Absender, Betreff und Anhang sind dabei die drei wichtigsten Aspekte. Fragen Sie beim geringsten Verdacht auf einen Angriff mit einem Anruf beim Absender nach oder stimmen Sie sich mit einem Kollegen oder Vorgesetzten ab. Im Zweifel antworten Sie einfach überhaupt nicht. Falls der Absender wirklich etwas von Ihnen möchte, fragt er über einen anderen Kanal erneut nach.
  • Lassen Sie sich nicht unter Druck setzen und nehmen Sie sich Zeit bei der Prüfung. Niemand wird es Ihnen übel nehmen.
  • Das Homeoffice ist außerhalb des Unternehmens ebenfalls ein gern genutztes Angriffsziel. Achten Sie daher auch beim Arbeitsplatz zu Hause auf die IT-Sicherheit.

Phishing-Mail geöffnet – Was nun?

Das sogenannte Phishing ist eine Form von Social Engineering und mit einer Phishing-Mail versucht der Angreifer sensible Daten wie Kennungen und Passwörter zu stehlen. Die teils täuschend echt wirkenden E-Mails sollen das Opfer dazu bringen, die enthaltenen Links oder Dateianhänge zu öffnen. Über gefälschte Internetseiten oder mit einer entsprechenden Schadsoftware werden dann die sensiblen Daten abgegriffen. Jetzt hast du so eine Phishing-Mail geöffnet und stellst dir die Frage – Was nun?

Phishing

Wie gefährlich ist das Öffnen einer Phishing-Mail?

Der erste Schritt ist Ruhe bewahren und einen Überblick verschaffen. Die meisten fragen sich natürlich erstmal – Ist jetzt schon was passiert? Sind schon Daten abgeflossen oder ist der Computer schon mit Schadsoftware infiziert? Sind meineDaten übertragen worden? Die Antwort lautet: Nein. Normalerweise hat das bloße Öffnen einer Phishing-Mail keine negativen Konsequenzen. Denn in der Regel möchte der Angreifer, dass du auf einen Link in der E-Mail klickst oder den Anhang der E-Mail öffnest. Bist du beiden “Aufforderungen” nicht gefolgt, besteht keine Gefahr.

Allerdings können E-Mails im HTML-Format eine Gefahr darstellen. Denn im Quellcode der E-Mail könnte ein Schadcode einprogrammiert sein, der beim Öffnen der E-Mail ausgeführt wird, ohne das du auf einen Link klickst. Diese Art kommt allerdings nicht so häufig vor. Möchtest du dich vor dieser Variante von Phishing-Mails schützen, musst du in deinem E-Mail-Programm die Anzeige der E-Mail im HTML-Format deaktivieren.

Eine Anleitung zur Deaktivierung des HTML-Formats in E-Mails findet ihr für Microsoft Outlook hier und für Mozilla Thunderbird hier.

Link oder Anhang der Phishing-Mail geöffnet

Wenn du auf einen Link in einer Phishing-Mail angeklickt hast, wirst du in den meisten Fällen auf eine gefälschte Webseite weitergeleitet. Hier sollst du deine sensiblen Daten wie z. B. deine Bankdaten eingeben, welche direkt zu dem Angreifer übertragen werden. Es kann aber auch sein, dass du auf eine gehackte Webseite weitergeleitest wirst, von der automatisch ein Schadcode auf deinem PC ausgeführt wird.

Öffnest du einen Anhang einer Phishing-Mail, wird so gut wie immer Schadsoftware in Form von Viren oder Trojaner im Hintergrund automatisch auf deinem PC installiert. Die Schadsoftware wird dabei oft in harmlos wirkenden Word-Dokumenten, Text-Dateien oder PDFs versteckt. Sie kann wiederum im Hintergrund Daten ausspionieren, deine Dateien verschlüsseln (Ransomware) und dich damit erpressen oder den Online-Datenverkehr manipulieren z. B. beim Online-Banking. 

Aber egal was du am Ende geöffnet hast, es ist Gefahr im Verzug!

Hast du irgendetwas aus der Phishing-Mail geöffnet, musst du schnell handeln. Dabei gilt als erstes Ruhe bewahren! Im besten Fall hat dein Computer-System oder dein Virenscanner bereits den Angriff abgewehrt. Aber da kannst du dir nicht sicher sein. Daher melde den Vorfall umgehend deiner IT-Abteilung im Unternehmen. Gibt es diese nicht, kannst du auch einen IT-Dienstleister oder Systembetreuer kontaktieren. In jedem Fall wird dir dort geholfen.

Handelt es sich um deinen privaten PC, trenne als erstes dein PC vom Netzwerk und somit auch vom Internet, in dem du das Netzwerkkabel am PC entfernst oder das WLAN deaktivierst. Den PC nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen, da sonst noch größere Schäden entstehen können und auch der Schaden nicht vollständig nachvollzogen werden kann. Als nächstes solltest du dir unbedingt einen Fachmann zurate ziehen. Du kannst dein PC natürlich auch selbst wieder mit entsprechender Software wie Malwarebytes bereinigen, aber 100 Prozent sicher kannst du nicht sein.

Wie schütze ich mich?

Für den Schutz vor Schadsoftware empfiehlt das Bundesamt für Sicherheit und Informationstechnik (BSI) folgende Maßnahmen: 

  • Grundsätzlich Vorsicht beim Umgang mit E-Mails von unbekannten Absendern. Prüfen Sie die E-Mail mit einem Kurzcheck.
  • Keine Nutzung privilegierter Nutzerkonten wie einem Admin-Konto mit vollen Schreibrechten auf alle Systeme.
  • Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme insbesondere Web-Browser, Browser-Plugins, E-Mail-Programme, Office-Anwendungen, PDF-Dokumentenbetrachter.
  • Nutzung von Antiviren-Software auf dem PC und einer Firewall, im besten Fall der Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
  • Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
  • Regelmäßiges Anlegen von Backups wichtiger Daten. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
  • Daten und Programme nur von vertrauenswürdigen Quellen herunterladen.
  • Alle Nutzerkonten dürfen nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
  • Deaktiviere Makros und OLE-Objekten in Microsoft Office. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
  • Verwende Plain-Text statt HTML für E-Mails.
  • E-Mails mit ausführbaren Dateien wie .exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc. im Anhang – auch in Archiven wie .zip – sollten im Unternehmen blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
  • Netzwerk-Segmentierung nach unterschiedlichen Vertrauenszonen, Anwendungsbereichen und/oder Regionen.

Quelle: BSI

Warum einen Passwort-Manager?

Die meisten Menschen haben heutzutage viele Online-Konten, sei es für E-Mails, Social-Media-Plattformen, Bankkonten, E-Commerce-Websites usw. Jedes dieser Konten sollte immer auch ein eigenes Passwort haben, wodurch eine Vielzahl an Passwörtern entsteht. Dieser Blog-Artikel betrachtet die Gründe, warum ich einen Passwort-Manager benötige und mir dieser bei der Verwaltung der vielen Passwörtern hilft.

