It-Sec Skriptum
It-Sec Skriptum
1.2. Datenbedrohung
Cybercrime (Internetkriminalität)
Der Begriff Internetkriminalität bezeichnet jedes Verbrechen, das mit Hilfe eines Computers mit Hilfe des
Internets begangen wird.
Beispiele hierfür sind Internetbetrug, das Ausspähen von Daten, Identitätsdiebstahl (Pretexting), Eindringen
in fremde Netzwerke, Urheberrechtsverletzung, Cyber-Terrorismus, Cyber-Mobbing, Volksverhetzung sowie
das Verbreiten von Kinderpornographie.
IT-Security 2
• MitarbeiterInnen verraten ihre Passwörter, indem sie diese auf Klebezettel notieren.
• Frustrierte MitarbeiterInnen nehmen Daten aus der Firma mit.
• USB-Sticks und Notebooks gehen verloren.
• Verseuchte Datenträger (z.B. USB-Sticks) schleusen Malware in das Unternehmen ein.
Aktuelle Beispiele:
Eine Bankmitarbeiterin will vertrauliche Unterlagen zu Hause weiter bearbeiten und schickt sich diese
an die eigene E-Mail Adresse. Leider vertippt sie sich und wählt die falsche Adresse aus.
Ein Mitarbeiter bekommt als angebliches Werbegeschenk einen USB-Stick zugesandt. Er steckt ihn an
seinem Arbeitsplatzcomputer an und installiert so unabsichtlich ein Spionageprogramm.
Ein E-Mail enthält einen Anhang mit einer Worddatei. Ein Mitarbeiter will die Datei öffnen und aktiviert
dabei die Ausführung von Makros. Dadurch wird Malware installiert.
Grundbegriffe zu Sicherheit 3
Was kann ich tun, um meine Daten zu schützen?
• Sichere Passwörter haben mindestens acht Buchstaben, Zahlen und Sonderzeichen.
Sie sollen nicht leicht zu erraten sein, also kein Geburtsdatum oder Name von Angehörigen
verwenden.
• Verwende für jeden Zugang ein eigenes Passwort, besonders für wichtige Konten wie
E-Mail und Onlinebanking. Wird immer dasselbe Passwort verwendet, können Betrüger mit einem
erbeuteten Passwort auf mehrere wichtige Konten zugreifen.
• Passwort-Manager sind empfehlenswert: Sie speichern sensible Daten wie Nutzernamen und
Kennwörter verschlüsselt auf der Festplatte des Computers. Statt sich viele Passwörter merken zu
müssen, genügt jetzt eines: Die Eingabe des Master-Passwortes gibt alle anderen frei.
• Wichtige Daten sollten verschlüsselt gespeichert werden. Notebooks können verloren gehen oder
gestohlen werden. Oft wiegt der Verlust der Daten wesentlich schwerer als die Neubeschaffung des
Notebooks.
• Bei der Verwendung von Cloud-Computing sollte die Kontrolle über die Daten nicht verloren gehen:
Man sollte sich immer im Klaren sein, wer Zugriffsrechte auf die Daten hat. Zudem besteht eine
erhöhtes Risiko von unautorisierten Zugriffen, wenn Zugangsdaten in falsche Hände gelangen oder
durch Hacking.
Schlagzeilen von Datendiebstählen: Persönliche Daten von acht Millionen Hotelgästen gestohlen. Note-
bookschwund in den Ministerien. Brite ersteigert Laptop mit Bankdaten bei Ebay. Britisches Verteidi-
gungsministerium: wieder 28 Notebooks weg...
Datensicherheit
Daten sollen vor Verlust und unberechtigter Einsicht und Manipulation geschützt sein.
Für Firmen sind Kundendaten und Finanzdaten wertvoll. Wenn Kundendaten in falsche Hände kommen,
können sie z.B. für Werbung oder sogar für Betrug (Daten von Kreditkarten) verwendet werden.
Finanzdaten können Konkurrenten Einblicke in die Firma geben.
