Wie ich als Privatperson und Selbständiger mit den eigenen Daten umgehe

Stand: Januar 2018

Im folgenden Dokument möchte ich beschreiben, mit welchen Strategien ich meine persönlichen Daten und Konten schütze. Dabei geht es um den Schutz…

• …meiner Identität (=nur ich darf als ich handeln, posten, kaufen, usw.)
• …meiner persönlichen Daten (=wer darf welche Daten sehen?)
• …meiner Dokumente (=wie stelle ich sicher, dass meine Dateien, Fotos, usw. nicht verloren gehen?)
• …meiner Handlungsfähigkeit (=wie stelle ich sicher, dass ich weiterarbeiten/agieren kann, wenn es zu einem Desaster kommt?)

Ich bin ja eher faul und bequem, aber allzu leichtfertige Abkürzungen am Computer können schnell sicherheitskritisch werden. Daher wende ich die folgenden Strategien an um mich ausreichend abzusichern. Ich könnte auch mehr oder weniger tun, am Ende muss jeder nach seinem eigenen Sicherheitsbedürfnis handeln.

Top 10 Sicherheits-Strategien

Aus meiner Sicht sind das dir wichtigsten Strategien, sortiert nach bestem Aufwand/Nutzenverhältnis:

1. Zugriff auf Smartphones und PCs sichern mit Passwort, TouchID, FaceID, oder Code.
2. Automatisches Backup beim Handy aktivieren (z.B. iCloud)
3. Passwörter niemals mehrfach verwenden. Nie.
4. Alle Updates installieren. Immer.
5. Persönliche Email-Adresse mit starkem Passwort und 2 Faktoren sichern
6. Möglichst viele weitere Dienste mit starken Passwörtern und 2 Faktoren sichern
7. Passwort Manager installieren und verwenden (auf allen Geräten)
8. In der Cloud arbeiten oder Cloud-Datei-Dienst (Dropbox/Gdrive) verwenden
9. Automatisiertes Cloud-Backup mitlaufen lassen
10. Vorplanen für Verlust von oder Angriff auf Handy, PC, Tablet
11. Bonus: Alte Geräte, für die es keine Updates gibt, ersetzen.

Ja, das Wort Cloud kommt hier sehr oft vor. Aber gerade die Cloud ermöglicht mir sogar als Privatperson kostenlos (oder zu sehr niedrigen Kosten) einen sehr zuverlässigen Umgang mit meinen Daten (zum Thema Cloud gibt es am Ende noch eine Erklärung).

Ich könnte an vielen Stellen noch viel mehr Aufwand betreiben und würde damit vielleicht mehr Sicherheit erreichen, aber wenn es zu mühsam wird, macht man das dann nicht ordentlich, und dann wird es schnell wieder unsicherer. 

Das Folgende ist also meine persönliche Balance zwischen Sicherheit und Aufwand.

Geräte

Grundsätzlich darf ich mich für die Konto-Anmeldungen und für das Abspeichern von Daten niemals von nur einem einzelnen Gerät abhängig machen. Kein Gerät ist vor Ausfall, Verlust, oder Diebstahl sicher. Also denke ich immer mehrgleisig.

Alle meine Geräte, PCs, Notebooks, Smartphone, Tablets haben natürlich ein Login-Passwort/PIN (oder FaceID oder Fingerprint-Login). Niemals darf ein Gerät so eingestellt ein, dass ein Fremder einfach nach dem Einschalten ohne Anmeldung damit loslegen kann, erst recht kein mobiles Gerät. Ein Notebook, der oft unterwegs mit dabei ist, sollte ggf. sogar eine Festplattenverschlüsselung haben, wenn empfindliche (Kunden-) Daten drauf gespeichert sind.

Ich achte darauf, dass immer alle Updates zeitnah oder am besten automatisch installiert werden und mein Virus-Schutz (Eset Internet Security) aktiv ist.

Übrigens: Das eigene Passwort gehört übrigens auf keinen Fall in die Hände von Kindern, erst recht nicht wenn man Admin ist auf einem Gerät!

Konten

Der wertvollste Masterschlüssel für das Online-Leben ist die eigene Email-Adresse. Weil man sich bei vielen Diensten durch Eingabe der Email-Adresse ganz einfach ein neues Passwort zusenden lassen kann, kann jemand, der mein Email-Konto geknackt hat, auch gleich auf alle meine anderen Konten zugreifen. Ich würde also meine primäre Email-Adresse niemals bei einem Anbieter hosten, der keine 2-Faktor-Anmeldung anbietet. Google Mail, Outlook.com oder Office 365 sind eine gute Wahl.

Passwörter und Logins

Bisher haben wir zum Einloggen nichts besseres erfunden als Passwörter. Daher ist der Umgang mit “starken Passwörtern” grundlegend wichtig. Dabei verwende ich folgende Regeln:

• Ein gutes Passwort sollte mindestens 10 Zeichen lang sein, 12 sind besser, noch mehr bringt nicht mehr sehr viel
• Es gibt keine besonderen Anforderungen an die verwendeten Buchstaben (Zahlen, Sonderzeichen, usw. erhöhen die Sicherheit nicht)
• Bei Passwörtern, die ich mir merken muss, verwende ich Passphrasen, d.h. eine Kombination von 2 oder 3 Wörtern, die im Alltagsleben nichts miteinander zu tun haben. Zum Beispiel TischRotPutz oder GoldIgelBar, mit einem Merksatz kann man sich die gut merken, aber die Buchstabenreihe findet sich in keinem Wörterbuch, das jemand verwenden könnte um mein Passwort zu erraten!
• Wo möglich verwende ich einen Passwort-Manager, der unmerkbare, zufällige Passwörter erzeugt und für mich speichert (s.u.)
• Ich verwende ein Passwort nie für mehr als eine Website oder Dienst, denn wenn das Passwort bei einem Dienst gestohlen wird (von solchen Fällen lesen wir eigentlich wöchentlich), können sich Hacker damit in alle anderen Dienste einfach einloggen
• Damit die zu merkenden Passwörter pro Dienst/Website eindeutig sind, nehme ich das o.g. Passwort und hänge nach einer bestimmten Regel Teile des Domainnames hinten dran. Auch wenn man diese Strategie erraten kann erhöht das meine Sicherheit, denn in den meisten Fällen werden Hacker nur das gestohlene Originalpasswort ausprobieren und bei Misserfolg mit dem nächsten Konto weitermachen.

Einfach mal Email-Adresse in https://haveibeenpwned.com/ eingeben, da sieht man dann ob man bereits von einem der bekanntgewordenen Leaks direkt betroffen ist

2-Faktor-Anmeldung

Starke Passwörter kombiniere ich für wichtige Dienste mit der sog. 2-Faktor-Anmeldung. Dabei wird erst durch die Eingabe eines sich ständig verändernden Code, den ich per SMS, App oder Anruf erhalte, beim Anmelden mit Username/Passwort meine Autorisierung sichergestellt.

Ich hinterlege dabei eine Handynummer (Code kommt per SMS) bzw. habe ein App auf dem Handy, die den sich ständig ändernden Code anzeigt. Neben Google, Amazon, Facebook, Microsoft verwenden auch viele Online-Banking-Websites dieses Verfahren.

Ein Passwort-Verlust ist damit dann kein Problem mehr. Für den Fall, dass dieses Handy verloren/kaputt geht, habe ich außerdem weitere Handynummern, Festnetznummern, und Apps angemeldet oder – wo möglich – habe ich die sog. Recovery Passwörter ausgedruckt im Safe liegen.

Dabei muss man ich mich auf einem Gerät i.d.R. immer nur einmal mit beiden Faktoren anmelden, danach wird das Gerät als “sicher” angesehen, und das Passwort reicht ab dann zum Einloggen.

Für alle wichtigen Dienste wie meine Email-Adresse (s.u.) und für alle Dienste, wo es bei einem Einbruch zu ernsthaften (Vermögens-)-Schäden kommen könnte, gibt es zu 2-Faktoren mit Backup-Handy/Codes gar keine Alternative. Wenn ein Dienst das nicht anbietet, versuche ich, ohne ihn auszukommen. In diesem Zusammenhang würde ich neben meiner Email-Adresse auch Amazon/Shopping-Websites, Paypal, Banken, Facebook, Twitter, usw. als wichtige Dienste ansehen.

Wenn ein Dienst 2-Faktor-Anmeldung unterstützt lasse ich dann auch mehr Zeit vergehen bis ich das Passwort wieder ändere (sonst versuche ich jährlich eine Änderungsrunde zu machen).

Eine Liste von Diensten, die 2-Faktor-Anmeldung anbieten, findet man hier: https://twofactorauth.org/

Datensicherung

Ich sichere meine Daten, damit ein Festplattenausfall, Handyverlust oder Notebookdiebstahl, Virus, Ransomware-Befall oder Einbruch in ein Konto nicht auch noch den Verlust meiner Daten bedeutet. Dabei ist der denkbare Extremfall der Verlust aller meiner Geräte (Hausbrand?). Eine Strategie für die Datensicherung ist nur gut, wenn sie auch dies abfedern kann.

Der einfachste Ansatz ist dabei das rein cloudbasierte Arbeiten (Gsuite, Office365, Google Docs, Lightroom CC). Alternativ der konsequente Einsatz von Datei-Synchronisierung mit Dropbox, OneDrive oder GoogleDrive, wenn man viel mit Programmen arbeitet, die die Daten auf der lokalen Festplatte benötigen (was bei vielen Branchen-Programmen oder großen Datenmengen wie Videos/Fotos der Fall ist). Damit kann ich jederzeit und von überall gesichert auf meine Daten zugreifen, unabhängig von einem bestimmten Gerät oder Standort.

Wer noch nicht völlig online in der Cloud oder mit File-Synchronisierung lebt braucht dann wenigstens eine Datensicherung. Hier ist für mich die Grundlage das 3-2-1 Prinzip: Es gibt mindestens 3 Kopien der Daten auf 2 verschiedenen Medientypen, davon eine Kopie außerhalb des Hauses. Eine echte Datensicherung muss dabei vollautomatisch sein und ständig mitlaufen. Eine externe Festplatte auf die man alle 2 Wochen Daten manuell kopiert ist keine Datensicherung!

Auf allen unseren PCs läuft dafür die Software von www.backblaze.com und kopiert ständig alle Daten verschlüsselt in die Cloud. Backblaze ist besonders einfach zu bedienen und es kostet nur US $5 pro Monat um alle Daten von einem PC zu sichern, egal wie viele Gigabytes. Beim letzten Plattencrash konnten wir damit alle Dateien bis 30 min vor dem Crash sofort wiederherstellen.

Unsere iPhones und iPads machen alle das automatische iCloud-Backup. Ähnliches gibt es bei Android.

Mit meinen persönlichen und geschäftlichen Daten/Dokumente arbeite ich wie oben beschrieben nur noch in einem Google-Drive. Meine Fotos (mehr als 2 TB) liegen zu Hause auf einem QNAP-NAS (Gerät mit mehreren gespiegelten Festplatten, gibt’s ab €250 aufwärts), das beständig alle Fotos ebenfalls mit meinem Google-Drive synchronisiert.

Passwort Manager

Zum Verwalten meiner Passwörter verwende ich den Passwort-Manager Dashlane. In dieser Software werden meine Passwörter alle verschlüsselt abgelegt, nur ich kann mit meinem Masterpasswort darauf zugreifen. Von Dashlane gibt es Apps, die sich perfekt integrieren in Windows, OSX, iOS, Android, sowie ein Plugin für meinen Chrome Browser, sodass der Umgang mit den Passwörtern sehr komfortabel ist und ich quasi nie ein Passwort manuell eingeben muss.

Aber… ist denn die Cloud sicherer als mein Heimnetz?

Jeder der glaubt, seine Daten in seinem ans Internet gekoppelten Heimnetz zu Hause wären sicherer als seine mit 2-Faktor-Anmeldung geschützten Daten bei einem der großen Cloud-Anbieter, unterliegt einem fatalen Irrtum. Nur wenn ein Computer gar nie Zugang zum Internet hat, stimmt diese Theorie. Sobald das Heimnetz einen Internetzugang hat, auch nur zeitweise, ist es vorbei mit der Sicherheit. Die Schwachstellen sind z.B. der Internetrouter (Fritzbox), der private PC, oder die anderen Geräte im heimischen Netz, über die Hacker weltweit ständig Angriffe fahren. Als Privatperson kann man seine Systeme niemals so absichern und updaten, wie es die tausenden von Sicherheitstechnikern der Cloudanbieter 24/7 können.

Wann hast Du bei Deinem Internet-Router, Sonos-Lautsprecher oder Drucker das letzte Mal ein Software-Update gemacht? Im Prinzip ist jedes Gerät im Heimnetz eine potentielle Einbruchstelle für Hacker. Deswegen sehe ich das LAN und WLAN bei uns zu Hause als ähnlich unsicher an wie wenn ich bei Starbucks ins WLAN gehe. Alle internen Dienste im Haus sind daher nach Möglichkeit auch mit Passwörtern und Verschlüsselung abgesichert.

Ständige und zeitnahe Updates sind der einzige Weg zu halbwegs Sicherheit. Im April 2017 wurde z.B. eine Sicherheitslücke in allen Fritzboxen bekannt, mit der ein Angreifer die volle Kontrolle übernehmen kann! Neben dem eigenen PC sind vielen kleinen WLAN-fähigen Geräte im Heimnetz ein großes Problem. Wenn ein Hacker z.B. beim SmartSpeaker- oder einem Webcam-Hersteller einbricht, und alle Geräte kapert, kann er damit in alle Heimnetze der Kunden eindringen. 

Bei modernen Smartphones, Tablets und PCs ist es etwas besser mit den Updates, z.B. geben Apple und Microsoft beständig Updates raus, die autom. installiert werden. Aber z.B. ein altes Android Smartphone/Tablet oder ein Windows 95 oder Windows 7 ohne aktuelle Softwareupdates ist eine gewaltige Sicherheitslücke.

Testen!

Und zum Schluss noch ein wichtiges Element der Sicherheits-Strategie: Immer wieder mal die verschiedenen online-lebenswichtigen Zugänge und Datensicherungen testen!

Und noch eine Statistik

Die meisten Deutschen kennen die verschiedenen Sicherheitsmaßnahmen bereits, aber nur wenige nutzen sie…

Mehr Infografiken finden Sie bei Statista