Cybersicherheit: Was man bei der digitalen Kommunikation beachten sollte
Digitale Kommunikation über die verschiedensten Kanäle spielt eine immer größere Rolle in unserem Alltag. Um dabei böse Überraschungen zu vermeiden und die Kommunikation möglichst sicher zu gestalten, haben wir einige Hinweise und Tipps zusammengetragen, was man bei der Nutzung von mobilen Geräten oder Video-Tools, aber auch grundsätzlich bei der Cyberhygiene beachten sollte.
Das abgehörte Gespräch hochrangiger Bundeswehroffiziere über den Taurus-Marschflugkörper hat zuletzt die Frage aufgeworfen, wie sicher eigentlich digitale Kommunikation ist und was man dabei beachten sollte, um die Preisgabe sensibler oder privater Informationen an Dritte zu vermeiden. Denn wie der Taurus-Leak ebenfalls gezeigt hat, entstehen Sicherheitsprobleme digitaler Kommunikationskanäle meist durch menschliche Fehler. So war im Fall des Bundeswehr-Gesprächs laut bisherigen Erkenntnissen das Versäumnis eines Teilnehmers ausschlaggebend, der sich über eine nicht sichere Datenleitung in das Konferenzsystem WebEx eingewählt hatte.
Die Bedeutung von Verschlüsselung
Allerdings betonen Experten auch, dass es die perfekte Abhörsicherheit nicht gibt und eigentlich alles „hackbar“ ist. Trotzdem sollte man gewisse Hinweise und Maßnahmen berücksichtigen, um es denjenigen, die sich Informationen und Daten auf diesem Weg beschaffen wollen, nicht zu einfach zu machen – gerade, wenn es um den Schutz von amtlich geheim zu haltenden Informationen geht.
Bei allen Tools und Wegen der digitalen Kommunikation spielt die Verschlüsselung hier eine zentrale Rolle. Sie dient dazu, die Vertraulichkeit, Authentizität und Integrität der übertragenen Daten zu wahren und Informationen durch Verschlüsselungstechnologien vor unbefugtem Zugriff zu schützen. Deshalb werden die transportierten Daten in einen (algorithmisch erstellten) geheimen Code umgewandelt, der nur mit einem spezifischen digitalen Schlüssel freigeschaltet werden kann. Dadurch können nur die Parteien, die über den richtigen Schlüssel verfügen, die Informationen lesen und/oder verarbeiten.
Im Internet findet die Kommunikation jedoch häufig unverschlüsselt statt, was bedeutet, dass persönliche und sensible Daten oft ungeschützt sind. Dabei ist die Verwendung von Verschlüsselung sowohl im inaktiven Zustand auf Computern als auch während der Übertragung oder Verarbeitung von Daten von entscheidender Bedeutung. Sie schützt Geräte, sichert Finanztransaktionen wie Banküberweisungen und Online-Käufe und gewährleistet die Privatsphäre von E-Mails und SMS.
Was man bei mobilen Geräten beachten sollte
Eine E-Mail ist grundsätzlich unverschlüsselt, vergleichbar mit einer digitalen Postkarte, deren Inhalt im Zweifelsfall für alle sichtbar ist. Im E-Mail-Verkehr gibt es aber zwei Methoden der Verschlüsselung: Bei der Transportverschlüsselung bzw. Punkt-zu-Punkt-Verschlüsselung werden die Daten auf jeder Teilstrecke vom sendenden Server verschlüsselt und von zwischengeschalteten Netzknoten entschlüsselt, wodurch der E-Mail-Service-Provider dort Zugriff auf den Klartext haben kann. Im Gegensatz dazu bietet die Ende-zu-Ende-Verschlüsselung einen durchgängigen Schutz auch an den Knotenpunkten und gewährleistet somit eine höhere Sicherheit.
