Cybersecurity für Freelancer – mehr als Datenschutz und sichere Passworte

Cybersecurity umfasst, je nach Interpretation, vor allem Informationssicherheit. Dies umfasst den Schutz von Daten vor Diebstahl, Missbrauch, ungewollten Kopien und so weiter. Weiterhin versteht man darunter auch den Schutz der Hardware vor Diebstahl und Beschädigung. Wir wollen diesen Begriff allerdings auch noch um den Aspekt des sicheren Agierens im Internet erweitern. 

Daten sind das Öl des 21. Jahrhunderts. So abgedroschen dieser Satz auch klingen mag, bleibt er dennoch war. Deine Bewegungsdaten im Netz, deine Suchpräferenzen bei Google und Co., deine Online-Shopping-Aktivitäten – all das lässt in Algorithmen verarbeiten und entscheidet mit darüber, was du wann siehst. Gehörst du zudem zum Gros derer, die sich um diese Dinge wenig sorgen, ist die Chance hoch, dass fast keine Werbeanzeige bei Youtube, Facebook oder Twitter noch zufällig ist. 

Während diese – zumindest theoretisch – pseudonymisierten Spuren deines Nutzungsverhaltens kein echtes Schadpotenzial haben dürften, verhält es sich beim Abgreifen sensibler Daten anders. Das Worst-Case-Szenario ist wohl der Diebstahl von Passworten. Noch schlimmer ist es, wenn die Passworte zu wichtigen Accounts gehören, wie etwa zum Online-Banking, deinem Amazon-Account oder auch zu geschützten Bereichen für die Bereitstellung von Dokumenten seitens deiner Kunden oder Mitarbeiter. 

Allein in Deutschland erfasste die Polizei 2018 mehr als 87.000 Fälle von Cyberkriminalität, während es 2005 noch etwas über 26.000 Fälle waren (Quelle: Statista). Die Dunkelziffer dürfte weitaus höher liegen. Erfasst sind hier etwa das Entwenden von Daten, das Verändern, Vervielfältigen und Missbrauchen derselben sowie Computersabotage. Die Schäden für die Betroffenen gehen in die Milliarden. 

Dieser Aspekt, die Sicherung deines Computers sowie deiner Daten, ist grundlegend für Sicherheit im Internet. Wir wollen uns ganz banalen Maßnahmen einmal widmen. 

Wie du deinen Computer schützt

Der Laptop, das Notebook, der Computer – all diese Geräte sind praktische Vielzweckmaschinen. Doch weil sie so funktionieren, wie sie funktionieren, sind sie anfällig. Programme veralten beispielsweise nicht nur, weil es bessere Standards gibt. Sie veralten auch dahingehend, dass sie anfälliger für den Zugriff durch Dritte und damit für Schad-Software werden. 

Die erste Lektion lautet daher: Halte das Betriebssystem und Programme auf dem neuesten Stand. (Und ja: Windows-Updates nerven. Von anderen Betriebssystemen hat der Verfasser indes keine Ahnung, stellt es sich aber ähnlich nervig vor.)

Ein anderer wesentlicher Aspekt ist ein Virenschutz. Ob ein kostenloses Produkt, wie etwa Avira, nun besser oder schlechter als eine bezahlte Software ist, ist ein Streitpunkt. Wichtig ist vor allem, dass ein Virenschutz immer vorhanden und immer aktiv sein sollte. Zudem sollte auch dieser stets auf dem neuesten Stand sein. Es ist außerdem hilfreich, regelmäßig Scans nach unerwünschten Programmen (und sei es nur eine sogenannte „Toolbar“) durchführen zu lassen. 

Dabei gilt: Weniger ist mehr. Ein einzelnes Antivirus-Programm genügt, insofern es den Computer und den Browser sowie die Verbindungen schützt. Mehrere Virenprogramme auf einmal haben die Angewohnheit, sich gegenseitig zu behindern. Insofern: Such dir eines aus, von dem du meinst, dass es gut ist (oder lass dir eines von einem IT-affinen Menschen empfehlen) und installiere es. Es ist auch okay, hier Geld zu investieren. Insofern es sich um ein Arbeitsgerät handelt, kannst du diese Kosten ohnehin absetzen. 

Die zweite Lektion ist: Eine Antivirus-Software muss sein.

Zum weiteren Schutz deines Geräts gehört es auch, keine dubiosen Inhalte herunterzuladen oder verdächtigen Bannern im Browser nachzukommen. So eine Ausspähsoftware oder ein Programm, welches deinen Computer dazu bringt, wiederum andere Geräte im Netzwerk zu infizieren, installiert sich schnell. Zwar wird ein gutes Antivirus-Programm dies in den meisten Fällen unterbinden, aber du musst es ja nicht darauf ankommen lassen. 

