Security Checklist

Der heise Verlag hat eine interessante Security Checkliste veröffentlicht:

http://www.heise.de/ct/ausgabe/2016-1-Praxis-Sicherheits-Checkliste-3048056.html

Hier ist meine kurzfassung der (für mich) wichtigsten Punkte.

iPhone & iPad

  • Code Sperre verwenden
  • beim Einsatz der TouchID den Code gut aufbewahren, bei Verlust geht nichts mehr; der Code wird nach Reboot benötigt
  • die Funktion “Mein iPhone suchen” verwenden, damit ist auch ein remote Wipe möglich
  • AppleID absichern mit gutem Passwort und zwei-Faktor Authentifizierung; wer an die Apple ID ran kommt hat Zugriff auf die remote-wipe Funktionen und alle Daten in der iCloud
  • Wer lokale Backups mit iTunes macht soll diese verschlüsseln. Das hat zwei Vorteile: Daten sind geschützt und es werden auch WLAN Passwörter und andere sensitive Daten mitgesichert, die sonst verloren gehen würden
  • Datenschutz Einstellungen prüfen; es lohnt sich immer wieder gewissen Apps die Berechtigung auf nicht benötigte Funktionen zu entziehen
  • Jailbreak vermeiden, das erhöht die Angriffsfläche und setzt die eingebauten Sicherheitsmechanismen ausser Kraft.

Windows

  • Windows Updates installieren, möglichst immer sofort und automatisch
  • Software aktualisieren (Java, Flash etc.), dazu gibts Tools wie Secuina Personal Inspector, FileHippo App Manager oder das Chocolatey Framework für die installation und aktualisierung von Softwarepaketen. Letzteres ist eher für fortgeschrittene Benutzer.
  • Datenschutz verbessern, das geht am einfachsten mit der kostenlosen App O&O ShutUp 10 ; meine Einstellungen habe ich hier veröffentlicht.
  • Virenschutz prüfen; Windows hat auch einen OnBoard, der aber nicht so oft unter den besten landet aber immerhin. Cool: mit einem Registry Hack kann Windows Defender auch Adware erkennen. Hier ist der RegKey.
  • Windows Firewall aktiviert lassen, vor allem auf Notebooks: beim verbinden in öffentlichen Netzen blockiert die Firewall den Zugriff auf Freigaben und verhindert dass Neugierige sie sehen.

WLAN

  • Konfigurations-Passwort setzen (war ja wohl klar oder?)
  • WLAN individualisieren: cT empfiehlt nur WPA2 mit AES zu verwenden (auch bekannt als WPA2/CCMP)
  • fürs WLAN Passwort “genügen” 16 Zeichen, aber keien Umlaute und Sonderzeichen verwenden
  • unterdrücken der SSID und MAC Filter erhöhen die Sicherheit nicht sondern machen nur zusätzliche Arbeit
  • Gastnetze sollen auch mit WPA2 und Passwort geschützt werden
  • WPS abschalten und nicht verwenden, wird nach einrichtung nicht mehr benötigt
  • UPnP nützt nicht nur guten, sondern auch bösen Applikationen. Also: abschalten.

Router

  • Konfiguration-Passwort setzen 😉
  • am besten externe Kommunikation nur mit sicheren Protokollen erlauben (HTTPS, IMAPS, SMTPS, SFTP, SSH

Web Browser

  • Plugins ausmisten (brauchst du wirklich Java?)
  • Firefox stellt PDFs auch ohne Adobe Reader dar
  • Click-to-Play aktivieren:
    • Chrome: Einstellungen/Erweiterte Einstellungen/Datenschutz/Inhaltseinstellungen/Plug-in/Selbst auswählen
    • Firefox: im Addons-Manager (about:addons) unter Plugins, rechts die Einstellung “Immer aktivieren” auf “Nachfragen, ob aktiviert werden soll” ändern
    • IE: Einstellungen/Addons verwalten/Kontextmenü eines Plug-ins auf “WEitere Informationen” klicken, und “alle Sites entfernen” wählen (falls Option vorhanden); leider geht bei mir für Java und Flash nicht?!
  • Wer den Passwort Manager z.B. von FireFox benutzt, sollte ein Masterpasswort setzen damit die Passwörter verschlüsselt werden
    • Google kann Passwörter einsehen, das kann aber verhindert werden durch zusätzliche verschlüsselung: Auf der Einstellungsseite “chrome://settings/syncSetup” unter “Verschlüsselungsoptionen”
    • Firefox verschlüsselt lokal sodass Mozilla keinen Zugriff auf die Passwörter hat
  • Immer aktuelle Browserversion nutzen
  • Trackingschutz benutzen wie Ghostery (alle Browser), Privacy Badger (Chrome und FireFox); letzterer aktualisiert automatisch seine Sperrlisten
  • Firefox hat einen eingebauten TRackingschutz, jedoch nur im private Modus. Um diesen für alle Tabs zu verwenden: about:config aufrufen und “privacy.trackingprotection.enabled” auf “true” setzen
  • Erweiterung “HTTPS Everywhere” installieren, welche alle Webseiten automatisch mit HTTPS aufruft (nur Chrome und Firefox).

Facebook

  • Zugriffsschutz verstärken:
    • Passwort von Facebook nur für Facebook verwenden
    • Anmeldewarnungen in den Sicherheitseinstellungen aktivieren
    • Anmeldebestätigung aktivieren (zwei-Faktor Authentifizierung z.B. mit Facebook App auf Handy)
  • Notfall kontakte festlegen, diese können im Notfall beim Passwort zurücksetzen helfen
  • unter Privatsphäre und “Wer kann nach mir suchen” kann man sein eigenes profil vor Google verstecken
  • Datenauswertung reduzieren durch einsatz von Trackingschutz (siehe Empfehlungen Web Browser)
  • Nervige “Freunde” auf die liste “Eingeschränkte Liste” setzen, damit sehen solche nur noch als öffentlich markierte Posts

Google

  • Zwei-Faktor Authentifzierung verwenden (SMS oder Auth-App)
  • Wiederherstellung einrichten (Optionen für Wiederherstellung)
  • Persönliche Daten sperren unter aboutme.google.com
  • PRivatsphäre sichern: ganz unten auf der aboutme Seite befindet sich ein Privatsphären Check

Wohnzimmer

  • Geräte wie TV, die Internet nicht wirklich benötigen auch nicht mit Internet verbinden
  • Sprachsteuerung wenn nicht wirklich benötigt deaktivieren
  • wer Sprachsteuerung nutzt muss wissen dass die Daten über die Cloud ausgewertet und auch dauerhauft zur weiteren Auswertung gespeichert werden.
  • Entwickleroptionen ausschalten (FireTV, Android), reduziert die Gefahr Schadsoftware zu beziehen
  • Kinderschutz aktivieren, PIN setzen
  • Datenerfassung minimieren: FireTV sammels per Voreinstellung App Nutzungsdaten, lässt sich aber in den Einstellungen deaktivieren

NAS

  • sichere Passwörter setzen
  • Aufgabentrennung:
    • greift ein TV Gerät zu, erhält dieses einen eigenen Benutzeraccount und z.B. nur READ Berechtigung
    • ein Beuntzer für PC Backups braucht kein Zugriff auf Benutzerdaten
  • Nur nötige Funktionen aktivieren:
    • Wer NAS nur im internen Netz nutz kann sich zurücklehnen
    • wer es extern verfügbar macht muss wissen, dass es bei Sicherheitslücken oft Monate bis zum Firmware dauert; deshalb Dienste
    • keinesfalls Daten für “admin” oder “root” freigeben
    • nur benötigte Apps aktivieren
    • ungewöhntliche Ports verwenden (z.B. 16483 statt 443)
  • Emails und logging aktivieren
  • Volume verschlüsselung aktivieren damit defekte / gestohlene Festplatten keine lesbaren Daten enthalten

Kennwörter

  • immer anderen PAsswort verweden, vor allem bei online Diensten
  • Passwort Manager verwenden
  • Passwort System ausprobieren (Grundpasswort merken + etwas dazu pro Seite / Applikation)
  • Papier-Backup anlegen
  • zwei-Faktor Authentifizierung nutzen