zum Inhalt
Bild eines Laptops, der das Symbol eines Schutzschildes anzeigt, daneben steht eine Tasse

Sicher unterwegs - Computer mit Schutzschild! | Bild: Jonas B.

Thema
Wissen
Redakteur | In
Jonas B.
Veröffentlicht
20.08.2020

How to Technik: Security Check für deine Daten

Täglich nutzen wir es: Das Internet. Kriminalität macht auch dort nicht halt, und das nicht erst seit gestern. Datenklau, Hackerangriff... all das kennen wir leider nur zu gut. Viele fürchten sich daher mittlerweile vor zu viel Umgang mit dem Internet und versuchen, wieder analoger zu werden, verzichten zum Beispiel auf Online-Banking oder meiden Shopping im Netz. Ich möchte euch etwas von dieser Angst nehmen und ein paar Tipps geben, damit ihr im Netz sicherer seid und euch auch so fühlt.

have I been pwned?

 

Es ist erst kürzlich wieder passiert: Hacker hatten zugeschlagen. Schlagzeilen machte ein Hack auf Donald Trumps liebstes Social-Media Netzwerk Twitter. Nicht selten gehen bei solchen Hacks Tausende Nutzerdaten verloren, Passwörter und Kredikartendaten werden gestohlen. Oft jedoch erfahren die Nutzer gar nichts davon, bzw. wissen überhaupt nicht, ob sie daovn betroffen sind. 

Doch dafür gibt es mittlerweile eine Lösung, der sogar so manche Regierung vertraut: have I been pwned heißt das Ganze.

Das Tool sucht automatisiert nach Datenverlust im Zusammenhang mit einer eingegebenen E-Mail-Adresse und sagt dem Nutzer dann, ob er "ge-pwned" wurde, die E-Mail-Adresse also in einem Hack auftaucht. Erfinder der Seite ist der unabhängige Sicherheitsforscher Troy Hunt, der mittlerweile sogar den Code des Tools veröffentlicht, ihn also zu einem Open-Source Programm gemacht hat, um das Projekt weiter voranzubringen und Einsicht zu ermöglichen. Das sorgt auch dafür, dass der Code - eben durch die Möglichkeit ihn öffentlich einzusehen - mehr an Vertrauen gewinnt, weil man sich schließlich selbst von dessen Quaität überzeugen kann. Ein nützliches Tool also für alle, die schon einmal wissen wollten, ob ihr Account sicher ist.

2-Faktor Authentifizierung

 

Eine andere Möglichkeit bietet eine so genannte 2-Faktor Authentifizierung. Hierbei reicht nicht die Eingabe von E-Mai-Adresse und Passwort, um sich einzuloggen, sondern der Login muss bestätigt werden. Dazu gibt es mehrere mögliche Wege:

 

  • Die Bestätigung kann per SMS-Code erfolgen. Dass kennt ihr vielleicht schon von WhatsApp oder Telegram. Hierbei wird bei Login der Versand einer SMS an die angegebene Telefonnummer ausgelöst, in der ein Code enthalten ist. Dieser muss dann auf der Seite oder App, wo ihr euch anmelden wollt, einegegeben werden. 
  • Eine andere Möglichkeit ist eine Autorisierung über eine Authenticator-App. Diese erstellt einen Code, den ihr ebenfalls eingeben müsst auf der Seite eures Logins oder bietet euch einen Button, den ihr anklicken müsst. Das bestätigt den Loginversuch.
  • Noch eine Möglichkeit ist die simple Aufforderung, auf eurem mit dem Account verknüpften Smartphone eure Displaysperre einzugeben, also beispielweise euer Muster oder euren Fingerabdruck, den ihr normalerweise auch zum Entsperren des Smartphones nutzt.

All diese Varianten haben den Vorteil: Ohne das entsprechend zugehörige Smartphone wird es schwierig, an den Account heranzukommen. Solche Authenticator-Apps gibt es beispielsweise für Microsoft-Accounts oder für Gmail-Konten. Teilweise lassen sich auch mehrere der 2-Faktor Authentifizierungen nutzen, quasi wenn eine Variante nicht funktioniert, kann auf die andere zurückgegriffen werden. 

Tipps zu Passwörtern

 

Passwörter sind so eines der leidigen Themen des Internets. Man braucht sie, aber keiner mag sie. Sie erscheinen vielen lästig. Und außerdem: Ein Passwort ist nicht dazu da, Hacker auszusperren, sondern sich selbst. Auch ich hing schon Stunden/ Tage über meinem Rechner und habe fluchend x-verschiedene Passwörter probiert, bis ich Erfolg hatte oder fluchend aufgegeben habe. Ich kann daher sehr wohl die verstehen, die es sich mit 1234-Passworten einfach machen wollen, spart es doch kostbare Zeit und Nerven. Damit macht ihr es aber Hackern und anderen Internetkriminellen sehr leicht, ihr öffnet Tür und Tor für Datendiebstahl. Vielleicht sagt ihr, ihr hättet nichts zu verbergen. Aber Geld und z.B. Shopping-Accounts habt ihr vielleicht... und über die gehen die Verbrecher dann erstmal schön shoppen - auf eure Kosten. Auch wenn nicht alle Menschen mit ihren Passwörtern so nachlässig umgehen, gibt es dennoch alle Jahre wieder die erschreckende Erkenntnis, wieviele Deutsche die simplen Passwörter, wie eben 1234, tatsächlich nutzen - und sogar eine TOP-Liste mit den häufigsten von ihnen. Was sollte aber ein gutes Passwort demnach enthalten?

 

Es muss an der Stelle nicht die große Krypto-Passworterie angeworfen werden - ein paar Dinge zu beherzigen reicht schon aus:

  • Möglichst Sonderzeichen (z.B. #!,[}%&$) und Groß- und Kleinschreibung verwenden!
  • Auf Dinge wie ein Geburtsdatum oder den Nachnamen allein verzichten!
  • Lieber beispielsweise kleine Sätze bilden (Ich mag den Sommer) und davon gemischt mit Sonderzeichen nur die Anfangsbuchstaben verwenden!
  • Möglichst viele Stellen!
  • Und, wenn möglich, auf Generalpasswörter, die mehrfach oder gar für alles verwendet werden, verzichten (zumindest für das Online-Banking, PayPal oder Amazon ein anderes Passwort verwenden!!). Am sichersten ist es, sich jedes Mal ein neues Passwort auszudenken.
  • Und: aktualisiert eure Passwörter auch mal, 10 Jahre lang dasselbe Passwort zu nutzen ist auch nicht so sicher!

Was es beim Online-Banking so gibt

 

Viele kennen und nutzen es: Banking über das Internet ist voll im Trend. Auch ich nutze es, finde es praktisch, ganz ohne Papier jederzeit den Kontostand sehen zu können und Überweisungen unabhängig von Bankfilialen einfach überall, wo es Internet gibt, tätigen zu können. Doch in meinem Freundeskreis gibt es Stimmen, die dem nichts abgewinnen können, teils auch wegen des Risikos von Betrug online. Welche Methoden nutzen denn Banken, um das Online-Banking sicherer zu machen?

 

Tan-Liste:

Die Tan-Liste kennt sicher jeder. Man erhält per Post einen Zettel, auf dem ca. 100 verschiedene Codes abgebildet sind, vor denen jeweils eine Nummer steht. Bei einem Online-Banking-Vorgang, wie einer SEPA-Überweisung fragt das Banking-Tool (App oder Webseite) nach einem bestimmten Code, den man dann heraussuchen und eingeben muss. Danach ist der Vorgang bestätigt und der Code erloschen.

 

Push-Tan:

Die Push-Tan ist eine Autorisierungsform, bei der der Nutzer in einer externen App durch ein automatisiertes Verfahren einen Code erhält, den er auf der Seite des Online-Banking-Vorgangs eingeben muss. Alternativ kann in der Push-Tan-App auch einfach nur ein Bestätigungsbutton angezeigt werden.

