Guten Morgen,

Viele Geräte werden mit einem Default Passwort ausgeliefert. Diese sind oft sehr kurz und sollen eigentlich nur genutzt werden, bis du ein eigenes eingerichtet hast. Doch bei vielen Installationsassistenten wird das Ändern des Passwortes nicht erzwungen und so bleiben die Passwörter aktiv und werden vergessen.
Das ist häufig ein Sicherheitsproblem. Denn die Defaultpasswörter stehen bei den Herstellern in den Anleitungen und werden in Datenbanken gesammelt. Hat ein*e Angreifer*in Zugang zum Gerät oder Anwendung kann sie sie diese einfach ausprobieren und bekommt vollen Zugriff. Gerade bei Routern, über die der ganze Netzwerkverkehr läuft, kann der Verkehr umgeleitet oder manipuliert werden, um z.B. Trojaner zu verteilen oder den Router in ein Botnetz zu integrieren. Er greift dann z.B. andere Router an oder nimmt an Distributed Denial of Service Angriffen teil.
Auch aufgedruckte scheinbar zufällige Passwörter können unsicher sein. Wenn diese z.B. von der Seriennummer abgeleitet werden oder vom Produktionsdatum, könnte ein*e Angreifer*in die möglichen Passwörter mit Glück bereits so weit einschränken, dass sie dieses erraten kann.
Du solltest daher die Standardzugangsdaten immer ändern.
Nimm den heutigen Tag als Anlass und setze bei deinem Router ein sicheres Passwort für die Verwaltungsoberfläche.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Backups sind wichtig, um dich vor Datenverlust zu schützen. Egal ob Unachtsamkeit, Hardwarefehler oder Verschlüsselungstrojaner. Sind die Originaldaten futsch, hilft nur ein Backup.
Bestimmt machst du schon Backups nach der 3-2-1 Regel ;) Doch verschlüsselst du deine Backups bevor du sie auf mobile Datenträger oder in die Cloud lädst, um sie außer Haus zu speichern? Die Verschlüsselung deiner Backups ist wichtig, schließlich beinhalten sie eine Kopie deiner wichtigsten Informationen. Auf deinem Laptop werden die Daten hoffentlich von BitLocker oder einer anderen Festplattenverschlüsselung geschützt. Doch wenn sie in einem Backup deinen Rechner verlassen, müssen sie extra geschützt werden. Nutze dafür Tools wie VeraCrypt, um eine externe Platte komplett zu verschlüsseln, oder Boxcryptor, um Daten zu verschlüsseln, bevor sie in die Cloud gesynct werden. Nutze am besten OpenSource Tools mit großer Verbreitung. Deren Sicherheit wird am ehesten unabhängig überprüft.
Nimm den heutigen Tag als Anlass und verschlüssele deine Backups.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Phishing kann jede*n treffen. Mails und SMS erreichen inzwischen zumindest bei manchen Angriffen eine hohe Qualität. Früher konnte man Phishingmails meistens an haarsträubenden Grammatikfehlern, schlechter Übersetzung oder fehlende persönliche Informationen erkennen. Durch Datenlecks oder über das Anzapfen von Social Media Beiträgen gelangen Angreifer*innen an persönliche Informationen und können mit KI überzeugend klingende Texte in beliebigen Sprachen schreiben.
Um auch vor gut gemachten Phishingversuchen geschützt zu sein, solltest du nie auf Links in Mails oder SMS klicken. Speicher stattdessen die Webseite deiner Bank, von DHL, deinen Social Media Plattformen oder deinen Onlineshops als Bookmarks. Dies geht über die Bookmark Funktion im Browser oder als URL in deinem Passwortmanager. Bei quasi allen Anbietern kannst du wichtige Benachrichtigungen in deinem Kundenbereich einsehen. Wenn du eine Mail bekommst, die dich zu einer Handlung auffordert, gehst du einfach auf deinen Bookmark. So bist du auf jeden Fall auf der echten Seite und nicht auf einer Phishingseite. Danach kannst du im Kundenbereich nachsehen, ob es wirklich etwas zu tun gibt.
