In mehr als 100 Ländern ging es gestern darum, den Nutzern zu zeigen, wie sie sich sicherer im Netz bewegen können. 
Foto: getty/moment rf/Yuichiro Chino, HPI/Kay Herschelmann

Es ist noch immer so, dass schwache Zahlenreihen wie etwa „123456“ weltweit viel zu häufig genutzt werden. Die Kritik stammt von Christoph Meinel, er ist Direktor des Hasso-Plattner-Instituts und ein engagierter Wissenschaftler im Kampf um Datensicherheit. Aber was läuft sonst noch falsch? Ein Rückblick auf den „Safer Internet Day“, der am Dienstag in mehr als 100 Ländern mit vielfältigen Aktionen und Projekten gestaltet wurde.

Woher weiß ein Nutzer, dass er schon einmal Opfer eines Angriffs geworden ist, wenn das nicht umgehend aufgefallen ist?

Das lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner Mail-Adresse prüfen lassen, ob seine Identitätsdaten frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als zehn Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

Was lässt sich tun, um seine Mail-Accounts zu schützen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Drei-Sekunden-Sicherheits-Check. Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder Mail bedacht werden sollten, heißt es in einer Mitteilung. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet? In Kombination liefern diese Fragen einen Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails ist der Betreff bewusst vage formuliert, wie „hre Rechnung“, „Mahnung“ oder „Dringende Nachricht“, schreibt die Behörde weiter. Hier gilt es besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, insbesondere wenn Mail-Anhänge beigefügt sind. Erhält der Nutzer beispielsweise eine Mail mit dem Betreff „Rechnung“ von einem Online-Shop, bei dem er registriert ist, ohne dass eine Bestellung erwartet wird, könnte dies ein Hinweis für eine Spam-Mail sein. „Im Zweifelsfall sollten Nutzer vor dem Öffnen beim Absender nachfragen, ob er eine Mail geschickt hat“, rät das BSI.

Viele Internetnutzer verwalten bereits mehr als 100 Online-Konten – da fällt die Wahl viel zu oft auf Passwörter, die man sich leicht merken kann.“

Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam

Wann ist ein Passwort eigentlich sicher?

Darüber scheiden sich die Geister. In vielen Unternehmen müssen die Nutzer regelmäßig ihre Kennwörter ändern. Das sei häufig kontraproduktiv, erklärte vor einigen Tagen das nationale Sicherheitsinstitut der USA, kurz Nist genannt. Die Begründung: Wenn regelmäßig das Kennwort geändert wird, neigen die Nutzer dazu, simple Passwörter zu vergeben, die sich leicht merken lassen. Die wiederum sind für Programme schneller zu knacken.

Müssen komplexe Passwörter vergeben werden, könne man dagegen häufig beobachten, dass Nutzer ihre Kennwörter auf Zetteln notieren – auch das sei kontraproduktiv. Deshalb die Empfehlung, sich ein sicheres Passwort zu überlegen und das dann über einen längeren Zeitraum zu verwenden.

Einzige Ausnahme: Wurde der Nutzer oder das Unternehmen Opfer einer Cyberattacke, muss das Kennwort unverzüglich geändert werden. Wer viele komplexe Passwörter verwalten muss, sollte einen Blick auf Passwort-Manager werfen. Die meisten gibt es auch als App für die gängigen Smartphones.

Was kann man sonst noch tun?

Das Bundeskriminalamt empfiehlt, dass Betriebssystem, Browserversion, Firewall und Anti-Viren-Software der persönlichen Geräte stets auf dem neuesten Stand zu halten, indem die Software regelmäßig aktualisiert wird. Außerdem rät die Behörde dazu, Sicherungen (Back-ups) auf externen Datenträgern abzulegen, die ansonsten nicht mit dem privaten Rechner verbunden sind.

Melden die Unternehmen Fehler in ihren Systemen?

Das kommt häufig vor. Dell warnte noch gestern vor einer unsicheren Software aus eigenem Hause, die auf vielen Notebooks und Desktop-Rechnern des Herstellers installiert ist. Dabei handelt es sich um das Programm „Support Assist“, das notwendige und passende Treiber installieren und aktuell halten soll. In der Software wurde eine Schwachstelle entdeckt, die Angreifer aus der Ferne ausnutzen können, um etwa Schadcodes auf dem Rechner auszuführen. Dell rät betroffenen Kunden, so schnell wie möglich auf eine sichere Software-Version zu aktualisieren. Automatische Updates lösen das Problem, heißt es.

Gibt es konkrete Fälle, über die die Behörden zurzeit informieren?

Die Polizei in Nordrhein-Westfalen berichtete von einer 62-jährigen Frau, die in der vergangenen Woche per Mail eine Information über eine Passwort-Änderung für ihr Online-Auktionskonto erhielt. Es folgten weitere Mails im Minutentakt: Alles Bestellbestätigungen für Stifte, Musikboxen und vieles andere. Der Gesamtwert der Waren lag bei mehreren tausend Euro.

Wie sich herausstellte, hatte ein Unbefugter Zugriff auf ihr Konto genommen, das Passwort geändert und fleißig bestellt. Wie gut, dass die Frau am Abend ihre Mails gecheckt hat. Sie stornierte alle Käufe und informierte Verkäufer, das Online-Auktionshaus, ihren Zahlungsdienstleister und den Mailanbieter. Am nächsten Tag erstattete sie Anzeige bei der Polizei.

Was ist generell beim Online-Handel zu beachten?

Die Zahl der Shops steigt. Doch Nutzer sollten es sich nicht allzu bequem machen. Fake-Shops schießen wie Pilze aus dem Boden. Es gibt jede Menge gefälschte und gestohlene Ware. Mancher angebliche Shop ist auch auf die Daten der Kunden aus. Kunden sollten misstrauisch werden bei extrem günstigen Preisen. Vorsicht ist auch geboten bei Internet-Adressen mit doppelter Domain wie „com.de“. Auch ein fehlendes Impressum sollte nachdenklich stimmen. Manche Ganoven sind auch so dreist, dass sie Gütesiegel erfinden.

Was sagt die Politik am „Safer Internet Day“?

Bundesbildungsministerin Anja Karliczek fordert mehr Medienbildung in den Schulen. Die Medienkompetenz der Schüler sollte verstärkt gefördert werden, sagte sie der Deutschen Presseagentur. „Insbesondere die Lehrerinnen und Lehrer sollten hier weitergebildet werden.“ Karliczek verwies darauf, dass es bei der täglichen Informationsflut oft schwierig sei, Meinungen und Fakten zu unterscheiden.

„Klicksafe“, eine Initiative der Europäischen Union zur Förderung der Online-Kompetenz, brachte in der Berliner Friedensburg Oberschule Kinder und engagierte Politiker, Influencer und Interessenvertreter zusammen. „Kinder und Jugendliche brauchen auch einen zeitgemäßen Schutz in der digitalen Welt. Hierfür legen wir ein modernes Jugendmedienschutzgesetz vor, das auch die Anbieter in die Verantwortung nimmt“, sagte Juliane Seifert, Staatssekretärin im Bundesministerium für Familie, Senioren, Frauen und Jugend. (mit dpa)