Die E-Mail ist nicht mehr weg zu denken und das ist auch gut so, doch deine Mail-Adresse ist viel mehr als nur ein Postfach.
Mit deiner Adresse meldest du dich an diversen Diensten im Internet an oder füllst ein Kontaktformular aus.

Denn dein Postfach ist DER zentrale Hub, wenn es um deine Internetidentität geht.
Was ist alles mit deinem Mail Konto verknüpft?
Dein Instagram? Twitch? Online Banking? Ebay? Amazon?
Die Liste kann unendlich fortgesetzt werden.

Es geht somit um den Schutz eines Bestandteils deiner digitalen Identität.
Denn diese ist Ziel von diversen Angriffsszenarien.

Deshalb musst du Aliase verwenden

Auch wenn du deine E-Mail nicht „einfach so“ rausgibst, hast du ein Problem.

Denn dein Mailanbieter kann ein sogenanntes „Datenleck“ haben, wodurch meistens die Mail-Adressen von Millionen von Leuten abgezogen werden.

Bedeutet also, du könntest, ohne es zu wissen, bereits Ziel von solchen Angriffen sein.

Denn wenn jemand deine Mail-Adresse hat, kann er auch, ohne sich als du einzuloggen, deine Adresse überall bei Diensten anmelden und dich in Maillisten eintragen.

Was auch häufig passiert, meist werden solche Daten im Internet schlicht verkauft.

Bedeutet deine Mail-Adresse ist ein ideales Ziel für Hacking und Phishing Angriffen.

Damit ist gemeint, das jemand Zugang zu deinem Mail Konto erhalten könnte und alle deine Zugänge dadurch erfährt.

Auch kann dieser so deine Kennwörter zurücksetzen und dir Schaden.

Du siehst die Möglichkeiten sind also nahezu unendlich.

Ob du von einem Datenleck betroffen bist kannst du unteranderem über

https://haveibeenpwned.com/ ‚;–have i been pwned? feststellen,

So funktioniert der Alias

Alias kommt aus dem Lateinischen und wurde von seiner ursprünglichen Verwendung auf Namen umgemünzt kann man sagen.
In der heutigen Zeit heißt Alias soviel wie „oft auch…genannt“ was beim Thema Mail-Aliase sehr treffend ist.
Hier werden „weitere“ E-Mail Adressen erstellt, welche Mails genauso annehmen können wie deine „normale“ Mail-Adresse.
Dabei ist jedoch wichtig, dass diese E-Mail Aliase kein Postfach haben, sondern lediglich eine andere Adresse sind, über die man dich erreichen kann.

Stell es dir vor wie eine zweite Handynummer in deinem Dual SIM Handy.
Alternativ wie einen Nicknamen.
Du bist zwar erreichbar, doch die zweite Nummer ist nicht die Nummer für deine Notfälle.

Bedeutet mit einem Mail Alias kannst du dich weiterhin eintragen für deine Plattformen, Maillisten, Gewinnspiele etc. doch jetzt kommt der Cloue.
Wenn du keine Mails mehr von einem Anbieter haben möchtest oder das Gefühl hast das dein Mail Alias von einem Hack betroffen war, kannst du einfach den Alias abschalten oder sogar löschen.
Dich erreichen dann über diese Adresse keine Mails mehr.
Einfach so mit einem Klick erledigt-

Falls du mehrere Dienste über einen Alias laufen hast, kannst du dir einen neuen erstellen und diesen bei deinen Wunschdiensten eintragen.

Bedeutet du musst dann nicht deine E-Mailadresse ändern, sondern brauchst nur den Alias ändern.
Es ist vereinfacht gesagt ein „Dummy“ denn du rausgeben, und wenn der nicht mehr gut ist, einfach ersetzen kannst.

Aliase vs Wegwerfmailadressen

Ich höre schon die Stimmen:
Was ist mit Wegwerfmailanbietern.

Versteh mich nicht falsch, ich habe solche Dienste auch verwendet, doch man kommt relativ schnell vor einer Blockade.
Denn die öffentlichen Anbieter kommen mit der Zeit auf Blocklisten wodurch diese Anbieter nicht zu verlässlich funktionieren, wofür diese auch nichts können.
Hinzu kommt auch, dass du KEINE Kontrolle hast, da diese Adressen nur zeitlich begrenzt sind und danach gelöscht werden.
Auch sind das eigene Postfächer, welche NICHT an dein echtes Postfach weiterleiten können.

