"Dos and don´ts" oder auch: "Tun und lassen...!"

"Dos and don`ts" steht in der Bedeutung von Empfehlungen und Richtlinien zur Ausführung. Im Deutschen kommt hier wohl am Nächsten, etwas zu "tun oder zu lassen."

In diesem Kontext um IT-Sicherheit geht es um die häufig auftretenden Fehler der Benutzung und Einrichtung von internetfähigen Geräten.

In der Konsequenz wurden komplett verseuchte PC´s festgestellt, bzw. kompromittierte Netzwerke oder gar Angriffe mit Verschlüsselungstrojanern.

Die nachlässige und fahrlässige Behandlung von Sicherheitseinrichtungen und Konfiguration wirkt sich zudem gravierend auf die Verletzung des Datenschutzes, Identitätsdiebstahls, der eigenen Daten und Daten Dritter aus.

Dabei trifft es einzeln oder kombiniert private Daten und Kontakte, Familiendaten, Vereinsdaten, Unternehmensdaten, Bank- und Finanzdaten, der eigene Arbeitsplatz und das Unternehmen. Und natürlich besteht die Gefahr, dass darüber hinaus alle Korrespondenzpartner der Mailadressaten, in sozialen Netzwerken, Logins, betroffen werden.

Über den massenhaften Missbrauch von internetfähigen Geräten besteht die Gefahr für Unternehmen, Einrichtungen, Infrastrukturen, Staaten, da derart zu Botnetzen zusammengefasste Computersysteme zu Angriffen genutzt werden.

Auch ergibt sich aus der Auswertung von Logfiles von Systemen, Webseiten und Servern, dass z.B. auch immer noch alte Betriebssysteme wie Windows XP oder 2000 verwendet werden.

Wer hier mit nicht mehr von den Herstellern unterstützen Betriebssystemen und Geräten im Internet unterwegs ist, nimmt ein eklatantes Risiko der Schadcodeinfektion seines Netzwerks, aller Daten und Schaden, für sich und für Dritte in Kauf.

Übersicht:

1. Empfehlung zu IT-Haftpflicht
2. Es gibt keine pauschale Lösung
3. Cyberangriffe / Manipulationen in Netzwerken
4. Zur Behauptung, dass einige Betriebssysteme nicht von Schadsoftware heimgesucht werden
5. Worauf Sie achten sollten
6. Systemhäuser für größere Unternehmen und Einrichtungen
7. Für Privatpersonen und kleine Netzwerke
8. Wahl des Providers

1. Empfehlungen zur IT-Haftpflicht

Sie haben bereits eine Haftpflichtversicherung? Dann prüfen Sie, ob eine IT-Haftpflicht enthalten ist, als Unternehmen prüfen Sie zusätzlich, ob hier auch eine Haftung bei Datenschutzverletzungen enthalten ist? Fragen Sie bei Haftpflichtversicherungen oder bei Ihrem bestehenden Haftpflichtversicherer nach!

Weitere Informationen zur IT-Haftpflichtversicherung und weshalb jeder in der Verantwortung ist, gleich ob privat oder im Unternehmen, finden Sie hier.

2. Klar ist aber auch: Es gibt keine pauschale Lösung!

Es gibt nicht die pauschale Lösung für IT-Sicherheit. Denn diese Lösung wäre selbst wieder infrage stehend, ist sie doch dann das einzige Ziel, auf dass der gesamte Focus gerichtet ist! Es geht also immer um ein individuelles Sicherheitskonzept, Wirtschaftlichkeit und ein Abwägen zwischen Sicherheit und Komfort.

Im technologischen Wandel, der uns alle betrifft, kann das nur funktionieren, in dem man sich damit beschäftigt, sensbilisiert und sich fortlaufend damit auseinander setzt. Die Frage, wann und wie uns hier die digitalen Technologien einholen, überholen und uns vereinnahmen, liegt insofern auch im Ermessen und der Verantwortung jedes Einzelnen. "Digitalisierung braucht Zivilgesellschaft" wie es von der Robert-Bosch-Stiftung bennant wird:

https://www.bosch-stiftung.de/sites/default/files/publications/pdf/2019-01/Report_Digitalisierung_braucht_Zivilgesellschaft_2019.pdf

Durch den digitalen Zugriff und die Vernetzung im Zeitalter des Internets-der-Dinge (Iot) ergib sich der Zusammenhang, dass Sicherheit eine gesamtgesellschaftliche Aufgabe ist.

Beispiel für Zusammenhänge der Sicherheitsaspekte in der IT vom Fachmagazin für IT-Sicherheit:

https://www.itsicherheit-online.com/EPaper/index/active/1/epaper/7771

3. Nachfolgende Beispiele für Cyberangriffe / Manipulationen in Netzwerken:

Aus diesen Beispielen lässt sich ermessen, wie umfänglich Attacken auf Infrastrukturen und Netzwerke sind. Es ist auch ersichtlich, dass unzureichende, fehlerhafte Konfigurationen und Einrichtungen, auch mangelnde Sensibilisierung, zu fatalen Auswirkungen führen können.

