Update verfügbar

Update verfügbar

Über diesen Podcast

Das monatliche Update des Bundesamts für Sicherheit in der Informationstechnik (BSI) läuft ganz einfach. Es geht von selbst ins Ohr und liefert die aktuellsten Neuerungen: Die Digitalthemen der letzten Wochen in einem großen Patch für Sie - immer am Monatsende. Unsere Moderatoren Ute Lange und Michael Münz liefern brandaktuelle Neuigkeiten, fesselnde Gäste und erstaunliche Geschichten rund um Digitalisierung, Cybercrime und Zukunftstechnologien - leicht verdaulich und klug erzählt.
Jetzt abonnieren und schon heißt es alle vier Wochen: Update verfügbar!
https://update-verfuegbar.podigee.io/feed/mp3
https://de-de.facebook.com/bsi.fuer.buerger
https://twitter.com/BSI_Bund
https://www.youtube.com/BundesamtfürSicherheitinderInformationstechnik
oder per E-Mail an: mail@bsi-fuer-buerger.de

von und mit Ute Lange, Michael Münz

Abonnieren

Follow us

Transkript

Zurück zur Episode

„Update Verfügbar – ein Podcast des BSI“Transkription für Folge 07, 30.04.2021: Erpresso – Wenn die Kaffeemaschine Lösegeld fordert

Moderation: Ute Lange, Michael MünzHerausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Moderation: _________________________________________________________________________________________

Lange: Hallo und herzlich willkommen zur neuen Ausgabe von „Update verfügbar“, dem Podcast für Sicherheit im digitalen Alltag. Mein Name ist Ute Lange.

Münz: Und ich bin Michael Münz. Wir melden uns auch in diesem Monat wieder nicht aus dem Bundesamt für Sicherheit in der Informationstechnik, sondern wegen der Pandemie noch einmal aus dem Home-Office in Bonn.

Lange: Bevor wir starten, möchten wir uns bei Ihnen bedanken für Ihre Rückmeldungen, Nachrichten, E-Mails. Egal auf welchen Kanal Sie uns ansprechen, wir freuen uns über jede Nachricht von Ihnen. Wie Sie uns erreichen können – falls Sie es noch nicht wissen – sagen wir nochmal am Ende der Folge. Also bleiben Sie gern dran. Was hat dich denn erreicht? Was hast du so gehört nach der letzten Folge, Michael?

Münz: Ich habe ganz viel gehört von diesen SMS, die verschickt wurden, dass du eine Paket-Lieferungen erwartest. Das habe ich ganz häufig von Leuten gehört, die sich gewundert haben, dass es bei denen so ankam.

Lange: Ich habe auch davon gehört und mich hat es ein bisschen gewundert, dass ich nichts bekommen habe, weil mir alle anderen Leute erzählt haben, sie hätten etwas bekommen.

Münz: Ich nämlich auch. Vor fünf Wochen oder so kamen sie zum ersten Mal an. Ich fand das komisch, weil ich eigentlich die DHL App auf dem Smartphone installiert habe. Das heißt, die ganzen Benachrichtigungen über Paketsendungen und so laufen da auf. Ich habe mich gewundert, warum ich auf einmal zusätzlich noch SMS bekomme.

Lange: Und dann bist du als Experte für Cyber-Sicherheit misstrauisch geworden, nehme ich an.

Münz: Das bin ich. Es gab auch ein paar komische Punkte: seltsame Ansprache, dubioser Link, unspezifisch formuliert und gelegentlich Probleme bei der Darstellung von Umlauten. Also viele der Punkte, die wir bei unserer allerersten Folge zum Thema Phishing-E-Mails genannt hatten, trafen auch hier zu, nur eben auf SMS. Das Ganze heißt Smishing – SMS und Phishing. Das kommt aber mittlerweile auch in anderen Messenger-Diensten vor.

Lange: Weil der Name so ähnlich ist: Bei Smishing – das ist sehr niedlich, das Wort kannte ich noch nicht – ist das Prinzip wahrscheinlich dasselbe. Du sollst auf irgendeinen Link klicken und dann passiert in diesem Fall was?