Bei der Nutzung mobiler Geräte wie Smartphones ist es ebenfalls entscheidend, bestimmte Sicherheitsvorkehrungen zu beachten, um persönliche Daten vor Diebstahl, Manipulation oder unbefugtem Zugriff zu schützen. Denn während Telefongespräche im 5G oder LTE-Netz grundsätzlich verschlüsselt sind, gibt es bei der Übertragung digitaler Daten mehrere Einfallstore für unbefugten Zugriff. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierzu einige wichtige Hinweise zu möglichen Sicherheitsirrtümern:
- Bevor man Daten in einer Cloud speichert, sollte man sich über den Anbieter, seinen Standort und die Sicherheitsvorkehrungen seiner Rechenzentren informieren. Zumal die Cloud-Daten nur so sicher sind wie der Schutz des mobilen Geräts per PIN oder Passwort.
- Öffentliche WLAN-Netzwerke z.B. in Flughäfen, Restaurants oder Hotels sind oft unverschlüsselt, was die Gefahr des Abgriffs ungeschützter Daten oder das Einschleusen von Schadsoftware erhöht. Wenn man solche Netzwerke nutzt ist es deshalb ratsam, vertrauliche Daten auf dem Gerät zu verschlüsseln oder ein Virtual Private Network (VPN) zu nutzen.
- Beim Einrichten eines neuen Smartphones sollte man sicherstellen, dass das Betriebssystem auf dem neuesten Stand ist und Sicherheitseinstellungen, wie eine PIN aktiviert sind. Zudem ist es ratsam, die Geräteverschlüsselung zu aktivieren, falls diese Option verfügbar ist. Vor der Entsorgung alter Geräte sollten alle persönlichen Daten gelöscht werden.
- Automatische Updates allein bieten keinen vollständigen Schutz vor Sicherheitslücken, weil es einige Zeit dauern kann, bis entsprechende Updates bereitgestellt werden. In dieser Zeit sollte man bestimmte Funktionen möglicherweise nicht nutzen oder deaktivieren und sicherstellen, dass auch Anwendungen und Programme regelmäßig auf Sicherheitsupdates überprüft werden.
- Weitere mögliche Maßnahmen zur Verschlüsselung auf mobilen Geräten wären die Aktivierung der Speichergrundverschlüsselung, die Installation von Apps zur Verschlüsselung einzelner Daten wie Dokumente, Fotos und Videos, das Verwenden eines Patch-Management-Tools, die Vermeidung von Rooting oder Jailbreaking im alltäglichen Gebrauch und die Deaktivierung des Entwicklermodus beim Gerät.
- Zusätzlich empfiehlt sich die Verwendung sicherer Instant-Messenger mit überdurchschnittlicher Verschlüsselung, wie Threema und Signal, um die Sicherheit der Kommunikation zu gewährleisten.
Einen Sonderfall stellen Kryptohandys dar, die fortschrittliche Sicherheitsfunktionen nutzen, um das Abhören von Sprach- und Datenübertragungen während eines Live-Austauschs zu erschweren. Aufgrund des verringerten Abhörpotenzials werden sie vor allem in der Politik, von Geheimdiensten und in bestimmten Unternehmensbereichen eingesetzt. Allerdings können die dafür genutzten Sicherheitsstandards immer nur wenige Monate aufrechterhalten werden und oft sind zwei gleiche Geräte für die sichere Kommunikation erforderlich, was für Privatpersonen eher unrealistischer Aufwand wäre.
Tipps für sichere Videokonferenzen
Auch bei der Nutzung von Video-Tools wie Microsoft Teams, TeamViewer, Zoom oder Webex ist es wichtig, bestimmte Punkte zu beachten, um die Sicherheit der Kommunikation zu gewährleisten und Risiken zu minimieren. Zu den Risiken zählen insbesondere eine unsichere Datenübertragung (so wie beim Taurus-Leak), die Nutzung nicht-europäischer Clouds, schadhafte Links im Chat oder die Teilnahme unbefugter Personen an den Videokonferenzen.
Um den Schutz der Verbraucherdaten von technischer Seite her zu gewährleisten, haben sich mehrere internationale Videokonferenzanbieter im Januar 2024 auf Mindeststandards geeinigt, was in einem neuen Regelwerk des Deutschen Instituts für Normung (DIN) festgehalten wurde.
