#42 – Tag der Computersicherheit

Hallo und herzlich willkommen zu Folge 42 unseres hagel IT-Podcasts. Wir sind heute wieder zu zweit. Moin Dennis. Hallo Philip. Heute, ja. Ja genau, es ist ein besonderer Tag heute, an dem wir diese Folge veröffentlichen, der ja für uns eine große Rolle spielt.

Ja, heute ist der 30.11.2022, seines Zeichens Tag der Computersicherheit.

Ja, genau. Wieder einmal.

Genau, alljährlich Tag der Computersicherheit. Wir haben uns überlegt, wie kann man diesen Tag gebührend feiern, hätte ich fast gesagt.

Ja, so muss man ja noch vorwegnehmen. Also es gibt ja viele dieser Tag der irgendwas. Jogginghose. Jogginghose. Aber der Tag der Computersicherheit, ja, den gibt es schon seit 1988. Ja. Ne? So. Streber. Also das wollte ich nochmal ganz kurz. Das ist lange. Schon sehr lange, ja.

Das ist sehr lange, ja. Und zu diesem Anlass hat jeder von uns einmal seine Top 5 Sicherheitsmerkmale, Sicherheitsthemen im weitesten Sinne zur IT zusammengefasst, die wir chronologisch absteigend vortragen werden.

Ja. Genau, also die fünf großen Themen, die fünf großen Fragen zum Tag der Computersicherheit, die wir uns gegenseitig stellen quasi. Ja. Möchtest du anfangen?

Willst du starten oder soll ich?

Ja, wenn du so fragst. Wenn du so fragst, ich fange an. Gut. Die erste Frage ist natürlich, verwendest du einen Passwortmanager? Selbstverständlich ja.

Sowohl privat als auch für die Firma in unterschiedlichen Tresoren.

Und natürlich zwei getrennte, ne? Ja. Genau.

Also nicht zwei getrennte Passwortmanager, zwei getrennte Tresore.

Was ja genüge tut, die Anforderungen, ja. Okay, sehr gut. Ja, ich auch. Selbstverständlich. Ja. Hast du einen heißen Tipp?

Die nehmen sich ja im weitesten Sinne nicht viel und das ist am Ende, glaube ich, so ein bisschen Geschmackssache.

Genau, sagen wir mal, auf Passwortmanager gibt es viele und die sind alle mit ähnlichem Funktionsumfang und erfüllen alle in der Regel ihren Zweck, ja. Genau.

Übrigens dazu noch eine Anmerkung. Ich kann es wirklich jedem empfehlen, wenn man es so hinbekommen hat, dass man den gleichen Passwortmanager mit dem gleichen Tresor auf allen seinen Geräten zur Verfügung gestellt kriegt, dann durchaus auch einfach den Passwortgenerator gerne mitbenutzen.

Ja, auf jeden Fall. Passwortgenerator, dann hat man auch nicht die Schwierigkeit, dass man sich da regelmäßig irgendwie komplexe Passwörter ausdenken muss. Das erleichtert die Bedienung dann ungemein, ja.

Was gerade eine sehr gute Überleitung, ehrlicherweise, zu meinem Platz 5 ist, beziehungsweise zu meiner Frage. Wann hast du denn deine Passwörter das letzte Mal geändert? Das ist natürlich ein bisschen unglücklich jetzt, dass das so an den Passwortmanager rangeht, aber ich glaube, das ist für alle, die vielleicht keinen benutzen, dann eine entscheidende Frage.

Das stimmt. Also tatsächlich gibt es durchaus Passwortmanager, auch die das automatische oder halbautomatische Ändern der Passwörter unterstützen. Und ja, von daher tue ich das tatsächlich ab und an. Aber man muss ehrlich sagen, dank generierter, sehr langer Passwörter bin ich da ein wenig träge geworden. Ja, kenne ich. Ja.

Sind wir nicht die besten Beispiele?