Münz: Dann wird versucht, dir eine Schadsoftware zu installieren auf dem Handy. Wenn du bei Android bist, dann fängst du dir die auch ein. Die soll unter anderem diese Phishing-Nachrichten von deinem Telefon versenden. Dann können auch Kosten entstehen für den SMS-Versand. Bei iPhones, bei iOS, wirst du auf eine Werbeseite geschickt oder auf eine Seite, wo du Daten eingeben sollst. Das ist alles sehr ärgerlich, weil gerade Android-Benutzer die Software erst wieder vom Telefon herunterkriegen, wenn sie auf Werkseinstellungen zurücksetzen.

Lange: Das ist ja der Alptraum. Das sind die Momente, die ich echt nicht…

Münz: Alles wieder neu einrichten! Dazu hätte ich auch wirklich keinen Nerv.

Lange: Das heißt, um das zu vermeiden, gilt auch hier, was wir schon mal bei Phishing erzählt haben: Wenn du nicht genau weißt, von wem die Nachricht ist, gar nicht auf den Link klicken. Am besten die Nachricht gleich löschen, richtig?

Münz: Genau! Den Absender zu blockieren, hilft auch. Wobei die Nachrichten, die ich bekommen habe, kamen von unterschiedlichen Nummern. Aber egal, für das Gefühl war es super, einfach zu blockieren. Ansonsten gilt natürlich weiterhin, dass man die Updates für das Betriebssystem auf dem Handy weiter installieren sollte.

Lange: Wenn ich jetzt aber doch mal auf einen Link geklickt habe, weil ich unaufmerksam war oder es schnell gehen musste – das ist ja sogar einem Experten vom BSI passiert, wie er uns in einer Folge erzählt hat: Was mache ich, wenn das Kind praktisch schon in den Brunnen gefallen ist?

Münz: Das kann immer mal vorkommen. Wir wissen ja, dass man manchmal automatisch auf irgendetwas klickt, weil man gerade nicht richtig aufpasst. Wenn das wirklich passiert, dann gilt es, das Telefon gleich vom Netz zu nehmen. Flugmodus an, fertig! Dann werden zumindest erst einmal keine weiteren Nachrichten mehr verschickt und dieses Schneeballsystem ist unterbrochen. Dann sollte man unter anderem auch seinen Mobilfunkanbieter kontaktieren und gegebenenfalls auch die Bank, falls einem seltsame Kontobewegungen auffallen. Das ist etwas, wo ich immer ein bisschen misstrauisch bin. Nicht, dass jemand versucht, mein Konto leer zu räumen. Wir wissen seit der letzten Folge, dass keine 200 Millionen Dollar darauf liegen, aber die paar Kröten, die ich habe, hätte ich noch gerne weiter darauf. Das sind alles Tipps, die ich von der BSI-Webseite habe und auf der Seite gibt es noch weitere. Den Link dazu stellen wir in die Shownotes.

Lange: Dann haben wir schon einmal Smishing abgehakt. Aber es gab noch ein anderes Datenschutzthema, seit wir das letzte Mal hier im Studio bzw. im Home-Office aufgenommen haben. Und zwar diesen Datenclown bei…

Münz: Der Clown?

Lange: Der Datenklau bei Facebook! Der Klau selbst liegt wohl schon eine Weile zurück, aber die Daten sind jetzt erst oder vor einer Weile in einem Forum für Cyberkriminelle aufgetaucht. Die Zahl der Betroffenen fand ich nicht trivial: 533 Millionen NutzerInnen weltweit.

Münz: Rate mal, welcher Nutzer zu den betroffenen sechs Millionen in Deutschland gehört?

Lange: Wenn du mich so fragst, dann ist die Antwort wohl: du.

Münz: Genau, das war auch eher eine rhetorische Frage, aber völlig richtig: ich. Es gibt einen Programmierer, der hat, nachdem dieser Datenklau bekannt wurde, eine Webseite gebaut, mit der man die geklauten Daten nach dem eigenen Profil durchsuchen kann. Da habe ich meine Profildaten eingegeben bzw. den Link zu meinem Profil. Ich musste kein Passwort eingeben. Meins gehört tatsächlich zu denen, die jetzt in falsche Hände geraten sind. In den Datensätzen stehen unter anderem Geburtsdatum, Wohnort, E-Mail-Adresse und Rufnummer.

