Laptop absichern – Kapitel 1: Grundlagen – Abschnitt 3: Risiko

Abschnitt 3: Risiko

„Risiko ist individuell.“

Wie im vorhergehenden Abschnitt beschrieben, gibt es keine absolute Sicherheit. Das Ziel ist ein individuell „richtiges“, angemessenes Absicherungsniveau. Um dieses erreichen zu können, steht vor dem Umsetzen von Sicherungsmaßnahmen zunächst eine Risikoanalyse. Diese Artikelserie richtet sich explizit an Einsteiger und soll bei der grundsätzlichen Absicherung des Laptops helfen. Damit kann der Inhalt und die Sicherheitstipps hier natürlich nur genereller Natur sein. Sie richten sich an den „normalen“ Nutzer und basieren gerade nicht auf einer individuellen Risikoanalyse. Ziel dieser Artikelserie ist vielmehr eine Grundsicherung. Nichts desto trotz stellt sich die Frage, wie es um das Risiko des „Normalnutzers“ bestellt ist.

Risikoanalyse

Eine Risikoanalyse ist notwendig, um das erforderliche Schutzniveau abschätzen zu können. Die möglichen Bedrohungsszenarien unterscheiden sich erheblich von Nutzer zu Nutzer. Wer als Dissidentin in einem autoritären Regime, regimekritische Texte auf dem Notebook verfasst und verwaltet, unterliegt nicht nur einer größeren Gefahr, tatsächlich von staatlichen Stellen überwacht und ausspioniert zu werden, als „normale“ Nutzerinnen (obwohl man nach den Snowden Veröffentlichungen natürlich davon ausgehen muss, dass eigentlich so ziemlich jede/r überwacht wird). Gleichzeitig drohen im Fall des Dissidenten aber erheblich ernsthaftere Konsequenzen, bis hin zum Tod, als der typische Mac-Nutzer sie wahrscheinlich zu fürchten hat. In einem solchen Fall ist natürlich eine ganz andere Form der Absicherung angemessen.

Aber die Bedrohungslage unterscheidet sich auch zwischen „normalen“ Nutzern. Es macht allein schon einen Unterschied, ob das Laptop nur privat oder auch beruflich genutzt wird. Ebenso macht es einen Unterschied, ob wir über einen stationären PC oder ein Notebook sprechen. Aus der tatsächlichen Verwendung ergeben sich also unterschiedliche Gefahren und Bedrohungen, denen man sich als Nutzer gegenübersieht. Diese Gefahren, gilt es zu kennen. Nur so kann jeder entscheiden, ob und wie, das heißt, mit welchem Aufwand (und Kosten), er sich gegen diese Gefahren schützen will. Das ist letztlich nichts anderes, als eine Risikoanalyse durchzuführen.

Bedrohungsszenarien

Was sind aber jetzt die realistischen Bedrohungen und Gefahren, denen sich ein „normaler“ Nutzer gegenübersieht?

