Schlagwort-Archive: sicherheit

Datendiebstahl: Tipps für sichere Passwörter

Angesichts der Berichte über den Diebstahl von 1,2 Milliarden Zugangsdaten für Internet-Profile durch russische Hacker sind viele Nutzer von Web-Diensten nun verunsichert. Auf der Seite sicherheitstest.bsi.de kann man ganz leicht feststellen, ob man selbst davon betroffen ist. Einfach die E-Mail-Adresse, die geprüft werden soll, eingeben und den vierstelligen Betreff-Code merken. Im Falle eines Datendiebstahls schickt das BSI dem Nutzer eine Benachrichtigung auf die E-Mail-Adresse mit eben diesem Sicherheitscode im Betreff. So wird sichergestellt, dass die Warn-E-Mail auch tatsächlich echt und der Absender das BSI ist.

Für mehr Sicherheit im Netz gibt der Hightech-Verband BITKOM hilfreiche Tipps, womit sich Internetnutzer vor solchen Angriffen schützen können.

Ein sicheres Passwort wählen

Bei der Vergabe von Passwörtern sollten sich diese aus einer Reihenfolge von Groß- und Kleinbuchstaben, Nummern und Sonderzeichen wie :!?#%* zusammensetzen. Das Passwort sollte mindestens acht Zeichen lang sein und regelmäßig – also etwa alle drei Monate – geändert werden. Niemals sollte das gleiche Kennwort für verschiedene Dienste wie E-Mail, soziale Netzwerke oder Online-Banking verwendet werden.

Persönliche Daten vermeiden

Wählt man ein Kennwort, das sich aus persönlichen Daten, wie Geburtsort, Geburtsjahr oder Name zusammensetzt, lässt sich dieses leichter knacken. Daher empfiehlt es sich, Passwörter zu wählen, die nicht auf die Persönlichkeit schließen lassen. Am besten gelingt dies, wenn man sich einen allgemeinen Satz ausdenkt und diesen auf einzelne Zahlen, Zeichensetzungen und Buchstaben reduziert, sodass gar keine vollständigen Wörter mehr enthalten sind.

Passwörter nicht aufschreiben

Passwörter sollten grundsätzlich nie aufgeschrieben werden. Denn hier besteht die Gefahr, dass unberechtigte Dritte Zugang dazu bekommen.

Voreingestellte Passwörter ändern

Bei vielen Software-Produkten werden bei der Einrichtung eines Accounts voreingestellte Passwörter vergeben. Hacker können diese mit einigem technischen Aufwand herausfinden und sich damit unberechtigten Zugang verschaffen. Daher wird empfohlen, das ab Werk voreingestellten Passwort schnellstmöglich durch ein eigenes zu ersetzen.

Zwei-Faktor-Authentifizierung nutzen

Weiterhin wird geraten, eine sogenannte Zwei-Faktor-Authentifizierung – ein bewährtes Mittel, um Accounts zusätzlich zu sichern – zu nutzen. Dabei erhält der Nutzer nach Eingabe des Passworts einen Sicherheitscode auf das Handy zugeschickt. Dieser muss zusätzlich eingegeben werden. Kommen Hacker in den Besitz von Kennwort und Nutzername, können sie diese ohne das entsprechende Handy, auf das die Sicherheitscodes gesendet wurden, nicht verwenden.

Tipps zur E-Mail-Sicherheit und -Verschlüsselung

Unverschlüsselte E-Mails sind wie Postkarten – jeder der sie in die Finger bekommt, kann sie mitlesen. Welche Möglichkeiten gibt es, um eine vertrauliche E-Mail-Kommunikation zu gewährleisten? Wir stellen zwei Möglichkeiten vor: De-Mail und PKI.

De-Mail

Das im Auftrag des Staates entwickelte Konzept der De-Mail soll eine vertrauliche, sichere und nachweisbare Kommunikation über das Internet ermöglichen und langfristig die Briefpost ersetzten. Nachrichten und Dokumente werden dabei verschlüsselt übertragen. Um der gesetzlichen Schriftformerfordernis gerecht zu werden und somit rechtsverbindliche Kommunikation betreiben zu können, müssen Nutzer ihren E-Mails zusätzlich eine qualifizierte elektronische Signatur über ein zertifiziertes Signierprogramm hinzufügen. Bei Unternehmen und Behörden wird für die De-Mail vor allem mit Zeit- und Kostenersparnis in der Kommunikation geworben.

De-Mail-Anbieter müssen akkreditiert werden und erhalten anschließend ein Siegel des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zugelassende Anbieter sind beispielsweise die Telekom oder 1&1. Ein mit De-Mail weitestgehend vergleichbarer Dienst ist der E-Postbrief der Deutschen Post, der allerdings keine Signaturen zulässt. Die beiden System sind nicht untereinander kompatibel.

Kritik: Verschlüsselung ist nicht gleich Verschlüsselung

Der Hauptkritikpunkt des De-Mail-Verfahrens liegt im beworbenen Vorteil der Verschlüsselung: Verschickte Inhalte sollen nicht mitgelesen und verändert werden können. Tatsächlich ist dies nicht vollkommen sichergestellt, denn eine durchgängige Verschlüsselung ist nicht gewährleistet. Die De-Mail nutzt die sogenannte Punkt-zu-Punkt-Verschlüsselung, bei der die Nachricht zwischen Versender und Empfänger kurzzeitig auf den Servern der Diensteanbieter ent- und anschließend wieder neu verschlüsselt wird, sodass hier eine potenzielle Sicherheitslücke entsteht.

Besser und von Experten immer wieder gefordert, wäre die sogenannte Ende-zu-Ende Verschlüsselung: Dabei werden die Inhalte auf dem Rechner des Versenders verschlüsselt und erst auf dem Rechner des Empfängers wieder entschlüsselt. De-Mail Nutzer haben aber die Möglichkeit, diese Funktion eigenständig nachzurüsten. Überspitzt formuliert begründet das Bundesministerium des Innerens (BMI) das standardmäßige Fehlen von Signatur und Ende-zu-Ende Verschlüsselung  im Komfort für den Nutzer, da so keine Zusatzinstallationen auf dem Computer nötig sind. Ein weiterer Kritikpunkt liegt im Datenschutz, denn laut §112 TKG können viele Sicherheitbehörden und -dienste die persönlichen Daten der De-Mail Nutzer ohne richterlichen Beschluss einsehen.

Durchgesetzt hat sich die De-Mail sowohl im privaten als auch im geschäftlichen Umfeld noch nicht, deshalb im Folgenden eine weitere, verbreitete Variante zur Verschlüsselung.

PKI-Verschlüsselung (Public Key Infrastructure)

Natürlich können auch herkömmliche E-Mails mit Signaturen für einen rechtsverbindlichen Schriftverkehr versehen und auf unterschiedliche Weise verschlüsselt und damit abgesichert werden. Häufig wird dabei asymmetrische Kryptografie verwendet, bei der die Kommunikationspartner vorher keinen gemeinsamen Schlüssel vereinbaren müssen, sondern für die Ver- und Entschlüsselung unterschiedliche Schlüssel benutzt werden.

Ein öffentlich bereitgestellter Schlüssel ermöglicht es jedem, Daten für den Inhaber des geheimen privaten Schlüssels zu verschlüsseln, dessen Signaturen zu prüfen und ihn zu authentifizieren. Die mit dem öffentlichen Schlüssel verschlüsselten Inhalte können wiederum mit dem privaten Schlüssel vom Inhaber entschlüsselt werden, er kann digitale Signaturen erzeugen und sich authentifizieren. Das erleichtert die Handhabung und wird als Public Key Infrastructure (PKI) bezeichnet.

Eine populäre Umsetzung dieser Methode findet sich in PGP (Pretty Good Privacy) und der freien Software GnuPGP. Letztere wird beispielsweise von vielen Anwälten genutzt, um die Kommunikation mit Mandanten zu verschlüsseln. Dazu wird der öffentliche Schlüssel auf der Website bereitgestellt. Neben einer Open-Source-Lösung gibt es natürlich auch kommerzielle Anbieter, die eine Verschlüsselung zumeist mit S/MIME und Zertifikaten realisieren. Dazu gehören unter anderem S-Trust (Sparkassenverlag) und DATEV.

Die PKI ist bislang die beste Möglichkeit zur Verschlüsselung herkömmlicher E-Mails, wenngleich auch sie nicht ohne Schwachstellen ist. So wurde die Zertifizierungsstelle selbst Opfer von Hackern durch Man-in-the-Middle-Angriffe, bei dem die Angreifer Einsicht in und Kontrolle über den Datenverkehr bekamen, indem sie sich zwischen zwei Kommunikationspartner schalteten.

Ist mein Smartphone sicher vor Hackangriffen?

Jeder Deutsche besitzt im Schnitt mindestens ein Handy. Dabei ist die Bezeichnung Handy gar nicht mehr angesagt. Smartphones können viel mehr, beispielsweise E-Mails mobil abrufen. Im Rahmen von Mobile E-Mail-Marketing haben wir diese Tatsache schon häufig beleuchtet, heute wollen wir uns einmal der Nutzerseite widmen.

Denn die Konnektivität mit dem Netz birgt auch gewisse Risiken. Nicht zuletzt über die Medien kann jeder leicht feststellen, dass die Sicherheit nicht nur bei normalen Computern gefährdet sein kann. Die Kriminellen haben es teilweise bereits auf Handys abgesehen. Ob dadurch die Kontaktliste kopiert wird oder ähnliches, kann der Nutzer oft gar nicht feststellen. In den meisten Fällen wird der Hack erst gar nicht bemerkt.

Auf der sicheren Seite sein

Wer jetzt über Antivirenprogramme für das Handy nachdenkt, der wird schnell fündig. Doch es gibt viel effektivere Mittel und Wege, den Datendieben das Leben schwer zu machen. Vor allem sollte jeder Nutzer darauf achten, dass Bluetooth und die Internetverbindung nicht permanent angeschaltet sind. Denn nur durch eine konstante und schlecht gesicherte Leitung hat der Hacker überhaupt eine Chance, das Handy zu infiltrieren. Wenn man sich dazu entschließt, eine Datenflat zu buchen, dann ist es ratsam, diese nur bei tatsächlichem Gebrauch zu aktivieren. Damit bleibt den Hackern kaum noch Angriffsfläche.

Tipps gegen den Angriff

Das wichtigste zum Schutz vor dem Hackangriff ist jedoch, dass man immer die aktuellen Anti-Viren-Programme auf dem Handy hat. Damit sinkt die Gefahr einer Infektion enorm. Um diesen Schutz konstant hoch zu halten, gibt es so gut wie täglich Updates. Diese müssen dann direkt aus dem Netz heruntergeladen werden. Oft passiert dies automatisch. Dafür braucht man jedoch eine Handyflat mit entsprechendem Volumen. Informationen zum Thema Flatrates für das Handy erhält man auf www.mobiles-internet-flatrates.de.

Wer auf Nummer sicher gehen möchte, der braucht vor allem eine Intuition, was für den Datendieb interessant sein könnte. Viele Handynutzer sind leider so leichtsinnig und sperren ihr Handy nicht einmal mit einer Pin oder ähnlichem. Wenn man die Vermutung hat, dass sich jemand Zugang zu seinem Gerät verschafft hat, dann hilft zweierlei: Zunächst muss das Gerät neu gestartet werden. Ist man danach immer noch der Meinung, dass etwas nicht stimmt, dann hilft nur eine komplette Formatierung aller Daten. Eine Funktion, um das Gerät in den Auslieferungszustand zu versetzen, findet sich oft unter dem Punkt Eigenschaften. Sensible Daten sollten dabei sowieso nicht auf dem Handy zwischengespeichert werden. Besonders Fotosammlungen sind auf dem Handy im Grunde kaum nutzbar, aber ein lohnendes Ziel für den Hacker.

Untersuchung zur E-Mail-Sicherheit

Die Smart-Research GmbH führte im Auftrag der TC TrustCenter GmbH bei 100 CIOs eine Studie zum Thema E-Mail Sicherheit durch. Dabei ist es auf jeden Fall für Newsletter-Versender eine interessante Erkenntnis, dass 53% der Befragten Outlook 2007 als E-Mail-Client einsetzen. Weitere 31% nutzen ältere Versionen des Klassikers von Microsoft.

Erstaunlich ist auch die Aussage, das 84% die E-Mail-Sicherheit in ihrem Unternehmen für ausreichend halten, jedoch nicht einmal jeder Zweite seine E-Mails verschlüsselt. Außerdem signieren nur 41% ihre E-Mails digital und lediglich 55% realisieren eine E-Mail-Archivierung. Eine vollständige Auswertung der Studie erhält man auf Anfrage bei trustcenter.de.