Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Smartphones sind unser Tor ins Internet. bild: shutterstock

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

Zehn goldene Regeln, die dein Smartphone sicherer machen.



In Smartphones stecken unermessliche Datenschätze. Seien es Fotos, Chatprotokolle, Banking-Daten, Bewegungsprofile oder anderes. Damit die gespeicherten Daten so sicher wie möglich bleiben, brauchst du keine Virenscanner-App, solltest aber die folgenden Ratschläge beherzigen.

Einiges davon hast du vermutlich schon mehrfach gehört, und hoffentlich auch umgesetzt. Falls dem so ist, betrachte die folgende Übersicht als Kontrollliste oder «Anleitung zur digitalen Selbstverteidigung».

Verriegle dein Handy

Müssen wir das wirklich noch sagen? Ja, in einer Welt, in der das meist genutzte Passwort «123456» ist, müssen wir. Noch immer verzichten viel zu viele Leute darauf, ihr mit Abstand wichtigstes Alltagsgerät mit einem sicheren Passwort zu schützen.

Klar, 50 bis 100 Mal am Tag den PIN-Code eintippen kann nerven, aber bei praktisch allen neueren Handys kann man sich auch schnell und bequem per Fingerabdrucksensor oder Gesichtsscan anmelden. Das Einrichten dauert maximal 30 Sekunden und die biometrischen Daten werden lokal auf dem Gerät gespeichert.

Auch PIN, Fingerabdruck oder Gesichtsscan bieten zwar keine hundertprozentige Sicherheit, sind aber das absolute Minimum, um das eigene Gerät zu schützen.

Bild

Tipp: Beim Entsperren des Telefons per Gesichtserkennung kann man bei Android-Geräten zwischen einer schnelleren, dafür weniger sicheren oder einer langsameren, dafür sicheren Methode wählen. Es empfiehlt sich die «Schnelle Erkennung» zu deaktivieren. screenshot: watson

Android-Smartphones und iPhones lassen sich so einstellen, dass sie erst einige Zeit nach der letzten Verwendung wieder entsperrt werden müssen. Das ist bequem, aber unsicher.

Am besten stellt man das Gerät so ein, dass es sich rasch wieder sperrt und nutzt für das schnelle Entsperren den Fingerabdruck oder die Gesichtserkennung.

Ebenfalls potenziell unsicher sind «Smart Lock»-Einstellungen, die das Handy an einem «vertrauenswürdigen Ort» – typischerweise in der eigenen Wohnung – automatisch entsperrt lassen.

Surfe so anonym wie möglich

Vom Webbrowser und seinen Einstellungen hängt massgeblich ab, wie viele Spuren wir beim Surfen im Netz hinterlassen. Das Problem: Vorinstallierte Browser wie Chrome (Google), Safari (Apple) oder Edge (Microsoft) dienen den kommerziellen Interessen der jeweiligen Hersteller.

«Da der Quellcode nicht vollständig offen, die Bauweise des Programms also nicht geklärt ist, lässt sich nicht überprüfen, welche Informationen im Hintergrund gesammelt werden», erklärt der Ratgeber «Eine kurze Anleitung zur digitalen Selbstverteidigung». Er wurde gemeinsam von der WOZ, dem Chaos Computer Club Schweiz, dem Konsumentenschutz und der Digitalen Gesellschaft veröffentlicht.

Die Autoren empfehlen statt Chrome und Co. Open-Source-Alternativen wie Firefox oder Brave.

Der Browser Brave blockiert Werbung, lässt die Nutzer besuchte Webseiten aber unterstützen ...

Bild

screenshot: watson

... indem sie mit einem Klick ein einmaliges oder monatliches «Trinkgeld» überweisen.

Bild

Das Überweisen eines Betrages funktioniert nur bei Webseiten, die sich bei Brave als Medium verifiziert haben. screenshot: watson

Brave ist eine schnelle, nutzerfreundliche Open-Source-Variante von Google Chrome, die sich ganz dem Datenschutz verschrieben hat. Das Spezielle an Brave: Der Browser lässt den User Werbung und Tracker blockieren, die Nutzer können den besuchten Webseiten aber ein «Trinkgeld» überweisen.

Das Geld dafür stammt aus «nicht aufdringlicher Werbung», die Brave anzeigt, ohne das Nutzungsverhalten zu verfolgen. Der Browser nutzt hierzu einen eigenen Werbedienst.

Für die angezeigte Werbung erhalten Browser-Nutzer und Brave selbst jeweils 15 Prozent und die Webseitenbetreiber bis zu 70 Prozent der Einnahmen.

Lässt man also einen Teil der Werbung zu, wird man dafür mit einer virtuellen Währung belohnt, die man mit einem Klick an seine Lieblings-Webseiten überweisen kann.

