7 Tipps für bessere Web-Sicherheit im Alltag

Das Web birgt diverse Gefahren und es werden immer mehr. Die Betrugs-Versuche werden immer raffinierter und schwerer zu durchschauen.
Gleichzeitig ermöglichen bessere Computer mit mehr Rechenleistung schnellere und breiter ausgelegte Angriffsmöglichkeiten.
Erfahren Sie in diesem Artikel, worauf Sie achten müssen und was Sie möglichst bald tun sollten.
7 Tipps für bessere Web-Sicherheit im Alltag

1. Passwörter

Vielleicht sind Sie das Thema Passwort schon leid, dennoch kann nicht oft genug empfohlen werden, zufällig generierte Passwörter zu verwenden, also zum Beispiel 3)pf~W9.


Das Problem von zu einfachen Passwörtern sind sogenannte Brute-Force-Angriffe. Bei diesen werden schlicht alle möglichen Passwörter ausprobiert.

Tatsächlich gibt es Listen mit Top-X der am meisten verwendeten Passwörtern. Rund 10% der verwendeten Passwörtern sind in dieser Liste. Mit anderen Worten, eine Brute-Force-Attacke ist bereits bei 10% aller Logins erfolgreich, wenn Sie nur die beliebtesten Passwörter testet.

Falls Sie also Ihr Passwort in einer "Hit-Liste" finden, sollten Sie das sofort ändern!

Selbst gewählte Passwörter

Viele Web-Dienste verlangen - auch wenn es nervt - bestimmte Anforderungen an das Passwort. Das macht die Passwörter zwar ein wenig sicherer, aber längst nicht unknackbar.

Fast alle selbst gewählten Passwörter, welche
  1. Mindestens einen Grossbuchstaben
  2. Mindestens eine Zahl
  3. Mindestens ein Sonderzeichen
enthalten müssen, werden nach folgendem Muster aufgebaut:

[Wort mit Grossbuchstabe am Anfang][Eine Zahl, oft Jahrgang oder Postleitzahl][Sonderzeichen, oft ! oder $]. Zum Beispiel Passwort3007!.

Erwischt? ;-)

Das Problem dieser Art von Passwörter ist - Sie ahnen es bereits - dass sie ebenfalls relativ schnell erraten werden können. Computer können Millionen an Kombinationen testen. Brute-Force-Angriffe nutzen dafür sogenannte Wörterbuchangriffe.

Fazit:

Benutzen Sie nur randomisierte (zufällige) Passwörter, am besten mit mindestens 32 Zeichen. Auch mit hoher Rechenleistung sind solche erst nach Jahren knackbar. 

Nutzen Sie dafür einen Passwort-Manager.
Nutzen Sie nicht das gleiche Passwort bei verschiedenen Web-Diensten.

2. Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung bedeutet, dass Sie neben dem Passwort noch eine zweite Möglichkeit nutzen, welches ein sicheres Login gewährleistet. Zum Beispiel Code via SMS.


Nutzen Sie Zwei-Faktor-Authentifizierung wo immer möglich, auf alle Fälle mindestens bei:
  • Ihrer Haupt-E-Mail (diejenige, welche alle Passwort-Vergessen-Mails erhält)
  • Alle kritischen Logins (E-Banking)
  • Zugang zum Passwort-Manager

Webprojekt starten?

  1. Checkliste (PDF) kostenlos herunterladen
  2. Ausfüllen
  3. Projekt starten
Checkliste: Webprojekt starten (PDF)

3. Backups / Ransomware

Kein Backup, kein Mitleid.


Der Spruch ist hart (nicht von mir), trifft dennoch zu.
Etwas vom Schlimmsten, was Ihnen passieren kann, sind sogenannte Ransomware-Attacken. Diese verschlüsseln sämtliche Daten auf Ihrem Rechner und erpressen Sie auf Lösegeld.

Um das zu verhindern, sollten Sie niemals E-Mail-Anhänge oder Links öffnen, welche entsprechende Schad-Software enthalten.

Das ist leichter gesagt, als getan, denn manchmal sind diese Anhänge und Links hervorragend getarnt. (Dazu später mehr).

Sollte es dennoch einmal passieren, dass Sie sich entsprechende Malware eingefangen haben, sind Sie froh, wenn Sie zumindest einen Teil Ihrer Daten wieder herstellen können.

Was tun, wenn Sie Opfer von Malware werden?

Wenden Sie sich an einen Spezialisten!

Auf alle Fälle:
Zahlen Sie keine Lösegeld-Forderungen! Es ist nicht gewährleistet, dass sich die Angreifer an ihr Versprechen halten und Ihnen den Entschlüsselungs-Code geben.
Auch wenn Sie den Code erhalten, steigt das Risiko, dass Sie erneut angegriffen werden, dramatisch. Da Sie ein zahlender "Kunde" sind, offenbaren Sie sich als lohnendes Ziel für weitere Angriffe.

Mit Hilfe des Spezialisten sollten Sie:
  • Hardware komplett formatieren
  • Betriebssystem neu installieren
  • Daten auf dem Backup untersuchen (falls die Malware dort drauf ist)

4. Phishing

Phishing bedeutet, dazu verleitet zu werden irgendwo Ihr Passwort oder andere heikle Daten an falscher Stelle preiszugeben.


Einfachstes Beispiel:
In einer E-Mail finden Sie einen Link, der zu einer Webseite führt, welche genau so aussieht wie eine bekannte Webseite (z.B. wie die Login-Seite Ihrer Bank). Geben Sie Daten auf dieser Seite ein, werden Sie an die Angreifer geschickt.

Natürlich fallen die meisten nicht mehr auf die plumpen Versuche ein. Die Angreifer operieren meist nach dem Prinzip 1-Million Mal versuchen, irgendwer fällt schon rein.

Die Methoden werden aber immer raffinierter und besser gemacht.

Die neuen Methoden

Neben dem altbewährten Weg der E-Mails finden Phishing-Attacken zunehmend auch via andere Kanäle statt. Dazu gehören SMS, Telefon-Anrufe und Social-Media/Messenger-Kanäle.


"Ein Paket ist auf dem Weg zu Ihnen, leider kann es nicht geliefert werden wegen ausstehenden Zollgebühren".

Kennen Sie diese Art von SMS?

Seinen Sie IMMER sehr skeptisch, wenn versucht wird, von Ihnen heikle Daten zu erhalten. Die Phishing-Attacken werden visuell und sprachlich immer besser. Attacken via Telefon-Anruf sind besonders schwierig zu erkennen und nehmen in der Häufigkeit zu.

Nehmen Sie bitte zur Kenntnis, dass auch wenn die Gegenseite weiss, dass Sie z.B. bei der Versicherung XY sind, die Gegenseite nicht unbedingt Vertretung besagter Versicherung ist, sondern sich nur als solche ausgibt.

Also immer aufpassen wenn das Passwort verlangt wird?

Passwörter sind längst nicht mehr die einzige Art von heiklen Daten.

Folgende Daten sollten Sie niemals angeben, wenn Sie der Gegenseite nicht 100% vertrauen:
  • Name/Vorname
  • Telefonnummern
  • E-Mail
  • Geburtsdatum
  • Foto Ihrer Unterschrift
  • Foto Ihrer Ausweisdokumente (ÄUSSERST GEFÄHRLICH!!!)
Für kriminelle Personen sind persönliche Daten von hohem Wert. E-Mail-Adressen/Telefon-Nummer dienen dem Phishing, amtliche Daten dienen dem Identität-Diebstahl

Ein ganz krasses Beispiel von Identität-Diebstahl ist, wenn auf Ihren Namen eine Firma gegründet wird. Das ist Realität und geschieht tagtäglich. Schützen Sie sich und Ihre Daten!

5. Social Engineering

Die meisten werden vermutlich nicht allzu häufig Opfer von Social Engineering. Falls doch, hilft es, wenn Sie wissen, was das ist und worauf Sie achten sollten.


Social Engineering ist, wenn eine Person gezielt beobachtet wird, so dass man einen "Angriff" auf eine Art und Weise starten kann, bei welcher die Person gezielt in ihrem Verhalten beeinflusst wird.

Ein Grobplan:
Wenn man weiss, was eine Person in bestimmten Situationen erwartet und tut und wenn man die Umgangsformen der Person zum Umfeld kennt, dann kann man unter Vorgabe falscher Identität das "Opfer" zu Handlungen verleiten.

Ein Beispiel:
Sie möchten eine Firma "hacken". Sie beobachten einen Mitarbeiter und finden heraus, wann er Anweisungen von seinem Vorgesetzten erwartet und in welcher Form er diese erhält. Sie finden zum Beispiel heraus, dass besagte Anweisungen stets um 08:00 Uhr via E-Mail erfolgen.
Sie kennen ungefähr die Tonalität, also zum Beispiel ob die Anweisungen per Du oder Sie erfolgen.
Nun könnten Sie zum Beispiel eine E-Mail um 08:15 an diesen Mitarbeiter schicken im Namen des Vorgesetzten mit folgendem Inhalt:
Absender: E-Mail des Vorgesetzen (E-Mail Absender können gefälscht sein)
Nachricht:
"Ach und übrigens: Um 10:00 Uhr kommt ein Herr X von der Firma Y. Bitte empfangen Sie ihn und verschaffen Sie ihm Zugang zu unserem Server. Er wird eine Wartung durchführen."

Wenn alles gut geplant ist, sind Sie drin.

Sie merken: Social Engineering ist keine schnelle Sache und erfolgt aufgrund des hohen Aufwands sehr gezielt. Passen Sie auf, falls Sie eine Person sind, welche Zugang zu relevanter Infrastruktur hat. Ebenfalls aufpassen sollten gewählte Politikerinnen und Politiker, sowie leitendes Personal von staatlichen Stellen. 

6. Updates

Machen Sie immer Updates - so bald wie möglich.

Auch wenn es manchmal vielleicht nervt. Updates sind nicht nur für Verbesserung von Programmen, sondern regelmässig auch, um Sicherheits-Lücken zu schliessen.

7. Have I Been Pwned

Schauen Sie regelmässig bei Have I Been Pwned vorbei.

Dort können Sie sehen, ob Ihre E-Mail Adresse oder Ihre Telefon-Nummer von einem Leak (Daten von einem Betreiber werden gestohlen) betroffen ist. Sie finden ebenfalls Tipps, was Sie tun sollten, falls Sie betroffen sind.

Aktuelle Lage 2021

Die Bedrohungslage hat im Verlaufe der Corona-Krise massiv zugenommen. Verschiedene Daten-Leaks haben dazu geführt, dass im sogenannten Dark-Net (anonymisiertes Internet über das TOR-Netzwerk) eine massive Zunahme an persönlichen Daten aus Leaks zu finden sind.


Auch wenn Sie selbst vorsichtig sind, kann es sein, dass Ihre Daten indirekt betroffen sind. Manche Applikationen haben zum Beispiel Zugriff auf das Telefonbuch der Nutzerinnen und Nutzer. Wenn also ein Bekannter von Ihnen Ihre Nummer bei sich gespeichert hat (also quasi sicher) und dieser Bekannte eine solche Applikation nutzt, welche von einem Leak betroffen ist, dann sind auch Sie von Datendiebstahl betroffen.

Kontaktdaten werden primär für Phishing genutzt. Seine Sie darum besonders wachsam bei aller Art von unerwarteter Kommunikation mit skurrilen Inhalten.

CHECKLISTE

Webprojekt starten?

  1. Checkliste (PDF) kostenlos erhalten
  2. Ausfüllen
  3. Projekt starten
Checkliste: Webprojekt starten (PDF)

Über mich

Undici-Web ist Ihr digitaler Partner für Webentwicklung, Webdesign, Online-Marketing und Websolutions mit Sitz Bern.

Diese Webseite verwendet Cookies, welche für die Funktionalität notwendig sind. Durch die Nutzung der Webseite stimmen Sie dem Einsatz gemäss der Datenschutzerklärung von Undici-Web zu.