Vorfälle melden und Hilfe holen
- Bundesamt für Polizei (fedpol): Online-Meldeformular für Opfer eines Angriffs oder Missbrauchs
- Stadtpolizei Zürich: Informationen zur Beweismittelsicherung
- Nationales Zentrum für Cybersicherheit (NCSC)
- Cyberattacke – was tun? Checkliste für CISOs
- MELANI – Melde- und Analysestelle Informationssicherung
- Webformular für Meldung von Sicherheitsvorfällen
- Phishing-Versuche melden.
- Verletzung der Privatsphäre (Verletzung des DSG) beim EDÖB melden
Security Education & Tutorials
- Lehrmittel „Geheimnisse sind erlaubt“ (Gemeinschaftsproduktion des Datenschutzbeauftragten des Kantons Zürich und der Pädagogischen Hochschule Zürich), Details zum Projekt
- Geschichten aus dem Internet (Gemeinschaftsprojekt des Bundesamtes für Kommunkation mit verschiedenen Organisationen)
- iBarry.ch – Infos und Anleitungen für die Bevölkerung von der Swiss Internet Security Alliance (SISA)
- BE AWARE (by ensec Information Security)
- eBanking – aber sicher! (unabhängige Plattform der Hochschule Luzern für Informationssicherheit im E-Banking)
- cybercheck.li (Cybersecurity-Kampagne von digital-liechtenstein.li)
- Global Cyber Alliance (GCA) – concrete solutions that reduce and eradicate cyber risk freely available for any organization or individual (Cybersecurity Toolkit für KMU)
- BSI für Bürger – Animierte Erklärvideos zu Cyber-Sicherheitsthemen
- Workfromhome – free e-learning courses for working from home by Lucy
- Informationen für KMU (Landesbeauftragten für den Datenschutz Sachsen-Anhalt)
Security News & Knowledge
- heise Security
- Kuketz IT-Security Blog (by Mike Kuketz)
- mobilsicher.de – Infoportal für mehr Sicherheit auf Smartphone und Tablet
- The Hacker News
- SecuPedia – Plattform für Sicherheits-Informationen (aktuelle Sicherheits-Meldungen)
- abuse.ch – The Swiss Security Blog
- CERT-Bund des BSI – Warn- & Informationsdienste: Übersicht Meldungen – Kurzinfos
- Europäische Agentur für Netz- und Informationssicherheit (ENISA) – Topics
- GovCERT.ch Blog
- Router Security (by Michael Horowitz)
- SCIP Monthly Security Summary
- SCIP Blog
- SWITCH Security Blog
- Security4Startups Control Checklist
- Das kleine IT-Security-Glossar
- Malware ABC – Das „who is who“ der Malware
- Privacy-Handbuch – kollaboratives Freizeitprojekt von Privacyaktivisten
- Surveillance Self-Defense – Tipps, Tools und Anleitungen für sicherere online Kommunikation der gemeinnützigen Electronic Frontier Foundation (EFF)
- CISA Tips – Sammlung von Tipps, Tricks und Informationen zu IT-Sicherheitsfragen für nicht-technische Computerbenutzer von der Cybersecurity and Infrastructure Security Agency (CISA), ein Teil des Department of Homeland Security (USA)
Standards
- IT-Security NAVIGATOR – Orientierung durch Normen und Gesetze
- NIST Cyber Security Framework
- NIST CSF Implementation Planning Tool (tenable)
- NIST CSF Excel Workbook (Watkins Consulting)
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- ISO27k Information Security Standards
- Center for Internet Security (CIS) – CIS Controls (foundational and advanced cybersecurity actions to eliminate the most common attacks)
- Open Web Application Security Project (OWASP)
- ETSI Standards
Legal & Compliance
- Informationen der Europäischen Kommission zur General Data Protection Regulation (GDPR) / Datenschutz-Grundverordnung (DSGVO)
- EU-DSGVO/GDPR: Was Sie jetzt wissen müssen (Netzwoche)
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Repositories