Viele Tipps für sichere Videokonferenzen haben allerdings weniger mit Verschlüsselung zu tun, sondern betreffen die menschliche Verantwortung und Vorsicht. Dazu gehört die Kontrolle der Meeting-Teilnehmer:innen und die Festlegung von Moderationsrechten. Zudem ist es ratsam, eine sichere Verbindung zu verwenden, entweder über das VPN des Unternehmens oder ein eigenes VPN, sowie eine regelmäßige Aktualisierung der verendeten Software.
Weitere Hinweise umfassen die Überprüfung der Umgebung auf mögliche mithörende Personen, die Nutzung einer sicheren Leitung mit Ende-zu-Ende-Verschlüsselung, Vorsicht bei der Freigabe des Bildschirms und die Vermeidung der unbedachten Weitergabe von Meeting-Zugangsdaten.
Cyberhygiene als allgemeine Notwendigkeit
All diese Hinweise und Tipps zu einzelnen Wegen digitaler Kommunikation lassen sich auch unter dem Begriff der „Cyberhygiene“ subsumieren. Damit können alle Maßnahmen bezeichnet werden, die der Verbesserung der Online-Sicherheit und der Integrität eigener IT-Systeme dient. Es handelt sich dabei letztlich um sicherheitsorientierte Denk- und Verhaltensweisen, die verinnerlicht werden sollten, um potenzielle Gefahren aus dem Internet einzudämmen. Gute Cyberhygiene ist essentiell, um z.B. Sicherheitsverletzungen, Datenverluste sowie den Einsatz veralteter Software zu verhindern.
Um Cyberhygiene umzusetzen, sind zwei wesentliche Aspekte relevant: Zum einen die Entwicklung geregelter Abläufe und Gewohnheiten, zum anderen der Einsatz der richtigen Tools. In Bezug auf die Routinen und Gewohnheiten können z.B. automatische Erinnerungen, Kalenderereignisse oder Ähnliches dabei helfen, bestimmte Sicherheitsmaßnahmen regelmäßig durchzuführen. Dazu gehören unter anderem regelmäßige Virenscans, das sichere Management und Ändern von Passwörtern, die regelmäßige Aktualisierung von Programmen und Betriebssystemen durch Patches und Updates sowie das regelmäßige Löschen der Festplatte.
Zum Einsatz bestimmter Tools im Sinne der Cyberhygiene gehören beispielsweise Netzwerk-Firewalls, Datenbereinigungstools, Passwort-Manager und hochwertige Antiviren-Software. Diese Programme helfen dabei, potenzielle Sicherheitslücken zu erkennen und zu schließen sowie den Schutz vor Bedrohungen aus dem Internet zu verstärken. Besonders für Unternehmen empfehlen sich zudem folgende Hygienemaßnahmen:
- Identity Protection und Access Management, also die Bereitstellung von Zugängen nur für diejenigen Nutzer, die sie für ihre tägliche Arbeit benötigen, sowie die regelmäßige Überprüfung und Aktualisierung dieser Zugänge.
- Die Konfiguration von Hardware und Software gemäß der Sicherheitsrichtlinien des Unternehmens, um potenzielle Sicherheitslücken zu minimieren.
- Die Analyse von Prüfprotokollen zur frühzeitigen Identifizierung von Angriffen und Sicherheitslücken, um daraufhin geeignete Gegenmaßnahmen einzuleiten.
Nicht zuletzt sollte auch direkt bei der Entwicklung von Sicherheitssoftware und -Tools die Usability für den Anwender mitbedacht werden. Mit dem Security by Design-Ansatz und benutzerfreundlichen Schutzmaßnahmen können die Hersteller auch selbst wesentlich dazu beitragen, dass Nutzer sich sicherheitsbewusster zu verhalten.
Natürlich kann es vollkommene Sicherheit weder im analogen noch im Cyberraum geben. Dennoch, wenn die Hinweise konsequent befolgt werden, können Unternehmen und Privatpersonen ihre Online-Sicherheit deutlich verbessern und sich besser vor Cyberbedrohungen schützen – das gilt natürlich ganz besonders auch für staatliche Institutionen wie die Bundeswehr.
Empfehlung der Redaktion
Artikel teilen
Autor:in
