5. Ein und dasselbe Passwort für alle Log-ins verwenden
Fehler: Wer für Anmeldungen bei Webseiten, Programmen und anderen geschützten Diensten stets dasselbe Passwort verwendet, öffnet dem Kontodiebstahl Tür und Tor.
Darum geht’s: Log-in-Daten zu Onlinediensten – das heißt die Kombination aus Benutzernamen und Passwort – werden leider immer wieder gestohlen. In vielen Fällen geschieht der Diebstahl der Daten gar nicht vom PC des Benutzers aus. Zumeist brechen Hacker in die Server großer Dienste ein und stehlen dort die Datenbank mit allen Log-in-Infos. Dies ist bereits bei Sony Playstation passiert, bei Adobe, Dropbox und zahlreichen weiteren Diensten.
So geht’s besser: Nutzen Sie einen Passwort-Manager wie den Online-Passwort-Manager Lastpass (auf Heft-DVD) oder den Offline-Passwort-Manager Keepass (auf Heft-DVD). Er hilft Ihnen, für jeden Dienst ein neues Passwort zu speichern. So kommt ein Hacker wenigstens nur an den Log-in eines Dienstes.
Tipp: Sie erhöhen die Sicherheit eines Log-ins deutlich, wenn Sie eine Zwei-Faktoren-Authentifizierung nutzen. Das muss der Dienst allerdings anbieten. Viele wichtige Dienste tun das aber bereits, etwa Paypal, Gmail, Outlook.com.
Bei einer solchen Zwei-Faktoren-oder Zwei-Wege-Anmeldung geben Sie zu Ihrem Passwort noch einen zusätzlichen Code ein, der alle paar Sekunden neu erstellt wird. Bei vielen Diens-ten erledigt das eine App. Empfehlenswert ist etwa Google Authenticator.
Besonders bequem ist die App Authenticator von Lastpass. Auch sie zeigt alle paar Sekunden einen Zusatzcode für die Log-ins an. Aufgrund einer Push-Funktion hin zum Browser-Plug-in von Lastpass müssen Sie diesen Zusatzcode nicht mehr eingeben. Ein Tipp auf Okay in der Lastpass-Authenticator-App genügt für die Anmeldung. Das ist einfach, bequem und immer noch deutlich sicherer, als keine Zwei-Faktoren-Authentifizierung zu nutzen.
6. Das Standardpasswort für Geräte nicht ändern
Fehler: Viele Geräte lassen sich über eine passwortgeschützte Weboberfläche konfigurieren oder anderweitig steuern. Das Passwort für den erforderlichen Log-in ist oft ein Standard-passwort. Jeder Hacker kann es in Erfahrung bringen und für einen Angriff nutzen.
Darum geht’s: Tatsächlich finden sich solche Standardpasswörter meistens nur für Log-ins in geschützten Bereichen. So ist die Weboberfläche Ihres Routers lediglich im lokalen Heimnetzwerk erreichbar. Aus dem Internet heraus kann ein Hacker sie nicht aufrufen. Zumindest normalerweise nicht. Doch finden die Angreifer immer wieder Wege, diese Beschränkung zu umgehen. Beim Beispiel Router geht das etwa über eine manipulierte Website. Konnte der Hacker zudem noch eine Schwachstelle im Browser des Opfers ausnutzen, greift er über die Website und das Heimnetz auf den Router zu, gibt dort automatisiert das Standardpasswort ein und hat danach Zugriff auf den Router. Das wiederum bringt ihn in Ihr komplettes Heimnetzwerk. Teilweise ist der Umweg über eine manipulierte Webseite und eine Browser-Lücke gar nicht erforderlich. Wenn der Hacker im Router selbst eine Schwachstelle findet, dann kann er ihn direkt aus dem Internet heraus übernehmen. Das geschieht gerade reihenweise bei IoT-Geräten, etwa IP-Kameras. Sie werden von dem Schadcode Mirai übernommen, der dem Sicherheitsforscher Brian Krebs zufolge (https://krebsonsecurity.com) die Kombination aus Standardpasswort und -nutzernamen von 69 Geräten kennt. Darunter sind zum Beispiel auch IP-Kameras und Router der Hersteller Dahua, Hisilicon und Mobotix.
Das Netzwerk an gekaperten Geräten, das Mirai bildet, wurde schon zwei Mal für DDos-Angriffe gegen Webseiten genutzt. Englischsprachige Infos dazu unter www.pcwelt.de/XSSBRG.
So geht’s besser: Jedes Gerät, das Sie mit Ihrem Heimnetz oder direkt mit dem Internet verbinden, sollte kein Standardpasswort mehr haben. Es ist zwar mühsam, jedes neue Gerät auf einen Standard-Log-in hin zu kontrollieren, aber ein wichtiger Schutz gegen Hacker-Angriffe. Schauen Sie deshalb in das Handbuch Ih-res Routers, der IP-Kamera oder der smarten Glühbirne. Zusätzlich empfiehlt sich eine Suche im Internet mit dem Namen des Gerätes und den Stichwörtern „password login“. Haben Sie herausgefunden, ob es einen Standard-Log-in gibt, dann ändern Sie diesen.
7. Werbung für extrem günstige Geräte anklicken
Fehler: Sie entdecken beim Surfen Werbung für ein tolles Gerät, etwa ein iPad, das nur 30 Euro kosten soll, und Sie klicken darauf.
Darum geht’s: Nahezu immer werden Sie nach diesem Klick auf einer Website landen, die nur an Ihren persönlichen Daten interessiert ist oder gar versucht, einen Virus auf Ihr System zu schieben. Zumindest werden Sie jedoch mit Werbung bombardiert, die dem Urheber der 30-Euro-iPad-Webseite Geld einbringt, Ihnen aber meist gar nichts nutzt. Neben unglaublich günstigen Geräten locken die Macher oft mit Gewinnspielen, bei denen sich Geld oder wiederum ein tolles Gerät gewinnen lässt.
So geht’s besser: Wenn etwas zu gut klingt, um wahr zu sein, ist es das in der Regel nicht. Diese Binsenweisheit gilt natürlich auch im Internet. Suchen Sie günstige Preise deshalb lieber über Preissuchmaschinen.
Mittlerweile gibt es außerdem etliche Webseiten, die vor Fake-News, falschen Gewinnspielen und Hoax-Nachrichten warnen. Wenn Sie etwa bei www.mimikama.at vorbeischauen, bekommen Sie recht schnell ein Gefühl dafür, wie die falschen Gewinnspiele heute aufgemacht sind. Die Site ermittelt allerdings auch wahre, kuriose Geschichten. So ist etwa die Meldung, dass in einer japanischen Eislaufbahn 5000 Fische eingefroren wurden, Mimikama zufolge wahr (https://goo.gl/qg4KyX).
Tipp: Für eingefleischte Amazon-Fans ist ein eigener Preiswecker erhältlich. Auf der Website www.meinpreiswecker.de suchen Sie nach dem begehrten Produkt entweder per Namen oder mit seiner EAN-oder ASIN-Nummer (Amazon Standard Identification Number). Diese fin-den sich auf der Amazon-Seite des Produkts. Im nächsten Schritt legen Sie Ihren Wunschpreis bei Meinpreiswecker.de fest und werden im Anschluss daran per Mail informiert, wenn der Preis weit genug gefallen ist. (PC-Welt)