Wie Sicherheitsexperten personenbezogene Daten schützen

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2023-12-17 03:51

Ist es sinnvoll, auf öffentliches WLAN und Banking-Anwendungen zu verzichten und sich für Online-Käufe eine separate Karte zu besorgen – so die Meinung eines Informationssicherheitsspezialisten.

Die Hälfte meiner Kollegen in der Informationssicherheit ist beruflich paranoid. Bis 2012 war ich selbst so - ich war vollständig verschlüsselt. Dann wurde mir klar, dass eine so langweilige Verteidigung Arbeit und Leben beeinträchtigt.

Beim "Ausgehen" habe ich solche Gewohnheiten entwickelt, die es einem ermöglichen, ruhig zu schlafen und gleichzeitig keine chinesische Mauer zu bauen. Ich erzähle Ihnen, welche Sicherheitsregeln ich jetzt ohne Fanatismus behandle, die ich von Zeit zu Zeit verletze und die ich mit aller Ernsthaftigkeit befolge.

Übermäßige Paranoia

Kein öffentliches WLAN verwenden

Ich benutze und habe keine Befürchtungen in dieser Hinsicht. Ja, es gibt Bedrohungen bei der Nutzung kostenloser öffentlicher Netzwerke. Aber das Risiko wird minimiert, indem einfache Sicherheitsregeln befolgt werden.

1. Stellen Sie sicher, dass der Hotspot zum Café gehört und nicht zum Hacker. Die Rechtsstelle fragt nach einer Telefonnummer und sendet eine SMS zur Eingabe.
2. Verwenden Sie eine VPN-Verbindung, um auf das Netzwerk zuzugreifen.
3. Geben Sie auf nicht verifizierten Websites keinen Benutzernamen / kein Passwort ein.

Kürzlich hat der Google Chrome-Browser sogar damit begonnen, Seiten mit ungesicherten Verbindungen als unsicher zu markieren. Leider haben Phishing-Sites in letzter Zeit die Praxis übernommen, ein Zertifikat zu erhalten, um die echten nachzuahmen.

Wenn Sie sich also über öffentliches WLAN bei einem Dienst anmelden möchten, würde ich Ihnen raten, sicherzustellen, dass die Website hundertmal original ist. In der Regel reicht es aus, seine Adresse über einen Whois-Dienst, zum Beispiel Reg.ru, laufen zu lassen. Das letzte Datum der Domain-Registrierung sollte Sie benachrichtigen - Phishing-Sites halten nicht lange.

Melden Sie sich nicht von den Geräten anderer Personen bei Ihren Konten an

Ich gehe hinein, aber ich richte eine zweistufige Authentifizierung für soziale Netzwerke, E-Mails, persönliche Konten und die Website des Staatsdienstes ein. Dies ist auch eine unvollkommene Schutzmethode, so dass beispielsweise Google damit begann, Hardware-Token zu verwenden, um die Identität des Benutzers zu überprüfen. Aber für "einfache Sterbliche" reicht es vorerst aus, dass Ihr Konto einen Code von SMS oder von Google Authentificator anfordert (in dieser Anwendung wird jede Minute ein neuer Code auf dem Gerät selbst generiert).

Trotzdem gebe ich eine kleine Paranoia zu: Ich überprüfe regelmäßig meinen Browserverlauf, falls jemand anderes meine E-Mails eingegeben hat. Und wenn ich mich von den Geräten anderer Leute in meine Konten einlogge, vergesse ich natürlich nicht, am Ende der Arbeit auf „Alle Sitzungen beenden“zu klicken.

Keine Banking-Apps installieren

Es ist sicherer, die Mobile-Banking-Anwendung zu verwenden als das Online-Banking in der Desktop-Version. Auch wenn es sicherheitstechnisch ideal ausgelegt ist, bleibt die Frage bei den Schwachstellen des Browsers selbst (und davon gibt es viele) sowie den Schwachstellen des Betriebssystems. Schädliche Software, die Daten stiehlt, kann direkt in sie eingeschleust werden. Auch wenn Online-Banking ansonsten absolut sicher ist, bleiben diese Risiken also mehr als real.

Was die Bankanwendung betrifft, so liegt deren Sicherheit ausschließlich auf dem Gewissen der Bank. Jeder von ihnen durchläuft eine gründliche Analyse der Sicherheit des Codes, oft werden externe Experten miteinbezogen. Die Bank kann den Zugriff auf die Anwendung sperren, wenn Sie die SIM-Karte gewechselt oder sogar einfach in einen anderen Steckplatz Ihres Smartphones verschoben haben.

Einige der sichersten Anwendungen starten erst, wenn die Sicherheitsanforderungen erfüllt sind, beispielsweise ist das Telefon nicht passwortgeschützt. Wenn Sie also, wie ich, nicht grundsätzlich bereit sind, auf Online-Zahlungen zu verzichten, nutzen Sie lieber eine Anwendung als das Desktop-Online-Banking.

Dies bedeutet natürlich nicht, dass Anwendungen zu 100 % sicher sind. Auch die besten weisen Schwachstellen auf, daher sind regelmäßige Updates notwendig. Wenn Sie der Meinung sind, dass dies nicht ausreicht, lesen Sie Fachpublikationen (Xaker.ru, Anti-malware.ru, Securitylab.ru): Sie schreiben dort, wenn Ihre Bank nicht sicher genug ist.

Verwenden Sie eine separate Karte für Online-Einkäufe

Ich persönlich halte das für unnötige Probleme. Ich hatte ein separates Konto, um bei Bedarf Geld auf die Karte zu überweisen und Einkäufe im Internet zu bezahlen. Aber auch dies habe ich abgelehnt - es schadet dem Komfort.

Es ist schneller und billiger, eine virtuelle Bankkarte zu bekommen. Wenn Sie damit online einkaufen, leuchten die Daten der Hauptkarte im Internet nicht auf. Wenn Sie der Meinung sind, dass dies nicht für volles Vertrauen ausreicht, schließen Sie eine Versicherung ab. Dieser Service wird von führenden Banken angeboten. Im Durchschnitt deckt die Kartenversicherung bei Kosten von 1.000 Rubel pro Jahr Schäden von 100.000.

Verwenden Sie keine intelligenten Geräte

Das Internet der Dinge ist riesig, und es birgt noch mehr Bedrohungen als im traditionellen. Intelligente Geräte bergen wirklich enorme Möglichkeiten zum Hacken.

In Großbritannien haben sich Hacker mit VIP-Kundendaten über einen intelligenten Thermostat in ein lokales Casino-Netzwerk gehackt! Wenn sich das Casino als so unsicher herausstellte, was soll man über eine normale Person sagen? Aber ich benutze Smart Devices und klebe keine Kameras darauf. Wenn der Fernseher und Informationen über mich zusammenführen - zum Teufel damit. Etwas harmlos wird es auf jeden Fall, denn ich speichere alles Kritische auf einer verschlüsselten Platte und bewahre es im Regal auf – ohne Zugang zum Internet.

Schalten Sie Ihr Telefon im Ausland aus, wenn Sie abgehört werden

Im Ausland verwenden wir am häufigsten Messenger, die Text- und Audionachrichten perfekt verschlüsseln. Wenn der Verkehr abgefangen wird, enthält er nur unlesbares "Durcheinander".

Auch Mobilfunkanbieter verwenden eine Verschlüsselung, das Problem besteht jedoch darin, dass sie diese ohne Wissen des Teilnehmers deaktivieren können. Zum Beispiel auf Wunsch der Sonderdienste: Dies war beim Terroranschlag auf Dubrowka der Fall, damit die Sonderdienste die Verhandlungen der Terroristen schnell anhören konnten.

Zudem werden die Verhandlungen von speziellen Komplexen abgefangen. Der Preis für sie beginnt bei 10 Tausend Dollar. Sie stehen nicht zum Verkauf, stehen aber den Sonderdiensten zur Verfügung. Wenn es also darum geht, Ihnen zuzuhören, werden sie Ihnen zuhören. Hast du Angst? Dann schalte dein Handy überall aus, auch in Russland.

Es macht irgendwie Sinn

Passwort jede Woche ändern

Tatsächlich reicht einmal im Monat, vorausgesetzt, die Passwörter sind lang, komplex und für jeden Dienst getrennt. Befolgen Sie am besten die Ratschläge der Banken, da diese mit zunehmender Rechenleistung die Passwortanforderungen ändern. Jetzt wird ein schwacher Kryptoalgorithmus in einem Monat mit Brute-Force aussortiert, daher die Anforderung nach der Häufigkeit von Passwortänderungen.

Ich werde jedoch eine Reservierung vornehmen. Paradoxerweise birgt die Pflicht, Passwörter einmal im Monat zu ändern, eine Bedrohung: Das menschliche Gehirn ist so konstruiert, dass es, wenn es ständig neue Codes im Kopf behalten muss, anfängt herauszukommen. Wie Cyber-Experten herausgefunden haben, wird jedes neue Benutzerpasswort in dieser Situation schwächer als das vorherige.

Die Lösung besteht darin, komplexe Passwörter zu verwenden, sie einmal im Monat zu ändern, aber eine spezielle Anwendung zur Speicherung zu verwenden. Und der Eingang dazu muss sorgfältig geschützt werden: In meinem Fall ist es eine Chiffre mit 18 Zeichen. Ja, Anwendungen haben die Sünde, Schwachstellen zu enthalten (siehe Abschnitt über Anwendungen unten). Sie müssen das Beste auswählen und die Nachrichten über seine Zuverlässigkeit verfolgen. Ich sehe keinen sichereren Weg, Dutzende von starken Passwörtern in meinem Kopf zu behalten.

Keine Cloud-Dienste verwenden

Die Geschichte der Indexierung von Google Docs in der Yandex-Suche hat gezeigt, wie sehr sich Benutzer hinsichtlich der Zuverlässigkeit dieser Methode zum Speichern von Informationen irren. Ich persönlich nutze die Cloud-Server des Unternehmens zum Teilen, weil ich weiß, wie sicher sie sind. Dies bedeutet nicht, dass kostenlose Public Clouds ein absolutes Übel sind. Machen Sie sich kurz vor dem Hochladen eines Dokuments auf Google Drive die Mühe, es zu verschlüsseln und ein Passwort für den Zugriff einzugeben.

Notwendige Maßnahmen

Hinterlassen Sie Ihre Telefonnummer niemandem und überall

Dies ist jedoch keine zusätzliche Vorsichtsmaßnahme. Wenn ein Angreifer die Telefonnummer und den vollständigen Namen kennt, kann er eine Kopie einer SIM-Karte für etwa 10.000 Rubel erstellen. Neuerdings ist ein solcher Dienst nicht nur im Darknet erhältlich. Oder noch einfacher - die Telefonnummer einer anderen Person mit einer gefälschten Vollmacht im Büro eines Telekommunikationsanbieters erneut bei sich selbst zu registrieren. Dann kann die Nummer verwendet werden, um auf alle Dienste des Opfers zuzugreifen, bei denen eine Zwei-Faktor-Authentifizierung erforderlich ist.

Auf diese Weise stehlen Cyberkriminelle Instagram- und Facebook-Konten (um beispielsweise Spam von ihnen zu versenden oder für Social Engineering zu verwenden), erhalten Zugang zu Bankanwendungen und bereinigen Konten. Vor kurzem berichteten die Medien, dass einem Moskauer Geschäftsmann mit diesem Schema an einem Tag 26 Millionen Rubel gestohlen wurden.

Seien Sie vorsichtig, wenn Ihre SIM-Karte ohne ersichtlichen Grund nicht mehr funktioniert. Gehen Sie besser auf Nummer sicher und sperren Sie Ihre Bankkarte, dies wird eine berechtigte Paranoia sein. Wenden Sie sich danach an das Büro des Betreibers, um herauszufinden, was passiert ist.

Ich habe zwei SIM-Karten. Dienste und Bankanwendungen sind an eine Nummer gebunden, die ich mit niemandem teile. Ich verwende eine andere SIM-Karte für die Kommunikation und den Haushalt. Ich hinterlasse diese Telefonnummer, um mich für ein Webinar anzumelden oder eine Rabattkarte im Geschäft zu erhalten. Beide Karten sind durch eine PIN geschützt - dies ist eine rudimentäre, aber übersehene Sicherheitsmaßnahme.

Laden Sie nicht alles auf Ihr Telefon herunter

Eine eiserne Regel. Es ist unmöglich, mit Sicherheit zu wissen, wie der Anwendungsentwickler Benutzerdaten verwendet und schützt. Wenn jedoch bekannt wird, wie die Entwickler von Anwendungen sie verwenden, wird es oft zu einem Skandal.

Zu den jüngsten Fällen gehört die Polar Flow-Geschichte, in der Sie den Aufenthaltsort von Geheimdienstmitarbeitern auf der ganzen Welt herausfinden können. Oder ein früheres Beispiel mit Unroll.me, das Nutzer vor Spam-Abonnements schützen sollte, gleichzeitig aber die empfangenen Daten zur Seite verkaufte.

Anwendungen wollen oft zu viel wissen. Ein Lehrbuchbeispiel ist die Flashlight-Anwendung, die nur eine Glühbirne braucht, um zu funktionieren, aber alles über den Benutzer wissen will, bis hin zur Kontaktliste, zur Fotogalerie und wo sich der Benutzer befindet.

Andere verlangen sogar noch mehr. UC Browser sendet IMEI, Android-ID, MAC-Adresse des Geräts und einige andere Benutzerdaten an den Server von Umeng, der Informationen für den Alibaba-Marktplatz sammelt. Wie meine Kollegen würde ich einen solchen Antrag am liebsten ablehnen.

Selbst professionelle paranoide Menschen gehen Risiken ein, aber sie sind sich bewusst. Um nicht vor jedem Schatten Angst zu haben, entscheide, was in deinem Leben öffentlich und was privat ist. Bauen Sie Mauern um persönliche Informationen und verfallen Sie nicht in Fanatismus bezüglich der Sicherheit öffentlicher Informationen. Wenn Sie dann eines Tages diese öffentlichen Informationen öffentlich finden, werden Sie nicht qualvoll verletzt.