Von Postkarten und Spähkeksen

Im Netz kann die ein oder andere Gefahr lauern-wir haben ein paar Tipps gesammelt, worauf man achten sollte.

Das Internet ist einerseits aus unserem täglichen Leben und Arbeiten nicht mehr wegzudenken. Andererseits entsteht manchmal der Eindruck, hinter fast jedem Klick lauerten Hacker oder ähnliche Bedrohungen. Daniel Moßbrucker, Experte für IT-Sicherheit, erklärt, worauf man achten kann, um sich besser zu schützen.

Ist diese Website hier sicher und was ist eigentlich eine sichere Website? Solche oder ähnliche Fragen stellen sich immer mal wieder. Nicht nur wenn man den (Groß-) Eltern die Bedienung von Smartphones oder Laptops erklären soll oder Bekannte fragen: Sag mal, wenn ich da jetzt draufklicke, dann habe ich aber keinen Virus auf dem Computer, oder?

Viele Bedenken in Sachen IT-Sicherheit lassen sich gut klären, wenn man auf einige Punkte achtet. Dazu zählen beispielsweise die Internetadressen der Websites, die man aufruft. Beginnt die aufgerufene Website mit der Kennung http anstatt https, weist das auf eine unsichere Verbindung hin. „Wenn man das vergleichen will, ist http eine Postkarte. Ich will nicht sagen, dass die ganze Welt immer alles sehen kann, aber alle Leute, die am Übertragungsweg beteiligt sind, wie zum Beispiel unser Internetanbieter, Kriminelle in offenem WLAN oder staatliche Dienste“, sagt Sicherheitsexperte Daniel Moßbrucker. Er ist Journalist und hat sich auf die Bereiche Überwachung, Datenschutz und Internetregulierung spezialisiert. Für andere Journalist*innen gibt er Seminare zum Thema ‘sichere Recherche’.

Eine Verbindung über eine http-Website sei dabei nicht zwingend problematisch, zum Beispiel wenn man Nachrichtenseiten aufrufe. Doch so wie bei der Postkarte könnten unter anderem zusätzlich, bei falscher Zustellung, der Nachbar mitlesen. Der stünde in dem Beispiel auch für das W-Lan, in das ein anderer sich einwählen kann. So könnten Außenstehende an E-Mail-Adressen oder Passwörter kommen und versuchen, sich in die privaten Konten einzuloggen.

Daniel Moßbrucker ist freier Journalist und Security-Trainer. Er studierte Journalistik an der TU Dortmund sowie Digital Journalism an der Hamburg Media School. Als Journalist veröffentlicht regelmäßig zu den Themen Überwachung, Datenschutz und Internetregulierung. Moßbrucker ist ausgebildeter Trainer und bildet Journalisten im In- und Ausland in digitaler Sicherheit und Darknet-Recherchen fort.

S wie sicher

Sicherere Websites laufen unter https. Da die Sicherheitszertifikate dieser Verbindungen durch verschiedene Institutionen, sogenannte Certification Authorities (CA), verifiziert sind, ist es für Hacker schwierig bis unmöglich, sie zu knacken oder zu fälschen. Die Verifizierungsgeber der gesicherten Verbindungen kann man sich ansehen. Dafür muss man je nach Browser auf das Bügelschloss oder ein anderes Icon links neben dem eingegebenen Link in der URL-Leiste klicken.

Eine weitere Möglichkeit, sicherer zu surfen, bietet der sogenannte Tor-Browser. „Das Schöne am Tor-Browser ist, dass der dafür gebaut ist, möglichst wenig Daten über die Nutzenden preiszugeben. Für die Menschen, denen Privatsphäre wichtig ist, ist das einfach ein sehr wichtiges Werkzeug“, sagt Moßbrucker. Wer den Browser nutzt, könne davon ausgehen, dass zumindest das Meiste an gewöhnlichem Online-Tracking nicht erfolge.

Spähkekse

Was dem geneigten Internetnutzer immer wieder begegnet, sind Hinweise auf Cookies. Dabei handelt es sich um kleine Dateien, die lokal im Browser gespeichert werden. „Cookies sind ein zweischneidiges Schwert“, meint Daniel Moßbrucker. Einerseits hätten sie einen legitimen Zweck: Cookies sind dazu da, bestimmte Informationen von einer Website zur anderen mitzunehmen, beispielsweise die Produkte, die man beim Onlineshopping in den Warenkorb legt. „Die Waren können als Textdateien gespeichert werden, wie ein Einkaufszettel und dann weiß die Kassenwebsite, was bezahlt werden soll“, so Moßbrucker. Jede Website sei eine eigenständige Seite, die irgendwie „mitgenommene Eingaben“ von anderen Websites kennen muss. Cookies können dafür eine Lösung sein.

