Passkeys sind eine neue Art, sich online zu authentifizieren, ohne dabei auf herkömmliche Passwörter angewiesen zu sein. Im Gegensatz zu Passwörtern, die aus einer Zeichenkette bestehen und bisweilen leicht zu erraten oder zu stehlen sind, basieren Passkeys auf kryptografischen Schlüsseln, die wesentlich sicherer sind. Einfach gesagt: Passkeys sind digitale Schlüssel, die auf einem persönlichen Gerät wie Smartphone oder Notebook gespeichert werden und den Zugang zu Online-Konten ermöglichen. Das Verwalten und Eingeben von Passwörtern ist damit nicht mehr erforderlich – die Anmeldung erfolgt automatisch und sicher.

Wie funktionieren Passkeys?

Die Funktionsweise von Passkeys basiert auf dem Konzept der asymmetrischen Kryptografie. Dies bedeutet, dass für jede Anmeldung zwei Schlüssel generiert werden: ein öffentlicher Schlüssel und ein privater Schlüssel.

• Öffentlicher Schlüssel: Dieser wird auf dem Server des Dienstes gespeichert, bei dem Sie sich anmelden möchten.
• Privater Schlüssel: Dieser verbleibt sicher auf dem persönlichen Gerät (z. B. Smartphone, Laptop oder Tablet).

Wenn Sie sich bei einem Dienst anmelden, sendet der Dienst eine Anfrage an Ihr Gerät. Ihr Gerät verwendet den privaten Schlüssel, um diese Anfrage zu signieren, und sendet die signierte Anfrage zurück an den Dienst. Der Dienst überprüft die Signatur mit dem öffentlichen Schlüssel. Stimmt alles überein, erhalten Sie Zugang.

Der Clou dabei: Ihr privater Schlüssel verlässt niemals Ihr Gerät. Selbst wenn ein Hacker den Server des Dienstes kompromittiert, kann er mit dem öffentlichen Schlüssel alleine nichts anfangen.

Warum sind Passkeys sicherer als Passwörter?

Passwörter haben einige grundlegende Schwachstellen. Sie können:

1. Erraten werden, besonders wenn sie einfach sind.
2. Gestohlen werden, z. B. durch Phishing-Angriffe.
3. Wiederverwendet werden, was ein grosses Risiko darstellt, wenn einer der genutzten Dienste kompromittiert wird.

Passkeys umgehen all diese Probleme:

• Sie sind einzigartig und werden für jedes Konto individuell erstellt.
• Sie können nicht gestohlen werden, da der private Schlüssel niemals das Gerät verlässt.
• Es gibt keine Phishing-Gefahr, da der gesamte Prozess automatisch abläuft und Sie niemals sensible Informationen manuell eingeben müssen.

Wo werden Passkeys bereits eingesetzt?

Grosse Technologieunternehmen wie Apple, Google und Microsoft haben Passkeys bereits in ihre Systeme integriert. Wenn Sie ein iPhone, ein Android-Gerät oder einen Windows-PC verwenden, haben Sie also wahrscheinlich schon die Möglichkeit, Passkeys zu nutzen. Viele Websites und Apps bieten diese Funktion ebenfalls an, wie beispielsweise Amazon, DocuSign, eBay, iCloud, LinkedIn, OneDrive, PayPal oder Twitter.

Wie nutzt man Passkeys?

Die gute Nachricht ist, dass Passkeys benutzerfreundlich sind. Die meisten modernen Geräte, wie Smartphones und Laptops unterstützen Passkeys bereits. Die Verwendung ist einfach:

1. Einmalige Einrichtung: Wenn Sie sich das nächste mal bei einem neuen Dienst oder Webseite registrieren, die Passkeys unterstützt, wählen Sie die Option “Login über Passkeys” (oder ähnlich) aus. Ein Passkey wird automatisch für Sie erstellt und auf Ihrem Gerät gespeichert.
2. Anmeldung: Bei zukünftigen Anmeldungen wird Ihr Gerät automatisch erkennen, dass ein Passkey verfügbar ist, und die Authentifizierung erfolgt nahtlos.

Meist können auch biometrische Methoden wie Fingerabdruck oder Gesichtserkennung verwendet werden, um den Prozess noch schneller und sicherer zu machen.