  1. Zunächst sind hier Gefahren zu benennen, die gänzlich ohne die Beteiligung von Dritten bestehen. Dazu gehören beispielsweise:
    • Geräteverlust: Ein Laptop kann, wie auch externe Festplatten oder USB-Sticks, unterwegs verloren gehen. Ein Geräteverlust bedeutet in diesem Fall zuerst einmal einen Datenverlust. Dieser kann auch entstehen, durch
    • Geräteausfall: Nicht nur, dass es schon die eine oder andere Festplatte gegeben haben soll, die just in dem Moment, in dem noch schnell die fertige Bachelor-/Master-/Doktorarbeit ausgedruckt werden sollte, den Geist aufgab. Mechanische Festplatten können schon beim Herunterfallen des Gerätes kaputt gehen. Und ein Wohnungsbrand kann gleichzeitig Laptop und eventuell vorhandene Sicherungsmedien zerstören.
  2. Bedrohungen die von Dritten ausgehen sind unter anderem:
    • Diebstahl: Bei einem Einbruch ist hier zwar auch der stationäre PC gefährdet, viel öfter dürfte Diebstahl aber für Laptop-Nutzer eine Rolle spiele. Auch hier kommt zum Geräteverlust der Datenverlust als Risiko hinzu.
    • Unbefugter Zugriff: Es bestehen unterschiedliche Möglichkeiten, wie Fremde unbefugt auf die eigenen Daten zugreifen können. Problematisch ist nicht nur die Verbindung des Laptops mit einem Netzwerk. Auch ein physischerZugriff auf den Rechner, etwa wenn der Arbeitsplatz kurz verlassen wird, ist möglich.
    • Viren: Gibt es prinzipiell auch für GNU/Linux und macOS, dort sind sie aber verglichen mit Windows kaum ein Problem.
    • Trojaner: Hier gilt ähnliches wie bei Viren. Das Risiko eines Trojanerbefalls ist unter GNU/Linux und macOS relativ gering, bei geschäftlicher Nutzung aber als Spionagetool in der Konsequenz ungleich gefährlicher.
    • Ransomware: Verschlüsselungs- oder Erpressungstrojaner sind auch vornehmlich für Windowsnutzer ein Problem – aber selbst GNU/Linus-Nutzer sollten sich nicht zu sicher fühlen (s. KillDisk). Diese Programme verschlüsseln alle Daten des Nutzers. Erst gegen die Zahlung eines Lösegeldes (etwa in Bitcoin) wird (im besten Fall) das Passwort zum Entschlüsseln mitgeteilt. Neben dem finanziellen Risiko bleibt das Risiko des Datenverlustes auch bei Zahlung bestehen, wenn etwa kein Passwort herausgegeben wird oder sich nicht alle Daten wieder entschlüsseln lassen.

Kein Risiko für GNU/Linux und Mac-Nutzer?

Mac-Besitzer und Nutzer von GNU/Linux haben per se einen Vorteil gegenüber Nutzern von PCs mit Windows. Der große Vorteil von GNU/Linux und macOS besteht nicht unbedingt in einer grundlegend sichereren Betriebssystemstruktur, sondern vielmehr in der relativ geringne Verbreitung des Betriebssystems. Der Marktanteil von GNU/Linux und macOS ist schlicht nicht groß genug, als das es sich für einen relevanten Teil der Computerkriminelle lohnen würde, den Aufwand für die Programmierung von Schadsoftware speziell für diese Betriebssysteme zu betreiben.

Alle Ein- und Angriffe in und auf Computersysteme, von Industriespionage und nachrichtendienstlicher Tätigkeit einmal abgesehen, richten sich normalerweise unspezifisch gegen eine möglichst große Zahl von Nutzern. Sie sind also nicht gezielt auf einen individuellen Computer oder seinen Besitzer gerichtet. Nur durch einen massenhaften automatisierten Angriff auf viele System lohnen sich Aufwand und Risiko, da nur ein geringer Anteil der Angriffe letztlich erfolgreich ist. Damit sind die Nutzer von Windows ein wesentlich erträglicheres Ziel für Angriffe als Nutzer von GNU/Linux oder macOS.

Trotzdem sollte man die Hände nicht in den Schoß legen (oder in die Taschen stecken) und sich tatenlos den durchaus vorhandene Risiken aussetzen. Gerade dann nicht, wenn man die Wahrscheinlichkeit für ihr Eintreffen oder die von ihnen verursachten Kosten mit relativ wenig Aufwand verringern kann. Also machen wir uns ans Werk.

„Ich kann dir nur die Tür zeigen – hindurchgehen musst du allein.“
Morpheus (Matrix)

Zurück zu Abschnitt 2: Sicherheit
Weiter zu Abschnitt 1: Passwort

Laptop absichern – Kapitel 1: Grundlagen – Abschnitt 2: Sicherheit

Abschnitt 2: Sicherheit

„Es gibt keine absolute Sicherheit“ oder „Sicherheit ist relativ“.

Wie sicher ist sicher?

Eines sollte von Anfang an klar sein: genauso wenig, wie es fehlerfreie Software gibt, genauso wenig, kann es absolute Sicherheit geben. Man sollte niemandem vertrauen, der allen ernstes sagt, dass nach der Installation von Software XY oder mit diesem oder jenem Verhalten „absolut sicher“ mit dem Laptop gearbeitet werden kann. Was folgt daraus?

Das Ziel

Es kann immer nur um relative Sicherheit gehen – oder besser gesagt: das Ziel ist Risikoverminderung. Man möchten, dass die Wahrscheinlichkeit für das Eintreten eines sicherheitskritischen Vorfalls kleiner wird.

Während wahrscheinlich für viele die Aussage, dass absolute Sicherheit eine Illusion ist, noch logisch erscheine mag, verwirrt der folgende zweite Punkte wohlmöglich zunächst: es geht nicht um die maximal mögliche Sicherheit und nicht um eine Risikominimierung. Aber worum geht es denn dann?

Es geht um das richtige Maß an Sicherheit und eine angemessene Risikoverminderung.

Zur Erklärung

Es gibt mehrere Aspekte, weshalb ich im Rahmen dieser Artikelserie über das Absichern des Laptops für Einsteiger auf Superlative wie maximale Sicherheit und minimale Risiko verzichte. Erstens bin ich davon überzeugt, dass die meisten, die mit solchen Superlativen hantieren oder werben, mehr versprechen, als sie dann tatsächlich halten können. Zweitens wiegen sie einen in falscher Sicherheit, da zwischen maximaler und absoluter Sicherheit für mich gefühlt kaum ein Unterschied besteht. Drittens  steigt der Aufwand mit dem Sicherheitsniveau eher exponentiell als linear an (alternativ könnte man auch den Pareto-Effekt heranziehen). Sprich: maximale Sicherheit ist auch maximal teuer und/ oder maximal aufwändig.

?

Das Paretoprinzip oder die 80-20-Regel besagt, dass mit 20 Prozent Aufwand 80 Prozent des Ergebnisses erreicht werden. Für die letzten 20 Prozent des Ergebnisses sind dann aber 80 Prozent Aufwand nötig.

Das allein wäre ja, wenn man es sich leisten kann und will, nicht weiter tragisch. Allerdings bedeutet ein steigender Aufwand oftmals, dass man eigentlich sinnvolle Sicherheitsmaßnahmen dann doch nur selten nutzt oder umgeht, und damit vielleicht ganz außer Kraft setzt.

Ich würde aber ohnehin soweit gehen, zu sagen, dass maximale Sicherheit für die meisten normalen Nutzer gar nicht notwendig ist. Denn nicht nur Sicherheit ist immer relativ. Die Bedrohungslage jeder Nutzerin und jeden Nutzers unterscheidet sich. Damit ist auch das individuelle Risiko immer relativ. Daher sollte man sich zu Beginn auch mit dem Risikoaspekt einmal auseinandersetzen.

Abbildung 2: "Pokal-Graph"
Abbildung 1: „Pokal-Graph“

Letztlich geht es dabei um eine Kosten-Nutzen-Analyse. Der Versuch, maximale Sicherheit umzusetzen, kann das Aufwands- oder Kostenniveau fast beliebig nach oben treiben. Genauso gut, kann aber auch minimale Sicherheit beziehungsweise der gänzliche Verzicht auf jedwede Sicherheitsmaßnahmen den Aufwand und die Kosten explodieren lassen.

Dabei muss man nicht immer gleich an den Freiberufler denken, dessen Arbeitsleistung aufgrund einer kaputten Festplatte und eines nicht durchgeführten Backups für immer verloren ist. Allein der Zeitaufwand, einen Rechner ganz neu einzurichten, infizierte Dateien sicher von Viren zu befreien oder eine teuer bezahlte Datenrettung sollten Grund genug sein, um sich mit der grundlegenden Absicherung des eigenen Laptop zu beschäftigen. Dabei sollte man das richtige Maß finden, oder anders gesagt: den „Grund des Pokals“ (s. Abbildung 1).

Um das richtige Maß an Sicherheit zu finden, muss man sich einige Gedanken machen. Etwa Gedanken darüber, was es überhaupt abzusichern gibt. Aber auch darüber, vor wem oder was etwas abgesichert werden soll. Jeder Nutzer muss entscheiden, wieviel er für überhaupt für Sicherheit ausgeben kann oder will. Auch einige der hier vorgestellten Sicherheitstipps, sind nicht ganz kostenlos umzusetzen – und selbst „kostenlose“ Sicherheitstipps kosten in der Umsetzung zumindest einmalig oder sogar regelmäßig Zeit(ressourcen).

Während der eigene finanzielle Spielraum und die Investitionsbereitschaft noch leicht zu eruieren sind, fällt dies für die möglichen Ausgaben im Fall eines Schadens schon nicht mehr so leicht. Zumal dabei nicht einfach nur die tatsächliche Schadensumme, im Sinne von notwendiger Zeitinvestition und Geldaufwand zum Wiederherstellen des Status quo ante, als vor dem Eintreten des Schadens, berücksichtigt werden sollte.

Vielmehr müsste für jeden möglichen Schadensfall zusätzlich einkalkuliert werden, wie wahrscheinlich es überhaupt ist, dass genau dieser Fall eintritt. Ein unwahrscheinlicher Schadensfall mit hohen Kosten müsste also anders kalkuliert werden, als ein Schadenfall der zwar weniger Kosten verursachen, dafür aber sehr viel wahrscheinlich oder sogar häufiger auftreten kann.

Daher wird sich der nächste Abschnitt mit dem Thema Risiko auseinandersetzen. Denn das Risiko ist nicht nur schadenspezifisch, sondern auch individuell unterschiedlich.

Zurück zu Abschnitt 1: Einleitung
Weiter zu Abschnitt 3: Risiko

Laptop absichern – Kapitel 1: Grundlagen – Abschnitt 1: Einleitung

Kapitel 1: Grundlagen

Quelle: openclipart.org
Quelle: openclipart.org

„Wer hohe Türme bauen will, muss lange beim Fundament verweilen.“
Anton Bruckner

Mit den folgenden Beiträgen dieser Artikelserie möchte ich einige grundlegende Tipps zusammenstellen, welche die Sicherheit bei der täglichen Arbeit mit dem Notebook bzw. Laptop erhöhen. Viele Tipps eigenen sich aber auch zur Nutzung mit stationären PCs. Eigentlich sollte das ganze mal in ferner Zukunft ein Buch (oder zumindest ein EBook) werden – und bezog sich explizit auf die Absicherung des MacBook. Mit dem Projekt wollte ich mich gleichzeitig in iBook Author einarbeiten. Irgendwie finde ich das Programm aber ziemlich schrecklich, so dass ich mit den Inhalten jetzt doch meinen Blog bespielen werde. Nach meinem Wiederumstieg auf GNU/Linux veröffentlich ich jetzt die bestehenden Kapitel noch einmal ohne direkt Mac-Bezug.

Ich wünsche viel Spaß beim Lesen und Umsetzen. Noch ein Hinweis vorweg: alles was folgt, richtet sich explizit an Einsteiger.