Vertraulichkeit:
Daten müssen vor unbefugter Einsichtnahme geschützt werden:
• Verschlüsselung von gespeicherten Daten
• Verschlüsselte Datenübertragung bei E-Mail, Chat (Instant Messaging), Online-Banking …
• Datenzugriff nur für autorisierte Anwender
Krankenakten dürfen nur vom behandelnden medizinischen Personal eingesehen werden. Nicht jeder
Beschäftigte eines Krankenhauses hat Zugang zu allen Patientendaten.
Lehrer dürfen Adressenlisten von Schülern nicht an schulfremde Personen und Firmen weitergeben.
Daten auf Notebooks sollten verschlüsselt sein.
Integrität
Daten sollen vollständig und unverändert sein.
Eine Veränderung könnte unabsichtlich oder durch einen technischen Fehler passieren.
Die Daten dürfen nicht durch einen unautorisierten Zugriff geändert werden.
Zeitungsmeldung: Frau irrtümlich für tot erklärt: Drei Wochen nach dem Tod ihrer Mutter wurde auch
deren 66-jährige Tochter für tot erklärt. Weil sie keine Pension mehr erhielt, meldete sich die Frau bei
der Sozialversicherungsanstalt. Dort waren nach dem Tod der Mutter nicht nur deren Daten, sondern
auch gleich alle Daten der Tochter aus dem Computer gelöscht worden.
Grundbegriffe zu Sicherheit 4
Verfügbarkeit
Systemausfälle sollen verhindert werden, damit der Zugriff auf die Daten zuverlässig gewährleistet ist. Unser
Leben ist in hohen Ausmaß auf die Zuverlässigkeit von Computersystemen angewiesen!
Meldung 1.1.2017: Eine technische Störung hat am Neujahrstag österreichweit Bankomatkassen lahm-
gelegt. Die Zahlung mit Karte war stundenlang nicht möglich. Erst am Nachmittag konnte die Betrei-
berfirma den Ausfall beheben.
• Recht auf Richtigstellung oder Löschung: Falls Daten unrechtmäßig oder unrichtig gespeichert
worden sind, kann ihre Richtigstellung oder Löschung durchgesetzt werden.
Beispiel: Herr X möchte einen Handyvertrag abschließen, dieser wird ihm aber verweigert. Er nützt
sein Recht auf Auskunft und erfährt, dass er durch eine Verwechslung als unzuverlässiger Schuldner
in einer Datenbank eingetragen ist. Er beantragt die Löschung dieses Eintrags.
• Jedes Unternehmen, das Daten verarbeitet, muss eine DVR-Nummer (Datenverarbeitungsregister-
Nummer) angeben. Damit kann die Herkunft der Daten nachvollzogen werden.
Beispiel: Eine Schülerliste wird aus der Schulverwaltung ausgedruckt – in der Fußzeile wird die
DVR-Nummer angegeben z.B. DVR: 0103012
In Österreich kann man herausfinden, wem eine DVR-Nummer zugeordnet ist. Verwende eine Such-
maschine z.B. mit den Stichworten “DVR Recherche” und finde heraus, wem die DVR-Nummer
0103012 gehört!
Grundbegriffe zu Sicherheit 5
• Nicht jeder Mitarbeiter hat Zugriff auf alle Daten: Der Datenbankadministrator teilt den Mitarbei-
tern abgestufte Zugriffsrechte zu. Nach der Angabe von Benutzername und Passwort weist das
Computersystem dem Benutzer entsprechende Zugangsrechte zu.
Ein Lagerarbeiter wird nur Zugriff auf den Lagerbestand haben. Er darf keine Preise ändern. Ein
Personalchef hat Zugriff auf alle Mitarbeiterdaten, benötigt aber keinen Lagerbestand.
• Mitarbeiter müssen für den sicheren Umgang mit Daten geschult werden: Es werden Richtlinien
vorgeschrieben wie z.B.: keine USB-Sticks verwenden, keine Mails mit sensiblen Daten versenden,
keinesfalls Zugangsdaten weiterzugeben etc.
Persönliche Sicherheit
• Social-Engineering bzw. Pretexting ist eine Methode von Betrügern durch Ausnützung von
zwischenmenschlichen Beeinflussungen oder unter Vorspiegelung einer fremden Identität unbe-
rechtigt an Daten zu kommen.
Beispiel 1: Ein Mitarbeiter erhält einen Anruf eines angeblichen Technikers, der vorgibt für einen
Test die geheimen Zugangsdaten zu benötigen.
Beispiel 2: Die Buchhaltung erhält ein Mail des Firmenchefs mit der Aufforderung, sofort eine hohe
Geldmenge an ein bestimmtes Konto im Ausland zu überweisen. Das E-Mail erscheint auf den ersten
Blick echt – erst eine telefonische Nachfrage beim Chef ergibt, dass es gefälscht ist.
• Phishing
Beispiel: ein E-Mail fordert auf, einen Link auf eine gefälschte Webseite anzuklicken und dort die
geheimen Zugangsdaten (z.B. für Ebay, PayPal, E-Mail, Bank, etc.) einzugeben.
Phishing ist auch ein Beispiel für Sozial-Engineering, da ein Phishing-Mail vorgibt, von einem
vertrauenswürdigen Absender zu stammen.
• Shoulder Surfing: An Geldautomaten, in Internetcafés, beim Arbeiten in der Öffentlichkeit am Note-
book kann die Eingabe von Zugangsdaten beobachtet werden.
• Als Identitätsdiebstahl bzw. Identitätsmissbrauch wird die missbräuchliche Verwendung personen-
bezogener Daten bezeichnet.
• Information Diving: Oft landen sensible Informationen durch Achtlosigkeit im Papiermüll wie z.B.
Akten, Adressenlisten, Kontoauszüge, Briefe etc.
• Man-in-the-Middle-Angriff: Ein Hacker platziert sich bzw. seine Software zwischen dem Opfer und
und einer aufgerufenen Internetseite, wie z.B. eine Bank oder Webmail. So können z. B.
Überweisungen abgeändert oder Rechnungen gefälscht werden.
• Browser-Hijacker bzw. Browserentführer sind kleine Programme, welche die Einstellungen des
Browsers manipulieren, um Seitenaufrufe (etwa die Startseite) und Suchanfragen auf bestimmte
Webseiten umzuleiten. Browser-Hijacker installieren sich häufig ohne Wissen des Benutzers, oft
durch Ausnutzung von Sicherheitslücken in der Browsersoftware.
Beispiel für einen Browser-Hijacker: Awesomehp
Awesomehp verbreitet sich über scheinbar kostenfrei heruntergeladene Vollversionen von Software und über
vermeintliche Aktualisierungspakete bekannter Windows-Erweiterungen (z.B. Java, Flash). Nach der
ungewollten Installation dieser Adware werden in allen installierten Webbrowsern die Startseite, die Neuer-
Tab-Seite und die Standard-Suchmaschine so verändert, dass diese auf www.awesomehp.com verweisen. Diese
optisch an bekannte Suchmaschinen angepasste Website verweist auf weitere Adware und Spyware, speichert
Werbe-Cookies und blendet überflüssige Anzeigen ein. Dieser Hijacker lässt sich mit Hilfe entsprechender
Software wieder entfernen.
Grundbegriffe zu Sicherheit 6
Sicherheit für Dateien durch Verschlüsselung
Eine Verschlüsselung macht Dateien unleserlich. Nur wer den Schlüssel kennt, kann die Datei wieder lesbar
machen.
Beispiel für die Verschlüsselung eines Klartextes in einen Geheimtext:
Dies ist ein Klartext und er wird nun verschluesselt
GLHVLVWHLQNODUWHAWXQGHUZLUGQXQYHUVFKOXHVVHOW
Verschlüsselung kann auf Datei- bzw. Datenträgerebene stattfinden:
• Verschlüsselung auf Dateiebene: Dateien werden beim Speichern oder beim Komprimieren mit
einem Passwort verschlüsselt. Nachteil: umständlich bei vielen Dateien.
• Verschlüsselung auf Datenträgerebene: Auf dem Computer wird die Festplatte erst nach Eingabe
eines Passwortes entschlüsselt. Der Benutzer merkt nichts von der Verschlüsselung, da diese im
Hintergrund geschieht. Beim Diebstahl eines verschlüsselten Datenträgers sind alle Dateien für den
Dieb unleserlich.
Die Professionalversionen von Windows bieten eine derartige Verschlüsselung. Alternativ gibt es
kostenlos das Programm Veracrypt.
Eine Verschlüsselung ist nur so sicher wie das Passwort: Das Passwort soll geheim und regelmäßig geändert
werden. Es soll aus Buchstaben, Ziffern und Sonderzeichen bestehen und eine angemessene Mindestlänge
mit mindestens 8 Zeichen aufweisen.
Du kannst die Sicherheit eines Passworts z.B. hier online überprüfen: www.wiesicheristmeinpasswort.de
3. Sicherheit im Netzwerk
Datensicherheit im Netzwerk
Ein Netzwerk ermöglicht vielen Computern den Zugriff auf Daten. Beim Zugriff auf diese Daten muss
gewährleistet sein, dass nur berechtigte Benutzer die ihnen zustehenden Daten verwenden dürfen.
Beispiele: die Lohnabrechnung dürfen nur Mitarbeiter der Lohnverrechnung sehen, Dokumente des
Chefs sollen für andere Mitarbeiter nicht zugänglich sein.
• Authentifizierung: Ein Benutzer muss sich mit Benutzerkennung und Passwort anmelden. Das
System erkennt damit den Benutzer und „weiß“, auf welche Daten und mit welchen Rechten
(z.B. Lesen/Schreiben/Löschen oder nur Lesen) er darauf zugreifen darf.
In vielen Unternehmen setzt sich die Mul -Faktor-Authen fizierung durch.
Der Benutzer muss sich mehrfach identifizieren:
1 Quarantäne: Menschen mit ansteckenden Krankheiten werden isoliert untergebracht, damit andere Menschen
nicht angesteckt werden.
Sicherheit im Netzwerk 9
• Etwas, das er weiß: Passwort oder Pin
• Etwas, das er hat: Token (kontaktlos, per USB angesteckt oder ein kleines Gerät zur Erzeugung
eines Einmalpassworts)
• Etwas, das er ist: Biometrie wie Fingerabdruck, Augen- bzw. Irisscan, Handgeometrie (misst die
individuellen Abmessungen der Hand), ...
Die Authentifizierung sichert den Zugriff auf Daten, schützt die Identität von Benutzern und identi-
fiziert den Benutzer.
• Benutzerrechte: sie geben an, welche Daten der Benutzer bearbeiten, welche er nur sehen darf und
auf welche er nicht zugreifen kann.
• Nutzung dokumentieren: Jeder, der auf sensible Daten zugreift, muss damit rechnen, dass diese
Zugriffe registriert und gespeichert werden. Damit kann gegebenenfalls nachvollzogen werden, wer
bestimmte Daten abgerufen hat.
Österreich: Weil er die Adresse seines Nebenbuhlers über den Dienstcomputer im zentralen
Melderegister (ZMR) abgefragt hatte, wurde ein Polizist wegen Amtsmissbrauchs zu einer bedingten
Geldstrafe von 4000 Euro verurteilt.
3.2. Netzwerkverbindungen
Der Anschluss an ein Netzwerk kann per Netzwerkkabel oder drahtlos per Funkverbindung erfolgen.
Jede Verbindung mit einem Netzwerk bedeutet, dass der Rechner dem Risiko eines Angriffs von außen
ausgesetzt ist.
2 Brandmauern (Firewalls) werden zwischen Gebäuden errichtet, damit sich sich Brände nicht auf andere Gebäude
ausbreiten können.