Bekannt seien Cookies aber vor allem dafür, dass sie auslesen können, welche Websites besucht wurden und aufschreiben, was die Nutzenden auf den verschiedenen Seiten gemacht haben. Daniel Moßbrucker erklärt: „Das tun Cookies, um das Persönlichkeits- und Werbeprofil zu schärfen.“ Damit können die Nutzenden dann personalisierte Werbung angezeigt bekommen.

Inzwischen seien Cookies allerdings recht gut reguliert und – da sie lokal auf den Computern gespeichert werden – auch einfach zu löschen, so der Experte. In der Regel funktioniert das über die Browser-Einstellungen. Bei Firefox etwa kann man dort den Bereich ‘Datenschutz und Sicherheit’ anwählen. Dort setzt man den Haken bei ‘Cookies und Website-Daten beim Beenden des Browsers löschen’.

„Man kann auch im privaten Fenster surfen, das bringt an sich nicht viel, aber Cookies werden da in der Regel nach Schließen des Browsers gelöscht“, so Moßbrucker. Cookies zu verbieten sei dennoch nicht sinnvoll, weil dann einige Websites nicht mehr richtig funktionierten.

Spurlos Surfen?

Ganz ohne Tracking geht es in der Praxis nicht. Dafür seien die Trackingmöglichkeiten heutzutage zu verschieden. „Zudem haben einige Websites so eine ‘Take it or leave it‘-Mentalität. Also entweder man macht mit oder kann die Website nicht nutzen. Daher geht es beim Selbstschutz eher um Schadensbegrenzung, nicht um absolute Anonymität“, erklärt Moßbrucker.

Wichtig sei besonders, die eigenen Accounts vernünftig zu sichern, am besten mit einem Passwortmanager, rät der Experte. Auch beim Speichern von Passwörtern im Browser spiele die Abwägung der Sicherheit eine Rolle. „Die Gefahren sind da weniger technischer als menschlicher Natur. Wenn man den Computer einmal öffentlich unbeaufsichtigt lässt, kann da jeder ran.“

Angeln ohne Wasser

Zudem sollte man immer auf sogenanntes Phishing achten. Dabei versuchen Betrüger*innen über gefälschte Mails, Websites oder Ähnliches an persönliche Daten wie Passwörter zu kommen.

Hinweise können etwa eine falsche Schreibweise der E-Mail-Adresse sein oder ein von der Adresse abweichender Anzeigename in der Mail. Zudem sollte immer auf Links geachtet werden, bevor man diese anklickt. Das Basiswissen dazu, wie man eine Domain liest, ist zum Erkennen von Phishing ebenfalls hilfreich: Nämlich von rechts nach links. Dabei beginnt man das Lesen vor dem ersten Slash der hinter dem http(s):// folgt. Trainieren kann man auch mit Phishing-Quizzes im Internet. Unter anderem hier: https://phishingquiz.withgoogle.com/ . Bei dieser Domain beispielsweise beginnt man mit dem Lesen bei dem ‘.com’.

Die Datensicherung ist ebenfalls wichtig. „Man sollte sich informieren, trainieren und alle ein bis drei Monate Backups der eigenen Daten machen“, erklärt Moßbrucker. Die Daten könnten auf externen Festplatten oder, wenn man das möchte, in Clouds gespeichert werden. Clouds sollten dann aber gut abgesichert sein, etwa mit einer Zwei-Faktor-Authentifizierung.

Insgesamt gelte, dass man keinen der Dienste im Internet in gut oder schlecht einteilen könne. „Genau dort liegt der Fehler, wenn man sich denkt: Dieser Dienst ist gut, da muss ich mich um nichts mehr kümmern. An der grünen Ampel laufe ich ja auch nicht los, wenn der Lkw offensichtlich nicht mehr bremsen kann und mich überrollen wird.“ Die wichtigste Botschaft, wenn man sich mit IT-Sicherheit beschäftige, ist laut Daniel Moßbrucker: Weggehen von allgemeinen Wahrheiten. „Man muss sich überlegen: Was will ich eigentlich und was brauche ich eigentlich, was ist mir wichtig zu schützen?“

Bei allem was man im Internet sucht, einkauft, tut oder lässt kommt es also immer darauf an, worauf man bei Schutz, Sicherheit und Privatsphäre Wert legt. Eigenverantwortung und gesunder Menschenverstand spielen hier die größten Rollen.