Netzwerksicherheit - auch eine Frage der Perspektive
Man erscheint hilflos. Gleich ob krimineller Hacker oder staatliche Behörde, wenn jemand Ihr Netzwerk oder Computer hacken will, dann ist das kein Problem und Sie werden ausgenommen wie eine Weihnachtsgans. Schlimmer noch Ihr Netzwerk wird infiltriert einfach weil es jemand kann. Doch ist dem wirklich so ?
Bevor Sie jetzt in Panik oder Depression verfallen, ist es eine gute Idee zuerst etwas mehr Perspektive auf den Themenkomplex Netzwerksicherheit und die eigene Situation zu gewinnen. Dieser Artikel liefert Ihnen hierzu Informationen und Gedankenanstöße.
Notiz: Mit diesem Artikel wird eine kleine Serie von Artikeln mit dem Themenschwerpunkt „Netzwerksicherheit“ gestartet. Wie der Term „Netzwerksicherheit“ ausdrückt liegt der Fokus auf Netzwerke und dort auf private Heimnetzwerke. Ziel der Artikelserie ist es Ihnen ein grundlegendes Verständnis über Netzwerksicherheit zu vermitteln und praxisnahe Tipps zu geben wie Sie Ihr Heimnetzwerk sicher betreiben. Zu einem gewissen Grad werden sich aber Überschneidungen zu allgemeiner IT-Sicherheit, bzw. Sicherheit Ihres Computers ergeben.
Welcher Aufwand muss betrieben werden, um was zu bekommen, mit welchem Risiko? Das ist eine Fragestellung, welche sich im Prinzip auch „Hacker“ stellen.
Der Punkt ist schlicht das in einem typischen privaten Haushalt nicht sonderlich viel zu holen ist, im Vergleich zu z.B. einem Unternehmensumfeld. Was sind denkbare Ansätze:
- Die Daten auf Ihrem Computer werden verschlüsselt und Sie erhalten eine Nachricht, das diese nur wieder gegen Zahlung entschlüsselt werden (Ransomware).
- Geräte in Ihrem Heimnetzwerk werden infiziert und dienen als „Bots“ welche der „Hacker“ gegen Geld anderen zur Verfügung stellt. Diese „Bots“ werden verwendet um z.B. einen Angriff zu fahren, welcher ein Unternehmen oder einen Dienst lahmlegen soll. Alternativ könnten infizierte Geräte auch still und leise nach digitaler Währung schürfen (z.B. Bitcoins). In der Vergangenheit wurden gekaperte Internet-Router missbraucht, um teure Telefonate in das Ausland zu tätigen.
- Digitale Identitäten werden in Erfahrung gebracht und missbraucht. Z.B. Das Passwort und der Benutzername eines Kontos bei E-Bay.
- Es wird versucht Ihre Online-Banking Aktivitäten auszuspähen, bzw. zu kapern, um Geld auf Fremdkonten zu überweisen.
Notiz: Gerade dort wo die „Beute“ relativ hoch ist, wie z.B. beim Online-Banking, wird eine sogenannte Zwei-Faktor-Authentisierung eingesetzt. Sprich ein Passwort reicht nicht, es braucht noch einen zweiten Faktor, um z.B. Geld zu überweisen, wie eine Chip-Tan oder eine Photo-Tan. Damit wird die Sicherheit von Online-Konten deutlich erhöht.
Wenn etwas passiert dann ist es ärgerlich, keine Frage, doch was wäre der denkbare Schaden ? Ein paar hundert Euro ? Im schlimmsten Fall ein niedriger vierstelliger Betrag ?
Für Sie viel Geld, doch betrachten Sie es aus dem Blickwinkel eines „Hackers“. Er wird nicht bei jedem Heimnetzwerk Erfolg haben, er geht ein Risiko ein und wenn er persönlich vor dem Computer sitzt braucht es Aufwand. Die interessanteste „Beute“, wie Online-Banking, ist dummerweise auch noch am besten geschützt. Jetzt kennt der Hacker vielleicht eine wunderbare Sicherheitslücke, welche sonst keiner kennt. Alleine die Kenntnis solch einer unbekannten Sicherheitslücke kann einen extrem hohen Wert haben, welcher in die Millionen geht. Sollte man jetzt diese Sicherheitslücke für Frau oder Herr Jedermann verwenden ? Wohl kaum.
Letztlich bedeutet das, dass sich der digitale Einbruch bei „Jedermann“ in der Regel nur lohnt wenn dieser einfach durchzuführen ist und sich automatisieren lässt. Idealerweise werden Sicherheitslücken mit niedrigem Wert verwendet (i.e. bekannte Sicherheitslücken) oder die schiere Masse an potentiellen Zielen, lässt den Einsatz einer unbekannten Sicherheitslücke attraktiv erscheinen.
Nicht jeder versucht Netzwerke zu infiltrieren, um einen geldlichen Vorteil zu erlangen. Manche probieren einfach frei verfügbare Software und Werkzeuge aus weil sie es interessiert und weil sie es könnnen. Es ist aber realistisch anzunehmen, dass sich diese Kategorie von „Hackern“ wieder bekannter und niedrigwertiger Sicherheitslücken bedient. Als Resultat, kann man sich auch mit einfachen Mitteln dagegen schützen.
