Embed Size (px)
Citation preview
Security-Checklistenkompakt
In fünf Minuten absichern: Windows, Smartphone, Router, E-Mail, WhatsApp, Browser, Social Media, Online-Banking, Server, Passwörter, Backups…
Mit Tippsfürs Home -office
Von Europas größtem IT- und Tech-Magazin
11523
So bleiben Ihre Daten im Netz sicher und privatNEU
Auch als Heft + PDF
erhältlich mit 22 % Rabatt
Generell portofreie Lieferung für Heise Medien- oder Maker Media Zeitschriften-Abonnenten. Nur solange der Vorrat reicht. Preisänderungen vorbehalten.
22 % Rabatt
shop.heise.de
c’t Daten schützen
Halten Sie Schnüffl er fern und Ihre privaten Daten sicher mit dem neuen c’t-Sonderheft Daten schützen 2020!
shop.heise.de/ct-datenschutz20
12,90 €
Einzelheft für nur
Editorial
3www.ct.de/check2021
Liebe Leserinnen und Leser,
haben Sie mal fünf Minuten? Mit diesem kleinen Heft machenSie Hackern das Leben so richtig schwer. Wir haben die wich-tigsten Handgriffe zur Absicherung von Smartphone, Rechner,WLAN-Router und vielem mehr für Sie zusammengestellt, Siemüssen diese nur noch umsetzen. Und das dauert in aller Regelnicht länger als fünf Minu-ten. Zudem erfahren Sie, wieSie sicher chatten und mai-len, was ein gutes Passwortausmacht und vieles mehr.
Die Checklisten wurdenumfassend überarbeitet: Sogibt es unter anderem eineneue Homeoffice-Checklis-te, mit deren Hilfe Sie auch zu Hause sicher arbeiten können.Damit tun Sie nicht nur sich einen Gefallen, sondern auchIhrem Arbeitgeber.
Doch nur gemeinsam sind wir stark: Geben Sie diesesHeftchen gern an Familie, Freunde, Kollegen und Mitarbeiterweiter. Wenn Sie das Heft lieber selbst behalten, finden Sieunter ct.de/check2021 ein kostenloses PDF sowie eine Mög-lichkeit zum Nachbestellen. Ausführliche Fassungen derChecklisten mit weiteren Tipps finden Sie in c’t 20/2020.
Und jetzt frisch ans Werk!
4 Homeoffice
5 Windows
6 Smartphone
7 WLAN-Router
8 E-Mail
9 WhatsApp& Co.
10 Browser
11 Social Media
14 Online-Banking
15 Backups
16 Passwörter
17 Server &Hosting
Inhaltœ
4
Rechner schützenSichern Sie Ihren Homeoffice-PC nach dem Stand der Tech-nik – etwa mit den Tipps in die-sem Heft. Dazu zählen regel-mäßige Betriebssystem-Up-dates und ein Virenscanner.Ein Virenbefall kann die ge-samte Firma lahmlegen.
Daten trennenWenn Sie Ihren Homeoffice-Rechner auch privat nutzen,dann verwenden Sie hierfürein eigenes Nutzerkonto. Sobleibt Privates privat. Umge-kehrt gilt: Firmendaten habenim Privatkonto nichts verloren.
VerschlüsselnAchten Sie gut auf die DatenIhres Arbeitgebers: Geben Sienichts unbedacht weiter, lö-schen Sie nicht länger benötig-
te Dateien und verschlüsselnSie Ihre Datenträger. SchützenSie den Rechner mit Sperrbild-schirm und Passwort.
IntranetzugriffGreifen Sie aus dem Homeof-fice ausschließlich über eineverschlüsselte VPN-Verbin-dung auf das Firmennetz zu.Geben Sie den Zugang keines-falls weiter.
Videochat & Co.Im Homeoffice stehen IhnenIhre Gesprächspartner seltengegenüber. Das wissen auchCyber-Kriminelle. Seien Siedeshalb skeptisch: Ist der Vi-deochat-Teilnehmer ohne Ka-mera tatsächlich Ihr Kollege?Stammt die Mail wirklich vomChef? Rufen Sie im Zweifellieber an.