Als Brave-Nutzer kann man gezielt Webseiten unterstützen – auch mit eigenem Geld – oder in den Einstellungen festlegen, dass die Werbeieinnahmen automatisch auf die besuchten Webseiten verteilt werden. Diese können die virtuelle Währung (BAT) in eine beliebige Währung umtauschen.

Das Problem: Da Brave nur rund drei Millionen Nutzer zählt, haben sich erst wenige Webseiten angemeldet, die man finanziell unterstützen kann: etwa «The Guardian», «Washington Post» oder das deutsche Techportal Golem.

Brave ist nicht unumstritten. Einige Medien bezeichnen den Browser als illegal, da er ihre Werbung filtert und trotzdem mit ihren Artikeln sowie «eigener» Werbung Geld verdient.

Auf Android-Smartphones lassen sich alternative Browser wie Firefox oder Brave als Standardbrowser einrichten. Bei iOS kann man zwar andere Browser als Safari verwenden, aber diese nicht als Standardbrowser festlegen.

Brave ist auch für Windows, macOS und Linux verfügbar. Weiterführende Informationen zu Brave gibt es hier.

Eine weitere, besonders sichere, aber auch langsame Alternative zu Chrome, Safari und Co. ist der Tor-Browser. Hier wird der Datenverkehr über zufällige Knotenpunkte des weltweiten Tor-Netzwerkes geleitet.

Mit Tor lässt sich kaum bzw. nur mit sehr grossem Aufwand nachverfolgen, wer auf welche Webseite zugreift. Ein Restrisiko, «mitgelesen» zu werden, bleibt also auch bei Tor, da insbesondere grosse Geheimdienste die Ressourcen haben dürften, Teile des Tor-Netzwerks zu überwachen.

Anonymer im Netz surfen – einfach erklärt

abspielen

Das Video erklärt, wie das Tor-Netzwerk funktioniert. Video: YouTube/alexanderlehmann

Surfe mit VPN (vor allem im öffentlichen WLAN)

Öffentliche WLAN-Verbindungen im Café, am Bahnhof oder im ÖV sind praktisch, aber nicht ungefährlich. In einem offenen ungeschützten Netzwerk kann theoretisch jeder den Datenverkehr mitlesen – der WLAN-Betreiber, Geheimdienste, Datenhändler oder Kriminelle.

Gewissen Schutz gegen Lauschangriffe in öffentlichen WLANs bieten VPN-Dienste. Hat man auf dem Handy eine VPN-App aktiviert, surft man über eine verschlüsselte Verbindung des VPN-Anbieters, was Angriffe massiv erschwert.

VPN-Dienste sind zunehmend auch eine beliebte, einfach einzurichtende Anonymisierungs-Möglichkeit: Die virtuellen privaten Netzwerke erlauben es, die eigene IP-Adresse nach aussen zu verschleiern, sprich anonymer zu surfen.

Man muss sich aber bewusst sein, dass unseriöse Anbieter den Datenverkehr teils mitlesen und für beliebige Zwecke missbrauchen können. Man sollte sich entsprechend gut informieren, welche Anbieter als seriös gelten.

Viele Firmen und Hochschulen bieten einen eigenen VPN-Service an. Bekannte VPN-Anbieter für Privatnutzer sind:

Das deutsche Techportal heise.de empfiehlt für Private vor allem CyberghostVPN und Avira Phantom VPN.

Wichtig: Eine hun­dert­pro­zen­tige Sicherheit für die Anonymität sowie für den Datenschutz kann kein VPN-Anbieter garantieren, auch wenn er auf seiner Webseite aus Marketinggründen anderes behauptet.

Die gute Nachricht: In Zeiten von Datenflatrates und immer günstigeren Roaming-Tarifen gibt es auch weniger Gründe, sich in potenziell unsicheren WLANs anzumelden.

Aktiviere die zweistufige Anmeldung (Passwort plus Einmal-Code) für E-Mail, Facebook etc.

Auch wenn es manchmal etwas nervt: Die Zwei-Faktor-Authentifizierung (Anmeldung in zwei Schritten) erhöht die Sicherheit des Logins enorm. Dabei ist das Passwort die erste Hürde, der Einmal-Code die zweite. Möchte man sich einloggen, kommt man erst in das Konto rein, wenn man auch den Code eingegeben hat, den man per SMS zugeschickt bekommt. Meist kann man dabei das eigene Gerät als vertrauenswürdig angeben, so dass man sich zum Beispiel nur alle 30 Tage per Zusatz-Code anmelden muss.

Alternativ bieten auch immer mehr Apps und Websites die Authentifizierung via spezieller Apps an. Dabei wird der nötige Code von einer Authenticator-App per Zufall generiert und muss innerhalb einiger Sekunden eingegeben werden, bevor er ungültig wird.

Grosse Firmen wie Google, Facebook, Microsoft oder Apple bieten die sichere Zwei-Faktor-Authentifizierung schon lange an. Auch GMX ermöglicht neuerdings die Anmeldung in zwei Schritten. Den zusätzlichen Schutz sollte man auf jeden Fall beim E-Mail-Konto aktivieren, da Angreifer über ein gehacktes E-Mail-Konto zig weitere persönliche Konten übernehmen können (siehe Punkt 5).

Beliebte Apps für Einmal-Codes sind der Google Authenticator sowie der Microsoft Authenticator.

Verwende einen Passwortmanager

Eigentlich sollte der Einsatz eines Passwortmanagers so selbstverständlich sein wie der PIN-Code bzw. der Fingerabdruck für die Smartphone-Sperre.

Bild

Passwortmanager können für jede Website und App wirklich sichere Kennwörter erstellen und merken. Der Nutzer muss sich nur EIN Masterpasswort merken. bild: lastpass

Für jedes Online-Konto brauchen wir ein separates Passwort: Diese Regel predigen Sicherheitsexperten seit Jahren. Falls mal wieder ein Web-Dienst gehackt wird und zig Millionen Passwörter in die Hände von kriminellen Hackern fallen, sind so nicht gleich alle Daten in Gefahr. Natürlich hält sich fast niemand daran, da wir uns so viele Passwörter kaum merken können. Das muss man aber auch nicht, denn dafür gibt es spezielle Apps, sogenannte Passwortmanager.

Ein Passwortmanager erstellt wirklich sichere Passwörter und füllt Loginfenster automatisch aus. Passwort-Manager wie LastPass, 1Password und Keepass merken sich also Passwörter für E-Mail, Facebook, Netflix, Onlineshops etc. und melden den Nutzer bei den entsprechenden Apps und Webseiten automatisch an. Man muss sich nur noch das Masterpasswort für den Passwort-Manager merken. Zentral ist, dass man ein einzigartiges und sehr sicheres Masterpasswort wählt, das man sonst nirgends verwendet.

Nutzt man den gleichen Passwortmanager auf mehreren Geräten, hat man jederzeit Zugriff auf alle Konten. Für Smartphones gibt es Passwortmanager-Apps, auf dem Desktop-PC kann man etwa Browser-Erweiterungen installieren.

So funktionieren Passwortmanager

abspielen

Video: YouTube/1Password

Auch die besonders sichere Zwei-Faktor-Anmeldung («Anmeldung in zwei Schritten») ist bei Passwortmanagern möglich und empfehlenswert. Um auf den Passwortmanager zuzugreifen, muss man so nicht nur das Masterpasswort eingeben, sondern zusätzlich einen Code. Solche Einmal-Codes werden von Authenticator-Apps von bekannten Firmen wie Google oder Microsoft erstellt.

Und wenn der Passwortmanager gehackt wird? Die Passwörter werden verschlüsselt gespeichert. Dadurch wäre ein Entschlüsseln eventuell gestohlener Passwörter extrem zeitaufwendig. Im schlimmsten Fall würde der Passwortmanager die Passwörter zurücksetzen. Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist dies allemal.

Wer trotz aller Vorteile keinen Passwortmanager nutzt, sollte unbedingt darauf achten, dass zumindest das Passwort für den E-Mail-Account einzigartig und absolut sicher ist.

Warum? Bei vielen Online-Diensten kann man das Passwort zurücksetzen, indem man sich einen Link an die eigene E-Mail-Adresse schicken lässt, mit dem man dann ein neues Passwort erstellen kann. Hat also jemand den Zugang zu deinem E-Mail-Konto, kann sich derjenige problemlos den Zugang zu vielen deiner anderen Konten verschaffen.

Beliebte Passwortmanager sind:

Installiere nur vertrauenswürdige Apps

Dass man Apps nur aus den offiziellen App-Stores beziehen sollte, hat sich inzwischen herumgesprochen. Leider kommt es bei inzwischen über zwei Millionen Apps immer wieder vor, dass es Kopien bekannter Apps, die mit Schadcode versehen sind, in die App-Stores von Apple und Google schaffen.

Bei den Fake-Apps handelt es sich oft um Fitnesstracker, VPN-Dienste, Virenscanner oder Games, die angeblich nur mit In-App-Käufen den vollen Funktionsumfang liefern. Beliebt ist auch der Abofallen-Trick, bei dem Nutzer zum Abschluss eines massiv überteuerten Abos verführt werden.

Für die ersten 7 Tage gratis, oder doch nicht?

Bild

Wer hier nur «Free Trial» liest und zu schnell mit dem Fingerabdruck bestätigt, übersieht, dass das man bereits für die ersten sieben Tage 99 (!) US-Dollar zahlt. bild: via giga

Seit es App-Stores gibt, versuchen Betrüger mit immer neuen Maschen die User abzuzocken. Apple und Google gehen zwar dagegen vor, aber schlussendlich ist es ein Katz-und-Maus-Spiel, bei dem die Betrüger immer einen Schritt voraus sind.

Besonders tückisch waren Ende 2018 entdeckte Scamming-Apps, die versuchten, User dazu zu bewegen, ihren Finger auf den Home-Button zu legen, während ein Fake-Prozess – zum Beispiel das angebliche Erkennen der Herzfrequenz – durchgeführt wurde.

Angezeigt wurde dabei eine Animation. Im Hintergrund startete die bösartige App dann eine Bezahlanfrage für einen In-App-Kauf. «Da der Finger der Nutzer auf dem Home-Knopf verblieb, wurde die Zahlung bestätigt, was teilweise sehr schnell erfolgte und von manchem User übersehen werden konnte», schreibt heise.de.

Dagegen hilft nur eines: Aufmerksam sein, die Finger von unbekannten Apps lassen oder – wenn man nicht darauf verzichten mag – zumindest die Rezensionen zur App lesen und eine kurze Netz-Recherche durchführen.

Entziehe Apps den Zugang zur Kamera, zum Mikrofon etc.

Klar, die Telefon-App muss auf Mikrofon und die Kontakte zugreifen können – eine Taschenlampen-App aber beispielsweise nicht.

Oft ist es allerdings nicht so leicht, zu erkennen, welche Zugriffsrechte tatsächlich notwendig sind. Warum braucht etwa eine News-App wie watson Zugriff auf die Kamera oder den Speicher?

Bild

screenshot: watson

watson und andere News-Apps funktionieren auch ohne Kamera- oder Speicher-Zugriff, allerdings kann man dann mit der App kein «Leser-Reporter»-Foto knipsen bzw. aus der Foto-App auswählen.

Auf der sicheren Seite ist, wer nur die notwendigsten Apps installiert und die Zugriffsrechte auf ein Minimum beschränkt. Braucht eine App zwingend Zugriff auf das Mikrofon – etwa wenn man über WhatsApp einen Anruf tätigen möchte – kann man die Berechtigung später immer noch erteilen.

Gut zu wissen: In den App-Einstellungen kann man für jede App einsehen, welche Berechtigungen sie hat und allenfalls nachjustieren. Wenn man es mit den Einschränkungen zu weit treibt, kann es sein, dass eine App nicht mehr richtig funktioniert, kaputt machen kann man so aber nichts.

Kommuniziere über einen verschlüsselten Messenger

Was viele nicht wissen: Die alten Mobilfunknetze hatten von Anfang an Sicherheitslücken, die es Behörden erlauben, Gespräche von potenziell Kriminellen mitzuhören oder SMS mitzulesen. Die EU will nun auch im neuen 5G-Netz Hintertüren einbauen lassen, damit die Strafverfolger im eigentlich viel sicheren 5G-Netz ihre Überwachungsmöglichkeiten nicht verlieren. Solche Hintertüren könnten allerdings auch von Kriminellen ausgenutzt werden. Dagegen kann man sich nur schützen, indem man verschlüsselt kommuniziert.

Die gute Nachricht: Inzwischen nutzen fast alle bei uns populären Messenger-Apps eine sichere Ende-zu-Ende-Verschlüsselung. Bei WhatsApp, Threema, Telegram, iMessage oder Facebook Messenger können selbst die App-Entwickler die Nachrichten nicht mitlesen. Das ist eine massive Verbesserung gegenüber der alten SMS, die unverschlüsselt übermittelt wird.

Die schlechte Nachricht: Es gilt das Gleiche wie bei den Webbrowsern (Punkt 2): Wenn der Quellcode nicht vollständig offen ist, lassen sich nicht alle Behauptungen der Hersteller durch unabhängige Experten überprüfen.

Die «Digitale Gesellschaft» hat die Sicherheit von Messenger-Apps im Vergleich zu E-Mail, SMS etc. Ende 2016 analysiert und empfiehlt vor allem Threema und Signal. Die Untersuchung ist zwar drei Jahre alt, laut den Autoren ist das Ergebnis aber «grundsätzlich noch gültig», wie es auf Anfrage heisst.

Erkenne Phishing-Angriffe

Das ist leichter gesagt, als getan. Phishing-Angriffe, mit denen es Kriminelle auf das Passwort und weitere persönliche Daten der User abgesehen haben, kommen heute meist so raffiniert daher, dass sie praktisch nicht zu erkennen sind. Sie erfolgen oft über perfekt kopierte Webseiten oder Apps.

Ein Beispiel:

Eine dieser beiden Passwort-Abfragen kommt von Apple, die andere stiehlt dein Apple-ID-Passwort.

Wer gewohnt ist, oft sein Apple-ID-Passwort einzugeben, fällt leicht auf ein betrügerisches Formular herein.

