Der Safer Internet Day (SID) findet bereits seit 2004 statt. Der Aktionstag soll das Bewusstsein für mehr Online-Sicherheit schärfen. Weltweit wird der SID vom europäischen Insafe-Netzwerk im Rahmen des CEF Telecom Programms der Europäischen Kommission koordiniert. In Deutschland setzt klicksafe den Aktionstag um. Mehr als 130 Länder beteiligen sich inzwischen weltweit am Safer Internet Day, um über die sichere und verantwortungsvolle Internetnutzung aufzuklären.
1. Betriebssystem aktuell halten
Es vergeht kaum ein Tag, ohne dass nicht über Sicherheitsvorfälle im Internet berichtet wird. Mal ist es eine Bank, deren Zwei-Faktor-Authentifizierung unzulänglich ist, mal sind es patchunwillige Administratoren, die ihre IT nicht rechtzeitig aktualisieren und so Hackerangriffe ermöglichen. Als erster Schutz vor ungebetenen Gästen sollten Nutzer also das Betriebssystem ihres verwendeten Geräts aktuell halten.
Während bei Desktop-Betriebssystemen wie Linux, macOS und Windows – mal abgesehen von einigen Problemen beim Update-Prozess – dies keine große Hürde darstellt, sieht es bei mobilen Geräten anders aus. Android-Smartphones erhalten im günstigsten Fall in der Regel nur drei Jahre Sicherheitsupdates. Wer sein Android-Gerät länger nutzen möchte, sollte daher zu einem Modell greifen, für das Custom Roms entwickelt werden. Dabei gilt: Je beliebter ein Gerät ist, desto größer ist die Chance, für das Modell eine alternative Firmware zu finden. So gibt es beispielsweise für das fast sieben Jahre alte Android-Smartphone Nexus 5 eine Rom auf Basis von Android 10 mit aktuellen Sicherheitsupdates.
iOS-Geräte werden in der Regel von Apple fünf Jahre lang mit Sicherheitsaktualisierungen versorgt. Da Apple sein Betriebssystem nicht offenlegt, gibt es keine alternativen Roms für iPhones und iPads. Hier muss man sich also mit den von Apple angebotenen Supportzeitraum zufriedengeben. Fünf Jahre sind allerdings für ein Mobilgerät eine lange Zeit, sodass in der Praxis vor Ende des Supportzeitraums Nutzer ihr iPhone oder iPad längst durch ein neueres Modell ausgetauscht haben dürften.
Allerdings ist ein Betriebssystem ohne aktuelle Sicherheitspatches nicht per se unsicher. Wie der deutsche Sicherheitsspezialist Karsten Nohl ausführt, seien fehlende Sicherheitsupdates nicht ausreichend, um ein Android-Smartphone zu kompromittieren. Grund dafür seien die hohe Komplexität und die Sicherheitsmechanismen des Betriebssystems.
„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagte Nohl im Gespräch mit Spiegel Online. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“
Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden, ergänzte Nohl. Nutzer, die keine aktuelle Android-Version haben beziehungsweise keine aktuelle Sicherheitspatch-Ebene, sollten also über die Installation einer Sicherheitslösung nachdenken.
2. Sichere Passwörter
Es ist für Hacker also einfacher, über Social Engineering oder andere Methoden an Zugangsdaten heranzukommen, als durch einen Angriff auf das Betriebssystem. Diesbezüglich liegt noch einiges im Argen.
Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen – Datengrundlage sind rund 500.000 Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2018 geleakt wurden.
Beim Blick auf die Top-Ten der meistgenutzten Passwörter wird klar, dass viele Nutzer es Angreifern sehr einfach machen. Auf Platz 1 rangiert der Evergreen „123456“, gefolgt von „12345“. Auch „passwort“ ist wieder in der Top-Liste vertreten.
Klar ist, dass bei diesen Passwörtern Hacker keine große Mühe haben, an private Daten von Nutzern heranzukommen.
Um es Hackern besonders schwer zu machen, sollten Anwender möglichst komplexe Passwörter verwenden. Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
Außerdem ist es keine gute Idee, ein und dasselbe Passwort für mehrere Online-Konten zu nutzen. Laut einer im Auftrag von Google von YouGov durchgeführten repräsentative Studie in 20 Ländern zum Thema „Sicherheit im Internet“ macht dies in Deutschland jedoch fast jeder Dritte Internetnutzer.
Für die Erstellung und Verwaltung von Passwörtern ist der Einsatz von Passwort-Managern wie Keepass (lokal) oder Lastpass (online) empfehlenswert.
3. Zwei-Faktor-Authentifizierung aktivieren
Ein zusätzlicher Schutz für Online-Konten bietet die sogenannte Zwei-Faktor-Authentifizierung. Das dürften die meisten Anwender schon vom Online-Banking kennen, bei dem beispielsweise zur Ausführung einer Überweisung neben Benutzernahme und Passwort ein zusätzlicher Faktor in Form einer TAN benötigt wird. Dadurch ist man in der Regel selbst dann geschützt, wenn Hacker im Besitz der Zugangsdaten sind.
Inzwischen kann man bei den meisten Online-Diensten eine Zwei-Faktor-Authentifizierung aktivieren. Besonders bequem lässt sich diese mit sogenannten Authenticator-Apps nutzen.
Auch wenn die Methode keine 100-prozentige Sicherheit bietet, erhöht sie dennoch das Sicherheitniveau beträchtlich. In Deutschland nutzen laut der Google-Studie nur etwa 17 Prozent der Internetnutzer eine Zwei-Faktor-Authentifizierung für ihre Online-Konten ‒ der europäische Durchschnitt liegt bei immerhin 20 Prozent. Hier herrscht also Nachholbedarf.
4. Nur Apps von vertrauenswürdigen Anbietern nutzen
Immer wieder finden sich in den offiziellen App Stores von Google und Apple Anwendungen, die lediglich für ihre Entwickler von Nutzen sind. Sei es durch missbräuchliche Nutzung von Ressourcen für das Schürfen von virtuellen Währungen, durch die Ausspähung von Nutzerdaten oder in Form von lästiger Werbung.
Die App BatterySaverMobi enthält den Banking-Trojaner Anubis. Sie nutzt ein angebliches System-Update, um die Malware zu installieren (Bild: Trend Micro).
Der Nutzer sollte also vor der Installation einer Anwendung besonders aufmerksam sein und sich fragen, ob die App unbedingt installiert werden muss. Einen ersten Anhaltspunkt bieten die Bewertungen in den jeweiligen App Stores. Hier sollte man zunächst die negativen Kommentare aufmerksam durchlesen. Handelt es sich um keinen bekannten Anbieter, empfiehlt sich außerdem noch eine kleine Online-Recherche durchzuführen.
Von schädlichen Anwendungen sind nicht nur die App Stores von Apple und Google betroffen. Auch Erweiterungen für Desktop-Browser können schadhaften Code enthalten. Erst kürzlich haben Sicherheitsforscher 200 Erweiterungen für Chrome und Firefox identifiziert, die Nutzerdaten ausspionieren. Auch hier gilt: Weniger ist mehr.
5. Werbung und Tracking begrenzen
Browser gehören zu den meistgenutzten Anwendungen. Leider hinterlassen diese Spuren, die Rückschlüsse auf die Identität des Nutzers ermöglichen. Wer sich vor Tracking und Werbung schützen möchte, sollte dabei nicht auf eine Variante setzen, deren Entwickler mit Internet-Werbung einen Großteil seiner Einkünfte erzielt. Wer dennoch auf Chrome nicht verzichten möchte, sollte die auf der Chromium-Engine basierenden Alternativen Brave, Iridium, Iron, Opera und Vivaldi näher begutachten. Selbstverständlich ist auch Firefox eine gute Alternative – vor allem, seit man dort DNS over HTTPs aktivieren kann.
Zudem sollte man auch darüber nachdenken, eine Suchmaschine zu verwenden, die die Privatsphäre seiner Nutzer achtet. Wer auf die Leistung der Google-Suche nicht verzichten möchte, ist mit Startpage gut beraten. Startpage verzichtet auf die Auswertung von Nutzerdaten und bietet daher keine personalisierte Werbung. Stattdessen erfolgt die Finanzierung über nicht-personalisierte Anzeigen. Suchmaschinen mit hohen Datenschutzrichtlinien sind außerdem Qwant und DuckDuckGo.
6. DNS-Server konfigurieren: Pi Hole, Blokada, Simple DNSCrypt, DNSCloak
Wer auf Netzwerkebene einen Tracking-Schutz realisieren möchte, kann für das Heimnetzwerk einen Raspberry Pi mit Pi Hole betreiben. Sicherheitsexperte Mike Kuketz hat hierfür eine Anleitung veröffentlicht.
Für Android-Anwender ist laut Kuketz die Open-Source-App Blokada eine gute Wahl, wenn es um die Vermeidung von Werbung und Trackern geht. Darin integriert sind auch alternative DNS-Server, die unter anderen von Adguard betrieben werden. Damit kann prinzipiell jedes Gerät wie PC, Android- und iOS-Smartphone konfiguriert werden, sodass Ad-Server nicht mehr erreicht werden.
Ähnliche Konzepte wie Blokade verfolgen Simple DNSCrypt für Windows und DNSCloak für iOS. Wer ein Smartphone mit Android 9 oder höher verwendet, benötigt gar kein zusätzliches Tool, um DNS-Anfragen zu verschlüsseln und einen DNS-Server mit integrierten Tracking- und Werbefilter zu nutzen. Mit der Funktion Privates DNS, die unter Einstellungen – Netzwerk & Internet konfiguriert wird, können Nutzer einen entsprechenden DNS-Server konfigurieren.
Quelle: Safer Internet Day: Identität und Privatsphäre schützen