In Smartphones stecken unermessliche Datenschätze. Seien es Fotos, Chatprotokolle, Banking-Daten, Bewegungsprofile oder anderes. Damit die gespeicherten Daten so sicher wie möglich bleiben, brauchst du keine Virenscanner-App, solltest aber die folgenden Ratschläge beherzigen.
Einiges davon hast du vermutlich schon mehrfach gehört, und hoffentlich auch umgesetzt. Falls dem so ist, betrachte die folgende Übersicht als Kontrollliste oder «Anleitung zur digitalen Selbstverteidigung».
Müssen wir das wirklich noch sagen? Ja, in einer Welt, in der das meist genutzte Passwort «123456» ist, müssen wir. Noch immer verzichten viel zu viele Leute darauf, ihr mit Abstand wichtigstes Alltagsgerät mit einem sicheren Passwort zu schützen.
Klar, 50 bis 100 Mal am Tag den PIN-Code eintippen kann nerven, aber bei praktisch allen neueren Handys kann man sich auch schnell und bequem per Fingerabdrucksensor oder Gesichtsscan anmelden. Das Einrichten dauert maximal 30 Sekunden und die biometrischen Daten werden lokal auf dem Gerät gespeichert.
Auch PIN, Fingerabdruck oder Gesichtsscan bieten zwar keine hundertprozentige Sicherheit, sind aber das absolute Minimum, um das eigene Gerät zu schützen.
Android-Smartphones und iPhones lassen sich so einstellen, dass sie erst einige Zeit nach der letzten Verwendung wieder entsperrt werden müssen. Das ist bequem, aber unsicher.
Am besten stellt man das Gerät so ein, dass es sich rasch wieder sperrt und nutzt für das schnelle Entsperren den Fingerabdruck oder die Gesichtserkennung.
Ebenfalls potenziell unsicher sind «Smart Lock»-Einstellungen, die das Handy an einem «vertrauenswürdigen Ort» – typischerweise in der eigenen Wohnung – automatisch entsperrt lassen.
Vom Webbrowser und seinen Einstellungen hängt massgeblich ab, wie viele Spuren wir beim Surfen im Netz hinterlassen. Das Problem: Vorinstallierte Browser wie Chrome (Google), Safari (Apple) oder Edge (Microsoft) dienen den kommerziellen Interessen der jeweiligen Hersteller.
«Da der Quellcode nicht vollständig offen, die Bauweise des Programms also nicht geklärt ist, lässt sich nicht überprüfen, welche Informationen im Hintergrund gesammelt werden», erklärt der Ratgeber «Eine kurze Anleitung zur digitalen Selbstverteidigung». Er wurde gemeinsam von der WOZ, dem Chaos Computer Club Schweiz, dem Konsumentenschutz und der Digitalen Gesellschaft veröffentlicht.
Die Autoren empfehlen statt Chrome und Co. Open-Source-Alternativen wie Firefox oder Brave.
Brave ist eine schnelle, nutzerfreundliche Open-Source-Variante von Google Chrome, die sich ganz dem Datenschutz verschrieben hat. Das Spezielle an Brave: Der Browser lässt den User Werbung und Tracker blockieren, die Nutzer können den besuchten Webseiten aber ein «Trinkgeld» überweisen.
Das Geld dafür stammt aus «nicht aufdringlicher Werbung», die Brave anzeigt, ohne das Nutzungsverhalten zu verfolgen. Der Browser nutzt hierzu einen eigenen Werbedienst.
Für die angezeigte Werbung erhalten Browser-Nutzer und Brave selbst jeweils 15 Prozent und die Webseitenbetreiber bis zu 70 Prozent der Einnahmen.
Lässt man also einen Teil der Werbung zu, wird man dafür mit einer virtuellen Währung belohnt, die man mit einem Klick an seine Lieblings-Webseiten überweisen kann.
Als Brave-Nutzer kann man gezielt Webseiten unterstützen – auch mit eigenem Geld – oder in den Einstellungen festlegen, dass die Werbeieinnahmen automatisch auf die besuchten Webseiten verteilt werden. Diese können die virtuelle Währung (BAT) in eine beliebige Währung umtauschen.
Das Problem: Da Brave nur rund drei Millionen Nutzer zählt, haben sich erst wenige Webseiten angemeldet, die man finanziell unterstützen kann: etwa «The Guardian», «Washington Post» oder das deutsche Techportal Golem.
Brave ist nicht unumstritten. Einige Medien bezeichnen den Browser als illegal, da er ihre Werbung filtert und trotzdem mit ihren Artikeln sowie «eigener» Werbung Geld verdient.
Auf Android-Smartphones lassen sich alternative Browser wie Firefox oder Brave als Standardbrowser einrichten. Bei iOS kann man zwar andere Browser als Safari verwenden, aber diese nicht als Standardbrowser festlegen.