Notiz: Es gibt Diskussionen in der Politik (Dez. 2019, Jan. 2020), das Unternehmen in Zukunft doch die Passwörter Ihrer Kunden im Klartext speichern sollen, um diese dann auf Anfrage an Behörden weiterzugeben. Das sind dann Ziele wo sich Aufwand lohnt. Man braucht nur ein einzelnes Unternehmen zu „hacken“ und hat dann hundertausende, wenn nicht Millionen von Passwörtern, welche Geldwert weiterverkauft oder selbst genutzt werden können. Bleibt nur zu hoffen, dass sich die Diskussion im Sand verläuft.
Das bisher geschriebene ist allgemein gehalten und trifft auf die meisten Privathaushalte zu. Doch natürlich kann es Ausnahmen geben. Hier sind Sie jetzt gefragt. Wie ist Ihre persönliche Situation ? Gibt es Besonderheiten welche Sie zu einem attraktiven Ziel machen ? Denken Sie nicht nur rein monetär, eine besondere Stellung in der Gesellschaft (z.B. bekannter Politiker) oder in einem Unternehmen (z.B. Geschäftsführer) kann dazu gehören.
Wenn Sie denken, das Sie nicht „Jedermann“ sind, dann sollten Sie im Punkt Netzwerksicherheit besonders sorgfältig sein. Das bezieht sich nicht nur auf die Installation von Geräten und Software, sondern vor allem auch auf Ihr Verhalten. Der Mensch ist der größte Unsicherheitsfaktor, wenn es um die Sicherheit von Computern und Netzwerken geht. Wie sorgfältig Sie sein sollten und wieviel Aufwand Sie betreiben ist jetzt nicht schwarz/weiß zu sehen, sondern individuell bezogen auf Ihre eigene Situation. Ihre eigene ganz persönliche Weiterbildung im Bereich des Umganges mit Computern und Netzwerken ist dabei ein zentraler Punkt.
Wenn Sie denken, das Sie „Jedermann“ sind, dann bedeutet das aber nicht, dass Sie völlig sorglos agieren können. Es bedeutet allerdings, dass Sie mit den üblichen und einfachen Maßnahmen zur Sicherheit Ihres Heimnetzwerkes schon einen sehr guten Schutz bekommen. Dazu noch ein wenig Bildung und Umsicht Ihrerseits im Umgang mit dem Internet, z.B. beim Web-Surfen oder E-Mail lesen und das Risiko Opfer einer Computer- oder Netzwerkattacke zu werden ist extrem niedrig.
Für viele nicht offensichtlich, doch Computer- und Netzwerksicherheit hat auch immer etwas mit Datenschutz und Datensparsamkeit zu tun. So werden z.B. soziale Angriffe (engl.: pishing, social-engineering) erfolgreicher je mehr der Angreifer über Sie in Erfahrung bringen konnte. Es ist einfach nachzuvollziehen, dass die Wahrscheinlichkeit steigt das jemand z.B. einen Anhang in einer E-Mail öffnet, wenn die E-Mail sehr glaubwürdig erscheint. Und spätestens wenn man freizügigst alles über sich per Facebook oder andere soziale Medien preisgibt, muss ein „Hacker“ schon gar nicht mehr Ihr Netzwerk oder Ihren Computer komprimitieren, um alles nötige über Sie zu erfahren.
Fazit: Es gibt keinen Grund für Paranoia und den Glauben an mythische Hacker, welche mal eben so Ihr Netzwerk oder Ihren Computer übernehmen. Es gibt aber auch keinen Grund für Sorglosigkeit, denn es gibt ein reales Risiko. Wie hoch ist dieses für Sie persönlich? Das sollten Sie als erstes Abwägen, wenn Sie sich dem Thema Netzwerksicherheit widmen. Als zweites sollten Sie realisieren, dass etwas Bildung Ihrerseits in diesem Themenbereich enorm hilfreich ist. Dann kann sich aber Herr und Frau „Jedermann“ (wie ich einer bin), mit einfachen Mitteln schon weitestgehend absichern.
Im nächsten Artikel „Die Bedrohung kommt von innen, warum der Anwender selbst das größte Risiko ist und wie eigene Umsicht helfen kann“.
Matthias (10.02.2020)
Die folgenden Artikel wurden bislang in der Serie „Netzwerk-Sicherheit“ veröffentlicht.
- Dies ist der erste Artikel
P.S.: Es langweilt viele, doch es gehört zu jedem seriösen Artikel über Netzwerk- und Computer-Sicherheit dazu. Sie werden eine hunderprozentige Sicherheit nie erreichen können. Sie können nur versuchen gemäß Ihres persönlichen Profils einen angemessenen Sicherheitsgrad zu erreichen. Die schwierige Frage ist nun, was ist für Sie persönlich „angemessen“ ?