Sicherheit im Netzwerk 10
Netzwerk nur berechtigten Nutzern möglich und aus dem verschlüsselten Netzwerkverkehr können keine
Informationen entnommen werden.
Es gibt verschiedene Verfahren zum Schutz von drahtlosen Netzwerken:
• WPA bzw. WPA2: Wi-Fi Protected Access bieten eine nach heutigem Stand eine sichere Verschlüs-
selung.
• WEP: Wired Equivalent Privacy: unsicher und daher nicht zu empfehlen.
WEP-Verbindungen können ohne großen Aufwand abgehört werden.
Offene Netzwerke erlauben jedem den Zugang zum Internet (z.B. in öffentlichen Räumen wie Flughäfen).
Man sollte aber wissen, dass in offenen Netzwerken unverschlüsselter Datenverkehr abgefangen werden
kann. Nur wenn im Browser vor der URL https aufscheint, werden die Daten verschlüsselt über WLAN
übertragen. Ganz sicher geht man, wenn man im offenen/unverschlüsselten WLAN auf sicherheitsrelevante
Zugriffe wie Online-Banking verzichtet.
Die Einrichtung eines MAC-Filters ist eine weitere Möglichkeit, den Zugang zu einem Netzwerk zu
beschränken:
Die MAC-Adresse (Media-Access-Control-Adresse – Beispiel: CC-52-AF-40-A0-1FA) dient dazu, einen
Computer im Netzwerk eindeutig zu identifizieren. Ein MAC-Filter gibt den Zugang zu einem Netzwerk nur
für bestimmte MAC-Adressen frei - allen anderen ist der Zugang verwehrt. So können sich nur bestimmte
Computer mit dem WLAN verbinden. MAC-Filter sind umständlich zu verwalten, weil jedes neue Gerät
eingetragen werden muss. MAC-Adressen lassen sich auch fälschen.
Man-in-the-Middle-Angriffe können auch bei gesicherten Verbindungen ein Problem sein: Ein Hacker
platziert sich oder seine Software zwischen dem Opfer und einer aufgerufenen Internetseite. Dadurch
erlangt er vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben
einsehen und sogar manipulieren.
Auf diese Weise können z.B. Banküberweisungen verfälscht oder E-Mails abgefangen werden.
3.4. Zugriffskontrolle
Ein Netzwerkzugang bietet den Zugriff auf gemeinsame Ressourcen wie Daten, Netzwerkdrucker und
andere Serverdienste. Eine Authentifzierung mit z.B. Benutzername und Passwort ermöglicht nur befugten
Benutzern den Zugang.
Ein gutes Passwort sollte
• aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen,
• eine Mindestlänge von 8 Zeichen haben und nicht in einem Wörterbuch stehen,
• keinen persönlichen Bezug haben wie Geburtsdatum, Namensteile etc.,
• regelmäßig geändert werden.
Gutes Passwort: mVi1963g! (Merkhilfe: mein Vater ist 1963 geboren!)
Schlechte Passwörter: 12345 qwertz geheim hallo boss passwort ...
Biometrische Verfahren nutzen körpereigene unverwechselbare Merkmale zur Personenidentifikation:
Fingerabdruck, Handgeometrie, Auge (Iris-Scanner), Gesichtserkennung, Stimmerkennung.
Beispiele: Viele Notebooks haben einen Fingerabdruckscanner, Arbeitszeiterfassung ist durch
Fingerscan möglich, Serverraumabsicherung durch Gesichtserkennung, Handscanner, ...
Sicherheit im Netzwerk 11
4. Sichere Web-Nutzung
Sichere Web-Nutzung 12
auch bei Eingaben in der Adressleiste passende URLs vor. Diese Funktionen sind zwar praktisch,
können aber ein Sicherheitsrisiko darstellen.
Im Internet Explorer aktiviert bzw. deaktiviert man die Einstellungen so:
Extras → Internetoptionen → Registerkarte Inhalte → AutoVervollständigen → Einstellungen.
