Online Sicherheit für Laien: Teil 1 - Was tun um sich zu schützen?

Was macht Ihr um euch zu schützen?

Diese Frage stellte Google in einer Studie (PDF) sowohl Sicherheitsexperten mit mindestens 5 Jahren Berufserfahrung, als auch normalen Internet-Usern. Das Ergebnis fiel dabei recht unterschiedlich aus. Die Experten nannten vorwiegend Schutzmaßnahmen wie das regelmäßige und zeitnahe Installieren von Updates, verwenden starker und einzigartiger Passwörter, sowie die Nutzung eines Passwortmanagers. Die befragten Laien hingegen schützen sich vor allem durch Antiviren-Programme, starke und oft geänderte Passwörter und versuchen das Teilen von privaten Informationen im Netz zu vermeiden, sowie ausschließlich bekannte, bzw. vertraute Webseiten zu besuchen. Die unterschiedlichen Ansätze an Sicherheit lassen sich jedoch leicht erklären.

Antivirus

Es wurde, und wird auch heute noch, lang und oft gepredigt wie wichtig Antivirenprogramme sind und in gewisser Weise stimmt das auch. Ein AV-Schutz ist eine der essentiellen und grundlegenden Schutzmaßnahmen die jeder Rechner haben sollte, und das heut zu Tage sogar unabhängig von dem verwendeten Betriebssystem. Selbst für MacOS gibt es immer mehr Malware wie Viren, Trojaner und Würmer. Zum Beispiel wurde erst kürzlich erneut ein Crypto-Trojaner für OSX über den BitTorrent-Client "Transmission" verteilt. Auch weniger anfällige Betriebssysteme wie Linux sollten wenn möglich geschützt werden, da man sonst unweigerlich zur Virenschleuder wird und so bösartige Software unwissend an Freunde und Bekannte verteilt. Warum dies nicht von den Experten aufgezählt wurde liegt vor allem daran, dass AV-Lösungen kein allgemeiner Schutz sind. Sie schützen lediglich vor bekannter Malware, sind also für unbekannte Schadsoftware und andere Angriffe wenig Hilfe. Ähnlich einem Regenschirm, der weder vor UV-Einstrahlung noch einem Blitzschlag schützt, dennoch dem Träger aber einen gewissen Schutz bieten kann - nämlich vor Nässe und der dadurch eventuell entstehenden Erkältung.

Erst denken, dann teilen

Die Aussage der befragten Laien, sich durch überlegtes und Teilen von privaten Informationen, und teilweise eben auch durch den Verzicht des Teilens gewisser Daten im Netz zu schützen ist auf jeden Fall ein wichtiger Punkt und es überrascht, dass dieser von Experten nicht weiter oben genannt wurde. Das gleiche gilt für das Besuchen vertrauter Webseiten. Wir möchten hier unbedingt darauf hinweisen, dass alles was im Netz geteilt, gepostet oder anderweitig veröffentlicht wird, außerhalb der Kontrolle des initialen Besitzers gerät. Selbst wenn auf Seiten wie Facebook oder Twitter ein Löschen-Button vorhanden ist bedeutet das nicht, dass der Inhalt tatsächlich aus dem Netz verschwindet. Und auch das "Entfernen" von Inhalten aus den Suchergebnissen von Suchmaschinen wie Google oder Bing führt nicht zum Löschen des Inhalts, sondern lediglich zum Entfernen des Links der darauf verweist. Es gibt unzählige Dienste und Webseiten die öffentliche Inhalte indexieren, archivieren, kopieren und weiterverbreiten und je interessanter ein Thema ist, desto höher die Wahrscheinlichkeit dass ein Löschversuch genau das Gegenteil erreicht - eine rasante Weiterverbreitung des Inhalts.

Passwörter ändern oder verwalten?

Die erste Überschneidung in den Aussagen der beiden Gruppen findet sich im Bezug auf Passwörter, wobei es auch hier Unterschiede gibt. Obwohl sich beide Seiten auf starke Passwörter einigen, tendieren Nutzer zu regelmäßigem Ändern der Kennwörter, während sich die Profis auf Passwortmanager und einzigartige Passwörter verlassen. Was ist also die bessere Variante? Diverse Studien haben den Nutzen des regelmäßigen Passwortwechsels sowohl be- als auch widerlegt, wodurch diese Thematik etwas umstritten ist. Fakt ist, das gerade in Firmen die Mitarbeiter oft dazu gezwungen werden Ihre Passwörter regelmäßig zu ändern. Dies führt jedoch häufig dazu, dass aus Passwörtern wie "HelloKitty201608" einfach "HelloKitty201609" wird, was keine nennenswerte Steigerung der Passwortsicherheit bringt. Wird das Passwort hingegen durch ein komplett neues, sicheres und einzigartiges Passwort ersetzt, und dieses nicht durch grobe Fehler wie Post-It's am Monitor untergraben, so kann ein Passwortwechsel sehr wohl einen Mehrwert bringen. Viel wichtiger als der Wechsel ist jedoch die Einzigartigkeit. Zwar haben viele Nutzer inzwischen gelernt, dass "12345678" und "Pa$$wort" keine sicheren Passwörter sind, allerdings nutzen die meisten Menschen immer noch weit weniger Kennwörter als sie Accounts besitzen, um sich zu authentifizieren. Sicherheitskenner hingegen nutzen ein Passwort, um den Zugang zu ihrem Passwortmanager zu sichern, mit welchem sie dann wiederum alle anderen Zugänge einfach verwalten können. So muss man sich nur ein einziges, oder ein paar wenige Passwörter merken, hat aber dennoch die Sicherheit von einzigartigen Passwörtern für alle Zugänge. Wer dazu noch einen Passwortgenerator verwendet, wie ihn viele Passwortmanager mitbringen, und etwa alle 12 Monate die Passwörter ändert, erspart sich im Falle eines Datenlecks eine Menge Arbeit und Ärger. Wird nämlich ein Account oder dessen Anbieter gehackt, muss sich nur um diesen einen Account gekümmert werden, da alle anderen ja ein eigenes, sicheres Passwort verwenden. Gerade in den letzten Monaten konnten Angriffe beobachtet werden, bei denen Angreifer Passwörter bei einem Anbieter entwenden konnten, und mit den dort erlangten Logindaten Accounts auf anderen Webseiten übernahmen.

