Hallo zusammen,
ich habe eine Idee für ein neues Tutorial/Projekt, aber mir fehlen die Kenntnisse das alleine umzusetzen, deswegen würde ich mich über eure Mithilfe freuen!
Ich möchte hier erstmal meine Idee grob vorstellen und eure Meinung dazu einholen bzw. ob sich jemand vorstellen könnte daran mitzuarbeiten. Details zu Gestaltungsvisionen teile ich gerne hier im nächsten Schritt.
Was ist das Ziel?
Eine grobe (grafische) Übersicht zu IT-Sicherheitsrisiken speziell für Privatanwender. Auf dem Level von interessierten Laien, mit dem Fokus auf Schutzmaßnahmen/Selbsthilfe. Am besten aktualisierbar, um der Dynamik von neuen Entwicklungen gerecht zu werden.
Die Übersicht sollte aus meiner Laien-Sicht her folgende Aspekte behandeln:
Was für Gefahren/Schwachstellen gibt es?
Wer hat das Potenzial diese Angriffe durchzuführen?
Wie schwerwiegend ist die Schwachstelle/wie komplex ist es diese auszunutzen?
Unter welchen Umständen kann es zu einer Infektion kommen? Ist eine “Mithilfe” des Opfers nötig?
Anhand dessen sollen Privatnutzer in der Lage selbständig in der Lage sein, ihr Risikoprofil grob abschätzen zu können.
Wie soll das inhaltlich funktionieren?
Es geht nicht darum ein neues Lehrbuch zu verfassen, mir schwebt eine Übersicht à la Messenger-Matrix vor oder noch besser in grafischer Form
Wie soll das logistisch gelingen?
Hätte ich das nötige Fachwissen, dann hätte ich einfach ein Tutorial erstellt. So gibt es meiner Einschätzung nach verschiedene Möglichkeiten:
Ein Tutorial: Unkompliziert, aber auch nicht sehr übersichtlich (scrollen durch lange Texte)
Eine Artikelserie von Mike: für ihn zeitaufwändig
mein Favorit: ein Projekt wie die Messenger-Matrix, lässt sich dynamisch anpassen; gerne Community-basiert
Ist es realistisch für dich @kuketzblog, dass ein neues Projekt auf Codeberg erstellt und betreut wird? Oder hat jemand eine bessere Idee?
Und noch eine praktische Frage: Kann man auch Block-/Fließdiagramm/Zeichnungen(z.B. als Vektorgrafik) u.ä. via Git verwalten?
PS: Ich kann weder git noch kenne ich mich mit IT-Sicherheit aus, aber ich steuere gerne Ideen als Vektorgrafik etc. bei. Und mit eurer Hilfe wird daraus hoffentlich eine Übersicht, die allen nützt
Auf einem sehr abstrakten Level könnte man versuchen so eine Informationssammlung aufzubauen um z. B. ein Verständnis für die Hintergründe von empfohlenen Maßnahmen zu fördern.
Wenn es konkret auf die einzelne Produktebene / Schwachstelle gehen soll, dann explodiert der Umfang förmlich. Hier gibt es dieses Niveau jedoch auch bereits mit https://www.cve.org/ in dem erkannte Schwachstellen in Produkten mit Kritikalität, Betroffenheit, Gegenmaßnahmen dokumentiert werden. Diese ist jedoch das Niveau für Systembetreiber, die ein permanentes Monitoring der Meldungen für die von Ihnen eingesetzten Produkte vornehmen müssen und für Privatanwender im Alltag aus meiner Sicht absolut ungeeignet.
Wie könnte eine abstrakte Informationssammlung aussehen?
Bedrohung: Software-Schwachstelle
Maßnahmen: Updates einspielen, Nicht mehr gepflegte Software deinstallieren / ersetzen, Systeme mit benötigter veralteter Software separieren oder von Kommunikation trennen
Bedrohung: Tracking und Profilierung
Maßnahmen: Tracking-Blocker im Browser, Tracking-Blocker auf DNS-Ebene, Privatsphäre VPN
Aber selbst ein solches sehr abstraktes Niveau wird in einer Tabellen-Matrix ganz schnell den übersehbaren Rahmen sprengen. Ob Privatnutzer ergänzend diesen abstrakten Level für sich hilfreich fänden, ist auch wieder noch eine Frage.
Ich meine auch, dass dies eine ziemliche Mammutaufgabe ist. Meinst du etwa so in kurzen Tabellen, die z.B. nach Devices, Anwendungsfälle usw geordnet sind?
Gerät
Nutzungempfehlung
Risiko
iPhone oder Android mit Updates
Hauptgerät, Banking, private Kommunikation
niedrig
Android mit Custom-ROM wie LineageOS (aktuell gepflegt)
Hauptgerät, aber vorsichtig bei sehr sensiblen Daten
niedrig bis mittel
Pixel mit GrapheneOS
Auch für höhere Schutzbedürfnisse geeignet
sehr niedrig bis niedrig
Android ohne OS-Updates, Apps aber aktuell
Nutzung ohne kritische Daten
mittel bis hoch
Android und Apps ohne OS-Updates
Nur als Zweitgerät ohne kritische Daten
hoch bis sehr hoch
Das könnte auch nach Anwendungsgefällen gestaltet sein, z.B erste Spalte Anwendungsfall Banking, zweite Spalte das Gerät, 3 Spalte Risiko.
Die Kombinationen sind sehr sehr vielfältig. Würde sich für mich eher nach einer zu befüllenden Datenbank anhören, deren Abfragen grafisch hübsch gestaltet sein könnten.
Genau so ein abstraktes Level meinte ich!
Mir ist völlig klar, dass man an dieser Stelle zwei Probleme addressieren muss:
Auch so eine Liste wird schnell unübersichtlich. Deswegen mein Vorschlag von grafischer Darstellung(en). Ergänzen könnte man das Konzept durch eine gut gewählte Zerlegung in Kapitel und jedes erhält sein eigenes Schaubild. Z.B. würde Computersicherheit dann einen „Knoten“ Email haben und dieser würde dann auf das Unterkapitel Email verlinken.
Wird die Liste zu abstrakt wissen Laien damit nichts anzufangen. Deswegen sollten auch die Unterkapitel bzw. einzelnen Bedrohungen nur Schlagwörter/Kurzbeschreibungen sein, die ihrerseits auf andere Artikel verlinken.
Diese Interaktivität ist sicher aufwändig, aber sie hätte folgende Vorteile:
grafisch → anschaulich
interaktiv → ansprechend für Nutzer
veränderbar → neue Bedrohungen können hinzugefügt und veraltete Quellen gelöscht werden
modular → man kann für den Start einzelne Aspekte/Themenkomplexe erarbeiten und offene Themen andeuten, dadurch werden auch Optionen zur Mitarbeit sichtbar
Risikoeinschätzung
@ToKu Danke für den Einwurf, so ähnlich hatte ich das schon im Kopf, aber ich konnte es nicht konkret ausdrücken!
Wobei ich überlege das noch zu konkretisieren: Dein Vorschlag wäre der „simple interface“ Modus, genau richtig für alle, die ihre Gerät einfach nur sicher benutzen wollen.
Für interessierte Nutzer würde ich gerne ergänzen was „sicher“ heißt. Und zwar welche Angriffsszenarien die jeweiligen Stufen von Hardware/Software haben bzw. welche verhindert werden können. Auch hier natürlich wieder auf einem sehr abstrakten Level, Bücher zu Grundlagen der IT-Sicherheit gehören in die Quellensammlung, nicht den Haupttext.
Beispiel: In GrapheneOS können App-Berechtigungen feiner gesteuert werden, dadurch … (und das grafisch oder als Tabelle umgesetzt)
Noch eine andere Frage:
Gibt es eine empfehlenswerte App für Privatanwender, die einem anzeigt welche CVEs die lokal installierten Anwendungen aufweisen?