Je nachdem welchen Anbieter du wählst, kannst du von weiteren Features profitieren.
Ein davon sind „Reverse-Aliase“, dass bedeutet wenn du einen Alias verwendest um eine Mail zu erhalten kannst du genau mit diesem Alias auch auf Mails antworten.
Das geht mit „Wegwermailadressen“ nicht.

Anbieter

Fazit

Ich empfehle dir unbedingt E-Mail Aliase zu verwenden um deine digitale Identität zu schützen.
Dabei kannst du sowohl einen der oben genannten Anbieter verwenden oder Aliase auch auf deinem eigenen Mail Server definieren.

The Choise is yours

The post Digital Identity Protection: Email Security, Alias Strategies & More first appeared on Dominik's Blog.

Wie so oft „it depends“ und zwar, in welchem Kontext diese Frage gestellt wird.
Bei IT-Security für Unternehmen ist diese Frage sehr viel detaillierter zu beantworten, als wenn es um Privatpersonen geht.

Der Grund ist, dass Unternehmen, Behörden und ähnliche Organisationen auf viel mehr achten müssen, da hier die Struktur komplexer und somit miteinander verbunden ist.

Das bedeutet jedoch nicht, dass Privatpersonen dieses Thema nichts angeht, im Gegenteil:

Jeden geht IT-Security was an!

Denn gerade, weil wir das Internet jeden Tag nutzen und immer mehr Berufe IT-gestützt werden, muss sich jeder damit beschäftigen.
Der Vorteil hier: Jeder gewinnt…außer die Hacker 😉
Wieso ich das erwähne? Nun weil jeden Tag Menschen wie du und ich Opfer von solchen Angriffen werden und auch Unternehmen oder Social Media Stars dem Ganzen schon zum Opfer fallen.

Denn für Organisationen ist es von Vorteil, wenn die Mitarbeiter ein Verständnis oder Affinität für das Thema haben, während man sich als Privatperson auch im eigenen Umfeld vor Schäden schützen kann, wenn man die richtigen Maßnahmen ergreift.

Scope/Bereich

Bevor wir weitermachen, möchten ich dir mitteilen, um was es in diesem Beitrag gehen soll, damit keine falschen Erwartungen aufkommen.

Dieser Beitrag soll ein Einstieg für alle sein, das bedeutet, dass die Privatperson/en hier im Fokus stehen.

Dieser Blog hat die Intention sowohl IT-fachliche Themen zu beleuchten, Anregungen zu schaffen und gleichzeitig möchte ich auch die Menschen mitnehmen, die keine IT-ler sind, daher sind grade die ersten Beiträge auf diesem Blog nicht so tief im Detail um eine Grundlage für alle Leser zu schaffen.

Das bedeutet für diesen Beitrag, es werden die ersten Basics erläutert und auch die ersten Werkzeuge an die Hand gegeben, um hier besser aufgestellt zu sein.

Dieser Beitrag ist der Erste zum Thema „IT-Security für jeden“, da dies der Einsteigs Part sein soll und sich grade in diesem Feld regelmäßig etwas tut.

Eine Vertiefung der Thematik ist für zukünftige Beiträge geplant!

Wieso werden heute immer noch Menschen gehackt?

Definition des Begriffs Hacken

Um diese Frage zu klären, muss erstmal klar sein was Hacken überhaupt bedeutet.

Damit meine ich nicht die Übersetzung von Englisch ins Deutsche, sondern was mit diesem Begriff zusammen hängt?
Denn Hacken ist nicht nur in der EDV/IT relevant, im Gegenteil.
Um Wau Holland, einen Gründer des Chaos Computer Clubs zu zitieren:
„Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.“

Das bedeutet, wenn man versucht es in einfachen Worten zu formulieren, dass Hacken bedeutet eine Sache in Ihrer Funktion so zu verändern, dass diese zweckentfremdend andere/neue Funktionen übernehmen kann.

Somit ist es richtig, dass Hacken bzw. Hacking nicht nur mit Computertechnik zu tun hat, denn ursprünglich bedeutete der Begriff Hacker lediglich, einen Menschen der gerne an Objekten bastelte und dabei eigene kreative Wege findet.

Im Falle von IT-Sicherheit spricht man von der Manipulation von Menschen oder Computersystemen um unautorisierten Zugriff zu erhalten.

Die Absichten von Hackern

Hacker im EDV/IT Sinne wollen unterschiedliches erreichen, dabei kommt es immer darauf an, an wen man gerät.
Wichtig vorab zu wissen: Hacker können einzeln als Person agieren, können jedoch auch organisiert als Gruppe oder Vereinigung handeln.

