Um zu wissen, wie sicher Sie sind und welche Schutzmaßnahmen Sie treffen sollten, können Sie einen eigenen Sicherheitsplan erstellen. Dabei sollten Sie überlegen, welche Art von Informationen sie in elektronischer Form haben und wie sie diese schützen wollen.
Stellen Sie fest, welche Vermögenswerte Sie schützen möchten.
Bewerten Sie das Risiko, um das Schutzniveau zu bestimmen (Vertraulichkeit, Integrität, Verfügbarkeit).
Wählen Sie ein gestaffeltes Sicherheitskonzept und treffen Sie zusätzliche Maßnahmen.
Denken Sie an das CIA-Prinzip, das wir im ersten Kapitel behandelt haben. Zur Erinnerung, das CIA-Prinzip umfasst drei Aspekte:
Vertraulichkeit
Integrität
Verfügbarkeit
Sehen wir uns zur Veranschaulichung ein Beispiel an:
Tina verwendet Google Mail als Haupt-E-Mail-Dienst. Bei den meisten anderen Diensten, die sie nutzt, meldet sie sich über ihre @gmail.com-Adresse an.
Was stellt den Vermögenswert dar?
Das E-Mail-Konto enthält all ihre persönlichen E-Mails.
Es könnte für Identitätsdiebstahl missbraucht werden.
Es enthält persönliche Informationen von verschiedensten Diensten, Adressen, Telefonnummern sowie möglicherweise auch ihre Sozialversicherungsnummer und Kreditkartennummern.
Über dieses Konto kann das Passwort für die meisten ihrer Dienste wiederhergestellt werden.
Sie sehen also, bei einem E-Mail-Konto geht es um mehr als nur E-Mails. Wie würden Sie das Risiko für dieses Konto bewerten? Welche Schutzmaßnahmen sind anzuraten?
Sie schätzen das Risiko für den Verlust des Kontos wahrscheinlich als hoch ein. Gut! Als nächstes gilt es, zu überlegen, wie man es schützen kann.
Das Passwort für das Konto sollte eine hohe Entropie aufweisen, d. h. lang sein.
Es sollte nirgendwo in Klartext gespeichert sein.
Google unterstützt Multi-Faktor-Authentifizierung, was eine zusätzliche Schutzebene bedeutet.
Tina kann die Sicherheit des Kontos auf verschiedene Weise stärken. Doch welcher Ansatz bietet die beste Balance zwischen Sicherheit und Nutzerkomfort? Wie sollte sie auf ihre E-Mails zugreifen?
Eine gute Schutzmaßnahme ist ein langes Passwort mit mindestens 15 Zeichen. Sie kann es sich merken oder in einem Passwortmanager oder auf Papier in einem Tresor hinterlegen. Sie kann die Multi-Faktor-Authentifizierung aktivieren und dabei die Google-App als zusätzliches Token verwenden. Das ist sicherer als SMS und erfordert keine weiteren Programme.
Wenn Tina aber auch die E-Mail-App auf dem Smartphone nutzt, ist ihr Konto nur so sicher wie der Zugang zum Smartphone. Stiehlt ein Angreifer das Smartphone und kennt ihre PIN, kann er das Konto missbrauchen. Dies ließe sich vermeiden, indem sie das Konto nur über den Browser nutzt und sich danach immer abmeldet. Das schränkt jedoch den Nutzerkomfort deutlich ein. Besser wäre es stattdessen, sie teilt ihre PIN niemandem mit. Sie müssen selbst entscheiden, wie Sie die Waage zwischen Sicherheit und Nutzerkomfort austarieren.
Wenn Tina ihr Smartphone als Multi-Faktor-Token nutzt, sollte sie regelmäßig Sicherungen erstellen, um weiter Zugang zu haben, wenn ihr Smartphone defekt oder gestohlen ist. Es ist von grundlegender Bedeutung, neben dem Smartphone andere Möglichkeiten zum Kontozugriff zu haben. Die meisten Seiten, die Multi-Faktor-Authentifizierung unterstützen, geben Ihnen einen Wiederherstellungscode für den Fall, dass Ihr Token verloren geht. Mit diesen Einmal-Tokens können Sie Ihr Konto wiederherstellen, wenn Sie keinen Zugriff mehr auf die Token-Software oder das Token-Gerät haben. Eine Sicherung (Backup) gewährleistet den Aspekt der Verfügbarkeit im CIA-Prinzip. Wenn Ihre Festplatte kaputt geht und Sie keine aktuelle Sicherung haben, ist die Verfügbarkeit der Daten inexistent.
Google bietet einen Dienst namens Google Advanced Protection, mit dem Sie sich nur über Hardware-Sicherheitstokens oder die Google Smart Lock App in ihrem Google-Konto anmelden können.
Doch das ist nicht alles: Als nächstes müssen wir berücksichtigen, welches System Tina zum Kontozugriff nutzt. Alle Softwareaktualisierungen sollten installiert sein, um sicherzustellen, dass es keine bekannten Schwachstellen im Betriebssystem oder der Software gibt. Genauso sollte Tina regelmäßig einen Scan mit einem Anti-Viren-Programm mit aktuellen Virendefinitionen durchführen.
Sie sollte sich angewöhnen, immer zu überlegen, welches Netzwerk sie zum Zugriff auf ihr E-Mail-Konto verwendet. Wenn Sie mit einem öffentlichen WLAN verbunden ist, kann sie den Datenverkehr mit einer VPN-Software schützen – dazu mehr im nächsten Kapitel.
Nick Rosener hat auf seinem Blog einen sehr guten Beitrag zu seinem eigenen Ansatz für persönliche Cybersicherheit geschrieben.
Wenn Sie andere Dienste als Google nutzen, keine Sorge – die meisten bieten ähnliche Sicherheitsoptionen. Manche anderen Softwarelösungen funktionieren vielleicht sogar besser für Sie.
Letzten Endes müssen Sie entscheiden, wie viel Sicherheit Sie wollen. Das Wichtige ist, dass es sich nicht um eine spontane sondern eine fundierte Entscheidung handelt.
Fazit: Tinas E-Mail-Konto ist ein sehr großer Vermögenswert, da es ein hohes Risiko für sie darstellt, falls sie den Kontozugang verliert oder ein Angreifer Zugang zu den Inhalten erlangt. Sie sollte ein gestaffeltes Sicherheitskonzept wählen, um auf mehreren Ebenen die drei Aspekte des CIA-Prinzips abzudecken:
Vertraulichkeit: Starke Passwörter, verschlüsselter Datenverkehr, Multi-Faktor-Authentifizierung.
Integrität: Nur Tina sollte Zugang zum Konto haben und nur sie sollte die Kontodaten kennen.
Verfügbarkeit: Informationen zur Kontowiederherstellung sollten gesichert werden.
Nach Abschluss von Kapitel 4 sollten Sie in der Lage sein:
die Grundlagen der Funktionsweise von Netzwerken zu kennen;
zu wissen, wieso sichere Verbindungen wichtig sind und wie Verschlüsselung entscheidend dazu beiträgt;
zu verstehen, wie Geräte und Hardware mit Netzwerksicherheit umgehen;
grundlegende Sicherheitsmaßnahmen für Ihre Geräte und Hardware zu kennen.
