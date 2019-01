Und wieder ist es passiert: Abermals ist eine grosse Zahl von Benutzernamen und Passwörtern im Netz aufgetaucht. Die Sammlung gestohlener Login-Daten umfasst 773 Millionen E-Mails, 21 Millionen unverschlüsselte Passwörter und wird «Collection #1» genannt: Ein Fundus aus Hunderten Datendiebstählen der letzten Jahre, der im Darkweb zum Verkauf stand und zeitweise auch frei herunterladbar war.

Der Sicherheitsforscher Troy Hunt hat die Collection aufgestöbert. Er vermutet, dass diese Daten dazu verwendet werden, bei anderen Webdiensten persönliche Informationen zu entwenden. Das funktioniert, weil viele Nutzer die gleiche Kombination aus Mailadresse und Passwort bei mehreren Diensten nutzen. Digitale Daten sind eine leichte Beute: In den letzten Jahren wurden Hunderte von Fällen bekannt, mit teils frappanten Opferzahlen. Der grösste Fall betrifft den Internet-Riesen Yahoo, bei dem 2013 drei Milliarden Nutzerkonten betroffen waren – welche Dimension dieser Hackerangriff hatte, ist allerdings erst 2017 bekannt geworden.

Ein Datenklau geht oft harmlos aus: Wenn man sich als Nutzer gut schützt, bleibt der Schaden überschaubar. Doch wenn man beispielsweise den (häufigen) Fehler begeht, die gleichen Login-Daten mehrfach zu verwenden, dann sind die Folgen womöglich weitreichend: Den Kriminellen könnte es gelingen, Bankdaten und andere sensible Daten zu stehlen und zu missbrauchen. Vielleicht versuchen sie auch, sich als das Opfer auszugeben und Bekannte um Geld anzugehen.

Und wie Anfang Jahr zu sehen war, taugen entwendete Dokumente auch bestens dazu, Leute zu erpressen oder öffentlich blosszustellen: Bei diesem «Doxing»-Fall in Deutschland hat ein jugendlicher Täter persönliche Daten von fast 1000 deutschen Politikern und Prominenten gesammelt und auch über Twitter verbreitet. Selbstschutz ist also nötiger und wichtiger denn je.

1. Es muss nicht alles in die Cloud

Die grossen, beliebten Clouddienste sind auch bevorzugte Ziele von Hackern und Cyberkriminellen – allein schon, weil es dort viel zu holen gibt. Wenn man seine Daten nicht dort deponiert, können sie auch nicht gestohlen werden. Das ist einleuchtend, und es gibt längst Möglichkeiten, die Datenhaltung selbst in die Hand zu nehmen. Owncloud.org ist eine freie, kostenlose Software, mit der man Dokumente, Fotos, Videos, Kalender und Adressbuch auf einem eigenen Computer oder einem gemieteten Server ablegt und mit allen PC, Laptops, Smartphones und Tablets Zugriff hat: der Komfort der Cloud, aber ohne die Abhängigkeit. Natürlich hat das einen Preis: Die Installation ist aufwendig und setzt ein bisschen Fachwissen voraus. Und vor allem: Man ist selbst für die Sicherheit verantwortlich. Wenn man zum Beispiel die Updates vernachlässigt, sind die Daten gefährdeter als bei einem der grossen Anbieter im Netz. Eine pflegeleichte Lösung ist Resilio Sync (Resilio.com): Dieses Programm (Bild oben) synchronisiert Dokumente zwischen allen Geräten – via Internet, aber ganz ohne Cloud.

2. Abklären, ob Sie gehackt wurden

Mehrere Dienste verraten nach Eingabe einer E-Mail-Adresse, ob diese Adresse über ein Datenleck in die Öffentlichkeit geraten ist. Bei einem positiven Resultat hängt es von den Umständen ab, ob Handlungsbedarf besteht: Falls Sie Ihr Passwort länger nicht geändert haben und von dem betroffenen Webdienst nicht umgehend dazu aufgefordert werden, sollten Sie das von sich aus veranlassen. Falls Sie sich bei der betroffenen Website mit einem Passwort angemeldet haben, das auch andernorts zum Einsatz gekommen ist, dann haben Sie keine andere Wahl, als dieses Passwort überall zu ändern – und zwar so schnell als möglich, so lästig das auch sein mag. Überprüfen Sie auch, ob die betroffene Mailadresse sicher, das heisst, durch ein starkes Passwort geschützt ist, damit sie nicht weiter missbraucht werden kann. Eine Überprüfung können Sie bei Haveibeenpwned.com oder bei Monitor.firefox.com durchführen. Sie haben auch die Möglichkeit, Ihre Mailadresse zu hinterlegen, damit Sie bei einem künftigen Vorfall gewarnt werden, sobald er erkannt wird.

3. Zwei-Faktor-Authentifizierung

Viele Websites, namentlich von Google, Microsoft, Apple, Amazon oder Adobe, sind inzwischen über die Zwei-Faktor-Authentifizierung (auch zweistufige Überprüfung oder Bestätigung in zwei Schritten genannt) geschützt. In einer gewissen Regelmässigkeit muss der Zugang über einen SMS-Code oder eine Authentifizierungs-App bestätigt werden. Da dieser zweite Faktor nur einmalig gültig ist, kann er nicht entwendet werden. Auf diese Weise lässt sich die Sicherheit stark erhöhen – allerdings um den Preis einer etwas umständlicheren Anmeldung.

4. Verringern Sie Spionagemöglichkeiten im Browser

Auch im Browser sind die persönlichen Daten unter Umständen gefährdet. Firefox erhöht die Datensicherheit beim Surfen über zwei Erweiterungen. Die erste ist Facebook Container: Sie isoliert das soziale Netzwerk von den übrigen Web-Aktivitäten, sodass Facebook nicht mehr die Möglichkeit hat, einen über die omnipräsenten Like-Knöpfe und Facebook-Anmeldeoptionen nachzuverfolgen. Die helfen dem sozialen Netzwerk, Nutzer auch ausserhalb der eigenen Plattform zu tracken.

Das zweite Add-on heisst Multi Account Containers. Es stellt isolierte Umgebungen bereit, die man nach eigenen Wünschen bestücken kann: So lassen sich Banking- oder Shopping-Aktivitäten in separaten Umgebungen abwickeln. Das verringert die Gefahr, dass diese Aktivitäten von Datensammlern oder Datendieben protokolliert werden. Nebenbei ist es möglich, sich beim gleichen Dienst mit unterschiedlichen Log-ins anzumelden, um beispielsweise private und berufliche Tätigkeiten zu trennen. Schliesslich lassen sich bestimmte Umgebungen auch ausblenden. Das ist dann handfester Datenschutz im Büro, weil den Kollegen ein neugieriger Blick auf den Bildschirm verwehrt bleibt.

5. Mobile Geräte absichern

Auch auf den Geräten müssen Daten sicher sein: Schützen Sie Smartphone und Tablet mit Geräte-PIN oder Passphrase und ggf. auch mit Fingerabdrucksensor oder Gesichtserkennung.

Stellen Sie bei PC und Laptops sicher, dass die Firewall eingeschaltet ist, und verwenden Sie bei Windows den eingebauten Virenscanner. Führen Sie die Updates von Betriebssystem, Anwendungen und Apps möglichst zeitnah aus. Und bei Windows und Mac bringt die Verschlüsselung mehr Sicherheit. Infos dazu finden Sie im Beitrag «Wie Sie sich vor Hackern schützen» auf der Website dieser Zeitung.

6. Ein Programm für sicher Passwörter

Wer seine Online-Identität und die persönlichen Daten schützen will, der darf Zugangsdaten auf keinen Fall wiederverwenden: Es braucht für jedes Log-in ein separates Passwort, und das sollte möglichst lang und nicht automatisch zu erraten sein.

Ein Passwortmanager erleichtert den Umgang mit Log-in-Daten: Das Programm erzeugt sichere Passwörter nach dem Zufallsprinzip, die Sie sich nicht zu merken brauchen: Die Passwörter werden verschlüsselt in einer Datenbank gespeichert, die wiederum durch das Hauptkennwort geschützt wird. Merken müssen Sie sich nur dieses einzelne Passwort, mit dem die Datenbank entsperrt wird. Bekannte Passwortmanager sind Keepass (Keepass.info, kostenlos), LastPass (Lastpass.com, ab 2 US-Dollar pro Monat für Premium) und 1Password (1password.com, ab 3 US-Dollar pro Monat). Es gibt auch Apps für Smartphones und Tablets.

Es gibt Programme für Teams, mit denen sich Passwörter für Arbeitsgruppen definieren und notfalls schnell ändern lassen, z.B. Dashlane (Dashlane.com, kostenlos, Premium ab 3.33 US-Dollar pro Monat). Beim Mac verwalten Safari und das Schlüsselbund-Programm Passwörter.

