Your personal laptop and phone are Zevvy attack surface. Ihr privater Laptop und Ihr privates Handy sind Zevvy-Angriffsfläche.

Zevvy uses Bring-Your-Own-Device — you sign in to Microsoft 365, AWS, and other work systems from your own equipment. That's convenient, but it means an attacker who compromises your home laptop has potentially compromised Zevvy. This page is the baseline of what to have in place. Zevvy nutzt Bring-Your-Own-Device — Sie melden sich auf eigenen Geräten bei Microsoft 365, AWS und anderen Arbeitssystemen an. Das ist praktisch, bedeutet aber: Wer Ihren privaten Laptop kompromittiert, hat damit potenziell Zevvy kompromittiert. Diese Seite ist der Mindeststandard.

Why BYOD raises the stakes Warum BYOD die Lage zuspitzt

On a company-issued laptop, IT controls the configuration: disk encryption, OS patching, the antivirus engine, browser settings, the local firewall. On a BYOD device, that protection only exists if you set it up yourself.

That matters because the same device hosts the M365 session that reads Zevvy email, the AWS Console session that touches customer data, and the family photos, the kid's Minecraft mods, the browser extension someone recommended on Reddit. One careless install on the personal side can quietly read every browser cookie and access token on the work side.

The phone is similar: it holds the Authenticator app that approves every sign-in, the password-manager vault, often a synced clipboard from the laptop. Losing it, lending it, or installing the wrong app affects Zevvy too.

Auf einem Firmenlaptop steuert die IT die Konfiguration: Festplattenverschlüsselung, OS-Updates, Antivirus, Browser-Einstellungen, lokale Firewall. Auf einem BYOD-Gerät existiert dieser Schutz nur, wenn Sie ihn selbst einrichten.

Das ist wichtig, weil dasselbe Gerät die M365-Sitzung mit Zevvy-Mails, die AWS-Console-Sitzung mit Kundendaten und gleichzeitig die Familienfotos, die Minecraft-Mods der Kinder und die Browser-Erweiterung aus Reddit beherbergt. Eine unvorsichtige Installation auf der privaten Seite kann leise jedes Browser-Cookie und jeden Access-Token der Arbeitsseite mitlesen.

Das Handy ist ähnlich: Es enthält die Authenticator-App für jede Anmeldebestätigung, den Passwort-Manager-Tresor, oft eine synchronisierte Zwischenablage vom Laptop. Verlust, Verleih oder falsche App betreffen damit auch Zevvy.

Laptop — baseline Laptop — Grundausstattung

Disk encryption on. BitLocker on Windows 11 Pro, FileVault on macOS. Without it, a stolen laptop is a stolen mailbox and a stolen AWS session. Festplattenverschlüsselung aktiv. BitLocker bei Windows 11 Pro, FileVault bei macOS. Ohne sie bedeutet ein gestohlener Laptop: gestohlenes Postfach, gestohlene AWS-Sitzung.
Automatic OS and browser updates. Most "zero-day" attacks rely on patches you didn't install. Restart at least weekly. Automatische Updates für Betriebssystem und Browser. Die meisten „Zero-Day“-Angriffe nutzen Lücken, für die schon ein Patch existiert. Mindestens wöchentlich neu starten.
Antivirus / EDR running. Windows Defender on Windows is fine. On macOS, the built-in XProtect plus a reputable EDR if IT provides one. Don't disable real-time scanning. Antivirus / EDR aktiv. Windows Defender ist auf Windows ausreichend. Auf macOS XProtect plus ein seriöses EDR, falls von der IT bereitgestellt. Echtzeitschutz nicht deaktivieren.
Separate work profile in the browser. Use a dedicated Edge or Chrome profile only for Zevvy / M365 / AWS. Personal browsing — and especially personal browser extensions — stay in a different profile. Eigenes Arbeitsprofil im Browser. Nutzen Sie ein eigenes Edge- oder Chrome-Profil ausschliesslich für Zevvy / M365 / AWS. Private Nutzung — und besonders private Erweiterungen — bleiben in einem anderen Profil.
Strong login + lock after a few minutes idle. Long password or PIN plus device biometric. Auto-lock after 5 minutes when the laptop leaves your hands. Starke Anmeldung + Sperre nach kurzer Inaktivität. Langes Passwort oder PIN plus Geräte-Biometrie. Auto-Sperre nach 5 Minuten, sobald Sie das Gerät aus der Hand legen.
No shared user account. Don't let family members or housemates log in under your account. They wouldn't get a copy of your office key either. Kein geteiltes Benutzerkonto. Lassen Sie Familienmitglieder oder Mitbewohner nicht über Ihr Konto angemeldet sein. Den Bürotürschlüssel würden Sie ihnen auch nicht geben.

Phone — baseline Handy — Grundausstattung

Screen lock with biometric + strong PIN. 6+ digit PIN, not 1234 or your year of birth. Face ID or fingerprint as the convenience layer on top. Bildschirmsperre mit Biometrie + starker PIN. Mindestens 6-stellige PIN, nicht 1234 oder Ihr Geburtsjahr. Face ID oder Fingerabdruck als Komfortebene darüber.
OS auto-updates on. iOS and Android both apply security updates within a day if you let them. Automatische Updates aktiviert. iOS und Android installieren Sicherheitsupdates innert eines Tages, wenn man sie lässt.
Install apps only from the official App Store / Play Store. Sideloading or "free" alternative stores is how most mobile malware lands. Apps nur aus dem offiziellen App Store / Play Store. Sideloading oder „gratis“-Alternativ-Stores sind der Hauptweg für Handy-Malware.
Microsoft Authenticator for MFA. Not SMS — SMS can be intercepted via SIM-swap. Authenticator with number-matching is the Zevvy standard. Microsoft Authenticator für MFA. Keine SMS — SMS lässt sich per SIM-Swap abfangen. Authenticator mit Number-Matching ist der Zevvy-Standard.
Find My / Find My Device on. So you can locate, lock, or wipe the phone if it's lost. „Wo ist?“ / „Mein Gerät finden“ aktiviert. So lässt sich das Handy bei Verlust orten, sperren oder löschen.
Don't root or jailbreak. It disables exactly the protections that keep Zevvy data isolated from everything else on the phone. Kein Root / Jailbreak. Es deaktiviert genau die Schutzmechanismen, die Zevvy-Daten von allem anderen auf dem Handy abschotten.

Working from anywhere Arbeiten von unterwegs

Public Wi-Fi is fine — for M365 and AWS. Both use HTTPS end-to-end, so a hotel network can't read your traffic. What it can do is push a captive portal that looks like a Microsoft sign-in. Read the URL carefully on Wi-Fi prompts. Öffentliches WLAN ist okay — für M365 und AWS. Beide nutzen durchgehendes HTTPS, das Hotelnetzwerk kann den Verkehr nicht mitlesen. Was es kann: ein Captive Portal vorschalten, das wie ein Microsoft-Login aussieht. Bei WLAN-Anmeldungen die URL genau prüfen.
Use the company VPN if you're touching internal systems. Anything not behind M365 SSO that needs a Zevvy network connection — go through VPN. Firmen-VPN für interne Systeme nutzen. Alles, was nicht hinter M365-SSO sitzt, aber eine Zevvy-Netzverbindung braucht — über VPN.
Don't leave a logged-in laptop visible in cafés or hotel lobbies. Even briefly. Even with you in the room — shoulder surfing is the most under-rated attack. Laptop in Cafés oder Hotellobbys nicht eingeloggt sichtbar lassen. Auch nicht kurz. Auch nicht, wenn Sie im Raum sind — Mitlesen über die Schulter ist die unterschätzteste Angriffsart.
Privacy screen for travel. A 25-franc filter is the cheapest control on this entire page. Sichtschutzfolie für unterwegs. Für 25 Franken die günstigste Schutzmassnahme auf dieser ganzen Seite.
Don't charge from random USB ports. See the USB drop attacks page. Use your own charger and wall socket. Nicht an unbekannten USB-Buchsen laden. Siehe Seite zu USB-Drop-Angriffen. Eigenes Netzteil und Steckdose verwenden.

Things not to do on a BYOD device Was Sie auf einem BYOD-Gerät nicht tun sollten

Don't store AWS access keys, root passwords, or signed JWTs in plain files. Use a password manager or AWS SSO / Identity Center. AWS Access Keys, Root-Passwörter oder signierte JWTs nicht in unverschlüsselten Dateien speichern. Passwort-Manager oder AWS SSO / Identity Center verwenden.
Don't sync Zevvy files into personal Dropbox / Google Drive / iCloud. Stay inside OneDrive / SharePoint / Teams — that's auditable and reversible. Zevvy-Dateien nicht in private Dropbox / Google Drive / iCloud synchronisieren. Innerhalb von OneDrive / SharePoint / Teams bleiben — dort nachvollziehbar und reversibel.
Don't paste Zevvy data into random AI chatbots. Use the approved AI tools. Anything else may train on or log what you paste. Zevvy-Daten nicht in beliebige KI-Chatbots eingeben. Nur freigegebene KI-Tools verwenden. Andere können auf den Eingaben trainieren oder sie protokollieren.
Don't install browser extensions you can't justify. Each one can read every page you open, including M365 and the AWS Console. Stick to a small, vetted set. Keine Browser-Erweiterungen installieren, die Sie nicht begründen können. Jede kann jede Seite mitlesen, die Sie öffnen — einschliesslich M365 und der AWS Console. Bleiben Sie bei wenigen geprüften.
Don't lend the device. Even briefly. Even to a colleague. "Show me that thing" is a real social-engineering pretext. Gerät nicht weitergeben. Auch nicht kurz. Auch nicht an Kolleginnen oder Kollegen. „Zeig mir mal kurz das hier“ ist ein realer Social-Engineering-Vorwand.

If something happens to your device Wenn etwas mit Ihrem Gerät passiert

Lost / stolen: Use Find My / Find My Device to lock and erase. Then email it@zevvy.org so they can revoke your M365 sessions and rotate any AWS credentials.
Suspect malware: Disconnect from Wi-Fi, don't shut down, contact it@zevvy.org.
Device repaired or sold: Sign out of all M365 and AWS sessions first, then perform a factory reset before handing it over.

Verloren / gestohlen: Über „Wo ist?“ / „Mein Gerät finden“ sperren und löschen. Anschliessend an it@zevvy.org melden, damit die IT M365-Sitzungen widerruft und AWS-Zugänge rotiert.
Malware-Verdacht: WLAN trennen, nicht ausschalten, an it@zevvy.org melden.
Reparatur oder Verkauf: Zuerst aus allen M365- und AWS-Sitzungen abmelden, danach Werkseinstellungen wiederherstellen — erst dann das Gerät abgeben.