Fazit

Passkeys sind ein bedeutender Schritt in Richtung eines sichereren Internets. Sie bieten nicht nur besseren Schutz vor den Gefahren, die mit Passwörtern einhergehen, sondern sind auch wesentlich bequemer in der Anwendung. Es lohnt sich, diese Technologie im Auge zu behalten und Schritt für Schritt in den Alltag zu integrieren. So sind Sie bestens gerüstet für die Zukunft der digitalen Sicherheit.

Dem Sicherheitsreport zufolge teilt sich die Entwicklung von Schadprogrammen in zwei Bereiche auf: Einerseits nimmt der Einsatz von Massen-Malware (automatisiert erstellte Schadprogramme) für breit angelegte Online-Attacken weiter stark zu. Anderseits entwickeln Cyberkriminelle vermehrt ausgeklügelte Malware für zielgerichtete Angriffe auf Unternehmen und deren digitale Infrastruktur.

Des Weiteren zeigt der Report auf, dass der Schutz bei Android- und macOS-Systemen nach wie vor mangelhaft ist.

Den AV-TEST Sicherheitsreport 2019/2020 sowie Antworten auf die Fragen zur aktuellen Bedrohungslage finden Sie hier.

An dieser Stelle haben wir schon des Öfteren auf die Gefahren von Cyberangriffen hingewiesen. Dass es sich dabei keineswegs um eine abwegige Utopie handelt, sondern um ein sehr präsentes Risiko, unterstreicht der kürzliche Vorfall bei «Hellocut». Hellocut ist der schweizweit grösste Anbieter eines Online-Buchungs- und Kassenystems für Coiffeure und hat am 15. November 2018 durch einen Cyberangriff vorübergehend sämtliche Daten verloren – einschliesslich der Daten aller angeschlossenen Salons. Für die betroffenen Betriebe eine äusserst unangenehme Situation und für uns ein Grund zu hinterfragen, inwiefern der Betreiber, aber auch die Kunden selbst, ihren Sorgfaltspflichten nachgekommen sind.

Was ist aus Sicht Everyday IT schiefgelaufen?

Die verheerenden Auswirkungen des Angriffs legen nahe, dass der Anbieter seine IT nicht im Griff hatte. Das ist für den Kunden nicht ohne Weiteres ersichtlich und der Kunde kann es auch nur sehr eingeschränkt beeinflussen.

Andererseits haben sich die Kunden wohl auch zu wenig dafür interessiert, wie ihre geschäftskritischen Daten gespeichert werden.

Dazu ist nun folgendes festzuhalten:

• Jeder Internet-Teilnehmer – auch Sie – kann jederzeit Opfer solcher Angriffe werden.
• Beim Speichern von geschäftsrelevanten Daten sollten Sie daher immer im Vorfeld mögliche Risiken abklären und bewerten. Diese Aufgabe können Sie auch jemandem übertragen.
• Überschreiten bei den identifizierten Risiken die Eintretenswahrscheinlichkeit und das Schadenpotenzial ein bestimmtes Mass (nämlich die Risiko-Toleranzgrenze), müssen Vorkehrungen getroffen werden.
• Da die Aufbewahrung kritischer Geschäftsdaten von höchster Wichtigkeit ist, ist die Risiko-Toleranzgrenze dementsprechend tief. Also muss hier genau hingeschaut werden!

Informationssicherheit: Elementares Kriterium bei der Anbieterwahl

Im Fall der Nutzung von Cloud-Diensten würde es also beispielsweise Sinn machen, sich beim Anbieter nach dessen Schutzmassnahmen zu erkundigen. Bei nicht überzeugenden Antworten sollte entweder ein anderer Anbieter berücksichtigt oder – sofern möglich – die Schutzziele durch eigene Massnahmen gewährleistet werden.

Wer sollte diese Abklärungen vornehmen?

Das Einholen, Einordnen und Bewerten der Auskünfte sollte durch jemanden erfolgen, der die Wirksamkeit der Massnahmen auch tatsächlich beurteilen kann. Denn was für einen Laien zufriedenstellend klingen mag, muss noch lange keinen effektiven Schutz bedeuten. Es lohnt sich, in dieser wichtigen Phase eine Fachperson beizuziehen, welche die Abklärungen erst noch sehr viel schneller und damit kostengünstig erledigen kann.

Sicherheit ist auch eine Vertrauensfrage. Gerne empfehlen wir uns in Informatikfragen als zuverlässigen Partner.

Der Software-Hersteller Microsoft hat die Auslieferung seines aktuellen Updates für Windows 10 gestoppt. Damit reagiert das Unternehmen auf Meldungen von Nutzern, dass nach der Aktualisierung persönliche Dateien fehlen.

Automatische Updates: Empfehlenswert oder nicht?

Wer auf seinem Computer Windows 10 hat, bekommt mit den Standardeinstellungen die neuesten Updates automatisch aufs System geladen. Dadurch wird sichergestellt, dass aktuelle Programmverbesserungen auf möglichst vielen Windows-PCs installiert werden. Aus Sicherheitsgründen ist das prinzipiell empfehlenswert und in der Regel verläuft die Verteilung völlig unproblematisch.

So bleiben Ihre Daten sicher

Dass dennoch jedes Update auch Risiken birgt, darüber klärt Microsoft seine Nutzer nicht konsequent auf. Doch grundsätzlich kann jede Interaktion mit dem Computer die letzte sein, bevor eine Festplatte ihren Dienst verweigert oder ein Programm einen Fehler aufweist.

Deshalb sollten Nutzer ihre Daten immer gesichert haben, um sie im Schadenfall wiederherstellen zu können. Wie das geht, können Sie in unserem Artikel «So sichern Sie Ihre Daten richtig» nachlesen.

Über das sogenannte Phishing versuchen Cyberkriminelle an geheime Nutzerdaten zu kommen. Dazu verschicken die Angreifer E-Mails und versuchen die Empfänger mit psychologischen Tricks wie dem Erzeugen von Neugier, Angst oder Handlungsdruck dazu zu bringen, auf einen Link zu klicken oder den Anhang zu öffnen. Die Qualität solcher E-Mails und der zugehörigen Webseiten nimmt laufend zu, was Angreifern zu noch besseren Chancen verhilft. Die Erfolgsquote bricht aber drastisch ein, wenn dem Empfänger bekannt ist, wie Phishing-Angriffe in der Praxis üblicherweise ablaufen. Es ist daher sinnvoll, sich das Prinzip eines Angriffs zu verinnerlichen. In der Regel besteht er aus zwei Schritten:

Schritt 1: Versand einer Phising-E-Mail

Im ersten Schritt versenden die Angreifer eine möglichst offiziell anmutende E-Mail. Diese sehen aus, als kämen sie von Banken, Online-Shops oder sonstigen Webseiten mit persönlichen Konten. Dabei wird versucht, das Opfer mit einem der folgenden Ansätze zu einer Reaktion zu verleiten:

• Der Empfänger wird mit einem Problem konfrontiert – häufig geht es darum, dass er seine Daten bestätigen soll. In diesem Fall enthält die E-Mail einen Link zu einer betrügerischen Webseite.
• Alternativ enthält die E-Mail einen Anhang, dessen Bezeichnung so gewählt wurde, dass sie den Empfänger zum Öffnen verleitet. Beim Anhang handelt es sich um Malware.

Schritt 2: Abgreifen von geheimen Daten

Klickt der Nutzer auf den Link in der E-Mail oder öffnet er den Anhang, startet Teil zwei des Angriffs:

• Im Fall des angeklickten Links wird eine betrügerische Webseite geöffnet. Diese ist vom Original kaum zu unterscheiden, sodass Nutzer immer wieder darauf hereinfallen. Wer sich auf der gefälschten Seite einloggt, sendet seine Zugangsdaten an die Angreifer. Häufig wird unter einem Vorwand ausserdem zur Bekanntgabe von weiteren Daten aufgefordert, beispielsweise zur Kreditkarte. Die so erhaltenen Daten nutzen die Angreifer dazu, die Identität des Opfers zu übernehmen und es zu schädigen.
• Im Fall des geöffneten Anhangs nistet sich eine Schadsoftware auf dem Computer des Opfers ein. Diese sammelt in der Folge Daten, welche die Angreifer zur Schädigung des Opfers verwenden können. In anderen Fällen wartet die Software den Besuch bestimmter Onlinedienste ab und leitet den Computer automatisch und unbemerkt auf gefälschte Webseiten um. Der weitere Verlauf erfolgt dann wiederum nach dem vorstehenden Punkt.

Tipps, um Phishing zu erkennen

Bei E-Mails:

• Das E-Mail enthält eine Aufforderung, auf einen Link oder Knopf im Mail zu klicken. Durch Erzeugung von Neugier, Angst oder Handlungsdruck wird versucht, eine Handlung zu provozieren.
  Beispiel: «Bei Ihrem Konto wurden nicht autorisierte Aktivitäten festgestellt. Klicken Sie hier, um sich anzumelden und das Problem zu beheben.»
• Die in der E-Mail enthaltene Adresse weicht von der offiziellen Webseitenadresse ab. Fahren Sie mit dem Mauszeiger über den mitgeschickten Link. So wird die tatsächlich hinterlegte Adresse in einer Sprechblase angezeigt. Kontrollieren Sie nun, ob es sich 1:1 um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: Im untenstehenden E-Mail entspricht die Adresse in der Sprechblase (paypal-chk.com) nicht der offiziellen Webseitenadresse (paypal.com):
  

• Sie werden nicht mit Ihrem Namen angesprochen. Anbietern, bei denen Sie ein Benutzerkonto haben, ist Ihr Name in der Regel bekannt. Ist die Ansprache dennoch unpersönlich, kann von einer Fälschung ausgegangen werden.
  Beispiel: «Sehr geehrter Kunde»
• Die Zustellung des E-Mails an Sie ist nicht plausibel. Die E-Mail kam unerwartet. Sie haben keine entsprechende Handlung vorgenommen oder in der E-Mail sind nur vage Angaben enthalten.
  Beispiel: «Ihre Bestellung bei Zalando wurde storniert» oder «Ihre Quittung N-58434759 vom 7.5.2018» (Bemerkung: Als Anhang wird ein Dokument mitgeschickt)
• E-Mail enthält interessanten Anhang. Die Bezeichnung des Anhangs erweckt Neugier, scheint aber nicht für Sie bestimmt, resp. Sie erhalten die deklarierten Informationen üblicherweise nicht.
  Beispiel: «Lohndaten 2018.doc»
• Unbekannter Absender. Die E-Mail wurde Ihnen von einer fremden Person unerwartet zugeschickt.
• Rechtschreib- und Grammatikfehler. Oft ist es das Ergebnis einer Computerübersetzung. Zwar wird die Qualität immer besser, fehlerhafte Texte bleiben aber in jedem Fall ein Warnsignal.
  Beispiel: «Aktualisieren Sie Ihre Kredit karteninformationen !»

Bei Webseiten:

• Kein Schloss-Symbol in der Adresszeile (unverschlüsselte Verbindung). Sollte ein Schloss-Symbol fehlen, handelt es sich in jedem Fall um eine unsichere Webseite. Achten Sie bei grossen Anbietern zudem darauf, ob neben dem Schloss der Firmenname in grüner Schrift aufgeführt ist (Extended-Validation-Zertifikat). In diesem Fall wurde die Webseite von einer Zertifizierungsstelle auf Echtheit geprüft.
• URL weicht von der offiziellen Webseitenadresse ab. Kontrollieren Sie in der Adresszeile des Browsers, ob es sich beim Adressteil in schwarzer Schrift tatsächlich um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: «https://www.paypal-chk.com/» statt «https://www.paypal.com/»
• Beliebige Login-Daten werden akzeptiert. Zweck einer Phishing-Webseite ist das Sammeln von Zugangsdaten. Gelingt das Login mit Fantasie-Angaben, handelt es sich eindeutig um eine unsichere Webseite.

Kontaktieren Sie uns, falls Sie mehr über Onlinesicherheit erfahren wollen.

Die Änderungen gelten für Nutzer der neuesten Version von Google Chrome (Version 68). Beim Aufruf von Webseiten, die nicht mit HTTPS und gültigem SSL/TLS-Zertifikat gesichert sind, erscheint ab sofort die Warnung «Nicht sicher». Mittelfristig wird die Warnung sogar noch deutlicher ausfallen. Weitere Hersteller dürften diesem Beispiel bald folgen.

Mit diesem Vorgehen will Google Webseitenbetreiber, welche die Kommunikation noch immer unverschlüsselt übertragen, motivieren, auf HTTPS zu wechseln. Das ist zumutbar, da entsprechende Zertifikate seit der Initiative von Let’s Encrypt im Jahr 2015 auch kostenlos erhältlich sind.

Abgesehen von Sicherheitsvorteilen hat HTTPS übrigens auch kommerzielle Vorteile für Seitenbetreiber: Suchmaschinen – allen voran Google – bevorzugen HTTPS-Seiten beim Ranking.

Falls Sie mehr über SSL/TLS-Zertifikate und Onlinesicherheit erfahren wollen, kontaktieren Sie uns.

