Jedem Einsteiger in die Thematik der IT-Sicherheit möchte ich den Besuch der sehr kompakten Website “Informationstechnik – Sicherheit – Verfügbarkeit, Integrität und Vertraulichkeit” empfehlen. Der Autor fasst ohne großes Herumreden kurz und knapp die Basis für jedwedes Projekt im Umfeld der Informationssicherheit zusammen.
Wer online lebt, ist fortwährend den Gefahren des Internets ausgesetzt. Erik Eckel hat in dem Blog “10 things” 10 Regeln zusammengestellt, deren Beachtung die Gefahr sich einen Virus oder Spyware einzufangen reduziert, die allerdings m.E. nicht immer umsetzbar sind:
Das Original:Â 10 ways to avoid viruses and spyware
Die Zusammenfassung der Regelvorschläge :
, AntiVir 
, Norton Internet Security
, Norton Internet Security ) installieren (häufigere und schneller Aktualisierung von Virensignaturen als bei freier Software) und aktuell halten (Updates!)
Die Regeln 1 bis 4 sind voll zu unterstützen, wobei man freier / kostenloser Schutzsoftware nicht zwingend ablehnend gegenüberstehen muss. Die Aktualisierungsrate der Schadsoftwaresignaturen zu überprüfen kann aber nicht schaden! Die Regeln 5 und 6 sind nachvollziehbar, lassen sich aber im realen Leben nur von Paranoikern konsequent umsetzen. Die Regeln 7 und 8 würde ich mehr im Firmenumfeld sehen als beim Privatanwender …
Ich werde mich dem Thema demnächst selbst auch noch einmal widmen und die obige Liste umsortieren und ergänzen 
Tags: Ratschläge, Regeln, Schutz, Spyware, Viren
Weder Betriebssysteme noch Anwendungen sind aus sicherheitstechnischer Sicht perfekt – dafür ist die Sache einfach zu komplex. Funktionsvielfalt, Zeitdruck bei der Fertigstellung, Inkompetenz der Entwickler etc. potenzieren die Fehlerhäufigkeit. Für den geneigten Hacker sind Fehler in Anwendungen die Eintrittskarte zur Übernahme des Rechners. Gelingt es, einen Fehler im Programm so auszunutzen, dass damit das Programm dazu motiviert werden kann, Programmcode vom Hacker auszuführen, sind die Tore sperrangelweit offen. Jetzt muss der Hacker nur noch „hoffen“, dass der Benutzer, in dessen Berechtigungskontext die fehlerbehaftete Anwendung arbeitet, hinreichende Rechte für die Installation von Software des Hackers hat, mit der dieser den Rechner dann kontrollieren kann. Ist diese Installation erfolgreich, hat der Hacker den Rechner übernommen, unter seine Kontrolle gebracht.
Bei gängigen Betriebssystemen und häufig genutzten Anwendungen sind viele der „einfach“ zu findenden Fehler mittlerweile beseitigt bzw. durch Aktualisierungen (Updates) gestopft. Eine Vielzahl von Sicherheitslücken bleibt jedoch (vorerst) unentdeckt oder kann nicht instantan gestopft werden. Hier setzt die „Arbeit“ des Hackers auf. Mit Sachkenntnis und Erfahrung sowie den geeigneten Werkzeugen gerüstet füttert er die anvisierten Anwendungen mit Daten für deren Verarbeitung diese nur bedingt gedacht sind und versucht sie so zur Ausführung von Programmcode zu bewegen, der ihm Zugang zum System verschaft. Findet er eine solche Möglichkeit, dann hat er eine Sicherheitslücke im Programm identifiziert.
In einem zweiten Schritt, wird er versuchen die Ausnutzung der Sicherheitslücke zum Einbringen von eigenem Code auszutesten und einen Prototypen, einen Proof of Concept zu programmieren, der auch auf anderen Rechnern mit der gleichen Anwendung verifiziert werden kann. Sind diese Tests erfolgreich, spricht man bereits von einem Exploit.
In einem abschließenden Schritt wird der Exploit so modifiziert, dass er die vom Hacker intendierte Schadroutine, z.B. die Installation eines Trojaners, bei Aufruf ausführt und über einen geeigneten Weg an mögliche Opfer verteilt werden kann.
Schutzmaßnahmen
Bei derartigen Szenarien stellt sich natürlich immer auch die Frage, wie kann ich mich dagegen schützen. Von einem auf Sicherheitslücken in der Softwar aufbauenden Angriff ist potentiell jeder betroffen. Schutz dagegen gibt es nicht wirklich 
, aber die Wahrscheinlichkeit für einen solchen Angriff läßt sich verkleinern, wenn man:
, AntiVir , Norton Internet Security, Norton Internet Security ) mit regelmäßig aktualisierten Virendefinitionen den gesamten Datenverkehr von und zum Internet prüfen läßt.Während sich für Apple User mit Apple’s Time Capsule 
Für die reine Datensicherung, die sich als tägliche Ergänzung des von Zeit zu Zeit erstellten Festplattenimages anbietet, gibt es die Möglichkeit vollständige Backups aller ausgewählten Daten zu erstellen, oder jeweils nur die, die sich seit der letzten Sicherung geändert haben. Während die vollständige Sicherung einem jeweils eine komplette Sicherung des Datenbestandes liefert, verteilt sich beim inkrementellen / differentiellen Backup die Datensicherung unter Umständen auf mehrere Archive .
Zu finden ist das bei Windows eingebaute Backup-Programm unter
>Start>Alle Programme>Zubehör>Systemprogramme>Sicherung
Die Komplexität des Programmes hält sich in Grenzen, es ist aber dringend zu empfehlen, mit den Backupoptionen des Programms in Testszenarien, z.B. mit einem extra dafür angelegten Testordner!, Erfahrungen zu sammeln:
Mit solchen Erfahrungen im Rücken läßt sich das eigene Backup so einrichten, dass es optimale Datensicherheit bei minimalem (zeitlichen und resourceiellem) Aufwand bringt.
Um die wertvollen Daten im Backup zu schützen scheint es nahe liegend, die Datenarchive durch Verschlüsselung zu schützen. Diese Art des Schutzes ist aber durchaus mit Vorsicht zu genießen, da einem die Umstände hier schnell einen Strich durch die Rechnung machen können. Nichts ist ärgerlicher, als über eine dringend benötigte Datensicherung zu verfügen und festzustellen, dass das Passwort „nicht funktioniert“ … – und dieses Szenario ist gar nicht so selten, wenn man bedenkt, dass das Einspielen eines Backups oft mit einem großen Stress verbunden ist. Da kann es schon mal passieren, dass bei dem sicheren Passwort ein so dringend benötigtes Zeichen mit seiner Position im Passwort gerade nicht einfällt, oder das falsche Passwort zum Einsatz gebracht wird
Eine weitere Gefahr, die bei der Verschlüsselung oft besonders unangenehm zur Geltung kommt, sind Lesefehler des Datenträgers. Während bei unverschlüsselten Datenarchiven beim Auftreten von Lesefehlern oft noch Rettungsmaßnahmen möglich sind, und unter Umständen nur einzelne Dateien nicht wieder hergestellt werden können, ist bei einem verschlüsselten Archiv in diesem Fall oft Hopfen und Malz verloren. Grundsätzlich ist zu überlegen, ob der recht einfach gestrickte Passwortschutz direkt beim Erstellen des Backuparchivs eingesetzt wird, oder ob das Archiv unverschlüsselt erstellt wird und erst in einem zweiten Schritt mit einem Verschlüsselungsprogramm eine hochwertige Verschlüsselung, z.B. mit einem auf einer Smartcard gespeicherten Schlüssel, angewandt wird.
Die in einem Backup enthaltenen Daten stellen die Datenbasis des Nutzers dar. Je nach Art der gesicherten Daten, kann dieses Backuparchiv einen beträchtlichen Wert beinhalten: vertrauliche Daten, persönliche Daten, Geschäftsunterlagen, Kundendaten etc.
Diese Daten bedürfen nicht nur auf dem Rechner, während der Nutzung eines sicheren Schutzes. Auch im Archiv müssen sie entsprechend geschützt werden. Wie dieser Schutz genau aussieht, bleibt dem Anwender überlassen. Grundsätzlich ist ein sorgfältiger Umgang mit Backups nahe zu legen. Diese sollten nicht auf unbeschrifteten Datenträgern herumfliegen, sollten nicht auf den externen Festplatten gesichert sein, mit denen der Datenaustausch mit Geschäftspartnern stattfindet etc. Datensicherungen gehören in einen (verschlossenen) Schrank oder einen Tresor und sollten für Dritte nicht zugänglich sein. Eine aussagekräftige Beschriftung hilft im Übrigen im Bedarfsfall den passenden Datenträger zeitnah ausfindig zu machen
Nur wer schon Daten durch ein Rechnerproblem, eigene Dummheit, Bequemlichkeit oder Fremdeinwirken, z.B. Diebstahl, Virus etc., verloren hat, kann den Wert eines aktuellen, funktionierenden Backups ermessen
Dessen Wert erhöht sich noch einmal drastisch, wenn das Backup nicht auf dem Rechner abgelegt ist, dessen Datensicherung es beinhaltet. Möglich sind hier ein zweiter Rechner, ein externer Datenträger, z.B. eine externe Festplatte, eine DVD etc. Um Schutz vor Diebstahl, kleinen Katastrophen im Haushalt (Feuer, Überschwemmungen) zu finden, ist die Lagerung der Backups an einem anderen Standort (Offsite) zu empfehlen. Diese Art der Sicherung ist weniger für das tägliche Sichern gedacht, obwohl dies z.B. bei Kleinunternehmern, die das tägliche Backup aus dem Büro mit nach Hause nehmen können, eine sinnvolle Idee ist, als viel mehr als Notfallrettung, wenn Rechner und Datensicherung abhanden gekommen bzw. zerstört worden sind.
Durch die immer schnelleren Internetverbindungen ist eine weitere (Offsite-)Backupmöglichkeit dazu gekommen. Die Daten können über das Internet bei einem Backupdienstleister abgelegt werden. Da hier oft volumenbasierte Tarife angeboten werden, bietet sich diese Art der Sicherung vor allem für wichtige Daten (soweit man diese dem Dienstleister denn anvertrauen möchte) an. Hilfreich ist dies Art der Datensicherung natürlich auch, wenn man viel unterwegs ist, regelmäßige Datensicherungen aber nicht vernachlässigen möchte. Insbesondere gibt es dann auch mit einer einfachen Internetanbindung die Möglichkeit ohne große Umstände versehentlich gelöschte Daten z.B. auf dem Laptop aus dem Archiv wieder herzustellen.
Bei Backups werden so genannte Festplattenimages und Dateibackups unterschieden. Beide Datensicherungen sind gleichermaßen sinnhaft, haben aber unterschiedliche Zielsetzungen. Am besten fährt der Anwender mit einer Kombination aus beiden Backupansätzen.
Bei einem Dateibackup wird von einem Backup-Programm eine Kopie der ausgewählten Dateien und Ordner in einem gemeinsamen Dateicontainer, dem Backuparchiv, abgespeichert. Im Fall eines Datenverlustes am Rechner, z.B. beim versehentlichen Löschen einer Datei kann dieser Dateicontainer genutzt werden, um daraus die verloren gegangenen Dateien wieder herzustellen. Um Daten vor einem Verlust bei Versagen der Festplatte zu schützen, ist das Anlegen des Backuparchivs auf einem externen Datenträger, z.B. einer externen Festplatte, oder einer DVD sinnvoll.
Um eine Rechner nach dem Versagen einer Festplatte vollständig wieder herzustellen, ist ein dateibasiertes Backup nur eingeschränkt Ziel führend. Damit können zwar prinzipiell alle vom System benötigten Dateien wieder hergestellt werden. Um ein „Neuaufsetzen“, d.h. das Installieren des Betriebssystems und aller Programme, kommt man mit einem solchen Backup in den seltensten Fällen herum. Durch das dateibasierte Backup besteht ein Schutz vor Datenverlusten, im Fall eines Crashs macht das wiederherrichten des Systems jedoch eine Menge Arbeit. Für ein solches Szenario ist die effiziente Lösung das Festplattenimage.
Ein Festplattenimage ist wie der Name schon nahe legt, eine eins zu eins Kopie der Festplatte mit allen darauf gespeicherten Daten. Anhand des Festplattenimages kann eine neue Festplatte in exakt den Stand versetzt werden, den das Original hatte. Im Fall der defekten Festplatte wird einfach eine neue, am besten identische Festplatte in den Rechner eingebaut, das Image der alten Platte aufgespielt und alles funktioniert wieder als ob nichts gewesen wäre. Bewährt für die Anwendung im Heimbereich haben sich die Produkte von Acronis:
Für die Verschlüsselung von Daten gibt es viele Gründe. Mit den meisten verfügbaren Tools geht die Verschlüsselung – je nach Umfang des zu verschlüsselnden Datenmaterials – auch recht flott von der Hand. Doch das Gefühl der “Sicherheit” ist oft teuer erkauft, denn der komplette Datenverlust droht, wenn die Entschlüsselung der Daten fehlschlägt.
Unabhängig davon, welches Tool man zum Verschlüsseln einsetzt, gibt es bei der Verschlüsselung zwei grundsätzliche Gefahren, die genau dann Probleme zu bereiten pflegen, wenn man sie am allerwenigsten brauchen kann:
1.   Passwort/Schlüssel vergessen/verloren
2.   Datenträger / Container korrupt
In beiden Fällen hängt es von der Qualität des verwendeten Tools ab, ob und in welchem Rahmen eine Entschlüsselung möglich ist. Daher gilt für den Einsatz von Verschlüsselungstools in besonderem Maße die Sorgfaltspflicht.
Tags: gefahr, gefahren, verschlüsselung
Da bei der Welt gerade ein einsteigergerechter Artikel über ungeeignete und geeignete Passworte online ist (So scheitern Onlinebetrüger) möchte ich an dieser Stelle den geneigten Leser auf diese Publikation hinweisen.
Die Passwortproblematik an sich ist damit natürlich noch nicht gelöst – aber man kann es den Kriminellen zumindest etwas schwerer machen. In der Regel ertappt sich jeder bei dem Lesen eines solchen Artikels bei der Erkenntnis selbst eines der genannten Passworte schon einmal, wenn nicht sogar aktuell genutzt zu haben.
Dies ist aber auch nicht verwunderlich, da die Möglichkeiten praktikable Passworte auszuwählen nicht unendlich groß sind. Wenn das Passwort einfach ist, mangelt es an Sicherheit. Ist es zu kompiliziert, kann man es sich nicht merken; aufschreiben ist auch böse und die Merkregeln helfen einem auch nicht weiter, wenn man das Passwort mal zwei Monate nicht mehr benutzen brauchte. Wenn einen dann noch die Software zwingt, dass Passwort regelmäßig alle sechs Wochen zu wechseln, ist alles verloren.
Die einzige Lösung, die einem hier weiterhelfen kann, ist ein sogenannter Passwortsafe, ein Programm, dass die verwendeten Passwörter sicher, d.h. verschlüsselt, auf einem Gerät, z.B. dem Mobiltelefon, speichert und gegen Eingabe eines sicheren Masterpasswortes wieder freigibt.
Mit einem solchen Programm, werden sichere Passworte praktikabel, auch wenn ihre Nutzung an sich eher unbequem ist.
Ebenfalls aus der Welt diese kleine Info (Wie Kriminelle Passwoerter knacken) über das Vorgehen krimineller Subjekte beim stehlen von Passworten.
Computerworld Security News heise Security cNet Defense in Depth
