Wieviel Zeit verwendet Ihr, um Euer Smartphone / IT "sicher" zu machen?

Diese Frage habe ich mir schon vor dem Beitrag von @ynMBLn4y gestellt.

• Für meine IT brauche ich 1 -1,5 Stunden / Woche. Dank Linux ist ein Update schnell gemacht. Die Geräte melden sich bei einem Update. Für die Software, die manuell installiert sind, habe ich die RSS-Feeds abonniert.
  Wichtig für mich ist, dass ich jeden Tag die Konfigurationsdaten gesichert werden. Für das Schreiben und aktualisieren des Backupsskriptes investiere ich gerne ein bisschen mehr Zeit, damit ich den Server ggf. schnell neu aufsetzen kann.

• Bei meiner Nextcloud und Joomla Seiten schaue ich einmal die Woche vorbei, bzw. wenn etwas über den RSS-Feed hereinkommt wird das sofort gemacht. Joomla ist bei einem Core Update echt nervig. Deshalb wird das sofort gemacht. Der Arbeitsaufwand ist auch so 1-1,5 Stunde / Woche. Jeden Tag gibt es ein automatisiertes Datenbank Backup. Einmal pro Woche gibt es ein Backup der Daten vom Webserver.
  [Nachtrag 08.07.2025 13:29 Uhr: Ich habe Joomla dazu gebracht sich bei einem Core Update nur noch einmal am Tag zu melden, anstatt jede Stunde]

Wie ich und @ynMBLn4y geschrieben haben. 100 % Sicherheit gibt es nicht. Irgendwann wird der Aufwand größer, wie der Nutzen.

Wenn ich die ganzen Posts lese, dann müsst Ihr doch einen beträchtliche Zeit mit dem Sichern eures Smartphones bzw. IT verbringen.

Dann freue ich mich über eure Antworten. Haut rein.

Hallo!

Interessant…

Naja, rein empirisch kann ich hierzu leider keine Auskunft geben, aber anekdotisch. Auf alle Fälle würde ich sagen, dass ich persönlich mehr Zeit darauf einsetze als dies in meiner Familie oder Bekanntenkreis (auch MINT i.A. sowie Mathe und Informatik i.B.) üblich ist.

• Zuerst einmal rufe ich quasi täglich verschiedene Nachrichtenportale (teilweise mehrmals) auf. Wenn verfügbar lese ich bei Zeit und Interesse auch dazugehörige Forenkommentare.
• Dann gibt es es paar Nachrichtenportal-ähnliche Blogs bzw. ähnliche Webseiten.
• Diese vorgenannten Seiten dienen der allgemeinen Informationsaufnahme. Sie sind noch nicht zwingend IT-spezifisch. Aber es ist z.B. auch heise schon dabei.
• Die Kommentare lese ich nicht vollständig. Manchmal sind dort einfach nur Unqualifiziertes oder Grabenkämpfe. Aber manchmal finden sich auch Perlen, auf die hingewiesen wird. So habe ich manchmal Trends mitbekommen, die zu dem Zeitpunkt in der allgemeinen „seriösen“ Medienlandschaft noch spärlich behandelt wurden.
• Dann verfolge ich folgende Changelogs: Empfehlungsecke (Mike Kuketz), Privacy-Handbuch (Sven Freitag), privacy.sexy (Erkin Ekici), user.js (arkenfox)
• Ich verfolge auf GitHub - secureblue/secureblue: A security-focused desktop and server linux operating system. die Entwicklungen von secureblue (Fedora), um sie bei Bedarf und Möglichkeit in mein eigenenes System (openSUSE Leap, Tumbleweed, Slowroll) zu übernehmen.
• Und ich habe Links zu den Changelog/History von mir genutzter Software auf Systemen in meinem Umfeld (Microsoft Windows, Apple macOS, Linux wie openSUSE, Android wie GrapheneOS, Apple iOS), die ich öfters mal checke.

Das eigentliche Umsetzen von Maßnahmen dauert meiner Erfahrung nach weniger als die ständige Informationsaufnahme. Manchmal, wenn Tests notwendig sind, kann es auch länger dauern. Aber der eigentliche Punkt ist die beständige Informationsaufnahme. Dies halt, um allein schon von der Sachlage her sich der Sättigungsgrenze zu nähern (wahrscheinlich noch recht weit entfernt, weil es noch viel mehr und ganz andere Quellen gibt…).

Meine IT aktualisiert und backupped sich soweit komplett „automatisch“ (Linux Desktop zuhause, Linux Server in der Cloud, iPhone(s) und iPad(s), Router, Windows PCs von den Kids; Nextcloud und alle anderen Dienste) und i.d.R. meldet sich alles wichtige, wenn es nicht geklappt hat (Backup, Updates).
Aufwand entsteht bei mir nur und erst dann, wenn mal ganz selten (einmal im Jahr?) etwas (Linux-Updates, Nextcloud, Pi-hole) nicht geklappt hat, so dass ich dann später mal manuell eingreifen oder gar etwas möglichst zeitnah und natürlich ungeplant reparieren muss…

Erstaunlich, dass diese gute Frage bisher etwas unter ging.