 

Chip-Tan:

Laut Sicherheitsforschern die sicherste aller Varianten. Hierbei wird ein externes Lesegerät, ein TAN-Generator benötigt, der z.B. über einen Strichcode, den das Banking-Tool anzeigt und den man mit dem Gerät scannt, eine TAN-Nummer berechnet und auf dem man dann z.B. die Überweisung per OK-Klick bestätigt. Dadurch, dass man auf dem Display des Lesegeräts alle Informationen zur Überweisung angezeigt bekommt, würde z.B. eine Manipulation der Ziel-IBAN direkt auffallen. Da das Gerät nicht ans Internet angeschlossen ist, kann es auch nicht gehackt werden. Zusätzlich speichert das Lesegerät keine Informationen - Hacker hätten also nichts davon.

 

Die meisten Banken haben mittlerweile das TAN-Listen-Verfahren eingestellt. Die Alternatvien Push-TAN und besonders Chip-TAN legen aber bei Komfort und Sicherheit eh noch eine Schippe drauf. Oft werden mehrere dieser Möglichkeiten angeboten. Was euch besser gefällt, bleibt euch überlassen. Chip-TAN glänzt aber auf jeden Fall mit hoher Sicherheit vor Hackerangriffen und Geldverlust durch Betrug.

Und was sind VPNs?

 

VPNs, auch Virtual Private Network, sind externe Serververbindungen, die zwischen dir und deinem Surf-Ziel geschaltet werden. Quasi ein Zwischenbahnhof, der dafür sorgt, dass dein Ursprungsbahnhof nur sehr schwer ausfindig zu machen ist. Du kannst so z.B. vortäuschen,  du seist in den USA und damit sogar auf Seiten zugreifen, die du durch Geoblocking normalerweise nicht aufrufen könntest. VPNs machen dadurch bedingt sicherer, aber vor allem anonymer. Manchmal kann es aber sein, dass durch die Umleitung über den VPN-Server die Verbindung langsamer wird. Mittlerweile bringen einige Sicherheitsprogramme, wie Avast oder Kaspersky, solche VPNs mit. Diese zu nutzen ist kein Muss, eher ein Nice-to-have, das aber hilfreich und praktisch sein kann. 

Da war doch noch was...

 

Eins gibt es natürlich auch noch: Virenscanner. Die kennt ihr bestimmt auch alle, manche werden auch bestimmt einen verwenden, vermutlich sogar einen kostenpflichtigen. Das ist toll, aber zwangsläufig nicht unbedingt notwendig. Die Seite AV-test, die regelmäßig Virenscanner für Windows und Co testet, fand heraus, dass mittlerweile sogar das in Windows 10 enthaltene Tool "Windows Defender" so sehr aufgeholt hat an Qualität, dass es als Virenscanner ausreicht. Es muss also nicht immer die kostenpflichtige Konkurrenz sein. Allgemein ist so ein Virenscanner natürlich toll, beachten und beobachten solltet ihr allerdings, dass dieser regelmäßig scannt und die Virendefinitionen, also Datenbanken mit möglicherweise Virus-Dateien, immer aktuell sind. Sonst könnten euch die täglich neu erscheinenden Viren trotz dem besten Virenscanner ganz schnell überrumpeln, weil der Scanner sie noch nicht kennt.

Fazit, Resultat:

 

Eins ist zum Schluss noch ganz wichtig: Absolute Sicherheit wird es im Internet nicht geben, bei allen Sicherheitsprogrammen oder Vorkehrungen der Welt. Genauso ist es ja aber auch im Leben auf der Straße, wenn du rausgehst. Nur weil es Hacker im Netz gibt, sich nicht mehr dort aufzuhalten, wäre wie nicht mehr vor die Haustür zu gehen oder aus dem Keller zu kommen, weil es Unfälle auf den Straßen gibt. Im Leben kann immer etwas passieren, das liegt einfach daran, dass wir Menschen sind. Wenn man aber nach links und rechts schaut und ein paar Vorkehrungen trifft, wird die Wahrscheinlichkeit deutlich geringer, dass einen ein Auto zusammenfährt oder man Opfer eines Hackerangriffs wird. 

 

Achtet auf aktuelle Virendefinitionen, nutzt sinnvolle, wirksame Passwörter (nutzt sie vor allem überhaupt! ;) ) und schaut immer mal wieder nach bei Seiten, wie "have I been pwned", wenn ihr wissen wollt, ob eure E-Mail-Adresse in einem gehackten Datensatz vorkommt. Passt auf euch auf!

 

Cheers