Nimm den heutigen Tag als Anlass und speichere deine Bank und deine Social Media Seiten als Bookmark.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Ständig werden in Betriebssystemen, Anwendungen und Geräten Sicherheitslücken gefunden. Diese ermöglichen es Angreifer*innen für Abstürze zu sorgen oder im schlimmsten Fall die Systeme komplett zu übernehmen und sie für weitere Aktivitäten zu nutzen. Solange die Systeme noch vom Hersteller unterstützt werden, bringen diese Sicherheitspatches heraus, um gemeldete Lücken zu schließen.
Doch wie viele betroffene Systeme hast du? Smartphone, Laptop, Gaming-PC, Smartwatch, Router, Smarte Lampen, E-Bike, Soundsystem, Fernseher usw. Dazu kommt alles, was irgendwie "smart" oder vernetzt ist. Das sind schnell dutzende Systeme und mehr. Bei allen müsstest du täglich beim Hersteller vorbeischauen und prüfen, ob es Updates gibt.
Zum Glück gibt es bei vielen Systemen die Option auf automatische Updates. Dabei werden alle Sicherheitsupdates, die der Hersteller bereit stellt, automatisch installiert. So werden Sicherheitslücken geschlossen, sobald die Patches bereit stehen.
Leider bieten nicht alle Hersteller Updates an. Das macht die Geräte unnötig riskant oder sogar zu Elektroschrott, obwohl sie noch funktionieren. Bisherige politische Bestrebungen, Hersteller zu einer Updategarantie zu verpflichten, sind bisher leider noch nicht weit gekommen.
Nimm den heutigen Tag als Anlass und aktiviere auf deinen Systemen automatische Updates.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Nach wie vor schützen bei vielen Geräten und Diensten Passwörter den Zugang zu deinem Account oder deinen Daten. Doch Passwörter sind eigentlich denkbar ungeeignet. Computer sind viel besser darin, komplizierte Passwörter zu erraten, als Menschen darin, sie sich zu merken. Das geht mittels Brute-Force oder Wörterbuch Angriffen und steigender Rechenleistung immer schneller. Auch bei Phishing oder Einbrüchen in Server können deine Zugangsdaten gestohlen werden.
Mit Passkeys steht ein Nachfolger für Passwörter bereit, der die Zugänge nicht nur komfortable ermöglichen soll, sondern auch vor Man-in-the-Middle Angriffen und Phishing schützen. Der Clou an Passkeys ist, dass in den Passkeys die Domain des Dienstes mit integriert ist. D.h. wenn du einen Account bei example.com hast und eine Phishingmail dich auf axemple.com leiter, wird dein Passkey gar nicht übermittelt. Denn er passt nicht zu der Domain, für die er erstellt wurde.
Die großen Betriebssystemhersteller haben Passkeys integriert und wollen sie über ihre Cloud synchronisieren. Das ist je nach Konzept ein Problem. Sind die Passkeys nicht Ende-zu-Ende verschlüsselt, könnte Google oder Microsoft diese mitlesen bzw. würden Angreifer*innen in die Hände fallen, falls Lücken in diesen Diensten gefunden werden. Daher kann es je nach Misstrauen gegenüber den großen Technikkonzernen sinnvoll sein auf eine offene alternative wie KeePassXC zu setzen. Seit einigen Versionen unterstützt das OpenSource Programm auch Passkeys und kann diese über das Browserplugin zur Anmeldung an Webdiensten bereitstellen. Ganz sicher sind Passkeys auch auf Hardwaretokens. Von denen kann man aber kein Backup machen.
Wie bei 2FA solltest du prüfen, ob zwei Passkeys bei einem Dienst hinterlegt werden können oder wie der Prozess zur Wiederherstellung aussieht, wenn du deinen Passkey verlierst.
Nimm den heutigen Tag als Anlass und konfiguriere bei deinen Accounts Passkeys.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Viele Geräte werden mit einem Default Passwort ausgeliefert. Diese sind oft sehr kurz und sollen eigentlich nur genutzt werden, bis du ein eigenes eingerichtet hast. Doch bei vielen Installationsassistenten wird das Ändern des Passwortes nicht erzwungen und so bleiben die Passwörter aktiv und werden vergessen.
Das ist häufig ein Sicherheitsproblem. Denn die Defaultpasswörter stehen bei den Herstellern in den Anleitungen und werden in Datenbanken gesammelt. Hat ein*e Angreifer*in Zugang zum Gerät oder Anwendung kann sie sie diese einfach ausprobieren und bekommt vollen Zugriff. Gerade bei Routern, über die der ganze Netzwerkverkehr läuft, kann der Verkehr umgeleitet oder manipuliert werden, um z.B. Trojaner zu verteilen oder den Router in ein Botnetz zu integrieren. Er greift dann z.B. andere Router an oder nimmt an Distributed Denial of Service Angriffen teil.
