eigenen Umgang mit Daten und Sicherheit neu aufbauen

[warducK]

Hi Computerbase Community,

mein Schwiegervater wurde letzte Woche Opfer von einem Banking-Phishing-Anruf und hat erst im aller letzten Augenblick bzw. dank der Sicherheitsmechanismen der Bank selbst einen Geldverlust verhindern können.
Der PC selbst ist uralt, wird zur Sicherheit verschrottet und um den Fall soll es direkt nicht gehen. Aber der Vorfall hat zumindest bei mir persönlich das Bedürfnis nach mehr Sicherheit geweckt.

Ich habe mir in der Vergangenheit relativ rudimentäre Gedanken um Datenschutz und Datensicherheit gemacht. Klar, bisjen drauf aufgepasst was ich poste, wo und wie ich surfe, Passwortmanager(keepass) genutzt. Also maximal auf die Basics geachtet, wider besserem Wissen als Fachinformatiker. Nicht stolz drauf, aber ist/war halt so. Bin auch treuer Nutzer von Google, Apple und Kunde Microsoft(MS365 Family Abo bis 2028).

Aber wie gehe ich das jetzt genau an? Die Hardware soll eigentlich nicht getauscht werden, d.h. Google Pixel(meine Frau), iPhone(ich) Windows-Gaming-PC, MacbookPro bleiben im Haushalt. Aber wie gehe ich damit im Alltag am besten um? Alles auch im Hinblick das im Alltag noch praktisch gemeinsam nutzbar für mich und meine Frau zu halten.

Im ersten Brainstorming wäre folgendes denkbar:
Nutzung von Googlemail/Outlook/Onedrive/Office erstmal auf das mindeste beschränken, nach Möglichkeit ausschleichen lassen und hauptsächlich auf andere Dienste setzen? Ich hätte folgende erstmal auf der Liste die ich mal näher anschauen will.

• Proton(Mail, Authenticator, Kalender, Drive)
• Libreoffice(Statt MS Office)
• ente.io(Bildercloud mit Familientarif, Sharing)
• nextdns.io(bin kein Freund von Virenscannern über z.B. MS Defender hinaus. Aber das wurde mir als Alternative empfohlen die trotzdem einen Layer an Sicherheit bringen kann)
• Mir wurden auch der Dienst von idrive oder acronis zum verschlüsselten Backup der wichtigen Sachen(Dokumente, Steuerunterlagen etc.) empfohlen.

Ich bin noch in der Brainstormingphase und bin für jede Anregung dankbar wie ihr eure private "Architektur" im Alltag umgesetzt habt. Gerne auch weshalb ihr auf bestimmten "Schutz" verzichtet.

VG & danke für euren Input!

 

[h00bi]

Einen Phishing Anruf kannst du nicht verhindern, irgendwo werden irgendwann deine Daten geleaked.
Es gibt auch keinen technischen Schutz dagegen, sich Phishen zu lassen. Es hilft nur Hirn einschalten und Aufforderungen kritisch hinterfragen.

Bei den technischen Maßnahmen sind die wichtigsten: Ordentliche Passwörter, kein Passwort Recycling, wenn möglich Passkey oder 2FA nutzen.

Deswegen jetzt auf protonmail umsteigen macht keinen Sinn, der Banking-Scammer hat die Telefonnummern sicher nicht von google bekommen. Der Umstieg auf protonmail dient rein deiner Privatsphäre gegenüber "big-tech". Bedenke, das proton keine geteilten Kalender mit google unterstützt. Wenn du geteilte Kalender hast, müssen alle zu proton oder du musst parallel einen google Kalender weiter führen.

 

[SaxnPaule]

• Hirn an im Internet
• Unterschiedliche und sichere Passwörter (wo sinnvoll)
• MFA wo es geht
• Mails auf eigener Domain
• Backups, Backups, Backups
• Keine veraltete Software nutzen
• Kein Smart-Home mit Verbindung in die Cloud
• Keine privaten Daten (Bilder, Videos, Dokumente, ...) in der Cloud

Gerade beim letzten Punkt muss man etwas Aufwand treiben, wenn man es komplett lokal und trotzdem sicher und bequem haben möchte. Zum Beispiel mit Immich + paperless + VPN.

 

[Conqi]

Einerseits Basics wie MFA wo immer es geht. Kann man auch über KeePass einrichten, wenn man nicht an ein Gerät gebunden sein möchte, was zwar weniger sicher ist, aber auch die Chance reduziert, den Zugriff zu verlieren.

Persönlich rate ich auch jedem dazu, eine eigene Domain zu besitzen für Mails etc. Die kann man dann beispielsweise in Proton einbinden, weil Mail selbst hosten immer so eine Sache ist. Vorteil: selbst wenn der Anbieter dich mal sperrt, ziehst du die Domain einfach woanders hin um und kannst weiter Mails empfangen. Ist weniger ein Security-Thema und mehr Verfügbarkeit und Unabhängigkeit von großen Anbietern.

Du vermischt hier teilweise auch Themen. Protonmail schützt dich genau so viel/wenig vor Phishing und ähnlichem wie Outlook oder Gmail. Libreoffice mag ein paar Schwachstellen von Microsoft Office nicht haben, aber so lange man keine Makros ausführt, ist das auch ziemlich selten.

 

[Seinfeldfreak]

Einen Phishing Anruf kannst du nicht verhindern, irgendwo werden irgendwann deine Daten geleaked.
Es gibt auch keinen technischen Schutz dagegen, sich Phishen zu lassen. Es hilft nur Hirn einschalten und Aufforderungen kritisch hinterfragen.

Bei den technischen Maßnahmen sind die wichtigsten: Ordentliche Passwörter, kein Passwort Recycling, wenn möglich Passkey oder 2FA nutzen.

Deswegen jetzt auf protonmail umsteigen macht keinen Sinn, der Banking-Scammer hat die Telefonnummern sicher nicht von google bekommen.

Richtig. Die größte Schwachstelle ist der Nutzer selbst. In meiner Familie ist jemand im Kreditkartenservice für Banken tätig. Was dort an Anrufen nach Missbrauch reinkommt, ist einfach nur absurd. Die Leute geben ihre Kreditkartendaten völlig naiv raus. Kleinanzeigen ist eine der Plattformen, wo mit die meisten Betrügereien stattfinden.

 

[Bruzla]

1. Möglichst wenig digital unterwegs sein, möglichst wenig verschiedene Dienste nutzen.
2. Alle Accounts mit 2FA absichern zusätzlich zu starken Passwörtern
3. Offline-Backup wichtiger Daten

Nach einem Phishing-Anruf von MS-Office zu LibreOffice wechseln zu wollen ist Aktionismus und bringt dir nichts.

 

[areiland]

Einen Phishing Anruf kannst du nicht verhindern, irgendwo werden irgendwann deine Daten geleaked.

Nicht nur das! Sondern es werden sehr oft einfach systematisch und automatisiert Rufnummernkreise angerufen und wenn jemand rangeht wird übergeben an einen Agent, der den eigentlichen Part des Phishings übernimmt.

Und dem kann man eben nur entgehen, indem man sämtliche Telefonanschlüsse kündigt und anfängt zu trommeln. Genauso verhält es sich auch mit allen anderen Phishingformen, in aller Regel werd nicht gezielt einzelne Nutzer kontaktiert, sondern es wird automatisiert massenhaft gespammt.

Soweit die automatischen Filtersysteme der Provider das nicht ausfiltern können, muss man eben ganz genau hinsehen und hinhören und immer auf diese Fallen gefasst sein.

 

[Wo bin ich hier]

Gerne auch weshalb ihr auf bestimmten "Schutz" verzichtet.

Datenschutz ist bei mir absolut zweitrangig. Ich selber würde daher beispielsweise Google nicht versuchen wie die Pest zu meiden - es ist mir relativ egal, was die mit meinen Daten anstellen, aber ich bin auch kein Heavy-User. Die Diente sind kostenlos und komfortabel, am Ende muss ich halt mit irgendwas bezahlen.

Cloud storage verwende ich nicht: jegliche privaten/sensitiven Bilder/Dokumente existieren nur lokal und sind mehrfach gesichert (verschlüsselt).

 

[Heen]

Ich würde erstmal alles ausschleichen, was man ersatzlos lassen kann. Und nicht unbedingt auf neue Anbieter (nicht im Sinne von neu auf dem Markt, sondern vorher noch nicht benutzt) setzen wenn nicht unbedingt nötig, da kommen nur neue Variablen dazu.
Ansonsten geht es v.a. darum Verhalten einzuschleichen, regelmäßige Änderungen bei Passwörtern, stoisch Backups machen und gesicherte Daten hin und wieder auch checken hinsichtlich bekannter Schädlinge und hinsichtlich der Datenintegrität (Byte-Vergleich mit Quelldaten).
Kann man alles nicht voneinander trennen mMn.


USB-Sticks sind der Teufel.

 

[coxon]

Einen Phishing Anruf kannst du nicht verhindern, irgendwo werden irgendwann deine Daten geleaked.

Leider. Dazu gibt es eine sehr akltuelle Reportage von arte.de die ich jedem nur empfehlen kann.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[warducK]

Danke für die ersten Meinungen und Beispiele wie ihr mit solchen Sachen umgeht.

Dass man Phishing dadurch nicht umgehen kann ist mir auch bewusst. Der Vorfall von meinem Schwiegervater war nur der Anstoß mein eigenes Verhalten zu hinterfragen. Einerseits ganz konkret bzgl. Sicherheit aber eben auch Datenschutz. Viele der von mir angesprochenen Programme z.B. zu Protonmail gehen auch erstmal in Richtung Datenschutz. (EDIT. vll triffts auch eher Datensouveränität? Thema der Nachrichten bzw. US-Big-Tech. Vll auch Schwachsinn darüber nachzudenken. Aber das ist ja der Gedanke davon das zu Hinterfragen.)
Das sind aber eben beides Themen zu denen ich mein eigenes Verhalten hinterfragen wollte und will.

Deshalb nochmal danke für die vielen Ansichten und Anregungen bisher!

 

[BeBur]

Mach jetzt nicht reaktionär 1000 Dinge auf einmal.
Das wichtigste bezüglich security ist:

1. Betriebssysteme, Browser und E-Mail Programme müssen auf dem aktuellen Stand sein und bleiben. Das geschieht im Normalfall automatisch.
2. Einzigartige Passwörter für jeden Dienst verwenden. Das geht am einfachsten mit KeePass oder einem anderen Passwortmanager.
3. 2FA einstellen bei allem, was mit Geld zu tun hat, was wichtig ist (z.B. E-Mail Konto ist sehr wichtig) und soweit möglich.
4. Schulung aller Beteiligten wie Phishing funktioniert und woran man das erkennt.

Dann kommt safety, was vor allem Backups beinhaltet.

Datenschutz ist ein dritter Punkt und der mit Abstand aufwendigste. Würde ich an deiner Stelle machen, sobald die Maßnahmen zu security und safety umgesetzt sind. Da gibt es auch kein objektives richtig oder falsch, da musst du dir überlegen, was dir wichtig ist und wie viel Kosten/Aufwand dir das wert ist.

 

[Dreak77]

Wird vllt. vielen Sauer aufstoßen wie ich es Formuliere aber durch die Blume schafft es nun mal kein Bewusstsein daür... hier mal ein paar sachen:

- Brain.exe-->Oberste Priorität, wer klar denkt und weiß was er dort tut hat um Grunde nichts zu befürchten, mangelndes wissen für den täglichen gebrauch = Fähigkeiten aneignen, das Internet bietet damit mehr als genügend möglichkeiten zur schließung von Informationslücken.

- keine Daten in eine Cloud laden; im Grunde gehört gar nichts Privates irgendwo auf irgendwelche Server hochgeladen, mein Beileid an Appleuser die alles in ihre icloud packen

- KEINE Passwortmanager nutzen, NIEMALS NIEMALS NIEMALS so etwas in Digitaler Form ablegen, dasselbe gilt auch für das Hinterlegen von Zahlungsmitteln-->Stichwort Browser wo leute aus Bequemlichkeit Zugangsdaten / Zahlungsdaten abspeichern, manchmal auch unbewusst weil man einfach bei der Abfrage dafür auf Speichern drückt damit bloß schnell das Fenster weg ist (Facepalm)

- Seinen eigenen E-Mail Verkeher kennen, alles was nicht zuzuordnen ist, ist Spam--> hier auch wieder Brain.exe

- Keine Daten an 3. durchgeben, alles was idr. amtlich ist kennt auch den Briefverkehr / Mailverkehr, nichts davon darf / muss telefonisch erfolgen und wird erst bei Nachvollziehbarkeit angegeben

2-Faktor-Authentifizierungen nutzen sofern angeboten, damit einhergehend auch regelmäßig zugangsdaten / hinterlegte Telefonnummern / Mails zum ggf. zurücksetzen aktuell halten falls man mal was vergisst.

Gerade bei Telefonischen Betrugsmaschen kann ich nicht nachvollziehen wie viele da auf den Leim gehen, selbst ältere Generationen (oder gerade diese) sollten hier am unempfindlichsten sein, Telefone gibt es schon lang genug und ich denke ein jedem sollte es klar sein, das da kein weißer Ritter einen anruft und einem etwas gutes tun will, gerade wenn es in Kombination mit "Geld" "Bank" oder damit zugrunde gehenden Verbindlichkeiten einher geht.