Unter Cloud Speicher versteht man Speicherplatz, der ausschliesslich über das Internet zugänglich ist. Anbieter gibt es viele und nicht alle schneiden in Sachen Datenschutz und Datensicherheit gut ab. Aber was sind sinnvolle Kriterien, die für einen Anbieterentscheid angelegt werden können?

Standort des Anbieters

Zuallererst sollte man sich klarmachen, dass man mit der Nutzung von Cloud Speicher seine Daten einem Dritten weitergibt.

Da im Internet viele Daten von Nachrichtendiensten systematisch aufgezeichnet und ausgewertet werden, ist gerade bei ausländischen Anbietern wie z. B. Dropbox, Microsoft, Google etc. Vorsicht geboten. Besseren Schutz bieten Anbieter aus der Schweiz, welche die Daten ausschliesslich in der Schweiz speichern. Das schützt zwar nicht komplett vor Spionage, erschwert den Zugriff für ausländische Nachrichtendienste aber deutlich. Ein weiterer Vorteil ist, dass in der Schweiz strengere Datenschutzgesetze gelten als in vielen anderen – vor allem nicht europäischen – Ländern.

Schutz vor Passwort-Missbrauch

Selbstverständlich sollte immer ein sicheres Passwort verwendet werden. Doch selbst das sicherste Passwort ist wirkungslos, sollte es in falsche Hände geraten.

Entscheiden Sie sich daher für einen Anbieter, der die Anmeldung mit Zwei-Faktor-Authentifizierung unterstützt und nutzen Sie dieses Feature auch. Dabei wird ergänzend zum Passwort ein Bestätigungscode abgefragt, welcher zuvor separat übermittelt wurde – meist auf das Mobiltelefon. Selbst wenn also einem Angreifer das Passwort bekannt sein sollte, bräuchte er immer noch Zugang zum Mobiltelefon des entsprechenden Benutzers, um auf dessen Daten zuzugreifen.

Sichere Datenübertragung

Verwenden Sie auf jeden Fall einen Dienst, der Ihre Daten verschlüsselt überträgt. Im Browser ist dies z. B. der Fall, wenn am Anfang der Adresszeile «https://» steht und ein Schloss-Symbol angezeigt wird. Werden die Daten nicht gesichert übertragen, sind diese für Unbefugte einsehbar!

Auch wenn Sie den Cloud Dienst über ein installiertes Programm nutzen, muss sichergestellt sein, dass die Daten über eine verschlüsselte Verbindung übermittelt werden.

Sichere Datenspeicherung

Bei Cloud Speichern vertrauen Sie Ihre Daten einem Dritten zur Aufbewahrung an. Besonders kritisch wird die Nutzung von Cloud Diensten, wenn dort sensible oder sogar besonders schützenswerte Daten fremder Personen gespeichert werden. Bei letzterem kann zudem schnell ein Verstoss gegen das Datenschutzgesetz (DSG) vorliegen.

Dem Schutzziel der Vertraulichkeit ist also besondere Aufmerksamkeit zu schenken. Die meisten Cloud Anbieter speichern heutzutage die Daten zwar verschlüsselt ab. Vor neugierigen Blicken des Anbieters selbst schützt diese Massnahme aber nicht zwingend.

Indem Sie auf einen Anbieter mit Zero-Knowledge-Architektur setzen, hat niemand ausser Ihnen die Schlüssel zu Ihren Daten, nicht einmal der Anbieter. Dies ist der derzeitige Goldstandard, um Ihre Daten in der Cloud zu schützen.

Grundsatzfragen klären

Neben der Auswahl eines geeigneten Anbieters stellen sich auch ganz grundsätzliche Fragen:

• Welche Daten sollten überhaupt in die Cloud ausgelagert werden?
• Wie sind diese Daten vor Verlust geschützt?
• Erfüllt der anvisierte Anbieter mein Schutzbedürfnis?

Zu wenig Zeit, sich mit dem Thema selbständig auseinanderzusetzen? Dann freuen wir uns auf Ihre Kontaktaufnahme. In einem Proof of Concept klären wir für Sie, welche Daten mit welchen Konsequenzen in die Cloud ausgelagert werden können. Wir sind mit allen im Artikel genannten Technologien per Du – und mit vielen anderen mehr.