• Cookies sind Dateien, die auf dem Computer durch Webseiten abgespeichert werden, um Einstel-
lungen wie z. b. Anmeldeinformationen zu speichern. Diese werden beim erneuten Besuchen dieser
Webseiten wieder verwendet. Das kann für den Nutzer des Internets beim neuerlichen Besuch
einer Webseite sinnvoll sein und das Surfen erleichtern.
Surft man auf einem fremden PC, sollten die persönlichen Einstellungen und Eingaben gelöscht
werden:
Extras → Internetoptionen → Registerkarte Allgemein → Browserverlauf → Löschen → Cookies
löschen.
Das Blockieren oder Zulassen von Cookies kann im Internet Explorer gesteuert werden:
Extras → Internetoptionen → Registerkarte Datenschutz. Durch das Verschieben des Schiebereg-
lers kann die Behandlung von Cookies beeinflusst werden.
• Während der Verwendung des Browsers werden die besuchten Seiten (der Verlauf), temporäre
Internetdateien und je nach Einstellung Passwörter, Cookies und Formulardaten gespeichert. Diese
Daten, mit deren Hilfe man eine Internetnutzung nachvollziehen kann, sollten auf fremden Rech-
nern entfernt werden:
IE: Extras → Internetoptionen → Registerkarte Allgemein → Löschen.
Firefox: Chronik → Neueste Chronik löschen
• Um Kinder vor ungeeigneten Webinhalten zu schützen und die Internetnutzung zeitlich zu
beschränken, gibt es Inhaltefilter und Kindersicherungen.
Der Internet Explorer bietet dazu Einstellungen:
Internetoptionen → Inhalte → Inhaltsratgeber...
Sichere Web-Nutzung 13
Tipps für den sicheren Umgang mit sozialen Netzwerken:
• Sei vorsichtig mit der Angabe von persönlichen Daten wie Adresse, Telefonnummer, Geburtsdatum,
E-Mail-Adresse usw.
• Überlege dir, welche Fotos du einstellst. Sie könnten dir später peinlich sein.
• Sei dir im Klaren, dass das Löschen von Inhalten in manchen sozialen Netzwerken, Blogs, Inter-
netforen, Cloud-Diensten nicht endgültig ist!
• Prüfe Freundschaftsanfragen und wähle nur Menschen, die du auch kennst.
• Überprüfe deine Sicherheitseinstellungen zum Schutz der Privatsphäre. Wer Inhalte für Freunde von
Freunden frei gibt, macht sie viele Personen sichtbar!
Fachbegriffe
• Cyber-Mobbing: Mobbing mit Hilfe von elektronischen Medien.
• Cyber-Grooming: gezieltes Ansprechen von Kindern und Jugendlichen im Internet mit dem Ziel der
Anbahnung sexueller Kontakte.
• Falsche Identität: nicht jeder ist der, der er zu sein vorgibt. Es ist relativ einfach, eine falsche Iden-
tität vorzuspielen.
• Arglistige Links oder Nachrichten führen zu problematischen Webseiten, die z.B. versuchen,
Malware zu installieren.
5. Mobile Geräte
Notebooks, Smartphones und Tabletts können verloren gehen oder entwendet werden. Oft ist der Verlust
der Daten wesentlich schwerwiegender als Kosten für die Neuanschaffung.
Einige Vorkehrungen:
• Den Zugriff auf das Gerät durch PIN, Muster, Passwort oder Fingerabdruckscan sichern.
• In den Sicherheitseinstellungen die Verschlüsselung aktivieren. Beim Einschalten wird die Entschlüs-
selung mittels PIN, Muster, Passwort oder Fingerabdruckscan aktiviert.
• Sollte das Smartphone abhanden kommen, gibt es die Möglichkeiten der Fernsperre, Fernlöschung
und Geräteortung.
Apps aus nicht offiziellen Appstores bergen Risiken:
• Sie können Malware enthalten,
• hohen Stromverbrauch erzeugen oder hohen Datenverkehr verursachen,
• Daten ausspionieren,
• schlechte Qualität haben und unnötige Kosten. verursachen
Bei der Installation von Apps sollte man die Anwendungsberechtigungen prüfen: Ist der Zugriff auf
Kontaktdaten, Standortverlauf, Bilder etc. notwendig?
