Jeden Tag werden in Deutschland die Datenbestände von Privatpersonen und Unternehmen durch sogenannte "Ransom Ware" verschlüsselt. Unsere 12 Tipps helfen bei dieser Problematik (und schützen außerdem vor Blitzeinschlag, Wasserschaden, defekter Software und Diebstahl).

Auf die genauen Hintergründe von Ransom-Ware soll in dem hier vorliegenden Artikel nicht eingegangen werden... zu groß und komplex ist das Thema. Wir wählen hier eine "einfache" Sprache und vereinfachen manche Sachverhalte zugunsten der Lebarkeit... IT-Profis mögen das verzeihen.

Wir konzentrieren uns hier vor allem auf drei Fragen:

1. Wie erstellt man ein Backup?
2. Wie schützt man das Backup vor einer Verschlüsselung durch Ransom-Ware?
3. Wie bleibt man generell im Schadensfall handlungsfähig?

Die folgenden Antworten sind geeignet für Privatpersonen und Kleinunternehmen. Wir empfehlen hier nur Produkte, die wir wirklich verstehen und die wir wirklich kontrollieren können. Das Thema "Cloud-Backup" ist aus diesem Grund für uns kein Thema.

Tipp 1: Komplettsicherung eines ganzen Computers mittels "Image"

Ein "Image" ist eine 1:1-Kopie eines kompletten Rechners (inklusive Windows, Programmen und Daten). Hierfür bietet sich insbesondere "DriveSnapshot" an, welches für kleines Geld viel Leistung bringt. In Windeseile ist ein ganzer PC kopiert. Das Image kann mit einem Passwort verschlüsselt werden und ist somit vor unbefugtem Zugriff geschützt.

Wir empfehlen die wöchentliche Komplettsicherung des Computers. Bewahren Sie die letzten vier Versionen auf. Wenn Sie von einer Ransom-Software befallen wurden, so können Sie überlegen, ob Sie einen älteren Stand Ihres Computers auf einer frischen Festplatte wiederherstellen wollen (siehe weiter unten).

Tipp 2: Backup durch Spiegelung der Daten

Erstellen Sie eine komplette Daten-Kopie ("Spiegelung") auf einem separaten Laufwerk. Das geht schnell und Sie haben den aktuellen Stand der Daten im Zugriff.

Microsoft liefert die kostenlose Software "Robocopy" (robuste Datenkopie), die wirklich sehr leistungsfähig ist. Im Internet gibt es dazu vielerlei Hilfestellung.

Erstellen Sie beispielsweise auf dem Desktop eine Batchdatei "robocopy_d.bat" mit folgendem Inhalt:

robocopy.exe "d:\daten" "f:\" /E /purge /XJ /DST /XD "d:\daten\bilder" "d:\daten\videos" /LOG+:D:\robocopy_d.log /NP /TEE /NDL
pause

Dann werden die Daten von D:\Daten gespiegelt auf das Laufwerk F:\ (hier mit Ausnahme von Fotos und Videos). Das Ziel-Laufwerk muss natürlich verschlüsselbar sein, weil RoboCopy kein Passwort kennt. In der Regel geht das ganz fix und kann theoretisch täglich erledigt werden.

Wir empfehlen eine wöchentliche Spiegelung auf einen verschlüsselten USB-Datenträger (siehe unten). Wenn Sie jeden Tag sehr viele Dateien in sehr vielen Unterverzeichnissen erstellen bzw. ändern, dann wäre eine tägliche Spiegelung angeraten, weil eine Wiederherstellung einzelner Dateien zu aufwändig wäre.

Tipp 3: Backup durch inkrementelle ZIP-Dateien

Sehr beruhigend ist es, wenn man alle zuletzt bearbeiteten Daten in einer gemeinsamen ZIP-Datei sammeln kann.

Hierfür kann man z.B. die Kommandozeilen-Funktion von "WinZip" verwenden, indem man auf dem Desktop eine Batchdatei "zippen_d.bat" erstellt mit folgendem Inhalt:

@echo off
set aktjahr=%date:~6,4%
set aktmonat=%date:~3,2%
set akttag=%date:~0,2%
set datum=%aktjahr% %aktmonat% %akttag%

set Ziel="f:/zip/%datum%.zip"
set Quelle="d:\daten\*.*"
c:\programme\winzip\wzzip.exe -i -r -p -x@zippen_exclude.txt %ziel% %quelle%

pause

Dann wird WinZip alle neuen und geänderten Dateien suchen und zippen (dies wird am "Archiv-Bit" der Dateien erkannt). Das geht ganz fix. In einer Datei "zippen_exclude.txt" kann man hinterlegen welche Dateien/Verzeichnisse ignoriert werden sollen. Man kann auch ein Verschlüsselungs-Passwort angeben, auf das wir oben aber verzichtet haben (man kann dann nämlich in allen ZIPs nach einer Datei suchen und dann die verschiedenen Versionen finden). Das Ziel-Laufwerk muss in diesem Fall natürlich verschlüsselbar sein.

Wir empfehlen ein tägliches Zippen auf einen verschlüsselten USB-Datenträger (siehe unten).

Tipp 4: Nutzung verschlüsselter USB-Datenträger

Mittlerweile gibt es seriöse USB-Datenträger mit eingebauter Tastatur für das Passwort. Hier sind die Daten sicher verschlüsselt. Durch die eingebaute Tastatur ist sichergestellt, dass kein Keylogger der Welt auf das Passwort zugreifen kann. In unserem TOM-Guide® werden verschiedene Produkte vorgestellt. Wir bei SecureDataService haben seit vielen Jahren mehrere DataShur-Sticks und sind damit in jeder Hinsicht sehr zufrieden.

Diese Datenträger werden nur dann am Computer eingesteckt, wenn das Backup erstellt wird. Danach werden sie sofort wieder getrennt. Eine Ransom-Software müsste also in diesen wenigen Minuten aktiv sein... was unwahrscheinlich ist (außerdem verfügen Sie ja über mehrere Datenträger, oder?).

Diese USB-Sticks müssen Sie natürlich geschützt vor Feuer, Wasser und Diebstahl lagern. Den DataShur-Stick kann man auch als Schlüsselanhänger nutzen (keine Angst... bei 10 Fehleingaben werden die Daten gelöscht und ein Dieb hat somit keine Chance).

Tipp 5: Verschlüsseltes Laufwerk mit eigenem Passwort

Sie können auf Ihrem Windows-PC auch einen Teil Ihrer Festplatte (oder SSD) abzwacken und damit ein neues Laufwerk (z.B. "D:") erstellen. Dieses Laufwerk wird dann mit Bitlocker verschlüsselt, wobei man hierfür ein separates Passwort verwendet. Hier können Sie dann auch ihre unverschlüsselten Datensicherungen ablegen.

Wichtig ist, dass Sie dieses Laufwerk sofort wieder "trennen", wenn Sie nicht mit den Daten arbeiten. Diesen Trennvorgang bietet Microsoft nicht an, daher sollte man auf dem Desktop eine Batchdatei "d_trennen.bat" mit folgendem Inhalt anlegen:

manage-bde.exe -lock D:
pause

Dafür muss man die Aufforderung zur Nutzung der Windows-Administrationsrechte bestätigen. Wenn die Trennung geklappt hat (weil kein Programm mehr auf die Daten dieses Laufwerks zugreift), dann erscheint die Meldung "Das Volume 'D:' ist jetzt gesperrt". Eine Ransom-Software kann auf dieses Laufwerk nicht zugreifen und es nicht verschlüsseln (möglicherweise aber auf anderem Wege zerstören, daher ist dies keine 100% sichere Lösung).

Wir empfehlen diese Lösung auch zum Schutz von lokal gespeicherten Daten vor unbefugtem Zugriff. Ein Gast-Nutzer (bzw. ein Familienmitglied) kann somit nicht auf diese Daten zugreifen.

Tipp 6: Trennen Sie Backup-Laufwerke im lokalen Netzwerk

Eine Ransom-Software durchsucht das gesamte Computernetzwerk nach Daten. Davon sind natürlich auch die kleinen NAS-Laufwerke betrofffen (sofern Sie dort angemeldet sind und Schreibrechte haben).

Doch wie trennt man ein NAS vom Netzwerk? Wir sind keine Netzwerk-Spezialisten, daher können wir nur einen ganz simplen Tipp geben: Ziehen Sie den Netzwerk-Stecker, wenn Sie nicht auf das Backup-NAS zugreifen müssen.

Wenn sich das NAS aber in einem anderen Gebäude oder sogar an einem anderen Standort befindet, dann wird es schwieriger. Möglicherweise können Sie auch hier unter Windows das Laufwerk trennen (dafür darf aber das Zugriffs-Passwort nicht in Windows gespeichert sein, sonst ist der Zugriff eventuell doch wieder möglich).

Wir sagen es ganz deutlich: Wer seine Netzwerk-Backup-Laufwerke nicht trennt macht einen SEHR SCHWEREN Fehler. Das ist unverzeihlich. Natürlich gibt es Gegenargumente wie "Aber ich sichere die Daten kontinuierlich und da muss das Laufwerk nun mal verbunden sein". OK. Dann ist dieses Laufwerk aber kein Backup im engeren Sinne, sondern nur ein Zwischenspeicher (ähnlich Tipp 5).

Wir empfehlen: Tennen Sie Netzwerk-Backup-Laufwerke. Wenn das nicht möglich sein sollte, dann erstellen Sie ein Backup von diesem Laufwerk und bewahren Sie es getrennt auf.

Tipp 7: Sichern Sie alle Passwörter und Lizenzschlüssel

In verschlüsselter Form sollten Sie alle Passwörter und Lizenzschlüssel speichern. Wir empfehlen eine einfache Textdatei, wo Sie diese Daten speichern. Natürlich nur auf einem verschlüsselten Laufwerk.

Wir nutzen die kostenlose Software "VeraCrypt", die sich seit vielen Jahren bewährt hat und die auf ihre Sicherheit erfolgreich auditiert wurde. Die Bedienung ist für Computer-Laien nicht gerade komfortabel, aber man kann sich schnell daran gewöhnen. Im Internet finden sich vielerlei Hilfestellungen.

Wir empfehlen einen verschlüsselten VeraCrypt-Container, der dann z.B. als Laufwerk "Z" eingebunden wird. Auch hier gilt die Regel: Wenn man die Inhalte nicht konkret benötigt,, dann sollte man das Laufwerk wieder trennen (dieser Tipp dürfte Ihnen mittlerweile bekannt vorkommen).

Tipp 8: Arbeiten Sie nicht unter Windows-Administratorrechten

Arbeiten Sie immer als "eingeschränkter Benutzer" oder setzen Sie unter Windows die Benutzerkontensteuerung auf "immer benachrichtigen". Dann muss die Ransom-Ware Sie um Bestätigung bitten.

Und wenn aus dem "nichts" eine solche Bestätigungs-Anfrage kommt, dann klicken Sie einfach auf "nein".

Ohne die Administrator-Rechte wird es die Software möglicherweise nicht schaffen Ihrem Computer zu schaden bzw. Daten zu verschlüsseln.

Tipp 9: Begrenzen Sie die Zugriffsrechte der Mitarbeiter

Es ist eine datenschutzrechtliche Selbstverständlichkeit, die auch hier beim Thema Ransom-Ware zum Tragen kommt.

Wenn die Mitarbeiter auf bestimmte Laufwerke und Verzeichnisse nicht zugreifen können, dann wird auch eine Schadsoftware auf deren Rechner das nicht können. So einfach ist das.

Tipp 10: Vorsicht mit E-Mail Anhängen

Sensibilisieren Sie unbedingt Ihre Mitarbeiter zum Thema "E-Mail Anhänge". Es sind insbesondere MS-Word-Dateien, die schädliche Makros beinhalten. Hier darf man nichts anklicken und muss eventuelle Schein-Warnungen vor Inkompatibilitäten ignorieren.

Keinesfalls sollte man verschlüsselte ZIP-Dateien öffnen, deren Passwort man in der E-Mail genannt bekommt. Das ist ein billiger Trick, um den Inhalt der ZIP-Datei vor der Firewall bzw. dem zentralen Virenschutz zu verbergen.

Im Rahmen von DSB-MIT-SYSTEM® gibt es den Newsletter NEWS_030 ("news_makroviren.doc"), der die Sachlage nochmals erklärt.

Tipp 11: Halten Sie einen alternativen Computer bereit

Wenn eine Ransom-Ware Ihren Rechner verschlüsselt hat, dann ist diese Kiste als Schrott zu bewerten. Sie wissen nicht, wo überall weitere Schadsoftware eingeschleust wurde. Keinesfalls sollten Sie mit diesem Computer später weiter arbeiten.

Sie können im Fall der Fälle die Festplatte aus dem Computer ausbauen und eine neue Festplatte einsetzen und Windows neu installieren. Das dauert mindestens einen Tag, wenn Sie nicht über ein Image (siehe ganz oben) verfügen.

Wenn Sie über ein Image verfügen, dann können Sie es auf eine neue Festplatte einspielen und dann den Computer sofort benutzen. Dies sollten Sie allerdings zwischendurch mal konkret ausprobieren, denn auch Images sind beim Rück-Einspielen manchmal tückisch (es kann z.B. am BIOS scheitern).

Wir empfehlen Ihnen daher: Kaufen Sie einen neuen Computer mit vergleichbarer Konfiguration und legen Sie ihn beiseite. Zwischendurch können Sie immer mal wieder ausprobieren, ob Ihre Images sich einspielen lassen. Außerdem können Sie dann ggf. auch die Backups einspielen.

Diese Vorgehensweise hat auch noch einen anderen Vorteil: Sie sind vor Widrigkeiten anderer Art geschützt. Denn

• wenn der Blitz einschlägt, oder
• wenn Ihr Bürostuhl so oft vor den Computer gescheppert ist, dass die Festplatte kapituliert, oder
• wenn ein Windows-Update Ihren Computer unbrauchbar macht, oder
• wenn der Computer gestohlen wird (weil Ihnen jemand schaden will),

dann haben Sie sofort eine handlungsfähige Alternative.

Tipp 12: Zahlen Sie kein Lösegeld

Die Polizei und die Staatsanwaltschaften fordern uns auf: Zahlt kein Lösegeld. Belohnt die Erpresser nicht.

Abgesehen davon ist ja gar nicht klar, ob man das Passwort wirklich erhält. Und selbst wenn man die Daten wieder entschlüsseln kann: Diese Daten sind doch gar nicht mehr vertrauenswürdig. Wer weiß, was da verändert wurde oder wo dort weitere Schadsoftware versteckt wurde?

Außerdem ist diese Frage völlig überflüssig, falls Sie im obigen Sinne Ihre Backups erstellt haben.

Fazit

Kümmern Sie sich HEUTE um eine Backup-Strategie. Wir garantieren Ihnen: Es ist JEDE Anstrengung wert. Sie werden sich selbst beglückwünschen und auf die Schulter klopfen, wenn Sie im Schadensfall nicht alle Ihre Daten verlieren.

Und nach diesem so ersten Thema etwas sehr unterhaltsames: Der "Backup"-Song bringt es auf den Punkt:
https://www.youtube.com/watch?v=l7-6m2cE6JM

Wir wünschen Ihnen gutes Gelingen!

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar! Der TOM-Guide® ist dazu die perfekte Ergänzung, denn er beschreibt auf über 600 Seiten viele technisch-organisatorische Maßnahmen.

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Unser Praxisleitfaden PrivazyPlan® wurde im Mai 2019 an 24 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 477 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_mai.htm

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Unser Praxisleitfaden PrivazyPlan® wurde im März 2019 an 19 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 470 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_maerz.htm

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Irgendwann im Januar/Februar 2019 hat Google-Mail seine SPAM-Politik verschärft.

Wir haben die Erfahrung gemacht, dass unsere E-Mails an Google-Mail-Konten nicht mehr zugestellt wurden.

Die Fehlermeldung lautete:

This message does not have authentication information or fails to pass authentication checks. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/81126#authentication for more information.

Die dortigen Informationen sind nicht wirklich unbedingt hilfreich. Also haben wir selbst recherchiert.

Bei Domainfactory findet man hier und eine konkrete Anleitung hier. Ein hilfreiches Validierungs-Tool findet man unter www.kitterman.com/spf/validate.html.

Etwas detaillierter Beschreibt Domainbox es unter "Domainfactory | E-Mail | Spamschutz":

Mit SPF können Sie über das Kundenmenü definieren, wie und von welchen Servern E-Mails mit E-Mail-Adressen Ihrer Domain versendet werden. So kann ein Empfänger einer E-Mail feststellen, ob es sich bei einer E-Mail tatsächlich um eine Ihrerseits versendete E-Mail handelt oder ob der Versand über einen nicht im SPF-Eintrag hinterlegten Server erfolgt ist und es sich somit um eine Absenderfälschung handelt. Je nach Konfiguration des E-Mail-Servers des Empfängers kann dort dann eine Filterung von E-Mails mit gefälschtem Absender vorgenommen werden.

Nun denn. Los geht's. Um bei Domainfactory für eine bestehende Domain den SPF-Header zu senden muss man folgendes tun:

• Menü "Nameserver-Einstellungen" anklicken
• gewünschte Domain aussuchen und "editieren"
• Button "Eintrag hinzufügen..." anklicken
  - Hostname freilassen
  - Typ = SPF
  - Einstellungen vornehmen
  - speichern

Das Ergebnis sieht dann beispielsweise folgendermaßen aus:

Anschließend kann es noch einige Minuten dauern, bis die Server-Einstellung aktiv ist und wirksam wird.

Schaut man sich die E-Mails genauer an, so findet man im Header (MS-Outlook: E-Mail öffnen, dann Menü "Datei" klicken und dann auf den Button "Optionen" klicken):

• Wenn nichts eingestellt ist:
  X-Received-SPF: none ( mx09.ispgateway.de: domain of securedataservice.de does not provide an SPF record )
• Wenn es korrekt eingestellt ist (und man einige Minuten gewartet hat)
  X-Received-SPF: pass ( mx02.ispgateway.de: domain of gmx.de designates 212.227.17.22 as permitted sender )

ACHTUNG: Für die obige Anleitung übernehmen wir keine Garantie. Das Thema "SPF" ist nicht unkompliziert und offensichtlich auch ziemlich umstritten.

Dieses Thema ist in hohem Maße datenschutzrelevant. Wenn sich eine Person per E-Mail meldet (und z.B. eine Auskunft oder Löschung fordert), dann kann es sein, dass diese E-Mail gefälscht ist. Wir berichten darüber im Kapitel 13.10.5 im PrivazyPlan® und im Kapitel 4.8.4 des TOM-Guide®.

Auch die Datenschutz-Fachzeitschrift Datenschutz-PRAXIS berichtet hier.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Traurig, aber wahr: Ein ungeregelter Brexit droht uns Europäern.

Falls kein Wunder mehr passiert, dann ist Großbritannien am 29.03.2019 um 23:00 Uhr kein EU-Land mehr. Datenschutzrechtlich wäre es dann ein x-beliebiges Drittland (wie USA, Indien, Russland oder China). Der Transfer von personenbezogenen Daten in diese Drittländer ist nur unter bestimmten Voraussetzungen erlaubt, weil die Persönlichkeitsrechte dort nicht gesetzlich garantiert werden.

Interessante Fachartikel finden sich hier und hier.

Der Artikel 44 regelt den Datentransfer in diese Länder.

Die dazugehörige Pflicht [GVO_044] findet sich im Kapitel 7.6 des PrivazyPlan®. Die diesbezüglichen Rechtsgrundlagen werden im Kapitel 13.5.1b thematisiert ("Übermittlung an Drittländer etc.").

Hier kommt also die 2-Stufen-Prüfung zur Geltung, die auch schon zu BDSG-Zeiten galt:

1. Die Daten-Übermittlung an sich bedarf - wie immer - einer Rechtsgrundlage (z.B. Gesetz, Vertrag, Einwilligung).
   
   
2. Rechtfertigung gemäß Artikel 49 (1) für die Tatsache, dass der Empfänger in einem Drittland ansässig ist:
   a) eine explizte (und informierte) Einwilligung in die Drittland-Übermittlung liegt vor, oder
   b) zur Vertragserfüllung mit der betroffenen Person ist die Drittland-Übermittlung unbedingt erforderlich, oder
   c) zur Geltendmachung (bzw. Ausübung oder Verteidigunt) von Rechtsansprüchen erforderlich, oder
   d) im Falle der USA ein Eintrag in die Liste von "EU-U.S. Privacy Shield" erfolgte, oder
   e) ein angemessenes Schutzniveau ist z.B. durch einen EU-Standardvertrag gegeben.

Wenn die obigen Punkte a) bis d) nicht erfüllt sind, dann bleibt nur noch der EU-Standardvertrag (im Englischen auch bekannt unter "Standard Contractual Clauses (SCC)" oder "Model Contract" oder "Model Clause").

Es gibt mindestens vier Versionen dieses EU-Standardvertrages: (a) in Abhängigkeit davon, ob der Empfänger selbstverantwortlich ist oder streng weisungsbezogen handelt und (b) es gibt "neue" und "alte" Versionen.

Das Datenschutz-Praxishandbuch TOM-Guide® geht im Kapitel 8.1.5 auf diese Aspekte ausführlich ein.

Die britische Aufsichtsbehörde liefert hier sehr gute Informationen und sogar ein Tool als Gestaltungshilfe.

Gehören Sie zu den Unternehmen, die personenbezogene Daten nach Großbritannien transferieren? Dann müssen Sie ziemlich wahrscheinlich einen EU-Standardvertrag gestalten und gemeinsam mit dem Empfänger unterzeichnen. Bis zum 29.03.2019 sollte dies erfolgen.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.