Die Hacker-Angriffe und Daten-Leaks der Vergangenheit folgen einem Muster, das Ihr leicht durchbrechen könnt. Denn schuld sind meist die gehackten Personen selbst.

Ganz schön fies, was an diesem trüben Januartag durch die Presse ging: Ein inzwischen gesperrter Twitter-Account namens „_0rbit“ hatte bereits im Dezember geklaute Daten geleakt: Politiker und Prominente waren von dem Hack betroffen. Wir haben die Daten stichprobenweise gesichtet, ehe der Account offline ging: Neben banalen Dingen wie Handynummern fanden sich hier Presseausweise, Chat-Protokolle und sogar Führerscheine und Personalausweise. Auf den ersten Blick ist klar: Hier hat sich jemand direkt auf den PCs und Macs der betroffenen Personen bedient. Die hätten das allerdings verhindern und sich vor einem Hacker-Angriff schützen können – wenn sie nur die folgenden Ratschläge befolgt hätten.

Mac und PC vor Hackern schützen

Hacker… das klingt in der Presse immer nach meisterhafen Bösewichten, die wie im Film völlig hürdenlos auf Rechner zugreifen und dort nach Daten wühlen. In der Realität sieht das jedoch anders aus: Statt mit Fernzugriff wird mit dreckigen Tricks, etwa Trojanern, Account-Hacks oder Social Engineering, gearbeitet. An diese Daten zu kommen, ist keine Meisterleistung des Angreifers, sondern vielmehr ein riesiges Versäumnis der Person oder Organisation, die letzten Endes von dem Angriff betroffen ist. Grob gesagt, auch wenn es hart klingt: Die betroffenen Personen haben entweder Mist installiert – oder Mist beim Passwortschutz gebaut.

Beliebte Darstellung des Hackers. Meist liegt der Fehler aber beim Nutzer. (Bild: TheDigitalArtist/Pixabay)

Beliebte Darstellung des Hackers. Meist liegt der Fehler aber beim Nutzer. (Bild: TheDigitalArtist/Pixabay)

Die Gefahr aus der Cloud

Ja, genau: Der Fehler hängt bei allen größeren Leaks der Vergangenheit vor allem mit einem Fehlverhalten der betroffenen Anwender zusammen. Das größte Leck sitzt nämlich nach wie vor vor dem Rechner. User, die schlicht bescheuert einfache Passwörter verwenden, sind auch leichte Beute für Cyberkriminelle. Durch Cloud und Social Media hat heute jeder eine ganze Reihe von Konten: Neben Twitter, Facebook und Co. sind hier vor allem die Konten der Betriebssystem-Hersteller – also Apple-ID, Google- und Microsoft-Konto – besonders brisant, genau wie etwa Dienste wie Dropbox oder die eigene NAS. Denn sie enthalten oft enorme Mengen persönlicher Daten: Wenn Ihr die Cloud-Speicher als Backup oder Datenablage nutzt und nicht auf die Passwort-Sicherheit achtet, müsst Ihr Euch nicht wundern, wenn Ihr „gehackt“ werdet. Und wenn Ihr dann noch so schlau seid, Passwortlisten auf diesen Speichern zu hinterlegen… Tja.

Billo-Passwörter sind Gift

Logo: Lange, komplexe Passwörter nerven im Alltag. Aber sie haben durchaus ihre Berechtigung. Die Kombination aus Cloud-Konto und ein bisschen Stalking kann nämlich ganz einfach Passwörter zutage fördern. Ihr kennt die Apple-ID von jemandem? Gut, dann ruft Apple-ID-Accountseite auf und probiert einfach mal Namen und Dinge aus dem Umfeld der Person als Passwort aus. Was isst sie gerne? Wie heißt das Haustier oder der Ehepartner? Die Kinder? Die Chancen stehen gut, dass Ihr auf diese Weise das Passwort erratet. Und falls das nicht hilft, spielt ein Brute-Force-Angriff einfach typische Begriffe durch. Das gleiche gilt für Microsoft- und Google-Konten, NAS-Systeme mit Web-Interface und alle anderen Konten, die Ihr so habt. Viele davon speichern auch sicherheitsrelevante Daten – Stichwort iCloud-Schlüsselbund – ganz automatisch in der Cloud.

Wer seine Konten schützt, hat nicht viel zu befürchten (Bild: TheDigitalArtist/Pixabay)

Wer seine Konten schützt, hat nicht viel zu befürchten (Bild: TheDigitalArtist/Pixabay)

Sichere Passwörter erstellen

Um sichere Passwörter zu erstellen, solltet Ihr nach folgendem Schema vorgehen: Denkt Euch einen Satz mit mindestens acht, besser zehn bis zwölf oder noch mehr Worten aus, den Ihr Euch gut merken könnt. Nehmt die Anfangsbuchstaben (oder zweiten, dritten Buchstaben…) der Wörter des Satzes. Mit einem Satz wie „Tutonaut ist die beste Technik-Website der Welt“ erhaltet Ihr mit den Anfangsbuchstaben das Passwort „TidbTWdW“, was schon einmal OK ist, weil es so in keinem Wörterbuch steht. Um die Geschichte für Angreifer noch etwas zu komplizieren, solltet Ihr jedoch Buchstaben gegen Zahlen und Sonderzeichen austauschen: Beim „T“ bietet sich eine „7“ an, beim „W“ vielleicht eine Raute. Und schon habt Ihr so etwas hier: „7idb7#d#“ – ein praktisch kurzes, trotzdem sicheres und leicht merkbares Passwort!

Zwei-Faktor-Authentifizierung nutzen!

Allerdings ist kein Passwort unknackbar, wenn der Angreifer nur genug Aufwand treibt. Genau deshalb ist es neben dem Passwort wichtig, jede weitere Sicherheitsschleife zu nutzen, die ein Cloud- oder Konten-Anbieter zur Verfügung stellt. Üblicherweise ist das die sogenannte Zwei-Faktor-Authentifizierung: Nach Eingabe von Login und Passwort wird ein Code auf ein von Euch freigeschaltetes Handy geschickt, den Ihr zusätzlich eingeben müsst. Das mag noch lästiger sein als ein langes Passwort, hat aber gleich zwei Vorteile: Nur, wer Zugriff auf Euer Handy hat, kann sich einloggen. Natürlich nur, wenn er die Zugangsdaten kennt. Die meisten Anbieter bringen eine solche Funktion inzwischen mit. Der zweite Vorteil ist, dass Ihr durch die SMS-Benachrichtigung seht, wenn jemand versucht, Euer Konto zu knacken. Einziger Nachteil: Ihr dürft das Handy und vor allem Eure Rufnummer nicht verlieren, sonst sperrt Ihr Euch selber aus.

Verschlüsselung bringt nur bei geklauter Hardware etwas

Ein zweites wichtiges Thema ist die Verschlüsselung: Daten, die Ihr auf dem Rechner habt, werden durch Verschlüsselung besser geschützt – so weit, so logisch. Allerdings nur, wenn der Angreifer die Daten in die Finger bekommt, sprich: An den Rechner kann. Deshalb ist es sinnvoll, die Angriffshürde auch mit einem Account-Passwort auf dem Rechner, idealerweise nach dem sicheren Schema, zu erhöhen. Gleichzeitig solltet Ihr über Verschlüsselungstechniken wie FileVault (Mac) und die BitLocker (Windows) nachdenken: Sie verhindern, dass jemand die Festplatte aus einem geklauten Rechner ausbaut und dadurch den Passwortschutz des Kontos umgeht. Kennt er das Passwort, ist die Verschlüsselung allerdings für die Katz, weshalb beides nur dann sinnvoll ist, wenn das Passwort sicher ist.

Nur das Nötigste in die Cloud

Und wo Ihr sowieso gerade am Rechner sitzt: Denkt darüber nach, alles aus der Cloud zu löschen, was Ihr nicht in der Cloud braucht. Ja, es ist gerade auf Reisen sicher komfortabel, eine Dropbox mit Ausweisen, wichtigen Dokumenten und so weiter ohne 2-Faktor-Authentifizierung anzulegen. Falls Euch Euer gesamtes Gepäck samt Smartphone geklaut wird, könnt Ihr dann trotzdem auf diese Daten zugreifen, was vieles erleichtert. Nach der Reise sollte der Kram aber umgehend aus der Cloud verschwinden – zu groß ist das Risiko, dass die Daten durch ein Leck beim Anbieter oder durch einen Fehler Eurerseits in die falschen Hände gelangen. Der Klassiker diesbezüglich ist der vergessene Logout im Internet-Café oder auf anderen öffentlichen Rechnern. Das kann schnell passieren, da sowohl bei Apple, als auch bei Microsoft und Google das Mailkonto gleichzeitig Zugriff auf die Cloud-Daten erlaubt. Wer zum Beispiel auf einem fremden Rechner einen Google-Mail-Login offen lässt, muss sich nicht wundern, wenn die Cloud-Daten entwendet werden.

Vor Trojanern schützen

Zuguterletzt gibt es neben den Accounts natürlich noch eine weitere Problematik: Sogenannte Trojaner, kleine Schadprogramme, die eine Hintertür zum Rechner des Angreifers öffnen oder diesem sogar Vollzugriff auf den Ziel-PC erlauben. Andere Programme loggen einfach alles mit, was auf dem Rechner eingegeben wird, Angreifer können auf diese Weise Passwörter und andere sensible Daten erbeuten. Gegen all diese Schädlinge schützt ein Virenscanner samt Firewall und vor allem Hygiene: Klickt nichts an, dessen Quelle Ihr nicht kennt! Dubiose Websites jubeln Euch gerne Trojaner unter, andere kommen per E-Mail oder über raubkopierte Software auf’s System. Denkt also einfach kurz nach, bevor Ihr irgendetwas installiert, dann kommt Ihr in den allermeisten Fällen auch ohne Virenscanner zurecht. Das gleiche gilt natürlich auch für Smartphones und Tablets.

Fazit: Wer aufpasst, wird kein Opfer

Unter dem Strich gibt es nur wenig zu beachten, um Computerkriminellen die Arbeit deutlich zu erschweren und Euch vor einem Hacker-Angriff schützen: Setzt sichere Passwörter und Verschlüsselung ein, wo es möglich ist und nutzt die Möglichkeit zur Zwei-Faktor-Authentifizierung bei wichtigen Online-Diensten. Entfernd Daten aus der Cloud, die dort nichts zu suchen haben. Wenn Ihr dann auch noch aufpasst, nicht jeden ungefragt zugesandten Schrott auf Eurem PC oder Mac zu installieren, seid Ihr ganz ohne zusätzliche Sicherheitsmaßnahmen gut gegen Angriffe geschützt. Denn typische Cyberkriminelle sind in aller Regel nicht die gewieften Hacker, die Film und TV so gerne darstellen: Legt man ihnen möglichst viele Hürden in den Weg, scheitern Sie in aller Regel bei ihrem Versuch, Eure Daten zu klauen.

Über den Autor

Christian Rentrop

Christian Rentrop

Freier Journalist, Baujahr 1979. Erste Gehversuche 1986 am Schneider CPC. 1997 ging es online. Seither als Blogger und Journalist in Totholzwäldern, auf digitalen Highways und manchmal in der echten Welt unterwegs.
Spendier‘ mir einen Kaffee.

Kommentieren:

Wir benutzen Cookies, um die Webseite zu verbessern. Wenn Du die Seite weiter benutzt, bist Du damit einverstanden.