Ob mit dem Computer, dem Laptop oder dem Smartphone: Wer das Internet nutzt, will sichergehen, dass seine privaten Daten nicht missbraucht werden können. E-Mails, Zugänge zu Online-Diensten, Angaben über Bankverbindungen oder private Fotos sollen nicht ungewollt in die Hände Dritter gelangen.
Wer bei der Internetnutzung einige grundlegende Verhaltensregeln beachtet, kann viel zum Schutz seiner Daten beitragen.
Computer und Mobilgeräte absichern
Eine wichtige Schutzmaßnahme ist es, die auf den Geräten installierte Software auf dem neuesten Stand zu halten. Das schützt vor vielen Sicherheitslücken, die Betrüger und andere Angreifer für sich ausnutzen können. Die meisten Hersteller stellen den Nutzerinnen und Nutzern regelmäßig Aktualisierungen (Updates) zur Verfügung. Das gilt sowohl für das Betriebssystem als auch für die einzelnen Programme und Apps (von englisch „application“ für Anwendung).
Werden Updates nicht regelmäßig installiert, haben Betrüger leichteres Spiel und können im schlimmsten Fall private Daten wie Passwörter, Benutzerkennungen oder Online-Banking-Zugänge abgreifen. Besonders der Browser sollte immer aktuell gehalten werden.
Die gängigen Betriebssysteme haben zusätzlich eine sogenannte Firewall installiert. Eine Firewall ist ein Programm, das im Hintergrund auf ungewöhnlichen Datenverkehr achtet und ihn gegebenenfalls stoppt. Nutzerinnen und Nutzer sollten in den Einstellungen ihres Betriebssystems überprüfen, ob die Firewall ihres Gerätes eingeschaltet ist.
Ebenfalls sinnvoll ist ein Virenschutz-Programm. Es schützt das Gerät vor Computer-Viren und sonstiger Schadsoftware. Es gibt sowohl kostenlose als auch kostenpflichtige Programme auf dem Markt. Dabei müssen kostenlose Programme nicht schlechter sein, als die kostenpflichtigen. Oft zeigen sie jedoch in regelmäßigen Abständen (Eigen-)Werbung auf dem Gerät an. Zum Teil haben sie auch Zusatzprogramme im Schlepptau, deren Nutzen fraglich ist. In jedem Fall gilt: Nur ein regelmäßig aktualisiertes Virenschutz-Programm schützt vor bekannten Gefahren.
Sichere Passwörter
Sichere Passwörter gehören zu den wichtigsten Mitteln, um sich vor Identitätsdiebstahl, Geldverlust, Kreditkartenbetrug und ähnlichen Gefahren zu schützen. Viele Nutzerinnen und Nutzer verwenden jedoch unsichere Passwörter. Auswertungen von Sicherheitsfirmen bei Datenlecks belegen beispielsweise, dass besonders unsichere Zeichenfolgen wie „123456“, „qwertz“ (die ersten sechs Buchstaben einer Computertastatur) oder einfach „passwort“ nach wie vor zu den beliebtesten Nutzerpasswörtern zählen.
Die Grundregeln für sichere Passwörter lauten:
- Für jeden Dienst und jede Webseite sollte ein anderes Passwort verwendet werden. Andernfalls können sich Angreifer mit nur einem erbeuteten Passwort Zugang zu mehreren Diensten und Konten verschaffen. Außerdem sollte nicht immer der gleiche Nutzername verwendet werden. Denn auch über den Nutzernamen aus verschiedenen Portalen können sich Hacker Informationen zusammensuchen und daraus ein Identitätsprofil erstellen.
- Passwörter sollten ausreichend sicher sein oder regelmäßig geändert werden. Liegt der Verdacht nahe, dass Dritten das Passwort bekannt geworden ist, sollte es unverzüglich geändert werden.
- Zugeteilte Passwörter sollten bei der ersten Anmeldung geändert werden.
- Passwörter müssen wirklich geheim sein. Auch das sicherste Passwort schützt nicht ausreichend, wenn es im Notizbuch steht oder auf dem Zettel am Bildschirm klebt.
Angreifer versuchen häufig, das Passwort zu erlangen, indem sie automatisiert alle möglichen Kombinationen durchprobieren. Ein Passwort, das die folgenden Merkmale hat, schützt weitgehend vor dieser Gefahr:
- Ausreichende Länge: Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt mindestens 12 Zeichen für die meisten Anwendungsbereiche.
- Gleichzeitige Verwendung von Klein- und Großbuchstaben, Zahlen und Sonderzeichen, soweit die jeweiligen Webdienste und Programme das erlauben.