Trotz grösster Vorsichtsmassnahmen ist niemand völlig gegen Datenverlust geschützt. Zu zahlreich sind die Möglichkeiten, Daten zu verlieren:

• Datenträger werden durch Sturz, Alterung, Flüssigkeit oder Feuer beschädigt
• Dateien werden von einer Schadsoftware verändert
• Unerwartete Abschaltungen, unterbrochene Startvorgänge oder Treiberkonflikte erzeugen Fehler in den logischen Strukturen eines Laufwerks
• Daten werden aus Versehen oder eventuell auch vorsätzlich gelöscht
• Diebstahl oder anderweitigen physischen Verlust von Speichergeräten

Vielfalt schützt am besten

Die Fülle der möglichen Probleme legt nahe, dass eine wirksame Sicherungsstrategie ebenfalls auf Vielfalt setzen muss. Deshalb ist der wichtigste Grundsatz die «diversifizierte Redundanz». Das heisst, neue Dateien sollten möglichst rasch vervielfacht und – ganz wichtig – mit unterschiedlichen Methoden gespeichert werden in der Absicht, die Daten im Fall eines Datenverlustes zurückkopieren zu können. Solche Kopien werden gemeinhin als Sicherungskopien bezeichnet. Und warum ist die Methodenvielfalt so wichtig? Ganz einfach, um die Sicherungskopien vor den verschiedenen Bedrohungsformen zu schützen.

Szenarien vorhersehen

Der Schutzgrad nimmt dabei mit der Methodenvielfalt der Sicherungen zu. Beispielsweise kann nach dem Ausfall einer Computerharddisk sehr rasch eine Sicherungskopie von einem lokalen Netzwerkspeicher (NAS) zurückgeholt werden, wobei die Geschwindigkeit ein Vorteil darstellt. Allerdings bietet das lokale NAS keinen sicheren Schutz vor einer Schadsoftware, welche alle direkt erreichbaren Speicherorte in Mitleidenschaft zieht. Plündernde Einbrecher oder ein Brandfall sind mögliche Szenarien, welche es erforderlich machen, zusätzlich Kopien ausserhalb der eigenen Räumlichkeiten aufzubewahren.

Es gilt also, verschiedene Sicherungsarten – wie Festplatte, Wechselmedien oder cloudbasierte Dienste – so zu kombinieren, dass sie ihre Vorteile ausspielen können, während ihre Nachteile von den anderen Möglichkeiten kompensiert werden.

Lösung abstimmen

Da im Einzelfall unterschiedliche Voraussetzungen, Anforderungen und Budgets berücksichtigt werden müssen, existiert leider keine Patentlösung. Die Abstimmung mehrerer Sicherungsmethoden aufeinander sollte aber in jedem Fall gut durchdacht sein, denn unberücksichtigte Szenarien können zu Schutzlücken und Datenverlust führen. Umgekehrt sind allzu komplexe Lösungen eher allfällig für Fehlfunktionen und damit ebenfalls unsicher, oder sie benötigen übermässigen Überwachungsaufwand mit ungünstigen Auswirkungen auf die Betriebskosten.

Die Auslegung einer Lösung wird weiter beeinflusst davon, wie viel Zeit vom Eintritt eines Schadens bis zur vollständigen Wiederherstellung maximal vergehen darf und wie viel Datenverlust in Kauf genommen werden kann, d.h. wie viel Zeit zwischen zwei Datensicherungen liegen darf.

Feuerprobe nicht vergessen

Die ergriffenen Backup-Massnahmen sollten nun auf Wirksamkeit getestet werden. Am besten, indem das Backup einmal komplett zurückgespielt und dann untersucht wird, ob alles so ist, wie es sein soll. So finden Sie nicht erst im Ernstfall heraus, dass Teile des Backups unvollständig sind, oder es sogar leer ist.

Um allfällige Fehlfunktionen zu erkennen, gehören diese Tests zudem regelmässig wiederholt, denn im Schadensfall gibt es keinen zweiten Versuch!

Möchten Sie die Wirksamkeit Ihrer Vorkehrungen von einem Profi beurteilen oder prüfen lassen? Dann freuen wir uns auf Ihre Kontaktaufnahme. Unsere Experten kennen die vielfältigen Bedrohungsformen und weisen Sie rechtzeitig auf allfällige Mankos hin.

Unter Datensynchronisation versteht man den Abgleich von Daten zwischen zwei oder mehreren Geräten. Dabei werden die Daten untereinander ausgetauscht, so dass jedes Gerät die neuesten Daten enthält. Ein bekanntes Beispiel für Datensynchronisation ist der Abgleich von Adressdaten und Terminen zwischen einem Mobiltelefon und einem Computer. In diesem Fall bringt die Datensynchronisation vor allem Komfortgewinn.

Die Datensynchronisation kann allerdings auch verwendet werden, um durch mehrfaches Vorhandensein von Informationen (Redundanz) die Verfügbarkeit und Datenintegrität eines Systems zu erhöhen. Dazu wird beispielsweise der Inhalt einer Festplatte 1:1 auf eine oder mehrere andere Festplatten «gespiegelt». Fällt eine Festplatte aus, können die verbleibenden Platten weiterhin alle Daten liefern. Zum Totalverlust der Daten führt erst der Ausfall aller Platten.

Dasselbe Prinzip lässt sich nicht nur für Festplatten, sondern auch für Server und sogar ganze Rechenzentren anwenden. Um die Sicherheit und Verfügbarkeit maximal zu erhöhen, kann es zudem durchaus Sinn machen, die Daten auf eine geografisch entfernte Infrastruktur zu spiegeln (Geo-Redundanz). Sollte nämlich die lokale Infrastruktur durch eine Katastrophe zerstört werden, sind die Daten immer noch auf einer örtlich getrennten Infrastruktur vorhanden.

Durch die Nutzung eines Cloudspeicherdienstes lassen sich nun die Anforderungen an Komfort und Sicherheit recht gut verbinden. Bei der Synchronisation seiner Daten mit einem Filehosting-Dienst mit all seinen Annehmlichkeiten handelt es sich nämlich um nichts anderes als die Herstellung eines georedundanten Abbilds – aus Sicht der Informationssicherheit und im Speziellen der Verfügbarkeit also ein wünschenswerter Zustand.

Allerdings muss besonders bei sensitiven Daten dringend auch einem weiteren Ziel der Informationssicherheit die nötige Beachtung geschenkt werden: Der Vertraulichkeit. Und diese ist bei weitem nicht bei allen Anbietern gewährleistet. So heisst es beispielsweise in den aktuellen Google-Nutzungsbedingungen (Stand 25. Oktober 2017): «Wenn Sie Inhalte in oder über unsere Dienste hochladen […], räumen Sie Google (und denen, mit denen wir zusammenarbeiten) das Recht ein, diese Inhalte weltweit zu verwenden, […] zu vervielfältigen, […] zu kommunizieren, […] öffentlich anzuzeigen […].» Wohlgemerkt, diese Bestimmung gilt bei Google nicht nur für die kostenlosen, sondern auch für die kostenpflichtigen Angebote. Daher muss vor der Nutzung von Filehosting-Diensten immer eine realistische Einschätzung über mögliche Folgeschäden vorgenommen werden, sollten die Daten in falsche Hände geraten. Schliesslich muss basierend auf dieser Einschätzung eine Lösung evaluiert werden, welche den festgestellten Schutzbedarf garantiert.

Diese Woche wurde bekannt, dass ein katastrophaler «Bug» (Fehler) in Prozessoren Computersysteme angreifbar macht. Ein seit 20 Jahren gängiges Verfahren, das Computerchips schneller machen sollte, macht sie über die «Meltdown» und «Spectre» getauften Angriffsmuster auch anfällig für Datenklau. Bislang gibt es keine Hinweise darauf, dass die Schwachstellen von Kriminellen ausgenutzt wurden.

Wer ist betroffen?

Beinahe alle Smartphones, Computer und Server (einschliesslich Cloud-Server).

Was kann ich tun?

Updaten, updaten, updaten. Das gilt nicht nur für diesen Fall, sondern generell. Gehen Sie dazu wie folgt vor:

• Prüfen Sie, ob der Antivirushersteller ein Update veröffentlicht hat.
  Grund: Microsoft hat im Sicherheitsupdate vom 3.1.2018 Kompatibilitätsprobleme mit Antivirensoftware festgestellt und darum eine Restriktion eingebaut, dass das Update derzeit nur erscheint, wenn die eingesetzte Antivirensoftware kompatibel ist.
• Installieren Sie Betriebssystem-Updates (z.B. über Windows Update).
• Prüfen Sie, ob der Computerhersteller ein Update für das BIOS veröffentlicht hat.
• Prüfen Sie, ob der Computerhersteller sonstige Treiber- und Software-Updates zur Verringerung der Sicherheitslücken bereitgestellt hat.