Auch wenn ich keine genaue Zeitangabe machen kann, empfinde ich, dass ich viel zu viel Zeit dafür investieren muss und gleichzeitig das Gefühl habe, immer hinter her zu sein.
Ich kann mir zwar den Luxus erlauben, recht viel Zeit zu investieren, musste jedoch als Anfänger immer wieder einsehen, dass ich nicht das umsetzten kann, was ich gerne an Sicherheit hätte.
So muss ich immer öfters Kompromisse machen und ärgere mich über die investierte Zeit.

Ich erlaube mit da einen Pragmatismus, bspw. verzichte ich auch hochindividuelle Filterlisten für DNS-Blocking, sondern nehme einfach Standardlisten, die z.B. zu wenig aggressiv sein können. Ich kann aber damit leben, was mein gewünschtes Schutzniveau hat. Also bei mir hält es sich sehr in Grenzen, sobald man Grundlagen hat.

Das ist eine gute Frage.

Früher habe ich deutlich mehr Zeit dafür aufgewendet als jetzt, habe viel gelesen und auch umgesetzt. Und natürlich auch einiges dabei gelernt. Allerdings war es mir irgendwann zu viel, mich ständig auf dem Laufenden zu halten, so dass ich dazu übergegangen bin, vermehrt auf vorgefertigte Lösungen zu setzen.

Auf meinem PC läuft seit ein paar Monaten Qubes OS, das schon im Ausgangszustand sehr sicher ist, und ich bin sehr zufrieden damit. Das Smartphone wird dadurch „sicherer“, dass es nur für eng begrenzte Zwecke genutzt wird. Ich muss nicht ständig erreichbar sein und bin es auch ganz bewusst nicht. Für Messaging z.B. wird hauptsächlich der Computer zu Hause genutzt.

Sicherheitsupdates werden grundsätzlich auf sämtlichen Geräten zeitnah eingespielt, das ist aber bei den verwendeten Systemen kein großer Aufwand. Vieles läuft über Skripte, auch die Benachrichtung über Updates und natürlich regelmäßige Backups. Dinge, die nur sporadisch anfallen, habe ich gut dokumentiert (z.B. Upgrades von OpenWrt), so dass das dann auch relativ schnell erledigt ist.

Dürfte schon ein dutzend Stunden in der Woche sein. Jeden Tag prüfe ich auf neue Artikel auf verschiedensten IT-Blogs und Seiten. Wenn ich interessante Neuerungen oder Ideen sehe, die ich für sinnvoll halte, dann gegenrecherchiere ich dazu, hole andere Meinungen ein und setze das in meinem System um, das betrifft aber lediglich meinen Desktop. Dafür geht schon der Großteil der Zeit drauf.

Zusätzlich lese ich mir immer die neusten Changelogs von installierter Software durch, zu wissen was sich verändert hat ist für mich wichtig.

Das installieren von Software nimmt nicht sehr viel Zeit in Anspruch, eher das Beschaffen der richtigen Informationen und der Austausch in Foren wenn etwas bei der Installation nicht funkt und Fehlermeldungen auftauchen.

Seit dem ich Qubes und GrapheneOS nutze, ist der regelmäßige Aufwand für IT-Sicherheit stark reduziert, unter eine Stunde die Woche (Updates sind banal, Feeds mit Meldungen verfolgen, hin und wieder Texte von denen lesen und verstehen).

Bei Servern verfolge ich Separierung (einfache VMs bei Hetzner) und damit Reduzierung der aktiven Dienste auf die verschiedenen Maschinen. Z.B. durch Nutzung von StaticWebGeneratoren wie Hugo, Pelican u.ä. für die eigene Webpräsenz, ggf. Blockierung des eigentlichen Dienstes (Mediawiki, Nextcloud u.ä.) durch vorgeschaltetes Auth-Verfahren von Apache2/Nginx. Damit ist zeitliche Druck reduziert bei notwendigen Sicherheits-Updates. Backup der Server wird grad automatisiert auf die Hetzner Storage Box (neu) und das dort abgelegte wiederum automatisch nach lokal gezogen. Die Betriebssystem-Updates werden per E-Mail vom jeweiligen Server zusätzlich mitgeteilt, ansonsten arbeite ich mit einem Feed-Server mit wesentlichen Feeds, z.B. vom CERT BUND. Bestimmte Dienste wie E-Mail lagerte ich aus z.B. nach mailbox.org und bezahle die dafür (3€ steht in keinem Verhältnis zum eigenen administrativen Aufwand). Dadurch Aufwand insgesamt für Server unter 1 Stunde die Woche plus initiale Aufwände hin und wieder, z.B. Aufwände für optimale DNS-Einstellung bei meine Mail-Domain via mailbox.org (waren ca. 5 Stunden an einem Samstag inkl. Dokumentation (seit dem mache ich das unter 1 Stunde bei anderen)).

Der initiale Aufwand war bei GrapheneOS hoch, wie es immer ist, wenn man neues an Software nutzt. Ca. 15 Stunden für Installation, Fehler finden (falsches Kabel), Verstehen, inkl. Dokumentation des Installationsvorgangs, Platt machen und Wiederherstellung testen.

Der erste initiale Aufwand bei Qubes war ausgelagert an die Nitrokey GmbH, wo ich den Computer mit Qubes fertig gekauft hatte. Das begründete sich damals mit einen defekten Computer und schnellstmöglichen Ersatz und da waren mir die ca. 250€ Mehrkosten auch Wert und ein Dank an die Firma/Leute. Aktuell installiere ich Qubes nun selbst.

Der meiste Aufwand in der Woche geht in Lesen und Verstehen
Und ich bemühe mich, nicht überall mehr mitzureden

Wie bereits schon von mir und in ähnlicher Weise anderen erwähnt: „viel“ Zeit (anekdotisch, nicht empirisch) geht für die Informationserfassung drauf. Reguläre Updates laufen quasi von selbst im Hintergrund. OK, bei einem BIOS-Update prüfe ich, ob ich wirklich ein aktuelles Backup habe.

CERT BUND hatte ich mal abonniert, habe ich aber wieder gekündigt.

Wirklich Arbeit habe ich eigentlich nur, wenn ich neue Maßnahmen oder größere Änderungen umsetze. Dies ist dann oft mit manuellen Tests verbunden.

Was ich in gewisser Weise sporadisch, aber öfters wiederkehrend auch mache, ist, auf neu hinzugekommene 2FA-Angebote oder der Möglichkeit von Passkeys zu prüfen. 2FA setze ich nach Verfügbarkeit ein. Und ab und zu gesellt sich ein neuer Vertreter dazu. Passkeys setze ich tatsächlich regulär noch gar nicht ein. Bei den von mir genutzten Konten werden die nur sehr wenig angeboten. Aber ich checke, ob sich die Lage grundsätzlich bessert. Außerdem muss ich mir noch überlegen, wie ich regulär mit Passkeys umgehen will: Verwaltung, Backup sowie SW, HW…?

Leicht OT, aber was mich ziemlich nervt und auch Arbeit macht (wenn ich mich darum kümmern würde ): Für die Dateiablage benutze ich eine detaillierte Ordnerstruktur:

• Dokumente/Bilder/Musik/Videos/Vorlagen/bin (bin=Binaries, die manuell abgelegt sind, also nicht per irgendeiner Repository-Verwaltung)
• Unterordner mit „sprechenden Namen“ (Banken/Versicherungen/Vereine x, y, z…)
• Unterordner alphabetisch (z.B. bei meiner Musiksammlung)
• Unterordner mit Jahrgängen

Also quasi wie ein gut sortierter Aktenschrank. — Ja, mit den Metatags bei macOS ist es auch etwas „bequemer“ möglich — aber ich setze hauptsächlich Linux ein und vor allem mag ich das konventionelle System. Prinzipiell würde da auch ein Außenstehender gut durchnavigieren können.

Meinem Vater habe ich das ähnlich hergerichtet. Aber über die Zeit sammelt sich dort in einigen Ordnern (sowohl Dateisystem als auch E-Mail) ein riesen Wust an Durcheinander an, statt dass es hübsch einsortiert ist. Ich bitte ihn dann ab und zu mal, wieder aufzuräumen. Aber mit meiner Ordnung längst nicht vergleichbar. Ich mag mir derzeit gar nicht groß Gedanken um „digitalen Nachlass“ machen.

Klar: Ordnungssysteme bei verschiedenen Personen können verschieden aussehen. Aber hauptsächlich überhaupt ein reguläres Ordnungssystem! Und das regelmäßig gepflegt! Wenn quasi alles in gerade mal zwei Ordnern liegt, ist es schwer durchzuschauen.

Früher verbrachte ich mehr Zeit mit der Absicherung der IT (Hobby + Lernen). Irgendwann wollte ich es dohc einfacher haben und nicht so viel vor dem Rechner sitzen. Bin wie viele andere hier zu QubesOS + GrapheneOS gewechselt. Halte Smartphone recht abgekapselt - kaum persönlcihes Zeug darauf (max. 10 Fotos im Speicher usw.). Ich vertraue dem Smartphone nicht und nutze minimalistisch. Reduziert Paranoia und Aufwand. QubesOS ist auch pflegeleicht wenn man sich eingearbeitet hat und es läuft (Backups sollten schon sein). Da werden Fehler eher verziehen und man kann ne neue AppVM schnell erstellen und arbeitet generell oft in einer Wegwerf-Umgebung. Und mein Daten-Profil (AppVM) hat kein Internet-Zugang (Email-Qube auch getrennt). Daher ist das Leben nun schöner und entspannter. Wachsam (Blogs lesen gelegentlich) sollte man bleiben. PS: nutze keine Cloud (nur Syncthing und Geräte-Synchronisation).