Lange: Das klingt unangenehm, denn damit können Kriminelle auch durchaus etwas anfangen, zum Beispiel um in deinem Namen Phishing-Nachrichten zu verschicken. Was empfehlen denn jetzt ExpertInnen, was du dagegen tun kannst – und die anderen sechs Millionen Betroffenen in Deutschland und darüber hinaus?

Münz: Das, was wir auch empfehlen: keine Links in SMS anklicken und auch keine Anrufe von unbekannten Rufnummern annehmen. Die Anrufe hatte ich tatsächlich auch, mit Vorwahl aus Österreich oder England. Ich blockiere gleich die Nummern. Dann gibt es noch einen Tipp, bei dem ich mich ein bisschen einlesen musste. Mir wurde empfohlen, dass ich eine Drittanbietersperre einrichte.

Lange: Noch so ein Wort, über das ich sicherlich stolpere, wenn ich es wiederhole. Was ist das denn? Ich habe es wirklich noch nicht gehört.

Münz: Ich muss meinen Mobilfunkanbieter auffordern, diese sogenannte Drittanbietersperre zu aktivieren. Damit kann ich Kosten, die zum Beispiel durch Schadsoftware verursacht werden – das hatten wir vorhin auch, weitestgehend vermeiden. Ich habe mich bei meinem Mobilfunkanbieter in mein Kundenkonto eingeloggt und gesehen, dass ich das ohnehin schon gemacht habe vor ein paar Jahren.

Lange: Ohne zu wissen, dass es so wichtig werden könnte. Aber wenn es klappt, ist es ja beruhigend. Wenn wir jetzt hier fertig sind mit der Aufnahme, gehe ich auch mal gucken. Ich habe ehrlich gesagt keine Ahnung, ob ich das schon einmal angeklickt habe oder nicht, wenn ich nicht mal den Begriff in Erinnerung habe.

Münz: Beruhigend hin oder her: Zwischen diesen ganzen Phishing-Anrufen, den SMS und auch den ganzen Nachrichten über weitere Datenklaus hatte ich echt mal den Kaffee auf.

Lange: Schönes Stichwort! Du hast dir wieder einen gekocht, bevor wir vor unsere Mikros gegangen sind. Wie immer mit dem Espressokocher auf dem Herd?

Münz: Wie immer mit dem Espressokocher auf dem Herd! Seitdem ich einmal Urlaub in Italien gemacht habe, habe ich mich daran gewöhnt. Das ist ein bisschen rustikal, aber beim Kaffeekochen mag ich es so „old school“. Und nicht zuletzt habe ich nach den vergangenen Tagen immer wieder an diese Geschichte mit der gekaperten Kaffeemaschine denken müssen, die du in der zweiten Folge erzählt hast.

Lange: Das ist die Kaffeemaschine, die Lösegeld von dir verlangt, bevor sie dir den morgendlichen Muntermacher zubereitet.

Münz: Ja, Alptraum!

Lange: Alptraum, genau! Las sich ziemlich lustig, außer für echte Kaffee-Junkies. Die würden vermutlich sofort überweisen, wenn diese Anzeige im Display erscheint. Vom Prinzip her ist das Szenario wohl gar nicht so abwegig. Ich habe damals einen Artikel von einem Bekannten zugeschickt bekommen, in dem von einem Experiment eines IT-Spezialisten berichtet wurde. Der wollte wohl testen, wie schnell man sich als Angreifer in Systeme einhacken kann. Da hat er sich eine ganze Reihe smarte Kaffeemaschinen besorgt und einfach mal rumprobiert, wie weit er kommt.

Münz: Mal dahin gehen, wo es weh tut.

Lange: Genau, ganz tief rein! Gewusst wie! Das war wohl gar nicht so schwer. Er wusste, was er machen muss. Es ist wohl auch so – das stand in dem Artikel, dass die Hersteller von solchen Maschinen nicht immer so viel Acht geben auf die Sicherheitsaspekte ihrer Produkte. Das ist ein Thema, über das man mal länger sprechen könnte.

