Genau so ist es. Weil es ja nicht nur um ein Gerät geht, sondern um mehrere. Dahingehend ist dann eine vorgeschaltete Lösung eine sehr effiziente, zudem wird der Aufwand deutlich reduziert.
Allerdings hat auch diese Lösung ihre natürlichen Grenzen, wenn man sich z.B. mit dem Smartphone außerhalb des eigenen "WLAN-Netzwerks", und unterwegs über die Datenverbindung des Mobilfunknetzes im Internet bewegt. Aber auch dazu gibt es natürlich eine Lösung mit vertrauenswürdigem "VPN nach Hause", und auch die ist hier gut dargestellt:
->
https://www.kuketz-blog.de/pivpn-raspberry-pi-mit-openvpn-raspberry-pi-teil3/
Jupp53 schrieb:
[...] und bin interessiert daran, welche Mindestanforderungen an die Nutzung von webfähigen Geräten gestellt werden sollte.
Das bedeutet, dass man dabei auch alle am Web "beteiligten" Geräte bei sich beachten muss. "Mindestanforderung" ist auf jeden Fall die stete Aktualität jeder Software, ob nun Betriebssystem/Anwendung oder Firmware. Die Firmware ist letztlich auch ein kleines "Betriebssystem", ich erwähne sie jedoch explizit, weil sie einerseits so wichtig ist, andererseits jedoch oft vergessen wird.
Es kann für mich nur um die Einschränkung von Risiken gehen.
Ja, es geht einerseits um die Einschränkung von Risiken, andererseits (und gleichzeitig) auch um den Schutz anderer. Weil man ja nicht alleine im Web unterwegs ist, und eigene schwerwiegende Versäumnisse auch Auswirkungen auf andere Webteilnehmer haben.
Das nehme ich gleich mal als Stichwort. Nur als Beispiel, weil es in der Vergangenheit gerade bei Linux Mint vorgekommen war.
->
https://www.heise.de/newsticker/meldung/Schaedling-in-Linux-Mint-nach-Hack-der-Website-3113114.html
->
https://www.wintotal.de/linux-mint-webseite-gehackt-iso-abbilder-infiziert/
Da waren für eine Zeit die ISO-Images kompromittiert. Wer sie ungeprüft heruntergeladen und verwendet hat, installierte sich damit auf dem frischen System gleichzeitig "integriert" ein Trojanisches Pferd. Was bedeutet "ungeprüft heruntergeladen" in diesem Zusammenhang? Nun, man sollte von derart wichtigen Images (und das ist ein Image, das das Setup für das künftig installierte Betriebssystem bildet auf jeden Fall) nach dem Download immer erst die Prüfsumme erstellen und diese mit verschiedenen(!) Quellen im Internet abgleichen.
Nur dann, wenn unterschiedliche Quellen (z.B. unterschiedliche Uni-Server, auf denen sie ebenfalls zum Download vorgehalten werden) die selbst erzeugte Prüfsumme bestätigen, sollte man das Image verwenden. Unterschiedliche Quellen deshalb, weil in einem Kompromittierungsfall die auf der Downloadseite (hier: Linux-Mint-Seite) angezeigte Checksumme ebenfalls "gefälscht" sein wird, wenn die virtuellen "Einbrecher" schon das ISO-Image hatten manipulieren können, dann sicher auch die Prüfsummen dazu auf dem gleichen Server.
Daher benötigt man die Prüfsummen, die auf
anderen Servern oder Webseiten liegen,
unabhängig von der Hersteller-Website. Dieses Beispiel ist übertragbar auf alle Downloads!
Updates bei jeder Sitzung installieren.
Umsteigen auf die neue Version, wenn die alte LTS-Version nicht mehr unterstützt wird.
Sehr gut. Man sollte sich, je nach Distribution, aber die Updatekonfiguration einmal genauer anschauen. Standardmäßig waren bei Linux Mint z.B. eine lange Zeit die Kernel-Updates standardmäßig nicht aktiviert. Sowas ist bei allen Distributionen generell zu überprüfen.
Vor Öffnen einer Mail routinemäßig den Absender ansehen. Mail unbesehen löschen, wenn der unbekannt/seltsam ist
Das ist kein verlässliches Indiz. Schädlinge verbreiten sich sogar verstärkt unter der Ausnutzung dieser Annahme! Indem sie nämlich in Malware-, Spam- oder Phishing-E-Mails den Absender fälschen, im Zuge dessen also einen Dir bekannten Namen oder eine Dir bekannte E-Mail-Adresse als Absender eintragen, erzeugen sie den Eindruck einer echten Mail von einem Bekannten.
Wie machen Sie das? Ganz einfach: Stell Dir vor, jemand, der Deine E-Mail-Adresse in seinem Adressbuch gespeichert oder jemals auch nur einem E-Mail von Dir erhalten oder gesendet, und nach wie vor gespeichert hat, installiert sich ein Trojanisches Pferd (oder es wird Drive-by unter Ausnutzung von Sicherheits- und Konfigurationsschwachstellen installiert). Dieses liest nun das Adressbuch, sowie alle gespeicherten E-Mails aus, und findet darin u.a. Deine Adresse. Dann erhalten alle gespeicherten E-Mail-Kontakte "verseuchte" E-Mails unter Angabe des Absenders des infizierten PCs.
Dies führt bei den Empfängern zu einem "Vertrauensvorschuss", und sie öffnen die E-Mails. LInks und Anhänge eher als bei unbekannten Absendern.
Neben der Infektion eines Systems gelangen Dritte noch auf anderen Wegen an Adressbücher und E-Mails:
- Sie nutzen riesengroße Datensätze kompromittierter E-Mail-Diensteanbieter aus. Hier am Beispiel von Yahoo.
- Sie nutzen den Umstand aus, dass viele Nutzer für fast alle Web-Anmeldungen das gleiche Passwort nutzen. Gelingt es Dritten, auch nur ein Passwort für einen Dienst in Erfahrung zu bringen, haben sie damit plötzlich Zugriff auf viele andere Accounts dieses Benutzers im Web.
- Sie nutzen den Umstand aus, dass oftmals nur sehr schwache Passwörter verwendet werden, an Stelle von komplexen und längeren mit Sonderzeichen, Groß-/Kleinbuchstaben und Zahlen.
Nur dann auf Seiten ohne sicheres Zertifikat gehen, wenn ich die schon lange kenne und nutze.
Ob man eine Seite schon lange kennt und nutzt, hat keine wesentliche Aussagekraft hinsichtlich ihrer Sicherheit oder "Vertrauenswürdigkeit". Im Gegenteil, gerade der Umstand, dass hier z.B. keine sicheren oder abgelaufene Zertifikate Verwendung finden, kann darauf hindeuten, dass der Serverbetreiber auch andere Absicherungsmaßnahmen nicht so genau nimmt. Immerhin gibt es schon lange "Let's encrypt" als freie und kostenfreie Variante, sodass es also weniger am Geld als vielmehr am Bemühen scheitert. Und das ist sehr schlecht (sicherheitstechnisch gesehen).
Gleichwohl sollte man im Umkehrschluss aber auch nicht immer von einer SSL-geschützten Seite automatisch auf deren Vertrauenswürdigkeit schließen. Denn es könnte ja auch ein Cyberkrimineller eine mit Let's-Encrypt-Zertifikat versehen Website erstellen. Man muss hier also genauer differenzieren!
- Windows
Umstieg auf WIN10 ist drei Monate nach dem Angebot erfolgt, damit die ersten Bugs ausgebügelt sind.
Der Umstieg erfolgte ja offenbar, als es für das andere, zu dem Zeitpunkt verwendete Betriebssystem noch Sicherheitsaktualisierungen gab. Insofern sind diese drei Monate
hier unkritisch. Aber:
Nie!!! zu den ersten Nutzern einer neuen Version gehören.
Es kann auch sein, dass in einer neuen Version wichtige Sicherheitsimplemtierungen stattgefunden haben, also nicht nur Updates, die bekannte Lücken schließen, sondern elementare
Funktionsverbesserungen im Sinne der Sicherheit.
->
https://www.com-magazin.de/news/windows-10/microsoft-integriert-emet-in-windows-10-1232357.html
->
https://www.borncity.com/blog/2017/06/22/kommt-windows10-version-1709-mit-integriertem-emet/
Mit Windows 10 1709 wurde dies integriert, und bot damit ab sofort einen besseren Exploit-Schutz, also auch gegen sogenannte Zero-Day-Exploits, also kleine Schadprogramme zur Ausnutzung bisher noch unbekannter Sicherheitslücken. Von daher muss man gut abwägen, wie lange man wartet. Dazu ist es wichtig, sich vorher zu informieren, was in welcher Version genau verbessert bzw. implementiert wurde.
Updates regelmäßig installieren, Defender incl.
Ja, genau, alle Updates. Auch von gerne "vergessenen" Anwendungen (früher waren es vor allem Flash und Java, wobei Flash bald nicht mehr weiterentwickelt wird, und auf Java als Browser-Plugin sowieso schon lange verzichtet werden sollte), aber auch Programme wie der PDF-Reader z.B.
Es müssen also neben den "Hauptanwendungen" wie Browser und E-Mail-Programm auch die "Nebenanwendungen" aktualisiert werden, die man vielleicht nicht so im Fokus hat. Das gleiche gilt für Office.
Treiber checken und aktualisieren.
Bei den Treibern allerdings nur von den Herstellerseiten, nicht über Tools wie "Driver-Booster & Co".
Was haltet ihr sonst für sinnvoll?
Du darfst die Firmware auf dem Router nicht vergessen! Sie muss ebenfalls aktuell sein. Außerdem sind in der Regel die Fernwartung und UPnP in der Konfiguration abzuschalten! Die Konfigurationsoberfläche des Routers muss zudem mit einem sicheren Passwort geschützt sein. Ebenfalls ist die WLAN-Konfiguration zu prüfen, WPA2 PSK AES/CCMP ist es in der Regel für den Privatnutzer, mit langer individueller Passphrase, also nicht der ab Werk vorgegebenen. Außerdem sei der Umstieg auf
WPA3 empfohlen, allerdings müssen auch dabei immer alle Updates installiert werden.
Was haltet ihr davon für Quatsch?
Zusätzlich installierte und verzichtbare Anwendungen, die die Angriffsfläche erhöhen und die Sicherheit verringern. Beispielsweise werden Tools wie CCleaner auf der einen Seite nicht zwingend benötigt, auf der anderen Seite steigt durch jedes zusätzlich verwendete Programm die Unsicherheit:
->
https://www.heise.de/security/meldu...ugriff-Update-dringend-empfohlen-3834851.html
Wenig zielführend ist es ebenfalls, Drittanbieteranwendungen zum Schutz einsetzen zu wollen, die gleichzeitig aufgrund spezieller Features die Sicherheit wieder herabsetzen, z.B. weil sie sich in verschlüsselte Verbindungen einklinken:
->
https://www.heise.de/security/meldu...-Hersteller-Finger-weg-von-HTTPS-3620159.html
Somit gilt also: Weniger ist mehr!
Wie lässt sich das erwünschte Verhalten durchführen (Programme, Lernaufwand, Aufwand im laufenden Betrieb; Bsp: Firewall ja/nein)?
Am wenigsten kannst Du einen Absicherungseffekt alleine durch die bloße Installation, durch das bloße Vorhandensein irgendwelcher Programme erzielen, die Sicherheit versprechen. Wenn, dann kommt es immer auch zusätzlich auf die
Konfiguration durch den Benutzer an! So wird "Firewall" von vielen einfach als zu installierende Software verstanden, nicht aber als Konzept, wie es eigentlich notwendig wäre. Die folgenden Infos sind zwar alt, aber sie gelten damals wie heute:
->
http://altlasten.lutz.donnerhacke.de/mitarb/lutz/usenet/Firewall.html#PF
Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?
Nein. Ohne ein Konzept, was vor wem geschützt werden soll, ist ein Firewall-System für den Betreiber gefährlich. Ohne tiefgreifendes Verständnis zur Ausarbeitung eines solchen Konzeptes darf kein solches System entworfen und aufgebaut werden.
Eine Desktop-Firewall kann Dir helfen, mehr über Dein System zu lernen. Sie kann Dir aber nicht ohne weiteres helfen, sicherer zu sein. Besser ist es präventiv aktiv zu werden, wie in
"Ich habe offene Ports, wofür sind die?" und
"Wie kann ich sehen was auf meinem Interface/Netzwerk passiert?" beschrieben.
Jupp53 schrieb:
Gemeint ist jemand, der gar keine Ahnung hat.
Jemand, der gar keine Ahnung hat, ist am meisten gefährdet. Und das nutzen Angreifer rigoros aus. Daher ist Basiswissen die wichtigste Grundlage beim System-, Daten und Netzwerkschutz. Denn nur wenn man weiß, welche Maßnahmen man dringend ergreifen muss, kann man sie auch einleiten.
Auf Windows kommt bei mir auh keine Mail an. Das passiert grundsätzlich und steht deshalb bei Mint, hat also nichts mit dem OS zu tun.
Richtig. Allerdings kannst Du auch unter Linux auf eine Phishing-Mail hereinfallen.