Sicheres Agieren im Netz

Wie sicher ist dein Passwort? Wenn du diese Frage mit „mein Passwort ist sicher beantwortest“, ist das ein Problem, denn es deutet darauf hin, dass du lediglich ein Passwort für alles verwendest. Und das ist, gelinde gesagt, suboptimal. Denn so braucht jemand nur eines deiner Passworte zu hacken, um an alle deine Accounts zu kommen. Und das wäre maximal doof. 

Empfohlen wird landläufig, für jeden Account ein Passwort zu haben. Dass dies in der Praxis schwierig ist, ist klar. Abhilfe schafft zum Beispiel ein Passwort-Manager. Hier kannst du alle Passwörter hinterlegen und diese dann automatisch dort ausfüllen lassen, wo sie gebraucht werden. Hier gibt es bezahlte Versionen und diese, die gratis sind. Eine Erklärung hierzu liefert unter anderem das Bundesamt für Sicherheit in der Informationstechnik (ja, das gibt es) unter diesem Link.

Entsprechend gilt: Ein Passwort ist nicht genug.

Neben sicheren Passwörtern gehört auch eine sichere Verbindung zum sicheren Surfen. So verlockend es auch ist, öffentliches Netz zu nutzen, wenn du im Café sitzt, so riskant ist es auch. Öffentliche Netzwerke sind in der Regel ungeschützt Dies gilt für ziemlich jedes Netzwerk, dass von dir nicht einmal erfordert, dich aktiv einzuloggen. Und insgesamt darf bezweifelt werden, dass Anbieter von öffentlichen Netzwerken garantieren können, dass nicht andere einfach alles abfangen können, was an Daten hin und her geht. Bei nicht verschlüsselten Netzwerken kann theoretisch ohnehin jeder mitlesen, was du so tust. 

Folgende Möglichkeiten hast du:

- nutze öffentliche Netzwerke, aber nutze keine Seite, auf der du dich einloggen musst

- versende keine wichtigen Dokumente oder Nachrichten über öffentliche Netzwerke

- schalte die Datei- oder Verzeichnisfreigabe vor Nutzung des öffentlichen Hotspots ab, falls aktiviert

- surfe ausschließlich auf verschlüsselten Seiten (https.// …)

- nutze VPN

Der letzte Punkt benötigt vielleicht etwas Erläuterung. Ein VPN („Virtual private Network“) erlaubt es dir, deine Verbindung mit dem Internet durch einen verschlüsselten Kanal durchzuführen. Dadurch werden Standortdaten und ähnliches verschleiert. Dies ermöglicht es, deinen Datenstrom vor dem Zugriff anderer zu schützen und noch einiges mehr. Beispielsweise lässt sich so (durch die Verwendung von IP-Adressen anderer Länder) vortäuschen, dass du ein Nutzer aus einem bestimmten Land seist. So lassen sich auch Geo-Blocking und länderspezifische Restriktionen beim Surfen im Internet umgehen. Ein VPN-Zugang kostet ein paar Euro im Monat und ist definitiv eine Überlegung wert. 

Die vierte Lektion ist: Sicherheit beim Surfen ist wichtig, um zu verhindern, dass deine Daten ausgespäht werden. Ein sicherer Kanal (VPN) kann die Sicherheit stark erhöhen.

Den Heimzugang schützen

Als Freelancer im Home-Office solltest du auch deinen heimischen Internetzugang schützen. Nebst den oben aufgeführten Maßnahmen, gibt es auch ganz einfache Tricks, um deinen Router etwas sicherer zu machen. Beispielsweise kannst du den Netzwerknamen ändern, um gegebenenfalls schon einmal die eindeutige Zuordenbarkeit aufzulösen. Auch solltest du das Standardpasswort (meist ein Zahlencode) in den Einstellungen durch mindestens einen WPA-, besser noch durch einen WPA2-Schlüssel ersetzen. 

Lektion fünf: Verschlüssele deinen Router.

Backups erstellen und auslagern

Rechnungen, Texte, Graphiken und Co. solltest du ohnehin gut sortieren und in Ordnern vorliegen haben. Doch für den Fall, dass mit deinem Computer etwas passiert, solltest du zudem Kopien von allem Wichtigen haben. Du kannst diese beispielsweise (wenn möglich) auf externen Festplatten, USB-Sticks und ähnlichen Datenträgern lagern. Auch Cloud-Dienste sind eine Option. 

Im Falle eines Verlustes bleibt so zumindest der Schaden begrenzt und du musst nicht alles neu anlegen oder hast wichtige Dokumente verloren. Außerdem ist es ohne Frage sinnvoll, sensible Kundendaten stets an einem sicheren Ort zu lagern und diese zu verschlüsseln. Im Falle dessen, dass es sich lediglich um Rechnungsdaten handelt, gilt dies auch. Hier genügt es aber im Grunde auch, diese nach einer gewissen Zeit routinemäßig auszulagern. 

Lektion sechs: Backups – auch offline – bieten zusätzliche Sicherheit bei Verlust von Daten.

Exkurs: Mach dich mit deiner Website nicht zur Zielscheibe

Die Gefahren durch Hacker und Schadsoftware sind das eine. Die Gefahren durch Abmahnanwälte und E-Mail-Spam sind das andere. Das zweite Problem kannst du dadurch umgehen, dass du das @-Zeichen auf deiner Website im E-Mail-Namen stumpf durch ein [at] ersetzt. So können Crawler, die Websites nach E-Mail-Adressen durchsuchen und diese an Spam-Mail-Versender weitergeben, diese wohl nicht auslesen. 

Die andere Sache, über die schon manch einer gestolpert ist, ist die mit den nicht rechtskonformen Websites selber. Die ganze Debatte über die DSGVO hat dies ganz gut abgebildet, muss doch seitdem sehr transparent und für viele eher schwierig zu verstehen unter anderem dargestellt sein, was warum mit welchen Daten passiert und wer für die Sicherheit derselben zuständig ist. 

Es beginnt mit dem ordnungsgemäßen Impressum, in das da gehören:

- Name und Anschrift des Unternehmens; Name des Vertretungsberechtigten (bei den meisten Freelancern also deine Adresse und dein Name)

- Umsatzsteuer-Identifikationsnummer, falls vorhanden, nicht aber die die Steuernummer (!)

- Telefonnummer, E-Mail-Adresse

- falls vorhanden: Eintragung ins Handelsregister und ähnliches

Die Datenschutzerklärung ist eine Geschichte, die stark vom Inhalt der Seite abhängt. Bei Websites, die keinen Online-Shop und ähnliches haben und vor allem zur Information und Kontaktaufnahme gedacht sind, genügt oftmals eine Standard-Datenschutzerklärung. Eine Möglichkeit dazu, diese zu erstellen, findest du beispielsweise bei e-recht24.de. 

Auch auf Cookies muss hingewiesen werden. Bei den meisten Website-Baukästen hast du hier die Option, dies in einem Pop-Up-Fenster zu tun und hier auch die Auswahl der präferierten Cookies durch den Besucher einzurichten. 

Google Analytics ist ein weiterer Punkt. Nach deutscher Rechtsprechung erfordert die Nutzung (die praktisch ist), dass du einen Vertrag ausfüllst und diesen an Google nach Irland sendest. Dann wird das Ganze in deine Website eingebunden. Für Nutzer musst du eine Funktion bereitstellen, die wiederum das Erheben von Daten hierdurch unterbindet. Das gleiche gilt für alle anderen Statistik-Tools. 

Weiterhin geht es bei der Datenschutzgrundverordnung um personenbezogene Daten. Das sind diese, die es theoretisch ermöglichen, eine Person zu identifizieren. Dies schließt auch die IP-Adresse mit ein. Für dich bedeutet dies, dass du darauf hinweisen musst, ob und wie diese Daten verschlüsselt werden (in der Regel weiß dies dein Website-Provider besser als du), wie im Zweifel auf diese zugegriffen wird und so weiter. Auch hierfür gibt es die Datenschutzerklärung. 

Zudem gibt es noch viele weitere Punkte, die in Abhängigkeit davon, was auf deiner Website so möglich ist (Bezahlvorgänge, Kontaktformulare etc.), beachtet gehören. Das Thema ist komplex und dir sei an dieser Stelle angeraten, entweder zu recherchieren, einen Bekannten zu fragen, der sich hier auskennt, oder aber einen hierauf spezialisierten Anwalt zu konsultieren. 

Warum das wichtig ist? Nun, die DSGVO gilt für alle Websites, die nicht rein privat genutzt werden. Bei der Website eines Freelancers ist dies der Fall. 

Abmahnungen können zudem teuer werden und es gibt eigentlich keinen Grund, dies zu riskieren. Entsprechend solltest du, insofern du dieses Thema bisher stiefmütterlich behandelt hast, tätig werden. 

Du siehst: Das Neuland ist voller Gefahren, die aber leicht abzuwenden sind. Ein paar Sachen sind wie das Händewaschen: Man gewöhnt sich daran. Andere erfordern etwas Initiative und Wissen. Im Zweifel gibt es aber auch Experten, die das für dich übernehmen.