 

[BeBur]

KEINE Passwortmanager nutzen, NIEMALS NIEMALS NIEMALS so etwas in Digitaler Form ablegen, dasselbe gilt auch für das Hinterlegen von Zahlungsmitteln-->Stichwort Browser wo leute aus Bequemlichkeit Zugangsdaten / Zahlungsdaten abspeichern, manchmal auch unbewusst weil man einfach bei der Abfrage dafür auf Speichern drückt damit bloß schnell das Fenster weg ist (Facepalm)

Wichtiger ist, dass man Passwörter nicht für mehrere Dienste wiederverwendet und das man 2FA verwendet. Sobald du ein Passwort irgendwo verwendest liegt es sowieso in digitaler Form auf dem Rechner (im RAM). Von daher ist der Mehrwert begrenzt, keinen Passwortmanager zu verwenden.

 

[Krik]

Meistens wird der Betrug dadurch erreicht, indem das Opfer psychisch unter Druck gesetzt und dann ein Ultimatum ausgesprochen wird, um den letzten Widerstand zu brechen und keine Zeit für ordentliches Nachdenken zu lassen. Der Enkel-Trick ist da ein gutes Beispiel dafür: "Dein Enkel ist schwer verletzt. (→ psychischer Ausnahmezustand setzt ein) Er braucht dringend Geld für die Behandlung! (→ Ultimatum, um den Druck zu erhöhen)"

Es werden also ganz gezielt psychologische Tricks angewendet. Denen kann man sich kaum entziehen, wir sind alle nur Menschen.

Das beste wird es wohl sein, neben dem Telefon immer ein Schild hängen zu haben, auf dem steht: "Keine persönlichen Daten verraten! Kein Geld ohne Papierrechnung bezahlen! Plötzliche große Ausgaben mit einer Vertrauensperson besprechen!"

 

[Capet]

• Mails auf eigener Domain

Ist auch meine Empfehlung. Für alle Onlinedienste, von denen man nur Mails empfangen, aber nicht dorthin senden muss, legt man jeweils einen eigenen Alias für ein gemeinsames Postfach an. Kommen über den Alias irgendwan Spam oder Phishingmails rein, sieht man sofort, wo Daten abhanden gekommen sind bzw. wer sie verkauft hat. Um sie dann loszuwerden, löscht man einfach den Alias.

Ich betreibe das so schon seit einigen Jahren.

 

[areiland]

Plötzliche große Ausgaben mit einer Vertrauensperson besprechen!"

Und: Behörden rufen niemals an und fordern per Telefon Geld für Kautionen!

 

[nutrix]

- KEINE Passwortmanager nutzen, NIEMALS NIEMALS NIEMALS so etwas in Digitaler Form ablegen, dasselbe gilt auch für das Hinterlegen von Zahlungsmitteln-->Stichwort Browser wo leute aus Bequemlichkeit Zugangsdaten / Zahlungsdaten abspeichern, manchmal auch unbewusst weil man einfach bei der Abfrage dafür auf Speichern drückt damit bloß schnell das Fenster weg ist (Facepalm)

Das mußt Du jetzt aber mal genauer bennnen und differenzieren. Sprichst Du vom Passwortmanager beim Browser, oder meinst Du auch sowas wie Bitwarden und Keepass, was auch Passwortmanager sind? Und selbstverständlich nutzen viele, beruflich wie privat, solche genannten Passwortmanager, weil man die Masse der Zugange, Benutzer und Kennwörter sonst gar nicht mehr handhaben kann. Ein handgeschriebener Zettel wäre hier auch nicht hilfreich.

 

[h00bi]

- KEINE Passwortmanager nutzen, NIEMALS NIEMALS NIEMALS so etwas in Digitaler Form ablegen

es ist unmöglich, sich für die zig Dienste, die man heutzutage hat, SICHERE Passwörter zu merken ohne diese zu recyclen. Ich habe 578 Zugangsdaten in meinem Passworttresor. Da sind die verschlüsselten Notizen noch gar nicht inkludiert.
Ja, der Passwortmanager ist ein möglicher (und fataler) Angriffspunkt, aber alle anderen Optionen sind viel schlechter. Auch Papiernotizen sind schlechter/schlimmer.

 

[Azghul0815]

Viel dazu sagen faktisch neu ist, macht wenig Sinn, wurde alles schon gesagt.
Ich es vielleicht eher ein Denkanstoss.

Das Wechsel auf Lokalen Storage, Private und zu Hause betriebene Cloud und Dienste bringt dir einen deutlichen Datensachutz und macht dich deutlich souveräner, gleichzeitg machst steigt der Arbeitsaufwand massiv an und die Initialen kosten, vor allen, wenn es kein Hobby ist, sind auch nicht zu vernachlässigen.

Nicht dass wir uns in 1 Jahr wieder treffen, die Infrastruktur ist abgeraucht oder mit Ransomware verschlüsselt und es war kein Backup vorhanden, weils entweder zu teuer war und dann vergessen wurde oder der Prozess immer noch zu manuell und man vergisst ihn einfach.