6. Kommunikation
6.1. E-Mail
E-Mails werden standardmäßig unverschlüsselt versandt, ihre Sicherheit entspricht also eher einer Ansichts-
karte.
Auch der Absender kann einfach geändert werden: Erhält man eine E-Mail von einer Firma, kann nicht mit
Sicherheit ausgeschlossen werden, dass dieses Mail gefälscht wurde.
Kommunikation 14
E-Mails verschlüsseln
Aktuelle E-Mailprogramme bieten eine Verschlüsselung an. Die Nachricht wird mit dem öffentlichen
Schlüssel des Empfängers verschlüsselt. Der Empfänger entschlüsselt die Mail mit seinen geheimen privaten
Schlüssel. Der öffentliche Schlüssel kann aus dem Internet von einem Keyserver abgerufen werden.
Unerwünschte E-Mails
Spam bzw. Junk E-Mails: sind unerwünschte Werbemails für zweifelhafte Produkte wie Medikamente,
Aktien oder vorgetäuschte Lottogewinne.
Phishing (von engl. password fishing) E-Mails geben vor, von einer seriösen Quelle wie z. B. einer Bank zu
stammen. Der Empfänger wird aufgefordert auf einer gefälschten Webseite geheime Zugangsdaten
einzugeben. Damit können dann Betrüger Geld abheben.
E-Mail-Anhänge können auch Malware enthalten. Beim Öffnen eines Attachments kann der Computer
infiziert werden, beispielsweise durch ein Dokument, das ein Makro enthält oder durch eine ausführbare
Datei.
Kommunikation 15
• Chatprogramme bieten zusätzliche Funktionen zur Übermittlung von Dateien an. Hier sind
dieselben Vorsichtsmaßnahmen sinnvoll wie auch sonst im Internet z.B. keine Programmdateien
unbekannter Herkunft starten, da diese Malware aller Art enthalten können.
• Es gibt Möglichkeiten verschlüsselt zu kommunizieren wie z.B. mit der Chatfunktion von Skype,
oder WhatsApp.
7. Sicheres Daten-Management
Daten sind auf Datenträgern in Computern gespeichert. Um diese vor Diebstahl zu sichern sollten
Maßnahmen ergriffen werden:
• Zugangsbeschränkungen und Zugangskontrollen zu den Räumlichkeiten.
• Sicherungskabel (Kensington) aus Stahl für Notebooks an öffentlich zugänglichen Orten wie Messe-
veranstaltungen verhindern Diebstahl.
• Inventarisierung von Datenträgern ermöglicht die Kontrolle über Vorhanden- bzw. Nichtvorhanden-
sein von Geräten.
Datenträger können durch Defekte unlesbar werden oder können abhandenkommen. Eine Sicherungskopie
ermöglicht die Wiederherstellung der Daten:
• Sicherungskopien (Backups) müssen regelmäßig nach Ablaufplan erstellt werden, damit immer
aktuelle Daten verfügbar sind.
• Backups müssen sicher an verschiedenen Orten aufbewahrt werden, damit z.B. bei einer Zerstörung
eines Gebäudes immer noch Backups vorhanden sind.
• Online-Backups bzw. die Sicherung in der Cloud ermöglichen eine Sicherung über das Internet auf
einen Server einer Spezialfirma.
Mit der Sicherung in der Cloud entfallen die Bereitstellung und Betreuung von Speichersystemen im
eigenen Betrieb. Die Kosten sind kalkulierbarer und Anbieter von Cloud-Speicher bieten für die
Daten eine hohe Sicherheit.
Allerdings, es gibt Fragen wie: Wo sind meine Daten? Sind sie noch in Europa? Wird es den Anbieter
nächstes Jahr noch geben? Ist die Datenübertragung sicher? Können die Daten in falsche Hände
gelangen?
• Die Rücksicherung von Backups muss getestet werden. Es gab Fälle, bei denen erst im Schadensfall
erkannt wurde, dass die Wiederherstellung der Daten aus der Sicherung nicht funktionierte.
Sicheres Daten-Management 16
Du willst deinen alten Computer weiter geben und möchtest deine persönlichen Daten so löschen, dass sie
nicht wiederherstellbar sind:
➔ Erstelle einen neuen Benutzer mit Administratorrechten
➔ Lösche dein altes Benutzerkonto samt allen dazu gehörigen Dateien - du hast bereits deine Daten
auf den neuen Rechner übertragen!
➔ Leere den Papierkorb
➔ Installiere das kostenlose Programm CCleaner (achte darauf, dabei keine zusätzlichen Programme
zu installieren!) und überschreibe mit der Funktion "Festplatten Wiper" den freien Platz auf der
Festplatte – 1x überschreiben reicht.
Sicheres Daten-Management 17
Inhaltsverzeichnis
1. Grundbegriffe zu Sicherheit............................................................................................................................2
1.1. Daten und Informationen – was ist der Unterschied?............................................................................2
Aus Daten werden Informationen............................................................................................................2
1.2. Datenbedrohung.....................................................................................................................................2
Cybercrime (Internetkriminalität).............................................................................................................2
Daten können verloren gehen..................................................................................................................2
Die Bedrohung der Datensicherheit von innen!.......................................................................................2
1.3. Informationen sind wertvoll...................................................................................................................3
Sei sparsam bei der Weitergabe von personenbezogenen Daten............................................................3
Was kann ich tun, um meine Daten zu schützen?....................................................................................4
Datensicherheit....................................................................................................................................4
Vertraulichkeit:.....................................................................................................................................4
Integrität..............................................................................................................................................4
Verfügbarkeit.......................................................................................................................................5
Personenbezogene Daten werden gesetzlich geschützt!.........................................................................5
Datensicherheit braucht Strategie, Backups eine Ablaufplanung!...........................................................5
Persönliche Sicherheit...............................................................................................................................6
Sicherheit für Dateien durch Verschlüsselung..........................................................................................7
2. Malware sind Schadprogramme.....................................................................................................................7
2.1. Definition und Funktionsweise und Typen.............................................................................................7
2.2. Schutz vor Malware.................................................................................................................................8
Antiviren-Software....................................................................................................................................8
Software immer aktualisieren!.................................................................................................................9
3. Sicherheit im Netzwerk...................................................................................................................................9
3.1. Netzwerke verbinden Computer.............................................................................................................9
Netzwerktypen..........................................................................................................................................9
Datensicherheit im Netzwerk...................................................................................................................9
Wozu braucht man eine Firewall?..........................................................................................................10
3.2. Netzwerkverbindungen.........................................................................................................................10
3.3. Sicherheit im drahtlosen Netz...............................................................................................................10
3.4. Zugriffskontrolle....................................................................................................................................11
4. Sichere Web-Nutzung....................................................................................................................................12
4.1. Browser verwenden..............................................................................................................................12
Einkaufen im Internet.............................................................................................................................12
Begriffe zur Sicherheit im Internet:.........................................................................................................12
4.2. Soziale Netzwerke.................................................................................................................................13
Tipps für den sicheren Umgang mit sozialen Netzwerken:....................................................................14
Fachbegriffe............................................................................................................................................14
5. Mobile Geräte...............................................................................................................................................14
6. Kommunikation.............................................................................................................................................14
6.1. E-Mail....................................................................................................................................................14
E-Mails verschlüsseln..............................................................................................................................15
Digitale Signatur für E-Mails...................................................................................................................15
Unerwünschte E-Mails............................................................................................................................15
6.2. Instant Messaging (webchat, Skype, WhatsApp...)...............................................................................15
Tipps für sicheres Chatten:.....................................................................................................................15
7. Sicheres Daten-Management........................................................................................................................16
7.1. Sichere Datenvernichtung.....................................................................................................................16
Sicheres Daten-Management 18