Nun möchte ich an dieser Stelle weniger auf den Angriff auf ThyssenKrupp und EADS eingehen, sondern eher eine Grundsatzdiskussion zur IT-Sicherheit anstoßen.
Vielen von euch dürften noch Nachrichten wie diese im Hinterkopf geblieben sein:
- Sony PSN gehackt
- Twitter gehackt – 250.000 Nutzer-Konten kompromittiert
- Angriffe auf Facebook, Apple, Microsoft und andere große IT-Unternehmen
- Sicherheitslücken in Java
- Dropbox: Anmeldung ohne Passwort war möglich
- Webseite der Sparkasse verteilt Malware
- usw.
Auch private Webseiten werden immer öfter Ziele von automatisierten Attacken; ich muss immer wieder am Tagesende erschrocken feststellen, wie viele Brutforce-Scripte auf den Logins meiner Webseiten liegen, z.B. Webdesign-Podcast.de oder Pascal-Bajorat.com - und dabei handelt es sich vergleichsweise eher um kleine bis mittelgroße Webseiten.
Auch Malware-Angriffe werden teilweise automatisiert auf kleinere Webseiten ausgeführt. In den vergangenen Wochen erreichten mich diverse Anfragen, auch hier aus der Community, wie entsprechend befallene Webseiten bereinigt werden können.
Nun ist meine Frage an dieser Stelle: Wie geht ihr mit diesen Risiken um? Meidet ihr gar komplett entsprechende Online-Services, ist es euch schlichtweg egal, was passieren könnte, oder ladet ihr ausschließlich eher unkritische Inhalte in die Wolke?
Ich würde mich über einen regen Meinungsaustausch sehr freuen, da ich denke, dass dieses Thema aktueller denn je ist. Zum guter Letzt möchte ich gerne noch meine persönlichen Maßnahmen zum sicheren Umgang mit Cloud-Diensten bzw. generell Internet-Diensten vorstellen:
Der wohl wichtigste Punkt dürfte an dieser Stelle eine gesunde kritische Einstellung gegenüber Downloads und unbekannten Mails sein. Ebenso wichtig ist die Wahl eines sicheren Kennworts dieses sollte möglichst nicht bei jedem Online-Service dasselbe sein. Zur besseren Verwaltung sind Passwortlisten zwar sinnvoll, aber bitte nicht in unverschlüsselter Form. Eine Excel-Tabelle ist hier also eher weniger geeignet, dafür gibt es extra Tools, wie z.B. 1Password.
Empfindliche Daten gehören nicht auf die Server irgendwelcher Cloud-Storage-Anbieter. Wenn es sich nicht umgehen lässt, sollten die Daten zumindest verschlüsselt abgelegt werden. Auch hier gibt es hilfreiche Tools wie z.B. BoxCryptor.
Ebenso lassen sich bei den meisten modernen Computern gesamte Festplatten verschlüsseln. Das gilt sowohl für interne als auch für externe Laufwerke. Ich nutze hier bei meinem Mac die entsprechenden FileVault 2 Dienste (Systemeinstellungen > Sicherheit > FileVault).
Nun bist du gefragt: Was ist deine Meinung zu dem Thema und wie sorgst du ganz persönlich für einen sicheren Arbeitsalltag mit deinem Computer und Online-Diensten, oder hast du dein Vertrauen bereits gänzlich verloren?
Wenn du selbst eine Webseite betreibst: Welche Maßnahmen greifst du hier auf, um sie entsprechend zu schützen, oder wurdest du sogar bereits einmal Opfer eines Angriffs?