Unternehmen:

Angriff und Erpressung mit Verschlüsselungstrojaner. Ablauf: Im Unternehmen wurde eine Mail geöffnet, daraufhin infizierte der Schadcode das gesamte Netzwerk. Auch das Backup, das gerade gefahren wurde. Die Mailkommunikation war noch möglich, um mit dem Erpresser zu kommunizieren. Die Kripo war bereits dort, konnte jedoch nichts machen außer den Fall aufzunehmen. Die Anfrage bei https://www.nomoreransom.org/ (Interpol-Anbindung) ergab: Zum Zeitpunkt des Angriffs nicht entschlüsselbar, da eine asymmetrische Verschlüsselung vorlag.

Unternehmen:

Mail geöffnet, Mailsystem wurde vom Schadcode angegriffen, Verbreitung im Netzwerk, sofortige Abschaltung des betroffenen Systems. Schadcodeanalyse: Schadcode über alle Windowsplattformen programmiert. Ziel Office- und Systemkompromittierung und Versand von Mails über eigene Commandoebene. Bei Desinfektion durch Systemhaus Schadcodeübertragung über Fernwartung auf Systeme des Systemhauses.

Unternehmen:

Link zu Ausschreibungsdaten in Container von Anbieter. Schadcodeabwehr: Kompletter Container infiziert. Das Großunternehmen hatte keine Kenntnis, die infizierten Daten wurden von dessen Dienstleister bereitgestellt.

Unternehmen:

PC verseucht, über 150 Schadcodetypen vorhanden. Sicherheitssoftware war seit über einem Jahr (!) abgelaufen. PC nicht gewartet. System wurde administrativ geführt.

Unternehmen:

(Hintergrund: Einrichtung und Konfiguration mit Laptop von Iot-Geräten in Wohnungen und Häusern):

Laptop verseucht. Schadsoftware enthalten. Datenkopplung/Übertragung von Smartphone. Laptop diente zu Einrichtung und Konfiguration von Haustechnik. Problematik der Iot-Geräte, die nur über Firmware programmiert werden und direkt am Netzwerk hängen…! Einrichtung nur per Laptop möglich.

Unternehmen:

Router veraltet, Firmware nicht aktualisiert, keine Passwortrichtlinie, Dritte im Netzwerk, PC administrativ, Sicherheit und Datenschutz unzureichend, bzw. unsicher konfiguriert.

Unternehmen / Webshop:

Plötzlich massiv steigende Bestellungen über Webshop. Nicht zuordenbar, deshalb sofortige Meldung an Provider, Mitteilung von Sicherheitsabteilung des Providers: Zu dem Zeitpunkt fand massenweise Datenmissbrauch auf Webshops statt!

Öffentliche Hand:

Programm zur Nutzung einer Plattform veraltet, Rückfrage bei öffentlicher Hand: Die gesamte Landesplattform war zu dem Zeitpunkt veraltet programmiert, Nutzung der Landesplattform im Ermessen des Nutzers…!

Provider:

Auswertung von Logfiles/Netzwerkprotokollen. Verfolgen von Datenstreams. Feststellung über Abzweigung von TLS-Codes bei Betriebssystem von Smtp-Postausgangsservern in unbekannte Cloud.

Vereinsführung/Vereinsverwaltung:

Datenverwaltung im Netzwerk von alten XP-Rechnern. Mit über 175 Schadcodes infiziert. Sofortige Trennung vom Netzwerk. Datensicherung. Abschaltung von XP-Rechnern angezeigt. Im Netzwerk ein Laptop, Smartphones, Tablets und Router enthalten.

Privat:

PC und Laptop werden häufig administrativ genutzt, kein Standardbenutzerkonto eingerichtet. Keine oder schwache Passwörter vorhanden. Betriebssystem veraltet oder nicht aktualisiert, Sicherheitssoftware ohne Passwort und ohne restriktive Einrichtung der Sicherheitsfunktionen. Keine Backups vorhanden.

Smartphone oder Tablet: Keine Sicherheitsfunktionen eingerichtet, keine Sicherheitssoftware enthalten, Betriebsysteme und Apps nicht aktuell.

Router und Iot-Geräte: Geräte veraltet, keine aktuelle Firmware vorhanden, Sicherheitsfunktionen nicht aktiv oder konfiguriert.

Häufige Verlautbarung: "Außer mir benutzt niemand den PC...!"

