Hacker, Viren, Sicherheitslücken – im Internet wimmelt es nur so vor Gefahren. Mit den folgenden 10 Tipps der Stiftung Warentest schützen Sie PC, Smartphone und andere internetfähige Geräte vor Angreifern. Wir erklären unter anderem, wie Sie starke Passwörter erzeugen, woran Sie Phishing-Attacken erkennen und warum Sie im offenen WLan nur mit VPN-Verbindung surfen sollten. Eine fünfstufige Skala ordnet jeweils den Schwierigkeitsgrad und die für die Umsetzung des Tipps benötigte Zeit ein.
1. Antivirensoftware: Der beste Schutz vor Angreifern
Das Wichtigste zuerst: Installieren Sie auf all Ihren Computern ein Antivirenprogramm, sonst sind Sie leichte Beute für Angreifer aus dem Internet. Keines bietet hundertprozentigen Schutz, eine gute Software wehrt aber einen Großteil der Viren, Würmer und Trojaner ab. Sicherheitsprogramme sind heute schneller, besser und preiswerter denn je. Unseren taufrischen Testsieger von Avira für das Betriebssystem Windows gibt es sogar kostenlos (Test Sicherheitssoftware)
Gratis abschirmen. Kostenlose Programme schützen genauso gut wie Bezahlprogramme, nerven aber mit Werbung. Für Premium-Varianten zahlen Sie bis zu 70 Euro pro Jahr. Wissenswert: Das in Microsoft Windows integrierte Antivirenprogramm Defender schützt nicht umfassend. Und: Apple-Nutzer werden seltener angegriffen, sollten sich aber gegen das Abfischen persönlicher Daten – etwa mithilfe gefälschter Mails – via Schutzsoftware wappnen.
Handy ist Kür. Bei Smartphones ist ein Antivirenprogramm kein Muss: Sie haben bessere Sicherheitsmechanismen. Eine Schutzsoftware erhöht die Sicherheit aber. Für iPhones und iPads gibt es übrigens keine Sicherheits-Apps. Weitere Informationen erhalten Sie in unserem Test Sicherheits-Apps.
Schwierigkeitsgrad
Zeitaufwand
2. Sicherheitsupdates: So bleiben PC und Handy auf dem neuesten Stand
Updates sind lästig, aber wichtig. Sie aktualisieren die Software und stopfen Sicherheitslücken. Alle Geräte mit Internetzugang sollten regelmäßig Updates erhalten, etwa Computer, Handys, Router und Smart-Home-Geräte. Bei PC und Smartphone müssen vor allem die Betriebssysteme wie Windows, MacOS, Android und iOS auf dem neuesten Stand sein.
Automatisch aktualisieren. Nutzen Sie automatische Updates, damit sind Sie besser abgesichert und haben keine Arbeit. Auf PC und Handy ist die Automatik meist voreingestellt. Wann Ihr Rechner das letzte Update erhalten hat, sehen Sie bei Windows in den Einstellungen unter „Update und Sicherheit“.
Zügig zustimmen. Das Herunterladen großer Betriebssystem-Updates müssen Nutzer bestätigen, viele drücken sich aber davor und tun sich damit keinen Gefallen. Reagieren Sie zügig, wenn Sie zum Download eines Updates aufgefordert werden!
Wachsam sein. Stutzig sollten Sie werden, wenn Sie auf Ihrem Smartphone schon lange keine Update-Benachrichtigung mehr erhalten haben. Nicht alle Handy-Anbieter stellen über einen längeren Zeitraum Updates zur Verfügung. Am zuverlässigsten sind Google und Apple. Andere Anbieter vernachlässigen preiswerte Geräte und Mittelklassemodelle häufig schon kurz nach Markteinführung. Ihre Besitzer merken oft nicht, dass ihr Gerät Angriffsflächen für Hacker bietet (siehe Smartphone-Test).
Daten sichern. Viele Handy-Updates werden installiert, ohne dass Sie es merken. Das Datum Ihres letzten System-Updates finden Sie in den Handy-Einstellungen. Ist es länger als zwei Monate her, liefert Ihr Anbieter wohl nicht mehr regelmäßig. Wenn Sie Ihr Handy dennoch weiter nutzen wollen, sichern Sie unbedingt kontinuierlich Fotos und andere wichtige Daten auf externen Speichermedien oder in der Cloud. Ihre Apps erhalten über den App-Store automatisch Updates, schneller geht es teils, wenn Sie sie selbst im Store-Menü aktualisieren.
Schwierigkeitsgrad
Zeitaufwand
3. Passwörter: Wie Sie starke Kennwörter erstellen
Überall ein anderes. Verwenden Sie für jedes Onlineportal ein separates Passwort! Falls Sie dasselbe Kennwort auf mehreren Plattformen nutzen, kann ein Angreifer, der Ihr Katzenforums-Konto knackt, möglicherweise auch in Ihr Onlineshopping eindringen.
Lang, komplex, einprägsam. Je länger und komplexer ein Passwort ist, desto schwerer lässt es sich knacken. Am sichersten wäre es, stets mehr als 20 Zeichen zu nutzen, die keinen Sinn und keine erkennbare Struktur haben. Dem steht leider die Realität im Wege, denn Sie müssen sich die Passwörter ja auch merken. Hier deshalb eine nicht perfekte, aber realisierbare Variante: Nehmen Sie mindestens acht Zeichen. Verzichten Sie auf Wörter aus dem Duden und auf Daten, die Fremde leicht ermitteln können – etwa Ihren Geburtstag oder den Namen Ihres Hundes.
Alternative: Basteln Sie einen Basis-Satz. Beispiel: Ihr Sohn heißt Alexander und lebt in Hamburg – Ihr Satz lautet daher „Unser erstes Kind Alexander wohnt in Hamburg“. Nehmen Sie von jedem Wort den ersten Buchstaben, aus „erstes“ machen Sie „1.“ Ihr Basis-Passwort wäre dann U1.KAwiH.
Variieren. Jetzt müssen Sie das Kennwort noch auf jeder Plattform variieren – etwa, indem Sie vom Portalnamen stets den dritten Buchstaben und die Zeichenanzahl einbeziehen. Beispiel: Der dritte Buchstabe von Netflix ist „t“ und „Netflix“ besteht aus sieben Zeichen. Ihr Netflix-Passwort hieße dann also U1.KAwiHt7.
Tipp: Klingt zu kompliziert? Passwortmanager nehmen Ihnen die Last ab, sich lauter komplexe Kennwörter merken zu müssen (siehe Tipp 4).
Geräte sperren. Schützen Sie all Ihre Computer und Handys mit Anmeldeverfahren – sonst können Fremde Daten stehlen, wenn sie Zugriff auf die Geräte haben. Wir empfehlen, auf den Fingerabdruck oder starke Passwörter zu setzen statt etwa auf Pin-Codes.
Risiko „Passwort zurücksetzen“. Wenn Sie Ihr Passwort für einen Onlinedienst zurücksetzen, weil Sie es vergessen haben, schickt Ihnen das jeweilige Portal meist eine E-Mail. Hat ein Fremder Zugriff auf Ihre E-Mails, kann er also Ihre Passwörter ändern. Ihr E-Mail-Konto sollte daher besonders gut gesichert sein: etwa durch Zwei-Faktor-Authentifizierung (siehe Kasten unten) oder durch ein längeres Passwort. Sie können beispielsweise zum Basis-Passwort noch folgenden Satz ergänzen: „Mein Mail-Konto ist superduperextrasicher!“ Ihr Kennwort für ein GMX-Postfach würde dann zum Beispiel so lauten: U1.KAwiHx3MM-Kisdxs!
Risiko „Sicherheitsfrage“. Viele Portale stellen Ihnen Sicherheitsfragen, wenn Sie Ihr Passwort vergessen haben. Meiden Sie Fragen, deren Antworten Fremde leicht rausfinden können – etwa den Mädchennamen Ihrer Mutter.
Ändern ist out. Früher rieten Experten dazu, Passwörter regelmäßig zu ändern. Das erschwert es Ihnen allerdings, sich Ihre Kennwörter zu merken. Inzwischen gilt daher der Ratschlag, lieber einmal ein richtig starkes Passwort zu wählen und dabei zu bleiben, solange es nicht geknackt wird.
Schwierigkeitsgrad
Zeitaufwand
Standards vermeiden
Bei Ihrem Router hat der Hersteller das Passwort „12345678“ eingestellt? Ihre Webcam trägt das Kennwort „password“, „0000“ oder „admin“? So leicht erratbare Standard-Passwörter machen es Angreifern einfach – deshalb sollten Sie sie ändern. Ist bei einem Ihrer vernetzten Geräte kein Passwort voreingestellt, sollten Sie, sofern möglich, unbedingt eines einrichten.
Zwei Faktoren, doppelter Schutz
Dass ein Angreifer Ihr Passwort erfährt, kann durchaus passieren, ohne dass Sie etwas falsch gemacht haben – etwa, wenn eine Online-Datenbank gehackt wird. Mithilfe der Zwei-Faktor-Authentifizierung (2FA) können Sie dafür sorgen, dass das Passwort allein dem Angreifer nichts nützt. Fürs Anmelden bei einem Dienst ist dann zum Beispiel noch ein einmaliger Zahlencode nötig, der auf Ihr Handy geschickt wird. In diesen Fällen käme der Hacker nur an Ihre Konten, wenn er auch noch Zugriff auf Ihr Handy hätte. Falls vorhanden, lässt sich 2FA in den Einstellungen des jeweiligen Dienstes oder Geräts aktivieren.
4. Passwortmanager: Bequem und sicher zugleich
Sicherheit im Abo. Passwortmanager nehmen Ihnen langfristig viel Arbeit ab und erhöhen die Sicherheit. Die Programme können ellenlange, komplexe Passwörter für Ihre Onlinekonten generieren, die viel stärker sind als menschengemachte Kennwörter. Dass Ihre neuen Passwörter ruhig aus 30 oder noch mehr Zeichen bestehen dürfen, liegt daran, dass Sie sie nicht mehr im Kopf haben müssen. Das übernimmt der Manager: Er speichert Ihre Login-Daten und gibt sie eigenständig bei Internetportalen ein. In unserem jüngsten Passwortmanager-Test schnitten drei Programme gut ab. Das beste war Keeper Security, es kostet im Jahresabo 36 Euro. Gut waren auch 1Password (38 Euro pro Jahr) und das kostenlose KeePass, das allerdings solides Technikwissen voraussetzt.
Vorsicht bei Browsern. Einige Browser bieten ebenfalls Passwortmanagement-Funktionen: Wenn Sie sich auf Internetseiten anmelden, fragt Ihr Browser oft, ob er die Login-Daten speichern soll. Das ist bequem, aber riskant: Unter Umständen können Dritte, die Zugang zum von Ihnen verwendeten Gerät haben, Ihre Passwörter im Klartext einsehen. Verzichten Sie lieber darauf, Passwörter im Browser zu speichern – oder legen Sie in den Browsereinstellungen ein Masterpasswort fest, das Ihre Login-Daten vor Fremden schützt.
Schwierigkeitsgrad
Zeitaufwand
5. Router: So schützen Sie Ihr Heimnetz
Daheim gehen wir via Router ins Netz, über ihn können Hacker Privates abfangen. Sichern Sie Ihr Heimnetz mit wenigen Klicks im Router-Menü. Geben Sie dazu am PC in die Browser-Adressleiste die IP-Adresse des Routers ein – sie steht meist auf der Rückseite des Geräts. Bei einer Fritzbox genügt es, im Browser fritz.box einzutragen.
WLan verschlüsseln. Wählen Sie im Router-Menü die Verschlüsselungstechnik WPA2 – meist ist sie bereits voreingestellt.
Passwörter ändern. Ersetzen Sie ein vorgegebenes, aber simples Router- oder WLan-Passwort durch stärkere Kennwörter (siehe Tipp 3).
Namen ersetzen. Denken Sie sich einen neuen Namen für Ihr WLan-Netzwerk (SSID) aus. So können Angreifer keine Rückschlüsse auf das verwendete Gerät ziehen.
Tipp: Viele Router können ein virtuelles privates Netzwerk (VPN) aufbauen, das Sie beim Surfen im öffentlichen WLan vor Hackern schützt (siehe Tipp 9).
Schwierigkeitsgrad
Zeitaufwand
6. Fernzugriff auf Daten: Vertrauen oder Kontrolle
Zwei Lösungen. Falls Sie immer und überall Zugriff auf Ihre Daten haben wollen, können Sie sie in der Cloud von Anbietern wie Web.de, Google und Apple ablegen – oder zu Hause auf Netzwerkfestplatten (NAS).
Clouds: Kontrolle abgeben, auf Experten vertrauen
Clouds sind deutlich leichter zu bedienen als NAS – sie sind aber auch attraktivere Angriffsziele für Hacker, da dort Daten von Millionen Nutzern lagern. Neben Hackern könnten unter Umständen auch Mitarbeiter der Dienste auf die Daten zugreifen. Bei Clouds ist letztlich Vertrauen gefragt: Sie geben die Kontrolle ab und müssen hoffen, dass der Anbieter die Datenwolke vernünftig absichert. Die gute Nachricht: In unserem letzten Test von Cloud-Diensten erreichten neun von elf Anbietern im Prüfpunkt „Datensicherheit“ die Noten Gut oder Sehr gut. Das Abgeben der Kontrolle hat auch Vorteile: Anders als bei NAS brauchen Sie sich nicht selbst um die Sicherheit zu kümmern – das übernehmen die IT-Experten der Anbieter. Sie können aber für zusätzliche Sicherheit sorgen, indem Sie starke Passwörter wählen, die Zwei-Faktor-Authentifizierung nutzen oder die Dateien vor dem Upload verschlüsseln. Im letzten Test fiel der Anbieter Mega in dieser Hinsicht positiv auf, da er automatisch alle Dateien vor dem Hochladen verschlüsselt. Selbst wenn Angreifern ein Mega-Hack gelingen sollte, könnten sie also wenig mit den Daten anfangen.
Schwierigkeitsgrad
Zeitaufwand
Netzwerkfestplatten: Kontrolle behalten, auf sich selbst vertrauen
Falls Sie auf Netzwerkfestplatten setzen, behalten Sie die Kontrolle über Ihre Daten, müssen sich aber selbst um die Sicherheit kümmern. Am besten ist es, in den Geräte-Einstellungen festzulegen, dass die Sicherheitsupdates der Anbieter stets automatisch installiert werden. Gerade bei älteren NAS könnten Anbieter allerdings eine geringere Motivation haben, ständig Updates zu erstellen, als es bei Cloud-Anbietern der Fall ist.
Schwierigkeitsgrad
Zeitaufwand
7. Phishing: Abfischen von Daten verhindern
Vorsicht bei Links in E-Mails. Früher waren Phishing-Mails oft leicht zu erkennen: etwa weil sie viele Schreibfehler enthielten oder vermeintlich von einem Prinzen aus Nigeria stammten. Inzwischen wirken die Nachrichten der „Phisher“ aber häufig wie authentische Mails von Amazon, Apple oder anderen Firmen. Antivirensoftware bietet einen gewissen Schutz vor Phishing, kann Ihnen aber nicht die gesamte Arbeit abnehmen. Die wichtigste Regel: Klicken Sie nicht auf Links in Mails, wenn Sie nicht absolut sicher sein können, dass der Absender der ist, der er zu sein vorgibt. Solche Links führen oft zu gefälschten Seiten, die aussehen wie bekannte Internetportale. Dort werden Sie aufgefordert, Ihre Anmeldedaten einzugeben, damit die Phisher sie abgreifen können. Außerdem sollten Sie nicht auf Mails antworten, die nach Ihren Passwörtern oder Zahlungsdaten verlangen. Seriöse Firmen würden so sensible Daten nicht über E-Mails abfragen.
Fragwürdige Absender erkennen. Lassen Sie sich die E-Mail-Adresse des Absenders vollständig anzeigen. Endet sie bei einer angeblichen Nachricht von Paypal nicht auf @paypal.de oder @paypal.com, sondern etwa auf @paypal-online.com oder @pay-pal.de, handelt es sich wahrscheinlich um eine Fälschung. Besuchen Sie in solchen Fällen direkt das jeweilige Portal. Nutzen Sie dazu nicht den Link in der Mail, sondern geben Sie die Adresse des Portals im Browser ein oder rufen Sie es über Lesezeichen, Suchmaschinen oder die offizielle App auf. Kontaktieren Sie den Kundenservice oder checken Sie, ob in Ihrem Nutzerkonto ähnliche Hinweise auftauchen wie in der E-Mail.
