Wenn man sich Gedanken darüber macht, wie man seinen Umgang am Rechner und vor allem auf Facebook sicherer gestalten kann, dem soll dieser Blogartikel einige Tipps und Tricks mit auf den Weg geben. Insbesondere um unerwünschte Hackerattacken und damit verbundene Schäden zu minimieren. Diese Sicherheitsempfehlungen decken Grundlagen ab, wie man starke Passwörter definiert und verwaltet und gibt Empfehlungen über die Berechtigungsstufen von Facebook ab.
Sicherheit ist meistens so lange kein Thema, bis jemand Opfer von einem Angriff wird. Um Angriffen vorzubeugen und Sicherheitslücken zu minimieren, ist eine entsprechende Konfiguration und ein bewusster Umgang mit Daten und der Nutzung von Diensten unumgänglich. In diesem Artikel werden die wichtigsten Grundlagen betreffend sicherem Umgang mit Passwörtern, sowie Sicherheitsaspekten für Facebook und dessen Dienste behandelt.
Dieser Abschnitt behandelt die Themen, was ein gutes und somit auch was ein schlechtes Passwort ist. Ausserdem gibt es Tipps dazu, wie starke Passwörter definiert werden können.
Oft werden Passwörter verwendet, welche sehr schwach und einfach zu erraten sind. Im Folgenden werden einige Beispiele aufgeführt, welche möglichst vermieden werden sollten:
Passwörter müssen oft dann definiert werden, wenn man keine vorbereitet hat. Dies führt leider dazu, dass viele Menschen in diesem Moment nicht sehr kreativ sind und deshalb triviale Passwörter verwenden, um gerade knapp die Anforderungen zu erfüllen. Diese umfassen meist einen Gross- und Kleinbuchstaben, eine Zahl und Sonderzeichen.
Wenn man sich aber überlegt, wie einfach es heutzutage ist, Informationen mittels einer kurzen Social Media und Websuche über jemanden zu erlangen, muss man sich bewusst sein, dass Informationen über die Familie sowie den Wohn- und Arbeitsort meist ziemlich schnell herausgefunden werden können.
Deshalb sollten die folgenden Empfehlungen bei der Passwort-Definition berücksichtigt werden:
Leider sieht man immer wieder sehr bequeme und ungünstige Ablageorte von Zugangsdaten.
Wenn man von vorne anfängt, ist eine der sichersten Ablagen, die auf Papier an einem gut versteckten Ort. Ein gut versteckter Ort ist dabei nicht unter der Tastatur oder in der Nähe vom Arbeitsplatz. Das Niederschreiben auf Papier ist jedoch nur für komplexe Masterpasswörter zu empfehlen, auf welche später eingegangen wird.
Was in jedem Fall vermieden werden sollte, ist die Ablage von Zugangsdaten in unverschlüsselten Word-Dokumenten, Excel-Tabellen, Txt-Files oder ähnlichen Dateien. Wenn aus beliebigen Gründen ein Passwort-Finder auf ein Gerät oder Netzwerk kommt, durchsucht es alle erreichbaren Dateien und sammelt die Zugangsdaten, welche dann meist an den Angreifer zurückgesendet werden.
Für die Passwort Ablage wird die Nutzung von Passwort-Management Tools empfohlen, welche im Abschnitt 2.3 thematisiert wird.
Nachdem behandelt wurde, wie sichere Passwörter generiert und bislang nicht abgelegt werden sollten, folgt als nächster Schritt der sichere Austausch.
Weil Zugangsdaten regelmässig ausgetauscht werden müssen, zum Beispiel weil eine Person Accounts aufsetzt und diese dann anderen zur Verfügung stellen muss oder weil mehrere Personen mit demselben Account arbeiten, muss darauf geachtet werden, dass diese nicht abgefangen werden können.
Meistens werden Zugangsdaten per E-Mail ausgetauscht, was ziemlich gefährlich und unsicher ist. Hier kann man sich vorstellen, dass man seinen Autoschlüssel ein paar wildfremden Personen gibt, mit der Bitte, sie dem gewünschten Empfänger zu übergeben. Dabei hat man keinen Einfluss, was alle involvierten Zwischenstellen mit dem Schlüssel anstellen.
Passwort-Management Tools decken normalerweise die folgenden Funktionen ab:
Bei KeyPass gibt es leider kein Berechtigungssystem. Das heisst, dass jeder der Zugriff hat, alle Daten sehen kann. Wenn man eine Gruppe an Daten mit anderen teilen und gleichzeitig eine andere Gruppe für sich privat nutzen will, kann dafür aber eine zweite Datenbank erstellt werden.
Geht es um etwas komplexere Berechtigungssysteme, können erweiterte Passwortmanagement-Tools wie RoboFrom eingesetzt werden, welche zu einem fairen Preis erhältlich sind und die folgenden, zusätzlichen Funktionen anbieten:
Grundsätzlich ist jede Berechtigung und der daraus resultierende Zugriff ein potentielles Sicherheitsrisiko. Deshalb sollte jede Berechtigung hinterfragt werden und man sollte mit so wenig wie möglich und so viel wie nötig auskommen. Das fängt beim Betriebssystem an, auf welchem man nicht standardmässig mit Vollzugriff arbeiten soll und zieht sich weiter in den Facebook Business Manager, in dem nur diejenigen Adminzugriff benötigen, welche andere User verwalten sollen. Umso mehr Benutzer erweiterte Berechtigungen haben, umso mehr Sicherheitslücken und Risiken entstehen.
Viele denken, dass das Internet ein geregelter Ort ist – ein Happy Place, in welchem man Spass hat und sich keine Sorgen machen muss. Leider ist es aber eher ein wilder Dschungel, in dem alles erlaubt ist, was möglich ist. Die Strafverfolgung ist aufgrund der Verschleierung und erschwerter Nachverfolgung umso schwieriger.
Uneingeschränkter Zugriff sollte nur dann erteilt werden, wenn:
Für den eingeschränkten Zugriff ist zu beachten, dass wenn man die Berechtigung erhält, um Inhalte zu veröffentlichen, man automatisch auch alle darunterliegenden Berechtigungen erhält. Beispielsweise um Nachrichten und Kommentare zu moderieren und um Werbeanzeigen zu erstellen. Sofern die Berechtigung vorhanden ist, um Werbeanzeigen zu erstellen, kann gleichzeitig auch die Seiten-Performance angesehen werden. Es ist zurzeit nicht möglich, dass man Inhalte veröffentlichen aber keine Werbeanzeigen erstellen kann.
Meistens trifft man die folgenden Personas an:
Leider hinkt Instagram noch etwas hinterher und bietet keine Rollen und Berechtigungen. Instagram Accounts erfordern einen Benutzernamen und Passwort, was dazu führt, dass ein Austausch der Zugangsdaten unumgänglich ist, sobald mehrere Benutzer mit einem Account arbeiten sollen. Deshalb sollten hier die Empfehlungen betreffend dem Austausch der Informationen berücksichtigt werden.
Der Business Manager, was als Treppenhaus zu den einzelnen Elementen wie Seiten, Werbekonten und vielen weiteren Elementen angesehen werden kann, ist der Knotenpunkt und sollte dementsprechend mit der grössten Vorsicht verwaltet werden.
Der Business Manager bietet die folgenden Unternehmensfunktionen an, welche zugewiesen werden können:
Wer einen Mitarbeiterzugriff hat, kann sich keine Berechtigungen auf die Elemente zuweisen, sondern kann nur die Aktivitäten durchführen, welche ihm zugewiesen wurden. Diese Berechtigung sollte für die meisten Benutzer der Standard sein.
Administratorzugriff sollte sparsam erteilt werden, weil mit dieser Berechtigung alles möglich ist. Somit gilt zu berücksichtigen, dass wenn ein Administatorzugriff gehackt wurde, entsprechend die Werbekonten für missbräuchlichen Gebrauch genutzt oder Seiten abgezogen werden können. Business Manager mit einem hohen Werbevolumen können innerhalb kürzester Zeit hohe Beträge verlieren – neben dem Verlust der über längere Zeit aufgebauten Seiten.
Zahlungsanalysten können Finanzdaten wie Kreditkartenabbuchungen und Rechnungen betrachten.
Zahlungseditoren können darüber hinaus noch Zahlungsmethoden verwalten.
Entwickler haben die Möglichkeit, Conversions API aufzusetzen, Applikationen zu bearbeiten, System User zu verwalten und Access Tokens zu erstellen.
Wenn mit Dritt-Tools gearbeitet wird, wie zum Beispiel Social Media Management oder Reporting Tools, benötigt man meistens uneingeschränkten Zugriff auf die Elemente, welche verbunden werden sollten. Hier muss das jeweilige Unternehmen abwägen, ob es die Berechtigungen erteilen will oder ein paar zentrale Personen definiert, welche die Verbindungen herstellen und verwalten. Mehr zu solchen Verbindungen und Integrationen sind im folgenden Artikel nachzulesen: Funktionsweise und Handhabung der Business-Integrationen
Wer diese Sicherheitsempfehlungen umsetzt, kann Risiken und daraus resultierende Schäden bereits sehr stark minimieren. Um sich optimal zu schützen, gibt es aber noch einige weitere Massnamen, allen voran die 2-Faktor-Authentifizierung – kurz 2FA. Diese, sowie einige spannende Beispiele über mögliche Attacken und Schäden sind Bestandteil vom zweiten Teil der Sicherheitsempfehlungen, welcher im April 2021 veröffentlicht wird.
Lese mehr unter Facebook: Sicherheitsempfehlungen – Teil 2
Höre mehr unter Podcast: Sicherheitsempfehlungen für Personen mit Zugriff auf die Social Accounts
Comments are closed.