Notebook vor unerwünschten Zugriffen von außen über das Internet absichern

Status
Für weitere Antworten geschlossen.
Das ist richtig, allerdings ist auch jeder "Normalnutzer" grundsätzlich Malware und Angriffsmustern ausgesetzt, die explizit auf die breite Masse abzielen (beispielsweise realisiert mittels Exploit-Kits). Und im Zuge dessen kommt es immer wieder zur Kompromittierung von Systemen auch bei "Otto-Normalnutzer".
 
  • Gefällt mir
Reaktionen: sikarr
die Frage ist eben nur was kann dem TE dadurch passieren und wie kann er sich dagegen bestmöglich schützen (wurde hier ja schon ausgiebig dargelegt)
Er sprach vorhin von DSGVO-Konformität, aber nur weil mein System kompromittiert wurde, sehe ich keine wirkliche Gefahr für den TE, der ehrenamtlich für seinen Verein Aufgaben übernimmt.
 
Buddha1337 schrieb:
Nur weil du die Spielergebnisse des örtlichen Tischtennis-Vereins verwaltest und vielleicht Mitgliederlisten führst, bist du nicht interessanter als Tante Lieschen die abends am PC bisschen Bingo spielt.
Es gibt auch noch andere Arten von Vereinen, er hat ja nicht gesagt was er genau macht. Es gibt auch Vereine wo es um Personen und/oder Geld geht.
 
alexber schrieb:
@TheHille
Mir fehlt das Wissen in der IT-Security: Ich weiß nicht, ob jemand bei "offener Internetverbindung" von außen auf meinen Rechner könnte.
Ja, kann er sehr wohl, je nach Applikationen, die Du da betreibst. Ich bin ein IT-Security Experte, und kann nur den Rat von oben wiederholen, Sicherheit ist ein Konzept, kein Gerät oder ein Stück Software.

Du mußt erst mal genau auflisten:
  • beruflich oder private Nutzung?
  • Was für Software wird eingesetzt (alle Software !!!)
  • Welche Risikostufen hast Du bzgl. gesicherte Daten (Bankverbindungen, persönliche Nutzerdaten, Adressen, usw., Stichwort Datenschutz und DSGVO)
  • Wo und in welchen Netzen bewegst Du Dich
  • Versicherungsschutz und potentieller Versicherungschaden
  • usw.
Es gibt vom BSI diverse Empfehlungen, wie gewissen Dinge zu handhaben sind.

https://www.bsi.bund.de/SharedDocs/...ng_home_office.pdf?__blob=publicationFile&v=9

Und nun die Frage an Dich, um was geht es konkret, wo siehst Du Risiken und Probleme? Dazu mußt Du oben die Fragen genau beantworten, um dann zu entscheiden, wie weit Du den Aufwand treiben willst und mußt.

Vergiß bitte - sorry Kollegen - erst mal so was wie ein mobiler Router und Co. Es wird minimal die Sicherheit erhöhen, aber mehr auch nicht. Besser wäre es:
  • Nur über eine VM und VPN in Netz zu gehen
  • Ansonsten allen Datenverkehr ausschließlich über den VPN zu leiten
  • Dein VPN Ziel (meinstens ein Firmennetzwerk) sollte ein System mit einer mehrstufigen Firewall, einem System für DPI, IDS/IDP ausgerüstet sein.
Dazu noch die üblichen Tipps,
  • Gerät immer aktuell halten, alle Softwareupdates und Betriebssystemupdates einspielen
  • Jeden Tag Sicherungen vornehmen
  • Gerät verschlüsseln
  • Wichtige Daten sichern in gesicherten Netzwerkspeicher (VPN), Cloud und verschlüsseln
  • Eventuell DSGVO und datenschutzrelevante Daten gar nicht auf eigenem Gerät speichern, sondern in einem eigenen Netz (per Remote auf einem Server im gesicherten Netz) oder in der Cloud
Dazu gibt es in Firmen, Behörden und öffentlichen Dienst üblicherweise diverse Richtlinien und Vorgaben.

Einfacher Fall Vereinsverwaltung:

1. Du verwendest eine Excel-Datei mit Vereinsmitgliedern:

Dann solltest Du die Excel-Datei nur in einem Dir zugänglichen Cloudspeicher gesichert und verschlüsselt ablegen. Das kann auch eine Netzwerkfreigabe sein, die Du dann per VPN ansprichst. Zusätzlicher eigener Router wäre hilfreich. Ebenso sollte die Datei dann mehrfach auf unterschiedlichen Wegen gesichert und gespeichert werden (USB-Stick + externe SSD/HDD + ...). Ein gutes Versionierungssystem wäre zusätzlich angeraten.

2. Du hast eine Applikation mit einer Datenbank dahinter für die Verwaltung:

Du baust in einem vertrauenswürdigem Netz einen eigenen Server auf, den Du dann von der Ferne per VPN und remote (RDP, VNC, SSH, X11 etc. zertifikatsgesichert) ansprechen kannst. Auf diesem kannst Du dann Deine Anwendung und Datenbank laufen lassen. Hier minimierst Du das Risiko gegenüber Deinem Notebook erheblich. Vorausgesetzt, Dein Netz ist sauber und ordentlich, die Geräte dort ebenso in einem aktuellen gepflegten Zustand.

Für alles weitere würde ich mir dann eher auf Vereinskosten einen IT-Experten hinzuziehen, der einen entsprechend berät. Es gibt sehr wohl rechtlich diverse Fallstricke und Probleme, die geklärt sein sollten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin, sikarr und TheHille
@nutrix

Danke für die ausführlichen Ausführungen. Aber es geht nur um mein Notebook - ein Firmennetz habe ich nicht erwähnt. Genau ein Notebook quasi als "lokaler Arbeitsplatz mit Internetanbindung". Für das Thema "E-Mail" und den ggf. notwendigen Datenaustausch. Es passiert mir in Gesprächen mit Fachleuten aus der IT-Security und/oder in Foren oft, dass alle meine Angaben erfasst. Wobei ich manchmal natürlich auch sinnvolle Angaben vergesse zu machen.

Durch das "lokale Notebook" muss ich mich um bestimmte Dinge eben gar nicht kümmern. Ich muss "nur" dafür sorgen, dass ich keinen Blödsinn mache und Anwendungen keinen Blödsinn machen. Mein Ansatz bei der Firewall war "grundsätzlich darf nichts raus, und wenn es will, blockieren und Firewall soll Meldung machen", dann einzeln analysieren und ggf. freischalten.

Und ich will eben versuchen, dass keiner von außen reinkommt. Und da fehlten mir die Ansatzpunkte/Möglichkeiten/Ideen - bis auf die, die auch schon erwähnt wurden.

Vielleicht sollte ich mal nach Beiträgen zum Thema "Sicherheitslücken" im Forum suchen und mich informieren. Sollte (durch) die Sicherheitslücke quasi nichts selbst nach außen senden, war halt meine Idee, den ungewünschten Zugriff von außen einfach von vorneherein komplett zu blockieren.

@Buddha1337

Ich will doch erst gar nicht in die Situation einer Komprimitierung kommen. Die Haftungsfrage interessiert nicht.

@Dr. McCoy

Genau das ist meine Befürchtung. Ich bin kein konkretes Ziel, werde aber im Rahmen von irgendwas, was einfach mal auf die breite Masse losgelassen wird, erwischt.
 
alexber schrieb:
Durch das "lokale Notebook" muss ich mich um bestimmte Dinge eben gar nicht kümmern. Ich muss "nur" dafür sorgen, dass ich keinen Blödsinn mache und Anwendungen keinen Blödsinn machen. Mein Ansatz bei der Firewall war "grundsätzlich darf nichts raus, und wenn es will, blockieren und Firewall soll Meldung machen", dann einzeln analysieren und ggf. freischalten.
Eine Softwarefirewall wird Dich nicht schützen können. Du kannst allen Netzwerkverkehr nach außen auch über Port 80 oder 443 durchschleusen, und Du bekommst nichts weiter davon mit.
alexber schrieb:
Und ich will eben versuchen, dass keiner von außen reinkommt. Und da fehlten mir die Ansatzpunkte/Möglichkeiten/Ideen - bis auf die, die auch schon erwähnt wurden.
Das kannst Du nur mit einer gesicherten Verbindung wie über VPN entsprechend minimieren. Sobald eine unbekannte Sicherheitslücke im Programm oder Betriebssystem auftaucht, und Du bist im Netz offen, hast Du verloren. Um Deine Daten zu sichern, hilft nur kapseln, isolieren und abgrenzen, wie oben von mir beschrieben.
 
  • Gefällt mir
Reaktionen: sikarr
alexber schrieb:
Ich möchte denjenigen gerne von vornherein ausschließen. Ich möchte nicht, dass ggf. mir nicht bekannte Sicherheitslücken ausgenutzt werden.
Das klassische hacken was du scheinbar aus Filmen kennst gibt es im Alltag nicht.
99,99% der Leute, deren Rechner verseucht sind, haben sich den Mist durch eigene Klicks selbst eingefangen.

Das durchdringen deines Internetrouters auf deinen eingeschalteten PC ist so aufwendig, dass das keiner macht.

Einfache Regeln:
Hirn verwenden.
Es gibt nichts geschenkt/gratis.
Keine unseriöse scheisse anklicken. Auch nicht "nur mal kurz"
Werbeblocker nutzen (der entfernt ganz viel unseriöse Sachen).
Keine fremden Netze nutzen
Nie ohne Router ins Netz. Also die direkt ans Kabelmodem und LTE nur mit Sticks, die intern wie ein Router funktionieren.

Wenn du in andere Netze musst, kauft dir einen travelrouter, mit dem du dich vom anderen Netz abkapselst. Installiere alle Sicherheitsupdates, aber nur ausvertrauenswürdigen Quellen.
 
alexber schrieb:
Wenn ich nichts über den Browser anfrage - quasi nichts von innen nach außen geht?
Das ist ein Trugschluß. Nur weil du in Person nichts anklickst oder nichts eingibst, heißt das noch lange nicht, dass nichts von innen nach außen geht. Und der Browser bezieht sich sowieso nur auf das Surfen im www, also http(s) und dergleichen. Das ändert aber nichts daran, dass diverse Anwendungen im Hintergrund allerhand Aktivitäten im Internet nachgehen können, und sei es auch nur ein Update-Check. Das lässt sich auch nicht vollends unterbinden - insbesondere dann nicht, wenn das Vorhandensein einer Soft-/Malware gar nicht bekannt ist..

Abgesehen davon sind Netzwerk- bzw. Internetverbindungen bidirektional, es fließen also Daten in beide Richtungen. Wenn man von der Richtung im Sinne von innen<>außen spricht, ist in der Regel die Rede vom Verbindungsaufbau. Ein Internetrouter schützt beispielsweise vor Verbindungen, die von außen initiiert werden, lässt aber Antworten auf von innen hergestellte Verbindungen zu. Beim Surfen, Runterladen und dergleichen ist das auch klar, man ruft eine Webseite auf und als Antwort kommt .. .. naja, die Webseite.

Aber: Der Rückweg einer Verbindung kann nicht nur für Antworten genutzt werden, sondern auch für aktive Anfragen. Beispiel TeamViewer. Zwei PCs starten TeamViewer, keiner von beiden hat eine Portweiterleitung, o.ä. im Router hinterlegt. Trotzdem können sich die PCs gegenseitig steuern (ID+PW vorausgesetzt). Warum ist das so? Beide TeamViewer-Anwendungen stellen eine Verbindung zu teamviewer.com her und über den Rückweg erfolgen nun Login und Fernsteuerung. Malware kann dasselbe tun.

Vor sowas schützt auch ein VPN nicht, weil ein VPN letztendlich nur den Datenverkehr zwischen dem VPN-Client und dem VPN-Server verschlüsselt, aber nach letzterem gehts ganz normal im www weiter.


Es gibt also wie erwähnt nicht die eine Lösung, den einen Haken oder die eine Software. Dazu sind Netzwerke und Internet zu komplex und die Zahl der Angriffsvektoren zu hoch. So ziemlich alle konkreten Vorschläge in diesem Thread beziehen sich auf bestimmte einzelne Bedrohungsszenarien, sei es ein VPN, die Windows-Firewall, ein vorgeschalteter Router oder oder oder. Am Ende geht aber alles davon mehr oder weniger Hand in Hand, weil das alles nur einzelne Pfeile in einem ganzen Köcher voller Pfeile sind.
 
  • Gefällt mir
Reaktionen: nutrix
Raijin schrieb:
Vor sowas schützt auch ein VPN nicht, weil ein VPN letztendlich nur den Datenverkehr zwischen dem VPN-Client und dem VPN-Server verschlüsselt, aber nach letzterem gehts ganz normal im www weiter.
Entschuldige bitte, wenn ich hier Einspruch einlegen muß, das stimmt so nicht, das hängt vom VPN und dessen Einstellungen ab. VPNs kann man einstellen und konfigurieren, ob beispielsweise www-Zugriffe direkt über das lokale Gerät bzw. Netzadapter und dem verbundenen Provider oder über VPN laufen. In vielen Firmen und Behörden wird es so gemacht, daß das mobile Gerät allen Netzwerkverkehr nur durch den VPN ins Firmennetz tunnelt. Das heißt, auch www-Zugriffe und Co. finden im Firmennetz statt, mit entsprechenden Firewalls und IDS/IPS bzw. DPI Systemen davor. Natürlich mit allen Nachteilen: das Netz ist langsamer, Seiten sind gesperrt usw.
 
Ich sehe da keinen Widerspruch, höchstens ein Missverständnis.

Was gemeint war: Verbindungen zu potentiell gefährlichen Systemen, die quasi im Rückweg böse Sachen auf einem PC machen, werden auch mit einer VPN-Verbindung möglich sein. Wenn da eine Firewall zwischengeschaltet ist - ein separates System, das zunächst erstmal nicht explizit VPN-bezogen ist - entsprechend filtert bzw. mittels IDS/IPS/DPI zusätzlich absichert, ist das eine weitere Schicht der Zwiebel, die dann explizit fragwürdigen Traffic blockiert. Die Aufgabe eines VPNs an sich ist es prinzipiell nur, den Datenverkehr über fremde Netzwerke hinweg zu verschlüsseln, ein virtuelles LAN-Kabel durch einen potentiell gefährlichen Raum, nicht mehr und nicht weniger.
 
@Raijin

VPN ist für meinen Anwendungsfall/meine Fragestellung m. E. auch nicht relevant. Passen würde eine mobile Firewall.

Gibt es solch ein Gerät, welches ich zwischen mein Notebook und meinen eigentlichen Internetzugang schalten kann (unterwegs oder auch im Büro mein mobile WLAN-Router oder mein Smartphone-Hotspot, zu Hause meine Fritzbox), das solche Sicherheitsfunktionen beinhaltet? Also unabhängig vom Betriebssystem meines Notebooks den Netzwerkverkehr überwacht (Programme kann es dann wahrscheinlich nicht überwachen, sondern nur die Ports)? Stromversorgung müsste über USB laufen.
 
Wozu ein externes Gerät?
Schalt dein Netzwerk auf öffentlich (du nutzt es im öffentlichen Raum, damit wird dein Laptop stärker gehen aussen abgeschirmt).
Nutz dein eigenes VPN zu dir nach Hause (Router) und gehe erst von dort ins Internet.
Regelmässige Updates des lappi Hersteller und Windows. Nutz als browser Plugin ublock Origin. Geh nur auf dir bekannte Website und drück keine fremde links. Dann ist die chance sehr hoch, das keine fremden deine Daten abgreifen
 
  • Gefällt mir
Reaktionen: nutrix
@chrigu

VPN zu mir nach Hause bedeutet aber, dass ich eine Internetverbindung herstellen muss, über die ich m. E. angreifbar wäre. Oder was übersehe ich?
 
alexber schrieb:
@Buddha1337

Ich will doch erst gar nicht in die Situation einer Komprimitierung kommen. Die Haftungsfrage interessiert nicht.
Gut, dann kann dir hier auch niemand mehr helfen glaube ich.
Du wirst keine 100%ige Sicherheit haben, ergo hilft nur nicht online zu gehen.

Du scheinst aber weiterhin die Idee zu haben dir einfach Gerät XY kaufen zu können und dann sicher zu sein, wie hier bereits mehrfach geschrieben gibt es sowas aber nicht.
 
alexber schrieb:
dass ich eine Internetverbindung herstellen muss, über die ich m. E. angreifbar wäre.
Nein, über eine derart gestaltete Internetverbindung wird ja zumindest ein sicherer VPN-Tunnel erzeugt, es wird dadurch also besser statt schlechter. Das entbindet aber nicht von den anderen wichtigen Maßnahmen, die Du ergreifen musst.

Du hängst nämlich nach wie vor noch bei dem Gedanken, "eine Hardware dazwischen, und alles ist gut". Das ist aber nicht so.
 
  • Gefällt mir
Reaktionen: nutrix
alexber schrieb:
Vielleicht sollte ich mal nach Beiträgen zum Thema "Sicherheitslücken" im Forum suchen und mich informieren. Sollte (durch) die Sicherheitslücke quasi nichts selbst nach außen senden, war halt meine Idee, den ungewünschten Zugriff von außen einfach von vorneherein komplett zu blockieren.
das ist ein Faß ohne Boden und auch so ohne weiteres nicht handlebar, es gibt zig tausende Sicherheitslücken mit verschiedenen Schweregraden, teils behoben, offen oder so halb. Diese Lücken müssen auch nicht auf so einfache Sachen wie einen Port setzten, sprich deine Firewall würde dir da nix nützen.

Mach doch einfach was die Kollegen hier schon merhfach gesagt haben und ich garantiere Dir das die Chancen gehackt oder kompromitiert zu werden gleich gegen Null gehen
 
  • Gefällt mir
Reaktionen: nutrix
@Buddha1337 , @Dr. McCoy

Nein - eine Hardware dazwischen, die ich selbstverständlich konfigurieren und verwalten muss und dann ist vieles besser/sicherer. Quasi eine Entkopplung der Sicherheit vom Betriebssystem des Notebooks.
 
alexber schrieb:
@chrigu

VPN zu mir nach Hause bedeutet aber, dass ich eine Internetverbindung herstellen muss, über die ich m. E. angreifbar wäre. Oder was übersehe ich?
 
alexber schrieb:
Nein - eine Hardware dazwischen, die ich selbstverständlich konfigurieren und verwalten muss und dann ist vieles besser/sicherer.
Und du bist dafür qualifiziert genug, hast du mal in eine Firewallkonfiguration geschaut? Weil wenn nicht machst du damit mehr Schaden als ohne.
alexber schrieb:
Quasi eine Entkopplung der Sicherheit vom Betriebssystem des Notebooks.
Das ist höchstens eine Erweiterung und keine Entkopplung, nennt sich Sicherheitskette.
 
  • Gefällt mir
Reaktionen: Engaged
Vielen Dank an alle. Ich werde mich der Vorschläge annehmen und mir das Thema VPN (ggf. über eine VM) genauer anschauen.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben