Das neue Jahr ist erst wenige Tage alt und es ist noch Zeit, an guten Vorsätzen für 2018 zu feilen. Der Security-Anbieter Eset hat aus diesem Grund drei gefährliche Fehler zusammengestellt, auf die man nach Angaben des Unternehmens "für ein sicheres neues Jahr besser verzichten sollte".
Foto: melis - shutterstock.com
Alle Jahre wieder: Dieselben Passwort-Fehler
Als ersten Lapsus nennt Eset die Gewohnheit, schwache Passwörter mehrfach einzusetzen. "Viel zu viele Angriffe sind nur deswegen erfolgreich, weil User zu leichte Passwörter verwenden", so Thomas Uhlemann, Security Specialist bei Eset. Kriminelle nutzen nach seinen Angaben mittlerweile vollautomatische Tools, die einfache Wörter durchprobieren oder durch so genannte Wörterbuch-Attacken verschiedene Varianten testen.
Wer das gleiche Passwort für mehrere Webseiten verwende, mache es Cyber-Kriminellen "besonders einfach - egal, wie einfach oder schwer es ist". Uhlemann weiter: "Es kommt leider immer wieder vor, dass Internetanbieter gehackt und dabei die Login-Daten der Nutzer gestohlen werden."
Foto: Eset
Der Sicherheitsexperte empfiehlt deswegen, anstelle von Wörtern und Abkürzungen lieber einfach zu merkende, aber komplexere Phrasen zu verwenden. Als Beispiel nennt Uhlemann den Satz "Hier bei Facebook logge ich mich gern ein!" Anwender sollten einen vergleichbaren Satz ruhig inklusive der Groß- und Kleinschreibung sowie aller Leer- und Satzzeichen als Passwort verwenden. Das mache es leichter, sich die Passwörter zu merken und Angreifern die Arbeit zu erschweren.
Top Ten der schlechtesten Passwörter
Das Hasso-Plattner-Institut (HPI) mit Sitz in Potsdam hat eine "Top Ten deutscher Passwörter" veröffentlicht. Sie enthält die am häufigsten verwendeten Kennwörter. Am beliebtesten sind laut HPI "weiterhin schwache und unsichere Zahlenreihen" wie "123456". Aber auch "hallo" und "passwort" finden sich in der Liste, die auf einer Auswertung von knapp 13 Millionen deutschen E-Mail-Adressen basiert.
Das Institut empfiehlt, bei der Passwortwahl folgende Grundsätze zu beachten:
Lange Passwörter (> 15 Zeichen)
Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
Keine Wörter aus dem Wörterbuch
Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
Verwendung von Passwort-Managern
Regelmäßiges Wechseln
Zwei-Faktor-Authentifizierung aktivieren
Auch Uhlemann rät dazu, Zwei-Faktor-Authentifizierung zu verwenden, wann immer möglich. Viele große Webseiten wie Facebook, Twitter oder Amazon bieten sie bereits an. Dabei wird zusätzlich zu Benutzernamen und Passwort ein Einmal-Code verlangt, der beispielsweise per SMS oder App generiert werden kann. Das mache den Diebstahl von Login-Daten für die Angreifer nutzlos.
Die leidige Update-Frage: Veraltete Systeme und Programme
Mit der Zeit sammeln sich auf den meisten Computern immer mehr Programme an, die eigentlich nicht mehr benötigt werden. Das verlangsamt nicht nur auf Dauer das System, es bietet nach Aussage von Uhlemann auch eine Angriffsfläche für Cyber-Gangster, wenn die Anwendungen nicht mehr auf dem aktuellen Stand gehalten werden.
Das gelte insbesondere auch für veraltete Betriebssysteme wie Windows XP und Vista. Uhlemann empfiehlt deswegen, sich "die Zeit zu nehmen, Ihre Geräte auf alte, selten oder gar nie verwendete Software zu prüfen und zu überlegen, ob nicht die Zeit der Trennung - sprich Deinstallation - gekommen ist".
Wie wichtig Updates sind, zeigt auch die aktuelle Debatte um Meltdown und Spectre. Hinter diesen beiden Namen verbergen sich massive Sicherheitslücken in Chips von Intel, AMD und ARM. Zumindest teilweise lassen sie sich durch Aktualisierungen des Betriebssystems und der Firmware schließen.
Unbekannte Rufnummern: Wer hat angerufen?
Ein recht neues Phänomen sind so genannte Ping-Calls. Dabei lassen Kriminelle nach Angaben von Uhlemann das Telefon einmal klingeln und hoffen dann, dass der Angerufene aus Neugier zurückruft. "Die anrufenden Nummern sind solchen aus Deutschland täuschend ähnlich", kommentiert der Security-Spezialist. So denke man sich "im Eifer des verpassten Anrufs auch erst einmal nichts dabei". Die Rückrufe seien aber "immens teuer".
Er rät deswegen dazu, unbekannte Nummern zuerst im Internet zu überprüfen und im Zweifel nicht zurückzurufen. Uhlemann: "Wenn es wichtig ist, wird der Anrufer es wieder probieren." Dazu kommt noch eine andere Masche, die dem Experten aufgefallen ist: Mit gefälschten Umfrage-Anrufen versuchen Kriminelle Informationen herauszulocken. Das Ergebnis dieser Anrufe: "Im Anschluss erhalten die Angerufenen teure Handyverträge oder haben andere Einkäufe am Telefon getätigt, indem Ihre Antworten in ganz anderem Zusammenhang in ein Verkaufsgespräch geschnitten werden."
Telefonanrufe mit Umfragen oder Angeboten, den Handy-Tarif zu optimieren, sollten deshalb mit einem "Nein, auf Wiedersehen!" beendet werden. Wörter wie "Danke" oder "Nein, Danke" sollten vermieden werden, da sie "entsprechend geschickt zurechtgeschnitten" werden könnten. Anrufe von unbekannten Nummern sollten generell nur mit einem "Hallo" oder Vergleichbarem begonnen werden. Auf Fragen wie "Ist da Herr/Frau XY" sollte man nicht antworten, sondern zunächst fragen, worum es geht.