Münz: Auf jeden Fall, weil wir jetzt noch ein bisschen über den Kaffee lachen. Aber stell dir einmal vor, du hast dein Zuhause vernetzt und es öffnet jemand nach Lust und Laune die Haustür. Andererseits finde ich es natürlich irgendwie ganz nett auf dem Fernseher, den mir ein Freund geschenkt hat, per Streaming-Stick alle möglichen Mediatheken und Videos aus dem Netz zu streamen. Internet zuhause zu haben und sich das Leben damit ein bisschen angenehmer zu gestalten, finde ich eigentlich gar nicht so verkehrt.

Lange: Dann lass uns doch einmal schauen, wie man diese Vorteile von dem Smarthome auch smart nutzen kann, ohne in Datenfallen zu tappen.

Münz: Das finde ich gut. Fahrradhelme und so!

Lange: Immer schön auf Nummer sicher gehen!

Münz: Machen wir, weil ich mit meiner Smarthome-Vorliebe offensichtlich nicht allein bin: Laut einer Studie, die ich im Netz gefunden habe, waren 2020, also im vergangenen Jahr, in 7,2 Millionen Haushalten mindestens eine Smarthome_Anwendung im Einsatz. Bis 2024 soll sich diese Zahl nahezu verdoppeln auf 13,2 Millionen.

Lange: Ich bin bei meinen Haushaltsgeräten ein bisschen „old school“, so wie du mit deinem Kaffee. Was gibt es denn da schon für Geräte?

Münz: Es gibt verschiedene Kategorien, in die man es einsortieren kann, zum Beispiel Vernetzung und Steuerung. Da passen diese ganzen smarten Lautsprecher rein, wie Amazon Echo oder Google Home. An zweiter Stelle kommen dann Geräte aus dem Bereich Home Entertainment, zum Beispiel mein Fernseher oder Multiroom Entertainment Systeme – sprich einmal Musik anmachen und das wird dann in mehrere Räume verteilt. Dann kommt noch etwas wie Komfort und Licht dazu, also Glühlampen, Rollläden herauf und herunter fahren und so etwas. Aber auch Heizungsthermostate, Backöfen, Waschmaschinen, Überwachungskameras, Babyphone – alles, was sich Informationen aus dem Netz zieht oder darüber zu adressieren ist – gehören zu Smarthome. Und das gilt auch für Kinderspielzeug, weil das mittlerweile auch immer öfter mit dem Netz verbunden ist. Dann haben wir noch Smartwatches, die fallen auch noch mit unter diese Smarthome-Kategorien.

Lange: Weil du gesagt hast, dass das alles Geräte sind, die mit dem Netz verbunden sind, vermute ich mal, dass man die genauso sorgfältig behandeln sollte wie Handy und Computer.

Münz: Auf jeden Fall! Wenn ich zum Beispiel mit dem Handy etwas fernsteuern kann, dann kann das ein Hacker erst recht.

Lange: Ok, aber du hast den Backofen erwähnt! Was soll denn jemand mit einem gehackten Backofen?

Münz: Er könnte dich zum Beispiel wie bei der Kaffeemaschine erpressen, damit du den Ofen wieder benutzen kannst. Was bei mir der Kaffee ist, wäre dann bei dir vielleicht die Feierabendpizza?

Lange: Ok, das möchte ich dann vielleicht doch nicht. Ich nehme mal an, dass das nicht der Fokus von Kriminellen ist, wenn sie Smarthome-Geräte hacken oder sich da irgendwie hineinschleichen.

Münz: Im Wesentlichen geht es denen um den Zugang zu persönlichen Daten oder darum, die Geräte für Botnetze zu nutzen.

Lange: Ok, erklär das noch einmal kurz.

Münz: Klar! Die Idee dahinter ist, Geräte zu infizieren, über diese die Kontrolle zu gewinnen und diese ganzen infizierten Geräte zu sogenannten Botnetzen zu verbinden. Das ist ein Netzwerk aus sehr vielen Geräten und aus diesem Netzwerk kann ein Angreifer per Fernsteuerung verschiedene Aktionen starten, also Spam-E-Mails verschicken zum Beispiel oder mittels koordinierter Aktionen Webseiten zum Absturz bringen. Dafür sind Botnetze da.

