obmat hat geschrieben: So 13. Okt 2024, 13:41
Ja gut und wenn ich nen USB-stick im Laden kaufe?
Der kann ja auch kontaminiert sein.
Wenn bekannt würde, dass ein Hersteller derartiges tut, wäre der ruckzuck weg vom Markt. Dessen Risiko wäre also ungleich höher als der potentielle Ertrag. Bei fabrikneuen Sticks in unversehrter Originalverpackung gehe ich darum zunächst mit dem letzten verbliebenen Restvertrauen in Menschen von sauberer Ware aus. Wer selbst dort Gespenster sieht, sollte vielleicht besser Computer meiden und seine Daten in Keilschrift in Felsblöcke meißeln.
Externe KI-Geräte, Alexa, Siri, Gerätchen, Spassgeräte, Kindergeschenke, IoT Müll und andere Gadgets
Jetzt, wo die Feiertage (Weihnachten, Nikolaus) langsam vor der Tür stehen, ist es leicht, technische Geschenke zu verschenken, die uns der Handel zu dieser Jahreszeit schon fast aufdrängt: intelligente Lautsprecher, Videotürklingeln, Bluetooth-Tracker, Fitness-Tracker und andere vernetzte Gadgets. Das sind sehr leider recht beliebte Geschenke. Doch bevor man sowas verschenkt, sollte man zweimal darüber nachdenken, was man der betreffenden Person schenken will. Spass mit eingebauter Ransomware? Überwachung und Spionage hinter quäkigem "Musikgenuss"? Blinkende LED-Leuchtmittel, die Daten klauen?
Einige dieser Geschenke sind für datenschutzbewusste Anwender eine Pest. Ringkameras sind eines der offensichtlichsten Beispiele, aber zahllose andere haben es im Laufe der Jahre auf die Liste der Sicherheits- oder Datenschutzverweigerer geschafft (und viele dieser elektronischen Geräte stehen in direktem Widerspruch zu Nachhaltigkeit und sind dumme Wegwerfgeräte, oder Abofallen mit Sicherheitslücke, was besonders perfide ist).
Ein großes Problem beim Verschenken dieser Art von Geschenken besteht darin, dass man ganz dümmlich eine andere Person in die aufdringlichen Überwachungspraktiken eines Unternehmens einbindet, ohne dass diese Person weiß, worauf sie sich wirklich einlässt. das gilt natürlich auch für die offensichtlichen und bekannten Gadgets wie Siri, Alexa und Co. die den ganzen Tag zuhause auf Bilder, Geräusche, Worte, Unterhaltungen lauern. Man muss sich klar machen, dass man einwilligt diese Art von Lauschangriff zuzulassen und ggfs. dem Hersteller weitgehende Rechte für die Verwertung des Belauschten und Gesehenen und Verstandenen einräumt.
Ein intelligenter Lautsprecher zum Beispiel mag wie eine nette Geschenkidee erscheinen. Aber wenn der Beschenkte nicht über die neuesten technischen Entwicklungen informiert ist, weiß er wahrscheinlich nicht, dass die Möglichkeit einer menschlichen Überprüfung der Aufnahmen besteht. Als Schenker weiss man vielleicht auch nicht, dass einige dieser Lautsprecher eine enorme Menge an Daten über Ihre Nutzung sammeln, in der Regel zu Werbezwecken - obwohl jedes angeschlossene Gerät auch für die Strafverfolgungsbehörden überraschend nützlich sein kann.
Es gibt auch das Problem, dass Technologieunternehmen übernommen werden. Das neue Unternehmen kann plötzlich die Dynamik der Datenschutz- und Sicherheitsvereinbarungen ändern, die der Nutzer mit dem alten Unternehmen abgeschlossen hat, als er begann, eines dieser Produkte zu nutzen.
Und vergessen wir nicht die Kinder! Elektronikgeschenke für Kinder, die seit langem von Elfen und ihren Managern überwacht werden, können alle möglichen bösen Überraschungen mit sich bringen, wie z. B. das Tablet für Kinder, das voll mit Malware und Riskware war. Smartwatches für Kinder und eine Reihe von vernetzten Spielzeugen stellen ebenfalls eine potenzielle Gefahr für die Privatsphäre dar, die sich nicht lohnt, wenn sie nicht sorgfältig eingerichtet werden.
Natürlich muss man nicht alle Technologiekäufe vermeiden. Es gibt viele Produkte, die nicht gruselig sind, und einige, die nur bei der Einrichtung besondere Aufmerksamkeit erfordern, um sicherzustellen, dass die Privatsphäre so gut wie möglich geschützt bleibt.
Was man tun sollte
Eine hilfreiche Anlaufstelle ist Mozillas „Privacy Not Included“-Geschenkführer, der eine Aufschlüsselung der Datenschutzpraktiken und der Geschichte von Produkten in einer Reihe von beliebten Geschenkkategorien enthält. Anstatt einfach irgendein altes Smart-Gerät zu kaufen, weil es gerade im Angebot ist, habt man so zumindest einen Überblick darüber, welche Art von Daten möglicherweise gesammelt werden, wie sich das Unternehmen in der Vergangenheit verhalten hat und welche möglichen Gefahren zu beachten sind.
Man sollte beim Einkaufen noch Details beachten. Erstens können einige „intelligente“ Geräte auch ohne die zugehörigen Apps verwendet werden, denn Geräte, die nur über eine App verfügen, können durch eine Änderung der Unternehmensrichtlinien lahmgelegt werden und macht das Teil also u.U. unbrauchbar und zu Sondermüll. Eine App kostenlos zum Zweck der Aktivierung und Benutzung von Gadgets macht nicht nur das Gadget zu einer ggfs. zweifelhaften Angelegenheit, sondern kann auch die Sicherheit des eingesetzten Smartphones kompromittieren.
Wenn du technisch versierter bist als die Person, die den Gegenstand erhält, oder wenn du einem Kind bei der Einrichtung eines Geräts hilfst, gibt es kein besseres Geschenk, als bei der Einrichtung zu helfen, und zwar so privat wie möglich.
- Aktiviere die Zwei-Faktor-Authentifizierung, falls verfügbar, um das neue Konto zu sichern!
- Wenn es Einstellungen für die Freigabe von sozialen Netzwerken gibt - besonders beliebt bei Fitness-Trackern und Spielkonsolen -, deaktiviere alle unbeabsichtigten Freigaben, die auf einem öffentlichen Profil landen könnten!
- Achte auf Optionen zur Aktivierung automatischer Updates. Dies ist heutzutage in der Regel standardmäßig aktiviert, aber es ist immer gut, dies zu überprüfen.
- Wenn mit dem neuen Gerät eine App verbunden ist (und das ist häufig der Fall), hilf bei der Auswahl, welche Berechtigungen du zulassen willst und welche du verweigern sollest. Achte insbesondere auf Standortdaten, vor allem, wenn es für die App keinen logischen Grund gibt, sie zu benötigen.
- Wenn du schon dabei bist, hilf dabei auch bei anderen Einstellungen auf dem fraglichen Telefon sicherer zu gestalten
Wenn du bei bei der Einrichtung eines Video- oder Audiogeräts hilfst, z. B. eines
- intelligenten Lautsprechers
- Staubsaugerroboters
- eines Babyphons
- Schlafüberwachers
- Zähneputzassistenten für Kids
- Audiobook-Vorlesegeräts
- Kid-Schlafassistent,
- Babyphone mit Videoüberwachung
- smarte Baby/Kindersocke mit Herzüberwachung (ja, sowas gibt es)
- oder eines Schlafassistenten mit Wiegenliedersingsang
o.ä. sollte man in den Optionen nachsehen, ob man die „menschliche Überprüfung“ von Aufnahmen deaktivieren kann. Und wie man den ganzen Kram in sein Netzwerk, Smart-Phone einbindet und ob man den Herstellern überhaupt offen oder versteckt Zugang zum Privatleben in dieser extremen Form geben möchte.
Wenn einem während der Einrichtung Lücken in der Sicherheitshygiene auffallen, ist dies vielleicht auch eine gute Gelegenheit, dem Beschenkten bei der Einrichtung anderer Sicherheitsmaßnahmen zu helfen, z. B. bei der Einrichtung eines Passwortmanagers. Allerdings sollte man sich vorher informieren ob das dann überhaupt eine gute Idee ist, oder ob der Spass und die Anwendung nur von sehr kurzer Dauer ist und man eigentlich einen Haufen Sondermüll verschenkt.
Das Verschenken von Elektronik sollte nicht mit so vielen Hausaufgaben verbunden sein, aber bis wir ein umfassendes Datenschutzgesetz haben, werden wir uns wahrscheinlich mit dieser Art von Einrichtungsproblemen herumschlagen müssen.
Ich hab' meinen Freunden mit dem frischen Baby-Girl das Baby-Phone abgeschaltet und statt dessen das Geschenk gemacht mich um die Kleine zu kümmern, wenn die Eltern mal eine Betreuung für Baby-Girl brauchen. Weil Baby-Girl nervig sein kann ist das eine Hilfe, zumal das Baby-Phone noch viel nerviger sein kann und panikartige Reaktionen bei den Eltern auf Grund von Fehlalarmen die Regel waren. Da ist es besser ich spiele ein wenig mit Baby-Girl bis es schläft. Ist auch ein hübsches Geschenk.
Im Gegensatz zu diesem beschissenen Baby-Abhör-Phone, das ich schon von der Strasse aus mit meinem Smartphone ungefragt abhören konnte, bin ich auch in der Lage eine Windel zu wechseln und Popos zu Pudern. Nur so als Anregung. Nicht jeder Scheiss, der instantan als "smart" daher kommt ist auch eine gute Idee.
Eine Form von extremer Überwachung machen ja manche Helikoptereltern, die ihrem Kind auf dessen Wunsch, aber hauptsächlich ihrem eigenen Wunsch entsprechend, eine Kinder-Smartwatch, oder ein anderes Wearable Device/Gerät. "schenken".
Es ist natürlich an der Tagesordnung, dass Helikoptereltern schlimmer als die CIA oder die NSA sind, nur dass sie (so dämlich sind) dabei ihre eigene Sicherheit zu kompromittieren, plus die der Kinder, indem sie meinen ganz schlau zu sein
und Tracker und Apps auf ihrem Rechner und/oder Smartphone betreiben, die kaum verhohlen etwas anderes sind als Familienspionage und Privatsphärenverletzung und Daten an den Hersteller schickt.
Es gibt Anwendungen, wo es für den Schutz und die Sicherheit von Personen wichtig ist, dass die auffindbar sind, z.B. wenn sich Kinder oder Erwachsene verirren können. Das ist bei bestimmten Arten der mentalen Verfasstheit leider notwendig. Aber es ist nicht nötig das bei jedem zu machen. Wenn du ein Kinderstalker bist, auch als Elternteil, dann hast du ein mentales Problem nicht das Kind.
IoT - oder das sogenannte "Internet of Things"
IoT-Endgeräte sind ein beliebtes Ziel für Hacker. Hacker scannen Netzwerke nach Geräten sowie bekannten Schwachstellen und nutzen die nicht standardisierte Ports, um Zugang zum Netzwerk zu erhalten. Sobald sie Zugriff auf das Gerät haben, ist es einfach von dort aus das Netzwerk zu überwachen, Geräte im Netzwerk anzugreifen und Malware auf Netzwerkgeräten zu platzieren und andere IoT Geräte zu finde und zu infiltrieren.
Wer deinen App-gesteuerten LED-Lichtern befehlen kann, wer deinen Heizungsthermostat verstellen kann, der kann auch deine App, dein Smartphone und/oder Rechner angreifen und das oft recht erfolgreich.
IoT-Geräte sind angeblich das am häufigsten gemeldete Ziel für externe Angriffe und wurden häufiger angegriffen alsmobile Geräte oder Computer. Das liegt daran, dass in der IoT-Branche keine Sicherheitsstandards existieren, ausser vielleicht einigen proprietären, auf die sich Entwickler und Hersteller einigen konnten, um eine einheitliche Sicherheit zu gewährleisten. Und für IT-Administratoren ist es oft schwierig, den Überblick über die Geräte zu behalten und sie zu aktualisieren, die oft jahrelang im Einsatz bleiben. Es gibt daher viele IoT-Sicherheitsbedrohungen.
Zu den wachsenden Bedenken hinsichtlich der Sicherheit von IoT-Geräten gehört auch die Tatsache, dass Angreifer nicht nur das Netzwerk und die Software beschädigen können, die IoT-Geräte unterstützen, sondern auch die Geräte selbst. Hinzu kommt, dass die Verbreitung von IoT-Geräten schneller voranschreitet als die Prozesse und Protokolle, die sichere und zuverlässige Verbindungen bereitstellen. Zumal diese Bemühungen durch die IoT Hersteller selbst torpediert werden, denn wie wir wissen ist Konkurrenz ja das System, das die besten Systeme hervor bringt. Kostengünstig, proprietär, angreifbar, teilweise dämlich simpel angreifbar.
Als Privatanwender ist man in diesem Dschungel sowohl unwissend, als auch hilflos, und die Hersteller speisen einen durch ebenso inhaltslose Floskeln ab, wie unwahren Behauptungen über die Sicherheit ihrer Produkte, sowohl deren Hardware als auch Software. Dazu kommt, dass IoT Analytics schätzt, dass die Zahl der weltweit vernetzten IoT-Geräte im Jahr 2023 etwa 16,7 Milliarden Stück sind. Milliarden, nicht etwa Millionen. Dazu kommt weiterhin, dass der Datenverkehr zwischen den Geräten untereinander, als auch mit den Apps und anderer Software zu etwa 98% unverschlüsselt erfolgt.
Der Nutzen den Angreifer erzielen können besteht drain, dass sie auf Netzwerkebene z.B. Dinge wie DDoS und DNS Angriffe orchestrieren können, die durch zehntausende von IoT Bots als Netzwerk ausgeführt werden. Damit wird es möglich Infrastruktur anzugreifen, ohne dass man den Angreifer rückverfolgen kann. Konkret: deine Heizungssteuerung und dein Rasensprenger sind Mitglieder in einer Armee, die deinen lokalen Stromerzeuger angreifen um einen Blackout auszulösen, oder fremde Computer anzugreifen und dort Daten zu stehlen, beispielsweise die deiner Krankenversicherung.
Letztes Jahr sollen etwa 1 Million IoT Geräte an solchen Angriffen beteiligt gewesen sein. Deine LED-Lampe, dein Thermostat, dein Garagentoröffner, deine Tiefkühltruhe im Keller, alles Gangster!
Was man selber tun kann:
- den Einsatz solcher Sachen auf ein Mindestmass reduzieren
- wenn man sowas kauft den Hersteller, Vertreiber hinsichtlich der Sicherheitsmassnahmen befragen, wie z.B. Datenverschlüsselung im Heimnetzwerk, Passworte für IoT Geräte etc.
- Sich selbst fragen: Muss mein Kühlschrank wissen was ich esse, kaufe, wegwerfe und das meinem Supermarkt melden? Echt jetzt?
- schauen ob man das Gerät auch ohne IoT betreiben kann. Wenn Wifi dann welche Sicherheit? Ohne Sicherheit nicht betreiben.
- Schauen ob man in seinen Router/Gateway (FritzBox?) so einstellen kann, dass der IoT Bereich ein anderes Netz bekommt, als der/die Computer.
In letzter Zeit benutzen Angreifer auch dein IoT Netzwerk zum platzieren von Erpressungssoftware bei dir zuhause. Die Erpressungssoftware verschlüsselt deine Daten auf deinen Geräten und macht diese weitgehend unbrauchbar bis du Lösegeld bezahlst. Man sollte also zusehen, dass die IoT Sachen möglichst getrennt von deinen Geräten läuft und nicht über ein gemeinsames Netz!
obmat hat geschrieben: So 13. Okt 2024, 14:09
Ja gut, auch so ne Lieferung kann abgefangen, umgeleitet und "verbessert" werden.
Das ist richtig und wurde auch schon gemacht. Aber das war nicht der pickelige Schüler im Keller deiner Nachbarn sondern professionell arbeitende Leute mit einem konkreten Angriffsziel auf dem Niveau einer staatlichen oder staatsnahen Organisation.
obmat hat geschrieben: So 13. Okt 2024, 14:09
Ja gut, auch so ne Lieferung kann abgefangen, umgeleitet und "verbessert" werden.
Das ist richtig und wurde auch schon gemacht. Aber das war nicht der pickelige Schüler im Keller deiner Nachbarn sondern professionell arbeitende Leute mit einem konkreten Angriffsziel auf dem Niveau einer staatlichen oder staatsnahen Organisation.
Genau! Otto Normaluser muss Stuxnet & Co. nicht fürchten. Müssten wir das und folgen wir einmal obmats Befürchtung, dürften wir überhaupt keine zur Datenübertragung fähigen Geräte wie Macs, iPads, iPhones etc. nutzen, denn auch die kann man abfangen, umleiten und "verbessern" – womit wir wieder bei Keilschrift und Felsblöcken wären.
Wow, hatte schon immer eine gewisse Skepsis den USB Dinger gegenüber.
Aber dass es so arg sein kann.
Danke Kate, für die ausführliche Aufklärung.
Das erklärt auch, warum mein allerletzter Arbeitgeber nur noch von der eigene IT authorisierten Sticks zugelassen hat. Ohne Zulassung wurden die USB Sticks gar nicht erst erkannt bzw. Es wurde eine Fehlermeldung ausgegeben.
Sticks brauchte ich eh nicht mehr, denn alles lief über SharePoint.
Mac Mini M4 Pro; OS 15.1.1 // Studio Display //iMac 27 late 2015; OS 12.7.6 // iPad 10.5 Pro 1.Gen.& iPhone 13, iOS 17.7.1 / 18.0
Die Korrespondenz in der Antike und davor wurde ja auch schon abgefangen, verfälscht und kompromittiert, weswegen es auch schon kodierte Keilschriftbriefe gab. Heutzutage diffamieren, verleumden und beleidigen sich YouTuber ja auch damit, dass sie Originalmitschnitte von Sprachnachrichten verfälschen, weil man das mit Software kann, um dann mit dem verfälschten Mitschnitt in die Öffentlichkeit zugehen. Das geht also vom Diplomaten bis zum Deppen als Anwender.
Normaluser sind genauso IT Gauner wie die russische FancyBear Gruppe. Die Ziele sind eben andere. Die einen wollen kulturelle/politische Einflussnahme, was den Russen ja auch recht gut zu gelingen scheint, die Flut an Dreckspropaganda, Falschmeldungen und Lügen ist da schon erstaunlich.
Der Normaluser ist da mehr darauf bedacht seinen persönlichen Hass oder einfach seine Bubble auszuleben und nimmt Mitschüler, Mitglieder des falschen Sportvereins, Freunde seiner Feinde usw. auf das Korn.
Unter Jugendlichen ist Verleumdung und Beleidigung und Verabredung zu Mobbing, auch physischen Attacken, unter Einbindung der Handy-Infrastruktur "normal".
Handyklau zum Zweck der Installation von Malware, Trackern, gefälschten Daten wie Audio, Fotos, Videos kommt da öfter vor als im James-Bond Film. Alles mit dem Ziel einer Person extremen sozialen Schaden zuzufügen.
Dazu kommt oft auch noch Erpressung und Cybermobbing. Also so'n Schulhof ist gelegentlich ein Schlachtfeld obwohl es für Erwachsene so harmlos wie eine Puppenstube daher zu kommen scheint.
91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail an jemand der nichts böses ahnt.
Das betrifft nicht nur Privatpersonen und deren Rechner und Geräte, sondern auch in noch höherem Umfang Firmen und ihre Computer. Man selbst sollte also daran denken, dass Leute, die einem eine E-mail senden ggfs. die Firma im Visier haben und weniger einen selbst.
Die Nichteinhaltung grundlegender Cybersicherheitsprinzipien - ein Konzept, das zunehmend als „Cyberhygiene“ bekannt wird - macht Unternehmen anfällig für Sicherheitsverletzungen. Untersuchungen zeigen, dass eine Mehrheit der Sicherheitsverletzungen auf die Verwendung schwacher oder gestohlener Passwörter zurückzuführen sind. Da der Zugang zu Unternehmensnetzen und -anwendungen zunehmend über mobile Geräte des Unternehmens oder persönliche Geräte der Mitarbeiter im Rahmen erfolgt, wirkt sich mangelnde Cyber-Hygiene auf individueller Ebene direkt auf die Unternehmenssicherheit aus - und Angreifer nutzen mit Sicherheit Einzelpersonen als Einstiegspunkt in Unternehmenssysteme und -daten.
Was können wir also als Einzelpersonen tun, um uns und damit auch unsere Unternehmen besser vor diesen Angriffen zu schützen?
Generell wird empfohlen:
Installiere Sicherheitssoftware auf mobilen Geräten
Aufgrund der Zunahme sensibler Daten, die auf Mobilgeräten gespeichert sind, und des Trends zur Nutzung von Mobilgeräten für sensible Aktivitäten wie Online-Banking haben neue Varianten mobiler Malware zugenommen, und dennoch schützen mobile Nutzer ihre Mobilgeräte immer noch nicht ausreichend vor Malware.
Leider ist solche Software selbst ggfs. problematisch und auch keineswegs eine so sichere Panzerung wie man hofft, sie verführt unangenehm oft zu einem falschen Sicherheitsgefühl und die Sicherheitssoftware vergrössert noch die Angriffsfläche. Es ist dennoch eine gute Sache, aber das Kosten/Nutzen Verhältnis ist für Privatanwender ein Problem, doch für Firmen sollte das weniger der Fall sein.
Vermeide das Surfen auf fragwürdigen Websites
Kompromittierte oder bekanntermaßen bösartige Websites sind einer der Hauptwege für die Verbreitung von Malware-Infektionen auf mobilen Geräten oder Computern. Wenn man nur auf seriösen Websites surft und fragwürdige Websites meidet, verringert sich die Wahrscheinlichkeit von Malware-Infektionen auf Mobilgeräten oder Computern, die auch als „Drive-by-Downloads“ bezeichnet werden.
Jetzt denkt jeder vielleicht an Sex-Seiten, oder sogenannten "Schmuddelkram". Interessanterweise werden von den bekannteren Webseiten dieser Art keinerlei Angriffe ausgeführt oder sind extrem selten, denn dort wird sich professionell um die Cybersicherheit der Kundschaft gekümmert, weil es geschäftsschädigend ist wenn da etwas passiert. Aber andere und seriöser wirkende Seiten, wie z.B. von Firmen, die besonders günstige geschäftliche oder finanziell reizvolle Angebote machen, die genau auf der Grenze zwischen Gier und Verstand positioniert sind machen es.
Das können vertrauenserweckende Seiten zur Optimierung deiner Versicherungen sein, oder Seiten, die günstige Software anbieten, oder Seiten, die vorgeben günstige Dienstleistungen anzubieten.
Besonders effektiv sind solche Seiten wenn sie dir scheinbar "privat" per E-mail "Sonderangebote nur für dich" anbieten. Eine E-Mail, die anscheinend ganz persönlich an dich gerichtet ist, dich mit Namen anspricht und behauptet du bist einer der wenigen auserwählten Kunden, die qualifiziert sind dieses spezielle Angebot zu erhalten.
Niemand ist auserwählt. Das appelliert nur an das Ego. Das Surfen auf unseriösen Webseiten gräbt deine E-mail Adresse und deinen Namen ab, die du beide selbst dort eingibst, in der Annahme, du bist wichtig, schön, gut, wertvoll und toll.
Das bist du nicht! Und die Leute, die so tun als wärst du es, wollen nur das Eine, dein Geld.
Lade nur seriöse mobile Anwendungen aus seriösen Quellen herunter.
Eine gängige Methode besteht darin, Personen zu täuschen oder zu zwingen, gefälschte Versionen beliebter mobiler Anwendungen im Google Play Store und Apple App Store oder außerhalb dieser Stores zu installieren, oder Personen dazu zu bringen, trojanische mobile Anwendungen herunterzuladen, die vorgeben, einen Zweck zu erfüllen, z. B. eine Funktion oder ein Spiel, oder auch vorgeben die Sicherheit zu erhöhen, aber im Hintergrund andere bösartige Aktivitäten durchführen.
Wenn du eine E-mail bekommst, oder eine Webseite besuchst und dir wird ein Fenster angezeigt: Warnung! Malware erkannt! Beseitige die Bedrohung sofort! Hier klicken! - Dann NICHT klicken.
Vorsicht in sozialen Medien!
Betrug, Identitätsdiebstahl und Diebstahl sind eine große Motivation für Angreifer, mit Einzelpersonen in Kontakt zu treten. Das Sammeln von Informationen auf der Grundlage der Social-Media-Präsenz einer Person kann es Angreifern beispielsweise ermöglichen, sich für einen Identitätsdiebstahl als die Person auszugeben oder als Plattform für Social-Engineering-Angriffe auf die Kontakte und Freunde einer Person zu dienen. Sei vorsichtig, wenn man Fremde als Freunde akzeptiert, und vermeide viele private Informationen über soziale Medien oder Job-Posts preiszugeben.
Diese Sache mit den "Freunden" wird doppelt ausgenutzt: Deine Kontaktdaten werden öffentlich, dein Profil wird öffentlich und mit deinen Daten wird gehandelt und du landest auf den Listen von E-mail Verteilern, die Werbung, Malware und Spam versenden.
Natürlich kennen wir alle die Firmen deren Geschäftskonzept das ist und machen es trotzdem. Diverse Social Media Firmen haben das Konzept der Kundenbindung über sozialen Druck bis zur Perfektion gestaltet. Per Messenger, per E-Mail, per App, per Klingelton, Ping, Bong, Gedudel und Sprachnachrichten auch in E-Mails wird man daran erinnert seine App zu öffnen und seinen "Freunden" wieder zu antworten. Es ist erwiesenermassen eine Sucht. Diese Firmen haben nur ein Ziel, dich als Süchtigen möglichst langfristig und täglich in ihr Datensammelimperium einzubinden.
Du gehst auf eine Webseite und man bietet dir an: Logge dich hier mit deinem Google Account ein! Logge dich hier auch mit deinem FaceBookAccount ein! Logge dich hier mit deinem X Account ein, logge dich hier mit Blablabla ein!!!
Tu das nicht. Lass' es! Es gibt keinerlei Vorteile davon und nur Nachteile.
Schalte alle E-Mail Benachrichtigungen deiner social Media Konten ab! Schalte die Alarmtöne und Hinweismeldungen deiner Messenger ab!
Kurzes Nachdenken: Womit bezahlt die Firma META ihre Serverfarmen auf denen FaceBook basiert? Damit, dass du kostenlos mit deinen Freunden Kontakt halten kannst? Klingt nicht überzeugend? Schicken sie dir Spendenaufrufe? Auch nicht? Hast du FaceBook Pro für 10 Euro pro Monat? Auch nicht? Seltsam. Wie kommt es also, dass die Firma Meta an der Börse Milliarden wert sein soll? Wo die nur Kosten und keine Einnahmen haben?
Ah, die machen also Werbung. Du kaufst bei Amazon einen Thermomix und eine Minute später wimmelt es auf deinem Account und in deinen E-mails vor Werbung für einen zweiten Thermomix, ein Sonderangebot für das Luxusmodell als Upgrade, für beheizbare Mixer anderer Hersteller, für Back-Kurse, Angebote für Tiefkühlkost, die den Thermomix überflüssig machen usw.
Und dann kommt die Nachricht, dass deine beste Arbeitskollegin auch einen Thermomix gekauft hat, gerade vor einer halben Stunde und gepostet hat, dass sie schon jetzt super zufrieden ist, und dass du dich mit ihr vernetzen sollst, weil man ihr deine Kontaktdaten als Freundschaftsanfrage geschickt hat. Teilt eure Rezepte und meldet euch bei Thermomix-Freunde-bei FaceBook in der Gruppe an!
Niemand stiehlt dir etwas. Niemand zwingt dich zu etwas. Niemand nötigt dich. Oder? Doch.
Cyberhygiene ist nicht nur das Löschen von Spam-Mails. Cyberhygiene ist auch bewusstes Verhalten gegen diese Methoden unbewussten Menschen ein Prokrustesbett zu verkaufen.
Verwende verschiedene Passwörter
Bei jeder Umfrage bezüglich Passworten kommt heraus, dass eine Mehrheit der Befragten aus Angst vor dem Vergessen von Passwörtern dasselbe Passwort für mehrere Konten verwendet, und zwar so lange wie möglich. Diese Praxis ermöglicht es Angreifern, auf die Konten einer Person über verschiedene Systeme hinweg zuzugreifen, indem sie nur einen einzigen Zugangscode kompromittieren. Um das Risiko zu minimieren, ist es ratsam, unterschiedliche Passwörter für verschiedene Anwendungen und Websites zu verwenden (z. B. für persönliche E-Mails, das Unternehmensnetzwerk, Bankkonten und Konten in sozialen Medien).
Das sollte eigentlich so naheliegend sein, wie den Schlüssel unter die Fussmatte zu legen, nicht?
Damit man sich das nicht merken muss gibt es ja Passwortmanager. Die schlagen automatisch lange und komplexe passworte vor, merken sich das für dich und fügen sie ein, wenn sie abgefragt werden.
Vorsicht vor Phishing-E-Mails
Berichten zufolge beginnen 91 % aller Angriffe mit einer Phishing-E-Mail an ein ahnungsloses Opfer. Hinzu kommt, dass 32 % aller erfolgreichen Einbrüche auf Phishing-Techniken zurückzuführen sind. Trotz jahrelanger Bemühungen in den Medien und in den Sicherheitsprogrammen der Unternehmen, die Benutzer über die Gefahren von Phishing-E-Mails und die Methoden zur Erkennung von Phishing-E-Mails aufzuklären, sind diese Angriffe weiterhin sehr erfolgreich. Es ist ratsam, Anhänge nur zu öffnen, wenn man sie erwartet und weiß, was sie enthalten, selbst wenn man den Absender kennt.
Du bekommst Post von Unbekannten, die dir tolle Angebote machen? Siehe weiter oben in diesem Absatz nach!!
Du bekommst Post von der Börse, die dir sagt, dass gerade eine Aktie gigantisch gute Gewinne abwirft?
Du bekommst Post von deiner Versicherung, die dir erzählt, dass zur Verbesserung der Sicherheitsmassnahmen du deine Zugangsdaten irgendwo eintippen sollst?
Du bekommst Post von deiner Bank mit der gleichen Aufforderung?
Kein einziges seriöses Unternehmen wird dir einen Link, eine präparierte URL oder eine solche E-Mail schicken. Nie!
Das ist wie ein Enkeltrick bei alten Leuten.
Je mehr die E-Mail wie ein offizielles Schreiben aussieht, desto verdächtiger! Deine Bank wird dich vielleicht auffordern dich bei deinem Online-Konto einzuloggen weil es neue Nachrichten gibt, oder Kontoauszüge. Aber das sind immer reine Text E-mails, nie ist da auch nur ein einziges Logo, ein Bildchen, ein Link oder so etwas dabei!
Und in den Nachrichten wird dir jede seriöse Bank auch schreiben, dass sie NIE per E-Mail um irgendwelche Details zum Konto oder zum Account fragen, nie!
Du bekommst E-Mails von Behörden? Ach ja? So richtig mit Flagge, z.B. mit Siegel, Bundesadler in D oder dem Wappen deiner Regierung? Vergiss es. Du bekommst wie bei Banken reine Textnachrichten als E-Mail. Gelegentlich haben sie die Unart Links einzubetten, aber immer als lesbare URL mit dem Hinweis, dass man sich auf der offiziellen Webseite mit seinem Konto einloggen soll. NIE auf den Link klicken! Immer einen Browser öffnen und die Adresse der Behörde angeben.
"Ja, das ist schön was du hier schreibst, aber das weiss ich schon und mache das auch nie!" - Wie viele Sekunden hast du die Nachricht von dem nigerianischen Broker betrachtet, der dich bittet dein Konto für das Parken von 20 Millionen Dollar eines Prinzen zur Verfügung zu stellen? Jeder, absolut jeder wird eine Anstrengung brauchen um sich klar zu machen, dass das eine kackfreche Abzocke sein wird. Niemand geht souverän darüber hinweg und klickt auf Löschen. Auch nicht nach einem Dutzend dieser Nachrichten. Wenn du denkst du bist immun, dann bist du entweder ein Lügner oder ein Volltrottel.
Absolut jeder Mensch erlebt diese Sekunde zwischen Gier und Verstand. Das ist, weil sich Betrugsmaschen an unser Echsenhirn wenden, der Teil unserer Instinkte der nicht unter Kontrolle unseres Verstandes ist. Sei also kein Depp und behaupte du könntest das. Jeder fällt für eine Sekunde auf Phishingmails rein. Es kostet immer eine gewisse Anstrengung den ersten Reiz auszuhalten und sich bewusst zu machen, dass ein BETRÜGER AN DEINEN INSTINKT APPELLIERT.
Du bist kein Held, der mit der linken Hand zwei Elefanten gleichzeitig erwürgen kann. Du musst wie jeder andere das Adrenalin niederkämpfen und dem ersten unbewussten Impuls widerstehen. Sei dir deswegen bewusst, dass Phishing eine Methode ist, die nicht deswegen so gut und oft funktioniert, weil alle anderen dumm sind, und du oberschlau bist und deswegen darauf nie reinfällst. Ganz im Gegenteil. Die Selbstgefälligen fallen auch drauf rein wie die Bezeichnung schon vermuten lässt. Wenn du im Zweifel bist, dann mach' die E-mail zu. Denke. Dann nochmal aufmachen. Nochmal lesen. Dann fällt es einem oft wie Schuppen aus den Haaren auf. Dass das Dreck ist.
Man kann das trainieren. Aber man muss immer dafür arbeiten dass das Bewusstsein die Oberhand gewinnt.
Vorsicht bei der Nutzung öffentlicher drahtloser Netzwerke
Eine sichere Verbindung ist keine Garantie für die Sicherheit vor anderen böswilligen Benutzern im selben Netz. Verwende bei der Nutzung öffentlicher drahtloser Netzwerke eine virtuelle private Netzwerklösung( VPN) und vermeide sensible Aktivitäten wie Online-Banking und Online-Einkäufe.
Stromer hat geschrieben: Mo 14. Okt 2024, 15:1215.png
Das Bild erinnert mich daran, was wir mal in Ghana mit einer Gruppe erlebt hatten.
Wir kamen in eine Pizzeria zum Mittagessen. Damit es einfacher, nahm einer einen Zettel und schrieb die Wünsche auf; bei mehreren gleichen Pizzen mit Strichen wie in deiner 15.
Irgendwann kam unser Essen, aber nicht alles. Bei der Nachfrage meinte der Ober:
"Well, here you ordered four, cancelled them and ordered only two" (es waren 7 gewünscht).
Schlecht, wenn die Afrikaner die Schreibweise auf der Jass-Tafel nicht kennen (kannst du jassen?).
Browsersicherheit. Weil ein Browser keineswegs nur Inhalte aus dem Internet auf deinem Gerät zuhause darstellt, wie das viele Leute meinen, muss man sich doch vielleicht nochmal kurz in Erinnerung rufen was ein Browser macht, um zu funktionieren.
Ein Webbrowser ist ein Programm, das Inhalte von Webservern und anderen Arten von Servern auf deinen Rechner runterlädt. Ungefiltert. Und während dein Browser das tut, schütten andere Server ihre Sachen noch dazu, teilweise weil sie das so machen sollen, teilweise ungefragt, teilweise ungebeten, und teilweise in der Absicht richtiges Gift mit drunter zu mischen.
Eigentlich ist ein Webbrowser so eine Art halb öffentlicher Mülleimer. Absolut jeder Server kann seinen Müll da rein kippen.
Sobald man sich mit einem Server verbunden hat, und damit das Abflussrohr auf macht, ist man im Grunde eine Toilette.
Man bekommt den ganzen Mist ab, ob man will oder nicht. Das hört sich gruselig an, ist aber in der Praxis nicht ganz so schlimm. Dafür ist es dann in der Praxis auf andere Art viel schlimmer als erwartet.
Was dein Browser dann erhalten hat ist ein Programm. Du lädst ein Programm auf deinen Rechner, nicht nur Texte, Medien usw. . Was das Programm dann tun soll ist davon abhängig was der/die Ersteller sich gedacht haben. Es besteht dabei immer das Risiko, dass sie Blödsinn gedacht haben, es nicht konnten, fehlerhaft gearbeitet haben, ihnen fehlerhaft zugearbeitet wurde, es kann sein, dass sie Dinge übernommen haben deren Quellen dubios sind. Meistens sind aber keine groben Fehler drin.
Das kann trotzdem schon schlimm sein.
Jedenfalls versucht ein Browser aus den gesendeten Daten und Dateien dann das zu bauen, was du angezeigt haben willst. Dabei werden oft Bausteine, Programme, Daten zu dem Zeitpunkt aus anderen Quellen nachgeladen. Der Browser verhält sich also etwa so ähnlich wie ein moderner Setzer, der aus Bildern, Texten, Lettern, Formaten, Vorlagen, Typos, und einer erhaltenen Reihe von Instruktionen wie das zusammen zu schrauben ist, eine interaktive Animation im Fenster erstellt.
Dabei kann dieser Teil des Programms Fehler machen, bzw. die Instruktionen können falsch, dumm, oder hinterhältig sein.
Es kann auch sein, dass Bausteine nicht zu bekommen sind und auch dass die Engine des Browsers bestimmte Sachen nicht versteht oder missinterpretiert oder einfach nicht kann. Das resultiert in unschönen Sachen, wäre aber nicht schlimm. Es sei denn diese Engine würde beim Versuch etwas zu tun was sie nicht kann, oder beim Abarbeiten der Instruktionen das laufende Browserprogramm demolieren. Dann stürzt der ab.
Alternativ beschädigt das ggfs. den Browser aber auch in einer Weise, die ihn empfindlich für einen Teil des Mülls macht.
Mögliche Sicherheitsrisiken werden nämlich oft durch eine Art Doppelangriff ausgelöst. Erst bringt man Teile des Browsers zum Absturz, oder verklemmt das Getriebe, dann nutzt man die Blockade aus, um mit der rausgerissenen Getriebewelle eine Sicherheitstür zu öffnen. Sozusagen.
Dein Webbrowser hat aber den Müll erstmal. Im Speicher. Bei dir. Das wäre jetzt halb so schlimm, wenn nicht Teile davon notgedrungen bereits von deinem Rechner verarbeitet werden (müssten), noch bevor man seine empfangene Webseite überhaupt sehen kann. Wenn man sie dann sieht ist es dann auch schon mal zu spät. Dann, wenn die Webseite angezeigt ist, rennen ja schon die eingebetteten Programme. Die können alles machen was so ein Programm eben kann, einschliesslich Fehler, Unsinn oder auch gefährlichen Unsinn und Kriminelles. Auch wenn Programme innerhalb eines Browsers einen deutlich eingeschränkten Arbeitsraum und Möglichkeiten haben.
Das ist den Programmierern von Webbrowsern natürlich bewusst. Daher werden Browser so gebaut, dass sie im Grunde schon fast ein eigenes internes Betriebssystem im Bauch tragen. Das ist es, was diese Programme auch so gross macht.
Man baut sozusagen für den runtergeladenen "Müll" eine möglichst feuersichere, explosionssichere, säurefeste Kiste, in der dann auch Übles passieren kann, ohne dass der Schaden dann ausserhalb des Browsers Auswirkungen hat.
Ich lasse die Details jetzt mal liegen. Es ist jedoch einfach vorstellbar, dass es auch hier einen Wettlauf zwischen den Herstellern dieser sicheren Tresore und den Panzerknackern gibt. Weil es keine absolut fehlerfreien Programme gibt, und selbst bei mehrfacher und sorgfältiger Prüfung und Nachprüfung manche Fehler übrig bleiben, sind diese Müllwannen nicht ganz so sicher wie erhofft.
Jetzt ist es dazu noch so, dass so ein Fehler keineswegs sofort, für sich alleine, die stinkende Brühe auf den Teppichboden raussuppen lässt. Oft muss diese fehlerhafte Stelle erst mit den richtigen Werkzeugen bearbeitet werden, um dann ein Leck zu erzeugen. Es ist wie die weiche Stelle am Bauch des Drachen. Insofern sind Browser oft mit einer bekannten Menge an tolerablen Schwachstellen ausgerüstet, einer unbekannten Menge an unbekannten Schwachstellen mit mehr oder weniger unangenehmer Leckage, und einer unbekannten Menge an Schwachstellen unbekannter Heftigkeit mit sofortigem Säureausfluss.
Damit eventuell austretende Säure keinen Schaden anrichtet stülpt das macOS, bzw. alle anderen Betriebssysteme auch, um das ganze nochmals ein Containment drumrum. Das ist wie in einem Atomkraftwerk. Selbst wenn es innen zum GAU kommt hält das Containment immer noch einiges aus und soll verhindern, dass die Gefahr da durch kommt.
Normalerweise ist es so, dass an diesen Panzerungen ständig gearbeitet wird, weil manche Bautechniken inhärent mehr oder weniger strukturellen Schutz bieten, auch gegen Baumängel und Fehlern im Material. Man hat also neue Fehler, alte Fehler, bekannte Gefahren und unbekannte Gefahren, fähigen Schutz, defekten Schutz, strukturell besseren Schutz und alten, strukturell weniger guten Schutz.
Gauner schauen sich das alles genau an. Sie sezieren das. Schliesslich können sie sich ja den Browser, wie man selbst auch, besorgen. Und dann wird der von aussen und von innen zerlegt, angegriffen und getestet. das machen Sicherheitsfirmen auch. Auch Privatpersonen und Experten machen das. Alle wollen nur Methoden ersinnen, um gefundene Schwachstellen auszunutzen. Die einen, um kriminelle Aktionen durchzuführen, andere um den Fehler zu beseitigen.
Dabei ist die Königsklasse der Fehler der sogenannte Zero-Day. Das ist eine unbekannte Schwachstelle am Bauch des Drachen, die schon dadurch, dass der Drache mal draussen spazieren geht exponiert wird, und mit einem spitzen Ast das Herz getroffen werden kann. Findet das jemand, kann man das dem Browserhersteller melden, der dafür eine Belohnung auslobt und dem Finder Geld bezahlt.
Für manche Leute ist das aber unattraktiv. Sie behalten das Wissen für sich. Sie warten. Entweder weil es sich um Behörden handelt, die sich so das Wissen sichern ggfs. irgendwo reinzukommen, oder sie warten auf meistbietende Käufer, oder sie warten darauf, dass sie weitere Lücken finden, die es ihnen ermöglicht die Lücken so auszunutzen, dass sie im Geheimen und unerkannt ganze Rechnerinfrastrukturen massenhaft übernehmen können.
Manche Webseiten möchten auch innerhalb deines Browsers auf eine andere Webseite zugreifen und/oder deine Daten abgreifen und belauschen, die du mit einer anderen Webseite austauschst, weil da bestimmte Sicherheitsschilde des Betriebssystems nicht existieren. (Aber dafür andere).
Der Webbrowser stellt wegen aller dieser Dinge wahrscheinlich das größte Sicherheits- und Datenschutzrisiko dar, da seine Hauptaufgabe darin besteht, nicht vertrauenswürdigen Code aus dem Internet herunterzuladen und auszuführen.
Eine wichtige Eigenschaft moderner Browser ist die Same Origin Policy (SOP), die verhindert, dass ein bösartiges Skript auf einer Seite über das Document Object Model (DOM) Zugriff auf sensible Daten einer anderen Webseite erhält. DOM ist sozusagen der moderne Setzer, der die Inhalte montiert und nach den gelieferten Instruktionen zusammen setzt. Wird SOP kompromittiert, ist die Sicherheit des gesamten Browsers gefährdet.
Eine weitere wichtige Eigenschaft moderner Browser ist es auch die Kommunikation zwischen Browser und der Webseite zu verschlüsseln. HTTPS. Es is das kleine s hinter http, das anzeigt, dass die Kommunikation verschlüsselt ist, so dass die früher sehr üblichen Angriffe sich in den Datenverkehr einzuklinken, und gefälschte Daten einzuschleusen, und andere Daten abzugreifen. Es muss aber auch von dem jeweiligen Server unterstützt werden. Eine Webseite, die KEIN https unterstützt ist wie ein Strohballen neben einem Holzkohlegrill. Er kann zum Brand kommen, muss nicht, aber es ist doch sehr wahrscheinlich. In dem Punkt muss man mal Google auch ein wenig dankbar sein, weil sie vor wenigen Jahren gesagt haben, dass sie Webseiten ohne Verschlüsselung nicht mehr gut bewerten, oder gleich gar nicht mehr in ihren Suchergebnissen führen. Zumindest drohten sie damit, dass solche Webseiten dann ganz unten in den Suchergebnissen landen.
Viele Browser-Einbrüche basieren auf Social Engineering als Mittel zur Erlangung der Persistenz (dauerhaftes Einschleusen von Schadcode auf deinen Rechner der schwer zu erkennen und zu beseitigen ist). Wie zu erwarten! Social Engineering ist die Technik Leute dazu zu bringen etwas Dummes zu tun, was sie bei nüchternem Verstand kaum machen würden.
Die meisten Angriffe nutzen den Verrat der Leute vor dem Rechner an ihrer eigenen Sicherheit. Sei immer vorsichtig, wenn du also vertrauensunwürdige Websites öffnest und besonders vorsichtig, wenn du neue Software herunterladen willst. Es gelten die weiter oben schon mehrfach angemerkten Verhaltensregeln. Cyberhygiene betrifft alle Anwendungen und Programme, egal ob E-mail oder Browser, oder spezielle andere Apps.
Ein weiterer wichtiger Aspekt der Browsersicherheit sind Erweiterungen. Dies ist ein Problem, das sowohl Firefox als auch Chrome betrifft. Die Verwendung von Browser-Erweiterungen sollte sich auf die unbedingt notwendigen beschränken, die von vertrauenswürdigen Entwicklern veröffentlicht wurden.
Mozilla Firefox, Google Chrome, Safari und Tor Browser sind alle empfehlenswerte Browser. Sie verwenden ähnliche Techniken, moderne Standards und werden ständig aktualisiert. Das Gerede über die "Überlegenheit" des einen oder anderen ist meistens auf einzelne Beobachtungen von speziellem Versagen aufgebaut, das bei allen vorkommt.
Ausserdem sind das nur Momentaufnahmen, da Browser ständig weiter entwickelt und verbessert werden.
Für Standardanwendungen und den Anwender ohne besondere Sicherheitsansprüche sind alle im Mittel ähnlich gut oder schlecht, denn fehlerfrei ist keiner.
Die nächste Fortsetzung greift hier spezielle Dinge der Browsersicherheit auf, die etwas mehr Ansprüche an das Verständnis stellen wird, aber durchaus lohnenswerte Infos enthält, um einem auch als Privatanwender ein Mehr an Wissen und damit ein Mehr an Sicherheit vermitteln kann.
Sehr plastisch und verständlich. Auf’m Firefox läuft hier neben den darin einstellbaren Sicherheitsoptionen die Erweiterung von Malwarebytes. Ist das ausreichend oder nachrüstfähig?
