Daten­sicherheit 10 Tipps für sicheres Surfen

Daten­sicherheit spielt in vielen Tests der Stiftung Warentest eine große Rolle – denn was nützt der vielseitigste Router oder der prak­tischste Sprachassistent, wenn das Gerät nicht sicher ist? Wenn Sie eine gute Antiviren-Software, den besten Passwort-Manager oder den Testsieger unter den smarten Sicherheitssystemen kaufen, sind Sie schon mal auf dem richtigen Weg. Zusätzlich sollten Sie die 10 Daten­sicher­heits-Tipps der Stiftung Warentest gelesen haben. Dann wissen Sie genug, um Ihre Geräte und Daten besser zu schützen als der Groß­teil der Internetnutzer.

Das Wichtigste zuerst: Installieren Sie auf all Ihren Computern ein Antiviren­programm, sonst sind Sie leichte Beute für Angreifer aus dem Internet. Keines bietet hundert­prozentigen Schutz, eine gute Software wehrt aber einen Groß­teil der Viren, Würmer und Trojaner ab. Sicher­heits­programme sind heute schneller, besser und preis­werter denn je. Unseren taufrischen Testsieger von Avira für das Betriebs­system Wind­ows gibt es sogar kostenlos (Test Sicherheitssoftware)

Gratis abschirmen. Kostenlose Programme schützen genauso gut wie Bezahl­programme, nerven aber mit Werbung. Für Premium-Varianten zahlen Sie bis zu 70 Euro pro Jahr. Wissens­wert: Das in Microsoft Wind­ows integrierte Antiviren­programm Defender schützt nicht umfassend. Und: Apple-Nutzer werden seltener angegriffen, sollten sich aber gegen das Abfischen persönlicher Daten – etwa mithilfe gefälschter Mails – via Schutz­software wappnen.

Handy ist Kür. Bei Smartphones ist ein Antiviren­programm kein Muss: Sie haben bessere Sicher­heits­mecha­nismen. Eine Schutz­software erhöht die Sicherheit aber. Für iPhones und iPads gibt es übrigens keine Sicher­heits-Apps. Weitere Informationen erhalten Sie in unserem Test Sicherheits-Apps.

Schwierig­keits­grad

Zeit­aufwand

Updates sind lästig, aber wichtig. Sie aktualisieren die Software und stopfen Sicher­heits­lücken. Alle Geräte mit Internet­zugang sollten regel­mäßig Updates erhalten, etwa Computer, Handys, Router und Smart-Home-Geräte. Bei PC und Smartphone müssen vor allem die Betriebs­systeme wie Wind­ows, MacOS, Android und iOS auf dem neuesten Stand sein.

Auto­matisch aktualisieren. Nutzen Sie auto­matische Updates, damit sind Sie besser abge­sichert und haben keine Arbeit. Auf PC und Handy ist die Auto­matik meist voreinge­stellt. Wann Ihr Rechner das letzte Update erhalten hat, sehen Sie bei Wind­ows in den Einstel­lungen unter „Update und Sicherheit“.

Zügig zustimmen. Das Herunter­laden großer Betriebs­system-Updates müssen Nutzer bestätigen, viele drücken sich aber davor und tun sich damit keinen Gefallen. Reagieren Sie zügig, wenn Sie zum Download eines Updates aufgefordert werden!

Wach­sam sein. Stutzig sollten Sie werden, wenn Sie auf Ihrem Smartphone schon lange keine Update-Benach­richtigung mehr erhalten haben. Nicht alle Handy-Anbieter stellen über einen längeren Zeitraum Updates zur Verfügung. Am zuver­lässigsten sind Google und Apple. Andere Anbieter vernach­lässigen preis­werte Geräte und Mittel­klassemodelle häufig schon kurz nach Markt­einführung. Ihre Besitzer merken oft nicht, dass ihr Gerät Angriffs­flächen für Hacker bietet (siehe Smartphone-Test).

Daten sichern. Viele Handy-Updates werden installiert, ohne dass Sie es merken. Das Datum Ihres letzten System-Updates finden Sie in den Handy-Einstel­lungen. Ist es länger als zwei Monate her, liefert Ihr Anbieter wohl nicht mehr regel­mäßig. Wenn Sie Ihr Handy dennoch weiter nutzen wollen, sichern Sie unbe­dingt kontinuierlich Fotos und andere wichtige Daten auf externen Speichermedien oder in der Cloud. Ihre Apps erhalten über den App-Store auto­matisch Updates, schneller geht es teils, wenn Sie sie selbst im Store-Menü aktualisieren.

Schwierig­keits­grad

Zeit­aufwand

Über­all ein anderes. Verwenden Sie für jedes Onlineportal ein separates Pass­wort! Falls Sie dasselbe Kenn­wort auf mehreren Platt­formen nutzen, kann ein Angreifer, der Ihr Katzenforums-Konto knackt, möglicher­weise auch in Ihr Onlineshopping eindringen.

Lang, komplex, einpräg­sam. Je länger und komplexer ein Pass­wort ist, desto schwerer lässt es sich knacken. Am sichersten wäre es, stets mehr als 20 Zeichen zu nutzen, die keinen Sinn und keine erkenn­bare Struktur haben. Dem steht leider die Realität im Wege, denn Sie müssen sich die Pass­wörter ja auch merken. Hier deshalb eine nicht perfekte, aber realisier­bare Variante: Nehmen Sie mindestens acht Zeichen. Verzichten Sie auf Wörter aus dem Duden und auf Daten, die Fremde leicht ermitteln können – etwa Ihren Geburts­tag oder den Namen Ihres Hundes.

Alternative: Basteln Sie einen Basis-Satz. Beispiel: Ihr Sohn heißt Alexander und lebt in Hamburg – Ihr Satz lautet daher „Unser erstes Kind Alexander wohnt in Hamburg“. Nehmen Sie von jedem Wort den ersten Buch­staben, aus „erstes“ machen Sie „1.“ Ihr Basis-Pass­wort wäre dann U1.KAwiH.

Variieren. Jetzt müssen Sie das Kenn­wort noch auf jeder Platt­form variieren – etwa, indem Sie vom Portal­namen stets den dritten Buch­staben und die Zeichen­anzahl einbeziehen. Beispiel: Der dritte Buch­stabe von Netflix ist „t“ und „Netflix“ besteht aus sieben Zeichen. Ihr Netflix-Pass­wort hieße dann also U1.KAwiHt7.

Tipp: Klingt zu kompliziert? Pass­wort­manager nehmen Ihnen die Last ab, sich lauter komplexe Kenn­wörter merken zu müssen (siehe Tipp 4).

Geräte sperren. Schützen Sie all Ihre Computer und Handys mit Anmelde­verfahren – sonst können Fremde Daten stehlen, wenn sie Zugriff auf die Geräte haben. Wir empfehlen, auf den Finger­abdruck oder starke Pass­wörter zu setzen statt etwa auf Pin-Codes.

Risiko „Pass­wort zurück­setzen“. Wenn Sie Ihr Pass­wort für einen Online­dienst zurück­setzen, weil Sie es vergessen haben, schickt Ihnen das jeweilige Portal meist eine E-Mail. Hat ein Fremder Zugriff auf Ihre E-Mails, kann er also Ihre Pass­wörter ändern. Ihr E-Mail-Konto sollte daher besonders gut gesichert sein: etwa durch Zwei-Faktor-Authentifizierung (siehe Kasten unten) oder durch ein längeres Pass­wort. Sie können beispiels­weise zum Basis-Pass­wort noch folgenden Satz ergänzen: „Mein Mail-Konto ist superduperextrasicher!“ Ihr Kenn­wort für ein GMX-Post­fach würde dann zum Beispiel so lauten: U1.KAwiHx3MM-Kisdxs!

Risiko „Sicher­heits­frage“. Viele Portale stellen Ihnen Sicher­heits­fragen, wenn Sie Ihr Pass­wort vergessen haben. Meiden Sie Fragen, deren Antworten Fremde leicht rausfinden können – etwa den Mädchen­namen Ihrer Mutter.

Ändern ist out. Früher rieten Experten dazu, Pass­wörter regel­mäßig zu ändern. Das erschwert es Ihnen allerdings, sich Ihre Kenn­wörter zu merken. Inzwischen gilt daher der Ratschlag, lieber einmal ein richtig starkes Pass­wort zu wählen und dabei zu bleiben, solange es nicht geknackt wird.

Schwierig­keits­grad

Zeit­aufwand

Stan­dards vermeiden

Bei Ihrem Router hat der Hersteller das Pass­wort „12345678“ einge­stellt? Ihre Webcam trägt das Kenn­wort „pass­word“, „0000“ oder „admin“? So leicht errat­bare Stan­dard-Pass­wörter machen es Angreifern einfach – deshalb sollten Sie sie ändern. Ist bei einem Ihrer vernetzten Geräte kein Pass­wort voreinge­stellt, sollten Sie, sofern möglich, unbe­dingt eines einrichten.

