Fragen & Antworten
Wie kann ich verhindern, dass Ganoven im Internet meine Zugänge nutzen?
Fast jeder Anbieter im Internet verlangt heute ein Login und ein Passwort. Email-Provider, Amazon, Google, Ebay und viele mehr sind dabei. Leider ist häufig die einzige Hinderungsschwelle für Ganoven Ihr Passwort.
Die erste Regel, die Sie unbedingt beherzigen sollten ist: Verwenden Sie unterschiedliche Passwörter für jeden Anbieter!
Wie auch aus vielen Schadensfällen schon gelernt wurde, ist ein Passwort für alle Ihre Logins ein bitterer Fehler. Wenn jemand Ihr Passwort herausbekommen hat, dann stehen ihm alle Türen offen. Besonders wichtig ist das natürlich bei allen Anbietern, bei denen Ihre Daten, eventuell sogar Zahlungsdaten hinterlegt sind. Selbst wenn Ihr Passwort unknackbar wäre (was es praktisch nicht gibt), kann es immer noch passieren, dass die Passwortlisten bei einem Ihrer Anbieter gehackt werden und in falsche Hände kommen. Das passiert durchaus auch einmal bei rennomierten Firmen, wie zuletzt bei LinkedIn. Wenn dann dort die Passwortliste unverschlüsselt abgelegt wurde, sieht der Ganove Ihr Passwort direkt im Klartext. Wenn Sie dann dasselbe Passwort auch bei Amazon mit dort hinterlegten Zahlungsdaten verwenden, geht er danach auf Ihre Kosten dort einkaufen.
Der zweite Punkt betrifft die Passwörter an sich: Benutzen Sie keine "sprechenden" Passwörter!
Passwörter, die real vorkommende Wörter enthalten, werden in Sekundenschnelle geknackt. Einfach nur eine Zahl anzuhängen oder bestimmte Buchstaben durch ähnlich aussehende Zahlen zu ersetzten, hilft nur wenig. geheim.4 geht gar nicht, aber auch g3h31m.4 ist heute ein praktisch "offenes" Passwort. Leider ist es aber so, dass aktuell auch schon sehr kryptische Passwörter geknackt werden können, wie in der Zeitschrift c't berichtet wurde. Um sich ein möglichst sicheres Passwort erzeugen zu lassen, gibt es Passwortgeneratoren. Online ist hier einer verfügbar.
Nun widersprechen sich natürlich die beiden Empfehlungen dahingehend, dass absolut kryptische Passwörter und dann für jeden Anbieter auch noch ein anderes, nur sehr schwer zu behalten sind. Hier gibt es nun einen Trick, wie Sie es doch schaffen können:
Generieren Sie sich mit o.g. Tool ein Passwort mit mindestens 8 Zeichen Länge, besser 10 Zeichen. Bauen Sie auch noch das eine oder andere Sonderzeichen wie !$():; usw. ein.
Merken Sie sich dieses Passwort!
Hierzu ein guter Rat aus der c't: Stellen Sie Ihren Bildschirmschoner auf Passwortschutz ein und verwenden Sie dieses neue Passwort, Dann stellen Sie die Zeit, bis der Bildschirmschoner aktiv wird, auf 1 Minute ein. Jedesmal, wenn Sie kurz nichts an Ihrem PC machen, müssen Sie dann Ihr neues Passwort eingeben. Das ist zwar nervig, aber nach einem Tag kennen Sie es mit Sicherheit auswendig. Dann können Sie Ihren Bildschirmschoner ja wieder "befreien".
Danach erweitern Sie an bestimmten Stellen Ihr Passwort mit Buchstaben aus dem Namen des Anbieters.
Beispiel:
Generiertes Passwort: C8h!u7o;fu
Passwort für Amazon: nC8h!A7o;fu
Passwort für Google: eC8h!G7o;fu
Passwort für Ebay: yC8h!E7o;fu
Bitte nehmen Sie jetzt aber nicht genau diese Passwörter, sondern erzeugen Sie bitte Ihre eigenen.
Es gibt keine 100% Sicherheit, aber mit dieser Variante sind Sie auf einer relativ sicheren Seite. Gegen Geheimdienste dürfte das auch nicht helfen, aber wir reden hier von der durchaus sehr realen Gefahr, Ganoven in die Falle zu gehen, die heutzutage schon bestens organisiert sind.
Natürlich dürfen Sie niemals auf Links in Emails klicken, in denen Sie vermeintlich vom Anbieter aufgefordert werden, Ihre Daten und Ihr Passwort anzugeben. Diese sogenannten Phishing-Mails werden auch immer raffinierter und sehen mittlerweile schon recht realistisch aus. Gehen Sie immer nur direkt im Browser über den Ihnen bekannten Link zu dem jeweiligen Anbieter.
Eine andere Gefahr, wie man an Ihr Passwort kommt, sind natürlich auch Keylogger-Programme, die als Trojaner auf Ihren Rechner kommen und Ihre Tastatureingaben mitschneiden und versenden. Unabdingbar, um sich hier zu schützen, ist ein jederzeit aktueller Virenscanner. Wenn Sie das automatische Update der Virensignaturen nicht eingeschaltet haben, könnten Sie den Scanner auch ganz weglassen. Häufig sind bei neuen PCs Virenscanner vorinstalliert, die aber nur eine sehr begrenzte Zeit mit Updates versorgt werden. Wenn Sie dann nicht die Lizenz kaufen, läuft er zwar weiter, bekommt aber keine Updates mehr. Auch würde ich mittlerweile von den kostenlosen Virenscannern abraten, für die es auch eine Vollversion gibt. Diese sind meistens an entscheidenden Stellen abgespeckt, damit Sie natürlich das Vollprodukt kaufen. Das geht aber immer zu Lasten der Sicherheit.
Wenn Sie aktuell einen kostenlosen Virenscanner verwenden möchten, kann ich die Microsoft Security Essentials empfehlen. Die haben sich mittlerweile zu einer brauchbaren Sicherheitslösung gemausert und sind kostenlos. Wenn Sie diese installieren möchten, sollten Sie aber vorher unbedingt Ihren alten Virenscanner deinstallieren.
Linux und Apple-User können sich an dieser Stelle noch ein wenig zurücklehnen, denn Schadprogramme für diese Systeme sind aktuell selten. Leider ist man aber auch hier nicht mehr völlig sicher. Ein wichtiger Schutz ist hier wie auch bei Windows, immer die aktuellsten Versionen aller Programme und des Betriebssystems zu verwenden. Dort sind bekannte Sicherheitslücken geschlossen. Insbesondere gilt das für:
- Browser (Firefox, Chrome, Internet Explorer, Safari)
- Email-Programme (Outlook, Thunderbird, ...)
- Java (wenn nicht benötigt, besser komplett deinstallieren)
- Adobe Flash
- Adobe Acrobat Reader
Leider gibt es Schadsoftware mittlerweile auch für Smartphones und Tablets respektive Android und IOS. Ein ganz wichtiger Schutz auf allen Plattformen ist es auf jeden Fall, keine Email-Anhänge von unbekannten Versendern zu öffnen. Auch wenn die vermeintliche Rechnung von "Vodafone" oder anderen im Anhang viele hundert Euro beträgt, schauen Sie sich diese nicht an. Nur wenn Sie Vodafone-Kunde sind, diese per Mail zugeschickten Rechnungen kennen, diese so aussieht wie immer und auch das Datum der Zustellung passt, ist es wohl in Ordnung.
Mails von Firmen, mit denen Sie noch nie zu tun hatten, sofort löschen. Sollte tatsächlich eine echte Firma fälschlicherweise der Meinung sein, dass Sie etwas zu bezahlen hätten (vielleicht weil jemand Ihren Namen angegeben hatte), wird diese ihnen auch einen echten Brief schicken. Auf jeden Fall reagieren müssen Sie sowieso erst dann, wenn ein gerichtliches Mahnverfahren eröffnet wurde. Das kommt aber nicht per Email.