Unser Leben wird schnell immer digitaler. Mancher von uns ist mit dem Smartphone ständig online. WhatsApp sei dank. Hinzu kommen Tablets, Laptops und PCs, privat wie im Büro. Klug, wie wir sind, haben wir den Virenscanner auf Update gestellt. Damit meinen wir, genug für die IT-Security getan zu haben.
Das digitale Wohl-Leben ist Normalität. Wir nutzen Software täglich bei der Arbeit. Alles tun wir online: Vergleichen, Kaufen, Buchen. Apps und Programme helfen uns, auch bei finanziellen Dingen. Natürlich verwalten wir unser Geld online, wie sonst?
Die digitale Normalität bedroht die IT-Security.
Die täglichen Interaktionen, die wir mit Computern und anderen digitalen Helferlein haben, sind kaum mehr zählbar. Da liegt eine große Gefahr. Denn es ist so normal, dass wir vieles halbautomatisch und schnell tun. Was kann passieren? Es gibt doch diesen Reset-Pfeil, der alles wieder rückgängig macht. Oder nicht, Alexa bzw. Siri?
Dann kommt die E-Mail, Absender ist ein guter Freund, wie es scheint. Sie klicken auf einen Anhang oder einen Link. Der öffnet ein banales Bild. Sie wundern sich und vergessen es. Doch ab diesem Zeitpunkt haben Sie einen Trojaner im System, der sich über ihr berufliches und privates Netzwerk ausbreitet. Es gibt Trojaner, die erst nach Jahren senden.
Elementare IT-Security Regeln und Hinweise für heute und die Zukunft:
1. Eine der wichtigsten und bekanntesten Regeln zuerst. Öffnen Sie nie Anhänge und Links, wenn Sie den Absender nicht kennen oder etwas verdächtig finden. Prüfen Sie, ob es wirklich der bekannte Absender ist oder dieser nur vorgetäuscht wird. Selbst dann ist es möglich, dass das Postfach Ihres Freundes oder Kollegen gekapert wurde.
2. Bedenken Sie, dass auch Geräte, die Teil des Internets der Dinge (IoT) sind, potentiell gefährdet sind: Was, wenn Ihr Garagentoröffner oder die ganze Schließanlage eines Gebäudes von einem Trojaner befallen ist? Oder wenn ein „intelligentes“ Auto mit Absicht von der Fahrbahn gelenkt wird? Zudem könnten einzelne IoT Geräte auch als Einfallstore in Heim- oder Firmennetzwerke genutzt werden, um diese mit Computerviren und -würmern zu verseuchen. Auch kriminelle Botfarmen aus IoT-Geräten sind vorstellbar. Der Schutz des Internet of Things wird wohl bald lukrativ für IT-Security Abteilungen.
3. Künstliche Intelligenz (KI) könnte bald benutzt werden, um gezielt in Netzwerke einzudringen. So gelang es Forschern von IBM eine Malware zu entwickeln, die sich geschickt vor der Sicherheitssoftware verbirgt. Sie wurde erst dann aktiv, als Sie das Gesicht eines bestimmten Nutzers erkannte.
4. Meiden Sie beim Onlineshoppen Webseiten, die schwach gesichert sind. Ganz besonders gefährlich sind natürlich Fakeshops, die geschaffen wurden, um minderwertige oder gefälschte Produkte zu vertreiben oder um Nutzerdaten abzufischen. Vergewissern Sie sich, dass Sie bei einem seriösen Anbieter sind. Bereits ein einfacher Check der Webadresse des Shops mittels Google-Suche kann Hinweise liefern, dass etwas nicht stimmt.
5. Eine recht neue Möglichkeit, um beispielsweise Passwörter auszuspähen, sind Soundlogger. Sie sind eine Unterart aus der Familie der Keylogger. Während ein klassischer Keylogger feststellt, welche Tasten einer Tastatur gedrückt wurden, arbeiten die Soundlogger noch virtuoser. Sie sind in der Lage die Anschlagsfrequenz und die Lautstärke des Klickens bei der Bedienung einer Tastatur zu ermitteln.
6. Sichern Sie Ihre Cloud(s), zum Beispiel indem Sie Datenverkehr und -übertragung immer verschlüsseln. Das ist zumindest für sicherheitsrelevante Bereiche auch für Ihre E-Mails sinnvoll.
7. Verwenden Sie zum Einloggen bei Netzwerken und Diensten sichere Passwörter, die Zahlen und Sonderzeichen beinhalten. Ein Trick, wie Sie sich ein komplexes Passwort merken können: Bilden Sie einen Satz, zum Beispiel „Seit 12 Wochen lese ich regelmäßig den Westhouse-Blog“. Verwenden Sie die Anfangsbuchstaben jedes Wortes. Das ergäbe dann „S12WlirdW-B“. Natürlich gibt es auch andere Methoden.
Die achte hier vorgestellte Schwachstelle zur IT-Security wird gern übersehen:
8. Es ist der Faktor Mensch. Auf den Faktor Mensch geführte Angriffe können rein digital, aber auch teils oder ganz offline geführt werden.
Solche Angriffe sind oft aufwändiger. Manchmal erfordern sie Zeit und Geduld. Aber je nach Ziel (Banken, Börse, Forschung, Patente, Ausschreibungen, Buchhaltung, Behörden …) können sie sich für den Angreifer dennoch lohnen. Da ist der sympathische Typ, der auch im Bistro nebenan isst, mit dem Sie sich erstmal über Facebook befreunden. Da versendet ein Reisebüro Zugangsdaten für ein Gewinnspiel an die Mitarbeiter eines Rüstungsunternehmens. Da ist der Ihnen unbekannte, aber dynamische Handwerker, dem Sie Zugang zum Firmendrucker gewähren. Er wedelt doch mit dem gefakten Auftragsformular. Welches er vor fünf Minuten mit Paint erstellt hat …
Es geht noch einfacher: Daten können auch per Bluetooth, in ungesicherten WLAN-Netzwerken oder durch einen Schulterblick auf Ihr Smartphone oder das aufgeklappte Laptop im Flughafen oder Zug oder Park erbeutet werden.
Die Liste erhebt keinen Anspruch auf Vollständigkeit. Es ist bereits viel erreicht, wenn wir gelegentlich innehalten und uns die täglichen Gefahren für die IT-Security vor Auge führen. Wer den Angriff verhindert oder zumindest bemerkt, ist klar im Vorteil.