# Cybersecurity -----
----- ## Welche Erfahrungen habt ihr mit Cyber-Gefahren gemacht? ----- ## Gefahren - Identitätsdiebstahl: Jemand macht etwas illegales in eurem Namen - Erpressung: Bezahlt Geld für die Kontrolle über eure Daten - Spam: Ungewollte Werbung - Rufschädigung: Mobbing und Erpressung - Schaden an Geräten und Daten: Daten werden gelöscht oder Geräte zerstört
_
----- ## Aktuelles [Aktuell - WebCams gehackt](https://www.heise.de/news/Ueberwachungskameras-bei-Tesla-Cloudflare-der-Polizei-und-Schulen-gehackt-5076211.html) [Call-Recorder-App leak](https://www.heise.de/news/Call-Recorder-App-fuers-iPhone-koennte-Aufnahmen-geleakt-haben-5076433.html) [Anton App](https://www.heise.de/news/Lern-App-Anton-Sicherheitsluecke-ermoeglichte-das-Auslesen-von-Schuelerdaten-5076361.html) [Acer REvil ransom](https://www.heise.de/news/Ransomware-Befall-bei-Acer-REvil-Gruppe-verlangt-50-Millionen-US-Dollar-5993795.html) [Cyberwar Exchange](https://www.heise.de/news/Analyse-Exchange-und-die-Cyber-Abschreckungsspirale-5284372.html) [Supermärkte in Schweden geschlossen](https://www.heise.de/news/Hunderte-Coop-Supermaerkte-in-Schweden-nach-REvil-Ransomwarebefall-geschlossen-6128251.html) ----- ## Bedrohungen ### Wie kann jemand euch schädigen? ----- ### Spoofing Identität/Absender vortäuschen/fälschen - Email(Absender) verändern - IP Adressen verändern
_
![Email Spoofing](/assets/images/email-spoofing.png) ----- Es wird der Absender einer Nachricht gefälscht. Das ist ganz ähnlich, wie bei einem Brief. Da kann man auch einfach einen anderen Absender draufschreiben. Bei Emails geht das oft genau so einfach. ----- ### Phishing Zur Dateneingabe verleiten - Seiten nachbauen - Wichtiges Dokument vortäuschen - Kontakt vortäuschen - WebAdresse vortäuschen
_
----- Würdet ihr es merken, wenn euch jemand in meinem Namen eine Email schickt und sagt, dass ihr euch über einen Link auf iServ anmelden sollt und eine Aufgabe erledigen?
_
----- ### Wie kann man sich vor Phishing schützen?
_
Klicke nie auf einen Link in einem Chat oder Email. Gebt die Adresse per Hand ein oder kopiert den Adresstext. Vorsichtig und aufmerksam sein. Immer prüfen, ob der Absender vertrauenswürdig ist. Bei Links und Anhängen in Emails im Zweifel den Absender fragen. Normallerweise werden nie Emails versendet ----- ### Arbeitsauftrag: Google Phising Quiz Probiert, ob ihr Phising erkennt: [Google Phising Quiz](https://phishingquiz.withgoogle.com/?hl=de)
_
[Hilfe und Tipps](http://mikegerdes.gesamtschule-buxtehude.de/assets/pages/iServ.htm) ----- ### Arbeitsauftrag: Schwache Passwörter Testet euer Passwort: [checkdeinpasswort](https://checkdeinpasswort.de/)
_
Testet mal ein Passwort aus, dass ähnlich eurem Passwort ist. Es werden sich einige von euch vielleicht über die Sicherheit von dem Passwort wundern. ----- ### Arbeitsauftrag: Hacks Datendiebstahl bei Firmen Probiert ein paar eurer Email Adressen aus. Ich wette, dass einige von euch Email Adressen haben, die schon im Internet in Hacker-Foren veröffentlicht sind. Vielleicht sogar mit Passwort und Psswort-Tipps. [Emotet: Gut 4 Millionen kopierter Mail-Adressen bei Prüfdienst Have I Been Pwned](https://www.heise.de/news/Emotet-Gut-4-Millionen-kopierter-Mail-Adressen-bei-Pruefdienst-Have-I-Been-Pwned-6030480.html) Kontrolliert, ob eine eurer E-Mail Adresse kompromittiert ist: [HaveIBeenPwned?](https://haveibeenpwned.com/)
_
----- ### Sicheres Passwort Ein sicheres Passwort ist lang und leicht zu merken
_
Ein Text, eine Musikzeile oder ein Gedicht. "WewillrockyoubyQueen1977" ist ein gutes Passwort. Oder auch "ByabmabnPitsgbabms" B-> **B**uddy, **y**ou're **a** **b**oy, **m**ake **a** **b**ig **n**oise **P**laying **i**n **t**he **s**treet, **g**onna **b**e **a** **b**ig **m**an **s**omeday ist gut. ----- ### Two Factor Authentification - Beim Einloggen - Auch bei Emails, die ihr nicht erwartet habt
_
----- ### Password Manager und Passwort Generator [Password Safe](https://pwsafe.org/)
[KeePass](https://keepass.info/)
_
Passwortmanager veralten eure Passwörter sicher und erzeugen auch sichere Passwörter. So könnt ihr für jedem Login und für jede Seite ein eigenes Passwort benutzten. Wenn dann ein Passwort kompromitiert wird, ist der Schaden gering. ----- Ein guter Passwortmanager ist OpenSource, offline und auf vielen Plattformen verfügbar. Das einizige Probblem ist dann die Datei mit den Daten.
_
-----
----- ### Physische Risiken - SD Karten Diebstahl - Telefon Diebstahl - [Manipuliertes USB Gerät](https://usbkill.com/) SD Karten können geklaut und kopiert werden, USB Stick können mit einem Virus verseucht sein und das Handy kann geklaut oder verloren werden. ----- Testet mal, was passiert, wenn ihr euer Handy an einem PC anschliesst (per USB Kabel). Wird das Handy dann automatisch verbunden und ihr könnt alle Daten auf dem Handy sehen? Einige Handys machen das leider. So können andere eure Daten schnell kopieren. Wenn das bei euch so ist, dann versucht mal das umzustellen. Sonst hat jeder leicht alle eure Daten, trotz Displaysperre!!!!
_
----- ## Werkzeuge der Angreifer ----- ### Mini Computer Kleine Computer, die sich als USB Gerät ausgeben oder ein WLAN vortäuschen.
_
Mit jedem Handy und Computer kann ich ein eigenens WLAN erstellen. Hat dieses WLAN nun einen "guten" Namen, wie z.b. "IGS Schüler WLAN", dann wird es sicher benutzt werden. Nun braucht man nur noch eine Internetseite, die aussieht wie die Einlogsite von iServ und man hat viele tolle Passwörter. Geht auch gut in Hotels oder öffentlichen Plätzen. # Vorsicht!! ----- ### Viren, Würmer und Trojaner [Malware Museum](https://archive.org/details/malwaremuseum?tab=collection) **Virus:** Verbreitet sich nicht alleine, braucht Email oder Dateiaustausch. **Wurm:** Würmer können sich selbst ständig über das Netzwerk oder per Email verbreiten. **Trojaner:** Trojaner geben sich als harmlose Programme aus, führen im Hintergrund aber schädliche Funktionen aus. ----- ### Was machen Viren, Würmer und Trojaner? - Spionage -> Datendiebstahl, Webcam und Micro Steuerung - Verschlüsselung -> Daten-Zerstörung und Erpressung - Fernsteuerung -> Geräte/Maschienen kontrollieren - Computer missbrauchen (Bot-Netz) ----- ### Webseiten - Gefälschtes Aussehen mit einer Addresse ähnliche der gewollten -> [Typosquatting](https://www.sueddeutsche.de/digital/betrug-im-internet-tippfehler-mit-folgen-1.218588) - Viren, Würmer, Trojaner und Spyware über Browser-Lücken ----- ### Sicherheitslücken in Software und Betriebssystem - [iPhone](https://www.spiegel.de/netzwelt/ios-schwachstelle-hacker-konnten-iphones-theoretisch-per-funk-knacken-a-25c39700-d7be-4a38-bdf2-23f046499d34) - [Windows](https://www.t-online.de/digital/software/id_89292638/experten-warnen-tueckische-schwachstelle-kann-windows-lahmlegen.html) - [Android](https://www.pcwelt.de/news/Kritische-Sicherheitsluecken-in-Android-10914440.html) Kein System ist sicher. Es hängt nur von der Motivation und der kriminellen Energie ab eine Lücke zu finden. Vertraut nicht auf Computersysteme.
_
----- ### Keylogger [Keylogger bei Amazon 50€](https://www.amazon.de/AirDrive-Forensic-Keylogger-Hardware-Flashspeicher/dp/B07T12YV8D/ref=psdc_1626220031_t2_B073XRXP3S) Geräte oder Software, die eure Eingaben mitschreiben und sich merken oder selbstständig verschicken.
_
Im Computerraum, in öffentlichen Internet-Cafes, im Lehrerzimmer und an vielen anderen Orten ist es ein leichtes zwischen dem Computer und dem Keyboard einen Keylogger zu installieren, ohne das es jemand merkt. Vertraut nur eurem eigenen Computer. Vorsicht bei öffentlichen Netzten und Geräten!!!! ----- ### Verschlüsselung - Daten verschlüsseln - Kommunikation verschlüsseln - SD Karte/Handy verschlüsseln - 7Zip Container/Tresor App
_
----- Es bietet sich an Daten auf einer SD Karte oder einem USB Stick extra zu verschlüsseln. Dafür kann man eine Tresor-App installieren oder mit 7Zip einen Tresor anlegen. Darin bewart man dann seine sicheren Daten auf. SD Karten im Handy sollte man generell verschlüsseln.
_
----- # Security Awareness Auf Risiken aufmerksam machen und sensibilisieren
_
[Einfach Absichern](https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/kampagne_node.html) ----- ### Pen(etration) Testing/White Hat Hacker [Offensive Security](https://www.offensive-security.com/)
[MetaSploit](https://www.metasploit.com/)
[Kali Linux](https://www.kali.org/)
[Hacker WM](https://www.heise.de/news/Gehackt-Windows-Ubuntu-Exchange-Teams-Zoom-Chrome-Safari-und-Edge-6010171.html)