Thorsten Schröder ist IT-Sicherheitsexperte und berät mit seiner Firma mittelständische und große Unternehmen. Zudem setzt er sich im Chaos Computer Club für digitale Grundrechte ein. Zum heutigen Safer Internet Day erklärt Schröder, worauf Nutzer im Netz achten sollten und wie sie dank weniger Schritte sicherer surfen können.
SZ: Was sind momentan die häufigsten Risiken im Netz?
Thorsten Schröder: In den vergangenen Jahren hat sich wenig verändert. Betrüger nutzen noch immer das sogenannte Social Engineering, um Nutzer auszutricksen. Etwa eine falsche E-Mail, die vorgibt, von einer Bank oder einem Onlinehändler zu kommen. Oft wird das Opfer dazu verleitet, auf einen Link zu klicken, wo es dann Passwort oder persönliche Daten eingeben soll. Der Empfänger kann auf den ersten Blick meist nicht feststellen, woher die E-Mail kommt und ob der vorgegebene Absender stimmt. Technische Möglichkeiten zur Verifikation haben sich bislang nicht durchgesetzt, etwa E-Mail-Signaturen mit PGP-Verschlüsselung. Die Einrichtung ist sehr kompliziert. Das kann man niemandem zumuten, der nur wenig Ahnung von IT hat.
An welchen Hinweisen kann man eine betrügerische Mail erkennen?
Nutzer sollten vor allem dann misstrauisch werden, wenn die Sprache sehr schlecht ist. Die Betrüger stammen teilweise aus dem Ausland und die Übersetzungen ins Deutsche waren lange Zeit sehr mies. Das hat sich ein bisschen geändert, die Angreifer legen mehr Wert auf Qualität. Eine gut gemachte E-Mail sieht dann tatsächlich so aus, als käme sie von meiner Bank oder von Amazon. Die Betrüger verwenden ein professionelles Layout mit den passenden Logos und Grafiken. Auf plumpe Maschen fallen die Menschen kaum noch herein. Trotzdem sollten Nutzer auf eine korrekte Rechtschreibung achten und die Plausibilität prüfen.
Was ist der nächste Schritt, um mein System zu schützen?
Die Software auf dem eigenen PC sollte immer auf dem neuesten Stand gehalten werden. So werden Sicherheitslücken im Betriebssystem, im Browser oder in anderen Programmen geschlossen und Hacker können sie nicht mehr ausnutzen. Viele Hersteller haben das Risiko erkannt und automatische Updates eingeführt. Diese Auto-Update-Funktion sollte eigentlich immer aktiviert werden. So müssen die Nutzer nicht jeden Patch einzeln installieren und jede Woche nachschauen, ob alle Programme mit der neuesten Version laufen. Dafür sollten sie natürlich den Herstellern vertrauen. Aber wenn man die Risiken abwägt, dann gibt es eigentlich keinen Grund, die Updates nicht zu installieren. Wenn ein Nutzer beispielsweise den Updates von Microsoft nicht vertraut, dann sollte er vielleicht generell kein Betriebssystem von Microsoft verwenden.
Auf dem Markt gibt es auch zusätzlich viele Antivirenprogramme. Laut deren Hersteller sollen sie unverzichtbar sein.
Man darf sich grundsätzlich nicht auf irgendwelche Programme verlassen. Es gibt keinen hundertprozentigen Schutz. Nur weil man einen Virenscanner installiert hat, ist man nicht automatisch sicher und kann einfach überall draufklicken. Die Nutzer sollten weiter wachsam bleiben. Virenscanner wissen nur das, was die Programmierer ihnen beigebracht haben. Eine speziell erstellte Schadsoftware wird nicht unbedingt von einem Virenscanner erkannt. Trotzdem können sie nützlich sein. Um eine Basissicherheit zu gewährleisten, nutze ich beispielsweise auf meinem System den Defender von Microsoft, der mit Windows ausgeliefert wird. Ich rate ganz unbedarften Anwendern dazu, ein Anti-Viren-Programm zu installieren. Damit werden sie zumindest vor den plumpen Angriffen geschützt, die auf die Masse zielen.
Vor allem Passwörter sind für viele Menschen ein Problem. Entweder sind sie zu einfach, oder man kann sie sich nicht merken. Was empfehlen Sie?
Man sollte auf sein Passwort genauso gut aufpassen wie auf seinen Wohnungsschlüssel. Ich würde jedem sehr stark dazu raten, lange und komplizierte Passwörter zu verwenden. Es ist gar nicht so wichtig, sein Passwort alle paar Monate zu ändern. Es ist viel wichtiger für jeden Dienst ein unterschiedliches Kennwort zu verwenden. Wir haben immer das Risiko, dass ein Passwort in die falschen Hände gerät, ein Risiko, das wir nie beseitigen werden können. Wenn ein Betrüger ein Passwort abgreifen kann und meine E-Mail-Adresse kennt, dann wird er es sofort bei großen Diensten wie Ebay oder Amazon ausprobieren.
Nun sind die meisten Nutzer aber bei vielen verschiedenen Diensten angemeldet.
Wer viele Accounts besitzt und oft dasselbe Passwort verwendet, sollte eine Liste mit den zehn wichtigsten Diensten erstellen und dort beginnen. Etwa bei dem E-Mail-Postfach, bei Amazon oder Facebook. Die Organisation geht am einfachsten über einen Passwort-Manager. Er sorgt dafür, dass die Passwörter sicher auf dem Computer - in einer Art Safe - gespeichert werden. So müssen sich die Nutzer nicht alles merken. Diese Manager sind auch in der Lage, komplizierte Passwörter aus Sonderzeichen, Zahlen und Buchstaben zu generieren, die Hacker nicht so leicht erraten können. Ich selbst nutze einen freien Manager, entweder Keepass oder Password Safe. Sie funktionieren auch auf iOS oder Android.
Wurden Sie selbst schon Opfer eines Internet-Betrugs?
Ich halte immer wieder mal gefälschte Mails für authentisch und klicke auf den Link, aber ich habe noch nie meinen Benutzernamen oder Passwort eingegeben. Der Schaden wäre auch sehr begrenzt, denn ich nutze für jeden Dienst ein anderes Passwort. Es hätte keine großen Auswirkungen. Jeder sollte sich Gedanken machen: Wenn ich Schäden schon nicht vermeiden kann, wie kann ich die Auswirkungen minimieren? Dieses Bewusstsein ist das Wichtigste.
Genaue Informationen, welche Daten für den Messenger-Dienst genutzt und gespeichert werden, finden Sie in der Datenschutzerklärung.
