Ein bisschen IT-Security für Fotografen
Vielleicht habt Ihr es schon auf der „Warum Fotografie“ Seite gelesen habt, bin ich IT-Berater von Beruf. Genauer gesagt Berater für Informationssicherheit oder IT-Security oder „Cyber“-Security. Tja und da sehe ich jeden Tag Dinge die einfach zu vermeiden sind. Und in diesem Beitrag möchte ich Euch ein paar Tipps bzw. Grundlagen mitgeben, damit Ihr Euer kleines Geschäft (nicht nur Fotografen) etwas besser vor den bösen Bub*innen (muss man das gendern?) schützen könnt. Dieser Beitrag ist bei weitem nicht vollständig, aber gibt aus meiner Sicht gerade so die Themen wieder, die gerade aktuell sind. Eventuell werde ich diesen Beitrag noch fortlaufend aktualisieren. Aber das schreibe ich dann entsprechend dazu.
Warum IT-Security?
Warum soll ich mich überhaupt mit IT-Security oder der Informationssicherheit beschäftigen? Tja, zum Einen gibt es da Gesetzte die Dir eine gewisse Sorgfaltspflicht auferlegen (z.B. DSGVO oder auch das IT-Sicherheitsgesetz) und zum anderen willst Du natürlich doch auch arbeitsfähig bleiben.
Stell Dir vor Du musst Deine Kunden informieren, dass sämtliche Bilder und auch die Kundendaten in fremde Hände gelangt sind. Oder etwas weniger Schlimm: Du kommst nicht mehr an Deine Bilder und an die Kundendaten heran, da sie gerade durch einen Verschlüsselungstrojaner verschlüsselt wurden.
Datensicherung
Wo wir gerade beim Thema Verschlüsselungstrojaner waren: Die beste Möglichkeit sich auf einen Angriff mit einem Verschlüsselungstrojaner zu wappnen ist eine gute und vor allem funktionierende Datensicherung. Sichere mindestens einmal am Tag Deine wichtigen Daten auf ein oder vielleicht sogar mehrere externe Speichermedien und versuche von Zeit zu Zeit auch mal eine Rücksicherung. Also kann ich meine gesicherten Daten auch wiederherstellen? Und dabei sind dann z.B. nicht nur die Bilder und Rechnungen wichtig, sondern auch Deine Actions in Photoshop, Deine Presets in Lightroom oder auch das Datenbanksystem Deiner Homepage.
Wichtig ist dann noch, dass Deine Datensicherung nicht immer direkt von Deinem Arbeitsrechner aus erreichbar ist. Hintergrund ist, wenn Dein Rechner von einem Verschlüsselungstrojaner befallen wird, soll dieser dann natürlich nicht Deine wertvolle Datensicherung auch noch Verschlüsseln können. Also schreibe z.B. die Daten jeden Tag oder jede Nacht auf ein NAS (Network Attached Storage) und dann zur Sicherheit noch einmal pro Woche auf eine USB-Festplatte die dann auch noch woanders gelagert wird. Zum Beispiel bei Deinen Geschwistern oder vielleicht auch in einem Bankschließfach. Mit einer zweiten Festplatte kann man dann auch noch jede Woche einen Austausch vornehmen und hat so auch noch einen zusätzlichen Schutz falls z.B. zuhause mal ein Feuer ausbricht.
Authentifizierung / Passwortmanager
Passwortmanager? Muss ich jetzt jemanden einstellen? Nein, quatsch. Ein Passwortmanager ist ein Programm oder auch ein Cloud-Dienst welches Dein Passwörter verwalten kann. Passwörter? Ich habe doch nur eins. Ja und genau da ist das Problem.
Nehmen wir mal an Du hast eine Benutzername/Passwort Kombinaiton für deine Online-Buchhaltungssoftware und nutzt die gleichen Daten z.B. für einen Online-Shop für dein Fotografiezubehör. Jetzt wird dieser Online-Shop erfolgreich angegriffen und sämtliche Daten (Benutzername / Passwort) werden von den Angreifern erbeutet. Ja das kommt leider häufig vor. Damit sind deine Benutzerdaten dann kompromittiert und dem Angreifer bekannt geworden. Mit den Daten kann der Angreifer des Online Shops sich dann an sämtlichen Diensten anmelden in denen Du diese Benutzerdaten verwendest. Und das macht ein Angreifer nicht selbst, sondern hat dafür entsprechende Programme entwickelt.
Daher ist es wichtig, dass Du für jeden Dienst eigene Benutzerdaten verwendest. Und da sich das kein Mensch merken kann, empfehle ich die Nutzung eines Passwortmanagers. Somit muss man sich nur ein Passwort für die Passwortdatenbank merken und kann von da aus die Passwörter für alle Dienste abrufen bzw. auch von dem Passwortmanager in den jeweiligen Dienst eintippen lassen.
Mails, Spam, Phishing
Ich denke hier muss ich nicht viel zu schreiben. Jeder kennt sie. Spam- oder Phishingmails. Ein Prinz aus Irgendwo muss gerade Geld loswerden und hat genau Dich ausgesucht um dieses Geld zu transferieren. Oder Amaz0n möchte Dein Konto überprüfen (ja, die NULL in Amazon habe ich absichtlich platziert. Das machen die bösen Buben auch so). Oder oder oder. Achtet bei solchen Mails einfach auf ein paar Dinge und dann kann man die echten Kundenanfragen von bösen Mails unterscheiden. Oft sind solche Mails sehr schlecht geschrieben, haben also tonnenweise Rechtschreibfehler oder ergeben auch überhaupt keinen Sinn. Warum sollte Dir jemand per Mail schreiben, dass Du auf einmal mehrere Millionen Euro geerbt hast.
Und was ist jetzt so gefährlich an solchen Mails? Tja die Phishingmails wollen erstmal nur Dein Geld, Deine Benutzername/Passwort Kombinationen oder sonstige Betrugsmaschen ausführen. Die anderen fiesen Mails wollen bei Dir auf dem Rechner Schadsoftware platzieren. Und da ist dann meistens Dein zutun gefragt. Also aktiviere z.B. nie, nie, niemals irgendwelche Makros in Word- oder Exceldateien wenn Sie nicht von einer vertrauenswürdigen Quelle kommen und Du eine solche Mail auch erwartest. Falls Du Dir nicht sicher bist, rufe den Absender an und frage nach.
Updates, updates, updates…
Nervig oder? Egal ob Photoshop, Caputure One, WordPress oder welche Software man auch immer einsetzt, immer wieder bekommt man Meldungen dass ein Update verfügbar ist. Aber das ist auch gut so! Ein Update ist nichts anderes als eine Aktualisierung der Software die Du gerade einsetzt. Dabei werden nicht immer neue Funktionen hinzugefügt, sondern oft auch nur erkannte Fehler beseitigt. Und manche dieser Fehler sind Sicherheitsrelevant. So ist es z.B. bei WordPress (damit läuft auch diese Webseite) oft der Fall, dass ein Update einen Fehler schließt, der es Angreifern ermöglichen würde Inhalte auf Deiner Seite zu verändern und vielleicht auch auf die Kundendaten in Deinem Webshop zuzugreifen.
Daher: Installiere bitte sehr zeitnah die Updates die Deine Software vorschlägt oder suche selbst nach Updates. Dazu kann man sich z.B. alle zwei Wochen eine kleine Erinnerung in den Kalender packen.
Virenscanner?
Ja, warum das ganze? Ich habe doch nen Virenscanner. Ok, aber der kennt leider nur bekannte Viren. Es gibt zwar schon Lösungen, die das Verhalten von Programmen analysieren und dann ggf. einen Alarm werfen. Aber die bösen Bubinnen kennen diese Virenscanner und schreiben Ihre Schadsoftware entsprechend so, dass aktuelle Virenscanner sie nicht finden.
Eine gute Virenschutzlösung ist aber in jedem Fall ein Puzzleteil in dem Gesamtbild für eine gute Cyberresilienz. Aber es ist halt nur EIN Puzzleteil. Die anderen Punkte weiter oben sind mindestens genauso wichtig.
Weitere Informationen zur IT-Security
Es gibt noch unzählige Themen mehr. Und die hier alle abzudecken ist unmöglich. Daher habe ich mich auf einige wenige konzentriert. Primär ist das hier ja auch ein Fotoblog und nicht ein IT-Blog. 🙂 Viel mehr Infos bekommt Ihr noch beim Bundesamt für Informationssicherheit oder auch bei den zuständigen Kammern. Nutzt diese meist kostenlosen Angebote und haltet Euch auch bei der IT-Sicherheit auf dem Laufenden.
https://www.sicher-im-netz.de/
https://www.instagram.com/bsi_bund/
Tja und abschließend möchte ich natürlich noch etwas Werbung für meinen Arbeitgeber machen. Falls Ihr also mal eine Dienstleistung oder Beratung im Bereich der IT-Sicherheit / Informationssicherheit braucht, schaut gerne mal bei uns auf der Homepage vorbei und melde Dich bei uns! 🙂
Uff, jetzt ist dieser Beitrag doch länger geworden als ich ursprünglich geplant habe, aber ich hoffe ich konnte Euch das Thema etwas näher bringen. Falls Ihr direkte Fragen zu dem Artikel habt, gerne ab damit in die Kommentare unten 🙂