Cybersicherheit: Sieben Strategien fürs sichere Surfen

1. Schutz durch ein sicheres Passwort: Satz mit mehr als einem X

Ob Online-Banking, E-Mail-Konto oder Soziale Netzwerke: Zum Einloggen wird überall im Netz eine Kombination aus Benutzername und Passwort verlangt. Doch viele Nutzer geben sich wenig Mühe: „123456“ ist tatsächlich das meistgenutzte deutsche Passwort, zeigt eine Auswertung von geknackten E-Mail-Adressen. Direkt dahinter, noch ein kleines bisschen kürzer: „12345“.

Die gute Nachricht: Viele Webseiten fordern mittlerweile zumindest eine bestimmte Passwortlänge, Sonderzeichen oder Zahlen ein. Denn nur in den seltensten Fällen probieren menschliche Hacker verschiedene Kombinationen aus. Viel wahrscheinlicher ist es, dass ein Computerprogramm im Auftrag der Angreifer sämtliche Wörter in unterschiedlichen Schreibweisen stumpf ausprobiert. Bei jedem Begriff aus einem Wörterbuch ist es also nur eine Frage der Zeit, bis die Software die richtige Lösung findet.

So merken Sie sich Ihr Passwort

Das sehr menschliche Problem: Je komplizierter (und damit sicherer) ein solcher Code wird, desto schwieriger kann man sich ihn merken. Ein Trick, den auch Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen: Nutzer denken sich einen absurden Satz aus – die Anfangsbuchstaben daraus bilden dann das Passwort. Aus „Im Urlaub fahre ich nach Frankreich und trinke Wein!“ wird „IUfinF+tW!“.

Auch die kreativsten Sätze sollten dabei regelmäßig erneuert werden. Zu groß ist sonst die Gefahr, dass irgendwo ein Passwort doch einmal ausgelesen wird – und sich ein Angreifer dann durch die verschiedenen Profile vorarbeitet. Wer sich viele verschiedene Zugänge nicht alle einzeln merken will, kann einen Passwort-Manager nutzen. Diese kleinen Programme merken sich die eingegebenen Codes, getippt werden muss aber immer nur ein Master-Passwort. Der Nutzer muss jedoch dem Anbieter der Software vertrauen – wer sich aus dem Internet irgendein Programm herunterlädt, gibt vielleicht sein Master-Passwort in die falschen Hände. Ein Blick auf vertrauenswürdige Vergleichsseiten (etwa von der Stiftung Warentest) hilft bei der Anbieterauswahl.

Jetzt überprüfen: Wurde ich bereits gehackt?

Wer überprüfen will, ob seine Mail-Adresse samt weiteren persönlichen Daten möglicherweise schon in öffentlich gewordenen Hacks aufgetaucht ist: Das renommierte Hasso-Plattner-Institut bietet einen schnellen Check an.

2. Zwei-Faktor-Authentifizierungen nutzen: Doppelt hält besser

So gut das Passwort auch ist – gelangt es irgendwie in fremde Hände, ist der Weg hinter die Anmeldemaske frei. Ein zweites Element, das der Nutzer in Ergänzung zum Passwort eingeben muss, erschwert solche Wege für Angreifer erheblich. Die sogenannte Zwei-Faktor-Authentifizierung (kurz oft 2FA) bietet daher bei sensiblen Daten einen zusätzlichen Schutz. Der Nutzer kriegt dann meist einen zufällig generierter Zahlencode zugeschickt.

Dieser Code kann über viele Wege zum Nutzer kommen. Am simpelsten passiert das via Mail. Das Risiko: Hat ein Angreifer einmal das Mail-Passwort ausgespäht, kann er auch den Extra-Code sehen. Auch SMS können vergleichsweise leicht abgefangen werden. Mehr Sicherheit bringen eigene Apps, die einmal auf einem Smartphone installiert und registriert werden. Über das Abfotografieren eines Pixel-Codes wird dann direkt auf dem Handy der einmalige Code angezeigt.

Banken stellen solche Anwendungen häufig zur Verfügung. Bei anderen Seiten kann 2FA oft auf Wunsch aktiviert werden – manchmal sind die Optionen jedoch tief in den Einstellungen versteckt. Auch Netzgigant Google bietet einen „Authenticator“ an, mit dem sich viele Online-Dienste absichern lassen.