- Keine Verwendung von Namen oder Begriffen, die man im Wörterbuch oder Fremdwörterbuch findet. Nicht geeignet sind außerdem Zeichenfolgen aus Buchstaben oder Zahlen, die auf der Computertastatur nebeneinander liegen, etwa „qwertz“ oder „567890“. Ungeeignet sind auch Zeichenwiederholungen wie zum Beispiel „AAA111“.
- Kein Bezug zu persönlichen Daten wie zum Beispiel Geburtsnamen, Spitznamen oder Wohnorten.
Sichere Passwörter können am einfachsten durch Merksätze erstellt und behalten werden. Beispiel-Satz: „Ich esse jeden Tag 2 Bananen und 3 Tomaten!“ Passwort: „IejT2Bu3T!“. Je länger und komplizierter ein Passwort ist, desto länger dauert es, bis Angreifer es durch Ausprobieren knacken können. Bei einem einfachen Passwort wie „romeoliebtjulia“ würde es dagegen nur Minuten dauern, selbst wenn es mit 15 Zeichen relativ lang ist.
Wer sich nicht viele verschiedene Passwörter merken möchte, kann einen sogenannten Passwort-Manager verwenden. Er speichert die verschiedenen Passwörter sicher ab. Die Nutzerin oder der Nutzer muss sich dann nur noch ein Masterpasswort für den Zugang zum Programm merken. Bekannte Programme sind etwa Keepass, 1Password oder Lastpass. Da die jeweilige Software wichtige Daten verwaltet, sollte diese umsichtig ausgewählt und immer auf dem neuesten Stand gehalten werden. Die Stiftung Warentest oder spezielle IT-Magazine prüfen die beliebtesten Passwort-Manager häufig intensiv.
Sicher surfen
Persönliche Daten sollten im Internet nur auf zuverlässigen und sicheren Webseiten eingegeben werden. Nutzer sollten restriktiv mit ihren Daten und den Daten Dritter (z. B. bezüglich digitaler Adressbücher) umgehen. Besondere Vorsicht ist bei der Angabe von Bank- und sonstigen Zahlungsdaten geboten. Diese Daten sollten nur auf Webseiten von vertrauenswürdigen Anbietern preisgegeben werden. Worauf Verbraucherinnen und Verbraucher bei der Auswahl eines vertrauenswürdigen Online-Shops achten sollten, erfahren sie in unserer Rubrik „Einkauf im Internet“. Wer an der Seriosität eines Anbieters zweifelt, sollte auf Alternativen ausweichen.
Private Daten sollten immer über eine sichere Verbindung übertragen werden. Der Fachbegriff lautet SSL/TLS-Verschlüsselung. Ob eine Seite diese verwendet, erkennen Nutzerinnen und Nutzer in der Regel daran, dass in der Adressleiste ihres Browsers ein kleines Vorhängeschloss eingeblendet ist, bei einigen Browsern in Grün. Bei Webseiten mit sicherer Verbindung steht am Anfang der Webadresse ein „https“ statt nur ein „http“. Eine solche Verschlüsselung sorgt beispielsweise bei Webformularen dafür, dass die dort eingegebenen Daten weitgehend sicher vor Zugriffen Dritter übertragen werden.
Auch sollten vertrauliche Daten grundsätzlich nicht über ein öffentliches oder ein fremdes WLAN versendet werden. Ist dies nicht vermeidbar, empfiehlt es sich, VPN (Virtual Private Network) zu nutzen. Durch VPN kann eine verschlüsselte Verbindung für die übertragenen Daten in ein vertrauenswürdiges Netzwerk aufgebaut werden. VPN wird von Internet-Providern und spezialisierten Dienstleistern angeboten. Um keine Angriffsfläche zu bieten, raten Experten, die WLAN-Funktion bei mobilen Endgeräten nur einzuschalten, wenn diese benötigt wird.
Browser-Erweiterungen
Erweiterungen für den Browser sind als „Add-ons“ oder „Plugins“ bekannt und bieten zusätzliche Funktionen. Es gibt einige Erweiterungen, die für mehr Sicherheit bei der Internetnutzung sinnvoll sind.
Die Browser-Erweiterung „HTTPS Everywhere“ zum Beispiel sorgt dafür, dass Nutzerinnen und Nutzer automatisch zur verschlüsselten Version einer Webseite umgeleitet werden, wenn es eine solche gibt. „HTTPS Everywhere“ gibt es für diverse Browser.
Mit Erweiterungen wie beispielsweise „Noscript“ lässt sich steuern, welche interaktiven Skripte, Elemente und Befehle auf welchen Webseiten ausgeführt werden dürfen. Erweiterungen, wie beispielsweise „Privacy Badger“ erkennen z. B. Tracking-Versuche und blockiert diese.
Unter Umständen können Browser-Erweiterungen jedoch auch Sicherheitsrisiken mit sich bringen. So gelten Erweiterungen zum Anzeigen von Multimedia-Inhalten wie „Flash“ als veraltet. Mediatheken und Streaming-Dienste etwa funktionieren heute weitgehend auch ohne sie. Vorsicht ist auch angebracht, wenn Zusatzprogramme beispielsweise versprechen, soziale Netzwerke wie Facebook mit neuen Funktionen auszustatten. In einigen Fällen wurde bekannt, dass Erweiterungen selbst Daten über die Nutzerinnen und Nutzer sammeln oder schädliche Funktionen beinhalten können.
Cookies
Cookies sind kleine Dateien, die beim Aufruf mancher Webseiten auf dem Gerät der Nutzerin oder des Nutzers gespeichert werden. Sie enthalten zum Beispiel Informationen darüber, welche Sprache für eine Webseite bevorzugt wird oder wann sie zuletzt besucht wurde.
Cookies sind nicht generell schädlich, sondern werden von vielen Diensten benötigt. Doch häufig werden sie darüber hinaus eingesetzt, um umfangreiche Informationen über das Surfverhalten der Nutzerinnen und Nutzer zu sammeln. Auf dieser Grundlage wird dann Werbung geschaltet.
Um sich vor unerwünschten Datenübermittlungen durch Cookies zu schützen, können Nutzerinnen und Nutzer entsprechende Browser-Erweiterungen installieren oder die Einstellungen ihres jeweiligen Browsers überprüfen. In der Regel lässt sich hier angeben, welche Seiten welche Cookies speichern dürfen. In den Einstellungen können Nutzerinnen und Nutzer auch bestehende Cookies löschen.
E-Mails verschlüsseln
Vielen Nutzerinnen und Nutzern ist nicht bewusst, dass E-Mails häufig nur mit geringem Aufwand von Unbefugten gelesen werden können. Der Inhalt von E-Mails wird standardmäßig nicht verschlüsselt. Weitgehend gängige Praxis der E-Mail-Anbieter ist es immerhin, E-Mails über eine sichere Verbindung zu verschicken. Das bedeutet, dass unbefugte Zugriffe während des Transports so gut wie ausgeschlossen sind. Wer zum Lesen von E-Mails ein Programm wie etwa Microsoft Outlook oder Apple Mail verwendet, muss eventuell bestimmte Einstellungen vornehmen, damit sichere Verbindungen genutzt werden. Die meisten E-Mail-Anbieter halten hierfür Anleitungen bereit.
Umfassendere Sicherheit bietet die sogenannte Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass der Inhalt einer E-Mail auf dem Gerät des Absenders verschlüsselt und erst auf dem des Empfängers wieder entschlüsselt wird. Beim Modell der Ende-zu-Ende-Verschlüsselung wird somit ausgeschlossen, dass Dritte den Inhalt beim E-Mail-Anbieter selbst oder auf Zwischenstationen lesen können.
Das bekannteste Verfahren dafür nennt sich PGP („Pretty Good Privacy“) und gilt als sehr sicher. Um es zu nutzen, gibt es Erweiterungen für die meisten gängigen E-Mail-Programme.
Ein anderes sicheres Verfahren trägt das Kürzel S/MIME. In vielen E-Mail-Programmen ist die grundlegende Unterstützung des Verfahrens bereits eingebaut. Die beiden Verschlüsselungssysteme sind zunächst nicht miteinander kompatibel. Die Verschlüsselung funktioniert daher nur, wenn auch der Empfänger das entsprechende Verschlüsselungsverfahren benutzt.
Daneben gibt es vermehrt E-Mail-Anbieter, die eigene Varianten verschlüsselter E-Mail-Dienste anbieten. Die Mails lassen sich dann zum Teil auch im Browser lesen, was sonst nicht ohne weiteres möglich ist. Der Vorteil ist, dass Nutzerinnen und Nutzer selbst nur wenig installieren und konfigurieren müssen. Allerdings müssen sie sich hier viel stärker darauf verlassen, dass die Anbieter ihre Sicherheitsversprechen tatsächlich halten.
Weitere Informationen
Bundesamt für Sicherheit in der Informationstechnik:
Sichere Einrichtung Ihres Computers, Tablets und Smartphones
Basistipps zur IT-Sicherheit
Umgang mit Passwörtern
E-Mail-Verschlüsselung in der Praxis
mobilsicher.de informiert über Ergebnisse seiner App-Tests, den sicheren Umgang mit sowie zu Verlust und Diebstahl von mobilen Endgeräten, zu Gefährdungsszenarien (Viren und Trojaner, Geräteverlust, Tracking) und zu Kommunikationssicherheit.