SKYTALE IT-Security Training Week 2021 – Tag 1: Analyse & Datenhygiene
Im Rahmen unserer IT-Security Training Week beschäftigen wir uns am ersten Tag mit der Analyse Ihrer aktuellen Situation rund um die IT-Sicherheit sowie der sogenannten Datenhygiene. Verschaffen wir uns also zunächst einen Überblick.
Aufgabe 1 - Bestandsaufnahme
Versuchen Sie einmal, spontan folgende Fragen zu beantworten:
- Wie viele Passwörter nutzen Sie überhaupt?
- Wo haben Sie überall Benutzerkonten?
- Welche dieser Benutzerkonten haben Sie aktuell noch im Einsatz, welche haben schon seit mindestens einem Jahr nicht mehr genutzt?
Wenn Sie sich 5 Minuten Zeit nehmen, um diese Fragen ernsthaft zu beantworten und die Antworten zu Papier zu bringen, werden Sie sehen, dass das mitunter gar nicht so einfach ist. Wahrscheinlich reichen am Ende die 5 Minuten noch nicht einmal, um die Fragen abschließend zu beantworten.
Datenlecks
Sicher haben Sie schon häufiger von Datenlecks, Breaches, Leaks usw. gehört. Unter dem Strich bedeuten diese, dass bei einem Unternehmen, Online-Shop oder sonstigem Portal eingebrochen wurde und die Daten "abhanden gekommen" sind.
Ein Dritter hat dann eine unter Umständen vollständige Kopie Ihrer Daten - zumindest wenn Sie bei dem Opfer ein Benutzerkonto hatten. Jetzt kann man auf zwei Arten damit umgehen:
- nachsehen, ob Sie schon betroffen sind
- präventiv handeln und nur noch die benötigten Benutzerkonten behalten. Man spricht hier auch von "die Angriffsfläche reduzieren"
Aufgabe 2 - Schaden ermitteln
Also - frisch ans Werk und nachgesehen, ob Sie schon einem Datendiebstahl zum Opfer gefallen sind.
Es gibt dafür spezialisierte Seiten wie https://haveibeenpwned.com/ . Der Begriff "pwned" stammt aus dem Bereich der Online-Games und bedeutet so viel wie "dominiert" oder einfach "platt gemacht". Entstanden ist dieses Wort sehr wahrscheinlich aus einem Tippfehler des Wortes "owned".
Finden Sie heraus, ob Sie schon "pwned" sind. Auf der Seite https://haveibeenpwned.com/ geben Sie Ihre Email-Adresse(n) ein und lesen unter "Breaches you were pwned in", ob diese EMail-Adresse schon in einem Datenleck aufgetaucht ist.
Und nun? Falls ja, ändern Sie sofort das Passwort, das Sie für diesen Account verwendet haben (falls nicht schon geschehen).
Aufgabe 3 - aufräumen
Das ist schneller gesagt als getan: gehen Sie los und löschen alle Benutzerkonten bei Online-Shops, Portalen usw., die Sie nicht mehr brauchen. Alles, was nicht mehr gespeichert ist, kann auch (höchstwahrscheinlich) keinem Datendiebstahl mehr zum Opfer fallen.
Wenn Sie Konten haben, die Sie zwar hin und wieder brauchen, aber nicht zwingend Ihre echte Email-Adresse nutzen wollen, stellen Sie das Benutzerkonto auf eine Wegwerf-Adresse ("disposable email address" = DEA) um. Gehen Sie zu einem Anbieter wie https://temp-mail.org/ und erzeugen Sie eine Adresse, die nur wenige Minuten gültig ist - das reicht gerade für eine Registrierung (aber beachten Sie bitte, dass dies nicht bei allen Portalen und Shops erlaubt ist, das finden Sie evtl. in den AGBs).
Aufgabe 4 - priorisieren
Welche Ihrer Passwörter sind kritisch?
Einige Passwörter sind wichtiger als andere. Klar, dazu fällt Ihnen sicher sofort etwas wie Online-Banking, (Krypto-)Börsen und alles, was mit Geld zu tun hat, ein.
Aber haben Sie einmal an Ihr Email-Konto gedacht? In den meisten Fällen können Sie sich, wenn Sie irgendwo ein Passwort vergessen haben, über einen Mechanismus ein neues Passwort oder einen Link zum zurücksetzen an Ihre Email-Adresse senden lassen. Sprich: wer Zugriff auf Ihr Email-Konto hat, hat auch sehr schnell Zugriff auf Ihre übrigen Online-Konten.
Überlegen Sie also, welche Ihrer Passwörter aus welchen Gründen kritisch und damit besonder schützenswert sind. An Tag 3 der IT-Security Woche gehen wir hier noch einmal tiefer darauf ein.
Lesen Sie dazu auch den Artikel "Meine Identität gehört mir - oder nicht?" unter https://www.it-daily.net/it-sicherheit/cloud-security/13968-meine-identitaet-gehoert-mir-oder-nicht
Fazit
Das soll es für heute einmal gewesen sein. Wenn Sie die einzelnen Punkte teilweise oder auch ganz durchgearbeitet haben, haben Sie schon viel erreicht und Ihre Welt ein Stück weit sicherer gemacht.
Morgen geht es weiter - also bis morgen! 🙂
Aktuelle Beiträge
Und schließlich wartet auch noch ein spezielles Angebot
Interessenten und -Kunden, die zwischen dem 26. April und dem 14. Mai ein vollständiges Security Awareness Training für ihre Mitarbeiter buchen, erhalten die Passwort-Lerneinheit kostenlos.
Machen Sie sich und Ihre Mitarbeiter #itsecurityfit !
#skytaleacademy
#itsicherheit
#bleibensiesicher
#itsecurityweek
#itsecurityfit