- CVE – Common Vulnerabilities and Exposures (by The MITRE Corporation)
- CVE Details – The ultimate security vulnerability database
- SecurityFocus (Vulnerability Database & Mailing Lists)
- Computer Security Resource Center – National Vulnerability Database (by NIST, National Institute of Standards and Technology, U.S. Department of Commerce)
- Rapid7 Vulnerability Database
- The Exploit Database – ultimate archive of Exploits, Shellcode, and Security Papers
- Security-Database
- VulDB – the crowd-based vulnerability database
- Malware Analysis Reports (latest behavior analysis reports) and Analysis Reports of Evasive Malware (latest analysis reports of evasive malware) – generated by Joe Sandbox of Joe Security
- MITRE ATT&CK Framework (Adversarial Tactics, Techniques, and Common Knowledge)
- Forrester’s Global Data Protection and Privacy Heatmap
- ATcommands – Comprehensive Vulnerability Analysis of AT Commands Within the Android Ecosystem
- Evasion Encyclopedia (by Check Point Research) – Nachschlagewerk zu Ausweichtechniken bekannter Malware-Familien
Threat Intelligence
- Open Source Intelligence (OSINT) Framework
- OpenPhish (Phishing Intelligence) – Free Phishing Intelligence Feed
- Ransomware Tracker (by abuse.ch) – Blocklist
- Feodo Tracker of botnet C&C servers (by abuse.ch) – Blocklist
- URLhaus for filtering malware domains (by abuse.ch) – database dump (CSV) – browse database
- SURBL (URI reputation data) – SURBL Lists
- CINS Score (IP reputation database) – CI Army list
- GovCERT.ch Blocklist (file types to be blocked on e-mail and web gateway)
- CYMON.io (Open Threat Intelligence by eSentire)
- All Cybercrime IP Feeds (by FireHOL)
- FilterLists (comprehensive directory of subscription lists to block advertisements, malware, trackers, and other general annoyances)
- AdguardFilters – AdServers
- AdguardFilters – Mobile analytics and spyware
- „session replay“ services (zipped CSV file containing the full list)
- PhoneBlock (Der Spam-Filter fürs Telefon
- Industrial Security Alert Feed (CERT@VDE)
- Falcon Sandbox Threat Map (real-time)
- ShadowServer Dashboard
System Hardening & Guides
- Windows 10 Client Hardening (by SCIP)
- CIS Benchmarks / Hardening Guides – Windows Server Hardening (by CIS)
- BSI-Empfehlungen für sichere Microsoft Office Konfiguration
- Privilegierte Windows Accounts absichern (by SCIP)
- Cheat Sheets for securely configuring systems
- Gesellschaft für Datenschutz und Datensicherheit – Arbeits- und Praxishilfen (DSGVO, Datenschutz-Prüfung von Rechenzentren, …)
- Incident Response Consortium: Playbooks – Policies & Plans (Templates)
- IT and Information Security Cheat Sheets (by Lenny Zeltser)
Online Tools
Specialized Search Engines
- Shodan – The search engine for the Internet of Things
- Threat Cow – A Search Engine for Threats (by AlienVault / AT&T Cybersecurity)
Web & E-Mail & Mobile
- Qualys SSL Labs – check your server’s and browser’s security
- securityheaders.io – analyze your server’s http response headers
- Hardenize – Domain, E-Mail und Web Security prüfen (von Ivan Ristic, dem Betreiber von SSL Labs)
- Observatory by Mozilla – configure sites safely and securely
- CryptCheck – unterstütze Cipher-Suiten von Web-Server, E-Mail- (SMTP), XMPP- und SSH-Server prüfen
- BadSSL.com (Dashboard) – check certificate handling of your browser/client
- urlscan.io – scan and analyse websites and the resources they request
- Autobahn – automated vulnerability scanner (by Karsten Nohl)
- Sender Policy Framework (SPF), Domain-based Message Authentication (DMARC):
