Die Digita­li­sie­rung ist Top-Thema in Wirtschaft und Gesell­schaft, und die »digital natives« erobern die Arbeits­welt. Nach wie vor ist digitale Kompe­tenz jedoch sehr ungleich verteilt, und auch vermeint­li­che Exper­ten begehen folgen­rei­che Fehler. Nexus hat fünf gute Tipps für alle, die Opfer eines Hacker­an­griffs werden wollen:

Verwen­den Sie ein Passwort mit weniger als 8 Zeichen

Ein Passwort mit weniger als acht Zeichen zu knacken dauert in der Regel nicht einmal eine Minute. Längere Passwör­ter sind zwar siche­rer, empfeh­lens­wert ist dennoch die Kombi­na­tion mit einer weite­ren Authen­ti­fi­zie­rungs­me­thode – beispiels­weise einer Smart­card. Eine solche Zwei-Faktor-Authentifizierung bietet einen zuver­läs­si­gen Schutz und hilft, Sicher­heits­ri­si­ken zu vermei­den.

Verwen­den Sie verschie­dene Schlüs­sel für Ihre Log-ins

Wer schon einmal seine Geldbörse oder seine Schlüs­sel verlo­ren hat weiß: Je mehr Schlüs­sel und je mehr Karten man besitzt, desto mehr Schlös­ser sind im Fall eines Verlus­tes oder Diebstahls auszu­tau­schen und desto mehr Karten zu sperren. Wer sämtli­che Zugänge auf einer geschütz­ten Karte speichert, hat nicht nur eine bessere Übersicht über seine Daten­trä­ger, sondern muss sich bei Verlust auch nur noch um die Sperrung einer einzi­gen Karte kümmern.

Klicken Sie auf unbekannte Links

Wer unbekannte Links anklickt, riskiert, sich Erpres­ser­pro­gramme (sogenannte Ransom­ware) auf seinen Compu­ter zu laden. Die Wahrschein­lich­keit, Opfer dieser Form von Schad­soft­ware zu werden, hat sich 2016 noch einmal deutlich erhöht. Entdeckt wird eine Infek­tion mit Ransom­ware jedoch meist erst, nachdem das Programm die Daten des Nutzers verschlüs­selt und unzugäng­lich gemacht hat. Um wieder auf die Daten zugrei­fen zu können, muss der Nutzer ein Lösegeld zahlen – ein vermeid­ba­res Risiko mit Schock­ef­fekt, wenn der Ernst­fall eintritt.

»Das passiert nur den anderen, aber nicht uns!«

Proak­tiv sein ist das A und O beim Thema Sicher­heit – und generell ist kein Unter­neh­men »zu klein und zu unwich­tig« für einen Cyber­an­griff. Präven­tive Maßnah­men sind deshalb essen­zi­ell, um externe Angriffe abzuweh­ren. Viele Unter­neh­men setzen als gefähr­lich einge­stufte Websei­ten und Programme auf sogenannte Black­lists. Siche­rer aber ist es, die als ungefähr­lich gelten­den Programme über sogenannte White­lists zu erlau­ben und alle unbekann­ten Programme grund­sätz­lich zu blockie­ren, so lange sie nicht expli­zit zugelas­sen werden. White­lis­ting eignet sich beson­ders für vernetzte Geräte, die nur zu bestimm­ten Zwecken, aber von vielen verschie­de­nen Perso­nen genutzt werden und selten Updates benöti­gen. Beispiele sind medizi­ni­sche Geräte oder Multi­funk­ti­ons­ge­räte wie Drucker.

Aktua­li­sie­ren Sie Ihre Webseite nur alle drei Jahre

Eine Webseite, die nicht aktua­li­siert wird, ist ein Einfall­stor für Daten­diebe. Wer die Wartung und das Aktua­li­sie­ren von einge­setz­ten Plug-ins ignoriert und sich statt­des­sen nur auf umfas­sende Instand­hal­tungs­ar­bei­ten alle drei Jahre konzen­triert, macht sich selbst zur perfek­ten Zielscheibe für alle, die Geheim­nisse stehlen wollen. Es ist also nicht damit getan, eine Website einmal online zu stellen und dann sich selbst zu überlas­sen. Sicher­heit erfor­dert konti­nu­ier­li­chen Einsatz, um Cyber­kri­mi­nel­len einen Schritt voraus zu sein.

Mit der Digita­li­sie­rung ist die Zahl der »Einfalls­tore« in private und geschäft­li­che Netzwerke tatsäch­lich massiv gestie­gen ist: Laut Lagebe­richt 2016 des Bundes­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat sich die Anzahl von Spam-Nachrichten mit Schad­soft­ware im Anhang im ersten Halbjahr 2016 im Vergleich zum Vorjahr um 1.270 Prozent erhöht. Die Zahl bekann­ter Schad­pro­gramm­va­ri­an­ten ist auf mehr als 560 Millio­nen angestie­gen (Stand August 2016). Gleich­zei­tig setzen zuneh­mend mehr Unter­neh­men digitale Geschäfts­mo­delle um, ob nun im E-Commerce, im Bereich Indus­trie 4.0 oder mit E-Services im Banken­sek­tor. Sie alle müssen ihre Daten zuver­läs­sig schüt­zen und einen siche­ren Zugriff auf ihre Systeme gewähr­leis­ten – unter Umstän­den für Millio­nen von Kunden. In diesem Zusam­men­hang wird ein durch­gän­gi­ges und zuver­läs­si­ges Identitäts- und Access Manage­ment für Unter­neh­men mehr denn je zur Pflicht­übung.

»Ein erfolg­rei­cher Cyber­an­griff kann für eine Privat­per­son sehr unange­nehme Konse­quen­zen haben – bei Unter­neh­men und Behör­den gefähr­det er jedoch unter Umstän­den die Geschäfts­grund­lage«, kommen­tiert Ralph Horner, Regio­nal Direc­tor DACH bei Nexus. Das Unter­neh­men bietet Lösun­gen für das Manage­ment von Identi­tä­ten und Zugän­gen – digital wie physi­sch – und berät Unter­neh­men ebenso wie Organi­sa­tio­nen des öffent­li­chen Sektors zu IT-Sicherheitsstrategien. »Vertrau­ens­wür­dige Inter­ak­tion im Netz – und das gilt ganz beson­ders für sensi­ble Berei­che wie kriti­sche Infra­struk­tu­ren – ist nur auf Basis siche­rer und eindeu­tig identi­fi­zier­ba­rer Identi­tä­ten möglich. Das weiß jeder, der gelegent­lich E-Mails von obsku­ren Absen­dern erhält. Die Lösung liegt in einer fachkun­di­gen Beratung sowie Techno­lo­gien, die einen wirksa­men Schutz bieten – und letzt­lich auch in gesun­dem Menschen­ver­stand. Das gilt für Privat­per­so­nen und Unter­neh­men gleicher­ma­ßen.«

Cyber­kri­mi­na­li­tät ist der Taschen­dieb­stahl des neuen Jahrtau­sends. Die Initia­tive Safer Inter­net Day der Europäi­schen Kommis­sion soll die Aufmerk­sam­keit für die Gefah­ren digita­ler Angriffe erhöhen. 10 konkrete Sicher­heits­tipps schüt­zen bei den tägli­chen Inter­net­ak­ti­vi­tä­ten.

Im Inter­net Einkäufe tätigen, News lesen und Bankge­schäfte erledi­gen sind inzwi­schen selbst­ver­ständ­li­che Online-Aktivitäten. Aller­dings steigt mit zuneh­men­der Einbin­dung der digita­len Welt auch der Bedro­hungs­le­vel. Allein gestern gab es laut Auswer­tun­gen des IT-Sicherheitsspezialisten Avira 3,4 Millio­nen Bedro­hun­gen durch Malware (Quelle: https://www.avira.com/en/threats-landscape). Der jährlich ausge­ru­fene und in diesem Jahr am Diens­tag, 9. Februar 2016, statt­fin­dende weltweite Aktions­tag »Safer Inter­net Day« soll den Blick für die Gefah­ren schär­fen und Inter­net­ak­ti­vi­tä­ten siche­rer machen. Wie mehr Sicher­heit im Netz unabhän­gig vom verwen­de­ten Endge­rät konkret ausse­hen kann, erläu­tert Avira mit den folgen­den zehn Tipps:

Niemals ohne

Sicher­heits­soft­ware ist die erste und wichtigste techni­sche Schutz­maß­nahme für privat genutzte Endge­räte. Neben häufig aktua­li­sier­ten Viren­de­fi­ni­tio­nen sollten auch Cloud-Funktionen zum Schutz heran­ge­zo­gen werden. Durch die Nutzung der Cloud wird der Compu­ter während der Viren­su­che weniger belas­tet und es stehen mehr Infor­ma­tio­nen anderer Nutzer zum Vergleich und für die Trender­ken­nung zur Verfü­gung. Wichtig ist, dass die Schutz­soft­ware regel­mä­ßig durch unabhän­gige Testin­stan­zen wie AV-Test, AV-Comparatives oder Virus Bulle­tin geprüft und ihre Effizi­enz bestä­tigt wird.

Updates, Updates, Updates

Software hat Fehler, die behoben werden müssen. Darum sind Updates nicht nur für das Betriebs­sys­tem, sondern auch für die Anwen­dun­gen Pflicht – und zwar so schnell wie möglich, nachdem die neuen Versio­nen bereit­ge­stellt wurden. Schwach­stel­len in weit verbrei­te­ten Program­men wie Adobe Acrobat Reader oder Java-Plug-Ins gehören zu den gefähr­lichs­ten Bedro­hun­gen überhaupt und werden sofort nach deren Bekannt­wer­den von Cyber-Kriminellen ausge­nutzt. Regel­mä­ßige checks auf neue Versio­nen und Patches sind lästig, aber leider notwen­dig.

Durch­hal­te­ver­mö­gen zeigen

Antivirus-Software scannt Endge­räte in der Regel automa­ti­sch. Das belas­tet vor allem ältere PCs und macht sich durch schlech­tere Reakti­ons­zei­ten bemerk­bar. Trotz­dem sollte man die Checks nicht vorzei­tig abbre­chen. Sie sind die Basis für ein siche­res System ohne verste­cke Schad­soft­ware.

Wer alles darf, macht vieles falsch

Moderne Betriebs­sys­teme können unter­schied­li­che Benut­zer sehr gut trennen. Selbst wenn man den PC allein verwen­det, sollten zumin­dest zwei Benut­zer­ac­counts definiert sein: Neben dem Admin-Account mit vollen Rechten auch ein täglich genutz­ter persön­li­cher Account. Der persön­li­che Account muss in seinen Rechten beschränkt sein, denn so kann Schad­soft­ware keine Kontrolle über System­funk­tio­nen überneh­men, wenn sie einge­schleppt wird.

Weiter­kli­cken, hier gibt es nichts zu sehen

Werbung ist eine legitime Art der Finan­zie­rung für viele Websei­ten. Die Mecha­nis­men zur Anzeige werden aber oft für Ad-Ware und Phishing-Angriffe missbraucht. Aus Sicher­heits­sicht ist ein Ad-Blocker eine sinnvolle Ergän­zung des Schutz­kon­zepts, auch wenn sie von vielen Websei­ten­be­trei­bern gehasst werden.

Niemals nackt, auch nicht am Strand

WLAN-Access–Points sind – vor allem in viel frequen­tier­ten Urlaubs­ge­bie­ten oder an öffent­li­chen Orten – der Hort der Gefahr. Die Daten werden häufig unver­schlüs­selt oder nur margi­nal geschützt übertra­gen und sind am Access-Point in aller Regel abgreif­bar. Dagegen hilft nur Verschlüs­se­lung. Beim Browsen kann das ein Tool wie HTTPS Everyw­here sein, das die verschlüs­selte SSL-Kommunikation mit Websei­ten erzwingt. Der neue Avira Scout Browser hat diese Tool bereits integriert. Den komplet­ten Daten­ver­kehr sichert ein Virtual Private Network (VPN) ab.

Passwör­ter. Immer wieder Passwör­ter.

Das Ende des Passworts als einzi­ger Zugangs­schutz ist zumin­dest einge­lei­tet, neue Betriebs­sys­teme und Anwen­dun­gen bieten eine Zwei- oder Mehr-Faktor-Authentifizierung an. Wenn dieses Feature (noch) nicht verfüg­bar oder ungewünscht ist, sollten ein Passwort-Manager (zum Beispiel KeePass) oder komplexe und vor allem unter­schied­li­che Passwör­ter für jeden wichti­gen Account verwen­det werden.

Einfach mal loslas­sen können

Nicht genutzte Anwen­dun­gen sollten vom Endge­rät entfer­nen werden. Java und Flash beispiels­weise sind kaum noch für Websei­ten erfor­der­lich, stellen aber ein sehr hohes Sicher­heits­ri­siko dar. Weg damit!

Guck mal, wer da zuschaut

Inter­net­ak­ti­vi­tä­ten der Nutzer aufzu­zeich­nen und deren Surfver­hal­ten weiter zu verkau­fen ist eine Haupt­ein­nah­me­quelle von Google, Facebook und Co. Wer das nicht gut findet – und es ist ganz erstaun­lich, was mit diesen Daten alles an Querver­bin­dun­gen und Schluss­fol­ge­run­gen herge­stellt werden kann – kann sich mit Tools wie dem Privacy Badger des EFF, dem Avira Browser Safety Plug-In oder Ghostery schüt­zen.

Das Problem vor dem Bildschirm

Nach wie vor klicken zu viele Anwen­der zu leicht­fer­tig auf E-Mail-Anhänge oder Links. Spam wäre längst ausge­stor­ben, wenn nicht immer noch Menschen glauben würden, dass die angebo­te­nen Potenz­pil­len wirklich super­güns­tig sind. Erfolg­rei­che Schad­soft­ware verbrei­tet sich immer noch durch einen schnel­len Klick auf das angehängte Dokument. Es ist an der Zeit den Klick­re­flex abzustel­len und den Postein­gang mit mehr Zurück­hal­tung zu betrach­ten.