Auch aufgedruckte scheinbar zufällige Passwörter können unsicher sein. Wenn diese z.B. von der Seriennummer abgeleitet werden oder vom Produktionsdatum, könnte ein*e Angreifer*in die möglichen Passwörter mit Glück bereits so weit einschränken, dass sie dieses erraten kann.
Du solltest daher die Standardzugangsdaten immer ändern.
Nimm den heutigen Tag als Anlass und setze bei deinem Router ein sicheres Passwort für die Verwaltungsoberfläche.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Lass Geräte offline, wenn dir das keinen großen Mehrwert bietet. Achte schon beim Kauf auf die Möglichkeit etwas offline zu betreiben oder ob es OpenSource Alternativen für die Anbindung gibt.
Vor einiger Zeit geisterte die Geschichte eines Botnetzes aus vernetzten Zahnbürsten durchs Internet. Es stellte sich heraus, dass nur von einem möglichen Szenario gesprochen wurde und das (noch) nicht passiert ist. Doch die Geschichte war zu glaubwürdig und verbreitete sich rasch im Fediverse. Sobald etwas vernetzt ist, wird es früher oder später angegriffen werden. Ob die Angriffe gelingen oder ob das Gerät sicher ist, hängt davon ab, wie sauber der Hersteller und Zulieferer gearbeitet haben und ob sie Meldungen über Lücken annehmen und diese zeitnah beheben. Doch für die meisten Unternehmen ist es nicht wirtschaftlich auch nach 1, 3, 5 oder 10 Jahren noch in ein altes Produkt zu investieren. Bei anderen bekommst du nicht mal das und das Gerät wird schon mit veralteter Software ausgeliefert und wird nie aktualisiert.
Das Problem ist deutlich kleiner, wenn dein Gerät gar nicht erst ins Internet oder mit dem Smartphone gekoppelt werden muss, um zu funktionieren. Angreifer*innen bleibt der einfache Zugriff aus der Ferne verwehrt.

Ein weiterer Aspekt ist die Verfügbarkeit. Manche Geräte wurden nach wenigen Jahren zu Elektroschrott, weil der Hersteller die Server nicht mehr betreiben wollte oder konnte. Die Geräte konnten nicht mehr mit den Servern kommunizieren und stellten die Funktion ein.
Gerade im Smart Home gibt es viele Geräte, auf die du quelloffene Firmware aufspielen kannst und so auch ohne den Hersteller Updates von der Community bekommst. Durch Integration in ein lokal laufendes Home Assistant wirst du unabhängig von Servern und kannst viele Geräte in ein separates Netzwerk ohne Internetverbindung stecken.
Nimm den heutigen Tag als Anlass und prüfe, welche Geräte mit deinem Netzwerk oder Smartphone verbunden sind.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Manchmal nervt es, wenn der Bildschirm des Smartphones aus geht, wenn man gerade länger auf eine Seite schaut. Doch das automatische Sperren des Smartphones hat eine wichtige Schutzfunktion. Genauso wie bei Laptops oder PCs.
Manchmal kann man im Caffe jemanden beobachten, der oder die mobil arbeitet und fleißig am Laptop tippt. Dann kommt ein Anruf rein und wegen der Lautstärke geht die Person kurz vor die Tür. Doch der Laptop bleibt ohne Bildschirmsperre zurück. Leicht kann eine neugierige Person ein paar Blicke auf Firmendaten oder private Mails werfen. Eine Angreifer*in vor Ort könnte auch schnell eine Backdoor herunterladen und installieren. Ein ungesperrtes System ist leichte Beute.
Gewöhne dir daher an, deine Geräte immer zu sperren, auch wenn du sie nur kurz nicht nutzt. Du solltest auch die automatische Bildschirmsperre aktivieren, so dass sie möglichst bald greift aber dich noch nicht zu Tode nervt. Auf einem Smartphone sind Texte meist nicht so lang, so dass man häufig wischt oder tippt. Daher kann die Zeit hier kürzer eingestellt werden. Z.B. eine Minute. Auf Laptopbildschirme passen auch lange Texte, so dass du hier eine etwas längere Zeit wählen solltest, um nicht unterbrochen zu werden. Z.B. fünf Minuten.