Sicherheit im Internet gibt es nicht - und eigentlich ist damit schon alles gesagt. Rudimentär betrachtet müssen die Daten irgendwo abgelegt werden, hierfür legen diese einen Weg zurück und schon stolpern wir mind. über "man-in-the-middle" (mitm).Klarer Fall: (Hoch-)Sensible Daten gehören nicht ins Internet! In Deinem System gehören diese via TrueCrypt verschlüsselt (habe noch nichts besseres gefunden) und liegen in einer eigenen, nicht les- oder sichtbaren Partition. Mit einer Art "Dongle" gibt es dann nur Zugriff und Sichtbarkeit. Bist Du am Netz, hat der Dongle nicht eingesteckt zu sein oder Du verriegelst eine lokal installierte, BRAUCHBARE Firewall (nein, nicht die des Routers oder Betriebssystems) ...Cloud, Share & Co.? Ich traue Google nicht ... den ganzen anderen Datenkra(n)ken (Fratzenbuch, Amazon etc.) sowieso nicht. Aber ich traue meinem paranoiden (Entwicklungs-)System - also VPN (Smartphone, Netbooks) gelegt und schon kann ich da auch von überall dran und habe meine Daten immer vor Ort. Das Problem des "mitm" ist damit zwar gar nicht behoben, aber die Anzahl der "Beteiligten", wo das Loch sein könnte, schrumpft rapide.Und nicht vergessen: Was im Netz ist, bleibt im Netz! (dank so merkwürdiger "Historie"-Server, die alte Versionen festhalten oder bspw. Google selbst - erst gestern mit "immer pudern" als Suchbegriff wieder was entdeckt)Zum Thema "Schutz im Alltag" (bei mir)
er Client, hinter Hardware-Firewall, ist via Regelungen einer installierten Software-Firewall "dicht". Programme müssen fragen, ob diese "raus" dürfen, Ziele (wo die Reise hingehen soll) werden gezeigt. JAVA ist deinstalliert (ganz miese Erfahrungen; Empfehlung kommt derzeit eh von allen Profis). Seit Installation des Test-Siegers im Bereich Malware & Co. (nein, nicht Avira, Norton, Kaspersky, BitDefender o. ä.) ist hier buchstäblich RUHE und es wird so ziemlich jede Heuristik erkannt. Alle Geräte sind VERKABELT - nix über WLan.Die Server (primär Logins) unterbinden BruteForce mit einer Zeitsperre nach x fehlgeschlagenen Logins; vollautomatisch. Da hilft kein Proxy o. ä. Session-Capturing ist über zwei Wege unterbunden: Speicherort und Verfall. Eine htaccess unterbindet Zugriffe aus besagten Aggressor-Ländern (ein Kampf gegen Windmühlen, jaja). Zugriffe auf Dateiebene erfolgt ausnahmslos via sFTP bzw. VPN.Kurz erwähnt: In meinen Augen wäre das Thema "Internet-Hacking" gar nicht mehr so überragend, wenn "offene Proxies" und artverwandte Techniken (bspw. "Tor") aus dem Netz fliegen. Aufgrund Erfahrung sollte es auch endlich möglich sein, die kleinen Scriptkiddies in den USA (primärer Provider ist irgendwie immer Verizon) an die Eier zu bekommen. Utopia, ich weiß ... denn unsere Rechtsprechung (Hack, Beleidigung usw.) scheitert bereits innerhalb der EU.Sicherheit erhöhen? Hierzu müsste das Internet "abgeschaltet" werden und ein neues, nicht "zustandsloses" Protokoll (also eben nicht http) für die Kommunikation geschaffen werden. Auch ist http einst nie dafür ausgelegt worden, dass wir Videos, Musik o. ä. darüber "konsumieren".Und immer dran denken: Um mir was "einzufangen", benötige ich keine EXE-Datei, die ich doppelt anklicke!! Ich verpacke sowas in Bilder, Videos und Audio.Wie war das noch mit der Software aus Google Play (einst "Android Market")? Im Handy problemlos, doch sobald das Handy mal den Weg an den PC gefunden hat, wurd die Schadsoftware auf diesem installiert ... herrlich, oder?Warum also nicht einfach mal eine Software installieren, die eigentlich ein Spiel ist und dann zeitgleich - dank Freigabe des Nutzers bei Installation - so ziemlich alle Hardwarenahen Eigenheiten mopsen und dann indirekt alles, was via Kontaktformular ins Internet geschickt wird, mitmeißeln, komprimieren, verschlüsseln und als "Highscore für alle im Web" (bspw. Facebook) (mit-)verschicken ... klingt umständlich - ist es nicht.Ah, ist schon wieder ein kleiner Roman ... sorry.Binäre Grüße vom Kaffeebecherrand.