Die Absicht der meisten Hacker

Es gibt Menschen da draußen, die sich an der Unwissenheit anderer Menschen bereichern wollen.
Solche Menschen verfolgen meist monitäre Ziele, bedeutet sie wollen Geld erbeuten.

Dabei ist es egal ob sie sich als „verschollener Enkel“ ausgeben müssen oder andere Mittel nutzen müssen, ihnen ist jedes Mittel recht.

Das ist wohl das, woran die Meisten denken, wenn es um Hacker geht.
Diese Art wird entweder einzeln oder in einer organisierten Gruppe agieren.

Spionage Hacker

Allerdings können Hacker auch andere Ziele verfolgen, wie die Spionage einer Person oder eines Unternehmens.

Dabei ist das Ziel, so viele Daten wie möglich über das „Opfer“ zu sammeln.

Das kann verschiedene Gründe haben wie z.B. Profiling oder um das „Opfer“ überzeugender manipulieren zu können.

Hierbei werden meist verstecktere Ansätze genutzt wie Social Engineering oder, dass einem eine Software aufgespielt wird, mit der eine nahtlose und unsichtbare Spionage möglich ist.

Es gibt natürlich noch mehr Methoden hierfür.

Diese Art trifft man eher im professionellen Umfeld an und bei Regierungen, wenn ein Straftäter von den Behörden verfolgt wird.

Beispiel eines Hacks (Phishing)

Das Beste Beispiel ist ein Phishing Angriff. Hier ist bewusst das Wort Angriff in Verwendung, den Phishing (Übersetzung Fischen wie ein Fischer) ist vom Konzept einfach erklärt und kann sowohl digital als auch physisch durchgeführt werden.

Beim Phsihing gibt sich jemand oder eine Gruppe als jemand anders aus und möchte die Zielperson zu einer unüberlegten Handlung bringen, meist durch ein emotionales Druckmittel, dass eine gewisse Dringlichkeit ausdrückt.
Dies kann via Telefon, direkt an der Tür oder auch per E–Mail sein.
Die „Phisher“ geben also einen Vorwand an und geben sich für jemand anderen aus z.B. die Personalabteilung oder deine Bank.
Um dich nun in eine unüberlegte Handlung zu bringen, könnte ein Betreff wie folgender gewählt werden:
„Sie haben zuviel Urlaub genommen! Dringender Handlungsbedarf“

Solchen Mails hängen dann noch Dateien oder Links an, die geöffnet werden sollen und sofern nötig, speziell eine Login Maske angeboten wird, in der man seine Daten eingeben soll.
Und da ist es schon passiert, du wurdest gehackt.
Natürlich varriert es als was sich ausgegeben wird und welchen „dringenden“ Grund man hat.

Wusstest du schon: So ein Phishing Angriff kann, sofern gut durchgeführt deine Sitzungscookies klauen, sofern du diese in deinem Internet Browser nicht löschst. Bedeutet auch, wenn du „nur“ auf den Link geklickt hast, könnten deine Login Daten zu anderen Webseiten geklaut worden sein.
Geschieht das, hilft nicht mal eine Multi-Faktor-Authentifizierung (MFA).
Daher mein Rat, lösche deine Cookies!
Hierzu kommt ein eigener Beitrag der hier verlinkt wird.

Welche Maßnahmen kann ich da ergreifen?

Das kommt ganz darauf an wie die Bereitschaft dazu ist, denn jeder Invest in mehr IT-Security bedeutet, dass in einem anderen Feld weniger Invest möglich ist.

Mit Invest meine ich, dass jede Investition in eine Richtung automatisch die Möglichkeit eines anderen Feldes einschränkt.
Wie weit man hier geht, muss im privaten Umfeld jeder für sich selbst entscheiden und im professionellen Umfeld gibt es zum einen „Standard“ die State of the Art sind (Stand der Technik).

Gleichzeitig geben im professionellen Umfeld die IT-Abteilungen und Geschäftsführung vor was gemacht werden muss und was optional ist.

Da wir uns hier um die IT-Security für den eigenen Gebrauch kümmern, gehen wir nun auf die Optionen ein die DU für dich und deine Liebsten vornehmen kannst.

Lerne die Warnzeichen kennen

Weder Maßnahmen noch irgendwelche Tools können so wirksam sein wie:Wissen!

Damit ist gemeint, dass ein Jeder interessiert sein muss, seine Kenntnisse auf den Prüfstand zu stellen und bei Bedarf zu erweitern.

Doch bevor dies möglich ist, muss die Basis sein und diese kann durch verschiedene Wege geschaffen werden.

Allgemeines

Das Wichtigste ist, dass man sich nicht zu emotionalen Verhalten hinreißen lässt.

Damit ist gemeint, dass solche „Angriffe“ durch Hacker versuchen einen zu unüberlegten Handlungen zu bewegen.

Veranschaulicht wird das durch den „Enkeltrick“, indem eine fremde Personen eine andere überzeugt, der „Enkel“ bzw. ein „Familienmitglied“ zu sein, dass in Not geraten ist.

Für die Familie tut man doch alles und hat dann ein paar Euro über.

Auch Mails, die eine zeitliche Kritikalität {evtl anderes wort) aufzeigen, sind mit Vorsichtig zu genießen.

Hier ist es beliebt, dass die „Bank“ einem schreibt oder die „Personalabteilung“ und man dringendst auf den beigefügten Link klicken, oder die Datei ausführen soll, die im Anhang ist.

Dabei kennt man die Absender vielleicht gar nicht, oder es ist eine merkwürdig formulierte Mail.

Das Beste hier ist, wenn man sich nicht sicher ist ob die Mail echt ist, auf keinen Link drauf klicken geschweige denn, bei dem vermeintlichen Absender melden.

Nicht über die Kontaktdaten in der Mail, sondern suche die öffentlichen Kontaktdaten deiner z.B. Bank raus oder deines Unternehmens und rufe dort an.

Frage nach ob die Mail von ihnen ist oder nicht.

Eigen Recherche

Um dieses Basis zu schaffen kann es hilfreich sein, allgemein zu recherchieren, dafür kann die Suchmaschine des Vertrauens besucht werden. (DuckDuckGo, Brave Search, Startpage, QWANT oder der bekannteste Vertreter: Google)

Natürlich ist die eigen Recherche nicht das einzige Mittel, doch frei nach dem Motto „Selbst ist der Mann/die Frau!“. Denn am Besten lernt der Mensch durch eigenes tätig werden.

Dabei kann die Recherche auch ausgeweitet werden z.B. auf „Influencer“ die in der IT-Branche tätig sind.

Hierzu gibt auf dieser Seite unter „YouTuber“ mehrere die ich empfehlen kann.

Denn diese können dies nicht nur erklären, sondern zeigen auch praktische Beispiele, wie Hacking Angriffe funktionieren und welche Maßnahmen ergriffen werden können.

Schulungen und Awarness Trainings

Allerdings kannst du auch andere Angebote wahrnehmen wie z.B. Schulungen für die du dich interessierst oder noch besser….nimm an der „Informationssicherheit und Datenschutz“ Awarness Schulung in deinem Unternehmen teil.

Die Voraussetzung hier ist natürlich, dass in deinem Unternehmen eine solche Schulung Angeboten wird und meistens werden diese Awarness Trainings auch mit Simulationen bestückt.

Dass bedeutet, du wirst im Laufe deiner Betriebszugehörigkeit getestet, natürlich anonymisiert und bekommst dann auch das Feedback ob du den Test bestanden hast.

In kleineren Unternehmen ist so was untypisch, da hier Kosten und Nutzen zu weit auseinander gehen, doch Fragen schadet nicht!

Nutze eine Passwordmanager

Von diesem Tool hast du vermutlich schon gehört und wenn nicht, gibt es hier eine kurze Erklärung was das ist und wieso es wichtig für dich sein muss.

Ein Password Manager ist eine Software, in der du deine Passwörter & Login Daten speicherst.

Der Unterschied zum Postit Zettel ist, dass es zum einen digital passiert und diese Software deine Daten verschlüsselt ablegt.

Der Vorteil für dich: du benötigst „nur“ ein „Master-Passwort“ um an alle Passwörter zu kommen.

Hierdurch ist es dir also möglich, für jedes Login, dass du hast, ein eigenes und einzigartiges Passwort vergeben kannst, ohne dir Gedanken machen zu müssen es dir zu merken.

Denn wie wir alle wissen, ist die Empfehlung immer verschiedene Passwörter zu verwenden.

Die meisten Passwort Manager kommen im Übrigen auch mit einem Passwort Generator, bedeutet dein Tool erstellt die Passwörter für dich.

Schütze deine digitale Identität also mit einer sicheren Passwort Verwaltung.

Passwort Manager die du dir hierzu ansehen kannst sind:

Eine Vertiefung zu diesem Thema kommt in einem eigenen Beitrag und wird hier an dieser Stelle verlinkt, sobald dieser Online geht.
Dabei werden sowohl Self Hosting Optionen als auch das „Double Blind“ Verfahren besprochen.