Ja, aber ich denke, dadurch, dass wir sagen, komm, wir haben hier sehr lange random generierte Passwörter, kann man das ein wenig, ja, aber sollte man vielleicht nicht unbedingt verhindern. Also da sollten wir vielleicht nochmal ran, aber es ist ein guter Tag heute dafür, sich das mal vorzunehmen. Ich glaube, da werde ich mich heute Abend mal ransetzen, so ein paar Passwörter mal zu ändern, ja. Ja, mein Punkt vier, Frage an dich. Verwendest du einen aktuellen Virenscanner?

Ja, der aktualisiert sich von selbst. Also das wird hier über diverse Richtlinien firmenseitig geregelt. Der ist up to date. Ich muss mich um nichts kümmern.

Sehr gut, ja. Das ist die entspannendste Situation überhaupt. Auf meinem Arbeitsrechner ist das ähnlich. Auf meinem privaten Rechner muss ich mich da selber drum kümmern. Da übernimmt das niemand für mich.

Schade eigentlich, oder?

Ja, schade, genau. Manchmal will man sich das so wünschen.

Ja, mein Platz vier sozusagen. Hast du eine verschlüsselte Festplatte?

Ja, tatsächlich. Also auf meinem Arbeitsrechner gilt quasi die Antwort vom vorigen Punkt, da kümmert sich jemand drum. Aber ja, die ist verschlüsselt. Und auf meinen Privatgeräten tatsächlich auch. Ja. Also alle Laptops und PCs, die hier im Haushalt unterwegs sind oder auch außerhalb des Haushalts, haben eine Festplattenverschlüsselung, ja.

Ja, da bist du deutlich vorbildlicher unterwegs als ich. Auf dem Arbeitsgerät gilt das Gleiche wie für den letzten Punkt. Aber privat sind meine Rechner ehrlicherweise, also die Festplatten nicht verschlüsselt.

Tja, da hast du heute noch was vor, glaube ich.

Ja, vielleicht.

Vielleicht sprechen wir uns nächstes Jahr wieder. Genau.

Nächstes Jahr 30 ist ja öfter. Ja. Ist Überprüfung. Genau.

Dann Platz drei. Ja. Mein Platz drei, ja, der geht so ein bisschen an alle, die irgendwie in Verantwortung für IT stehen, aber so ein bisschen auch an einen selber, vielleicht im kleineren Stil. Und zwar, wann hast du zuletzt deinen IT-Notfallplan geprüft? Für einen selber privat? Ja, ich würde sagen, naja, gut, IT-Notfallplan, sag mal, das hält sich in Grenzen. Was soll da draufstehen? Ja. Aber für Firmen ja durchaus ein sehr relevanter Punkt.

Ja, es ist ein relevanter Punkt. Ich würde sagen, kalt erwischt, das ist schon ein bisschen was her.

Ja, also genau. Also privat hat man da sicherlich auch jetzt nicht unbedingt einen vollkommen ausgefeilten IT-Notfallplan zur Hand. Aber genau, spätestens dann, wenn man Verantwortung für die IT-Notfallplan hat. Ja, genau.

Meine Antwort hier bitte nicht allzu ernst nehmen, gerne immer mal wieder draufschauen, was muss ich eigentlich machen, wenn hier was nicht funktioniert. Genau, richtig.

Dein Punkt drei.

Ja, ist gar nicht so sehr eine Frage, ehrlicherweise, sondern so ein Appell an auch alle ZuhörerInnen da draußen. Wenn es noch so ist, dass man nicht sowieso nur in der Cloud oder auf Terminal-Servern oder in Azure Virtual Desktop oder in Windows, 365 PCs arbeitet, gerne immer mal zwischendurch vergewissern, dass ich keinerlei Dateien, die ich gerade bearbeite, fertig bearbeite und am Ende lokal auf meinem Rechner speichere. Ja. Dass sie eben im Zweifel weg sein können. Und vor allem, gerade wenn ich in Teams, also in Gruppen arbeite, im Zweifel eigentlich niemand sieht, dass ich was verändert habe.

Ja, ja, kennt man, ne? Also Datei irgendwie runtergeladen, lokal bearbeitet. Und dann irgendwie stellt man fest, oh, jetzt hat aber jemand an dem Exemplar, was auf dem Datei-Server liegt, weitergearbeitet. Und dann geht es nämlich los, wenn das nicht nur ein kleines Word-Dokument ist, sondern irgendwie eine größere Excel-Tabelle oder ähnliches, dann tut man sich gerne mal richtig, richtig schwer damit, da rauszufinden, wer hat jetzt wann welche Änderungen gemacht und das dann zusammenzuführen. Das nimmt gerne mehr Arbeit in Anspruch als alle Arbeit vorher, die man getan hat. Deswegen, ja, richtig guter Hinweis auf jeden Fall.

Ja, also und gerade deshalb. Also so Dinge, Möglichkeiten wie gemeinsames Arbeiten an Dokumenten eben in der Cloud, im Sharepoint, wo auch immer, nutzen.

Ja, ja. Ja, ist ja heute einfacher denn je. Genau. Also die Möglichkeiten, die man jetzt heute damit hat, du hast ja schon viele aufgezählt davon, die gab es bis vor ein paar Jahren ja gar nicht wirklich. Und von daher ist es ja wirklich heute wirklich gut und einfach umzusetzen. Und da kann eigentlich jeder was mit anfangen, glaube ich. Ja, auf jeden Fall. Ja.

Platz zwei schon.

Platz zwei, genau. Wird lange noch spannend. Ist eigentlich die ganze Zeit spannend, hoffe ich, aber. Beim Platz zwei ist die Frage auch wieder an alle IT-Verantwortlichen, alle Geschäftsführer. Und zwar, wann wurden die Mitarbeiter zuletzt zum Thema IT-Sicherheit, zum Thema Phishing geschult? Wann hat da zuletzt mal eine Schulungsmaßnahme stattgefunden? Um? Ja, um ja, Awareness zu schaffen für die Risiken, die einhergehen, wenn man einen PC mit Internetzugang verwendet. Ja.

Die Frage so direkt zu beantworten, ist jetzt auch wieder berufsbedingt ein bisschen schwierig, weil das für uns natürlich tagtäglich in irgendeiner Art und Weise Thema ist, sodass wir ja automatisch eigentlich uns schulen und da immer auf einem aktuellen Stand sind. Ja, vor allem.

Bekommen wir auch immer die Fälle mit, in denen es nicht so gut gelaufen ist. Genau.

Und die Auswertung diverser Trainings, die bei unseren Kunden da durchgeführt werden. Und genau diese Ergebnisse untermauern eigentlich, dass man nicht oft genug sagen kann, dass man in der Richtung auf jeden Fall seine Mitarbeiter immer up-to-date halten sollte, immer schulen sollte, sensibilisieren sollte, damit man sich da nicht im Zweifel irgendwas einfängt, dass man teuer bezahlen und auf jeden Fall bereuen muss. Genau.

Einfangen ist wie immer leichter, als es wieder loswerden. Ja. Was hast du auf Punkt 2?

Mein Platz 2. Aktuelles Betriebssystem und aktuelle Softwareversion. Also der Software, mit der man tagtäglich so hantiert. Klassisches Patch-Management. Ja. Frage in deiner Richtung ist natürlich ein bisschen schwierig. Oder wir uns da um nichts kümmern müssen. Genau, richtig. Ja.

Aber tatsächlich alles aktuell. Also auch betriebssystemseitig alles auf dem aktuellen Stand. Und ja, privat ist das aber tatsächlich ein Thema. Ja, voll. Wir haben ja hier im Haushalt auch mehrere Laptops. Und da ist also die alle im Blick zu behalten und da immer zu gucken, dass da auch wirklich alles aktuell drauf ist, wird schon manchmal vernachlässigt.

Ja, da muss man hinterher sein. Da muss man hinterher sein. Da muss man im Prinzip Termin machen. So.

Eigentlich müsste man sich Termin machen, regelmäßig darauf zu schauen. Und zwar nicht einmal im halben Jahr und auch nicht einmal im Quartal, sondern also eigentlich schon bestenfalls mindestens einmal die Woche. Und das ist manchmal schon zu wenig. Aber das wäre so der kleinste mögliche Intervall, glaube ich, den man irgendwie realistisch überhaupt schaffen könnte.

Wir sind schon beim Platz 1.

Wir sind beim Platz 1, genau. Und der Platz 1, also ja, bei mir war ganz klar auf Platz 1 die Kernfrage. Ja, eigentlich alles, was irgendwie um Computersicherheit steht. Und zwar die Frage, hast du ein aktuelles Backup?

Ich bin ja in der glücklichen Lage, dass wir, da haben wir es wieder berufsbedingt oder jobbedingt, ja schon sehr stark cloudlastig sind. Also nahezu alles in der Cloud abgelegt ist. Und Branchesoffer, mit der wir arbeiten, auf dem Terminal-Server von der Firma bereitgestellt wird. Um Backups wird sich gekümmert. Genau. Und ehrlicherweise, jetzt ist es ja so, der Client, den ich hier benutze, am Ende des Tunnels sozusagen, da ist eigentlich nichts drauf, was sicherungswürdig ist im weitesten Sinne. Denn so ein Client ist ja, da hatten wir auch schon ein paar Mal drüber gesprochen, ratzfatz wiederhergestellt. Austauschbar, ne?

Ja, einfach austauschbar. Das ist ja auch der Sinn der ganzen Geschichte.

Also da reicht es ja, wenn meine Zugänge gesperrt werden. Dann kann mit diesem Notebook de facto niemand was anfangen.

So ist es, genau. Zugangslich zur Festplattenverschlüsselung kommt ja auch keiner an die Daten ran, die doch drauf sind. Und, ne, genau. Es ist ähnlich bei mir. Alles Berufliche wird gesichert. Auf meinem Gerät selber ist nichts vorhanden, was irgendwie nicht mit wenigen Mausklicks ersetzbar wäre. Und von daher, wenn da irgendwie was kaputt geht oder ähnliches, dann tut es ein neues Endgerät. Und dann kann ich weiterarbeiten. Sehr schön.

Ganz, ganz, ganz objektiv und nüchtern betrachtet müsste mein Platz 1 eigentlich auch das Backup sein. Aber zweimal der gleiche Platz 1 wäre ein bisschen langweilig, meines Erachtens. Deshalb die Frage oder meine Anmerkung. Überall da, wo es technisch einfach umsetzbar ist, würde ich alle bitten, eine Multifaktor-Authentifizierung. Zu nutzen, einzurichten. Denn es ist wirklich mittlerweile sehr, sehr einfach. Man braucht die klassische Authentificator-App auf dem Handy. Scannen QR-Code für den Dienst, bei dem man es nutzen möchte.

Und das war es im weitesten Sinne.

Also ich glaube, dass es viele im Firmenumfeld schon haben, weil es vorgegeben ist. Beispielsweise bei der Verbindung über VPN ins Büro etc. Gerne auch überall im privaten Bereich. Sei es der Amazon Shopping Account. PayPal. Und wie sie alle heißen. Gerne mit Multifaktor absichern.

Ja, guter Punkt. Auf jeden Fall finde ich auch einen super ersten Punkt eigentlich. Habe ich selber auch bei unfassbar vielen Diensten inzwischen. Weit über 20 Stück. Ich glaube fast 30 Dienste, wo ich Multifaktor-Authentifizierung verwende. Und es hat sich einfach wirklich, es hat sich einfach auch so als völlig normal inzwischen. Ich nehme es nicht mehr als störend wahr. Das wollte ich eigentlich sagen. Ich nehme es nicht mehr als störend wahr. Ich habe nicht mehr das Gefühl, dass mich das irgendwie aufhält. Und es bietet einfach dann, da kommen wir so ein bisschen zum Punkt 5, Passwort wieder zurück. Ja, Passwort ändern ist dann zwar immer noch wichtig, aber es verliert so ein bisschen an Wichtigkeit und Relevanz, weil es braucht eh immer noch einen weiteren Faktor. Exakt. Ich wünsche allen ZuhörerInnen einen wunderbar sicheren Tag der Computersicherheit. Genau. Einen.

Alles Liebe zum Tag der Computersicherheit.

Danke fürs Zuhören.

Nächste Woche gibt es wieder 5 Minuten IT. Genau. Und in zwei Wochen sind wir bald wieder.

Wieder eine volle Folge HitCast. Bis dann. Tschüss.