Passwort-Manager

Einleitung

Was ist ein Passwort-Manager?

Ein Passwort-Manager ist eine Software, die dazu dient, Benutzernamen und Passwörter sicher zu speichern, zu verwalten und zu synchronisieren. Es ermöglicht es dem Benutzer, komplexe, sichere Passwörter für verschiedene Konten zu generieren und zu speichern und sie mit einem einzigen komplexen Master-Passwort zu schützen. Ein Passwort-Manager kann auch automatisierte Formulare ausfüllen, um die Zeit zu sparen, die für das Eingeben von Benutzernamen und Passwörter benötigt wird. Somit ist ein Passwort-Manager wie ein Notizbuch, welches in einem Schrank verschlossen und nur für den Besitzer einsehbar ist. Der Vorteil liegt somit auf der Hand: es muss sich nur ein Passwort anstelle von vielen verschiedenen Passwörtern gemerkt werden.

Vorteile eines Passwort-Managers

  • Erhöhte Sicherheit: Passwort-Manager ermöglichen es Ihnen, sichere und einzigartige Passwörter zu erstellen und zu speichern, was die Wahrscheinlichkeit verringert, dass Ihre Konten gehackt werden.
  • Zeitersparnis: Sie müssen nicht aufwendig ein neues Passwort erstellen stattdessen hilft der Passwort-Manager Ihnen bei der Passwortgenerierung und dem automatisierten Ausfüllen von Formularen wie Anmeldemasken auf Webseiten.
  • Erhöhte Produktivität: Da ein Passwort-Manager alle Ihre Passwörter automatisch speichert, müssen Sie sich keine Sorgen mehr machen, dass Sie Passwörter vergessen oder Passwörter verwenden, die leicht zu knacken sind.
  • Synchronisation über mehrere Geräte: Viele Passwort-Manager bieten eine Synchronisierungsfunktion, die es Ihnen ermöglicht, Ihre Passwörter auf mehreren Geräten zu synchronisieren und damit anzuwenden.

Wie helfen Ihnen Passwort-Manager

Schutz vor Hackern

Passwort-Manager sind eine der effektivsten Methoden, um Ihre Online-Identität und Ihre persönlichen Daten zu schützen. Ein Passwort-Manager ermöglicht es Ihnen, komplexe Passwörter für jeden Ihrer Online-Konten zu erstellen und zu speichern, so dass Sie sie leicht verwenden können. Hacker haben es wesentlich schwerer, an Ihre Passwörter zu gelangen.

Passwortgenerierung im Passwort-Manager

Integriert ist meist auch ein Passwortgenerator, mit dem starke Kennwörter zufällig generiert werden können. Sie können auch über Einstellungen den Aufbau des zu generierenden Passwortes vorgeben, sodass dieses z. B. immer die gleiche Länge hat und bestimmte Zeichensätze beinhaltet. Als sicheres Passwort gilt, wenn es mindestens 12 Zeichen und 72 Bit lang ist. Und je komplexer desto besser. Die Komplexität erreichen Sie, in dem neben Buchstaben auch Zahlen und Sonderzeichen eingesetzt werden. In meinem Blog habe ich zu diesem Thema sichere Passwörter erstellen auch einen interessanten Artikel.

Sichere Passwortspeicherung

Die Speicherung Ihrer hochsensiblen Passwörter erfolgt in einer Art Tresor (Datenbank), der durch ein hohes Verschlüsselungslevel geschützt ist. Die Verschlüsselung erfolgt auf Basis mindestens einer 256Bit-Verschlüsselung und ist quasi nicht zu knacken. Der Tresor wird durch Ihr selbst vergebenes Master-Passwort geschützt. Für eine erhöhte Sicherheit empfehle ich hier den erweiterten Schutz, wonach neben dem Master-Passwort noch ein zusätzlicher Token/Schlüssel angelegt wird. Dadurch muss für den Login in den Passwort-Manager neben dem Master-Passwort auch der Token/Schlüssel vorliegen. Somit können Sie sich vor eventuellen Phishing-Angriffen schützen, da der Angreifer nicht ausschließlich nur mit Ihrem Master-Passwort ODER nur mit Ihrem Token/Schlüssel an Ihre Passwort-Daten heran kann.

Wie du nutzt du den Passwort-Manager

Download und Installation

Der erste Schritt ist, eine passende Passwort-Manager-Anwendung zu finden. Es gibt viele Passwort-Manager-Anwendungen die kostenlos zum Download zur Verfügung stehen. Sie können aber auch eine kostenpflichtige Anwendung erwerben, die ggf. mehr Funktionen anbietet. Eine Installation ist je nach Anbieter unterschiedlich gestaltet. So wird z. B. die Opensource-Software KeePass lokal auf dem Endgerät wie PC oder Smartphone installiert, wogegen bei einem Anbieter wie 1Password eine Kombination aus Cloud und lokaler App eingerichtet und installiert wird. Grundsätzlich sind die aber so ausgelegt, dass diese geräteübergreifend funktionieren und die Passwort-Daten überall für Sie zur Verfügung stehen. Egal ob Sie gerade an Ihrem PC sitzen, auf der Couch auf dem Tablet arbeiten oder unterwegs sich mit dem Smartphone auf einer Webseite einloggen müssen. Voraussetzung dafür ist natürlich, dass der Passwort-Tresor bzw. die Passwort-Datenbank zentral in einer Cloud liegt, worauf Sie von überall Zugriff haben.

Einrichtung Passwort-Manager

Nach der Installation des Passwort-Managers geht es um die initiale Einrichtung. Je nach Passwort-Manager-Anwendung muss eine Passwort-Datenbank angelegt und der Speicherort definiert werden. Bei den Cloud-Anbietern ist der Speicherort schon vordefiniert, bei den lokalen Anwendungen wie Keepass legen Sie selbst den Speicherort fest. Hier bei sollten Sie einen sicheren zentralen Ort auswählen, worauf Sie geräteübergreifend erreichbar ist. Das kann Ihre eigene Cloud sein oder so etwas wie Dropbox.

Wenn Sie eine lokal gespeicherte Passwort-Datenbank nutzen wie z. B. bei KeePass müssen Sie immer auch ein Backup (USB-Stick, Cloud, externe Festplatte) der Datenbank anlegen. Sollten Sie die Passwort-Datenbank versehentlich löschen oder crasht die Festplatte, wären alle Passwörter für immer weg!

Als nächstes wird ein sicheres Master-Passwort und optional ein zweiter Sicherungsschlüssel (Zwei-Faktor-Authentisierung) vergeben, welches Sie sich gut merken müssen und den Sicherungsschlüssel müssen Sie auf Ihrem Endgerät speichern, worüber Sie auf die Datenbank zugreifen möchten. Speichern Sie den Schlüssel nicht an der selben Stelle wie die Passwort-Datenbank.