Brave ist auch für Windows, macOS und Linux verfügbar. Weiterführende Informationen zu Brave gibt es hier.
Eine weitere, besonders sichere, aber auch langsame Alternative zu Chrome, Safari und Co. ist der Tor-Browser. Hier wird der Datenverkehr über zufällige Knotenpunkte des weltweiten Tor-Netzwerkes geleitet.
Mit Tor lässt sich kaum bzw. nur mit sehr grossem Aufwand nachverfolgen, wer auf welche Webseite zugreift. Ein Restrisiko, «mitgelesen» zu werden, bleibt also auch bei Tor, da insbesondere grosse Geheimdienste die Ressourcen haben dürften, Teile des Tor-Netzwerks zu überwachen.
Öffentliche WLAN-Verbindungen im Café, am Bahnhof oder im ÖV sind praktisch, aber nicht ungefährlich. In einem offenen ungeschützten Netzwerk kann theoretisch jeder den Datenverkehr mitlesen – der WLAN-Betreiber, Geheimdienste, Datenhändler oder Kriminelle.
Gewissen Schutz gegen Lauschangriffe in öffentlichen WLANs bieten VPN-Dienste. Hat man auf dem Handy eine VPN-App aktiviert, surft man über eine verschlüsselte Verbindung des VPN-Anbieters, was Angriffe massiv erschwert.
VPN-Dienste sind zunehmend auch eine beliebte, einfach einzurichtende Anonymisierungs-Möglichkeit: Die virtuellen privaten Netzwerke erlauben es, die eigene IP-Adresse nach aussen zu verschleiern, sprich anonymer zu surfen.
Man muss sich aber bewusst sein, dass unseriöse Anbieter den Datenverkehr teils mitlesen und für beliebige Zwecke missbrauchen können. Man sollte sich entsprechend gut informieren, welche Anbieter als seriös gelten.
Viele Firmen und Hochschulen bieten einen eigenen VPN-Service an. Bekannte VPN-Anbieter für Privatnutzer sind:
Das deutsche Techportal heise.de empfiehlt für Private vor allem CyberghostVPN und Avira Phantom VPN.
Wichtig: Eine hundertprozentige Sicherheit für die Anonymität sowie für den Datenschutz kann kein VPN-Anbieter garantieren, auch wenn er auf seiner Webseite aus Marketinggründen anderes behauptet.
Die gute Nachricht: In Zeiten von Datenflatrates und immer günstigeren Roaming-Tarifen gibt es auch weniger Gründe, sich in potenziell unsicheren WLANs anzumelden.
Auch wenn es manchmal etwas nervt: Die Zwei-Faktor-Authentifizierung (Anmeldung in zwei Schritten) erhöht die Sicherheit des Logins enorm. Dabei ist das Passwort die erste Hürde, der Einmal-Code die zweite. Möchte man sich einloggen, kommt man erst in das Konto rein, wenn man auch den Code eingegeben hat, den man per SMS zugeschickt bekommt. Meist kann man dabei das eigene Gerät als vertrauenswürdig angeben, so dass man sich zum Beispiel nur alle 30 Tage per Zusatz-Code anmelden muss.
Alternativ bieten auch immer mehr Apps und Websites die Authentifizierung via spezieller Apps an. Dabei wird der nötige Code von einer Authenticator-App per Zufall generiert und muss innerhalb einiger Sekunden eingegeben werden, bevor er ungültig wird.
Grosse Firmen wie Google, Facebook, Microsoft oder Apple bieten die sichere Zwei-Faktor-Authentifizierung schon lange an. Auch GMX ermöglicht neuerdings die Anmeldung in zwei Schritten. Den zusätzlichen Schutz sollte man auf jeden Fall beim E-Mail-Konto aktivieren, da Angreifer über ein gehacktes E-Mail-Konto zig weitere persönliche Konten übernehmen können (siehe Punkt 5).
Beliebte Apps für Einmal-Codes sind der Google Authenticator sowie der Microsoft Authenticator.
Eigentlich sollte der Einsatz eines Passwortmanagers so selbstverständlich sein wie der PIN-Code bzw. der Fingerabdruck für die Smartphone-Sperre.
Für jedes Online-Konto brauchen wir ein separates Passwort: Diese Regel predigen Sicherheitsexperten seit Jahren. Falls mal wieder ein Web-Dienst gehackt wird und zig Millionen Passwörter in die Hände von kriminellen Hackern fallen, sind so nicht gleich alle Daten in Gefahr. Natürlich hält sich fast niemand daran, da wir uns so viele Passwörter kaum merken können. Das muss man aber auch nicht, denn dafür gibt es spezielle Apps, sogenannte Passwortmanager.
Ein Passwortmanager erstellt wirklich sichere Passwörter und füllt Loginfenster automatisch aus. Passwort-Manager wie LastPass, 1Password und Keepass merken sich also Passwörter für E-Mail, Facebook, Netflix, Onlineshops etc. und melden den Nutzer bei den entsprechenden Apps und Webseiten automatisch an. Man muss sich nur noch das Masterpasswort für den Passwort-Manager merken. Zentral ist, dass man ein einzigartiges und sehr sicheres Masterpasswort wählt, das man sonst nirgends verwendet.
Nutzt man den gleichen Passwortmanager auf mehreren Geräten, hat man jederzeit Zugriff auf alle Konten. Für Smartphones gibt es Passwortmanager-Apps, auf dem Desktop-PC kann man etwa Browser-Erweiterungen installieren.
Auch die besonders sichere Zwei-Faktor-Anmeldung («Anmeldung in zwei Schritten») ist bei Passwortmanagern möglich und empfehlenswert. Um auf den Passwortmanager zuzugreifen, muss man so nicht nur das Masterpasswort eingeben, sondern zusätzlich einen Code. Solche Einmal-Codes werden von Authenticator-Apps von bekannten Firmen wie Google oder Microsoft erstellt.
Und wenn der Passwortmanager gehackt wird? Die Passwörter werden verschlüsselt gespeichert. Dadurch wäre ein Entschlüsseln eventuell gestohlener Passwörter extrem zeitaufwendig. Im schlimmsten Fall würde der Passwortmanager die Passwörter zurücksetzen. Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist dies allemal.
Wer trotz aller Vorteile keinen Passwortmanager nutzt, sollte unbedingt darauf achten, dass zumindest das Passwort für den E-Mail-Account einzigartig und absolut sicher ist.
Warum? Bei vielen Online-Diensten kann man das Passwort zurücksetzen, indem man sich einen Link an die eigene E-Mail-Adresse schicken lässt, mit dem man dann ein neues Passwort erstellen kann. Hat also jemand den Zugang zu deinem E-Mail-Konto, kann sich derjenige problemlos den Zugang zu vielen deiner anderen Konten verschaffen.
Beliebte Passwortmanager sind:
Dass man Apps nur aus den offiziellen App-Stores beziehen sollte, hat sich inzwischen herumgesprochen. Leider kommt es bei inzwischen über zwei Millionen Apps immer wieder vor, dass es Kopien bekannter Apps, die mit Schadcode versehen sind, in die App-Stores von Apple und Google schaffen.
Bei den Fake-Apps handelt es sich oft um Fitnesstracker, VPN-Dienste, Virenscanner oder Games, die angeblich nur mit In-App-Käufen den vollen Funktionsumfang liefern. Beliebt ist auch der Abofallen-Trick, bei dem Nutzer zum Abschluss eines massiv überteuerten Abos verführt werden.
Seit es App-Stores gibt, versuchen Betrüger mit immer neuen Maschen die User abzuzocken. Apple und Google gehen zwar dagegen vor, aber schlussendlich ist es ein Katz-und-Maus-Spiel, bei dem die Betrüger immer einen Schritt voraus sind.
Besonders tückisch waren Ende 2018 entdeckte Scamming-Apps, die versuchten, User dazu zu bewegen, ihren Finger auf den Home-Button zu legen, während ein Fake-Prozess – zum Beispiel das angebliche Erkennen der Herzfrequenz – durchgeführt wurde.
Angezeigt wurde dabei eine Animation. Im Hintergrund startete die bösartige App dann eine Bezahlanfrage für einen In-App-Kauf. «Da der Finger der Nutzer auf dem Home-Knopf verblieb, wurde die Zahlung bestätigt, was teilweise sehr schnell erfolgte und von manchem User übersehen werden konnte», schreibt heise.de.
Dagegen hilft nur eines: Aufmerksam sein, die Finger von unbekannten Apps lassen oder – wenn man nicht darauf verzichten mag – zumindest die Rezensionen zur App lesen und eine kurze Netz-Recherche durchführen.
Klar, die Telefon-App muss auf Mikrofon und die Kontakte zugreifen können – eine Taschenlampen-App aber beispielsweise nicht.
Oft ist es allerdings nicht so leicht, zu erkennen, welche Zugriffsrechte tatsächlich notwendig sind. Warum braucht etwa eine News-App wie watson Zugriff auf die Kamera oder den Speicher?
watson und andere News-Apps funktionieren auch ohne Kamera- oder Speicher-Zugriff, allerdings kann man dann mit der App kein «Leser-Reporter»-Foto knipsen bzw. aus der Foto-App auswählen.
Auf der sicheren Seite ist, wer nur die notwendigsten Apps installiert und die Zugriffsrechte auf ein Minimum beschränkt. Braucht eine App zwingend Zugriff auf das Mikrofon – etwa wenn man über WhatsApp einen Anruf tätigen möchte – kann man die Berechtigung später immer noch erteilen.
Gut zu wissen: In den App-Einstellungen kann man für jede App einsehen, welche Berechtigungen sie hat und allenfalls nachjustieren. Wenn man es mit den Einschränkungen zu weit treibt, kann es sein, dass eine App nicht mehr richtig funktioniert, kaputt machen kann man so aber nichts.
Was viele nicht wissen: Die alten Mobilfunknetze hatten von Anfang an Sicherheitslücken, die es Behörden erlauben, Gespräche von potenziell Kriminellen mitzuhören oder SMS mitzulesen. Die EU will nun auch im neuen 5G-Netz Hintertüren einbauen lassen, damit die Strafverfolger im eigentlich viel sicheren 5G-Netz ihre Überwachungsmöglichkeiten nicht verlieren. Solche Hintertüren könnten allerdings auch von Kriminellen ausgenutzt werden. Dagegen kann man sich nur schützen, indem man verschlüsselt kommuniziert.
Die gute Nachricht: Inzwischen nutzen fast alle bei uns populären Messenger-Apps eine sichere Ende-zu-Ende-Verschlüsselung. Bei WhatsApp, Threema, Telegram, iMessage oder Facebook Messenger können selbst die App-Entwickler die Nachrichten nicht mitlesen. Das ist eine massive Verbesserung gegenüber der alten SMS, die unverschlüsselt übermittelt wird.
Die schlechte Nachricht: Es gilt das Gleiche wie bei den Webbrowsern (Punkt 2): Wenn der Quellcode nicht vollständig offen ist, lassen sich nicht alle Behauptungen der Hersteller durch unabhängige Experten überprüfen.
Die «Digitale Gesellschaft» hat die Sicherheit von Messenger-Apps im Vergleich zu E-Mail, SMS etc. Ende 2016 analysiert und empfiehlt vor allem Threema und Signal. Die Untersuchung ist zwar drei Jahre alt, laut den Autoren ist das Ergebnis aber «grundsätzlich noch gültig», wie es auf Anfrage heisst.
Das ist leichter gesagt, als getan. Phishing-Angriffe, mit denen es Kriminelle auf das Passwort und weitere persönliche Daten der User abgesehen haben, kommen heute meist so raffiniert daher, dass sie praktisch nicht zu erkennen sind. Sie erfolgen oft über perfekt kopierte Webseiten oder Apps.
Ein Beispiel:
📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitter.com/6N3lawTVGo
— Felix Krause (@KrauseFx) 10. Oktober 2017
Für Phishing-Angriffe werden nicht nur gut gefälschte E-Mails bekannter Firmen oder Behörden genutzt, sondern immer häufiger auch solche SMS:
Ja es handelt sich um einen Phishing-Fall resp. einen Betrug! Besten Dank für deine Meldung, die uns sehr hilfreich ist 👍 Die SMS stammt nicht von uns. Wir fordern nie Zugangsdaten unserer Kunden via SMS an. Beachte unsere Tipps für solche Betrugsfälle: https://t.co/9ojeiCDsis
— anibis.ch (@anibis_ch) 14. Februar 2019
Wer auf den Link in einer Phishing-SMS klickt, gelangt auf eine gefälschte bzw. kopierte Login-Seite, die der echten Webseite eins zu eins gleicht. Die Betrüger hinter den Fake-Seiten bekannter Firmen versuchen E-Mail, Handynummer, Kreditkartennummer etc. abzugreifen.
Einen guten Schutz gegen Phishing-Angriffe bietet die Zwei-Faktor-Authentifizierung, also die Anmeldung in zwei Schritten mit Passwort und einem zusätzlich auf das Handy geschickten Einmal-Code (siehe Punkt 4).
Noch besser ist natürlich, wenn man Phishing-Mails und -SMS frühzeitig erkennt. Doch das wird immer schwieriger:
Ob iOS oder Android, in beiden Betriebssystemen stecken unzählige Sicherheitslücken und mit jeder neuen Funktion, die Apple und Google einbauen, tun sich potenziell neue Hintertüren für Angreifer auf. Umso wichtiger ist es, dass von Sicherheitsexperten gefundene und an Apple und Google gemeldete Lücken rasch per Update geschlossen werden.
Auch wenn es Apple und Google nicht an die grosse Glocke hängen, sie schliessen still und leise kritische Lücken in iOS und Android. Sätze wie «Das Update XY erhöht die Sicherheit ihres Systems» heissen im Klartext: «Uns wurde eine kritische Lücke gemeldet, die wir nun gestopft haben. Du solltest das Update sofort installieren, da sie von Hackern bereits ausgenutzt wird bzw. es nur eine Frage der Zeit ist, bis es passiert.»
Verwendete Quellen: