Lieber n0th1ng, vielen Dank für die schnelle Rückmeldung und die tollen Informationen. Ich freue mich sehr über den weiteren Austausch und merke mir auch gerne den 19. August um 19 Uhr für ein Treffen mit Euch vor. Mir geht es glaube ich wie vielen, dass mir das Thema Datensicherheit immer mehr Sorgen bereitet, aber auf der anderen Seite die Zeit fehlt, sich überall gedanklich einzufinden und dann auch wirklich Änderungen vorzunehmen. Ich denke daher, dass es wichtig sein könnte, möglichst simpel und einfach zu kommunizieren und damit die Schwelle für Verhaltensänderungen so weit wie möglich abzusenken. Meine Idee ist, von einer möglichst einfachen Grundstruktur auszugehen und innerhalb dieser mit Checklisten zu arbeiten, so dass die Leute mit wenig Zeit viel in Sachen Datensicherheit erreichen können. Man könnte sogar überlegen, dies dann mit einer Art Zertifikat zur Datensicherheit zu verbinden, dass jeder, der diese Ziele erreicht, irgendwo ein solches Zertifikat herunterladen kann. Ich bin von der Idee ausgegangen, dass man sich auch schon vor dem digitalen Zeitalter unterschiedlich verhalten hat, je nachdem, ob man zuhause war, irgendwo einkaufen ging oder eine Rede in der Öffentlichkeit gehalten hat. Jetzt vermengen sich diese Felder immer mehr, aber was vielleicht doch bleibt, ist das man ein Bewusstsein dafür behalten sollte, wo man sich wie verhält. Von diesen Gedanken abgeleitet habe ich folgende Themenbereiche gebildet, die ich dann gerne mit den wesentlichen /to do's/ füllen würde: 1. *Einstieg* Meine Datenwolke ist allgegenwärtig (wie viele Daten über mich im Internet vorliegen und was sie über mich aussagen) 2. *Datenschutz im Privaten Raum (nur ich und Haushaltsangehörige)* _Ziel_: Die Zuhause von mir gehaltenen Daten vor Zugriff Dritter und vor Verlust schützen _Teaser_: Wie schütze ich mein Eigentum gegen Einbruch, Beschädigung und Verlust? 3. *Datenschutz im Öffentlichen Raum (bestimmbarer Adressatenkreis)* _a.) Ziel_: Die im Internet von mir zur Verfügung gestellten Daten (z.B. Online-Shopping, Streaming) vor der Nutzung durch unbefugte Personen schützen _Teaser_: Wenn ich einkaufen gehe: Wie schütze ich mich gegen Raub und Betrug, wie sichere ich meine Privatsphäre? _b.) Ziel_: Die im Internet von mir zur Verfügung gestellten Daten bei Kommunikations-Diensten (Video-Call, VoIP, Messenger, E-Mail) vor Datenmissbrauch schützen _Teaser_: Wenn ich mit anderen im öffentlichen Raum (z.B. einem Café) spreche: Wie sorge ich dafür, dass die Kommunikation in einem vertraulichen Rahmen bleibt? 4. *Datenschutz im Öffentlichen Raum (unbestimmbarer Adressatenkreis)* _Ziel:_ Die von mir zur Verfügung gestellten Daten in der Öffentlichkeit (z.B. Social Media, Foren, eigene Homepage, Presse) vor Missbrauch und Manipulation schützen _Teaser_: Wenn ich will, das bestimmte Dinge für sehr viele / alle bekannt werden sollen: Wie schütze ich mich gegen Missbrauch und Manipulation? 5. *Datenschutz von Privatem im Öffentlichen Raum (**unbestimmbarer Adressatenkreis**)* _a.) Ziel_: Mobil zur Verfügung gestellte Daten (z.B. Handy, Google-Glass, PkW) vor Missbrauch schützen Teaser: Wie schütze ich mich auch dann, wenn ich überall für alle erreichbar bin? Wie schütze ich mich vor anderen mobilen Geräten? _b.) Ziel_: Die im IoT zur Verfügung gestellten Daten vor Missbrauch schützen _Teaser_: Wie schütze ich mich, wenn Dinge, die mich umgeben, von überall nutzbar sind? 6. *Ausblick* Manipulation oder Freiheit: Wir haben es in der Hand! Für den Themenschwerpunkt 1 habe ich bereits einige Punkte für eine mögliche Checkliste zusammengestellt (sicher gibt es noch mehr). Hierbei habe ich u.a. an folgendes gedacht: * Schutz des Routers als Schnittstelle zwischen Internet und dem Heimnetzwerk (Admin, reguläres WLAN und Gäste-WLAN trennen, Netzwerkname ohne persönliche Daten, jeweils starke Passwörter verwenden, Virenschutzprogramm und