- SPF Wizard
- SPF Record Generator
- SPF Record Testing Tool
- MXToolBox SPF Record Check
- DMARC Setup Guide (by Global Cyber Alliance)
- MXToolBox: MX Lookup, MX SuperTool (MX record, DNS, blacklist and SMTP diagnostics), Domain Health Report, Email Header Analyzer, Blacklist Check, and some more tools
- SMTP MTA Strict Transport Security: MTA-STS Validator
- STARTTLS Everywhere – quick check of your email server’s security configuration
- UpGuard – External Website Risk Assessment
- Webutation – Sicherheits- & Nutzerbewertungen für Internetseiten
- ImmuniWeb – AI for Application Security
- SSL Security Test (PCI DSS, HIPAA & NIST security compliance)
- Website Security Test (GDPR, PCI DSS, security & privacy: Content Security Policy and Security Headers)
- Mobile App Security Test (OWASP Mobile Top 10 and other vulnerabilities)
- Domain Security Test (Check your Dark Web exposure: Phishing, Domain Squatting, Trademark Infringement, Fake Social Networks Accounts)
- Have I Been Pwned: Check if your e-mail has been compromised in a data breach
- Hunter – find e-mail addresses related to a domain (requires registration for a free account)
- RocketReach – find email, phone & social media for 250M+ professionals (requires registration for a free account)
- MailTester.com – e-mail address verification
DNS & IP & Firewall
- FireHOL – iptables firewall generator which builds secure, stateful iptables packet filtering firewalls from easy to understand, human-readable configurations
- DNStools (Meine IP, Traceroute, Ping, DNS Abfrage, Port Scan, Reverse IP, Freie Domains)
- DNS-Abfragen (heise Netze)
- DNS leak test
- DNSSniffer
- IP Location Finder
- myip.dobszay.ch – check your current IP address
- Whois Domain Lookup (Whois.com)
- WHOIS Search (dnsimple)
- Global Whois Lookup for domain names and IP addresses (DNSlytics)
- Whois search for registered .ch domain names (SWITCH)
- IPVOID – IP address tools online to discover details about IP addresses
- DNSdumpster.com – domain research tool to discover hosts related to a domain
- IP Tracker – Lookup (IP, whois, e-mail); trace, track, find IP location with IP tracking technology and IP tracer tool
Privacy
- Webkoll – how privacy-friendly is your site?
- PrivacyScore – test websites and rank them according to their security and privacy features
- Panopticlick – Browser auf Tracking testen (EFF, Electronic Frontier Foundation)
- Exodus Privacy – the privacy auditing platform for Android applications. Check permissions, privacy, and trackers of mobile apps.
- Identity Leak Checker (Hasso-Plattner-Institut für Digital Engineering der Universität Potsdam)
- Browser Privacy Check
- BrowserLeaks is all about browsing privacy and web browser fingerprinting
- Mozilla *Datenschutz nicht inbegriffen – Datenschutz vernetzter Produkte transparent gemacht, Ratgeber für den Einkauf sicherer, vernetzter Produkte
Malware
- VirusTotal – Free Online Virus, Malware and URL Scanner (run by Google) with more than 40 antivirus solutions
- Online-Sandbox Hybrid Analysis – free malware analysis for URLs and files (Public Knowledge Base)
- Online Free Tools to Scan Website Security Vulnerabilities & Malware
- ID Ransomware (Ransomware identifizieren und ev. entschlüsseln)
- The No More Ransom Project – Ransomware Decryption Tools
- Bitdefender Ransomware Recognition Tool – A tool to help ransomware victims find which family and sub-version of ransomware has encrypted their data and then get the appropriate decryption tool