Danach haben Sie Ihren persönlichen Passwort-Manager bereits eingerichtet und können nun mit dem Einpflegen der Passwörter und Zugangsdaten beginnen.

Funktionsweise Passwort-Manager

Nach dem Login in die Passwort-Datenbank Ihres Passwort-Managers tragen Sie für jedes Ihrer Benutzerkonten den verwendeten Benutzernamen, die zugehörigen Passwörter, eine Bezeichnung für das Benutzerkonto (bzw. den Webdienst) sowie ggf. weitere Informationen wie z. B. die Webadresse in die Passwort-Datenbank ein. Zur besseren Übersicht ordnen Sie Passwörter in verschiedene Kategorien wie z. B. Banking, Social-Media oder E-Mail.

Wenn Sie nun ein Passwort auf einer Webseite oder für eine Anwendung benötigen, öffnen Sie den Passwort-Manager und rufen Sie den passenden Eintrag auf. Dabei hilft auch eine Suchfunktion, über die Sie auch einfach ein Stichwort eingeben können.

So richtig zur Geltung kommt der Passwort-Manager erst, wenn Sie ihn geräteübergreifend einrichten und darauf Zugriff haben. So können Sie z. B. am PC einen Passwort-Eintrag machen und dieser steht dann automatisch auch auf dem Smartphone zur Verfügung. Auf dem Smartphone ist ein Passwort-Manager noch mal besonders praktisch, da sich dort die meist komplexen Passwörter nicht so gut eingeben lassen wir an einem PC. Weiterhin können Sie auch mit Plugins in Anwendungen wie Browser eine Autovervollständigung einrichten, wodurch die Passwort-Eingabe nochmals erleichtert wird, aber dabei trotzdem sicher bleibt.

Welches Passwort-Manager gibt es?

Im Netz gibt es eine größere Auswahl von Passwort-Managern bzw. -Web-Diensten für Passwort-Management. Einen Überblick über die besten in Bezug auf Funktionalität, Bedienfreundlichkeit und Sicherheitsaspekte in Tests abgeschnittene Passwort-Manager habe ich in folgender Liste zusammen gestellt:

NameBeschreibungPlattform
KeePasseigenständige Software auf Open-Source-BasisWindows-, Linux-, Mac-Betriebssysteme sowie als Apps für iOS und Android
LastPassCloud-Lösung via App bzw. Browser-Addonplattformübergreifend synchronisiert via Web-Hosting
1PasswordCloud-Lösunglattformübergreifend synchronisiert via Web-Hosting
authpasseigenständige Software auf Open-Source-BasisWindows-, Linux-, Mac-Betriebssysteme sowie als Apps für iOS und Android
Übersicht Passwort-Manager

Fazit

Der Einsatz eines Passwort-Managers ist absolut sinnvoll und unterstützt Sie bei der Verwaltung und Absicherung Ihrer sensiblen Passwörter. Sicherheitsexperten sind sich grundsätzlich einig, dass es besser ist, einen Passwort-Manager mit einem einzelnen, wirklich starken Passwort zu verwenden, als bei verschiedenen Onlinediensten viele unsichere oder gar identische Passwörter einzusetzen.

Die Datenbanken der Passwort-Manager sind so gut verschlüsselt, sodass sie von Angreifern nur sehr schwer geknackt werden können. Wichtig ist nur, dass Sie die Passwort-Datenbank mit einem komplexen Master-Passwort und ggf. mit einer zusätzlichen Schlüsseldatei (das wäre dann eine Zwei-Faktor-Authentisierung) absichern und bei lokalen Installationen die Passwort-Datenbank entsprechend in einem Backup sichern.

Sichere Passwörter erstellen

Die Verwendung sicherer Passwörter ist das A und O für den Schutz Ihrer Accounts bzw. Nutzerkonten. In diesem kurzen Beitrag möchte ich zeigen, wie Sie ganz einfach sichere Passwörter erstellen und diese sich auch noch gut merken können.

Login für sichere Passwörter

Schritt 1 – entscheiden Sie sich für ein kurzes oder langes Passwort

Sichere Passwörter erstellen ist kein großer Aufwand und dabei kommt es nicht immer auf die Länge an. Wenn Sie lieber ein kurzes Passwort nutzen möchten, reichen bereits 8 Zeichen aus. In diesem Fall muss das Passwort allerdings Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten. So ein Passwort könnte z. B. aK73&Z06 sein.

Entscheiden Sie sich für ein langes Passwort, so reichen schon zwei Zeichenarten aus. Allerdings muss es in dem Fall mindestens 25 Zeichen beinhalten. Diese Variante ist für einfach einzuprägende Passphrasen interessant wie z. B. Eis-Wolken-Auto-treten-Baum. Dabei sollten die Wörter aber keinen logischen Zusammenhang haben. Allerdings können Sie natürlich auch einen Satz bilden und diesen um Zahlen oder Sonderzeichen ergänzen. So könnte der Satz “Ich gehe um 10 und 14 Uhr immer mit dem Hund raus!” zu folgenden sicheren Passwort werden: “Ichgeheum10&14UhrimmermitdemHundraus!”

Schritt 2 – Grundsatzregeln beachten

Auf diese Grundsatzregeln sollten Sie beim Erstellen von sicheren Passwörtern achten:

  • Nutzen Sie keine Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars oder Geburtsdaten für ein Passwort.
  • Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen.
  • Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie z. B. “qwertz” oder “1234abcd” bestehen.
  • Simple Passwörter ergänzt um einfache Ziffern oder Sonderzeichen am Anfang oder Ende des Passwortes sind auch nicht empfehlenswert.
  • Setzen Sie möglichst eine Mehr-Faktor-Authentisierung (wie eine Gesichtserkennung, eine Bestätigung per App oder E-Mail oder einer PIN) ein.
  • Verwenden Sie für jeden Account bzw. jedes Nutzerkonto ein separates Passwort.

Schritt 3 – Passwörter verwalten

Durch die Vielzahl der Passwörter empfiehlt sich die Nutzung eines Passwortmanagers. Dieser wird mit einem starken Passwort (Masterpasswort) und im besten Fall mit einem weiteren Schlüssel abgesichert. So müssen Sie sich nur ein Passwort merken.

Als Passwortmanager kann ich Ihnen die freie und kostenlose Software KeePass empfehlen. Keepass generiert, speichert und verwaltet Passwörter in einer sicheren verschlüsselten Datenbank. Die gespeicherten Passwörter werden übersichtlich in einer Liste angezeigt und lassen sich einfach sortieren und in Gruppen aufteilen. Die Datenbank kann lokal auf einem PC oder Smartphone gespeichert werden oder in einer Cloud, sodass Sie egal ob auf PC/Notebook, Tablet oder Smartphone immer auf Ihre Passwörter zugreifen können. Weiterhin gibt es eine Reihe von Plug-ins, wodurch sich der Funktionsumfang von KeePass noch erweitern lässt z. B. für das automatische Ausfüllen von Passwort-Feldern in Firefox und Google Chrome.