Richte Multi-Faktor-Authentifizierung ein wo möglich

Die Multi-Faktor-Authentifizierung (kurz MFA) ist, wie es der Name schon vermuten mag eine Authentifizierung mit mehr als einem Faktor.

Dabei betrachtet man meistens den Benutzernamen+Kennwort als einen Faktor gemeinsam, da der Benutzername meist leicht herauszufinden ist.

Der Sinn des MFA ist es also, deine Accounts mit mehr als nur einem Passwort abzusichern.

Dabei gibt es verschiedene Möglichkeiten, die auch technisch verschieden sicher ist.

Jetzt ist wichtig zu erwähnen, dass du streng genommen Multi-Faktor-Authentifizierung bereits kennst, sofern du Online Banking verwendest.

Hier ist das Prinzip, dass du dein Login zwar mit einer Kennung aus Benutzername und Kennwort vornehmen kannst, jedoch musst du dein Login regelmäßig durch eine SMS-TAN oder Push-TAN bestätigen.

Selbst wenn du das getan hast, musst du bei Überweisungen immer eine neu generierte TAN zur Bestätigung eingeben.

Es gibt mehre Arten von MFA, doch die Gängigsten sind:

• OTP (One Time Pass)
• Telefon Anruf mit Bestätigungscode
• SMS Code
• Security Key

Es gibt natürlich noch mehr, doch die genannten 4 sind am weitesten verbreitet.

Die einfachste Art wird der Telefonanruf oder SMS Code sein.

Alleine damit kannst du dich absichern und gewinnst mehr Sicherheit.

Bei den meisten Diensten im Internet kannst du auch, nachdem du dich mittels Multi-Faktor-Authentifizierung einloggen konntest, bestätigen, dass an dem Gerät für x Tage, meist 30 Tage, nicht mehr nachgefragt wird.

Welche Unterschiede die verschiedenen Optionen haben, wird auch hier in einem eigenen Beitrag erläutert, dieser wird an dieser Stelle verlinkt, sobald er fertig gestellt ist.

Qullennachweis/Glosar:

Inhaltlich:

https://de.wikipedia.org/wiki/Hacker

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Passwort-Manager/passwort-manager_node.html
https://www.heise.de/download/specials/Passwort-Manager-Tipps-Tools-fuer-die-Passwort-Verwaltung-6033009
https://www.security-insider.de/was-ist-ein-passwort-manager-a-582834/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html
https://www.heise.de/hintergrund/Multi-Faktor-Authentifizierung-Methoden-und-Dienstleister-4402436.htm
lhttps://www.security-insider.de/was-ist-multi-faktor-authentifizierung-mfa-a-631486/

Bilder:

https://www.pexels.com/photo/crop-cyber-spy-hacking-system-while-typing-on-laptop-5935794/
https://www.pngegg.com/en/png-ndpwt
https://www.cleanpng.com/png-mazda-ispy-customer-3287190/
https://www.pngegg.com/en/png-wezve
https://www.cleanpng.com/png-identity-theft-phishing-internet-clip-art-identity-2684015/
https://imgflip.com/i/7ulc62
https://www.cleanpng.com/png-duckduckgo-web-search-engine-google-search-web-bro-2216112/
https://www.cleanpng.com/png-web-development-web-design-logo-website-707817/
https://www.cleanpng.com/png-united-states-youtube-logo-youtube-play-button-tra-616912/
https://commons.wikimedia.org/wiki/File:Startpage.com_logo.svg
https://de.wikipedia.org/wiki/Datei:Qwant_new_logo_2018.svg
https://www.deutschland-startet.de/wp-content/themes/freestyle/AIT/Framework/Libs/timthumb/timthumb.php?src=https://www.deutschland-startet.de/wp-content/uploads/2022/12/training-3185170_1920-2-1-1.jpg&w=612&h=330
https://www.pngegg.com/en/png-dilim
https://en.wikipedia.org/wiki/File:Bitwarden_logo.svg
https://proton.me/pass
https://www.pngegg.com/en/png-ccbfv
https://www.pngegg.com/en/png-nmvtl
https://www.pngegg.com/en/png-patsr
https://www.pngegg.com/en/png-dhrlo
https://www.cleanpng.com/png-threat-computer-security-internet-security-securit-361766
https://hund-client-logos.s3.amazonaws.com/uploads/5e81e1e910bdfb739a1300da-eb01b2b1-46ee-4117-8692-dbc79bbc809f.png

The post Think before you Click! So greifen dich Hacker an! first appeared on Dominik's Blog.