Passwords
- CrackStation – pre-computed lookup tables (rainbow tables) to crack password hashes (works only for unsalted or poorly salted hashes)
- The Password Haystack – brute force password calculator (by GRC – Gibson Research Corporation)
Security Management
Other
- RouterCheck – consumer tool for protecting your home router
- IPFingerPrints Network Port Scanner Tool
- Open Source Web Application Vulnerability Scanners (by Infosec Institute)
- BreachAware – Credential Discovery & Remediation
- GTmetrix – website speed and performance analysis and optimization
- YourThings Scorecard – Evaluating and scoring smart-home devices to improve security
Hacking Tutorials
Security Testing & Hacking Tools
- The Penetration Testing Execution Standard (PTES)
- Penetration Testing Methodologies and Standards
- Penetration Testing Methodologies (owasp.org)
- Open Source Security Testing Methodology Manual (OSSTMM) (by Institute for Security and Open Methodologies – ISECOM)
- Kali Linux – Penetration Testing Distribution
- Ettercap – comprehensive suite for man in the middle attacks
- CQTools – The New Ultimate Hacking Toolkit (by CQURE Team)
See demo by Paula Januszkiewicz at Back Hat Asia 2019 - KitPloit – PenTest & Hacking Tools
- free hacking tools for Linux and Windows (collected by SecuredYou.com)
Security Solutions
- AV-Comparatives – Independent Tests of Anti-Virus Software
Security-Hersteller
Open Source Security Operating Systems & Tools
- OPNsense – Router and Firewall OS based on FreeBSD (Docs)
- pfSense – Router and Firewall OS based on FreeBSD
- IPFire – The Open Source Firewall Distribution (with SPI, IDPS, Web Proxy Server, VPN Gateway, etc.)
- IPCop Firewall – Linux firewall distribution geared towards home and SOHO users
- PacketFence – Open Source NAC (Network Access Control)
- Cuckoo – Open Source Sandbox for automated malware analysis
- Pi-hole – DNS Filter gegen Werbung/Malvertising, Tracker, Malware und Command and Control Domains
- OpenWrt – GNU/Linux distribution for embedded devices (typically wireless routers)
- Graylog – Log Management: Komplettlösung zur Sammlung und Analyse von Protokolldateien und Alarmierung bei Anomalien
- ModSecurity – Open Source Web Application Firewall by TrustWave (Apache, Microsoft IIS, Nginx)
- WAF-FLE – Web GUI for ModSecurity to store, view and search events (Linux, FreeBSD, and should run with other OS that support PHP and MySQL)
- NGINX Web Application Firewall
- NAXSI – Nginx Anti-XSS & SQL Injection (CentOS, Debian, FreeBSD, Oracle Linux, RedHat, Suse, Ubuntu, x86, AWS, Google Cloud, MS Azure)
- AQTRONiX WebKnight – Open Source Web Application Firewall (WAF) for Microsoft IIS
- Wordfence – WordPress Firewall & Security Scanner
- Shield Security – WordPress Security Plugin
Security Plugins & Addons
Mozilla Firefox (Web Browser)
- uBlock Origin: Adblocker blockiert Werbung, Tracking und Malware-Domains (Projekt-Homepage)
- HTTPS Everywhere: Automatische Umstellung auf HTTPS (Projekt-Homepage)
- Decentraleyes: gegen Nachladen von JavaScript aus externen Quellen zum User-Tracking (Projekt-Homepage)
- CanvasBlocker: gegen Browser-Fingerprinting über JavaScript APIs (Projekt-Homepage)
- Privacy Badger: blockiert Tracking (Projekt-Homepage)
- Smart Referer: gegen Browsererkennung durch HTTP-Header (Projekt-Homepage)
- Privacy Settings: einfache zentrale Browser-Datenschutz-Einstellungen in der Toolbar (Projekt-Homepage)
- Neat URL: gegen URL-Tracking, entfernt Tracking-Parameter in der URL (Projekt-Homepage)
