IT-Sicherheit und Datenschutz

Sarah Schäfer

Rouven Bauhof

Im Zuge der DSGVO haben wir uns ausführlich mit Datenerhebung beschäftigt. Aber wie sicherst du denn deinen Rechner oder deine Onlineaccounts mit Passwörtern ab? Wie realistisch ist die Gefahr, dass du gehackt wirst oder ein Virus sich in deinem Computer einnistet? Und wie sicher sind eigentlich deine Daten und die deiner Kunden, die du per Mail verschickst?

All diese Fragen und einiges mehr bespreche ich heute mit dem IT-Experten Rouven Bauhof.

Ein Hinweis vorweg: wir erwähnen viele Programme, Unternehmen, Apps und Hilfsmittel, die auch hier im Text aufgeführt sind. Ausgewählt wurden sie von meinem Gast und/oder mir deshalb weil wir sie hilfreich finden. Keines dieser Unternehmen hat uns beauftragt.

Wenn du noch Fragen hast, schreib mir gern an sarah@mehrgutezeit.de, wir versuchen alle Fragen dann in einer weiteren Folge zu beantworten.

Passwörter: (ab Minute 3:50)

• nicht überall dasselbe Passwort verwenden
• nicht unter 8 Zeichen – Länge schlägt Komplexität – Hinweise zur Passwortsicherheit
• Passwörter regelmäßig ändern – zum Beispiel am World Password Day (3. Mai)
• Tipps, damit du dir Passwörter merken kannst:
  • jedes Jahr beispielsweise ein neues Themengebiet heranziehen
  • Passwörter würfeln – Diceware Methode
  • Passwörter in Passwortdatenbanken wie Keepass oder Macpass speichern (Übersetzung zu Keepass), gibt es auch als Apps
  • als Backup Notizbuch mit Passwörtern im Safe oder Schließfach lagern
• noch sicherer wird’s mit der Zwei-Faktor-Authentifizierung mit Security-Token
  • Apps als Alternative, z.B. Authy, Google Authenticator, Microsoft Authenticator
• was passieren kann, wenn deine Accounts gehackt wurden: von Einkäufen in deinem Namen bis zu Erpressung und Identitätsdiebstahl oder Missbrauch deiner Daten oder der deiner Kunden oder Klienten
  • wie Passwörter mit sogenannten Brute-Force-Attacken und Rainbow-Tables geknackt werden
  • Hacker werden unterschieden in Black- und White-Hats (und ggf. daszwischen Grey-Hats) – mehr dazu auch im Cybercrime-Podcast (inhaltlich spannend, erzählerisch zeitweise, sagen wir, speziell)
  • was der Chaos Computer Club ist
• wie du rausfinden kannst, ob deine Accounts gehackt wurden: E-Mailadresse(n) hier oder hier eingeben

Cookies und im Browser gespeicherte Passwörter: (ab Minute 9:03)

• ob du eingeloggt bleiben kannst, bei deinen (Social Media)Accounts oder dich lieber jedes Mal ausloggen solltest
• warum du im privaten bzw. im Inkognito-Modus surfen solltest und/oder deine Cookies löschen solltest, nicht nur um in Shops günstigere Preise angezeigt zu bekommen

Attacken auf Webseiten, Blogs WordPress-Seiten (ab Minute 22:56)

• Tipps um deine Seite abzusichern:
  • Updates regelmäßig einspielen und Website aktuell halten
  • als Benutzername nicht Standardeinstellungen oder Admin verwenden
  • sicheres Passwort verwenden

Backup und Datensicherung: (ab Minute 25:30)