Lange: Gehen wir einmal zurück zu meinem Backofen. Wenn er smart wäre und gehackt und in so ein Netzwerk gepackt würde, dann schade ich damit – oder der Backofen und die Angreifer – anderen. Also schade nicht mir in dem Fall. Wenn die jetzt aber meinen Backofen oder auch mein Smart-TV hacken, um mir zu schaden, was passiert dann alles? Worauf muss ich mich gefasst machen, wenn ich das nicht geschützt habe?

Münz: Im Wesentlichen können sie versuchen, Daten aus deinem Heimnetzwerk abzusaugen. Wer dann Zugriff auf diese Daten hat, die du bei dir Zuhause hin und her schickst – und das ist jetzt nicht nur Backofen an Backofen aus, sondern Onlinebanking, E-Mails, Passwörter und so weiter, kann unter Umständen damit auch kriminelle Sachen umsetzen, also zum Beispiel mit einem Identitätsmissbrauch. Die Daten können für das sogenannte Doxing genutzt werden – wenn Daten einer Person gezielt beschafft werden, um diese dann im Netz zu veröffentlichen. Oft wird damit das Ziel verfolgt, der Person zu schaden. Zum Beispiel kann durch das Offenlegen vermeintlich brisanter Daten ein Imageverlust von Personen erreicht werden.

Lange: Du hast vor ein paar Folgen erwähnt, dass es von dir angeblich brisante kompromittierende Fotos gegeben haben soll.

Münz: Aber nicht gibt! Deswegen konnte ich das damals getrost löschen, was mir da als Erpresser-E-Mail in den Posteingang kam.

Lange: Aber du hast schon ein paar Minuten darüber nachgedacht, oder?

Münz: Habe ich, weil dort tatsächlich ein altes, von mir nicht mehr genutztes, Passwort stand. Da war ich wirklich für einen Moment ein bisschen irritiert, weil ich dachte: „Ok, diese E-Mail enthält mehr Informationen als alle anderen, die ich bislang erhalten habe“. Aber wie gesagt: Nach kurzer Recherche und 15 Minuten Klarkommen habe ich sie dann einfach gelöscht und das war es dann auch.

Lange: Wie kann man denn diese Tücken, die einen über Smarthome-Geräte eventuell treffen können im Alltag, verhindern?

Münz: Da kann man so einiges machen! Ein paar Sachen sollte man sowieso längst gemacht haben und ein paar sind ein bisschen spezifischer oder für Fortgeschrittene.

Lange: Jetzt gehe ich davon aus, dass der Router, den man braucht, um das überhaupt alles machen zu können, in die Kategorie „Sollte man ohnehin machen“ fällt.

Münz: Das hätte ich auch gesagt. Der ist ja schließlich das Tor zum Internet. Trotzdem steht der oft irgendwo in der Ecke, wo man dieses ständige Blinken nicht so sehen kann. Wenn alles läuft, verschwindet der ohnehin aus dem Fokus. Angeschlossen, eingerichtet, verbunden – und dann kann die Kiste irgendwie mal Ruhe geben.

Lange: Naja, aber wie bei vielen Geräten auch – du hast es vorhin erwähnt – sollte man nicht aus dem Blick verlieren, aktuelle Firmware oder auch verfügbare Updates zu installieren. Das kann tatsächlich ein Einfallstor werden. Das haben wir schon öfter besprochen. Was bei einem neuen Gerät, wenn man das einrichtet und wir ganz von vorne anfangen, wichtig ist: nicht das voreingestellte Passwort drinlassen. Wenn der Router so abgesichert ist – wir fangen jetzt tatsächlich ganz von vorne an, was folgt als nächstes? Was würdest du als nächstes machen?

Münz: Ich würde sagen, dann kommt die Firewall: im Prinzip ein Programm im Router, das ein- und ausgehende Signale beobachtet und darauf achtet, dass nichts Unerwünschtes in mein Heimnetz rein- oder herauskommt. Wenn der Router keine Firewall hat, sollte man, wenn möglich, auf den Endgeräten jeweils eine installieren.