Nimm den heutigen Tag als Anlass und aktiviere die automatische Bildschirmsperre bei deinem Smartphone und Laptop.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Neben klassischem Phishing per Mail gibt es auch immer wieder Fake Anrufe von angeblichen Support Mitarbeiter*innen von Microsoft, deiner Bank oder Google. Sie wollen dich dazu bringen, dass du zum Beispiel ein Tool zur Fernwartung installierst, damit sie auf deinen Rechner und deine Daten zugreifen können. Dazu erzählen sie von einer Sicherheitslücke auf deinem PC, die sie schließen können. Oder du sollst eine Freigabe in deiner Bankingapp durchführen. Angeblich, um deine Daten zu bestätigen, damit dein Konto nicht gesperrt wird. Doch in Wirklichkeit haben sie eine Überweisung angestoßen, die du unvorsichtig bestätigst.
Gemeinsam haben die Versuche meistens, dass Druck auf dich aufgebaut wird. Etwas schlimmes würde passieren, wenn du nicht mitmachst. Z.B. eine Kontosperrung oder Schaden an deinem Rechner. Außerdem musst du sofort handeln. Später bei deiner Bank zurückrufen ginge nicht oder sei zu spät.
Bisher konnte man derartige Versuche mit etwas Training und einem kühlen Kopf erkennen. Lass dir nichts einreden und lege auf. Danach kannst du bei der offiziellen Telefonnummer von deiner Bank oder der vorgeblichen Behörde anrufen und nachfragen, ob der Anruf echt ist.
Am besten du gehst in Gedanken ein paar mal den Ablauf durch, wie du reagierst. Dann fällt es dir im Ernstfall leichter.
Nimm den heutigen Tag als Anlass und gehe im Kopf deine Reaktion durch.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Nach wie vor schützen bei vielen Geräten und Diensten Passwörter den Zugang zu deinem Account oder deinen Daten. Doch Passwörter sind eigentlich denkbar ungeeignet. Computer sind viel besser darin, komplizierte Passwörter zu erraten, als Menschen darin, sie sich zu merken. Das geht mittels Brute-Force oder Wörterbuch Angriffen und steigender Rechenleistung immer schneller. Auch bei Phishing oder Einbrüchen in Server können deine Zugangsdaten gestohlen werden.
Mit Passkeys steht ein Nachfolger für Passwörter bereit, der die Zugänge nicht nur komfortable ermöglichen soll, sondern auch vor Man-in-the-Middle Angriffen und Phishing schützen. Der Clou an Passkeys ist, dass in den Passkeys die Domain des Dienstes mit integriert ist. D.h. wenn du einen Account bei example.com hast und eine Phishingmail dich auf axemple.com leiter, wird dein Passkey gar nicht übermittelt. Denn er passt nicht zu der Domain, für die er erstellt wurde.
Die großen Betriebssystemhersteller haben Passkeys integriert und wollen sie über ihre Cloud synchronisieren. Das ist je nach Konzept ein Problem. Sind die Passkeys nicht Ende-zu-Ende verschlüsselt, könnte Google oder Microsoft diese mitlesen bzw. würden Angreifer*innen in die Hände fallen, falls Lücken in diesen Diensten gefunden werden. Daher kann es je nach Misstrauen gegenüber den großen Technikkonzernen sinnvoll sein auf eine offene alternative wie KeePassXC zu setzen. Seit einigen Versionen unterstützt das OpenSource Programm auch Passkeys und kann diese über das Browserplugin zur Anmeldung an Webdiensten bereitstellen. Ganz sicher sind Passkeys auch auf Hardwaretokens. Von denen kann man aber kein Backup machen.
Wie bei 2FA solltest du prüfen, ob zwei Passkeys bei einem Dienst hinterlegt werden können oder wie der Prozess zur Wiederherstellung aussieht, wenn du deinen Passkey verlierst.
Nimm den heutigen Tag als Anlass und konfiguriere bei deinen Accounts Passkeys.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Viele Geräte werden mit einem Default Passwort ausgeliefert. Diese sind oft sehr kurz und sollen eigentlich nur genutzt werden, bis du ein eigenes eingerichtet hast. Doch bei vielen Installationsassistenten wird das Ändern des Passwortes nicht erzwungen und so bleiben die Passwörter aktiv und werden vergessen.
Das ist häufig ein Sicherheitsproblem. Denn die Defaultpasswörter stehen bei den Herstellern in den Anleitungen und werden in Datenbanken gesammelt. Hat ein*e Angreifer*in Zugang zum Gerät oder Anwendung kann sie sie diese einfach ausprobieren und bekommt vollen Zugriff. Gerade bei Routern, über die der ganze Netzwerkverkehr läuft, kann der Verkehr umgeleitet oder manipuliert werden, um z.B. Trojaner zu verteilen oder den Router in ein Botnetz zu integrieren. Er greift dann z.B. andere Router an oder nimmt an Distributed Denial of Service Angriffen teil.
Auch aufgedruckte scheinbar zufällige Passwörter können unsicher sein. Wenn diese z.B. von der Seriennummer abgeleitet werden oder vom Produktionsdatum, könnte ein*e Angreifer*in die möglichen Passwörter mit Glück bereits so weit einschränken, dass sie dieses erraten kann.
Du solltest daher die Standardzugangsdaten immer ändern.
Nimm den heutigen Tag als Anlass und setze bei deinem Router ein sicheres Passwort für die Verwaltungsoberfläche.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Lass Geräte offline, wenn dir das keinen großen Mehrwert bietet. Achte schon beim Kauf auf die Möglichkeit etwas offline zu betreiben oder ob es OpenSource Alternativen für die Anbindung gibt.
Vor einiger Zeit geisterte die Geschichte eines Botnetzes aus vernetzten Zahnbürsten durchs Internet. Es stellte sich heraus, dass nur von einem möglichen Szenario gesprochen wurde und das (noch) nicht passiert ist. Doch die Geschichte war zu glaubwürdig und verbreitete sich rasch im Fediverse. Sobald etwas vernetzt ist, wird es früher oder später angegriffen werden. Ob die Angriffe gelingen oder ob das Gerät sicher ist, hängt davon ab, wie sauber der Hersteller und Zulieferer gearbeitet haben und ob sie Meldungen über Lücken annehmen und diese zeitnah beheben. Doch für die meisten Unternehmen ist es nicht wirtschaftlich auch nach 1, 3, 5 oder 10 Jahren noch in ein altes Produkt zu investieren. Bei anderen bekommst du nicht mal das und das Gerät wird schon mit veralteter Software ausgeliefert und wird nie aktualisiert.
Das Problem ist deutlich kleiner, wenn dein Gerät gar nicht erst ins Internet oder mit dem Smartphone gekoppelt werden muss, um zu funktionieren. Angreifer*innen bleibt der einfache Zugriff aus der Ferne verwehrt.

Ein weiterer Aspekt ist die Verfügbarkeit. Manche Geräte wurden nach wenigen Jahren zu Elektroschrott, weil der Hersteller die Server nicht mehr betreiben wollte oder konnte. Die Geräte konnten nicht mehr mit den Servern kommunizieren und stellten die Funktion ein.
Gerade im Smart Home gibt es viele Geräte, auf die du quelloffene Firmware aufspielen kannst und so auch ohne den Hersteller Updates von der Community bekommst. Durch Integration in ein lokal laufendes Home Assistant wirst du unabhängig von Servern und kannst viele Geräte in ein separates Netzwerk ohne Internetverbindung stecken.
Nimm den heutigen Tag als Anlass und prüfe, welche Geräte mit deinem Netzwerk oder Smartphone verbunden sind.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Phishing kann jede*n treffen. Mails und SMS erreichen inzwischen zumindest bei manchen Angriffen eine hohe Qualität. Früher konnte man Phishingmails meistens an haarsträubenden Grammatikfehlern, schlechter Übersetzung oder fehlende persönliche Informationen erkennen. Durch Datenlecks oder über das Anzapfen von Social Media Beiträgen gelangen Angreifer*innen an persönliche Informationen und können mit KI überzeugend klingende Texte in beliebigen Sprachen schreiben.
Um auch vor gut gemachten Phishingversuchen geschützt zu sein, solltest du nie auf Links in Mails oder SMS klicken. Speicher stattdessen die Webseite deiner Bank, von DHL, deinen Social Media Plattformen oder deinen Onlineshops als Bookmarks. Dies geht über die Bookmark Funktion im Browser oder als URL in deinem Passwortmanager. Bei quasi allen Anbietern kannst du wichtige Benachrichtigungen in deinem Kundenbereich einsehen. Wenn du eine Mail bekommst, die dich zu einer Handlung auffordert, gehst du einfach auf deinen Bookmark. So bist du auf jeden Fall auf der echten Seite und nicht auf einer Phishingseite. Danach kannst du im Kundenbereich nachsehen, ob es wirklich etwas zu tun gibt.
Nimm den heutigen Tag als Anlass und speichere deine Bank und deine Social Media Seiten als Bookmark.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Viren und Trojaner werden auf verschiedene Arten verteilt. Du kannst sie dir über Dateianhänge in Mails, Downloads von unseriösen Quellen oder USB Sticks einfangen. Selten kommen auch kompliziertere Verteilungsmechanismen zum Einsatz. Es gab Fälle, in denen Angreifer*innen Werbung auf normalen Seiten gebucht haben, über die eine Sicherheitslücke im Browser ausgenutzt und damit ein Trojaner installiert wurde. Auch Sicherheitslücken im Betriebssystem können als Einfallstor genutzt werden.
Gerade Windows ist wegen seiner großen Verbreitung nach wie vor das Hauptziel für Angriffe. Um so wichtiger ist es, einen Virenscanner zu nutzten. Zum Glück hat Microsoft mit dem Defender vor Jahren einen Virenscanner integriert, der mit der Zeit mit den großen kommerziellen und kostenlosen Anbietern gleichgezogen hat. Außerdem enthält er keine unnützen Funktionen, mit denen andere Anbieter sich abheben wollen. Unter Windows ist es daher ausreichend, den Defender zu aktivieren.
Auch für MacOS, Linux und Mobilbetriebssysteme gibt es Virenscanner. Dort ist der Einsatz aber nicht ganz so kritisch. Durch die Verwendung von zentralen Appstores beziehungsweise Repositories fallen einige Verbreitungswege weg. Allerdings wird z.B, auch im Google Playstore regelmäßig von Sicherheitsforscher*innen Malware gefunden, die in dutzenden Apps enthalten war. Und das obwohl diese angeblich geprüft sind.
Die Empfehlung für diese Betriebssysteme ist leider nicht so einfach und eindeutig. Am besten informierst du dich über unabhängige Tests großer IT Portale über die aktuell verfügbaren Scanner, falls du einen einsetzen möchtest.
Nimm den heutigen Tag als Anlass und prüfe, ob ein Virenscanner auf deinem System installiert ist und mit aktuellen Signaturen ausgestattet ist.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Manchmal nervt es, wenn der Bildschirm des Smartphones aus geht, wenn man gerade länger auf eine Seite schaut. Doch das automatische Sperren des Smartphones hat eine wichtige Schutzfunktion. Genauso wie bei Laptops oder PCs.
Manchmal kann man im Caffe jemanden beobachten, der oder die mobil arbeitet und fleißig am Laptop tippt. Dann kommt ein Anruf rein und wegen der Lautstärke geht die Person kurz vor die Tür. Doch der Laptop bleibt ohne Bildschirmsperre zurück. Leicht kann eine neugierige Person ein paar Blicke auf Firmendaten oder private Mails werfen. Eine Angreifer*in vor Ort könnte auch schnell eine Backdoor herunterladen und installieren. Ein ungesperrtes System ist leichte Beute.
Gewöhne dir daher an, deine Geräte immer zu sperren, auch wenn du sie nur kurz nicht nutzt. Du solltest auch die automatische Bildschirmsperre aktivieren, so dass sie möglichst bald greift aber dich noch nicht zu Tode nervt. Auf einem Smartphone sind Texte meist nicht so lang, so dass man häufig wischt oder tippt. Daher kann die Zeit hier kürzer eingestellt werden. Z.B. eine Minute. Auf Laptopbildschirme passen auch lange Texte, so dass du hier eine etwas längere Zeit wählen solltest, um nicht unterbrochen zu werden. Z.B. fünf Minuten.
Nimm den heutigen Tag als Anlass und aktiviere die automatische Bildschirmsperre bei deinem Smartphone und Laptop.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Zugangsdaten auf Zetteln sind unter bestimmten Voraussetzungen in Ordnung. Nämlich dann, wenn der Zugriff auf die Zettel geschützt ist.
Zum Beispiel bekommst du oft nach der Einrichtung von Zwei-Faktor-Authentifizierung eine Liste von Codes. Diese Codes können deinen Account entsperren, wenn du deinen zweiten Faktor verlierst. Wenn du zum Beispiel dein Handy mit der Authenticator App verloren hast oder dich auf deinen FIDO Token gesetzt hast und er zerbrochen ist. Diese Wiederherstellungscodes sollten dann an einem sicheren Ort wie einem Schließfach, einem Tresor oder zumindest einer abschließbaren Schublade deines Schreibtisches gelagert werden.
Wo Passwörter und Wiederherstellungscodes nicht hingehören sind lose Zettel auf deinem Schreibtisch, unter der Tastatur oder an der Pinwand hinter dir. Es gab schon Fälle, in denen ein Fernsehinterview gegeben wurde und im Hintergrund lesbar Zugangsdaten an der Wand hingen. Auch Zugangsdaten zu einer Videokonferenz von internationalen Politiker*innen waren aus einem Foto einer Ministerin am Schreibtisch erkennbar. Zugangsdaten unter der Tastatur zu lagern, ist schon fahrlässig. Ein unbeobachteter Moment ergibt sich schnell oder kann einfach herbeigeführt werden. Ich war einmal mit anderen Zugreisenden nachts an einem Bahnhof gestrandet als es noch keine richtigen Smartphones gab, weil der Schienenersatzverkehr fünf Minuten bevor der Zug ankam gefahren ist. Am Infoschalter war nachts niemand mehr. Aber die Zugangsdaten lagen unter der Tastatur. So konnte man zumindest Youtube sehen. Man hätte sich aber auch im Bahnnetz entlang hangeln können.
Falls du Passwörter mit anderen teilen musst, was besser vermieden werden sollte, nutze einen Passwortmanager. Bei Passwortmanagern kann man in der Regel auch Passwörter auch teilen. Dabei liegen die Daten nur verschlüsselt vor und unbefugte können sie nicht einfach abgreifen.

Nimm den heutigen Tag als Anlass und räume deinen Schreibtisch auf.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Phishing kann jede*n treffen. Mails und SMS erreichen inzwischen zumindest bei manchen Angriffen eine hohe Qualität. Früher konnte man Phishingmails meistens an haarsträubenden Grammatikfehlern, schlechter Übersetzung oder fehlende persönliche Informationen erkennen. Durch Datenlecks oder über das Anzapfen von Social Media Beiträgen gelangen Angreifer*innen an persönliche Informationen und können mit KI überzeugend klingende Texte in beliebigen Sprachen schreiben.
Um auch vor gut gemachten Phishingversuchen geschützt zu sein, solltest du nie auf Links in Mails oder SMS klicken. Speicher stattdessen die Webseite deiner Bank, von DHL, deinen Social Media Plattformen oder deinen Onlineshops als Bookmarks. Dies geht über die Bookmark Funktion im Browser oder als URL in deinem Passwortmanager. Bei quasi allen Anbietern kannst du wichtige Benachrichtigungen in deinem Kundenbereich einsehen. Wenn du eine Mail bekommst, die dich zu einer Handlung auffordert, gehst du einfach auf deinen Bookmark. So bist du auf jeden Fall auf der echten Seite und nicht auf einer Phishingseite. Danach kannst du im Kundenbereich nachsehen, ob es wirklich etwas zu tun gibt.
Nimm den heutigen Tag als Anlass und speichere deine Bank und deine Social Media Seiten als Bookmark.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Gerade bei mobilen IT-Geräten wie Laptops, Smartphones oder Tablets werden viele persönliche Daten durch die Gegend getragen. Um diese zu schützen, solltest du die Geräte verschlüsseln. Zum Glück musst du dafür heute nicht mehr manuell mit kryptografischen Befehlen hantieren. Android und iOS verschlüsseln Smartphones und Tablets automatisch. Selbst Laptops sind inzwischen meistens mit Windows BitLocker oder Apples FileVault verschlüsselt. Falls deine Version von Windows kein BitLocker unterstützt oder du ein externes Laufwerk so verschlüsseln möchtest, dass du es auch unter MacOS oder Linux entschlüsseln kannst, kannst du VeraCrypt einsetzen. VeraCrypt ist ein OpenSource Tool, dass sich auf die Verschlüsselung von Partitionen konzentriert.
Nimm den heutigen Tag als Anlass und verschlüssele deine Daten.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday