Gibt es Schutz vor Hackern ohne viel Aufwand? Ein Selbst­versuch

Daten­klau Special

Finanztest-Redak­teurin Marie Schli­cker

Updates, Pass­wort­manager und virtuelle private Netz­werke kosten unsere Redak­teurin ein paar schlaflose Nächte. Um neuen Hacker­angriffen vorzubeugen, sind sie nötig.

Die größte Sicher­heits­lücke sitzt vor dem PC

Seit dem jüngsten Daten­klau von E-Mails, Chat-Verläufen und Kreditkarten-Daten von rund 1 000 Politikern und anderen Prominenten ist das Thema Daten­sicherheit mal wieder in den Mittel­punkt medialer Aufmerk­samkeit geraten. Neulich las ich, die größte Sicher­heits­lücke sitze vor dem PC: Nach Angaben des Hasso-Plattner-Instituts in Potsdam war auch im Jahr 2018 wieder „123456“ das beliebteste Pass­wort der Deutschen. Schwer zu knacken? Wohl nicht.

Nach Hacker­angriff sofort handeln

Hatte ich immer gedacht, Hacker würden sowieso nur in großen Gewässern angeln, wurde ich vor einem halben Jahr vom Gegen­teil über­zeugt: Freunde machten mich auf mein gehacktes Profil bei Instagram aufmerk­sam. Jemand hatte über Nacht Profilnamen, Steck­brief und Pass­wort geändert. Ich hatte keinen Zugriff mehr auf mein eigenes Profil. Bevor die Person in meinem Namen Aktionen durch­führen konnte, wie Nach­richten versenden und Fotos oder Videos posten, setzte ich über mein E-Mail-Konto das Pass­wort zurück und dachte mir darauf­hin ein komplizierteres aus.

Zwei-Faktor-Authentifizierung ist sicherer

Auch eine Zwei-Faktor-Authentifizierung für das Profil musste her. Jedes Mal, wenn jetzt jemand von einem anderen Gerät als meinem Handy auf mein Instagram-Konto zugreifen will, müsste er neben dem Pass­wort auch noch den Code abfangen, der mir auf mein Handy geschickt wird. Und da ich den Code in solchen Fällen erhalten würde, wüsste ich auch, dass sich jemand unerlaubten Zugriff auf mein Konto verschaffen wollte.

Gefahrenbewusst­sein schärfen

Gedanken über weitere Accounts machte ich mir zu dem Zeit­punkt nicht. Hacker haben es ja weniger auf Einzel­personen abge­sehen als auf Server mit Massen an Daten. Einzelne sind für Hacker ja meist nur interes­sant, wenn sie Macht, Geld oder in irgend­einer Art und Weise Sonderwissen besitzen.

Wurde mein Pass­wort gehackt?

Der Anstoß, meine Daten umfassend zu schützen, kam unter anderem durch die Website haveibeenpwned.com, die durch den Daten­skandal weiter an Bekannt­heit gewonnen hat. Die Seite des unabhängigen Sicher­heits­forschers Troy Hunt ermittelt, ob eine E-Mail-Adresse oder ein Pass­wort in einem öffent­lich gewordenen Hack auftaucht. Natürlich kennt auch Hunt nicht die unent­deckten Hacks. Auch bei grünem Licht von der Seite kann man also nicht sicher sein, dass die eigenen Daten nicht schon gehackt wurden. Ich gab meine Daten ein. Die Antwort des Internet­dienstes lautete: „Oh no – pwned!“ Erwischt! Bei einer Daten­panne von Dropbox Mitte 2012 wurden auch Daten von meinem Konto geklaut. Höchste Zeit, das Kriminellen schwerer zu machen. Nur fraglich, ob ich mir ohne großen Aufwand einen virtuellen Sicher­heits­gurt anlegen kann.

Sinn­voll: Auto­matische Sicher­heits-Updates

Moti­viert frage ich meinen Kollegen Martin Gobbin aus dem Multimedia-Ressort unserer Schwesterzeit­schrift test, welche Maßnahmen unver­zicht­bar sind, um meine Daten vor Hacker­angriffen zu bewahren. Er legt mir als Aller­erstes regel­mäßige Updates ans Herz. Antiviren­programme etwa, die nicht auf dem aktuellen Stand gehalten werden, seien rasch nicht mehr in der Lage, ihre Aufgabe zu erfüllen – mich vor Viren zu schützen. Auch Router, Betriebs­systeme oder vernetzte Smart-Home-Geräte müssten regel­mäßige Updates erfahren. Miss­mutig schaue ich auf meinen Laptop und sehe meinem Antiviren­programm in die Augen, das mich schon seit einer Ewig­keit um ein Update bittet. Auch auf meinem Smartphone bekomme ich regel­mäßige Anfragen, wann ich denn das neueste Betriebs­system-Update mal installieren möchte. Endlich nehme ich mir dafür Zeit.

Auch der Router muss geschützt sein

Um den Router auf den neuesten Stand zu bringen, gebe ich in der Adress­zeile meines Internet­browsers fritz.box ein. Der Befehl führt mich auf die Bedien­oberfläche des Routers. Unter „Diagnose“ und dessen Unter­punkt „Sicherheit“ wird mir ange­zeigt, dass das Fritz!OS-System „aktuell“ ist. Mein Mitbewohner erklärt mir, dass wir die auto­matischen Updates bereits einge­richtet haben. Unter „System“ und dessen Unter­punkt „Update“ kann man die „Auto-Update“-Funk­tion auswählen und sollte sich dort für „Stufe III“ entscheiden, die über neue Fritz!OS-Versionen informiert und neue Versionen auto­matisch installiert. Eine Sorge weniger. Und der Anfang ist gemacht.

Pass­wort­manager für mehr Sicherheit

Daten­klau Special

Abge­sichert. Endlich Surfen ohne Stress.

Als nächstes stelle ich mir die Frage, wie ich mit meinen Pass­wörtern umgehen soll – der wahr­scheinlich größten Baustelle meines virtuellen Daseins. Will ich mir für meine rund 30 Accounts lange, schwierige und unterschiedliche Pass­wörter ausdenken, die ich mir dann auch noch merken soll? Gobbin: „Wenn mein Tamagotchi-Forums-Pass­wort geknackt wird, ist das an sich relativ egal. Wenn ich dasselbe Pass­wort aber beim Online­banking benutze, ist es eine Katastrophe.“ Schlag­artig wird mir die Dringlich­keit bewusst, mir ganz unterschiedliche Pass­wörter zuzu­legen. Letzt­lich entscheide ich mich dazu, einen Pass­wort­manager zu installieren. Bei einem solchen muss ich am Ende nur noch das Masterpass­wort behalten. Bisher dachte ich, so etwas benötige ich nicht – eine zusätzliche App auf meinem Handy, die ich einrichten und verstehen muss. Aber entspannter klingt es schon, anfangs zwar Zeit in die Sicherheit meiner Daten zu investieren, um mich am Ende aber zurück­lehnen zu können.

Drei Manager empfehlens­wert

Im jüngsten Test von Passwortmanagern punkteten drei der getesteten Produkte besonders mit ihren Sicher­heits­funk­tionen: Dashlane Premium, LastPass Premium und Keeper Security. Kostenlose Pass­wort­manager wurden nicht getestet, weil diese zum Zeit­punkt der Unter­suchung nicht geräte­über­greifend funk­tionierten. Bedeutet: Die neu generierten Pass­wörter würden nicht auf mehreren Endgeräten synchronisiert. Von den drei empfehlens­werten Managern im Test ist Dashlane Premium wohl am leichtesten zu bedienen. Ich entscheide mich jedoch für den güns­tigsten: LastPass Premium, der für 26 Euro jähr­lich erhältlich ist. Und so ein virtueller Tresor kann doch nicht allzu schwer zu bedienen sein?

Einige Start­schwierig­keiten

Nun liste ich all meine Accounts mit den dazu­gehörigen Pass­wörtern auf. Das bereitet mir schon einige Start­schwierig­keiten: Manche Dienste habe ich so lange nicht genutzt, dass ich ein paar Anläufe brauche, um alle Pass­wörter zusammen­zubekommen. Nach zwei Stunden ist die erste Hürde genommen. Nachdem ich den Pass­wort­manager herunter­geladen habe, muss ich mir ein Masterpass­wort für diesen ausdenken. Mindestens 20 Zeichen sollte es haben, Groß- und Klein­buch­staben, Zahlen und Sonderzeichen. Und ich sollte es nicht vergessen. Denn es wieder­zubekommen ist nicht so einfach: Mit LastPass Premium geht das zwar, es bedeutet aber, dass man danach den ganzen Pass­wort­manager neu installieren muss.

Masterpass­wort erstellen

Um ein gutes Pass­wort zu finden, schreibe ich die ersten Zeilen eines meiner Lieblings­lieder auf und nehme den jeweils ersten Buch­staben eines Wortes als Bestand­teil meines Pass­wortes. Wenn es passt, ersetze ich Buch­staben durch Zahlen oder Sonderzeichen – etwa „to“ durch eine „2“ oder „a“ durch „@“. Obwohl mein Pass­wort lang und kompliziert geworden ist, werde ich es mir mithilfe meiner Esels­brücke merken können. Und zumindest enthält es keine Begriffe oder Namen, sodass ein Hacker es nicht durch ein Wörter­buch­programm erraten könnte.

Ganz faul bleiben kann man nicht

Nachdem sich das Masterpass­wort in mein Gehirn gebrannt hat, beginne ich, die mir wichtigsten Accounts dem Manager hinzuzufügen und kann sie in der App in Kategorien unter­teilen, wie Social Media, Shopping und Unterhaltung. Die recht einfachen Pass­wörter meiner Online­konten will ich nun durch neue, lange und sichere Pass­wörter ersetzen, die mir die App generiert. Dabei kann ich die Länge des Pass­wortes auswählen und etwa bestimmen, ob das Pass­wort „aussprech­bar“ sein soll – wie mbnownGernatertesten – oder ob alle Zeichen­typen verwendet werden dürfen. Ich entscheide mich für die zweite Variante – wenn schon Pass­wort­manager, dann auch richtig!

Das Pass­wort muss ich immer noch selber ändern – Account für Account

Nachdem ich für alle meine Konten gute Pass­wörter erstellt habe und anhand von Amazon ausprobieren will, ob ich meinen Account über die App öffnen kann, zeigt mir Amazon an, dass mein Pass­wort falsch ist. Da fällt mir auf, dass der Manager mir zwar neue Pass­wörter generieren kann, ich aber eigenhändig in allen Online­konten das neu generierte Pass­wort ändern muss. Logisch!

Doppelt absichern

Nachdem ich mich mit dem Pass­wort­manager vertraut gemacht habe, gelange ich zur Zwei-Faktor-Authentifizierung. Beim Online­banking nutze ich diese schon. Ohne Code, der mir per SMS gesandt wird, ist keine Über­weisung möglich. Auch nach dem Hacker­angriff auf mein Instagram-Profil hatte ich die doppelte Absicherung gewählt. Das Verfahren führe ich jetzt auch mit einigen Konten durch, bei denen ich meine Bank­daten hinterlegt habe, wie bei meiner Apple-ID.

Virtuelles Netz­werk durch Router

Endlich bin ich auf der Ziel­geraden. Ein virtuelles privates Netz­werk (VPN) soll mich vor Hackern in offenen WLan-Netzen schützen – etwa, wenn ich in der U-Bahn sitze und das kostenlose WLan der Berliner Verkehrs­betriebe BVG nutze, um meine WhatsApp-Nach­richten zu checken. Kommerzielle Dienste dafür sind meist kosten­pflichtig und ihr Daten­verhalten kaum über­prüf­bar, deswegen entscheide ich mich für eine VPN-Verbindung über meinen Router. In unserem Special Privatsphäre im Netz finde ich zum Glück unter Tipp 10 eine gute Schritt-für-Schritt-Anleitung dazu. Geschafft! Mein Fazit: Auch bei der Daten­sicherheit gilt, gut Ding will Weile haben. Und: Wer einmal Zeit in die Sicherheit seiner Daten investiert, kann am Ende besser entspannen.

Dieser Artikel ist hilfreich. 54 Nutzer finden das hilfreich.