HomeofficeZu Hause und sicher arbeiten
c’t-Security-Checkliste
www.ct.de/check2021
5
Immer up to dateStellen Sie regelmäßig sicher,dass alle Updates installiertsind, indem Sie die Einstellun-gen über das Startmenü auf -rufen und auf „Update und Sicherheit“ klicken. Halten Sieauch Apps wie Office, Browserund PDF-Viewer aktuell.
VirenscannerEin Virenscanner mit Echtzeit-schutz ist unter Windows rat-sam. Der Defender reicht aus.Seinen Status erfahren Sie,indem Sie „Windows-Sicher-heit“ über das Startmenü auf-rufen und auf „Viren- & Be-drohungsschutz“ klicken.
ZugriffsschutzVor unbefugten Zugriffenschützen Sie Ihren Rechneram besten, indem Sie seine
Festplatte/SSD mit BitLocker oder VeraCrypt verschlüsseln.Sichern Sie Ihren Benutzer -account mit einem mindestens10 Zeichen langen Passwort.
Daten schützenVerhindern Sie, dass mehrDaten an Microsoft fließen alsnötig: Suchen Sie im Start -menü nach „Einstellungen fürDiagnose und Feedback“ undstellen Sie die Option „Diag-nosedaten“ auf „ErforderlicheDiagnosedaten“. Nutzen Sieein lokales Nutzerkonto fürWindows.
Daten sichernDatenträger wie Festplattenund USB-Sticks können jeder-zeit ausfallen. Erstellen Sie re-gelmäßig Backups Ihrer wich-tigsten Dateien (siehe S. 15).
Windows5 Handgriffe für Windows 10
c’t-Security-Checkliste
www.ct.de/check2021
6
SmartphoneAndroid-Smartphones und
iPhones absichern
c’t-Security-Checkliste
www.ct.de/check2021
Firmware-UpdatesHalten Sie Ihr Smartphonestets auf dem aktuellen Stand,indem Sie verfügbare Firm -ware-Updates zeitnah instal-lieren. Diese schließen häufigSicherheitslücken. BekommtIhr Gerät keine Updates mehr,sollten Sie über eine Neuan-schaffung nachdenken.
ZugriffsschutzNutzen Sie die Bildschirm-sperre, damit Unbefugte IhrSmartphone nicht entsperrenkönnen. Zum schnellen Ent-sperren können Sie Passcode,Fingerabdruck oder Gesichts-scan einrichten (je nach Gerät).
Stores nutzenInstallieren Sie am besten nurApps aus den offiziellen Stores(insbesondere App Store und
Google Play), da die Apps hiereinem Sicherheits-Check un-terzogen wurden.
BerechtigungenÜberprüfen Sie vor der Instal-lation einer App, welche Be-rechtigungen sie einfordert. Er-teilen Sie nur Apps, denen Sievertrauen, Zugriff auf Kamera,Mikrofon, Standort & Co.
Nicht rootenDurch „Rooting“ (Android)oder „Jailbreaking“ (iOS) ma-nipulieren Sie essentielleSchutz funktionen Ihres Smart -phones, zudem lassen sich si-cherheitsrelevante Apps (etwaBanking-Apps) häufig nichtmehr starten. In den meistenFällen ist es daher ratsam, dasGerät im Ursprungszustandzu belassen.
7
WLAN-RouterSchutzmaßnahmen für Fritzboxund andere
Gute PasswörterNutzen Sie für alle Geräte-dienste wie Dateifreigabengute Passwörter (siehe S. 16).Das gilt auch für die Konfigu-rationsoberfläche des Routers,da diese für Angreifer erreich-bar sein kann.
Aktuelle FirmwareRouter sind beliebte Angriffs-ziele. Nutzen Sie daher stetsdie aktuelle und somit sichers-te Geräte-Firmware. SchaltenSie automatische Updates ein,wenn möglich.
Dienste schützenMachen Sie möglichst keinelokalen Dienste über das In-ternet zugänglich – und wenndoch, dann nur mit Passwort-schutz und verschlüsselt. Grei-fen Sie unterwegs am besten
über VPN auf Dienste imHeim netz zu.