Lange: Gutes Stichwort! Auch auf Endgeräte sollte man sicherlich Updates der jeweiligen Software laden. Das ist ein bisschen so wie ein Wettrennen zwischen Hackern und Kriminellen und den Herstellern dieser Geräte. Die Kriminellen haben ein Geschäftsmodell: Die lassen sich immer neue Ideen einfallen, wie sie unsere Daten, unsere Geräte kompromittieren oder infizieren können. Die Hersteller versuchen es mit aktualisierten Betriebssystemen einzudämmen. Das heißt, wenn ich eine Nachricht kriege – ich habe nämlich gerade schon wieder eine auf meinem Bildschirm, was verfügbar ist und was ich doch bitte installieren sollte, dann ist das nicht, um mich zu ärgern. Manchmal nervt es mich zugegebenermaßen, aber es stellt sicher, dass sich niemand unerlaubt an meinen Daten zu schaffen macht. Wenn ich mir jetzt so einen Backofen kaufen möchte oder ein anderes Küchengerät oder einen neuen Fernseher, dann sollte ich die auf den neuesten Stand halten können und gucken, ob das Modell, das ich mir aussuche, das auch bietet.

Münz: Genau, das ist echt komisch! Genau das mache ich gerade! Ich will mir einen Staubsaugerroboter kaufen, der dann hier durch die Wohnung rollt und mir die Arbeit abnimmt und gerne auch die Arbeit machen kann, während ich nicht da bin. Vor einem Jahr hätte ich geguckt: Wie laut ist das Ding? Wie lange hält der Akku? Fährt er von allein zurück zur Station oder fährt er nach einem Plan? Oder eiert er einfach ohne Plan durch die Gegend und bleibt ständig an einem Tischbein hängen? Aber jetzt aktuell achte ich auch darauf: Hat das Ding eine App? Ist so ein Staubsaugerroboter vielleicht von außen ansteuerbar? Ich finde es mega, auf der Arbeit zu sitzen und dann zu denken: „Oh, ich fahre in einer Stunde nach Hause, dann kann der Apparat schon mal losrollen, alles sauber machen und mir schön den roten Teppich auslegen“. Das fand ich eine richtig schöne Vorstellung.

Lange: Ja, das ist eine nette Vorstellung!

Münz: Der darf mir auch gern mit einem Kaffee auf dem Rücken entgegenkommen. Aber aufgrund der ganzen Netzwerk- und Zugang-Sicherheitsthemen bin ich etwas ins Grübeln gekommen. Klar, Updates sind ein Thema, aber schön wäre auch, den Komfort zu haben, dass der Apparat verschlüsselt kommuniziert. Denn wenn die Daten unverschlüsselt durchs Netz wandern, dann können Dritte sie abfangen und eben auch leicht auslesen.

Lange: Was du aber vielleicht auch machen könntest; dann kannst du aber das mit dem „Ich ruf den Roboter von unterwegs an und er soll schon mal sauber machen“ wahrscheinlich nicht machen: Du könntest solche Geräte vom Internet trennen. Du kannst sie mit deinem Heimnetz verbinden, aber dann sind sie nicht mit dem Internet verbunden. Den Plan musst du dann aufgeben. Du musst warten, bis du zu Hause bist. Du könntest aber sicher gehen, dass keiner Daten von draußen reinspielen kann und dein Saugroboter würde sie auch nicht heraussenden.

Münz: Der würde dann nur Staub und keine Daten sammeln, meinst du?

Lange: Genau, er würde seine ursprüngliche Funktion wahrnehmen.

Münz: Ok, darüber denke ich mal nach. Wobei das natürlich sehr komfortabel wäre, eine blitzblank gestaubsaugte Wohnung zu kriegen. Aber ja, darüber denke ich noch einmal nach.

Lange: Ich bin gespannt, wie du dich entscheidest.

Münz: Das kann noch ein bisschen dauern. Aber weil du gerade vom Heimnetz sprachst, kommt mir eine Idee, von der mir ein Kollege erzählte. Man kann auch im Heimnetz einen Bereich einrichten, der nur für die Geräte zur Verfügung steht. Du kennst das vielleicht von Routern, dass man ein WLAN nur für Gäste einrichtet. Dieses WLAN für die Gäste hat dann ein anderes Passwort als mein eigentliches WLAN, wo ich sonst immer unterwegs bin. Auf dem Weg kann ich zum Beispiel vermeiden, dass mir von draußen jemand Viren oder Schadsoftware ins Haus trägt – auf dem Telefon oder auf dem Laptop oder so. In die Richtung geht auch der Tipp, den mir mein Kollege letztens erzählt hat. Er hat für die Thermostate und Jalousien in seinem Heimnetz einen eigenen Bereich eingerichtet, aus dem man nicht in die eher sensiblen Bereiche kommt. Das heißt, die Steuerung der Temperatur läuft über den eigenen Bereich, aber Onlinebanking zum Beispiel läuft dann über einen anderen, anders geschützten Bereich.

Lange: Das klingt doch ganz passabel. Dann kannst du zwar immer noch nicht von außen deinem neuen Zimmergenossen den Befehl zum Saugen geben, aber dafür bist du sicher.

Münz: Ja, genau, das ist schon einmal gut. Da hast du recht. Ich habe schon erwartet, dass das Stichwort wird?

Lange: Sicher, ja, welches denn? Kannst du neuerdings Gedanken lesen?

Münz: Ich habe gedacht: Wenn ich das sage, dann kommt bestimmt so ein ganz naheliegendes Ding, was du gern wie Salz in die offene Wunde schreibst. Nämlich? Sag es!

Lange: Passwörter?

Münz: Ich wusste es! Ja, weil das natürlich echt ein wichtiges Thema ist! Was wir vorhin beim Router schon hatten, gilt natürlich für alle anderen Geräte auch. Bei Inbetriebnahme ein eigenes individuelles Passwort setzen! Wenn möglich auch Zwei-Faktor-Authentisierung nutzen! Den Mehrwert hast du mir beim letzten Mal so schön erklärt. Deine Eselsbrücke habe ich mir super gemerkt. Wissen und besitzen – das war es, oder?

Lange: Ja! Hoffentlich weißt du auch noch, was sich hinter Wissen und Besitzen verbirgt.

Münz: Ja! Ich weiß das Passwort und ich kriege dann von dem Dienst auf ein Gerät, das ich noch besitze, eine zusätzliche Authentisierung geschickt. Also Onlinebanking am Laptop und TAN aufs Handy! So was war das.

Lange: Perfekt, wunderbar! Schön, wenn man Wirkung erzielt! Wenn du jetzt noch ganz sicher gehen willst, wenn diese ganzen Tipps und Tricks, die wir gerade ausgetauscht haben, noch nicht ausreichen, dann kann man sich auch noch ein virtuelles privates Netzwerk einrichten, kurz VPN. Wir haben das alle wahrscheinlich jetzt in der Pandemiezeit beim Thema Home-Office viel gehört.

Münz: Ich habe das auch gehört und ich habe auch gehört, dass es sehr sicher sei. Aber was genau hat es damit auf sich? Woher kommt die Behauptung, dass es so sicher sein soll?

Lange: Ja, das ist so eine Art Tunnel, der zwischen zwei Punkten gestaltet wird. So ganz technisch kann ich das nicht erklären. Das ist auch nicht meine Aufgabe. Ich muss es verstehen. Das heißt, wenn Firmen zum Beispiel sicherstellen wollen, dass an die Daten, die die Mitarbeitenden auf dem Laptop oder auf dem Rechner Zuhause bearbeiten und die sie vom Firmennetzwerk holen, von außen keiner herankommt. Da wird es technisch so gut abgesichert, dass das nicht der Fall ist, wenn du so ein VPN hast.

Münz: Es ist also ein Tunnel, wo am Eingang und am Ausgang die Daten hinein- und herausgehen. Ansonsten gibt es aber keinen weiteren Zugangspunkt für einen Zugriff von außen gibt?

Lange: Genau, und dann bist du wirklich in alle Richtungen abgesichert.

Münz: Das klingt jetzt schon wie ein Tipp für Fortgeschrittene. Ich müsste mir das dann auch erst einmal ein bisschen genauer ansehen, wie das geht. Gibt es vielleicht noch den einen oder anderen Tipp, der leichter zu beachten ist. Du kennst mich doch und meine Liebe zur Bequemlichkeit.

Lange: Ja, klar! Das ist eher ein analoger Tipp. Man kann auch überlegen, wo man zum Beispiel seinen Router oder seine Endgeräte hinstellt. Sie sollten nicht am Fenster stehen: Wenn zum Beispiel mal jemand hineinguckt und sich Mühe gibt herauszufinden, wer der Hersteller dieses Produktes oder Gerätes ist, dann können Menschen, die Übles wollen und sich gut auskennen, Rückschlüsse daraus ziehen und sich dann vielleicht trotzdem Zugang auf deinen Datenstrom verschaffen. Manchmal ist es noch viel banaler: Wenn du so einen digitalen Assistenten hast, der dein smartes Türschloss steuern soll, dann solltest du den nicht unbedingt direkt am offenen Fenster stehen lassen. Da hat man sonst vielleicht flott zugegriffen.

Münz: Ja, das stimmt! Das verstehe ich gut und ist total nachvollziehbar. In die Kategorie fällt vielleicht noch ein letzter Tipp, den ich habe. Der ist wie für mich gemacht. Nämlich: Wenn ich die Geräte nicht brauche, mache ich sie aus. Wenn ich weiß, dass ich ein paar Tage nicht da bin, dann ziehe ich bei meinem Router und den anderen Geräten einfach den Stromstecker und dann war es das mit dem Datenfluss.

Lange: Super und auch ganz einfach! Dafür wird keine Betriebsanleitung benötigt. Den Stecker herauszuziehen, schaffen wir alle. Jetzt haben wir aber doch eine ganze Menge Tipps und Tricks zusammengestellt. Kannst du das noch einmal zusammenfassen, so ganz kurz?

Münz: Willst du wissen, ob ich zugehört habe? Ok, ich versuche es mal. Ich fange mit den leichstesten und verständlichsten Tipps und dann arbeite ich mich mehr zu den komplizierten. Klar, predigen wir immer: regelmäßige Updates und individuelle Passwörter für jedes im Heimnetz betriebene Gerät. Zudem sollte man sich überlegen, wo man die Geräte hinstellt und ob die wirklich tagein tagaus an sein müssen. Dann wird es ein bisschen komplizierter: zum Beispiel das Heimnetz in Bereiche einteilen, sodass sensible Daten nicht an der Kaffeemaschine abgefangen werden können, oder auch die Einrichtung von so einem VPN. Habe ich etwas vergessen?

Lange: Ich glaube, das waren alle wichtigen Punkte in Kürze. Wenn unsere ZuhörerInnen sich das nicht alles im Schnelldurchlauf merken konnten oder wollten, dann stellen wir die ganzen Links, die das BSI dazu anbietet, noch einmal in die Shownotes. Bevor wir jetzt gleich Tschüss sagen: Haben wir noch andere Infos für unsere ZuhörerInnen?

Münz: Ja, einer wäre da noch, nämlich der Hinweis vorausschauend auf die nächste Folge! Denn dieses Mal wollen wir noch umso mehr dazu auffordern, uns Vorschläge zu machen, über welches Thema wir in der nächsten Folge informieren und worüber Sie, unsere ZuhörerInnen, beim nächsten Mal mehr erfahren möchten. Kontaktieren kann man uns über die BSI-Kanäle auf Facebook, auf Instagram, Twitter sowie YouTube. Und die gute alte E-Mail-Adresse gibt es auch noch. Die Adresse lautet bsi@bsi.bund.de. Wir freuen uns auf Post, wo immer die auch ankommt.

Lange: Ich bin ziemlich gespannt, welches Thema Sie uns auf den Schreibtisch legen, worüber wir beim nächsten Mal dann sprechen sollten. Deswegen auch noch einmal der Hinweis, dass man uns hören kann auf Spotify, Deezer, Google und iTunes. Also bitte gern abonnieren, liken, uns Rückmeldung schicken und weitersagen, dass es diesen Podcast gibt! Wir würden uns sehr freuen, auch Tipps und Erfahrungen aus Ihrem digitalen Alltag zu hören. Was haben Sie für Erlebnisse? Vielleicht können wir noch etwas von Ihnen lernen.

Münz: Genau, ein paar coole Life-Hacks, finde ich natürlich auch gut! Bis dahin aber erst einmal eine gute Zeit und, vor allem, bleiben Sie gesund!

Lange: Tschüss dem Home-Office und hoffentlich bis bald wieder aus dem BSI.

Besuchen Sie uns auch auf:

https: //www.bsi.bund.de/https://www.facebook.com/bsi.fuer.buergerhttps://twitter.com/BSI_Bund https://www.instagram.com/bsi_bund/

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn