Sicher im Netz

Die Zahl der mit dem Internet verbundenen Geräte in einem Privathaushalt nimmt stetig zu. Alexa, Smartphones und Smartwatches, der neue Smart-TV oder eine NAS-Festplatte. Mit den Sensoren moderner Geräte besteht nicht nur das Risiko eines Lauschangriffs (und sei es nur aus "Spaß"), sondern auch eines Hacking-Angriffs, bei dem die persönlichen Daten durch Kriminelle verschlüsselt werden, und sie sich nur durch Zahlung einer bestimmten Summe wieder entschlüsseln lassen (sogenannte Ransomware). Mit den folgenden Tipps kannst du dich gegen weit verbreitete Sicherheitslücken schnell und wirksam schützen.

Tipp 1: sichere Passwörter

Viele Leute nutzen noch immer viel zu schwache Passwörter. Unter den Top 10 der beliebtesten Passwörtern waren 2019 Kombinationen wie 123456, hallo123 oder 111111. Auch etwas komplexere Passwörter werden unsicher, wenn sie für mehr als einen Dienst verwendet werden und so kann ein Datenleck bei einem Anbieter dazu führen, dass viele Konten gleichzeitig gehackt werden.

Ein sicheres Passwort sollte daher folgende Kriterien erfüllen:

• ist zufällig generiert (keine Wörter aus Wörterbüchern!)
• enthält keine persönlichen Informationen wie Namen, Geburtstage oder Lieblingsband
• enthält Zahlen, Buchstaben und Sonderzeichen
• ist mind. 8-12 Zeichen lang (je einfacher aufgebaut, desto länger. Bei WLAN-Schlüssel mind. 20 [1])
• wird nur einmal verwendet
• ist nicht das Initialpasswort (wichtig vor allem bei Routern oder WLAN-Schlüssel!)
• wird geändert, wenn der Verdacht besteht, dass es anderen zugänglich gemacht wurde (Hinweis: regelmäßiges Ändern wird nicht mehr unbedingt empfohlen ¹, da dadurch meistens das Passwort weniger komplex ausfällt und das System dahinter erraten werden kann, wenn die Passwörter nicht per Zufallsgenerator erstellt werden)

Sichere, zufällig generierte Passwörter können z.B. mit einem Passwortmanager-Programm wie KeepassXC erstellt werden. Auch Browser-Plugins können dazu verwendet werden. Der Vorteil an Passwortmanagern ist, dass die Passwörter noch dazu verschlüsselt in einer Datenbank gespeichert werden, statt lesbar auf einem Zettel oder in einer Textdatei. Man muss sich nur noch das Masterpasswort merken, um den Passwortmanager zu öffnen. Speichern lässt sich die Datenbank mit den Passwörtern entweder lokal oder in der Cloud, womit die Synchronisation zwischen mehreren Geräten möglich wird. Zu empfehlen ist der Open-Source-Passwortmanager KeePass bzw. dessen Android-Abkömmling Keepass2Android. Er ist kostenlos und ermöglicht ein sicheres Speichern von Passwörtern mit und ohne Cloud. Auch mit Browser-Plugins lassen sich Passwörter speichern. Hier ist aber zu beachten, dass jeder sich in die Dienste einloggen kann, der Zugang zum Computer bekommt. Vor allem am Arbeitsplatz oder an einem öffentlichen Ort wie im Café oder im Zug sehr gefährlich! Daher ist ein Passwortmanager potenziell sicherer, wenn er nach dem Nachschlagen des Passwortes wieder geschlossen wird.

Tipp 2: Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ist ein zweistufiges Login-Verfahren, bei dem man sich mit zwei voneinander unabhängigen Komponenten (Faktoren) beim jeweiligen Dienst anmelden muss. Diese Methode ist immer weiter verbreitet und ist mittlerweile bei Bezahlsystemen sogar Pflicht. Weit verbreitet sind die Kombination aus gewöhnlichem Passwort und einem Einmalcode. Der Einmalcode wird so zugestellt, dass man ihn nur empfangen kann, wenn man im Besitz eines weiteren Geräts ist, das mit dem Userkonto verknüpft ist. Bei vielen Diensten kann man sich beispielsweise nach dem Passwort-Login mit einem Einmalcode authentifzieren, den man zuvor per SMS an seine hinterlegte Handynummer erhalten hat.

Immer weiter verbreitet ist auch die Erzeugung von Einmalcodes per Authenticator-App, bei der das TOTP-Verfahren (Time-based One-time Password) zum Einsatz kommt: bei der Verknüpfung des Kontos mit der Authenticator-App muss der User einen QR-Code auf der Webseite seines Kontos scannen. Im QR Code ist ein zufällig generierter geheimer Schlüssel kodiert, der von nun an als geheimer Schlüssel zur Erzeugung der Einmalcodes (App) bzw. zur Prüfung des Einmalcodes (Server des Onlinekontos) genutzt wird. Möchte sich der User einloggen, öffnet er auf Aufforderung die App, die in diesem Moment alle 30s einen neuen Einmalcode erzeugt, den der User auf der Internetseite des Onlinekontos eingibt. Passt der Einmalcode von App und der vom Server des Onlinekontos generierten Code zusammen, ist der Login erfolgreich. Die Einmalcodes basieren dabei nur auf dem zuvor per QR-Code ausgetauschtem Geheimnis und der aktuellen Uhrzeit, daher ist beim Abgleichen des Codes zwischen App und Server kein weiterer potenziell sicherheitskritischer Datenaustausch notwendig. Daher lässt sich das OTP-Verfahren auch mit Offlinegeräten nutzen (statt einer Smartphone-App z.B. mit einem Authenticator-Lesegerät). Wichtig ist nur, dass die Systemzeit von Authenticator und Server übereinstimmt, da sonst die Einmalcodes nicht gleichzeitig erneuert werden und der Code somit nicht gleichzeitig erneuert wird.