• Datensicherung bedeutet: du hast deine Daten zwei Mal! Daten nicht nur auf dem Rechner einer externen Festplatte speichern (wenn die kaputt geht, sind die Daten weg), sondern immer Daten doppelt sichern, also z.B. Rechner plus externe Festplatten oder zwei externe Festplatten mit identischem Inhalt
• die beiden Datensicherungen nicht am selben Ort aufbewahren: bei Brand, Wasserschaden oder Diebstahl sind dann alle Daten verloren
• Festplatten verschlüsseln – gerade wenn sensible Daten und/oder Kundendaten darauf gespeichert sind. Geht eine Festplatte verloren wird es sonst schnell teuer.
  • Festplatten verschlüsseln mit BitLocker für Windows
    • BitLocker am besten auch für den Systemstart, im Verlustfall oder bei Diebstahl nutzen
  • FileVault bei Mac OS: Festplattenverschlüsselung „FileVault“ unter macOS
  • Für Linux: Festplattenverschlüsselung mit Debian GNU/Linux
• Wichtig, Verschlüsselung dokumentieren!
• Datensicherung in der Cloud:
  • darauf achten, dass der Clouddienst DSGVO-konform ist
  • bei sensiblen und Kundendaten rechtlich abklären lassen, Kunden darüber informieren oder solche Daten nicht in der Cloud speichern
  • Clouddienste verschlüsseln, zum Beispiel mit Boxcryptor, auch hier Sicherheit und Nutzungsbedingungen des Anbieters prüfen

DSGVO

• Datenschutz aus DSGVO-Sicht und Rouvens Einsichten aus dem IT-Alltag
• meine Podcastfolge zur DSGVO

E-Mail-Verschlüsselung und sichere Übertragung von Kundendaten (ab Minute 41:12)

• E-Mails wirklich verschlüsseln geht nur, wenn das auf Versender UND Empfängerseite eingerichtet wird, d.h. jeder Kunde müsste auch auf seiner Seite eine Verschlüsselung einrichten (z.B. über OpenPGP) und die Schlüssel müssen zwischen Sender und Empfänger ausgetauscht werden
• Stattdessen kann man aber nicht die E-Mail selbst sondern den Inhalt der E-Mail verschlüsseln. Das geht über einen Anbieter, über den man Daten austauscht, z.B. Office 365, Google oder Amazon Web Services. Per Mail wird dann nicht der Inhalt verschickt sondern nur der Hinweis darauf, wo der Inhalt verschlüsselt auffindbar ist. Bitte auch hier darauf achten, dass der Anbieter DSGVO-konform arbeitet.
• Eigene Cloud z.B. mit Owncloud nur mit eigener Firewall und vorsicht: aus Sicherheitsaspekten verarbeitet nicht jedes Unternehmen Daten aus solchen Clouds
• Clouddienste wie Dropbox kannst du ebenfalls verschlüsseln, z.B. mit Boxcryptor. Hinweis: das haben zwar weder Rouven noch ich selbst ausprobiert, ich finde aber, es klingt vielversprechend und werd’s mir mal anschauen und darüber berichten. Und noch ein Hinweis der Vollständigkeit halber: ich kenne eine Mitarbeiterin von Boxcryptor, aber auch hier: kein Werbeauftrag oder Sponsoring oder so.
• Alternativen sind z.B. Sharepoints (Anm. SharePoint ist auch ein Produkt von Microsoft und Bestandteil von O365) wie Office 365 – aber zur (mobilen) Zusammenarbeit machen Rouven und ich noch eine Extrafolge 😉

Handy verschlüsseln (ab Minute 55:22)

• bei neuen iPhones schon integriert, bei Androids muss das eingestellt werden
  • im Verlustfall musst du nachweisen, dass dein Gerät verschlüsselt war
• bei Android-Geräten, auch bei iOS, können private von geschäftlichen Daten getrennt werden, zum Beispiel mit VMware Boxer: hier kann man einstellen, dass es keinen Zugriff auf z.B. die Kontakte gibt, die innerhalb von Boxer gepflegt werden.

Viren: Abwehr und Rettung von befallenen Geräten (ab 1:00:07)

• gerade „in Mode“ ist Ransomware, dagegen helfen nur zum einen E-Mails sehr genau zu betrachten, nicht leichtfertig Anhänge zu öffnen, einen Virenschutz oder Security Software zu installieren, hier einfach mal im Playstore suchen und einen Hersteller des Vertrauens wählen, evtl. Test anschauen

Tipp:

Hier gibt es regelmäßig Hinweise auf Gefahren und Sicherheitslücken

Wenn du noch Fragen hast: schreib mir gern an sarah@mehrgutezeit.de, wir versuchen alle Fragen dann in einer weiteren Folge zu beantworten.