Fragwürdige Links erkennen. Der Link in der Mail kann täuschen: Möglicherweise steckt eine ganz andere Adresse dahinter als die, die Ihnen angezeigt wird. Um die tatsächliche Adresse zu ermitteln, fahren Sie mit der Maus über den Link, ohne ihn anzuklicken. Unten im Browser erscheint nun eine Zeile, in der Sie die reale Adresse sehen. Führt der Link aus einer angeblichen Microsoft-Mail nicht auf eine microsoft.com-Seite, sondern etwa auf microsoft-shop.zw, können Sie die Mail löschen. Das gilt auch bei Links, die nicht mit „https“ beginnen, obwohl die jeweilige Seite Sie nach persönlichen Daten fragt. Das „s“ in „https“ steht für Verschlüsselung – auf unverschlüsselten Seiten sollten Sie nie persönliche Daten eingeben.
Schwierigkeitsgrad
Zeitaufwand
Skepsis auch bei Bekannten
Phishing-Gefahr besteht nicht nur bei Nachrichten von Unbekannten und Firmen. In letzter Zeit häufen sich Fälle, in denen Nutzer E-Mails oder Social-Media-Nachrichten erhalten, die scheinbar von ihrem Chef oder Freunden stammen, sich aber später als Fälschungen entpuppen. Darin verlangt der Absender dringend nach Zahlungs-, Anmelde- oder Kontaktdaten, etwa weil angeblich Sicherheitslücken oder technische Probleme aufgetreten seien. Nehmen Sie sich die Zeit, Kollegen, Freunde oder Verwandte anzurufen, um zu fragen, ob sie tatsächlich eine solche Nachricht verschickt haben.
8. Smart Home: Vor lauter „smart“ das „sicher“ nicht vergessen
Spielzeug für Hacker. Millionen von vernetzten Geräten lassen sich ohne großen Aufwand aus der Ferne kapern, da sie unzureichend gesichert sind. Unter Umständen können Angreifer Ihre Babycam übers Internet fernsteuern, Ihr smartes Türschloss zum Öffnen der Haustür bewegen oder gar das Lenksystem Ihres vernetzten Autos während der Fahrt manipulieren. Für die Sicherheit von netzwerkfähigen Geräten wie Lautsprecher, Fernseher oder Alarmanlagen müssen vor allem die Anbieter sorgen. Leider ist auf die Firmen aber nicht immer Verlass, da sie neue Geräte oft möglichst schnell und günstig auf den Markt bringen wollen.
Schutzmaßnahmen. Sie können zur Sicherheit beitragen, indem Sie in den Geräte-Einstellungen festlegen, dass Sicherheitsupdates automatisch installiert werden. Ersetzen Sie Standard-Passwörter wie „0000“ oder „1234“ durch stärkere und richten Sie, sofern möglich, Kennwörter ein, wenn der Hersteller keine vergeben hat. Aktivieren Sie, falls vorhanden, die Zwei-Faktor-Authentifizierung. Wollen Sie aus der Ferne auf Ihre Smart-Home-Geräte zugreifen, dann ist es sinnvoll, dies per VPN-Verbindung zu tun (siehe Tipp 9). Hilfreich ist auch, mit dem Router ein separates WLan-Netz für smarte Geräte einzurichten, das vom WLan für Ihre Computer und Handys getrennt ist. Kapert ein Hacker dann etwa Ihren smarten Lautsprecher, kann er zumindest nicht auch noch auf Ihre PCs, Handys und Tablets zugreifen. Eine weitere Schutzmaßnahme ist besonders einfach: Schalten Sie vernetzte Geräte ab, wenn Sie sie gerade nicht benutzen.
Schwierigkeitsgrad
Zeitaufwand
Muss das sein?
Neben Sicherheitslücken bringen vernetzte Geräte oft noch weitere Probleme mit sich: Manche belauschen oder beobachten Sie, andere fallen bei Netzwerkproblemen komplett aus, wieder andere werden nach ein paar Jahren nutzlos, weil der Anbieter den damit verbundenen Cloud-Dienst einstellt. Viele vernetzte Produkte sind noch nicht ausgereift – Zurückhaltung und Abwarten lohnen sich. „Dumme“ Geräte sind oft die schlauere Wahl.
9. Offenes WLan: Setzen Sie im Hotel und Café die Tarnkappe auf
WLan gibt es an öffentlichen Orten wie Restaurants oder Hotels oft kostenlos. Einfach anmelden und Datenvolumen sparen – verlockend. Beliebt sind „offene WLan-Netze“ auch bei Hackern, sie wittern hier fette Beute.
Nicht arglos sein. Zwar sind viele Apps und Webseiten mittlerweile sehr gut verschlüsselt, ein versierter Hacker nimmt aber auch diese Hürde. Mit Spezialtechnik sitzt er etwa neben Ihnen im Café und gaukelt ein offenes WLan vor, in das Sie sich einloggen. Auf diese Weise greift er Ihre Daten exklusiv ab, ohne dass Sie es merken.
Keine Passwörter eingeben. Nutzen Sie im offenen WLan nur Apps und Internetseiten, bei denen Sie sich nicht mit Passwort anmelden müssen. Mal schnell die neuesten Schlagzeilen checken, ist okay. Bei Amazon einkaufen oder via Onlinebanking eine Rechnung bezahlen, ist riskant. Meiden Sie auch harmlose Seiten mit Login, wenn Sie dasselbe Passwort für mehrere Dienste verwenden. Dann reicht Hackern das Kennwort für die Sport-App, um in wichtigere Konten einzubrechen.
Mails sind heikel. Rufen Sie im offenen WLan möglichst nicht Ihre E-Mails ab. Wer Ihr Mailkonto ausspäht, kann die Passwörter all Ihrer Internetkonten zurücksetzen, da die Funktion „Passwort vergessen“ direkt zum Mailkonto weiterleitet.
Unsichtbar machen. Sicher surfen Sie im offenen WLan über ein virtuelles privates Netzwerk (VPN). Das VPN baut eine verschlüsselte Verbindung auf, verändert Ihre IP-Adresse und schützt Sie wie eine Tarnkappe vor neugierigen Hackern. Das klappt meist sogar im Ausland, etwa im WLan des Urlaubshotels. Komfortabel sind kommerzielle VPN-Dienste oder Browser mit integriertem Gratis-VPN wie Opera. Sie können ein VPN aber auch selbst über Ihren heimischen Router aufbauen. Anleitungen für eine Fritzbox finden Sie unter avm.de/vpn.
Schwierigkeitsgrad
Zeitaufwand
10. Hack-Check: Klarheit in einer Minute
Wurden Sie gekapert? Der renommierte australische Sicherheitsforscher Troy Hunt (haveibeenpwned.com) und die Informatiker des Hasso-Plattner-Instituts in Potsdam (sec.hpi.de/ilc) prüfen kostenlos, ob Sie Opfer bekannter Hacks oder Sicherheitslücken geworden sind. Auf den oben genannten Internetseiten können Sie Ihre E-Mail-Adresse eingeben – die Seite teilt Ihnen dann mit, ob Ihre Daten bereits gekapert wurden. Falls ja, sollten Sie die Passwörter für alle Dienste ändern, bei denen Sie sich mit dem betreffenden E-Mail-Konto anmelden.
Verraten Sie nichts! Seien Sie aber misstrauisch bei unbekannten Seiten, die prüfen wollen, wie sicher Ihr Passwort ist. Meist stammen die nicht aus offizieller Quelle, das Impressum weist Firmen oder Privatpersonen aus. Geben Sie Passwörter nie leichtfertig preis!
Räumen Sie auf. Löschen Sie alte Internetkonten, die Sie nicht mehr nutzen, das macht Sie weniger angreifbar. Die Webseite justdelete.me hilft dabei.
Schwierigkeitsgrad
Zeitaufwand