tumblr login mit passwort manager

Unsere Empfehlung an dieser Stelle, je nach persönlicher Zu- oder Abneigung zu Cloud-Diensten, sind die Passwortmanager Keepass (lokal) oder LastPass (cloud). Beide sind kostenlos verfügbar, verschlüsseln alle Passwörter sicher und ermöglichen durch Browser-Addons ein bequemes Anmelden in Webseiten. Teilweise werden die Login-Vorgänge für Webseiten dadurch sogar einfacher und schneller erledigt, als wenn man das gleiche Passwort überall verwenden würde. Wichtig ist an dieser Stelle jedoch anzumerken, dass verschlüsselte Passwort-Datenbanken wie sie von LastPass und KeePass verwaltet werden, ohne das Master-Passwort des Benutzers nicht lesbar sind. Es ist also enorm wichtig, dass der Benutzer das festgelegte Kennwort nicht vergisst, da sonst der Zugang zu allen Kennwörtern unwiderruflich verhindert wird. Deshalb unbedingt Backups der Datenbank anlegen und ein Kennwort wählen, an dass man sich auf jeden Fall erinnert. Es sollte außerdem klar sein, das dieses eine Kennwort möglichst sicher sein sollte, damit niemand sich unerlaubten Zugang zu all den anderen Kennwörtern verschafft.

LastPass bietet darüber hinaus noch weitere Funktionen, wie zum Beispiel das sichere Teilen von Zugängen mit anderen LastPass Mitgliedern. Das ist vor allem dann nützlich wenn Geschäftskonten mit Kollegen, oder der eigene Netflix-Account oder der WLAN-Zugang mit der Familie und Freunden geteilt werden soll. Dadurch müsst ihr keine Passwörter mehr auf Papier schreiben und könnt das Passwort jederzeit ohne Probleme ändern. Ob Änderungen an andere weitergegeben werden sollen oder nicht, entscheidet ihr.

Updates, Updates, Updates

Eine der wichtigsten Sicherheitsmaßnahmen ist das Installieren von Sicherheitsupdates, da die Hersteller über ihre Updates bereits bekannte Sicherheitslücken schließen. Darunter fallen zum einen OSX oder Windows Updates, aber auch das Aktualisieren von installierter Software. Mac-Benutzer haben es da etwas einfacher, da die meisten Programme aus dem App Store kommen und über diesen einfach aktualisiert werden können. Windows Nutzer hingegen beziehen viele Programme direkt aus dem Netz, und nicht alle bieten eine automatische Update-Funktion. Abhilfe können zum einen der integrierte App Store in Windows 8 - 10 helfen, oder Alternativen wie zum Beispiel Chocolatey, ein kostenfreies Programm über das weitere Programme installiert, deinstalliert und aktualisiert werden können. Wer seine Software lieber weiterhin selbst herunterladen möchte, sollte entweder ein scharfes Auge für Updates haben, oder sich mit Werkzeugen zur Überwachung von Updates behelfen, wie zum Beispiel Secunias "Personal Software Inspector" (PSI). Wer gar nichts installieren möchte und lieber Updateinformationen per Email erhält, der kann das noch recht neue Touchpine ausprobieren. Zumindest während der Beta-Phase ist das kostenlos verfügbar und dient als Newsletter für Softwareupdates.

screenshot touchpine update mail

Wer Angst davor hat mit Updates etwas kaputt zu machen sollte prüfen, ob die entsprechende Software das Installieren von Sicherheitsupdates unterstützt. Teilweise unterscheiden Softwarehersteller zwischen normalen Updates, die viele Änderungen und teils neue Funktionen mit sich bringen, und Sicherheitsupdates oder Patches, die sich auf das Schließen von Sicherheitslücken und anderen Fehlern beschränken. Und im Zweifelsfall gibt es ja Backups, wenn diese vorher erstellt wurden.

Fazit

Das war der erste Teil zum Thema Online Sicherheit Schritt für Schritt. Zusammenfassen lässt sich sagen dass alle oben genannten Aussagen der Studie, sowohl von Experten als auch von Laien, sinnvoll sind und befolgt werden sollten.

  • Informationen im Netz bewusst teilen
  • Antivirus-Programm aktiv und aktuell halten
  • Passwörter sollten stark, einzigartig und sicher verwaltet sein
  • Software-Updates müssen regelmäßig und zeitnah installiert werden.

In den nächsten Teilen geht es um:

  • Passwörter leicht gemacht
  • 1-Klick-Updates für Programme
  • 2-Faktor-Schutz für Logins (2FA)
  • Meine Platte, meine Daten (FDE)
  • Einfach sicher, mit Backups
  • Ignorierte Sicherheitswarnungen
  • Vorsicht vor Trickbetrügern (SE)
  • Sicher chatten, wie umständlich