Abschnitt 1: Einleitung

„Beginne am Anfang“ sagte der König ernst, „und fahre fort, bis du ans Ende kommst: dann höre auf.“
Lewis Carroll

Zum Aufbau

Für die Artikelserie plane ich neben dieser Einleitung etwa zehn Kapitel. Jedes der Kapitel beleuchtet einen wichtigen Sicherheitsaspekt für Laptops. Die einzelnen Kapitel müssen nicht unbedingt in der veröffentlichen und nummerierten Reihenfolge gelesen oder die darin enthaltenen Sicherheitstipps in dieser Abfolge umgesetzt werden. Allerdings werde ich versuchen, die zusammengestellten Tipps in eine sinnvolle Reihenfolge zu bringen. Diese orientiert sich vor allem daran, wie einfach die Tipps umzusetzen sind. Außerdem werden ich zunächst ganz grundsätzliche Sicherheitshinweise geben. Es macht daher durchaus Sinn, der Artikelserie in der durch die Kapitelnummerierung vorgeschlagenen Reihenfolge zu folgen.

An einigen Stellen im Text werde ich, neben dem Fließtext und den erklärenden Grafiken zur Umsetzung der Sicherheitstipps, drei Arten von Hinweiskästen einbauen. Was die jeweilen Kästen bedeuten, kann im Folgenden nachgelesen werden.

!

Mit einem Ausrufezeichen und rotem Rand versehene Kästen enthalten Umsetzungshinweise. Diese Hinweise sollten bei der Umsetzung des Sicherheitstipps beachtet werden. Es könnte zum Beispiel der Fall sein, dass ein Sicherheitstipp neben der Erhöhung der Sicherheit noch andere, nicht intendierte oder unmittelbar erkennbare Folgen hat.

*

Ein blauer Kasten mit einem Stern weißt auf weiterführende Literatur und / oder interessante Links und Quellen hin.

?

Ein grauer Kasten mit Fragezeichen zeigt an, dass es sich bei dem Text im Kasten um eine weiterführende Erklärung handelt, die für die Umsetzung des Sicherheitstipps nicht unbedingt gelesen werden muss.

Auf jeden Fall sollte jeder rote Hinweiskasten zur Kenntnis genommen werden, bevor der dazugehörige Sicherheitstipp umgesetzt wird.

Zu den Sicherheitstipps

Alle Ausführungen zu den Sicherheitstipps versuch ich möglichst generell zu halten, so dass sie auf jedem Laptop, unabhängig vom Hersteller und theoretisch auch unter unterschiedlichen Betriebssystem (GNU/Linux, Windows, macOS), genutzt werden können. Wenn es um konkrete Software geht, werde ich wenn möglich auf solche FOSS-Projekte (Free and Open Source Software) setzen, die auf allen Betriebssystemen laufen (oder Alternativen für jedes Betriebssystem angeben).

Es kann sein, dass die Tipps bei einzelnen Laptops oder bestimmten Betriebssystemversionen nicht (mehr) funktionieren oder sich nicht mit genau den selben Schritten umsetzen lassen. Dementsprechende Hinweise können gerne in den Kommentaren angebracht werden.

?

Welche Version des Betriebssystems auf dem eigenen Laptop läuft, bekommt man wie folgt heraus:

GNU/Linux: welche Distribution läuft, sollte wohl jeder Nutzer wissen. Die aktuell genutzte Kernel-Version liefert „uname -r“ auf der Konsole/ im Terminal.

Windows: Die akutelle Build-Version (für Windows 7, 8 und 10) bekommt man angezeigt, wenn man „Windows-Taste + R“ drückt, dann „winver“ eintippt und mit Enter bestätigt. Wer noch Windows XP benutzt, muss sofort auf eine aktuelle Windows Version umsteigen, die noch mit Sicherheitspatches versorgt wird!

macOS: auf ihrem Mac aktuell läuft, können sie mit einem Klick auf das Apfel-Icon oben links in der Menübar herausfinden. Nach dem Linksklick auf das Icon wählen sie einfach „Über diesen Mac“ im Menü aus.

Weiter zu Abschnitt 2: Sicherheit