4. Zur Behauptung, dass einige Betriebssysteme von Schadsoftware nicht heimgesucht werden:

"...Es wird oft behauptet, dass einige Betriebssysteme von Schadsoftware nicht heimgesucht werden. Dieses so zu behaupten, ist falsch. Hierfür muss auch die Denkweise der Täter bedacht werden. Diese wollen mit Ihrer Schadsoftware in der Regel eine breite Masse erreichen. Dafür werden letztendlich Betriebssysteme genutzt, die entsprechend am meisten verbreitet sind. Weniger verbreitete Betriebssysteme sind weniger rentabel für die Täter. Dies bedeutet aber nicht, dass es dafür keine Schadsoftware gibt. Auch dort wurden bereits in der Vergangenheit mehr oder weniger erfolgreiche Angriffe registriert und es ist sehr wahrscheinlich, dass das Augenmerk der Täter zunehmend auch auf solche Betriebssysteme gelegt wird, die derzeit einen Boom erleben. Dieses kann auch auf die Betriebssysteme der derzeitigen Smartphones bezogen werden. So gibt es aktuelle schon zahlreiche Schadprogramme für z.B. Android-Smartphones. Weiterhin sollten Sie auch bedenken, dass Ihr Betriebssystem vielleicht nicht so stark durch Schadsoftware angegriffen wird wie ein Windows-System, Sie jedoch als Überträger/Weiterverbreiter (z.B. Anhang in einer Mail) von Schadsoftware fungieren könnten...!"

Quelle:

https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen/computer

Weitere Informationen zum Basisschutz und Empfehlungen in Sachen Internetkriminalität des LKA-Niedersachsen auf:

https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen

5. Worauf Sie achten sollten:

Für die Nutzung internetfähiger Geräte ist Ihre Unterstützung, Ihre Mitverantwortung, gefordert: Zu Ihrem Schutz und in Ihrem Interesse. Auch um Ihr soziales und berufliches Umfeld zu schützen: Ihre Familie, Verwandten, Freunde, Bekannte, Verein, Arbeitsplatz, Unternehmen.

Womit fangen Sie an?

Für Privatpersonen (Verbraucher) eignet sich der Einstieg über die "Deutschland sicher im Netz e.V.", einer Einrichtung unter der Schirmherrschaft des Bundesinnnenministeriums. Die Webseite "Basisschutz digital" https://www.sicher-im-netz.de/basisschutz-digital

und "Digitaler Selbstschutz im Überblick" https://www.sicher-im-netz.de/node/2225

Dort finden Sie Tipps und Tricks zur Einrichtung und Konfiguration Ihrer Netzwerke und internetfähigen Geräte.

Für Vereinsangehörige, Ehrenamtliche, gemeinnützige Einrichtungen ist hier der Einstieg empfehlenswert: https://www.sicher-im-netz.de/digitale-nachbarschaft

Für kleine und mittelständische Unternehmen ist hier ein Einstieg angezeigt: https://www.sicher-im-netz.de/dsin-für-unternehmen

Ergänzende Informationen finden Sie auch hier auf der Webseite unter dem Register

IT-Sicherheit .

Sie haben Fragen oder benötigen Unterstützung? Nehmen Sie Kontakt mit uns auf!

Eine Übersicht der Ansprechpartner finden Sie hier: Services

6. Für größere Einrichtungen und Unternehmen sind Systemhäuser empfehlenswert!

Systemhäuser stehen für die gesamte Palette der Leistungen und Service von IT-Sicherheit, Datenschutz, Netzwerktechnik, Qualifikation, Datensicherung, Software und Hardware, Unterstützung. Betreffend Handlungsrahmen und Reaktionszeiten sind lokale, bzw. regionale Anbieter von Vorteil - insbesondere zur Cyberabwehr!

Dies ist insofern sinnvoll, als eine komplette schlüssige Lösung insbesondere für Wirtschaftsbetriebe einen echten Mehrwert an IT-Sicherheit, Datenschutz, Stabilität, Ausfallsicherheit, Recovery Management bietet.

Weitere Informationen finden Sie hier auf der Homepage unter "Services".

7. Die nachfolgenden Informationen sind erfahrungsgemäß relevant für Privatpersonen und bei der Verwendung in kleinen Netzwerken von gemeinnützigen Einrichtungen und Kleinunternehmen

Auf der Webseite www.av-test.org werden Testergebnisse vom renommierten Magdeburger Testinstitut zu zertifizierter Sicherheitssoftware und Technik veröffentlicht.

Beachten Sie folgende Punkte bei der Einrichtungen und Konfiguration Ihres Netzwerks:

• Passwortrichtlinien/Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik beachten: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
• Umgang mit Passwörtern: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang.html
• Wo verfügbar, einsetzen: Zwei-Faktor-Authentifizierung. Wenn nicht verfügbar, Sicherheitsoptionen des Logins prüfen! https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/2FA-zwei-faktor-authentisierung.html
• Weitere Informationen vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html
• Ihr Router wird vom Hersteller/Provider mit Firmware unterstützt. Ist dies nicht mehr der Fall, ist ein neuer Router angeraten! (Hier bietet sich auch gleich eine Tarifprüfung an, z.B. über Check24.)
• Router regelmäßig auf aktuelle Firmware prüfen.
• Router: Sicheres Anmeldepasswort für Anmeldung am Router wählen: Passwortrichtlinien beachten!
• Router: Sicheres WLAN-Passwort wählen: Passwortrichtlinie beachten!
• Router: Unnötige Dienste abschalten.
• Netzwerkgeräte/Iot-Geräte: Jedes Gerät sicher konfigurieren mit jeweils individuellem Passwort (Passwortrichtlinie beachten!) und regelmäßig auf aktuelle Firmware prüfen. Nur (sicherheits-)zertifizierte Geräte einsetzen. Ist hier ein Gerät nicht sicher besteht Gefahr für das gesamte Netzwerk!
• Betriebssysteme, Treiber und Programme aktuell halten und regelmäßig auf Updates prüfen.
• Alle Betriebssysteme - vor allem bei Windows: Nicht als Administrator das Internet nutzen. Hierfür ein "Standardkonto" als Benutzer anlegen und auch mit einem Passwort schützen (Passwortrichtlinie beachten!).
• Sicherheitsprogramme: Auch hier ein separates Passwort (Passwortrichtlinie beachten!) einrichten und die Konfiguration auf Sicherheitseinstellungen und Funktionen prüfen. Ein EICAR-Test zeigt, ob der Viren-Scanner auch anschlägt!
• Weitere Informationen hier auf der Webseite unter "IT-Sicherheit"...!

Sicherheits-Tests zu geprüfter und zertifizierte Sicherheitssoftware für Privat und Unternehmen, mobile Endgeräte und Iot-Technik, Übersicht zu Kategorien von Technik und Sicherheits-Programmen für Privat und Unternehmen, für mobile Endgeräte und Iot-Geräte, Tests vom bekannten IT-Security Institut:

https://www.av-test.org/de/

Threat Intelligence Plattform von AV-Test und ECO-Verband zur Bedrohungslage:

https://av-atlas.org/de/

Sicherheits-System für Iot-Geräte im Netzwerk

Empfehlung: Bitdefender Box - Ihr Komplettschutz für alle mit dem Internet verbundenen Geräte.

Leistungen im Vergleich auf der Webseite des Herstellers: https://www.bitdefender.de/smart-home/#

8. Wichtige Gründe des Webservice Schmitz für die Wahl von IONOS (1und1) als Provider:

IT-Sicherheit und Datenschutz für Webseitenbetreiber und Webseitenbesucher.

Informationen unter:

https://www.ionos.de/sicherheit

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-cybersicherheit/

https://www.ionos.de/tools/website-check

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/

https://www.ionos.de/domains/domain-guard

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/

https://www.ionos.de/digitalguide/server/sicherheit/dns-spoofing/

https://www.ionos.de/digitalguide/domains/domainverwaltung/url-hijacking-was-ist-das-eigentlich/

https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/

https://www.ionos.de/tools/ssl-check

https://www.ionos.de/digitalguide/websites/webseiten-erstellen/wie-stelle-ich-meine-seite-auf-ssl-und-https-um/

https://www.ionos.de/digitalguide/websites/online-recht/impressum-im-internet-was-gilt-es-zu-beachten/

https://www.ionos.de/digitalguide/websites/online-recht/mehr-nutzervertrauen-dank-datenschutzerklaerung/

Mailarchivierung: "...Für geschäftliche E-Mails und ihre Dateianhänge gilt deshalb eine Pflicht zur rechtssicheren und revisionssicheren E-Mail-Archivierung...!"

https://www.ionos.de/office-loesungen/email-archivierung-bk

Eine fehlende SSL-Verschlüsselung von Webseiten ist eine Datenschutzverletzung. Hiervon betroffen sind auch Kontaktformulare...!

Insbesondere für Unternehmen besteht eine kostspielige Abmahngefahr und zudem Reputationsverlust. Maßgaben sind im Telemediengesetz und der DSGVO datiert. Infos auch unter: Webseite verschluesseln

https://www.deutsche-handwerks-zeitung.de/firmen-webseiten-ssl-verschluesselung-ist-pflicht/150/3101/360639

https://www.e-recht24.de/news/abmahnung/10648-kontaktformular-verschluesselung-abmahnung.html

Beachten Sie auch die Maßgaben zu Ihren Cookies auf Ihrer Webseite, hier zum Urteil des EuGH vom 01.10.19:

"...Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird...!"

https://www.cookiebot.com/de/aktive-einwilligung-und-der-fall-von-planet49/

Urteil des EuGH zur Einwilligung in Cookies:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf