Die Meinung, daß Daten Zuhause gespeichert generell sicherer seien als in der Cloud teile ich nicht. Auch viele kleine Unternehmen überschätzen die Sicherheit ihrer in-house IT: Die Software-Sicherheit, aber nicht zuletzt auch die die physische Sicherheit. Bei manchen Unternehmen braucht man bloß eine Scheibe einzuschlagen und kann Speichermedien oder Server einfach wegtragen – auch ist ihnen nicht bewußt was ein verärgerter Administrator (z.B. nach Kündigung) anrichten kann.

Generell ist die heute verfügbare Verschlüsselung heute und in absehbarer Zukunft auch gegen hochgerüstete Hardware und Software sicher.

Einzelne Dateien oder Verzeichnisse verschlüsseln

Einzelne Dateien oder Verzeichnisse kann man mit 7-Zip oder VeraCrypt verschlüsseln.

Lokale Datenträger verschlüsseln

Ganze Datenträger kann man mit VeraCrypt oder BitLocker verschlüsseln. BitLocker ist das Standard Verschlüsselungs-Feature von Windows 10. Ich verschlüssele die Datenträger von PCs und insbesondere von Notebooks mit BitLocker.

Bein neuen PC ist häufig der Systemdatenträger mit BitLocker verschlüsselt ohne daß dies dem Nuzer bewußt ist. Dabei ist der BitLocker Recovery Key im MS Account in der Cloud gespeichert. Man kann in diesem Fall BitLocker so umkonfigurieren dass nur der Nutzer Zugriff auf den Key hat: Key auf USB-Stick speichern oder ausdrucken und aus dem MS Account löschen. Damit ist aber der Nutzer selbst dafür zuständig den Key nicht zu verlieren und bei Bedarf bereit zu haben. Ohne Key kommt man z.B. nach wesentlichen Änderungen an der Hardware oder manchen harten Abstürzen nicht mehr an seine Daten. Das kann problematisch sein wenn der Ausdruck in D im Safe liegt und man in TH ein Problem hat.

Mit Apple-Produkten kenne ich mich nicht aus, siehe How to Encrypt Your Mac’s System Drive, Removable Devices, and Individual Files.

E-Mail verschlüsseln

Verschlüsseln von E-Mails wäre zwar sinnvoll, aber ich habe es aufgegeben weil weder Bekannte noch Geschäftspartner wirklich daran interessiert waren. Siehe S/MIME-Zertifikat in Outlook 2016/2019 einbinden. Hier gibt’s die Zertifikate dafür.

Cloud-Daten verschlüsseln (Ende-zu-Ende Verschlüsselung)

Meines Erachtens sollten private Daten nur dann in der Cloud gespeichert werden wenn diese mit einem Schlüssel verschlüsselt sind den nur der Nutzer kennt, also Ende-zu-Ende-Verschlüsselung (E2E). Die meisten Cloud Provider (inkl. Google Drive und Microsoft OneDrive) bieten leider keine E2EE. Das gebotene „encrypting data in transit and at rest“ ist hier nicht ausreichend, siehe einen älteren recht technischen Artikel von mir dazu Thoughts and Experiments on Cloud Encryption.

Deshalb sollte man unbedingt(!) den Einsatz von Produkten wie BoxCryptor(*) erwägen, die E2EE von Dateien und sogar von Dateinamen mit fast allen Cloud-Providern ergänzen.

Selbst mit E2EE würde ich manche Daten nicht in einer Cloud oder einem Passwortmanager speichern, z.B. das Passwort zum Google- oder Microsoft-Account, vielleicht auch sehr private Dokumente.

E2EE ist aber nur so sicher wie die eigenen Endgeräte. Angreifer könnten z.B. Beispiel Trojaner aufspielen der Bildschirmfotos der Nachrichten erstellt oder einen Keylogger, der Tastaturanschläge aufzeichnet. Damit könnten Sie unverschlüsselte Daten vom Endgerät abgreifen. Man muß sich also dar um kümmern, daß seine Systeme sicher sind.

Text-Nachrichten

Auch Text-Nachrichten sollten möglichst Ende-zu-Ende verschlüsselt sein. Mit SMS, Facebook Messenger (E2EE ist nicht Default), Telegram (E2EE ist nicht Default) und Android Messages sind sie das im Mai 2021 nicht. Mit WhatsApp sind sie zwar verschlüsselt aber Facebook ist extrem vertrauensunwürdig. Text-Nachrichten haben kaum Bedeutung für mich, daher kenne ich mich damit nicht besonders aus. Aktuelle scheinen Signal und Apple’s iMessage (aber nicht zwischen Apple und Android Nutzern!) eine gute Wahl zu sein – aber die Nutzbarkeit einer Messaging-App hängt natürlich immer auch davon ab mein deine Kommumnikationspartner diese auch nutzen. In Bulgarien z.B. verwende ich Viber, in Thailand Line.

Für Text-Nachrichten und andere Kommunikation sollte man auch die Wichtigkeit von Metadaten nicht unterschätzen – also wer, wann mit wem kommuniziert hat. Diese Infos sind ähnlich sicherheitskritisch wie die Inhalte der Kommunikation und noch schwerer zu schützen.

Sichere Endgeräte

Um seine Endgeräte (Handy, PC, Notebook, Tablet) möglichst sicher zu halten sollte man u.a. verfügbare Updates unverzügliche einzuspielen. Ich lasse Windows seine Updates nicht nur automatisch einspielen sondern suche täglich via „check for updates“ aktiv nach danach und via „update now“ auch nach Office Updates – damit erreiche ich auch, daß Updates dann eingespielt werden wenn sich nicht nicht stören und mir keine wichtige Arbeit verloren gehen kann. Vor Zerstörungen meines Systems durch schlechte Updates fürchte ich mich nicht weil ich System Images via Macrium Reflect habe, vgl. Datensicherheit (Backup). Die meisten meiner Apps (wie Browser, Greenshot, 7-Zip, PDF Reader, …) lasse ich automatisch via Ninite Pro aktualisieren. Meine Handys sind Google Pixel Handy die monatlich Sicherheitsupdates einspielen, vgl. Gute Elektronik.

Bei Virenscannern halte ich unter Windows die standard Security (Defender) für ausreichend. Auf Android habe ich Bitdefender Antivirus Free zusätzlich zum standard Gooogle Play Protect installiert.

Und ich verhalte mich auf meinen Endgeräten generell vorsichtig: Auf fremde USB-Sticks greife ich erst nach einem Virenscan zu, unerwartete oder „komische“ E-Mails und insbes. Anhänge lösche ich unangesehen.

Zum Ausprobieren von Windows Tools oder „unsicheren Websites“ nutze ich Windows Sandbox. Beim Schließen der Sandbox wird alles gelöscht. Ist sicher genug – sicherer als ein Wegwerf-Nutzer. Viel unkomplizierter als eine richtige virtuelle Maschine. Auch für die Einmalnutzung einer App prima – man braucht nix zu deinstallieren. Leider ist die Vorkonfiguration z.B. mit einem anderen Browser oder Plug-ins umständlich.

Die Suchmaschine von DuckDuckGo, deren Privacy Browser App und die DuckDuckGo Privacy Essentials Browser-Erweiterung kann helfen die Privatsphäre beim Browsen etwas zu schützen

Geben nervige Werbung nutze ich die uBlock Origin Browser-Erweiterung.

Account-Sperren

Google und Microsoft haben Accounts von Nutzern schon vollständig gesperrt bloß weil diese Dateien in ihrem Cloud-Speicher abgelegt hatten, deren Inhalte (oder auch nur Dateinamen) gegen die von Google/Microsoft definierten Geschäftsbedingungen verstießen. Wohlgemerkt ohne daß diese Dateien für andere Nutzer freigegeben waren. Gerade Google nennt bei Sperren manchmal keine konkreten Gründe und ob man wirklich gegen eine konkrete Regel verstoßen hat läßt sich (zumindest zeitnah) kaum klären, weil es so gut wie unmöglich ist einen kompetenten Mitarbeiter zu erreichen. Mit etwas Glück gelingt es einem in einem solchen Fall vielleicht noch seine E-Mails aus Gmail zu extrahieren – alles andere ist aber verloren.

Probleme mit Account-Sperren passieren auch regelmäßig bei Unstimmigkeiten mit Google Payments. Ist mir selbst zwar noch nicht passiert, aber stundenlange Totalausfälle mit unterschiedlichsten Providern schon. Deshalb habe ich immer mindestens zwei Provider konfiguriert damit ich bei Problemen leicht umschalten kann. Aktuell arbeite ich mit E-Mail Accounts bei Microsoft 365, Google und GMX und nutze als Hoster IONOS und Host-Europe.

Zwei-Faktor-Authentisierung (2FA)

Mit Sicherheitskritischen Anwendungen sollte man 2FA einsetzen. Vielleicht sind die gespeicherten Daten gar nicht so kritisch, wohl aber ein möglicher Identitätsdiebstahl. Banken zwingen seit einiger Zeit zu 2FA. Für 2FA sind Authenticator Apps auf dem Handy sicherer als SMS. Ich verwende den Microsoft Authenticator mit derzeit 15 Anwendungen.

Windows PIN ist sicherer als Passwort

Auf Windows PCs ist es (überraschenderweise) sicherer eine PIN zu verwenden als ein Passwort: Warum eine PIN besser als ein Kennwort ist. Windows PIN sind übrigens nicht auf eine länge von 4 Zeichen beschränkt und können Buchstaben und Symbole enthalten.

Biometrische Authentifizierung ist generell unsicherer als PIN oder Passwort. Trotzdem verwende ich aus Bequemlichkeit auf Handy und Notebook den Fingerabdruck.

Android und iPhone verschlüsseln

Daten auf Handys sind standardmäßig verschlüsselt. Bei neuen Handys prüfe ich aber immer in den Einstellungen, ob das wirklich so ist.

Passwortmanager

Ohne Passwortmanager ist es m.E. unmöglich sichere Passwörter für alle seine Zugänge zu gewährleisten. Ich habe mich bewusst für ein kommerzielles, kostenpflichtiges Produkt entschieden: 1Password. Das funktioniert auf Windows und Android prima – auf Apple-Produkten sowieso. Die Passwörter zu für Accounts mit sehr weitreichenden Rechten wie dem MS Account speichere ich nicht im Passwortmanager sondern merke sie mir.

Kreditkarten-PINs

PIN von Kreditkarten speichere ich nirgends elektronisch (auch nicht verschlüsselt z.B. in einem Passwortmanager) weil das den AGB widerspricht, siehe Vertragsbedingungen für Mastercard und Visa Karten. Diese darf insbesondere nicht auf der Karte vermerkt, bei einer digitalen Karte nicht in demselben mobilen Endgerät gespeichert werden oder in anderer Weise (z.B.* nicht als getarnte Telefonnummer*) zusammen mit der Karte oder deren Daten aufbewahrt werden.

Sichere Passwörter

Zu sichern Passwörtern kursieren viele Fehlinformation und wichtige Aspekte wie Merkbarkeit und leichte Eingebbarkeit (auch auf anderssprachigen Tastaturen) wird häufig unterschlagen. Was für einen Menschen wie ein schwer zu knackendes Passwort aussieht braucht es für einen Computer noch lange nicht zu sein.

Bei Verwendung eines Passwortmanagers braucht man sich nur ein einziges Passwort zu merken, das Masterpasswort. Will man bestimmte Passwörter nicht im Passwortmanager speichern, z.B. das des MS Accounts, dann diese natürlich auch.

Zur Provokation:
Ein schlechtes Passwort: „Tr0ub4dor&3“
Ein gutes Passwort: „hammer 2dM&P kind lob luft“

Zur Erläuterung:
Ein Comic.
Toward better Master Passwords.

Virtual Private Network (VPN)

Ich verwende als VPN Private Internet Access. Für das hochgelobte NordVPN gib es mir zu viele gesponserte Tests. Seit alle Websites die Kommunikation via HTTPS verschlüsseln ist ein VPN nicht mehr sooo wichtig. Aber wenn ich etwas sicherheitskritisches wie Onlinebanking an öffentlichen WLANs mache dann nutze ich ein VPN und manchmal hilft es gegen Geoblocking.

[ *)Dieser Post enthält Affiliate Links. Das kostet dich nichts bringt mir aber etwas Einkünfte]