Wie halten Sie es mit Ihrer Datensicherheit?

Der ERGO Risiko-Report hat es gezeigt: Viele der mehr als 3.000 befragten Deutschen könnten mehr für ihre persönliche Datensicherheit tun. Doch was genau? Wir haben dazu unseren IT-Sicherheitsexperten Sebastian Spooren befragt.

Der ERGO Risiko-Report ist eine deutschlandweite Studie zu Risikokompetenz und Eigenverantwortung der Deutschen. Dabei wurden über 3.000 Menschen repräsentativ zu den Themen Gesundheit, Sicherheit, Geld, Digitalisierung und Alter befragt. Schwerpunkt war das Thema Alter. In einem der Fragengebiete ging es um das Thema Datensicherheit, zu dem wir Sebastian Spooren von der ERGO Informationssicherheit interviewt haben.

Herr Spooren, wie geht es Ihnen, wenn Sie hören, dass nur etwa ein Drittel der Befragten regelmäßig ihr Passwort verändern?

Spooren: Wie oft ich ein Passwort ändern sollte, hängt von dem Schutzbedarf der damit gesicherten Informationen ab. Wenn jemand versucht, mein Passwort durch Blicke über die Schulter zu erspähen oder mittels technischer Programme zu erbeuten, bekomme ich das oftmals nicht oder zu spät mit. Geht es dabei um einen abonnierten Newsletter, ist das meines Erachtens nicht kritisch. Wenn jedoch das Passwort von meinem E-Mail-Konto in die Hände Dritter gelangt, kann jemand meine Identität vortäuschen und unter meinem Namen viel Schaden anrichten. Das bedeutet, je höher der Schutzbedarf meiner Informationen ist, umso häufiger sollte ich mein Passwort ändern.

Neben dem Ändern von Passwörtern finde ich es umso wichtiger, für verschiedene Dienste unterschiedliche Passwörter zu verwenden. Dies machen viele Menschen aus Bequemlichkeit nicht. Gelangt nun ein Krimineller beispielsweise über eine technische Schwachstelle eines Newsletter-Service an meine Zugangsdaten, kann er sehr schnell auf meine Konten z. B. bei Amazon oder eBay zugreifen und Bestellungen unter meinem Namen aufgeben.

Welche Kriterien sollten Passwörter erfüllen, um wirklich sicher zu sein?

Spooren: Für ein gutes und damit, Stand heute, so genanntes starkes Passwort sollte ich folgende Kriterien berücksichtigen:

• Mindestens 12 Zeichen
• Kombination aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen
• Nichts so Offensichtliches wie Vornamen, feststehende Begriffe oder personenbezogene In-formationen wie Geburtsdaten oder Unternehmensnamen verwenden.

Je mehr dieser Kriterien ich beachte bzw. verschärfe (mehr Zeichen, größeres Alphabet), umso besser hält mein Passwort technischen Angriffen stand.

Die Studie zeigt, dass 80 Prozent der Befragten einen Virenscanner haben, 71 Prozent eine Firewall. Reichen Virenschutzprogramm und Personal Firewall aus? Was empfehlen Sie, um den privaten Rechner zu sichern? 

Spooren: Moderne Betriebssysteme enthalten oft bereits von Haus aus sowohl Virenschutzprogramm als auch Personal Firewall. Meines Erachtens reicht es aber nicht aus, sich auf diese beiden Komponenten zu verlassen. Zum einen gibt es neben diesen und kostenfreien Schutzprogrammen auch kommerzielle Lösungen. Diese bringen häufig einen erweiterten Schutzumfang mit und können so z. B. auch den Nutzer gezielt vor bestimmten Betrugsmaschen wie gefälschten Online-Banking Portalen warnen. Zum anderen ist es essentiell, dass ich Sicherheitsupdates sofort nach Erscheinen einspiele. Dies gilt sowohl für Updates meines Betriebssystems als auch meiner installierten Anwendungen.

Wir alle nutzen Smartphones, überall – was muss man beachten, damit die Informationen auf dem Smartphone nicht gehackt werden?

Spooren: Smartphones und Tablets sind gewissermaßen Computer im Hosentaschenformat. Deren Betriebssysteme sind meist so angelegt, dass Cyber-Kriminelle Schadsoftware nur sehr eingeschränkt platzieren können. Zusätzliche Schutzmaßnahmen von Drittherstellern, wie Virenschutzlösungen als App, sind in der Regel nicht erforderlich. Es ist jedoch unabdingbar, Sicherheitsupdates des Betriebssystems und von Apps regelmäßig zu installieren. Ein Smartphone habe ich im Gegensatz zu einem PC meist dabei. Das erhöht die Wahrscheinlichkeit, dass es gestohlen wird oder verloren geht. Besonders wichtig ist demnach ein angemessener Zugriffsschutz, sodass Dritte keinen Zugang zu sensiblen Informationen erhalten können. Ich sollte also darauf achten, dass ich ein möglichst gutes Passwort wähle und sich der Bildschirm nach möglichst kurzer Inaktivität automatisch sperrt. Darüber hinaus bieten moderne Smartphones zum einen eine verschlüsselte Ablage meiner gesamten Informationen und zum anderen die Möglichkeit, dass nach wenigen erfolglosen Entsperrversuchen sich alle Inhalte automatisch löschen. Solche Einstellungen sind zum Schutz meiner Daten sinnvoll und sollten neben regelmäßigen Datensicherungen vorgenommen werden.

Zum Thema Sicherheit in WLANs: Worauf sollte man achten? Und was muss man bei der Nutzung von öffentlichem WLANs beachten?

Spooren: Verbindungen zu einem WLAN sind idealerweise verschlüsselt, sodass Dritte keine Gelegenheit haben, Daten entsprechend mitzulesen oder zu manipulieren. Der Bereitsteller sollte den Verschlüsselungsstandard „WPA2“ und ein möglichst starkes Passwort dafür verwenden. Wenn ich selber ein WLAN bereitstelle, sollte die Kennung des WLANs keine Rückschlüsse auf technische Details wie Modellbezeichnung des Geräts, Orte oder Namen beinhalten. Darüber hinaus sollte der Zugang zur administrativen Oberfläche des WLAN-Access-Points ebenfalls mit einem starken Passwort gesichert sein.

Öffentliche WLANs können grundsätzlich verwendet werden, wenn hierbei einige Aspekte berücksichtigt werden. Machen Sie sich bewusst, dass:

• Sie in einem öffentlichen WLAN nicht alleine sind. Cyber-Kriminelle warten darauf, dass ihnen „jemand ins Netz geht“.
• ein Smartphone oder ein Notebook, das nicht über neueste Sicherheitsupdates verfügt, womöglich verwundbar ist und in einem öffentlichen Netz erfolgreich angegriffen werden kann.
• vertrauliche Informationen wie über Formulare eingegebene personenbezogene Daten stets verschlüsselt per „https“ ausgetauscht werden sollten, da sie sonst von Kriminellen einfach mitgelesen werden können.
• Anwendungen und Apps oftmals im Hintergrund permanent Daten austauschen. Wenn z.B. Ihre E-Mails unverschlüsselt abgerufen werden, ist es ein Leichtes für den Angreifer, fortan Ihr E-Mailkonto und damit Ihre digitale Identität zu übernehmen.

Von Ursula Lindenberg