3. Vorsicht vor Phishing-Versuchen: Nicht an die Angel gehen

Beim sogenannten „Phishing“ versuchen Betrüger, den Nutzer zu verwirren: Eine Mail sieht so aus wie von der Online-Bank, eine gefälschte Webseite im Amazon-Look bittet um die Log-in-Daten. Fällt der Nutzer darauf rein, liefert er den Angreifern frei Haus seine Anmeldedaten.
Mit einem genauen Blick lassen sich viele Fälschungen jedoch entlarven. Inhaltlich strotzen solche Mitteilungen oft vor Fehlern, weil sie im Ausland getextet wurden. Wenn eine persönliche Ansprache fehlt oder es laut Nachricht ganz, ganz schnell gehen muss, sollten Nutzer skeptisch werden.

Wichtig für den sicheren Alltag im Netz ist auch der Blick auf die tatsächliche Absenderadresse. Im Vordergrund steht vielleicht „info@paypal.com“. Wer sich aber den kompletten Header der Mail anzeigen lässt und da eine kryptische Adresse entdeckt, sollte die Nachricht schleunigst löschen. Mit dem Mauszeiger kann man einmal auf den Link gehen, ohne zu klicken. Dann wird in der Regel die tatsächlich versteckte URL sichtbar – und die führt bei Phishing-Versuchen zu exotischen Adressen statt zur vertrauten Bank.

4. Auf Nummer sicher gehen – geschütztes Online-Banking 

Geld überweisen, Kontostand überprüfen, Aktien kaufen: Immer mehr alltägliche Geldgeschäfte wickeln Nutzer heute online ab – unabhängig von Filialöffnungszeiten. Das Schutzlevel der deutschen Sparkassen und Banken ist hoch. Trotzdem versuchen Betrüger, sich digital von Nutzern die Zugangsdaten zu erschleichen. Denn ein erfolgreicher Angriff öffnet die Tür zum Online-Konto.

Viele „Phishing“-Mails gaukeln daher vor, von einem Finanzinstitut zu kommen. Eine sichere Faustregel ist jedoch: Banken bitten niemals ihre Kunden, irgendwelche Passwörter, Codes oder Transaktionsnummern (TANs) preiszugeben – nicht per Mail, nicht auf irgendeiner Webseite und nicht am Telefon.

5. Falsche Shops und Gewinnspiele erkennen: Zu gut ist gefährlich

Eine Designer-Handtasche zum Schnäppchenpreis, das brandneue Smartphone mit gigantischen Rabatten: Immer wieder verstecken sich hinter solchen Online-Angebote sogenannte Fake-Shops. Die Betrüger versprechen Ware zum Sonderpreis, kassieren jedoch nur die Online-Überweisung und tauchen im Netz ab. 4,4 Millionen Bundesbürger sollen schon auf diese Masche hereingefallen sein, zeigte eine Untersuchung der Verbraucherzentrale Brandenburg vor einem Jahr.
Die Verbraucherschützer raten: Ein zu günstiger Preis ist ein Warnsignal, nur Vorkasse als Zahlungsoption ebenfalls. Wer kurz nach der Bestellung feststellt, dass er einem Betrüger aufgesessen ist, kann seine Bank dazu auffordern, die Zahlung rückgängig zu machen. Sonst hilft oft nur der Gang zur Polizei. Wer sich gegen Vermögensschäden zusätzlich absichern will, kann zudem auf Versicherungsangebote wie den InternetSchutz zurückgreifen, den die Sparkasse anbietet. Die Absicherung ersetzt bis zu 3000 Euro, wenn man beim digitalen Ein- oder Verkauf in eine Falle getappt ist.

Facebook & Co.: Gefährliche Gewinnspiele

Ähnliche Vorsichtsmaßnahmen gelten bei gefälschten Gewinnspielen, die immer wieder in den sozialen Netzwerken auftauchen. Meist wird der Nutzer aufgefordert, die Seite zu teilen und sich mit seiner Mail-Adresse einzutragen. Auf diese Weise generieren Gauner zum einen eine große Reichweite, die sie für Werbung einsetzen können. Zum anderen sammeln sie Adressen, die sich dann für weitere betrügerische Zwecke weiterverwenden lassen. Der österreichische Verein Mimikama gibt auf seiner gut gepflegten Webseite Auskunft darüber, mit welcher Masche Betrüger aktuell nach Benutzerdaten angeln.

6. Internet-Hotspots: Offenheit ist riskant

Kurz mal die Mails beim Bäcker checken, schnell den Kontostand im Café checken. Öffentliche W-Lan-Hotspots sorgen oft für Freude beim Nutzer. Kann man doch hier eine schnelle Datenverbindung – oft umsonst – nutzen und kann das Datenvolumen des Mobilfunkvertrags schonen. Doch bei öffentlich zugänglichen Internetzugängen gilt Vorsicht. Das gilt nicht nur für unverschlüsselte Netzwerke, wie sie an manchen öffentlichen Plätzen mittlerweile eingerichtet sind. Auch wenn es ein Passwort gibt – das aber etwa für jeden sichtbar bei einer Veranstaltung aushängt  – ist große Vorsicht geboten. Hacker können hier mit wenigen Handgriffen alle Informationen abfangen, die online versendet werden – vom Passwort bis zur Kreditkartennummer.

Als erste Sicherheitsmaßnahme sollten alle Dateifreigaben auf dem Smartphone oder Laptop ausgeschaltet sein. Sonst kann sich ein Angreifer bis in die hintersten Winkel der Geräte vorarbeiten. Das Schutzlevel können vertrauenswürdige VPN-Anbieter erhöhen. Diese kleinen Zusatzprogramme bauen eine verschlüsselte Verbindung auf (ein sogenanntes Virtual Private Network Auf sensible Anwendungen, etwa das Online-Banking oder den Zugriff auf das Firmennetzwerk, sollten Nutzer in den Hotspots jedoch besser verzichten. Die Deutsche Bahn hat für ihr W-LAN in ICEs eine zusätzliche Absicherung eingebaut – die generellen Vorsichtsmaßnahmen sollten jedoch unbedingt auch im Zug eingehalten werden.

7. Cyber-Erpressungen: Ruhe bewahren und Tipps befolgen

Plötzlich ist der Rechner gesperrt – und eine digitale Erpressungsbotschaft erscheint auf dem Monitor. Attacken mit sogenannter Ransomware nehmen seit Jahren zu. Über eine mit Schadprogrammen verseuchte Webseite oder einen manipulierten E-Mail-Anhang arbeiten sich Angreifer vor.

Das Programm verschlüsselt dann wichtige Dateien oder gleich den ganzen Rechner. Die Erpresser verlangen in der Regel einen Betrag in der Kryptowährung Bitcoin – die lässt sich auch an anonyme Empfänger versenden. Das Problem: Eine Sicherheit, dass die Dateien nach der Überweisung tatsächlich entschlüsselt werden, gibt es nicht.

Ein aktueller Virenscanner und eine Firewall können verhindern, dass die Ransomware überhaupt auf den Rechner gelangt. Kommt es doch zum Angriff, rät das Bundeskriminalamt: Nicht zahlen und Anzeige erstatten.

Die Lösung des Problems ist komplizierter. Auf Webseiten wie dem englischen „NoMoreRansom“-Projekt bieten IT-Sicherheitsfirmen für manche Software-Schädlinge Entschlüsselungsprogramme an. Für neu entwickelte Angriffe gibt es die jedoch oft noch nicht. Dann bleibt nur, den eigenen Rechner komplett neu aufzusetzen – und ein hoffentlich vorhandenes Backup mit den eigenen Daten wieder aufzuspielen.

Versicherungen gegen Cyberbetrug

Wer auf Nummer sicher gehen will, kann sich mit spezialisierten Versicherungen gegen Betrugsversuche im und aus dem Netz schützen. Die Sparkasse KölnBonn hat dafür den InternetSchutz im Angebot. Diese Versicherung ersetzt beispielsweise Schäden bis zu 3000 Euro, wenn Nutzer beim Online-Einkauf oder -Verkauf digital auf eine falsche Fährte gelockt werden. Auch Vermögensschäden beim Online-Banking oder durch den Identitätsklau sind durch den zusätzlichen Schutz abgedeckt.