Guten Morgen liebe*r Leser*in,

Hast du schon einmal einen unbekannten USB Stick oder ein USB Kabel gefunden? Hast du ihn angesteckt, um zu sehen, ob ein Hinweis auf den oder die Eigentümer*in darauf ist? Das kann gefährlich sein.
Zum einem können auf USB Sticks klassische Viren gespeichert sein. Diese können z.B. als Macro in einer Office-Datei enthalten oder als Spiel oder vermeintlicher Treiber als ausführbare Datei gespeichert sein. Öffnest du sie, kann dein System infiziert werden. Bevor es zuverlässige Internetverbindungen mit großer Bandbreite gab, war die Verbreitung über Disketten, CDs und später USB-Sticks bei Viren sehr verbreitet. Sie infizierten den Rechner und speicherten sich selbst auf allen angeschlossenen Medien, damit sie weitergetragen wurden.
Zum anderen kann es sich bei einem USB Stick auch um ein ganz anderes Gerät handeln. Nämlich einen Microcontroller, der sich als Tastatur und Speicher ausgibt und beim Einstecken automatisch Tastaturbefehle eingibt, um z.B. Passwörter zu stehlen oder Trojaner zu installieren. Die Miniaturisierung ist inzwischen soweit fortgeschritten, dass selbst ein normal aussehendes USB Kabel einen Microcontroller enthalten kann. Da sie sich einfach als Tastatur anmelden und Befehle im Kontext der User*in eingeben, werden sie von vielen Virenscannern nicht erkannt. Das gleiche Risiko besteht an sich auch bei öffentlichen USB Ports zum Laden von Smartphones wie zum Beispiel in manchen Bahnen oder Bussen. Auch hier könnte jemand entsprechende Geräte anbringen und gut tarnen.
Daher solltest du es vermeiden, fremde USB Kabel oder Sticks zu nutzen oder deine Geräte in öffentlich zugängliche Ports zu stecken. Nimm dir besser ein eigenes Kabel und eine Powerbank mit.
Nimm den heutigen Tag als Anlass und packe dir eine Powerbank mit Kabel für Notfälle ein.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Nach wie vor schützen bei vielen Geräten und Diensten Passwörter den Zugang zu deinem Account oder deinen Daten. Doch Passwörter sind eigentlich denkbar ungeeignet. Computer sind viel besser darin, komplizierte Passwörter zu erraten, als Menschen darin, sie sich zu merken. Das geht mittels Brute-Force oder Wörterbuch Angriffen und steigender Rechenleistung immer schneller. Auch bei Phishing oder Einbrüchen in Server können deine Zugangsdaten gestohlen werden.
Mit Passkeys steht ein Nachfolger für Passwörter bereit, der die Zugänge nicht nur komfortable ermöglichen soll, sondern auch vor Man-in-the-Middle Angriffen und Phishing schützen. Der Clou an Passkeys ist, dass in den Passkeys die Domain des Dienstes mit integriert ist. D.h. wenn du einen Account bei example.com hast und eine Phishingmail dich auf axemple.com leiter, wird dein Passkey gar nicht übermittelt. Denn er passt nicht zu der Domain, für die er erstellt wurde.
Die großen Betriebssystemhersteller haben Passkeys integriert und wollen sie über ihre Cloud synchronisieren. Das ist je nach Konzept ein Problem. Sind die Passkeys nicht Ende-zu-Ende verschlüsselt, könnte Google oder Microsoft diese mitlesen bzw. würden Angreifer*innen in die Hände fallen, falls Lücken in diesen Diensten gefunden werden. Daher kann es je nach Misstrauen gegenüber den großen Technikkonzernen sinnvoll sein auf eine offene alternative wie KeePassXC zu setzen. Seit einigen Versionen unterstützt das OpenSource Programm auch Passkeys und kann diese über das Browserplugin zur Anmeldung an Webdiensten bereitstellen. Ganz sicher sind Passkeys auch auf Hardwaretokens. Von denen kann man aber kein Backup machen.
Wie bei 2FA solltest du prüfen, ob zwei Passkeys bei einem Dienst hinterlegt werden können oder wie der Prozess zur Wiederherstellung aussieht, wenn du deinen Passkey verlierst.
Nimm den heutigen Tag als Anlass und konfiguriere bei deinen Accounts Passkeys.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Nach wie vor schützen bei vielen Geräten und Diensten Passwörter den Zugang zu deinem Account oder deinen Daten. Mit steigender Leistungsfähigkeit von Computern, steigen auch die Anforderungen an die Passwörter, damit sie nicht einfach in kurzer Zeit geknackt werden können. Inzwischen sind auch 8 Zeichen zu kurz. Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben und mindestens 10 Zeichen ohne dabei Wore oder Daten zu beinhalten. Und dann auch noch eine unterschiedliches für jeden Dienst. Das wird schwierig für Menschen.
Zum Glück gibt es Passwortmanager wie das OpenSource Tool KeePass XC. Mit ihnen musst du dir nur noch ein Passwort merken, um die Passwortdatenbank zu entschlüsseln. Darin kannst du dann für jeden Dienst ein zufälliges langes Passwort generieren und sichern. Neben Passwörtern kannst du auch den Usernamen, Notizen, Dateien oder andere wichtige Informationen zu einem Account speichern. Außerdem behältst du den Überblick, wo du überhaupt Accounts hast. KeePassXC kann die verschlüsselte Datenbank auch in deinem Cloudspeicher synchronisieren, damit du von mehreren Geräten aus darauf zugreifen kannst.
Zusätzlich solltest du Zwei-Faktor-Authentifizierung nutzen, wenn die Anbieter sie unterstützen.
Nimm den heutigen Tag als Anlass und installiere dir einen Passwortmanager.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Ständig werden in Betriebssystemen, Anwendungen und Geräten Sicherheitslücken gefunden. Diese ermöglichen es Angreifer*innen für Abstürze zu sorgen oder im schlimmsten Fall die Systeme komplett zu übernehmen und sie für weitere Aktivitäten zu nutzen. Solange die Systeme noch vom Hersteller unterstützt werden, bringen diese Sicherheitspatches heraus, um gemeldete Lücken zu schließen.
Doch wie viele betroffene Systeme hast du? Smartphone, Laptop, Gaming-PC, Smartwatch, Router, Smarte Lampen, E-Bike, Soundsystem, Fernseher usw. Dazu kommt alles, was irgendwie "smart" oder vernetzt ist. Das sind schnell dutzende Systeme und mehr. Bei allen müsstest du täglich beim Hersteller vorbeischauen und prüfen, ob es Updates gibt.
Zum Glück gibt es bei vielen Systemen die Option auf automatische Updates. Dabei werden alle Sicherheitsupdates, die der Hersteller bereit stellt, automatisch installiert. So werden Sicherheitslücken geschlossen, sobald die Patches bereit stehen.
Leider bieten nicht alle Hersteller Updates an. Das macht die Geräte unnötig riskant oder sogar zu Elektroschrott, obwohl sie noch funktionieren. Bisherige politische Bestrebungen, Hersteller zu einer Updategarantie zu verpflichten, sind bisher leider noch nicht weit gekommen.
Nimm den heutigen Tag als Anlass und aktiviere auf deinen Systemen automatische Updates.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Zugangsdaten auf Zetteln sind unter bestimmten Voraussetzungen in Ordnung. Nämlich dann, wenn der Zugriff auf die Zettel geschützt ist.
Zum Beispiel bekommst du oft nach der Einrichtung von Zwei-Faktor-Authentifizierung eine Liste von Codes. Diese Codes können deinen Account entsperren, wenn du deinen zweiten Faktor verlierst. Wenn du zum Beispiel dein Handy mit der Authenticator App verloren hast oder dich auf deinen FIDO Token gesetzt hast und er zerbrochen ist. Diese Wiederherstellungscodes sollten dann an einem sicheren Ort wie einem Schließfach, einem Tresor oder zumindest einer abschließbaren Schublade deines Schreibtisches gelagert werden.
Wo Passwörter und Wiederherstellungscodes nicht hingehören sind lose Zettel auf deinem Schreibtisch, unter der Tastatur oder an der Pinwand hinter dir. Es gab schon Fälle, in denen ein Fernsehinterview gegeben wurde und im Hintergrund lesbar Zugangsdaten an der Wand hingen. Auch Zugangsdaten zu einer Videokonferenz von internationalen Politiker*innen waren aus einem Foto einer Ministerin am Schreibtisch erkennbar. Zugangsdaten unter der Tastatur zu lagern, ist schon fahrlässig. Ein unbeobachteter Moment ergibt sich schnell oder kann einfach herbeigeführt werden. Ich war einmal mit anderen Zugreisenden nachts an einem Bahnhof gestrandet als es noch keine richtigen Smartphones gab, weil der Schienenersatzverkehr fünf Minuten bevor der Zug ankam gefahren ist. Am Infoschalter war nachts niemand mehr. Aber die Zugangsdaten lagen unter der Tastatur. So konnte man zumindest Youtube sehen. Man hätte sich aber auch im Bahnnetz entlang hangeln können.
Falls du Passwörter mit anderen teilen musst, was besser vermieden werden sollte, nutze einen Passwortmanager. Bei Passwortmanagern kann man in der Regel auch Passwörter auch teilen. Dabei liegen die Daten nur verschlüsselt vor und unbefugte können sie nicht einfach abgreifen.

Nimm den heutigen Tag als Anlass und räume deinen Schreibtisch auf.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Backups sind wichtig, um dich vor Datenverlust zu schützen. Egal ob Unachtsamkeit, Hardwarefehler oder Verschlüsselungstrojaner. Sind die Originaldaten futsch, hilft nur ein Backup.
Bestimmt machst du schon Backups nach der 3-2-1 Regel ;) Doch hast du schon einmal getestet, ob sich deine Backups auch wiederherstellen lassen? Hast du z.B. bei einem Komplettausfall deines Systems die nötigen Programme, um deine Backups auf einem neu aufgesetzten System wiederherzustellen? Hast du noch die Passwörter für die Verschlüsselung der Backups? Backups die du nicht wiederherstellen kannst sind keine Backups.
Nimm den heutigen Tag als Anlass und teste deine Backups.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen,

Viren und Trojaner werden auf verschiedene Arten verteilt. Du kannst sie dir über Dateianhänge in Mails, Downloads von unseriösen Quellen oder USB Sticks einfangen. Selten kommen auch kompliziertere Verteilungsmechanismen zum Einsatz. Es gab Fälle, in denen Angreifer*innen Werbung auf normalen Seiten gebucht haben, über die eine Sicherheitslücke im Browser ausgenutzt und damit ein Trojaner installiert wurde. Auch Sicherheitslücken im Betriebssystem können als Einfallstor genutzt werden.
Gerade Windows ist wegen seiner großen Verbreitung nach wie vor das Hauptziel für Angriffe. Um so wichtiger ist es, einen Virenscanner zu nutzten. Zum Glück hat Microsoft mit dem Defender vor Jahren einen Virenscanner integriert, der mit der Zeit mit den großen kommerziellen und kostenlosen Anbietern gleichgezogen hat. Außerdem enthält er keine unnützen Funktionen, mit denen andere Anbieter sich abheben wollen. Unter Windows ist es daher ausreichend, den Defender zu aktivieren.
Auch für MacOS, Linux und Mobilbetriebssysteme gibt es Virenscanner. Dort ist der Einsatz aber nicht ganz so kritisch. Durch die Verwendung von zentralen Appstores beziehungsweise Repositories fallen einige Verbreitungswege weg. Allerdings wird z.B, auch im Google Playstore regelmäßig von Sicherheitsforscher*innen Malware gefunden, die in dutzenden Apps enthalten war. Und das obwohl diese angeblich geprüft sind.
Die Empfehlung für diese Betriebssysteme ist leider nicht so einfach und eindeutig. Am besten informierst du dich über unabhängige Tests großer IT Portale über die aktuell verfügbaren Scanner, falls du einen einsetzen möchtest.
Nimm den heutigen Tag als Anlass und prüfe, ob ein Virenscanner auf deinem System installiert ist und mit aktuellen Signaturen ausgestattet ist.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Leser*in,