Zwei Faktoren, doppelter Schutz

Dass ein Angreifer Ihr Pass­wort erfährt, kann durch­aus passieren, ohne dass Sie etwas falsch gemacht haben – etwa, wenn eine Online-Daten­bank gehackt wird. Mithilfe der Zwei-Faktor-Authentifizierung (2FA) können Sie dafür sorgen, dass das Pass­wort allein dem Angreifer nichts nützt. Fürs Anmelden bei einem Dienst ist dann zum Beispiel noch ein einmaliger Zahlencode nötig, der auf Ihr Handy geschickt wird. In diesen Fällen käme der Hacker nur an Ihre Konten, wenn er auch noch Zugriff auf Ihr Handy hätte. Falls vorhanden, lässt sich 2FA in den Einstel­lungen des jeweiligen Dienstes oder Geräts akti­vieren.

Sicherheit im Abo. Pass­wort­manager nehmen Ihnen lang­fristig viel Arbeit ab und erhöhen die Sicherheit. Die Programme können ellen­lange, komplexe Pass­wörter für Ihre Online­konten generieren, die viel stärker sind als menschen­gemachte Kenn­wörter. Dass Ihre neuen Pass­wörter ruhig aus 30 oder noch mehr Zeichen bestehen dürfen, liegt daran, dass Sie sie nicht mehr im Kopf haben müssen. Das über­nimmt der Manager: Er speichert Ihre Login-Daten und gibt sie eigen­ständig bei Internetportalen ein. In unserem jüngsten Passwortmanager-Test schnitten drei Programme gut ab. Das beste war Keeper Security, es kostet im Jahres­abo 36 Euro. Gut waren auch 1Pass­word (38 Euro pro Jahr) und das kostenlose KeePass, das allerdings solides Technikwissen voraus­setzt.

Vorsicht bei Browsern. Einige Browser bieten ebenfalls Pass­wort­management-Funk­tionen: Wenn Sie sich auf Internet­seiten anmelden, fragt Ihr Browser oft, ob er die Login-Daten speichern soll. Das ist bequem, aber riskant: Unter Umständen können Dritte, die Zugang zum von Ihnen verwendeten Gerät haben, Ihre Pass­wörter im Klar­text einsehen. Verzichten Sie lieber darauf, Pass­wörter im Browser zu speichern – oder legen Sie in den Browser­einstel­lungen ein Masterpass­wort fest, das Ihre Login-Daten vor Fremden schützt.

Schwierig­keits­grad

Zeit­aufwand

Daheim gehen wir via Router ins Netz, über ihn können Hacker Privates abfangen. Sichern Sie Ihr Heimnetz mit wenigen Klicks im Router-Menü. Geben Sie dazu am PC in die Browser-Adress­leiste die IP-Adresse des Routers ein – sie steht meist auf der Rück­seite des Geräts. Bei einer Fritzbox genügt es, im Browser fritz.box einzutragen. 

WLan verschlüsseln. Wählen Sie im Router-Menü die Verschlüsselungs­technik WPA2 – meist ist sie bereits voreinge­stellt. 

Pass­wörter ändern. Ersetzen Sie ein vorgegebenes, aber simples Router- oder WLan-Pass­wort durch stärkere Kenn­wörter (siehe Tipp 3).

Namen ersetzen. Denken Sie sich einen neuen Namen für Ihr WLan-Netz­werk (SSID) aus. So können Angreifer keine Rück­schlüsse auf das verwendete Gerät ziehen.

Tipp: Viele Router können ein virtuelles privates Netz­werk (VPN) aufbauen, das Sie beim Surfen im öffent­lichen WLan vor Hackern schützt (siehe Tipp 9).

Schwierig­keits­grad

Zeit­aufwand

Zwei Lösungen. Falls Sie immer und über­all Zugriff auf Ihre Daten haben wollen, können Sie sie in der Cloud von Anbietern wie Web.de, Google und Apple ablegen – oder zu Hause auf Netz­werk­fest­platten (NAS).

Schwierig­keits­grad

Zeit­aufwand

Schwierig­keits­grad

Zeit­aufwand

Vorsicht bei Links in E-Mails. Früher waren Phishing-Mails oft leicht zu erkennen: etwa weil sie viele Schreib­fehler enthielten oder vermeintlich von einem Prinzen aus Nigeria stammten. Inzwischen wirken die Nach­richten der „Phisher“ aber häufig wie authentische Mails von Amazon, Apple oder anderen Firmen. Antivirensoftware bietet einen gewissen Schutz vor Phishing, kann Ihnen aber nicht die gesamte Arbeit abnehmen. Die wichtigste Regel: Klicken Sie nicht auf Links in Mails, wenn Sie nicht absolut sicher sein können, dass der Absender der ist, der er zu sein vorgibt. Solche Links führen oft zu gefälschten Seiten, die aussehen wie bekannte Internetportale. Dort werden Sie aufgefordert, Ihre Anmelde­daten einzugeben, damit die Phisher sie abgreifen können. Außerdem sollten Sie nicht auf Mails antworten, die nach Ihren Pass­wörtern oder Zahlungs­daten verlangen. Seriöse Firmen würden so sensible Daten nicht über E-Mails abfragen.

Fragwürdige Absender erkennen. Lassen Sie sich die E-Mail-Adresse des Absenders voll­ständig anzeigen. Endet sie bei einer angeblichen Nach­richt von Paypal nicht auf @paypal.de oder @paypal.com, sondern etwa auf @paypal-online.com oder @pay-pal.de, handelt es sich wahr­scheinlich um eine Fälschung. Besuchen Sie in solchen Fällen direkt das jeweilige Portal. Nutzen Sie dazu nicht den Link in der Mail, sondern geben Sie die Adresse des Portals im Browser ein oder rufen Sie es über Lesezeichen, Such­maschinen oder die offizielle App auf. Kontaktieren Sie den Kunden­service oder checken Sie, ob in Ihrem Nutzer­konto ähnliche Hinweise auftauchen wie in der E-Mail.

Fragwürdige Links erkennen. Der Link in der Mail kann täuschen: Möglicher­weise steckt eine ganz andere Adresse dahinter als die, die Ihnen ange­zeigt wird. Um die tatsäch­liche Adresse zu ermitteln, fahren Sie mit der Maus über den Link, ohne ihn anzu­klicken. Unten im Browser erscheint nun eine Zeile, in der Sie die reale Adresse sehen. Führt der Link aus einer angeblichen Microsoft-Mail nicht auf eine microsoft.com-Seite, sondern etwa auf microsoft-shop.zw, können Sie die Mail löschen. Das gilt auch bei Links, die nicht mit „https“ beginnen, obwohl die jeweilige Seite Sie nach persönlichen Daten fragt. Das „s“ in „https“ steht für Verschlüsselung – auf unver­schlüsselten Seiten sollten Sie nie persönliche Daten eingeben.

Schwierig­keits­grad

Zeit­aufwand

Skepsis auch bei Bekannten

Phishing-Gefahr besteht nicht nur bei Nach­richten von Unbe­kannten und Firmen. In letzter Zeit häufen sich Fälle, in denen Nutzer E-Mails oder Social-Media-Nach­richten erhalten, die scheinbar von ihrem Chef oder Freunden stammen, sich aber später als Fälschungen entpuppen. Darin verlangt der Absender dringend nach Zahlungs-, Anmelde- oder Kontakt­daten, etwa weil angeblich Sicher­heits­lücken oder tech­nische Probleme aufgetreten seien. Nehmen Sie sich die Zeit, Kollegen, Freunde oder Verwandte anzu­rufen, um zu fragen, ob sie tatsäch­lich eine solche Nach­richt verschickt haben.

Spielzeug für Hacker. Millionen von vernetzten Geräten lassen sich ohne großen Aufwand aus der Ferne kapern, da sie unzu­reichend gesichert sind. Unter Umständen können Angreifer Ihre Babycam übers Internet fern­steuern, Ihr smartes Türschloss zum Öffnen der Haustür bewegen oder gar das Lenk­system Ihres vernetzten Autos während der Fahrt manipulieren. Für die Sicherheit von netz­werk­fähigen Geräten wie Laut­sprecher, Fernseher oder Alarm­anlagen müssen vor allem die Anbieter sorgen. Leider ist auf die Firmen aber nicht immer Verlass, da sie neue Geräte oft möglichst schnell und günstig auf den Markt bringen wollen.

Schutz­maßnahmen. Sie können zur Sicherheit beitragen, indem Sie in den Geräte-Einstel­lungen fest­legen, dass Sicher­heits­updates auto­matisch installiert werden. Ersetzen Sie Stan­dard-Pass­wörter wie „0000“ oder „1234“ durch stärkere und richten Sie, sofern möglich, Kenn­wörter ein, wenn der Hersteller keine vergeben hat. Akti­vieren Sie, falls vorhanden, die Zwei-Faktor-Authentifizierung. Wollen Sie aus der Ferne auf Ihre Smart-Home-Geräte zugreifen, dann ist es sinn­voll, dies per VPN-Verbindung zu tun (siehe Tipp 9). Hilf­reich ist auch, mit dem Router ein separates WLan-Netz für smarte Geräte einzurichten, das vom WLan für Ihre Computer und Handys getrennt ist. Kapert ein Hacker dann etwa Ihren smarten Laut­sprecher, kann er zumindest nicht auch noch auf Ihre PCs, Handys und Tablets zugreifen. Eine weitere Schutz­maßnahme ist besonders einfach: Schalten Sie vernetzte Geräte ab, wenn Sie sie gerade nicht benutzen.

Schwierig­keits­grad

Zeit­aufwand

Muss das sein?

Neben Sicher­heits­lücken bringen vernetzte Geräte oft noch weitere Probleme mit sich: Manche belauschen oder beob­achten Sie, andere fallen bei Netz­werk­problemen komplett aus, wieder andere werden nach ein paar Jahren nutzlos, weil der Anbieter den damit verbundenen Cloud-Dienst einstellt. Viele vernetzte Produkte sind noch nicht ausgereift – Zurück­haltung und Abwarten lohnen sich. „Dumme“ Geräte sind oft die schlauere Wahl.

WLan gibt es an öffent­lichen Orten wie Restaurants oder Hotels oft kostenlos. Einfach anmelden und Daten­volumen sparen – verlockend. Beliebt sind „offene WLan-Netze“ auch bei Hackern, sie wittern hier fette Beute.

Nicht arglos sein. Zwar sind viele Apps und Webseiten mitt­lerweile sehr gut verschlüsselt, ein versierter Hacker nimmt aber auch diese Hürde. Mit Spezial­technik sitzt er etwa neben Ihnen im Café und gaukelt ein offenes WLan vor, in das Sie sich einloggen. Auf diese Weise greift er Ihre Daten exklusiv ab, ohne dass Sie es merken.

Keine Pass­wörter eingeben. Nutzen Sie im offenen WLan nur Apps und Internet­seiten, bei denen Sie sich nicht mit Pass­wort anmelden müssen. Mal schnell die neuesten Schlagzeilen checken, ist okay. Bei Amazon einkaufen oder via Online­banking eine Rechnung bezahlen, ist riskant. Meiden Sie auch harmlose Seiten mit Login, wenn Sie dasselbe Pass­wort für mehrere Dienste verwenden. Dann reicht Hackern das Kenn­wort für die Sport-App, um in wichtigere Konten einzubrechen.

Mails sind heikel. Rufen Sie im offenen WLan möglichst nicht Ihre E-Mails ab. Wer Ihr Mail­konto ausspäht, kann die Pass­wörter all Ihrer Internet­konten zurück­setzen, da die Funk­tion „Pass­wort vergessen“ direkt zum Mail­konto weiterleitet.

Unsicht­bar machen. Sicher surfen Sie im offenen WLan über ein virtuelles privates Netz­werk (VPN). Das VPN baut eine verschlüsselte Verbindung auf, verändert Ihre IP-Adresse und schützt Sie wie eine Tarnkappe vor neugierigen Hackern. Das klappt meist sogar im Ausland, etwa im WLan des Urlaubs­hotels. Komfortabel sind kommerzielle VPN-Dienste oder Browser mit integriertem Gratis-VPN wie Opera. Sie können ein VPN aber auch selbst über Ihren heimischen Router aufbauen. Anleitungen für eine Fritzbox finden Sie unter avm.de/vpn.

Schwierig­keits­grad

Zeit­aufwand

Wurden Sie gekapert? Der renommierte australische Sicher­heits­forscher Troy Hunt (haveibeenpwned.com) und die Informatiker des Hasso-Plattner-Instituts in Potsdam (sec.hpi.de/ilc) prüfen kostenlos, ob Sie Opfer bekannter Hacks oder Sicher­heits­lücken geworden sind. Auf den oben genannten Internet­seiten können Sie Ihre E-Mail-Adresse eingeben – die Seite teilt Ihnen dann mit, ob Ihre Daten bereits gekapert wurden. Falls ja, sollten Sie die Pass­wörter für alle Dienste ändern, bei denen Sie sich mit dem betreffenden E-Mail-Konto anmelden.

Verraten Sie nichts! Seien Sie aber miss­trauisch bei unbe­kannten Seiten, die prüfen wollen, wie sicher Ihr Pass­wort ist. Meist stammen die nicht aus offizieller Quelle, das Impressum weist Firmen oder Privatpersonen aus. Geben Sie Pass­wörter nie leicht­fertig preis!

Räumen Sie auf. Löschen Sie alte Internet­konten, die Sie nicht mehr nutzen, das macht Sie weniger angreif­bar. Die Webseite justdelete.me hilft dabei.

Schwierig­keits­grad

Zeit­aufwand