Heimnetzwerk absichern

[sunshine2012]

Hallo,

Als Journalist in einem kritischen Bereich bin ich leider eine "person of interest" und bin daher auf eine möglichst gute Absicherung meiner Daten angewiesen.

Ich habe ein Windows (kenne mich leider mit anderen OS nicht aus) Heimnetzwerk in dem aktuell zwei PCs hängen. Wie kann ich dieses nach außen hin möglichst gut vor Über-/Angriffen jeglicher Art absichern?
Was kann ich auf Software Ebene tun bevor ich zu einer Hardware FW greife? Oder ist nur eine solche safe?

 

[Fujiyama]

Vor wem genau willst du dich schützen?
Firewalls habe Lücken, und ich würde nicht ausschließen das Behörden nicht auch solche ausnutzen.
Edward Snowden würde vermutlich empfehlen den Stecker zu ziehen.

 

[Don_2020]

Stecker ziehen ist schon mal keine schlechte Idee.
Weg von Windows sowieso.
Arbeiten nur auf einem sicherem System. Es gibt spezielle Linux-Distributione für sowas.

 

[BFF]

Freier Reporter?

Sorry.

Trag Deine Daten nicht unverschluesselt mit Dir herum und wende Dich an Reporter die sich damit aus kennen.
Davon gibt es doch nicht nur einen und auch Organisationen die Dir mit Rat zu Seite stehen.

 

[tollertyp]

Vor wem genau willst du dich schützen?

Nicht nur vor was sondern auch vor wem?

 

[duAffentier]

99% liegt am Benutzer!
Die Software ist nur so gut wie der Bediener.
Und wenn du POI bist, wer greift dich an? Ist das ein Märchen?
Dann nutzte eine Apple Gerät etc.
Win/Android ist nicht safe!

Gebe 100€ aus und lass dich von einem experten in der Nähe beraten und zu Hause alles einstellen!

 

[whiper]

Verschlüsseltes System mit pre-boot authentication ist da wohl pflicht

 

[sunshine2012]

Wenn ich wüsste "wer" Angriffe durchführt, wäre ich einen Schritt weiter. Daher bleibt auch mir diese Frage offen. Daher setze ich auf Prävention.

Mit Verschlüsselung arbeite ich bereits. Aber bisweilen muss ich die Daten auch entschlüsseln und kann dann nicht immer offline arbeiten.
Was wären die Möglichkeiten unter den gegebenen Voraussetzungen? Hardware FW? Etwas anderes?
Ein anderes OS würde nen großen Aufwand bedeuten, den ich mittel-/langfristig angehen müsste.
Eine Beratung wäre auch noch zusätzlich eine Option. Wer macht sowas? Allerdings dachte ich mir, dass die Profis hier mindestens so viel wie so ein Berater, wenn nicht noch mehr wissen. Daher bin ich hier.

 

[duAffentier]

Wenn ich wüsste "wer" Angriffe durchführt, wäre ich einen Schritt weiter. Daher bleibt auch mir diese Frage offen. Daher setze ich auf Prävention.

Wenn du von Technik wenig Ahnung hast, wie merkst du das wer Angreift?

 

[snaxilian]

Stumpf irgendeine Software installieren oder Hardware kaufen bringt dir erst einmal keinen Mehrwert an Sicherheit sondern nur ein Loch in den Geldbeutel. Man muss sich damit beschäftigen und halbwegs korrekt damit umgehen können.

Über deine nicht definierten Anforderungen könnte man hier Romane schreiben. Ach nein warte. Diese Bücher gibt es schon, anscheinend hast du diese nur nicht gefunden oder einfach nicht gelesen.

Dann nutzte eine Apple Gerät etc.
Win/Android ist nicht safe!

Man kann problemlos ein Apple Gerät unsicher verwenden und auch ein Windows (und mit Einschränkungen Android) sicher verwenden. Ab einem gewissen Punkt muss man hier für ein Mehr an Sicherheit aber auch Bequemlichkeit opfern. Bei beruflichen Gründen sollte man das definitiv in Betracht ziehen wenn einem ernsthafter Quellenschutz wichtig ist.

Die Kernfrage ist aber immer: Wovor willst du dich konkret schützen? Wer sind potentielle Aggressoren? Anhand dessen gibt es unterschiedliche Maßnahmen, die du umsetzen kannst/willst/musst.

Allerdings dachte ich mir, dass die Profis hier mindestens so viel wie so ein Berater, wenn nicht noch mehr wissen. Daher bin ich hier.

Wie kommst du darauf? Hier sind alles arbeitslose Dieters und Michaels die einfach keinen Account im Heise.de-Forum bekommen haben und hier jeden Quatsch posten können der jeder Qualitätskontrolle entbehrt.

Grundlegend: Daten bei Ablage verschlüsseln, 2FA/MFA für alle Accounts und Zugriffe, Daten bei Transport verschlüsseln. Bei persönlichen Treffen Smartphone, Smartwatch usw. nicht ausschalten sondern einfach zuhause lassen.

Aber bisweilen muss ich die Daten auch entschlüsseln und kann dann nicht immer offline arbeiten.

Doch und genau das solltest du aber. Wenn du wirklich so eine supi-dupi POI bist dann solltest du einen reinen offline Laptop haben auf dem die Daten verschlüsselt liegen, während Bearbeitung entschlüsselt werden und dann wieder verschlüsselt werden. Auf einem zweiten Laptop kannst du online sein und recherchieren.

 

[simoron]

Schonmal bei reporter ohne grenzen o.ä. nachgefragt?

Eigentlich sollte dafür zum Teil dein Arbeitgeber zuständig sein, bzw. die zuständige Abteilung.
Die sollten dir Geräte mit den richtigen Sicherheitsmaßnahmen bereitstellen.

 

[sunshine2012]

Verschlüsseltes System mit pre-boot authentication ist da wohl pflicht

Das klingt schon mal nach nem konkreten Ansatz. Wie müsste man das grob umsetzen? Geht sowas mit Veracrypt?

 

[BFF]

Wenn ich wüsste "wer" Angriffe durchführt, wäre ich einen Schritt weiter. Daher bleibt auch mir diese Frage offen.

Ausgehend davon wie Du hier fragst gehe ich davon aus das Du, sorry nochmals, es garnicht mitbekommen wuerdest wenn Dich da jemand abzieht. Egal was Du da versuchst.

Nochmal getippt.
Wende Dich an die die Erfahrungen in dem Umfeld haben was Dich betrifft. Oder halt an Deinen groessten Arbeitgeber. Du bist ja schliesslich nicht allein mit dem Dingens.

 

[duAffentier]

@snaxilian daher sagte ich, 99% ist der Mensch die Unsicherheit und danach kommt die Technik

 

[whiper]

Das klingt schon mal nach nem konkreten Ansatz. Wie müsste man das grob umsetzen? Geht sowas mit Veracrypt?

Meine Empfehlung: Lass dich professionell beraten. Weil pba alleine nicht reicht. Sowas wie Standby ist verboten, wie vermeide ich cold boot attacks, ... ein weites Feld, das kann man hier nicht mal eben in einem Forum klären

 

[dasbene]

Wie kann ich dieses nach außen hin möglichst gut vor Über-/Angriffen jeglicher Art absichern?

UPnP ausschalten und aktuellen Router, der zuverlässig Updates bekommt.

Alles andere hat mit dem Anwender zu tun.

 

[Dr. McCoy]

Das klingt schon mal nach nem konkreten Ansatz.

Die Verschlüsselung ist auf der einen Seite wichtig (z.B. Gerät wird ausgeschaltet gestohlen). Wenn Du aber...

Aber bisweilen muss ich die Daten auch entschlüsseln und kann dann nicht immer offline arbeiten.

... das machst, können ja im laufenden (entschlüsselten und gleichzeitigen Online-Betrieb) potentiell Daten abfließen. Du musst alle Ebenen bedenken, sonst ist das nicht zielführend. Für sensible Daten also ein Offline-System verwenden.

 

[Nilson]

Und immer daran denken:

https://xkcd.com/538/

 

[CoMo]

Zumindest erst mal kein Windows verwenden, sondern ein sicheres OS wie Qubes OS.

 

[sunshine2012]

Ok, danke. Jetzt habe ich von euch doch noch einige sehr gute Hinweise bekommen. Das mit dem Offline System setzte ich bereits teilweise um, wobei ich das "teilweise" ändern werde.