Mehr zum Thema IT-Sicherheit finden Sie in in meine Ratgeber-Kategorie.

Konzept für maximale E-Mail Security


Ein gutes Konzept für maximale E-Mail Security bedeutet sichere E-Mails. Für den Transport und zur Vermeidung von Spam-Mails gibt es mittlerweile einige bewähre Sicherheitsmechanismen und Standards. Zwar haben sich davon schon einige durchgesetzt wie z. B. die nahezu flächendeckende Einführung von TLS, aber es gibt noch Optimierungspotential. Und dies möchte ich im folgenden Artikel beschreiben.

Sicherer E-Mail Transport

Schwachstellen TLS im E-Mail Transport und Spam

Neben dem hohen Aufkommen von Spam- und Phishing-Mails hat das TLS im Bereich sicherer E-Mail Transport noch einige Schwächen, da die Authentizität der verwendeten Zertifikate und die Verschlüsselung zwischen den Absender- und Empfangsmailservern nicht immer gewährleistet ist.

Die erste Schwachstelle liegt bei den Zertifikatsausstellern (CAs), deren Sorgfalt bei der Zertifikatsausgabe oder deren Systemsicherheit nur schlecht nachvollziehbar ist. Daher könnte ein Angreifer ein gültiges Zertifikat für einen Host erstellen, dessen Besucher er ausnutzen möchte.

Der nächse wunde Punkt ist die Prüfung der Zertifikate im Mailserver. Der richtige Weg wäre, die Zertifikate aller Mailserver einzeln zu prüfen, die eine Verschlüsselung anbieten. Dies passiert aber in der Praxis häufig eben nicht. Mailserver nutzen TLS, wenn es möglich ist und machen sich nicht die Mühe der Identitätsprüfung dem s. g. opportunistisches TLS. Es geht nur um die verschlüsselte Übertragung, egal wie.

Eine weitere Schwachstelle ist die Möglichkeit für einen Man-in-the-Middle-Angriff. Jeder Verbindungsaufbau von Mailserver startet unverschlüsselt. Über die unsere Verbindung vereinbaren der Sende- und Empfangsserver per STARTTLS-Befehl die Verschlüsselung. Unterstützt einer der beiden Server kein TLS, so findet der Versand der E-Mails zwischen ihnen unverschlüsselt statt. An diesem wunden Punkt kann nun ein Man-in-the-Middle-Angriff stattfinden.

Es gibt also einige Schwachstellen beim E-Mail Transport. Abhilfe schaffen aber folgende Sicherheitsmechanismen.

E-Mail Security mit SPF, DKIM und DMARC

SPF steht für Sender Policy Framework und dient dazu, die Mail anhand der IP Adresse des sendenden Mailservers zu validieren. Dazu wird ein DNS-Eintrag in der Zone der Email-Domäne erstellt, der die Systeme auflistet, welche berechtigt sind, in deren Namen Nachrichten zu versenden.

DKIM steht für Domain Keys Identified Mail und überprüft wie SPF die Email-Domäne der «mail from:» Adresse. Allerdings wird nicht die IP Adresse des sendenden Servers verglichen, sondern die Nachricht und der Mail-Header werden digital signiert. Dafür benutzt das sendende System den privaten Teil eines asymmetrischen Schlüsselpaares. Das öffentliche Gegenstück wird mit einem DNS-Record in der Email-Domäne zugänglich gemacht. Somit kann jede Gegenstelle die Signatur und damit die Herkunft der Nachrichten überprüfen.

SPF und auch DKIM prüfen die Domäne im «Mail From» und nicht die Domäne, die dem Benutzer angezeigt wird. DMARC steht für Domain-based Message Authentification, Reporting and Conformance und ist ein E-Mail Validierungssystem, das entwickelt wurde, um Domains vor der Verwendung für E-Mail Spoofing, Phishing-Betrug und anderer Cyberkriminalität zu schützen. Dies passiert über eine DNS-Richtlinie, die mehr oder weniger zwingend voraussetzt, dass einer der beiden Checks die gleiche Domäne betrifft, wie die der Empfänger im «From»-Feld sieht.

Die Kombination aus den Sicherheitsmechanismen SPF, DKIM und DMARC zählen zu den effektivsten Möglichkeiten, sich vor Spam- und Phishing-Mails zu schützen. Weiterhin wird die E-Mailzustellbarkeit optimiert, da restriktive Empfangsserver seltener E-Mails von sicheren Absenderserver bouncen.

E-Mail Security mit MTA-STS

MTA-STS steht für Mail Transfer Agent-Strict Transport Security und ist, wie der Name schon sagt, ein Protokoll, das den verschlüsselten Transport von Nachrichten zwischen zwei SMTP-Mailservern ermöglicht. MTA-STS gibt den sendenden Servern vor, dass E-Mails nur über eine TLS-verschlüsselte Verbindung versendet werden sollen und keine Zustellung erfolgt, wenn keine gesicherte Verbindung aufgebaut werden kann.

Wenn nun bei der E-Mail-Zustellung durch den Einsatz von MTA-STS Probleme auftreten wie z. B. abgelaufene TLS-Zertifikate, Fehlkonfigurationen in E-Mail-Servern oder das Scheitern bei der Aushandlung einer sicheren Verbindung aufgrund mangelnder Unterstützung für TLS-Verschlüsselung, sichert das TLS-RPT (SMTP TLS-Reorting) die Berichterstattung und stellt für die Überwachung einen Diagnosebericht bereit.

E-Mail Security mit DNSSEC

DNSSEC steht für Domain Name System Security Extensions. Es handelt sich um einen in mehreren RFCs (Requests for Comments) spezifizierten Internetstandard zur Sicherstellung der Integrität und Authentizität der im Domain Name System übertragenen Informationen. Die Standards erweitern das DNS-Protokoll um sicherheitsbezogene Verfahren und ermöglichen es, DNS-Informationen digital zu signieren. Zum Einsatz kommen öffentliche und private Schlüssel und Mechanismen der Public Key Infrastructure (PKI). Für DNSSEC muss es mindestens einen externen Zertifikatsaussteller (Trust Anchor) geben, damit sich nachvollziehen lässt, dass die DNS-Antworten unverfälscht sind.

