Der Artikel " IT-Sicherheit ist nie fertig – Ein persönlicher Weg über viele Jahre " auf der Feder vom Mike Kuketz ist eine sehr empfehlenswerter Artikel. Du kennst Mike und sein Wirken noch nicht ?
Mike über sich:

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei  Kuketz IT-Security  überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der  DHBW Karlsruhe  sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in  Workshops, Schulungen  sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift  c’t  und bin in  Medien  wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Jeder der sich professionell mit den Themen IT-Sicherheit und digitaler Souveränität beschäftigt wird konkrete Handlungsempfehlungen finden, die Hand und Fuß haben. Er beschreibt in 11 Kapiteln seinen Weg und viele Stationen zu einem gehärteten und gesicherten Umgang mit Bit & Bytes.

1. Der Hallo-Wach-Moment
2. Passwörter: Vom ausgedachten System zur kontrollierten Unmerkbarkeit
3. Accounts: Von »für alles ein Konto« zu »so wenig wie möglich«
4. E-Mail: Von der Freemail zur kontrollierten Adresslandschaft
5. Heimnetz: Vom »Router aus der Box« zur eigenen Infrastruktur
6. Smartphone: Vom Lifestyle-Gadget zum kontrollierten Werkzeug
7. Backups: Verfügbarkeit als unterschätzte Säule
8. Raus aus den Datensilos der Konzerne
9. Virenscanner: Abschied von der Sicherheitsillusion
10. Ihr könnt das auch
11. Fazit: Sicherheit als Prozess, nicht als Zustand

Da machste aber ein (spannendes) Fass auf!

Der "Kuketz IT-Security Blog" ist mir natürlich sehr gut bekannt und ich konsultiere den trotz oder gerade wegen seiner manchmal "konsequent kontrovers übersteigerten" Meinungen gerne (was keine Kritik an dieser Stelle, sondern nur eine "realistische Einschätzung" sein soll). Genau so übrigens wie den nicht minder "herausfordernden" Blog von Gerrit . Was soll ich dazu noch sagen? IT-Security ist "lästig" und "kostet Geld" ("Warum? Läuft doch gerade alles, also können wir die IT-Security-Fritzen rauswerfen, die eh nichts tun!") Bis es dann knallt und sich selbstdarstellerische PolitikerInnen vor Mikrofone stellen und den/die MacherIn raushängen lassen. Wer erinnert sich noch an oder redet gar noch von "Schüffelgate"? (Ich könnte jetzt wieder mit meinem Reizthema E-Mail-Verschlüsselung kommen.) Was am Ende bei der Sache politisch herausgekommen ist, wäre ein eigenes Thema. Statt dessen kommen Law and Order-PolitikerInnen mit den immer gleichen falschen Argumenten um die Ecke und wollen die DSGVO schleifen . Und auch am Cookie-Schutz sägen sie . Die sind also voll auf der Höhe der Zeit und wollen "nur unser Bestes" (ihr wisst ja, was das in Wahrheit ist!). Ergo: Wir müssen uns um unsere Sicherheit selber kümmern.

Punkt 8: "Datensilos": Ich sag nur die Stichworte Jabber/XMPP ( WP , heise , uu ) und Fediverse. Oder habt ihr was von einer "WhatsApp-Flucht" gehört?

Punkt 9: "Virenscanner". Der nicht minder kontroverse fefe hat die ja schon vor Jahren als "Schlangenöl" bezeichnet ( hier und da ) und ich stimme ihm da wie folgt absolut zu:

Zusammengefasst: Zu glauben, dass man auf einem möglicherweise korrumpierten/gehintertürten System ein (schlimmstenfalls proprietäres) Programm installiert und diesem Vollzugriff auf das System gibt und dann glaubt, dass dieses faktisch unkontrollierbare Programm "zuverlässig" jeglichen "Schadcode" eliminiert, dazu gehören schon eine außerordentliche Technik- und Konzerngläubigkeit! Abgesehen davon, dass wie auch in anderen Lebensbereichen Prävention statt Symptombekämpfung der richtige Ansatz ist, schlage ich da eine ganz andere Vorgehensweise vor:

Vorab: Ich will mich gar nicht auf diese merkwürdige "Kaspersky ist doch Russe"-Diskussion einlassen, für die sich niemand vor dem Ukraine-Krieg interessiert hat.

Heise macht das ja mit "Knoppicilin" (heute "Desinfec't" ) vor, aber es gibt auch noch andere Anti-Viren-LiveCDs, die man übrigens frei im Internet herunterladen kann.

Also: Man startet ein solches natürlich Linux-basiertes "vertrauenswürdiges" Live-Medium mitsamt einem Open Source-Virenscanner, holt sich die tagesaktuellen Virensignaturen aus dem Netz in den Arbeitsspeicher (der natürlich ausreichend vorhanden sein sollte) und scannt dann quasi das möglicherweise korrumpierte System von außen. Alles Andere ist Nonsens und JedeR, der/die was von "Sicherheit dank installierter Virenscanner" erzählt, redet Mist (bzw. ist ein/eine "SchlangenölverkäuferIn".) Ich habe dazu übrigens auch eine kleine Zusammenstellung herunterladbarer ISOs angefertigt.

Es gäbe also auch hier noch viel zu diskutieren.