Für Phishing-Angriffe werden nicht nur gut gefälschte E-Mails bekannter Firmen oder Behörden genutzt, sondern immer häufiger auch solche SMS:

Wer auf den Link in einer Phishing-SMS klickt, gelangt auf eine gefälschte bzw. kopierte Login-Seite, die der echten Webseite eins zu eins gleicht. Die Betrüger hinter den Fake-Seiten bekannter Firmen versuchen E-Mail, Handynummer, Kreditkartennummer etc. abzugreifen.

Eine dieser beiden Passwort-Abfragen kommt von Anibis, die andere stiehlt dein Passwort. Klicke auf das Bild, um die gefälschte Webseite zu sehen:

Die bösartige Kopie verrät sich durch eine andere Internet-Adresse mit der Endung .com statt .ch.

Wer auf dieser Fake-Seite seine Kreditkartennummer eintippte, übergab sie direkt den Betrügern

Bild

bild: watson user

Einen guten Schutz gegen Phishing-Angriffe bietet die Zwei-Faktor-Authentifizierung, also die Anmeldung in zwei Schritten mit Passwort und einem zusätzlich auf das Handy geschickten Einmal-Code (siehe Punkt 4).

So erkennst du Phishing-Angriffe

Noch besser ist natürlich, wenn man Phishing-Mails und -SMS frühzeitig erkennt. Doch das wird immer schwieriger:

Updates! Updates! Updates!

Bild

Fehler in Betriebssystemen führen immer wieder dazu, dass Angreifer jene Handy-Nutzer, die ihre Geräte nicht aktualisieren, ausspionieren können. screenshot: watson

Ob iOS oder Android, in beiden Betriebssystemen stecken unzählige Sicherheitslücken und mit jeder neuen Funktion, die Apple und Google einbauen, tun sich potenziell neue Hintertüren für Angreifer auf. Umso wichtiger ist es, dass von Sicherheitsexperten gefundene und an Apple und Google gemeldete Lücken rasch per Update geschlossen werden.

Auch wenn es Apple und Google nicht an die grosse Glocke hängen, sie schliessen still und leise kritische Lücken in iOS und Android. Sätze wie «Das Update XY erhöht die Sicherheit ihres Systems» heissen im Klartext: «Uns wurde eine kritische Lücke gemeldet, die wir nun gestopft haben. Du solltest das Update sofort installieren, da sie von Hackern bereits ausgenutzt wird bzw. es nur eine Frage der Zeit ist, bis es passiert.»

Verwendete Quellen:

Die bösartigsten Computer-Attacken aller Zeiten

Immer mehr Jugendliche erhalten sexuelle Avancen im Netz

Play Icon

Android, Windows, Sicherheitslücken und Malware

Windows 7 nähert sich Support-Ende – ab 2020 wirds gefährlich

Link zum Artikel

Wer eine dieser 13 Apps installiert hat, hat ein Malware-Problem!

Link zum Artikel

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Link zum Artikel

Swisscom warnt vor Fake-Rechnungen – es lauert ein Windows-Trojaner

Link zum Artikel

Mit diesen fiesen Tricks kommen Hacker an dein Geld – und so schützt du dich

Link zum Artikel

Porndroid: Diese Trojaner-App erpresst Android-Nutzer mit Kinderpornos

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

42
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
42Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Redback 14.06.2019 20:48
    Highlight Highlight Ich benutze den Schlüsselbund vom iPhone. Dort bin ich mir sehr sicher das die Daten sicher sind. Alles sicher?
  • SGR 13.06.2019 20:23
    Highlight Highlight Ich nutze momentan noch Keepass als Passwortmanager und synchronisiere meine Geräte (auch Kontakte) via eigener Cloud zu Hause (Nextcloud auf Raspberry Pi).
    Allerdings wird mir die Pflege dieses Systems langsam aber sicher zuviel. Darum suche ich nach einer einfacheren Aternative. Möchte bei Keepass bleiben aber die ganze Cloudgeschichte zu Hause muss nicht mehr sein.
    Welchen Clouddienst würdet ihr mir empfehlen für Kontakte und Keepass ? Fotos werden bei mir nicht synchronisiert. Von daher wäre ich mit weniger Speicherplatz glücklich.
  • Ueli der Knecht 13.06.2019 16:43
    Highlight Highlight "Auch wenn es manchmal etwas nervt: Die Zwei-Faktor-Authentifizierung (Anmeldung in zwei Schritten) erhöht die Sicherheit des Logins enorm. "

    Der Trick bei der 2FA ist die Kombination von Wissen und Haben: Einerseits muss der User etwas Geheimes wissen (idR. ein Passwort), anderseits muss er etwas haben (zB. das Handy, oder bei Postfinance/UBS die Post-/Bankkarte).

    Wenn nun aber Wissen und Haben auf einem Gerät vereint ist, geht die 2FA-Sicherheit flöten. Mit einem IMSI-Catcher liesse sich das einfach aushebeln. Oder noch einfacher mit der PW-Vergessen-Option (und zB http://bit.ly/2IdgnXh).
    • Midnight 14.06.2019 07:50
      Highlight Highlight "Wenn nun aber Wissen und Haben auf einem Gerät vereint ist, geht die 2FA-Sicherheit flöten."

      Das stimmt so nur bedingt und nicht bei allen Use Cases.

      Denn das Passwort ist in der Regel der Zugang zu einem Dienst, welcher sich nicht auf dem eigenen Gerät befindet. Dieser ist also bereits nonlokal. Die OTPs hingegen schon. Dadurch gibt es eine physische Trennung der beiden.

      Hat ein Angreifer aber Zugang zum Gerät des Opfers, dann ist das weniger gut (physical access wins).

      Dennoch muss mit 2FA eine zusätzliche, grosse Hürde genommen werden. Der 2. Faktor ist also immer sicherer.
    • Ueli der Knecht 14.06.2019 14:34
      Highlight Highlight Okay, Midnight... es stimmt schon, dass 2FA in jedem Fall eine zusätzliche Hürde ist. Aber eine sehr tiefgelegte Hürde, wenn das "Wissen" und das "Haben" exakt auf den gleichen Kanälen bewiesen werden.

      Auf 2FA kann man m.E. easy verzichten, wenn man einerseits das Handy haben muss, und anderseits das Passwort über eine Handy-App eintippt. Da muss man wirklich nur das Handy kompromittieren, was ziemlich einfach ist, selbst aus der Ferne ohne physischen Zugang zu Handy hat.
  • p4trick 13.06.2019 14:58
    Highlight Highlight Anstatt einem Passwort Manager würde ich eher ein Passwort Hasher empfehlen.
    https://pwdhash.github.io/website/

    Grundästzlich wird da aus einem DNS Name, einem Master Passwort und einem Key ein neues Passwort generiert das immer wiederhergestellt werden kann aber von diesem Passwort keine Rückschlüsse auf das verwendete Master Passwort oder den Key zulassen.
  • Xiakit 13.06.2019 13:28
    Highlight Highlight Für sicheren Mailverkehr und VPN kann ich Protonmail und Proton VPN empfehlen, ist sogar eine Firma aus der Schweiz :)

    Für Mails verwende ich es nun schon über 2 Jahre und das free VPN sporadisch seit einem Jahr.
    Weitere Antworten anzeigen
  • Triumvir 13.06.2019 13:15
    Highlight Highlight Ich benutze seit längerem ->: https://1.1.1.1/de/

    Mit dieser nützlichen App kann man schneller und vor allem privat Surfen.
    • Ueli der Knecht 13.06.2019 18:37
      Highlight Highlight Kommt draufan, was du unter "privat surfen" verstehst.

      Die von Cloudflare gemachten Versprechen machen bestimmt auch alle schweizer Provider.

      Privat ist es ausserdem selbst dann nicht, wenn Cloudflare tatsächlich nichts trackt. Trotzdem gehen alle DNS-Anfragen unverschlüsselt zu Cloudflare. Wenn du also deinem Provider nicht vertraust (und daher nicht seinen DNS verwenden willst), dann nützt es nichts, weil dein Provider immer noch alle deine DNS-Abfragen sieht (und tracken kann).

      Es bringt also gar nichts (ausser dass der Cloudflare-DNS wirklich sehr schnell ist).
  • Takapuna 13.06.2019 13:06
    Highlight Highlight Auf dem Smartphone Browse ich mit DuckDuckGo Privacy Browser.

    Meine VPN-Verbindung ist von protonvpn.

    Als Passwortmanager verwende ich PasswdSafe. Dieser ist OpenSource und kann ich auch noch durch eine zwei-faktor-Authentifizierung mittels yubikey absichern.
  • P.Se 13.06.2019 13:04
    Highlight Highlight LastPass würde ich nicht empfehlen da sie schon mehrmals gehackt wurden. Auch über eine Verbindung zur NSA wird gemunkelt... Meine aktuelle Empfehlung wäre Enpass oder Dashlane.
    • Toastface Chillah 13.06.2019 19:01
      Highlight Highlight Können Sie diese Behauptungen mit vertrauenswürdigen Quellen belegen? Ich habe selber ein Konto bei Last Pass, weshalb mich dies interessieren würde. Ich informiere mich regelmässig über das Thema, über irgendwelche Hacks ist mir jedoch nichts bekannt, weshalb ich Ihre These (noch?) nicht ganz nachvollziehen kann...
    • SGR 13.06.2019 21:13
      Highlight Highlight @Toastface
      Lastpass wurde sicher zwei Mal gehackt. 2015 und 2017. Ob seit dem wieder weiss ich nicht.
    • Midnight 13.06.2019 23:17
      Highlight Highlight @toastface http://bfy.tw/O6E1
  • ChiliForever 13.06.2019 12:55
    Highlight Highlight Und wie sicher sind die Passwortmanager? Und woher weiß ich, daß ich den Anbietern trauen kann und die nicht hinter meinem Rücken genau diese Daten absaugen?

    Oder kann jemand garantieren, daß die so viel sicherer sind?
    • -xoop- 13.06.2019 14:41
      Highlight Highlight Wie du sicher weisst, sollte man super gute Passwörter so wie 23rklKlPknp?=)0923 verwenden und man sollte für jede Anwendung ein neues Passport verwenden. Als normaler Mensch kannst du das gar nicht. Man braucht also einen Passwort Manager.

      Kann jemand garantieren dass die sicher sind? Nein. Aber bei der Security ist es so, dass vertrauen irgenwo beginnt. Du vertraust z.B. deinem Browser, dass er OK ist und nichts mit dem Passwort anstellt.

      Ich vertraue in Sachen Passwörter in Google und Apple, weil ich denen sowieso schon vertraue. Das ist aber jedem selber überlassen.
    • Ueli der Knecht 13.06.2019 18:26
      Highlight Highlight KeePass ist quelloffen. Das heisst, du kannst die den Quellcode runterladen, alles reviewen und dann selbst compilieren. Dann kannst du (relativ) sicher sein (so du denn den Code verstehst), dass zumindest dein Passwort-Manager vetrauenswürdig ist (das System, worauf es läuft, könnte aber komprommimtiert sein).
      https://keepass.info/
    • Midnight 13.06.2019 23:54
      Highlight Highlight @Chili Kurz: Ja, kann man. Der User ist das schwächste Glied der Kette. Jeder beliebige Passwort-Manager ist sicherer als gar keinen Manager zu verwenden, ausser vielleicht, der Passwort-Manager heist "Post-it".

      Weiter gedacht ist jeder Anbieter darum bemüht, sein Produkt so sicher wie irgend möglich zu halten. Zu diesem Zweck sind die Daten selbst ständig verschlüsselt. Der Schlüssel kennt nur der User. Die Daten selbst sind für den Anbieter völlig uninteressant.

      Sollte ein Anbieter daran jemals etwas ändern und damit seinen Ruf aufs Spiel setzen, so würde dies sogleich sein Ende bedeuten.
  • Out of Order 13.06.2019 12:29
    Highlight Highlight Punkt #3 halte ich für sehr, sehr gefährlich. Wer den VPN-Anbieter nicht kennt, sollte die Finger davon lassen. Auf no-Logs- oder Privatsphären-Versprechen kann man sich nicht verlassen - das zeigt die die Geschichte.

    Ich halte es für sinnvoller, eine VPN-Verbindung auf seinem Home-Router einzurichten und unterwegs damit zu surfen. Dann geht der Traffic zumindest nach hause. Voraussetzung, man vertraut seinem ISP. ;)
    • Midnight 14.06.2019 00:02
      Highlight Highlight @Out Dein Anschluss Zuhause ist aber leider nicht Anonym.
      Zudem geht man hier das Risiko ein, dass durch falsche Konfiguration nur explizit Traffic ins "Heimnetz" durchtunnelt wird und der Rest weiterhin über die ungesicherte Verbindung läuft.

      Falls man also nicht genau weiss, was man tut, so ist ein empfohlener kommerzieller Anbieter nach wie vor die bessere Wahl. Bei Gratisangeboten sollte man aber zweimal hinschauen. Eine Kombination aus VPN und TOR kann auch helfen.
  • Eidgenoss1291 13.06.2019 12:23
    Highlight Highlight Benutze nur noch BRAVE als Browser. Finde die Idee hinter BAT genial.
  • Chase Insteadman 13.06.2019 12:06
    Highlight Highlight Brauche Hilfe, begreife es nicht ganz - wenn ich jetzt einen Passwortmanager einrichte, muss ich dann überall, wo ich bereits ein Passwort habe, das neu vom Passwortmanager generierte Passwort als neues Passwort registrieren? Ich check es nicht... Ich habe gerade ein PWManager eingerichtet und bin via PWM auf einen Online-Shop, wo ich bereits ein Konto habe und es hat mich mit dem neuen sicheren Passwort eingelogt?! Aber ich komme ja immer noch mit meinem alten Passwort rein, wenn ich nicht über den PWManager gehe!? Somit ist ja nicht sicherer wenn das alte noch geht? Was mache ich falsch?
    • Charlie B. 13.06.2019 12:46
      Highlight Highlight Das fragst du in einer Kommentarspalte auf einer News Seite? Wieso kontaktierst du nicht den Support von dem Passwort Manager?
    • Rico525 13.06.2019 13:12
      Highlight Highlight Das Ändern von Passwörtern macht der Passwortmanager natürlich nicht für Sie, das müssen Sie zuerst selber machen und dann im Passwortmanager abspeichern wenn Sie ein neues und sicheres Passwort wollen...
    • Chase Insteadman 13.06.2019 13:24
      Highlight Highlight Vielen dank Rico525 für die Antwort.
  • the_Dan 13.06.2019 11:44
    Highlight Highlight Fand etwas schade das Opera bei den Browsern nicht erwähnt wurde. Hat ebenfalls einen integrierten Adblock und was ich am besten finde ist der im Browser integrierte VPN.
  • Donald 13.06.2019 11:40
    Highlight Highlight Passwort-Manager sind auch eine potentielle Angriffsstelle. Schön für einen Hacker, wenn er all diese Daten an einem bekannten Ort strukturiert vorfindet. Man sollte eigentlich nie etwas sicherheitsrelevantes so ablegen, wie es Millionen andere auch tun.
    • Charlie B. 13.06.2019 12:56
      Highlight Highlight Hier nochmals für dich zum nachlesen:

      "Und wenn der Passwortmanager gehackt wird? Die Passwörter werden verschlüsselt gespeichert. Dadurch wäre ein Entschlüsseln eventuell gestohlener Passwörter extrem zeitaufwendig. Im schlimmsten Fall würde der Passwortmanager die Passwörter zurücksetzen. Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist dies allemal."
    • -xoop- 13.06.2019 14:46
      Highlight Highlight "Man sollte eigentlich nie etwas sicherheitsrelevantes so ablegen, wie es Millionen andere auch tun"

      Oder doch? Ist die Warscheinlichkeit, dass sie genau mein Passwort misbrauchen, nicht kleiner?

      ;-)
    • Donald 13.06.2019 16:08
      Highlight Highlight @Charlie B.
      Wenn der Hacker aber den Schlüssel abfängt, bringt Verschlüsselungen auch nicht mehr viel. Das mag helfen, wenn der Provider selbst gehackt wird. Es gibt aber auch noch andere Szenarien.
    Weitere Antworten anzeigen
  • virus.exe 13.06.2019 11:40
    Highlight Highlight Ich gehe sogar so weit, dass ich noch nichtmal im Passwortmanager meine Passwörter 1:1 eintrage. Die dienen mir lediglich als Eselsbrücke.
  • El Pepedente 13.06.2019 11:37
    Highlight Highlight Der Brave Browser ist super! benutz am besten nur open source anwendungen die ihr zuhause auf sicheren seiten haben wie github.com! weg von datenkraken und benutzt adblocker egal was die website sagt wegen geld mimimi! nsere sicherheit ist wichtiger als dessen geld^^ und nehmt euch alle in acht von emotet!!
  • Danger?! Awesome? 13.06.2019 11:14
    Highlight Highlight Man kanns auch übertreiben..
    • Out of Order 13.06.2019 12:24
      Highlight Highlight Wer dies als «übertreiben» abtut, lebt offensichtlich in einer Traumwelt mit rosa Brille.
    • Grave 13.06.2019 12:54
      Highlight Highlight Also ich gebe dir recht.. als hätte ich irgendwelche staatsgeheimnisse oder nuklearebaupläne auf meinem telefon gespeichert 😅 und wenn jemand unbedingt meine urlaubsfotos ansehen will, soll er
    • Xiakit 13.06.2019 13:48
      Highlight Highlight Es geht nicht um was geklaut werden kann, es geht eher um was für ein Schaden wird angerichtet. Wenn Fotos von Ihnen für unschöne Zwecke missbraucht werden oder Ihr Telefon für weitere Angriffe als Zwischenstation verwendet wird.
    Weitere Antworten anzeigen

WhatsApp wurde gehackt – darum sollten Nutzer jetzt das Notfall-Update installieren

WhatsApp hat erneut eine gravierende Sicherheitslücke: Der Mutterkonzern Facebook rät den Nutzern zu einem dringenden Update. Betroffen sind sowohl Android als auch iOS. Das steckt hinter der Spyware «Pegasus».

WhatsApp-Nutzer sollten ihre Messenger-App dringend aktualisieren. Der Grund: Der beliebte Messenger weist eine Schwachstelle auf, durch die Angreifer per WhatsApp-Anruf Spyware auf das Smartphone schleusen können. Die Lücke erlaubt somit Unbefugten Fernzugriff auf das jeweilige Gerät. Das Opfer muss den Anruf dazu nicht einmal entgegen nehmen, berichtet heise.de.

Ein Sicherheits-Patch soll die Sicherheitslücke schliessen. Das Update steht seit Kurzem zur Installation bereit. Sowohl Android- …

Artikel lesen
Link zum Artikel