Tipp 3: verschlüsselte Kommunikationswege

vorweg gesagt: vertrauliche Kommunikation ist seit jeher in der analogen Welt ein Grundrecht (wie z.B. das Briefgeheimnis oder die Unverletzlichkeit der Wohnung). Warum sollte dies also nicht auch für digitale Kommunikation gelten?

Verschlüsselt zu kommunizieren ist heute nicht mehr kompliziert. Es genügt, einen sicheren Messenger wie Threema, Signal oder, ja, auch WhatsApp, auf dem Smartphone zu nutzen. Mit diesen Messengern kommunizieren sie stets mit Ende-zu-Ende-Verschlüsselung (E2E). Dabei kann nicht einmal der Anbieter selbst die Daten mitlesen, da die Ver- und Entschlüsselung direkt beim Sender bzw. Empfänger passiert und nur ihnen beiden die Schlüssel bekannt sind. Bei der Verwendung von Telegram ist Vorsicht geboten: nur eine per "sicherer Chat" verschickte Nachricht ist überhaupt verschlüsselt, Gruppenchats grundsätzlich nicht! Alles andere landet im Klartext auf den Servern von Telegram ², daher rät Technik erklärt von Telegram grundsätzlich ab. WhatsApp wertet zwar einige Metadaten aus, der Inhalt selbst ist aber nach wie vor sicher E2E-verschlüsselt.

Dagegen sind auch per Transportverschlüsselung (TLS) übertragene E-Mails nicht vollständig sicher, da die Verschlüsselung nur auf dem Weg vom Sender zum Postausgangserver bzw. vom Posteingangsserver zum Empfänger schützt. Die Verschlüsselung dazwischen ist nicht garantiert. Auch wird die Nachricht auf den jeweiligen Servern ent- und wieder verschlüsselt. Dabei können die Nachrichten prinzipiell im Klartext mitgelesen werden. Vergleichbar ist das mit einer Postkarte, die vom Absender in einen Umschlag gesteckt wird, dann aber in einem anderen Umschlag (oder komplett unverpackt) auf die weitere Reise geht, um erst wieder vor der Zustellung zum Empfänger in einen neuen Umschlag gepackt zu werden.

Möchte man dennoch vertrauliche Informationen per E-Mail verschicken, kann man deren Inhalte zusätzlich verschlüsseln oder die vertraulichen Informationen in einer passwortgeschützten ZIP-Datei als Anhang verschicken und dem Empfänger das Passwort auf einem anderen Kommunikationsweg (z.B. per Telefon) mitteilen.

Tipp 4: persönliche Daten schützen

Mal schnell an einem Gewinnspiel teilnehmen und dazu die Anschrift, Handynummer und E-Mailadresse angeben - das solltest du dir zumindest gut überlegen. Eine der häufigsten Sicherheitslücken ist nach wie vor Phishing, bei dem versucht wird, durch gut gefälschte E-Mails vermeintlich seriöser Anbieter dem Nutzer Logindaten und Bankinformationen zu entlocken. Ein Tipp: lege dir mehrere E-Mailadressen an, die du für unterschiedliche Zwecke nutzt: eine "seriöse" E-Mailadresse für Onlinekonten und die persönliche Kommunikation (die du nur herausgibst, wenn du dem Gegenüber wirklich vertraust!) und eine "Spam-Adresse", bei der du grundsätzlich nicht erwartest, offizielle Mails mit einer hohen Vertraulichkeit zu bekommen. Diese kann man dann auch für weniger vertrauliche Zwecke nutzen. Empfängt man dann eine E-Mail vermeintlich von PayPal oder Amazon, lässt sich ggf. schon durch die Empfänger-E-Mailadresse herausfinden, dass es sich um eine gefälschte E-Mail handelt.

Grundsätzlich gilt: nur auch unbedingt notwendige persönliche Daten angeben! So schützt du nicht nur deine Privatsphäre, sondern beugst auch finanziellem oder immateriellen Schaden durch Phishing und Hacking vor.

Tipp 5: nicht benötigte Schnittstellen deaktivieren

Je weniger, desto sicherer! Dieser Grundsatz gilt für mit dem Internet verbundene Geräte und Dienste. Dadurch, dass sie permanent online sind, wird es potenziellen Hackern ebenso leicht gemacht, sich über diverse Wege in die Systeme zu hacken. Deshalb solltest du darauf achten, dass du nicht benötigte Schnittstellen, auch nicht aktivierst. Hier einige gängige Beispiele:

• Rechte von Onlinekonten und Rechnern so sparsam wie möglich vergeben (z.B. muss nicht jeder, der den Rechner mit nutzt, Admin sein. So lässt sich besser kontrollieren, ob dubiose Programme installiert werden)
• Sprachsteuerung von Geräten deaktivieren, wenn man sie nicht nutzen möchte
• Beim Smartphone sollte NFC nur dann aktiv sein, wenn man damit bezahlen möchte.
• Standortdienste wie GPS deaktivieren, wenn man sie nicht nutzt
• potentiell unsichere Portfreigaben (z.B. für den Zugriff eines NAS-Servers vom Internet aus) im Router löschen und stattdessen einen VPN-Zugriff aufs Netzwerk einrichten.

Weitere Links

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Sichere Passwörter erstellen - aufgerufen am 03.04.2021

Tags

#Praxistipp #IT-Sicherheit #Datenschutz