Viren und Trojaner werden auf verschiedene Arten verteilt. Du kannst sie dir über Dateianhänge in Mails, Downloads von unseriösen Quellen oder USB Sticks einfangen. Selten kommen auch kompliziertere Verteilungsmechanismen zum Einsatz. Es gab Fälle, in denen Angreifer*innen Werbung auf normalen Seiten gebucht haben, über die eine Sicherheitslücke im Browser ausgenutzt und damit ein Trojaner installiert wurde. Auch Sicherheitslücken im Betriebssystem können als Einfallstor genutzt werden.
Gerade Windows ist wegen seiner großen Verbreitung nach wie vor das Hauptziel für Angriffe. Um so wichtiger ist es, einen Virenscanner zu nutzten. Zum Glück hat Microsoft mit dem Defender vor Jahren einen Virenscanner integriert, der mit der Zeit mit den großen kommerziellen und kostenlosen Anbietern gleichgezogen hat. Außerdem enthält er keine unnützen Funktionen, mit denen andere Anbieter sich abheben wollen. Unter Windows ist es daher ausreichend, den Defender zu aktivieren.
Auch für MacOS, Linux und Mobilbetriebssysteme gibt es Virenscanner. Dort ist der Einsatz aber nicht ganz so kritisch. Durch die Verwendung von zentralen Appstores beziehungsweise Repositories fallen einige Verbreitungswege weg. Allerdings wird z.B, auch im Google Playstore regelmäßig von Sicherheitsforscher*innen Malware gefunden, die in dutzenden Apps enthalten war. Und das obwohl diese angeblich geprüft sind.
Die Empfehlung für diese Betriebssysteme ist leider nicht so einfach und eindeutig. Am besten informierst du dich über unabhängige Tests großer IT Portale über die aktuell verfügbaren Scanner, falls du einen einsetzen möchtest.
Nimm den heutigen Tag als Anlass und prüfe, ob ein Virenscanner auf deinem System installiert ist und mit aktuellen Signaturen ausgestattet ist.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Zugangsdaten auf Zetteln sind unter bestimmten Voraussetzungen in Ordnung. Nämlich dann, wenn der Zugriff auf die Zettel geschützt ist.
Zum Beispiel bekommst du oft nach der Einrichtung von Zwei-Faktor-Authentifizierung eine Liste von Codes. Diese Codes können deinen Account entsperren, wenn du deinen zweiten Faktor verlierst. Wenn du zum Beispiel dein Handy mit der Authenticator App verloren hast oder dich auf deinen FIDO Token gesetzt hast und er zerbrochen ist. Diese Wiederherstellungscodes sollten dann an einem sicheren Ort wie einem Schließfach, einem Tresor oder zumindest einer abschließbaren Schublade deines Schreibtisches gelagert werden.
Wo Passwörter und Wiederherstellungscodes nicht hingehören sind lose Zettel auf deinem Schreibtisch, unter der Tastatur oder an der Pinwand hinter dir. Es gab schon Fälle, in denen ein Fernsehinterview gegeben wurde und im Hintergrund lesbar Zugangsdaten an der Wand hingen. Auch Zugangsdaten zu einer Videokonferenz von internationalen Politiker*innen waren aus einem Foto einer Ministerin am Schreibtisch erkennbar. Zugangsdaten unter der Tastatur zu lagern, ist schon fahrlässig. Ein unbeobachteter Moment ergibt sich schnell oder kann einfach herbeigeführt werden. Ich war einmal mit anderen Zugreisenden nachts an einem Bahnhof gestrandet als es noch keine richtigen Smartphones gab, weil der Schienenersatzverkehr fünf Minuten bevor der Zug ankam gefahren ist. Am Infoschalter war nachts niemand mehr. Aber die Zugangsdaten lagen unter der Tastatur. So konnte man zumindest Youtube sehen. Man hätte sich aber auch im Bahnnetz entlang hangeln können.
Falls du Passwörter mit anderen teilen musst, was besser vermieden werden sollte, nutze einen Passwortmanager. Bei Passwortmanagern kann man in der Regel auch Passwörter auch teilen. Dabei liegen die Daten nur verschlüsselt vor und unbefugte können sie nicht einfach abgreifen.

Nimm den heutigen Tag als Anlass und räume deinen Schreibtisch auf.

Habt einen wundervollen Tag

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday

Guten Morgen liebe*r Fediversebwohner*in,

Hast du schon einmal einen unbekannten USB Stick oder ein USB Kabel gefunden? Hast du ihn angesteckt, um zu sehen, ob ein Hinweis auf den oder die Eigentümer*in darauf ist? Das kann gefährlich sein.
Zum einem können auf USB Sticks klassische Viren gespeichert sein. Diese können z.B. als Macro in einer Office-Datei enthalten oder als Spiel oder vermeintlicher Treiber als ausführbare Datei gespeichert sein. Öffnest du sie, kann dein System infiziert werden. Bevor es zuverlässige Internetverbindungen mit großer Bandbreite gab, war die Verbreitung über Disketten, CDs und später USB-Sticks bei Viren sehr verbreitet. Sie infizierten den Rechner und speicherten sich selbst auf allen angeschlossenen Medien, damit sie weitergetragen wurden.
Zum anderen kann es sich bei einem USB Stick auch um ein ganz anderes Gerät handeln. Nämlich einen Microcontroller, der sich als Tastatur und Speicher ausgibt und beim Einstecken automatisch Tastaturbefehle eingibt, um z.B. Passwörter zu stehlen oder Trojaner zu installieren. Die Miniaturisierung ist inzwischen soweit fortgeschritten, dass selbst ein normal aussehendes USB Kabel einen Microcontroller enthalten kann. Da sie sich einfach als Tastatur anmelden und Befehle im Kontext der User*in eingeben, werden sie von vielen Virenscannern nicht erkannt. Das gleiche Risiko besteht an sich auch bei öffentlichen USB Ports zum Laden von Smartphones wie zum Beispiel in manchen Bahnen oder Bussen. Auch hier könnte jemand entsprechende Geräte anbringen und gut tarnen.
Daher solltest du es vermeiden, fremde USB Kabel oder Sticks zu nutzen oder deine Geräte in öffentlich zugängliche Ports zu stecken. Nimm dir besser ein eigenes Kabel und eine Powerbank mit.
Nimm den heutigen Tag als Anlass und packe dir eine Powerbank mit Kabel für Notfälle ein.

Habt einen guten Tag!

#infosec #itsecurity #goodmorning #shakeupitsecurity #wisdomoftheday