Firewall aktuell halten) * VPN für persönlichen Zugriff von außerhalb auf eigenes WLAN einrichten * Betriebssystem im Bezug auf Datenabfluss an den Hersteller (Microsoft, Linux) überprüfen und Reduktion möglicher Abflüsse * Benutzerkonto von Adminkonto trennen, automatisierte Updates sicherstellen * Betriebssystem, Webbrowser, Antivir und Firewall immer aktuell halten, Werbung blockieren, Cookies nicht für Drittanbieter zulassen * Durchsicht aller Anwendungen, die ich nutze, und Konten, bei denen ich registriert bin, und ggf. Reduzierung * Passworttresor nutzen (möglichst eine Europäische Firma, muss auch für mobile Geräte geeignet sein, 2-Faktor-Authenifizierung sicherstellen, Passwörter im Safe durchsehen sowie nach und nach tauschen), ggf. Einrichtung von Passkey * E-Mail 2-Fach-Authentifizierung * Datenbestand in eigenen Verzeichnissen strukturieren, ältere Daten löschen, Papierkorb auf regelmäßig leeren einstellen * Datenspeicher zusätzlich täglich auf externe Festplatte, wöchentlich als "Brandschutzversicherung" gesichert außerhalb des eigenen Hauses lagern (ggf. Cloud als Alternative...) Soweit meine ersten Gedanken zum Thema. Ich freue mich über den Austausch und die Zusammenarbeit mit Euch. Herzliche Grüße Christian
Hey Christian, Alles in allem eine gute Idee. Für deinen Checklisten-basierten Ansatz könnte dir https://securityplanner.consumerreports.org/action-plan/ sehr weiterhelfen, entweder als Inspiration für dich, oder vielleicht auch für deine Teilnehmer zum selbst verwenden, obwohl es halt nur in Englisch ist. Den Ansatz Zertifikate die nicht nur als Scherz gemeint sind zu verwenden finde ich... schwierig. Besonders als CCC versuchen wir immer sehr viel Abstand davon zu nehmen irgendetwas zu bescheinigen, wir wollen keine "Ausgebildet vom CCC" oder "der CCC erachtet das als sicher" Situationen. Darüber hinaus ist Cybersecurity kein erreichbarer Status, es ist ein Mindset, es sind regelmäßige, routinierte Abläufe, und eine ständige Wachsamkeit. Zu deinen inhaltlichen Ideen, auf den ersten Blick ist jeder dieser Punkte mindestens sein eigener 2-4h Vortrag/Workshop, wenn nicht gar 2. Wir haben die Erfahrung gemacht, dass auch wenn wir gerne einen generellen Überblick verschaffen würden, es nicht möglich ist die Themen und Bedrohungen ausreichend verständlich zu erklären, und wir regelmäßig Vorträge von uns in 2 splitten mussten. 1. "Datenwolke" Die Kernaspekte hierbei sind zu erklären "Was sind Metadaten" und "Wie arbeiten Databroker". Beides schwierige topics, für die wir aber Module haben. Zum Thema wie Databroker funktionieren haben wir ein paar Module in unserem Vortrag "Lauscht mein Smartphone mit" den wir auf media.ccc.de hochgeladen haben. Diesen Vortrag nehmen wir für gewöhnlich auch als ersten einer Reihe. In dem einen Modul erklären wir z.B. wie Werbeplätze versteigert werden, und wie viel Geld durch Werbung eingenommen wird. Zu erklären was Metadaten sind ist schon etwas schwieriger, aber auch da haben wir ein paar Beispiele, ich glaube ebenfalls in dem Vortrag. 2. Haushalt Einbruch sehe ich als nicht so wichtig an. Apple, Android und Windows 11 Geräte sind alle by default mit full-disk-encryption gesichert, Windows 10 und Linux Geräte könnte man Leuten beibringen, aber die meisten Einbrecher interessieren sich vermutlich mehr für die Hardware als die Daten. Beschädigung und Verlust behandeln wir in unserem Vortrag "Kein Backup - Kein Mitleid", aber auch nur oberflächlich und theoretisch. Dies ist eigentlich der springende Punkt, ein Backup Prozess zu entwickeln der für einen selbst funktioniert ist jedoch eine sehr individuelle Entscheidung. Auch wenn Backups wichtig sind, würde ich sie nicht als zweit-wichtigstes einstufen, für gewöhnlich machen wir diesen Vortrag als letztes oder einer der letzten. 3. - 5. Schutz vor Missbrauch ist relativ leicht erklärt. Bei online Diensten begnügt sich das für gewöhnlich mit einem sicheren Passwort, einem zweiten Faktor, und einer awareness wie Phishing Attacken aussehen. Dies erklären wir unter anderem in unserem Vortrag "Starkes Passwort - Sichere Identität" und "Passwortmanager". Was wir jedoch als viel größere Bedrohung ansehen als der ausgesprochen seltene Fall von Missbrauch durch threat-actors ist der generelle - jedoch freiwillig zugestimmte und legale - Missbrauch durch die "Datenkraken" Google, Meta, Microsoft, Amazon, etc. Das Verständnis hierfür geht einher mit dem Verständnis für die Gefahr die Metadaten darstellen, was Ende-zu-Ende-Verschlüsselung eigentlich ist, bzw. was die Abwesenheit des selbigen eigentlich impliziert. Diese allgegenwärtige Gefahr ausreichend zu erklären ist ein schwieriges Unterfangen, die Beispiele die man dafür nehmen könnte häufen sich nur so. Beispiele die wir z.B. gerne nehmen sind https://www.nytimes.com/2022/08/21/technology/google-surveillance-toddler-ph... https://www.youtube.com/watch?v=Mz3E8S3QP0w&pp=ygUbbmV0enNwaW9uYWdlIGxlaWNodCBnZW1hY2h0 https://www.wired.com/story/google-reading-personal-emails-privacy/ https://www.messenger-matrix.de/ und es gibt noch viele mehr. Einiges von diesem Thema haben wir auch in unserem "Verschlüsselung im Alltag" Vortrag, aber die Grundproblematik ist eigentlich Teil all unserer Voträge. Bezüglich deiner Punkte für Punkt 1.: * Schutz des Routers Sind alles sinnvolle Dinge die man tun kann, da die meisten Leute jedoch einfach den kostenlosen Router ihres ISP nehmen, der viele dieser Dinge bereits automatisch macht, ist einen eigenen Router zu kaufen und zu konfigurieren eher eine Bonusaufgabe als essentiell, meiner Meinung nach. * VPN einrichten Ist eigentlich nur wichtig, wenn ein Zugriff auf Netzwerkgeräte von außerhalb notwendig ist, was eigentlich nur bei Self-hosting der Fall ist. Der einfachste Anwendungsfall für so etwas wäre vermutlich ein eigenes NAS zu betreiben für Backup und/oder Speicherung der persönlichen Daten wie Fotos. Die simpelste Lösung dort wäre z.B. ein Synology NAS, diese kommen mit ihrer eigenen VPN Option. Alles was über ein simples NAS hinausgeht, eher Richtung Self-hosting, ist meiner Meinung nach out-of-scope für öffentliche Vorträge. Wir fangen grade an einen (hoffentlich jetzt regelmäßigen) Self-hosting Usergroupbei uns im Club zu betreiben, wo wir mit solchen Fragen helfen. * Betriebssysteme Ein Datenschutzfreundlicher Betrieb von Windows ist kaum möglich. Wo man bei Windows 10 noch mit Benutzung eines lokalen User Accounts und Tools wie "O&O Shut up 10" wenigstens ein bisschen erreichen konnte, ist die Situation bei Windows 11 fast verloren. Man könnte höchstens versuchen Dinge wie Microsoft Copilot und Recall zu deaktivieren, jedoch kann es gut sein, dass sich Features nach einem Update wieder reaktivieren. Das beste was man in einem Workshop Format machen könnte wäre eine Hands-on Linux Einsteigerrunde bzw. Install-party zu veranstalten. Dafür hätten wir Laptops die wir zu Demonstrationszwecken bereitstellen könnten. Die Gruppe "End-of-10" versucht auch grade im Angesicht des kommenden end-of-life von Windows 10 mehr Linux Install Parties in Hamburg zu organisieren: https://endof10.org/de/ * Durchsicht von Anwendungen Gute Idee, lässt sich super mit dem Umzug zu einem Passwortmanager verbinden. Kann man auch so machen, dass man die App Berechtigungen am Handy mal checkt. * Passwortmanager KeePass, ProtonPass, Bitwarden/Vaulwarden, Apple's Passwortmanager, alles gute Sachen, beleuchten wir auch in unserem aufgezeichneten Passwortmanager Vortrag. * Externe Festplatte So etwas sollte thematisch gleich als Teil einer 3-2-1 Backup Strategie gefahren werden, siehe "Kein Backup - Kein Mitleid" Soo, wir sehen uns dann hoffentlich am 19. Liebe Grüße, n0th1ng -- 6069 08BA FA8F B40D D58F 9A1A 6DD1 F48C 5554 E22F
participants (2)
-
ccc.paralegal919@passinbox.com
-
Christian Buske