Durch DNSSEC ist sichergestellt, dass die DNS-Daten weder manipuliert wurden noch von einer anderen Quelle stammen. Private Schlüssel werden verwendet, um die Resource Records digital zu signieren. Mit dem öffentlichen Schlüssel lässt sich die Signatur von den Empfängern der Daten prüfen. Damit die Sicherheitsmechanismen der Domain Name System Security Extensions funktionieren, muss DNSSEC auf Seiten des Anbieters der DNS-Informationen und beim anfragenden Clientsystem unterstützt werden. Die im Jahr 1999 im RFC 2535 veröffentlichte erste Version von DNSSEC war aufgrund einiger Mängel nicht großflächig einsetzbar. Erst die im Jahr 2005 veröffentlichten RFCs beseitigten diese Mängel. Auf Root-Ebene des Internets startete DNSSEC im Jahr 2010. Mittlerweile sind circa 90 Prozent der Top-Level-Domains signiert.

E-Mail Security mit DANE

TLS ist das Standardverfahren zum Verschlüsseln von E-Mails. Leider hat TLS Schwächen, weil die Authentizität der verwendeten Zertifikate nicht immer gewährleistet ist. Das DANE (steht für DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. 

DANE setzt auf DNSSEC auf, das im Prinzip eine eigene PKI (Public Key Infrastructure) ist, deren Hauptschlüssel (Root DNSSEC Key) die Non-Profit-Organisation ICANN verwaltet (Internet Corporation for Assigned Names and Numbers). Dank der Trusted Community Representatives, die die ICANN in Sachen DNSSEC beaufsichtigen, kann man den Hauptschlüssel und damit die DNSSEC-PKI als vertrauenswürdig ansehen. Das erlaubt, Zusatzinformationen in die DNS-Zone-Files zu packen, die der DNS-Server als zusätzliche Records ausliefert wie z. B. für das TLS/SSL-Protokoll. DANE definiert dazu einen neuen DNS-Record namens „TLSA“. Dieser enthält ein Zertifikat im PKIX-Format mit dem öffentlichen Schlüssel. 

Praktisch funktioniert DANE wie folgt:

  • Eine Mail an benutzer@example.de wird dem lokalen Mailserver übergeben.
  • Dieser erfragt per DNS die Mailserver der Empfängerdomäne (MX-Records) und löst die Hostnamen aus den MX-Records in IPv4-/IPv6-Adressen auf.
  • Der lokale Mailserver wählt einen der entfernten Server aus und erfragt per DNSSEC dessen TLSA-Record.
  • Nun fragt der Sender beim Ziel eine TLS-Verbindung an.
  • Lehnt das Ziel TLS ab, bricht der Sender je nach vorgegebener Policy den Übermittlungsversuch ab oder fällt auf unverschlüsselten Transport zurück, was aber niemand will.
  • Der Sender prüft das vorgelegte TLS-Zertifikat gegen den Hash aus dem TLSA-Record.
  • Stimmt alles, liefert der Sender die Mail aus, sonst bricht er die Übertragung ab.

Zusammenfassung

Ein sicherer E-Mail Transport wird mit all diesen Sicherheitsmechanismen gewährleistet und kann so sensible Daten schützen. Was diese Sicherheitsmechanismen allerdings nicht leisten, ist eine Ende-zu-Ende-Verschlüsselung. Ihre E-Mails lagern teilweise unverschlüsselt auf den Servern der Provider. Und auf die Provider-Server haben nicht nur deren Administratoren Zugriff, sondern ggf. auch Ermittlungsbehörden. Dementsprechend ist für eine Ende-zu-Ende-Verschlüsselung noch ein gesonderter Eingriff notwendig. Dazu habe ich in meinem Blog an anderer Stelle einen interessanten Artikel verfasst.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der Technischen Richtlinie BSI TR-03108 ein klares Konzept für eine maximale E-Mail Security erarbeitet.

IT-Sicherheit im Homeoffice

Homeoffice

Das Homeoffice boomt – die IT-Sicherheit leider nicht! Viele Menschen arbeiten im Homeoffice und dabei ergeben sich auf Grund der unterschiedlichen häuslichen, technischen und organisatorischen Gegebenheiten Gefahren für die IT-Sicherheit.

Grundregeln der IT-Sicherheit im Homeoffice

Im Folgenden habe ich die wichtigsten Grundregeln zusammengefasst, die auch im Homeoffice die IT-Sicherheit gewährleisten:

  1. Sicherer Zugriff auf das Firmen-Netz
    Für den Zugriff auf die Netze Ihrer Firma nutzen Sie bitte immer den VPN-Zugang. Sprechen Sie dazu am besten Ihre IT-Abteilung an. Bauen Sie den VPN-Zugang nur in einem sicheren und vertrauenswürdigen LAN/WLAN auf.
  2. Eindeutige Kontaktstellen und Kommunikationswege
    Klären Sie mit Ihrem Vorgesetzten eindeutige Kontaktstellen und Kommunikationswege. Verifizieren Sie eventuell neue Kontaktdaten mit dem entsprechenden Kollegen/Vorgesetzten.
  3. Vorsicht vor Phishing
    Auch im Homeoffice besteht die Gefahr von Phishing E-Mails oder auch Anrufen. Seien Sie dabei genauso wachsam wie im Büro. Verifizieren Sie seltsam wirkende Anweisungen mit einem Rückruf beim Vorgesetzten, bevor Sie diese ausführen.
  4. Dokumente mit erhöhtem Schutzbedarf
    Stimmen Sie bitte mit Ihrem Vorgesetzten ab, wie Sie Dokumente mit erhöhtem Schutzbedarf z. B. vertrauliche Vertragsdokumente bearbeiten sollen. Dabei kann Sie auch Ihr IT-Sicherheitsbeauftragter beraten.
  5. Zutritts- und Zugriffsschutz
    Im Homeoffice besteht meist nicht die gleiche infrastrukturelle Sicherheit wie im Büro. So ist der häusliche Arbeitsplatz oft auch für Besucher und Familienmitglieder zugänglich. Daher muss sichergestellt werden, dass Unbefugte zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Das bedeutet, dass der Zugriff auf Ihre dienstliche IT bei Nichtnutzung gesperrt ist und das keine sensitiven Informationen frei zugänglich sind. Räumen Sie dazu nach Arbeitsende Ihren Arbeitsplatz auf und schließen Sie wenn möglich alle Dokumente und die dienstliche IT z. B. in einem Schrank ein. Weiterhin sollte Ihr PC oder Notebook über eine entsprechende Verschlüsselung verfügen, sodass bei Verlust die Daten auf dem Gerät sicher vor Zugriffen Dritter sind. Sprechen Sie dazu am besten Ihre IT-Abteilung an.
  6. Datensicherung
    Speichern Sie Ihre Arbeit nicht lokal auf Ihrem Arbeitsplatz-PC sondern immer auf den Servern Ihrer Firma.
  7. Zeitnahe Meldungen von Sicherheitsvorfällen
    Melden Sie zeitnah Sicherheitsvorfälle (z.B. Verlust Laptop, Mobilfunkgeräte, Einbruch etc.) an Ihren Vorgesetzten und ggf. an Ihren IT-Sicherheitsbeauftragten.
  8. Entsorgung vertrauenswürdiger Dokumente und Datenträger
    Bitte entsorgen Sie vertrauenswürdige Dokumente und Datenträger nicht privat sondern transportieren Sie sie zurück ins Büro und entsorgen Sie diese dort auf bekanntem Wege.
  9. Support im Homeoffice
    Stimmen Sie mit Ihrem Vorgesetzten ab, wie der Support im Homeoffice gewährleistet ist. Es kann sein, dass Ihr PC oder Notebook für den Support aus der Ferne erst noch vorbereitet werden muss z. B: Remote-Berechtigungen oder die Installation von Support-Tools.

Quick-Check der Initiative #wirvsvirus

Mit dem “Quick-Check Test” der der Initiative #wirvsvirus der Bundesregierung können Sie prüfen, wie viele der Maßnahmen Sie bereits umgesetzt haben und was sie tun können, um die IT-Sicherheit im Homeoffice zu verbessern.
(Quelle: https://virus-foerdert-viren.netlify.com/)

Die 10 wichtigsten Tipps zum Geld sparen

Geld sparen

Im Internet gibt es viele Ratgeber zum Thema Sparen und oft bedeutet es in vielen Empfehlungen, auf bestimmte teils schöne Dinge zu verzichten. Ich habe in diesem Beitrag die 10 wichtigsten Tipps zum Geld sparen zusammen gestellt, womit ich aus eigener Erfahrung ein riesiges Einsparpotential erreichen konnte.

Stromkosten sparen

Geld sparen - Strom

Beim Stromverbrauch lässt sich viel Geld sparen und das ist sehr einfach. Die wichtigste Maßnahme ist der regelmäßige Anbietervergleich auf Vergleichsportalen. Mit einem Wechsel des aktuellen Anbieters könnt ihr die Stromkosten schon um 20 % bis 30 % reduzieren. Achtet bei der Anbietersuche natürlich auf grünen Strom – dieser ist nicht teurer.

Eine weitere wirksame Art Stromkosten zu reduzieren, ist der Austausch von ineffizienten Stromverbrauchern. Dabei lohnt es sich schon alte Glühbirnen gegen LED-Leuchtmittel auszutauschen oder den alten Kühlschrank als Dauerverbraucher gegen ein Gerät mit hoher Energieeffizienz-Klasse z. B. A+++ zu ersetzen.

Eine mittlerweile durchaus erschwingliche Investition sind die sogenannten Balkonkraftwerke. Dabei handelt es sich um eine Mini-PV-Anlage, die im Set mit einem Wechselrichter einfach zu Hause in die Steckdose gesteckt werden kann. Und die Solarmodule könnt ihr einfach auf dem Balkon oder an der Hauswand installieren. Diese Anlagen erzeugen zwar keine großen Strommengen, rentieren sich aber bereits nach 5 bis 8 Jahren. Außerdem ist das dein persönlicher Anteil zur Energiewende.

Leitungswasser trinken und sparen

Leitungswasser trinken

Eine sehr einfache Möglichkeit Geld zu sparen, ist das Trinken von Leitungswasser. Es ist zwar immer auch Geschmackssache, allerdings ist es deutlich günstiger als gekauftes Wasser. Ein Liter Leitungswasser kostet in Deutschland durchschnittlich 0,2 Cent. Mineralwasser aus dem Supermarkt kostet zwischen 19 und 50 Cent/Liter. Für 1 Euro bekomme man also rund 500 Liter Leitungswasser aber nur 2 bis 5 Flaschen Mineralwasser. Ein weiterer Vorteil für Leitungswasser ist, dass es in Deutschland zu den am stärksten kontrollierten Lebensmitteln gehört. Also definitiv eine gute Alternative!

Versicherungen überprüfen

Geld sparen - Versicherungen

Laut Verbraucherzentrale geben die Deutschen im Durchschnitt 2.000 Euro im Jahr für Versicherungen aus. Das ist viel Geld und darum auch ein Ansatz, hier Geld zu sparen. Stellt euch als erstes eine Übersicht eurer abgeschlossenen Versicherungen auf. Danach prüft ihr, welche wirklich sinnvoll sind. Eine Haftpflichtversicherung ist für jeden unverzichtbar und eine Hausratsversicherung sollte auch jeder besitzen. Dagegen könnt ihr auf Policen, die nur kleine Schäden absichern, verzichten.

Die Auswahl von weiteren Versicherungen hängt aber stark von euren persönlichen Umständen ab. Und hier heißt es Angebote vergleichen. Nutzt dazu die Vergleichsportale oder auch Artikel von Stiftung Warentest oder der Verbraucherzentrale. Vergleicht aber nicht nur rein die Kosten, sondern auch den Versicherungsumfang und mögliche Ausschlüsse. Für komplizierte abzusichernde Fälle nutzt einen unabhängigen Versicherungsberater. Der kostet euch zwar Geld im Unterschied zu Versicherungsmakler, die über Provisionen der Versicherer ihr Einkommen beziehen, allerdings gilt es eine für euch passende Versicherung zu finden.

Einkauf planen und sparen

Einkauf planen

Die wichtigste Regel beim Einkaufen ist, den Einkauf zu planen. Nehmt dazu einfach den guten alten Einkaufszettel. Diesen könnt ihr in Papierform oder über eine Handy-App erstellen. Mein Favorit ist die App “Die Einkaufsliste”. Darin könnt ihr mehre Listen erstellen sowie mit anderen Leuten teilen und die Artikel werden automatisch kategorisiert.

Der große Vorteil eines Einkaufszettel ist, dass ihr euch mit der Frage beschäftigen müsst, was ihr eigentlich braucht. Denn wer ohne Plan in den Supermarkt geht, kauft meistens mehr Produkte als nötig. Außerdem könnt ihr beim planen auch Punkte wie gesundes und nachhaltiges Essen mit einfließen lassen. Mein Einkauf ist mit dem Einkaufszettel mittlerweile 20 % günstiger als vorher und auch gesünder.

Essen mitnehmen

Essen mitnehmen

Wer kennt es nicht, in der Mittagspause geh ich mal raus und hol mir irgendwo etwas zu essen. Schnell sind dafür 30 Euro bis 50 Euro pro Woche weg. Da könnt ihr ebenfalls viel Geld sparen, wenn ihr euer Essen einfach von zu Hause mitnehmt.

Ihr könnt beim Abendessen einfach etwas mehr kochen und habt damit schon eine kostengünstige Mahlzeit für die Mittagspause. Auch für den kleinen Hunger zwischendurch gilt: Statt irgendwo ein Snack zu kaufen, nimm dir einfach eine Banane oder ein gekochtes Ei für die Kaffeepause mit. Und teure Getränke müssen auch nicht gekauft werden, hier haben wir oben gelernt, dass auch Leitungswasser eine super Alternative ist!

Haushaltsbuch verwenden

Geld sparen - Haushaltsbuch

Das Haushaltsbuch ist ein prima Mittel, womit du einen Überblick über deine Ausgaben erhältst. Dabei ist es egal, ob du die Ein- und Ausgaben in einem Buch, einer Excel-Tabelle oder per App auf deinem Handy einpflegst. Wichtig ist nur, dass du diszipliniert die Ein- und Ausgaben einträgst. Und das am besten einmal täglich.

Das Ziel des Haushaltsbuches ist der Überblick über deine Finanzen. Somit kannst du sehen, wie viel und wofür du Geld im Monat bekommst und ausgibst und wo du sparen kannst. Und ich kann bestätigen, es ist ein gutes Gefühl über seine finanzielle Situation genau Bescheid zu wissen.

Gebrauchtwaren kaufen anstatt neu

Geld sparen - Gebrauchtwaren kaufen

Es muss nicht immer alles neu sein! Beim Kauf von Gebrauchtwaren kannst du richtig Geld sparen und damit noch die Umwelt schonen. Es gibt viele günstige Angebote, egal ob im Internet, auf Trödelmärkten oder die Kleinanzeigenrubrik in der Zeitung. Teilweise findest du dort auch Produkte die noch originalverpackt sind und Restgarantien haben. Manchmal sind es aber auch die Einzelstücke, die vielleicht interessant sind und sich vom Mainstream absetzen. Also sucht beim nächsten Mal anstatt im Onlineshop einfach auf einer Kleinanzeigenseite nach eurem neuen Schnäppchen. Es lohnt sich!

Steuererklärung machen

Geld sparen - Steuererklärung

Die Steuererklärung ist für viele Menschen ein lästiges Thema. Aber wenn ihr sie nicht macht, schenkt ihr dem Staat Geld. Das Statistische Bundesamt hat berechnet, dass viele Arbeitnehmer im Durchschnitt ca. 1.000 Euro zurück erstattet bekommen. Und das lohnt sich natürlich!

Für die Steuererklärung gibt es mittlerweile viele günstige PC-Programme oder in komplizierteren Fällen unterstützen euch auch sogenannte Lohnsteuerhilfevereine gegen eine Kostenpauschale.

Geld richtig investieren

Geld sparen - investieren

Wir haben bisher viel über Geld sparen gesprochen, aber wo bringt man das Geld am besten unter? Ein Tagesgeldkonto ist für kleinere Beträge gut, an die man schnell ran kommen muss. Größere Beträge oder für das Sparen lohnt sich diese Anlageform aufgrund der Inflationsrate nicht. Daher solltet ihr das Geld besser investieren. Sehr beliebt sind ETFs sogenannte Indexfonds. Diese haben geringe Kosten und sind transparent. Weiterhin könnt ihr schon mit 25 Euro pro Monat so einen ETF besparen und langfristig ein kleines Vermögen aufbauen z. B. für eine spätere größere Anzahlung. Wichtig hierbei, lest verschieden Fachartikel und Empfehlungen. Stiftung Warentest oder Verbraucherzentralen sind hier gut Anlaufstellen.

Rauchen abgewöhnen und viel Geld sparen

Geld sparen - Rauchen abgewöhnen

Das Rauchen abzugewöhnen ist schwer, aber lohnt sich. Sowohl in finanzieller Hinsicht als auch für deine Gesundheit. Die Zahl der Raucher in Deutschland sinkt zwar, aber die Preise für Zigaretten und sonstige Rauchwaren steigen stetig. Bei 7 Euro pro Schachtel Zigaretten (20 Stück) am Tag sparst du über 2.500 Euro im Jahr! Außerdem sinkt das Risiko einer Krankheit wie Herz-Kreislauferkrankungen, Lungenkrebs etc. und deine körperliche Fitness steigt wieder. Das sind doch sehr gute Gründe, sich das Rauchen abzugewöhnen!

Kurzcheck für mehr E-Mail-Sicherheit

Kurzcheck für mehr E-Mail-Sicherheit

Spam-Mails sind der Hauptgrund für die Infizierung von Computern durch Schadprogramme. Ransomware steht dabei an der Spitze, die durch schadhafte Mail-Anhänge ganze Systeme infizieren. Zu diesem Ergebnis kommt eine aktuelle Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch die Allianz für Cyber-Sicherheit. Die Auswirkungen reichen vom Befall einzelner Arbeitsplatzrechner über den Ausfall von Teilen der IT-Infrastruktur bis hin zum Totalverlust wichtiger Daten. Häufige Ursache ist der Mensch, welcher zu unbedacht die elektronische Post öffnet.

Mit einem Kurzcheck der E-Mail können Sie das Risiko einer Infizierung schon stark mindern. Dazu müssen Sie sich folgende Fragen beantworten, bevor Sie eine E-Mail öffnen.

  1. Ist der Absender bekannt?
  2. Ist der Betreff sinnvoll?
  3. Wird ein Anhang von diesem Absender erwartet?

Kurzcheck

In Kombination liefern die Antworten dieser Fragen einen guten Anhaltspunkt für die Entscheidung, ob Sie die E-Mail als vertrauenswürdig einzustufen können.

In vielen Spam-Mails ist der Betreff bewusst vage formuliert, damit Sie als Empfänger neugierig werden. Dabei werden Formulierungen gewählt wie “Ihre Rechnung”, “Mahnung”, “Dringende Nachricht” oder “Fax”. Hier ist von Ihnen besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, vor allem wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Mahnung“ von einem Dienstleister, den Sie kennen, aber keine Zahlung offen haben, könnte dies ein Hinweis für eine Spam-Mail sein. Auch schlecht formulierte E-Mails sind ein klarer Hinweis auf Spam-Mails. Daher ist es wichtig, dass Sie jede E-Mail hinterfragen: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang kein stimmiges Bild, sollten Sie die E-Mail noch vor dem Öffnen löschen. Selbst der kleinste Zweifel sollte Anlass sein, diese E-Mail nicht zu öffnen. Alternativ besteht auch die Möglichkeit, persönlich beim Absender nachzufragen oder einen Experten über die E-Mail schauen zu lassen. Im Unternehmen könnte dazu die IT-Abteilung oder der IT-Dienstleister kontaktiert werden. Dazu werden u. a. die Meta-Daten der E-Mail überprüft, in der klar hervorgeht, woher die E-Mail wirklich kommt.

Spam-Mail angeklickt, was nun?

Manchmal kommt es dann doch vor, dass Sie auf eine sehr gut gestaltete Spam-Mail reinfallen und diese anklicken bzw. auf einen in der Spam-Mail enthaltenen Link oder sogar einen Anhang. Dann ist Vorsicht geboten. Wie Sie damit umgehen, habe ich in einem weiteren Beitrag in diesem Blog beschrieben.

Sichere Videokonferenzsysteme

Videokonferenz

Videokonferenzsysteme haben sich in den letzten Jahren im Bereich Funktionsumfang und Komfort sehr weiterentwickelt. Gerade in der aktuellen COVID-19-Krise ist die Nachfrage nach Videokonferenzsysteme stark gestiegen und ist für viele Firmen ein wichtiges Werkzeug für den täglichen Arbeitsablauf. Eine Konferenz per Web-Anwendung mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ist mittlerweile problemlos möglich und ersetzt in manchen Bereichen komplett die klassische Telefonkonferenz und E-Mail-Kommunikation. Ein solches Videokonferenzsystem kann betriebssystemübergreifend eingesetzt werden egal ob Windows-PC, iMac von Apple oder das Handy (iPhone oder Android).

Kurzum, es gibt offensichtlich nur Vorteile, solch ein System einzusetzen. Das allerdings nur die halbe Wahrheit, denn die Nutzung vieler Videokonferenzsysteme ist möglicherweise datenschutzrechtlich problematisch. Das Beispiel der Negativ-Schlagzeilen des beliebten US-Amerikanischen Anbieters Zoom Video Communications zeigt, dass in der Praxis noch große Unsicherheit im Umgang mit der Datenschutzgrundverordnung (DSGVO) herrscht beim Einsatz sicherer Videokonferenzsysteme. Dabei bieten die für den Datenschutz verantwortlichen Behörden aktuell keine große Unterstützung und stellen nur sehr allgemein formulierte Hinweise und FAQs wie z. B. der Hamburgische Datenschutzbeauftragte zur Verfügung.

Datenschutzrelevante Anforderungen

Die DSGVO beschreibt den Datenschutz für technische Einrichtungen u. a. in Art. 25. Daher sollten folgende datenschutzrelevanten Anforderungen bei der Auswahl des Videokonferenzsystems beachtet werden:

  • EU-Anbieter immer vorziehen, nur diese Anbieter unterliegen der DSGVO-Anforderungen
  • Verschlüsselte Verbindung der Kommunikation
  • Bildschirmübertragung müssen eine Zustimmung voraussetzen
  • Gesprächsverläufe und Aufzeichnungen sollten nach Gesprächsende gelöscht werden können bzw. sicher abgelegt werden
  • Geschäftliche Nutzung muss verfügbar sein, da hierfür auch andere Datenschutzregeln seitens des Anbieters gelten als bei privater Nutzung
  • Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter
  • Angaben zu den technischen und organisatorischen Maßnahmen des Anbieters müssen zur Verfügung gestellt werden

BSI veröffentlicht Kompendium für Videokonferenzsysteme

Eine sehr gute Unterstützung bei der Einführung eines Videokonferenzsystems bietet das aktuell vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Kompendium für Videokonferenzsysteme. Es richtet sich an Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer, die über die Videokonferenzlösung Inhalte bzw. Informationen mit normalem und erhöhtem Schutzbedarf austauschen wollen. Dabei orientiert sich die Vorgehensweise und Struktur des Kompendiums am BSI IT-Grundschutz-Kompendium.

Das Kompendium für Videokonferenzsysteme soll bei der Absicherung aktueller Videokonferenzlösungen über den gesamten Lebenszyklus von der Planung bis zum Rückbau unterstützen und berücksichtigt dabei insbesondere auch Bereiche mit erhöhtem Schutzbedarf. In 9 Kapiteln werden Themen beschrieben, wie die Betrachtung zum Funktionsumfang, der technische Aufbau moderner Videokonferenzsysteme, operative Aspekte (Planung, Nutzung und Betrieb) sowie die Analyse der Gefährdungslage, Sicherheitsanforderungen und Umsetzungsempfehlungen. Weiterhin werden im letzten Kapitel Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.

Update März 2021: Microsoft Teams, WebEx, Zoom und Co. lassen keine DSGVO-konforme Nutzung zu

Der Berliner Datenschutzbeauftragte hat am 18.02.2021 die gängigen Videokonferenzsysteme unter die Lupe genommen und entsprechende Hinweise veröffentlicht. Die Bewertung bezieht sich auf Software-as-a-Service (SaaS) Dienste. Dabei sind die großen Anbieter wie Microsoft Teams, WebEx und Zoom für die rechtskonforme Nutzung nicht zu empfehlen.

Ist Telegram eine Alternative zu WhatsApp?

WhatsApp ist zwar der bekannteste Messanger weltweit, aber viele Nutzer sind unzufrieden mit dem Datenschutz und der Sicherheit. Da stellen sich viele die Frage: Ist Telegram eine Alternative zu Whatsapp? Über 500 Mio. Downloads stehen im Android Playstore für die Telegram-App zu Buche. Das zeigt mittlerweile eine ähnliche Beliebtheit wie WhatsApp. Wer nun aber meint, hier besser aufgehoben zu sein, dem möchte ich ein paar wichtige Informationen geben.

WhatsApp und Telegram

Telegram als Alternative zu Whatsapp? – In Bezug auf Privatsphäre unbrauchbar!

Bei Telegram sind die Chats standardmäßig nicht Ende-zu-Ende-verschlüsselt. Das findet erst statt, wenn der Nutzer das explizit einstellt und die sogenannten geheimen Chats benutzt. Reguläre Chats sind zwar dennoch verschlüsselt, werden aber auf den Telegram-Servern gespeichert, wodurch theoretisch ein Dritter Zugriff auf die Daten hat. Weiterhin ist das Verschlüsselungsprotokoll bei Telegram ein proprietäres Protokoll, wodurch es keine Veröffentlichung des Quellcodes gibt. WhatsApp nutzt dagegen den quelloffenen Algorithmus von Signal zur Ende-zu-Ende-Verschlüsselung. Weiterhin ist zwar die Client-Software auf dem Mobilgerät quelloffen aber nicht die Serversoftware. Dadurch können unabhängige Sicherheitsexperten keine Bugs oder Sicherheitslücken aufdecken. Auch der Standort der Telegram-Server ist nicht bekannt und damit auch nicht die dort geltenden Datenschutzgesetze. Also ist Telegram eigentlich gar keine Alternative zu WhatsApp. Im Gegenteil, WhatsApp macht es sogar besser. Das hat nur den Nachteil, das es zu Facebook gehört und Stück für Stück in das Imperium integriert wird.

Als sichere Alternative mit guter Verschlüsselung empfehle ich ganz klar den Signal-Messenger. Dieser ist im Gegensatz zu Telegram komplett quelloffen. Zudem wurde Signal von Krypto-Experten entwickelt, für die Datenschutz und Sicherheit wichtig sind und nicht der Profit durch exessives Datensammeln. Weiterhin wird die Infrastruktur von einer gemeinnützigen Stiftung betrieben, die sich dem Datenschutz verschrieben hat.

Also wechselt bitte nicht von einem Datenschutz-Alptraum in den Nächsten und nutzt stattdessen den Signal-Messanger! Nur dann sind Eure Daten sicher und werden nicht zweckentfremdet.