- Skip Redirect: gegen HTTP-Umleitungen, ruft Websites direkt auf (Projekt-Homepage)
- NoScript: verhindert nicht nur das Ausführen von JavaScript, sondern unterdrückt zudem Java-Applets, Flash und Microsofts Silverlight sowie noch mehr (Projekt-Homepage)
- Firefox Multi-Account Containers: isoliert Web-Aktivitäten in von einander isolierten Containern (Projekt-Homepage)
- Temporary Containers: öffnet Websites automatisch isoliert in einem temporären Container (Projekt-Homepage)
- Switch Container Plus: erlaubt das Wechseln des aktuellen Tabs zu einem anderen Container (Projekt-Homepage)
- FoxyProxy Standard: Proxy-Management-Werkzeug (Projekt-Homepage)
- uMatrix: Eine Matrix-basierte Firewall, einfach per Mausklick zu bedienen – und mit vielen Extras, um die Privatsphäre zu schützen (für fortgeschrittene Benutzer)
- Privacy Redirect: Anfragen an Twitter, YouTube, Instagram & Google Maps zu datenschutzfreundlichen Alternativen weiterleitet
Mozilla Thunderbird (E-Mail Client)
- Allow HTML Temp: erlaubt die Anzeige zwischen Text, Simple HTML und HTML mit einem Klick zu wechseln (Projekt-Homepage)
- Paranoia: überprüft und zeigt an, ob eine E-Mail mit TLS transportverschlüsselt wird (Projekt-Homepage)
- DKIM Verifier: überprüft DKIM Signaturen der E-Mail und zeigt an, welche Absender-Domain für eine E-Mail verantwortlich ist
- Display Mail User Agent T: zeigt den E-Mail Client des Absenders an
Privacy Friendly Mobile Apps
Android
- Simple Mobile Tools for Android (by Tibor Kaputa)
- Privacy Friendly Apps (Forschungsgruppe SECUSO, TU Darmstadt): QR Scanner, Shoppingliste, Spiele, …
- K-9 Mail (Google Play-Store, F-Droid)
- FairEmail (Google Play-Store, F-Droid)
- pEp (pretty Easy privacy e-mail client with encryption)
- Firefox (Web Browser)
- Orbot
- Orweb
- Hacker’s Keyboard
- Simple Keyboard
- Magic Earth
- OsmAnd+
- MuPDF viewer
- Netguard (local VPN firewall)
- NewPipe (Youtube client)
- Open Camera
- Text Fairy
- NFC Tools
- OpenTasks
- OpenVPN for Android
- Signal
- Threema
- Conversation
- Jitsi Meet (Google Play-Store, F-Droid)
- Total Commander
- VLC
- OpenTracks (Google Play-Store, F-Droid)
- FitoTrack (Google Play-Store, F-Droid)
iOS
Self-Defense & Data Privacy
- noyb (not of your business) – Nonprofit-NGO und Europäische Plattform zur Durchsetzung der GDPR
- Soomz.io – Gadgets für den persönlichen Datenschutz (Webcam, Kreditkarte, Reisepass, etc.)
- Tor Project – software and anonymity network
- Empfohlene Dienste und Produkte für die digitale Zusammenarbeit mit datenschutzrechtlichen und sicherheitstechnischen Beurteilungen
(Datenschutzbeauftragte des Kanton Zürich)
Verfügbarkeit von Security Patches
End-of-life (EOL) and support information: endoflife.date
Android-Geräte
Linux
- will follow soon …
Microsoft
Forensics
- will follow soon …
Special Topics
Security Bullshit (just for fun)
- Wir sind kein wahrscheinliches/lohnenswertes Ziel. Wer soll uns schon angreifen?
- Security ist Aufgabe der IT-Abteilung / des Herstellers.
- Security hilft uns nicht, mehr Produkte zu verkaufen.
- Uns kann niemand hacken, weil unsere Systeme in einer isolierten Umgebung laufen.
- Wir haben eine Firewall und unsere Clients sind mit einer Anti-Virus Software geschützt. Wir sind sicher.
- Mein Passwort ist sicher.
- Unsere Cybersicherheit ist gut genug, wenn nicht sogar perfekt.
- Unsere Mitarbeiter brauchen keine Schulung. Die wissen, wie man digitale Anwendungen sicher nutzt.
- Wir merken ja, wenn wir uns Schadsoftware einfangen sollten.