Sicheres WLANStellen Sie als Verschlüsse-lung mindestens WPA2, bes-ser WPA3 ein. Nutzen Sie einzufälliges WLAN-Passwort mitmindestens 16 Zeichen. ÖffnenSie für Gäste und Smarthome-Geräte ein Gastnetz mit sepa-ratem Passwort. Aktivieren Siewenn möglich den Schutz fürSteuerpakete (PMF).
WPS und UPnP ausWPS und UPnP sind Komfort-funktionen, die in der Vergan-genheit immer wieder von An-greifern missbraucht wurden,um Router zu kapern. SchaltenSie beide über das Webinter-face des Routers aus, wennmöglich.
c’t-Security-Checkliste
www.ct.de/check2021
8 www.ct.de/check2021
E-MailMailen ohne Mitleser
Gesundes MisstrauenManchmal kommen Mailsnicht vom vorgeblichen Ab-sender: Für Phishing-Attackenfälschen Angreifer die Absen-der und kopieren etwa dasLayout von Bank-Mails per-fekt. In einigen Fällen knüpfenAngreifer sogar an bestehendeKonversationen an. WerdenSie besonders misstrauisch,wenn Links, Anhänge oderGeld im Spiel sind.
Mail-Client absichernLassen Sie Ihren Mailclientkeine externen Inhalte nachla-den und nutzen Sie die HTML-Ansicht nicht als Standard.Stellen Sie außerdem sicher,dass Ihr Mailclient nur trans-portverschlüsselt mit demMailserver spricht.
ZusatzschutzNutzen Sie eine Zwei-Faktor-Authentifizierung (2FA), wennmöglich. Manche Anbieter er-lauben auch, Mails bei Eingangautomatisch zu verschlüsselnoder nur zu versenden, wenneine transportverschlüsselteVerbindung zum Zielserveraufgebaut werden kann.
Überlegt nutzen„Allen antworten“? wirdschnell zum Problem: Entfer-nen Sie überflüssige Empfän-ger und Informationen aus zi-tierten Nachrichten. Ausführ-bare Dateien und Dokumentemit Makros sollten weder ver-schickt noch empfangen wer-den und manch heikle Infor-mation ist in einem Telefonatbesser aufgehoben.
c’t-Security-Checkliste
WhatsApp & Co.Sicher chatten
Verschlüsselt chattenNutzen Sie Messenger, dieEnde-zu-Ende-verschlüsseln(wie Signal oder WhatsApp)oder das zumindest als Opti-on bieten (wie Telegram oder Facebook Messenger). Letzte-res wird oft „geheimer Chat“genannt und muss explizit gestartet werden.
Wer hört mit?Viele Messenger bieten Web-oder Desktop-Clients als Zu-satz zur App. Einmal eingerich-tet lassen sich darüber sämt -liche Chats mitlesen. PrüfenSie also regelmäßig, ob andereGeräte mit der Messenger-Appverknüpft sind.
Backup kontrollierenBackups sind wichtig, aberauch ein mögliches Daten-
leck: Überprüfen Sie, ob eswirklich in die Cloud erfolgenmuss und wie die Daten ab -gelegt werden.
PIN setzenViele Messenger sind an eineHandynummer gebunden. Diewird per SMS bestätigt, aberSMS lassen sich umleiten. Mes-senger wie WhatsApp, Tele-gram oder Signal bieten daheran, den Prozess mit einer zu-sätzlichen PIN abzusichern.Nutzen Sie dieses Feature undbewahren Sie die PIN gut auf.
Betrug erkennen Betrüger und Kettenbriefe gibtes auch bei Messengern. SeienSie skeptisch, öffnen Sie keineunerwarteten Links und leitenSie nur weiter, was Sie über-prüft haben.
c’t-Security-Checkliste
9www.ct.de/check2021
10
BrowserDie wichtigsten Handgriffe für
Chrome, Firefox, Edge und weitere
Aktuell bleibenNutzen Sie stets die neuesteBrowserversion, da in altenVersionen meist Sicherheits -lücken klaffen. Stellen Sie sicher, dass sich der Browserautomatisch mit Updates ver-sorgt.
