Hey Christian, Alles in allem eine gute Idee. Für deinen Checklisten-basierten Ansatz könnte dir https://securityplanner.consumerreports.org/action-plan/ sehr weiterhelfen, entweder als Inspiration für dich, oder vielleicht auch für deine Teilnehmer zum selbst verwenden, obwohl es halt nur in Englisch ist. Den Ansatz Zertifikate die nicht nur als Scherz gemeint sind zu verwenden finde ich... schwierig. Besonders als CCC versuchen wir immer sehr viel Abstand davon zu nehmen irgendetwas zu bescheinigen, wir wollen keine "Ausgebildet vom CCC" oder "der CCC erachtet das als sicher" Situationen. Darüber hinaus ist Cybersecurity kein erreichbarer Status, es ist ein Mindset, es sind regelmäßige, routinierte Abläufe, und eine ständige Wachsamkeit. Zu deinen inhaltlichen Ideen, auf den ersten Blick ist jeder dieser Punkte mindestens sein eigener 2-4h Vortrag/Workshop, wenn nicht gar 2. Wir haben die Erfahrung gemacht, dass auch wenn wir gerne einen generellen Überblick verschaffen würden, es nicht möglich ist die Themen und Bedrohungen ausreichend verständlich zu erklären, und wir regelmäßig Vorträge von uns in 2 splitten mussten. 1. "Datenwolke" Die Kernaspekte hierbei sind zu erklären "Was sind Metadaten" und "Wie arbeiten Databroker". Beides schwierige topics, für die wir aber Module haben. Zum Thema wie Databroker funktionieren haben wir ein paar Module in unserem Vortrag "Lauscht mein Smartphone mit" den wir auf media.ccc.de hochgeladen haben. Diesen Vortrag nehmen wir für gewöhnlich auch als ersten einer Reihe. In dem einen Modul erklären wir z.B. wie Werbeplätze versteigert werden, und wie viel Geld durch Werbung eingenommen wird. Zu erklären was Metadaten sind ist schon etwas schwieriger, aber auch da haben wir ein paar Beispiele, ich glaube ebenfalls in dem Vortrag. 2. Haushalt Einbruch sehe ich als nicht so wichtig an. Apple, Android und Windows 11 Geräte sind alle by default mit full-disk-encryption gesichert, Windows 10 und Linux Geräte könnte man Leuten beibringen, aber die meisten Einbrecher interessieren sich vermutlich mehr für die Hardware als die Daten. Beschädigung und Verlust behandeln wir in unserem Vortrag "Kein Backup - Kein Mitleid", aber auch nur oberflächlich und theoretisch. Dies ist eigentlich der springende Punkt, ein Backup Prozess zu entwickeln der für einen selbst funktioniert ist jedoch eine sehr individuelle Entscheidung. Auch wenn Backups wichtig sind, würde ich sie nicht als zweit-wichtigstes einstufen, für gewöhnlich machen wir diesen Vortrag als letztes oder einer der letzten. 3. - 5. Schutz vor Missbrauch ist relativ leicht erklärt. Bei online Diensten begnügt sich das für gewöhnlich mit einem sicheren Passwort, einem zweiten Faktor, und einer awareness wie Phishing Attacken aussehen. Dies erklären wir unter anderem in unserem Vortrag "Starkes Passwort - Sichere Identität" und "Passwortmanager". Was wir jedoch als viel größere Bedrohung ansehen als der ausgesprochen seltene Fall von Missbrauch durch threat-actors ist der generelle - jedoch freiwillig zugestimmte und legale - Missbrauch durch die "Datenkraken" Google, Meta, Microsoft, Amazon, etc. Das Verständnis hierfür geht einher mit dem Verständnis für die Gefahr die Metadaten darstellen, was Ende-zu-Ende-Verschlüsselung eigentlich ist, bzw. was die Abwesenheit des selbigen eigentlich impliziert. Diese allgegenwärtige Gefahr ausreichend zu erklären ist ein schwieriges Unterfangen, die Beispiele die man dafür nehmen könnte häufen sich nur so. Beispiele die wir z.B. gerne nehmen sind https://www.nytimes.com/2022/08/21/technology/google-surveillance-toddler-ph... https://www.youtube.com/watch?v=Mz3E8S3QP0w&pp=ygUbbmV0enNwaW9uYWdlIGxlaWNodCBnZW1hY2h0 https://www.wired.com/story/google-reading-personal-emails-privacy/ https://www.messenger-matrix.de/ und es gibt noch viele mehr. Einiges von diesem Thema haben wir auch in unserem "Verschlüsselung im Alltag" Vortrag, aber die Grundproblematik ist eigentlich Teil all unserer Voträge. Bezüglich deiner Punkte für Punkt 1.: * Schutz des Routers Sind alles sinnvolle Dinge die man tun kann, da die meisten Leute jedoch einfach den kostenlosen Router ihres ISP nehmen, der viele dieser Dinge bereits automatisch macht, ist einen eigenen Router zu kaufen und zu konfigurieren eher eine Bonusaufgabe als essentiell, meiner Meinung nach. * VPN einrichten Ist eigentlich nur wichtig, wenn ein Zugriff auf Netzwerkgeräte von außerhalb notwendig ist, was eigentlich nur bei Self-hosting der Fall ist. Der einfachste Anwendungsfall für so etwas wäre vermutlich ein eigenes NAS zu betreiben für Backup und/oder Speicherung der persönlichen Daten wie Fotos. Die simpelste Lösung dort wäre z.B. ein Synology NAS, diese kommen mit ihrer eigenen VPN Option. Alles was über ein simples NAS hinausgeht, eher Richtung Self-hosting, ist meiner Meinung nach out-of-scope für öffentliche Vorträge. Wir fangen grade an einen (hoffentlich jetzt regelmäßigen) Self-hosting Usergroupbei uns im Club zu betreiben, wo wir mit solchen Fragen helfen. * Betriebssysteme Ein Datenschutzfreundlicher Betrieb von Windows ist kaum möglich. Wo man bei Windows 10 noch mit Benutzung eines lokalen User Accounts und Tools wie "O&O Shut up 10" wenigstens ein bisschen erreichen konnte, ist die Situation bei Windows 11 fast verloren. Man könnte höchstens versuchen Dinge wie Microsoft Copilot und Recall zu deaktivieren, jedoch kann es gut sein, dass sich Features nach einem Update wieder reaktivieren. Das beste was man in einem Workshop Format machen könnte wäre eine Hands-on Linux Einsteigerrunde bzw. Install-party zu veranstalten. Dafür hätten wir Laptops die wir zu Demonstrationszwecken bereitstellen könnten. Die Gruppe "End-of-10" versucht auch grade im Angesicht des kommenden end-of-life von Windows 10 mehr Linux Install Parties in Hamburg zu organisieren: https://endof10.org/de/ * Durchsicht von Anwendungen Gute Idee, lässt sich super mit dem Umzug zu einem Passwortmanager verbinden. Kann man auch so machen, dass man die App Berechtigungen am Handy mal checkt. * Passwortmanager KeePass, ProtonPass, Bitwarden/Vaulwarden, Apple's Passwortmanager, alles gute Sachen, beleuchten wir auch in unserem aufgezeichneten Passwortmanager Vortrag. * Externe Festplatte So etwas sollte thematisch gleich als Teil einer 3-2-1 Backup Strategie gefahren werden, siehe "Kein Backup - Kein Mitleid" Soo, wir sehen uns dann hoffentlich am 19. Liebe Grüße, n0th1ng -- 6069 08BA FA8F B40D D58F 9A1A 6DD1 F48C 5554 E22F