Add-ons checkenViele Erweiterungen haben Zu-griff auf alle Inhalte sämtlicherbesuchter Webseiten, auch aufdas Online-Banking. WerfenSie ungenutzte Erweiterungenaus dem Browser.
Tracker blockierenFirefox, Microsoft Edge undSafari bringen Trackingblockermit. Schalten Sie sie scharf. BeiChrome können Sie Trackermit der Erweiterung uBlockOrigin blockieren.
BerechtigungenWebsites können Berechtigun-gen einfordern, um etwa aufdie Kamera, das Mikrofon undden Standort zuzugreifen. Ge-statten Sie dies nur, wenn esunbedingt nötig ist. Die erteil-ten Berechtigungen könnenSie in den Datenschutzoptio-nen der Browser einsehen undlöschen.
Adressen checkenGeben Sie persönliche Da -ten nur auf Websites ein, die verschlüsselt ausgeliefertwerden (Adresse beginnt mithttps:// beziehungsweise derBrow ser zeigt ein geschlos -senes Schlosssymbol nebender Adresse an). ÜberprüfenSie die Domain der Websitegenau.
c’t-Security-Checkliste
www.ct.de/check2021
Social MediaFacebook, Twitter, Instagram & Co.
Zwei Faktoren nutzenNutzen Sie eine Zwei-Faktor-Authentifizierung (2FA), wennmöglich. 2FA per App wieGoogle Authenticator ist si-cherer als via SMS.
Zugriffe checkenBei vielen sozialen Netzenkönnen Sie Diensten und Appsden Zugriff auf Ihren Accountgewähren. Kontrollieren Siediese Liste regelmäßig undentfernen Sie alle Drittanbie-terdienste, die Sie nicht längernutzen.
Gezielt teilenBei Facebook, aber auch beianderen Anbietern kann manfestlegen, mit wem man Inhal-te teilen möchte – etwa mit individuellen Freundeslisten.Nutzen Sie dies, um Inhalte
nur mit Personen zu teilen, diesie auch sehen dürfen.
Anfragen checkenOft steckt hinter Freund-schaftsanfragen der Versuch,persönliche Daten abzugrei-fen. Checken Sie jede Anfra-ge sorgfältig. Ist das Mitgliedfrisch dabei und hat viele neueKontakte, kann das auf einenBetrug hindeuten.
Private NachrichtenSelbst von Nachrichten IhrerKontakte kann Gefahr aus -gehen: Hacker übernehmenAccounts und verschicken infremdem Namen gefährlicheLinks oder fragen nach Geld.Seien Sie skeptisch und fragenSie Ihren Kontakt im Zweifelüber einen anderen Kanal,was es damit auf sich hat.
c’t-Security-Checkliste
11www.ct.de/check2021
ct.de/angebot
ICH KAUF MIR DIE c’t NICHT.ICH ABONNIER SIE.Ich möchte c’t 3 Monate lang mit 35 % Neukunden-Rabatt testen. Ich lese 6 Ausgaben als Heft oder digital in der App, als PDF oder direkt im Browser.
Als Willkommensgeschenk erhalteich eine Prämie nach Wahl,z. B. einen RC-Quadrocopter.
Jetzt gleich bestellen:
ct.de/angebot
+49 541/80 009 120
Jetzt gleich bestellen:
14
Online-BankingBankgeschäfte ohne Kummer
Transaktion checkenChecken Sie bei Online-Über-weisungen das Zielkonto unddie Summe auf dem TAN-Ge-nerator, in der App Ihrer Bankoder auf dem Kartenleser undvergleichen Sie sie wenn mög-lich mit der Rechnung.
Banking virenfreiBanking mit dem PC oderSmart phone ist nur sicher,wenn das System virenfrei ist.Sorgen Sie dafür, dass aufIhrem PC ein Virenscannermit aktuellen Updates aktiv ist(siehe Seite 5).
Phishing erkennenOnline-Betrüger verschickenmassenhaft Mails im Namenvon Bankinstituten, um Tro-janer einzuschleusen oderZugangsdaten abzugreifen
(Phish ing). Geben Sie Ihre Zu-gangsdaten nur auf der Web-seite der Bank (Adresse selbsteintippen oder per Bookmarkansteuern) oder in Ihrer On-line-Banking-Software ein.
Belege überprüfenInsbesondere Kreditkarten-nutzer sollten jede Abrech-nung kontrollieren und unbe-fugte Abbuchungen umge-hend an ihre Bank melden.Auch Ihre Kontoauszüge soll-ten Sie regelmäßig prüfen.
Handy nicht rootenRooten oder jailbreaken SieIhr Smartphone oder Tabletnicht, da Sie damit wichtigeSchutzfunktionen lahmlegen.Viele Banken-Apps starten aufmodifizierten Geräten aus die-sem Grund gar nicht erst.
c’t-Security-Checkliste
www.ct.de/check2021
15
BackupsDaten sicher sichern
Machen!Das Wichtigste am Backup ist,es auch wirklich zu machen –der richtige Zeitpunkt, umdamit anzufangen, ist: jetzt!
Alles besser als nichtsSchutz vor Datenverlustenbietet so ziemlich jede Kopie,die getrennt vom Original ab-gelegt ist. Selbst ein Ausdruckauf Papier ist besser als nichts.
TrojanersicherVerschlüsselungstrojaner grei-fen alles an, was sie erreichenkönnen. Daher ist ein Backupnur dann zuverlässig, wenn es sich auf keinem Weg vonIhrem PC aus erreichen lässt.
FeuerfestDamit im Ernstfall Originalund Kopie nicht gemeinsam
durch Feuer oder Löschwasservernichtet werden, lagern Siemindestens eine Kopie außerHaus.
DiebstahlsicherWenn ein Dieb Zugriff auf dasBackup-Medium erlangt, kanner die Daten darauf lesen. La-gern Sie es also am besten ineinem feuerfesten Tresor.
WiederherstellenSolange Sie Ihr Backup nichttestweise wiederhergestellthaben, darf es nicht als zu -verlässig gelten.
WiederholenBackups veralten, weil dieseitdem hinzugekommenenDa ten naturgemäß nicht ent -halten sind. Sichern Sie IhreDaten also regelmäßig.
c’t-Security-Checkliste
www.ct.de/check2021
16
Passwörter &AccountsWas wirklich zählt
Kein RecyclingNutzen Sie für jede Websiteund jede Anwendung ein in-dividuelles Passwort. Wer fürmehrere Websites das gleichePasswort nutzt, ist leichteBeute: Wird eine Site gehackt,kann sich der Angreifer auchin alle anderen einloggen.
Lang statt komplexNutzen Sie lieber möglichstlange Kennwörter statt mög-lichst viele Sonderzeichen.Die Länge ist die effektivsteStellschraube, um das Kna-cken des Kennworts hinaus-zuzögern.
PasswortmanagerSpeichern Sie Ihre Passwörterauf keinen Fall unverschlüsseltauf dem Rechner. Nutzen Sieeinen Passwortmanager wie
KeePass oder LastPass, um Zu-gangsdaten sicher verschlüs-selt aufzubewahren. Wenn SiePasswörter im Browser spei-chern, sollten Sie dafür einMaster-Passwort setzen, wennmöglich.
Zettel und StiftDer einfachste Passwortspei-cher ist ein Zettel, den Sie aneinem sicheren Ort aufbewah-ren. Auf Geldbörse oder Tre-sor hat kein Trojaner Zugriff.
Zwei FaktorenNutzen Sie bei Webdienstenwann immer es geht die Zwei-Faktor-Authentifizierung, umIhre Accounts effektiv vor Ha-ckern zu schützen. Alternativkönnen Sie häufig einen USB-Sicherheitsschlüssel nutzen(U2F oder FIDO2).
c’t-Security-Checkliste
www.ct.de/check2021
17
Server & HostingFür Admins & Webmaster: So sperren Sie Hacker aus
Zwei FaktorenSchützen Sie sämtliche Admin-Accounts durch einen zweitenFaktor (etwa U2F/FIDO2),wenn möglich. Bieten Sie auchIhren Nutzern eine Zwei-Fak-tor-Authentifizierung an.
Sicherer ZugriffFTP ist unsicher, weil es nichtverschlüsselt. Nutzen Sie SFTPoder FTPS, um Inhalte hoch-zuladen, und schalten Sie FTPam besten ab. Sichern Sie denSSH-Zugang, indem Sie dieAnmeldung per Passwort de-aktivieren, und authentifizie-ren Sie sich stattdessen perPublic-Key-Verfahren.
Aktuell haltenServerbetriebssystem, Diensteund Webanwendungen sindleichte Beute für Hacker, wenn
nicht alle Security-Patches in-stalliert sind. Stellen Sie regel-mäßig sicher, dass alles aufdem aktuellen Stand ist.
Logfiles checkenBehalten Sie relevante Log-Dateien im Blick, um Angriffeund Infektionen zu erkennen.Fail2ban (Unix) und RdpGuard(Windows) entdecken Brute-Force-Attacken in den Logsund setzen die IP-Adressen derAngreifer automatisch auf dieBlacklist.
Passwörter hashenSpeichern Sie niemals Klar-textpasswörter Ihrer Nutzer.Nutzen Sie stattdessen ein mo-dernes Hash-Verfahren wiePBKDF2. Speichern Sie darü-ber hinaus so wenige Datenwie möglich über Ihre Nutzer.
c’t-Security-Checkliste
www.ct.de/check2021
c’t-Security-Checkliste
Redaktion Karl-Wiechert-Allee 10, 30625 HannoverTelefon: 05 11/53 52-300Telefax: 05 11/53 52-417Internet: www.ct.de
Chefredakteur: Dr. Jürgen Rink (jr)(verantwortlich für den Textteil)
Koordination: Ronald Eikenberg([email protected])
Art Direction: Nicole Judith Hoehne
DTP-Produktion: Matthias Timm,Heise Medienwerk GmbH & Co. KG,Rostock
VerlagHeise Medien GmbH & Co. KGKarl-Wiechert-Allee 10, 30625 HannoverTelefon: 05 11/53 52-0
Telefax: 05 11/53 52-129Internet: www.heise.de
Herausgeber: Christian Heise, Ansgar Heise, Christian Persson
Geschäftsführer: Ansgar Heise, Dr. Alfons Schräder
Mitglied der Geschäftsleitung: Beate Gerold, Jörg Mühle
Verlagsleiter: Dr. Alfons Schräder
Anzeigenleiter: Michael Hanke (-167,verantwortlich für den Anzeigenteil),www.heise.de/mediadaten/ct/
Leiter Vertrieb und Marketing: André Lux (-299)
Druck: QUBUS Media, Utermöhlestraße 9, 31135 Hildesheim
ImpressumJ
Generell portofreie Lieferung für Heise Medien- oder Maker Media Zeitschriften-
Abonnenten. Nur solange der Vorrat reicht. Preisänderungen vorbehalten.
NEU: c’t DSGVO – was 2020 wirklich wichtig ist
Auch digital mit DVD-
Download
shop.heise.de/dsgvo20shop.heise.de/dsgvo20shop.heise.de/dsgvo20
Nur 495 € im Jahr statt später 995 €
Das Profi-Paket für mehr IT-Sicherheit.
ONLINE 21 UND 22 OKTOBER 202
ebenDie Konferenz für sichere Software- und W
20
ntwicklung
ucherrabatt m 23. September
ONLINE –
THEMEN SIND UNTER
Agile Threat Modeling
OWASP Top 10 und O
Sichere Software beginn
– 21. UND 22. OKTOBER 202
ANDEREM:
g
OWASP API Security Top 10
nt vor der ersten Zeile Code …
Frühbubis zum
Nehmen Sie über Ihren schen Sie sich per Text- nutzen Sie das Videoarc
h i
OWASP Top 10 und O
Jakarta EE Security u
Was kann C++ von R
Cloud-Security auf de
Browser bequem vom Büro oder Homeo - und Videochat mit Teilnehmern und Ref chiv, um im Nachgang alle Vorträge anzu
d d
OWASP API Security Top 10
nd MicroProfile JWT
ust klauen?
em Prüfstand
ffice teil, tau- ferenten aus, und uschauen.
ranstalterVe
nsponsoreGold
.heise-www
onsorenerspSilb
-devsec.de
