63936

Sicherheitsmythen im Check: Was stimmt, was nicht?

07.05.2019 | 08:06 Uhr | Arne Arnold

Was vor Kurzem noch als sicher galt, ist es heute vielleicht schon nicht mehr. Wir klären auf, worauf man wirklich achten sollte.

Welche Infos zur IT-Sicherheit noch aktuell sind – und was hingegen zu den IT-Mythen gezählt werden muss, erfahren Sie hier.

Zwei-Faktor-Authentifizierung per SMS: Wie sicher ist das wirklich?

Mythos: Die Zwei-Faktor-Authentifizierung (2FA) gilt als sehr sicher. Ein so geschütztes Konto soll sich nicht knacken lassen.

Darum geht’s: Die Zwei-Faktor-Authentifizierung wird von vielen Onlinediensten angeboten, etwa Amazon, Gmail und Outlook.com. Bei der 2FA muss man beim Log-in zusätzlich zum Benutzernamen und Passwort noch einen zweiten Code eingeben. Dieser wird vom genutzten Dienst zum Beispiel per SMS auf das Handy des Nutzers gesendet oder durch eine App alle paar Sekunden neu erzeugt.

Die Wahrheit: Leider ist die Zwei-Faktor-Authentifizierung nicht zu 100 Prozent sicher. Im vergangenen Jahr konnten Angreifer gleich mit zwei Methoden in Konten eindringen, die per 2FA geschützt waren. Bei der ersten Methode hatten sich die Angreifer eine neue SIM-Karte vom Mobilfunk-Provider ergaunert. Die Masche wird SIM-Swapping genannt. Die Angreifer nehmen eine bestimmte Person ins Visier und finden deren Handynummer heraus. Dann melden sie sich beim Mobilfunk-Provider und geben vor, die SIM-Karte verloren zu haben. Nachdem der Provider eine neue Karte versendet hatte, mussten die Angreifer diese im Briefkasten abfangen. Oder sie konnten den Provider überreden, die Karte an eine abweichende Adresse zu versenden.

Schließlich benötigten die Hacker noch das Log-in-Passwort von ihren Opfern, das sie sich etwa per Schadcode besorgen konnten. Zusammen mit der SIM-Karte gelangen sie so auch in ein 2FA-geschützes Konto. Die Angreifer hatten es bei dieser aufwendigen Methode auf die Konten von Bitcoin-Besitzern abgesehen. Zumindest einer der Angreifer konnte festgenommen werden und wurde 2018 zu zehn Jahren Haft wegen des Diebstahls von Bitcoins im Wert von fünf Millionen Dollar verurteilt.

So sieht ein preisgünstiger U2F-Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung aus.
Vergrößern So sieht ein preisgünstiger U2F-Sicherheitsschlüssel für die Zwei-Faktor-Authentifizierung aus.

Die zweite Methode lief über klassische Phishing-Angriffe. Laut Amnesty International gelang es Angreifern, Mailkonten bei Google und Yahoo zu knacken, obwohl diese per 2-Faktor-Authentifizierung geschützt waren. Die Opfer, Menschenrechtsaktivisten im Nahen Osten und Nordafrika, sollen Phishing Mails erhalten haben. Diese gaben vor, von Google oder Yahoo zu stammen und ein Problem mit dem Mailkonto zu melden. Die Phishing-Mails und -Sites soll täuschend echt ausgesehen haben. Der Empfänger wurde darin aufgefordert, sich in seinem Konto per 2FA anzumelden. Wer dem nachgab, gab sein Konto an die Angreifer preis.

Siehe auch: 10 Fragen zu Sicherheit und Malware bei Windows 10

So schützen Sie sich: Gegen das SIM-Swapping hilft unter Umständen ein gut geschützter Briefkasten, aus dem der Angreifer keinen Post stehlen können. Eine Garantie gegen SIM-Swapping ist das allerdings nicht, da die Angreifer den Mobilfunk-Provider auch dazu überreden können, die neue SIM-Karte an eine andere Adresse zu versenden. Besser schützen Sie sich mit einem U2F-Sicherheitsschlüssel (Universal Second Factor) statt mit einer SMS für den zweiten Faktor. Der Sicherheitsschlüssel ersetzt das Smartphone als zweiten Schlüssel komplett. Er kostet nur ein paar Euro und wird von vielen Diensten mit 2FA unterstützt. In der einfachen Variante steckt man den U2F-Key in den USB-Anschluss des Rechners, um sich zu identifizieren. Es gibt auch Keys, die sich per Bluetooth nutzen lassen. Diese Schlüssel werden aber von weniger Diensten akzeptiert. Wie ein solcher Bluetooth-U2F-Key zum Beispiel für das Google-Konto funktioniert, zeigt dieser Ratgeber .

Gegen Angriffe per Phishing hilft nur allergrößtes Misstrauen gegen alle Mails, die von Ihnen Log-in-Daten fordern. Wenn sich etwa Ihr Mailanbieter mit einem angeblichen Problem bei Ihnen meldet, dann nutzen Sie auf keinen Fall den Link in der Mail. Besuchen Sie stattdessen den betreffenden Dienst wie gewohnt über seine Startseite, und melden Sie sich dort an. Wenn es tatsächlich ein Problem mit Ihrem Konto gibt, wird das auch der übliche Anmeldeprozess oder eine Nachricht in Ihrem Konto anzeigen.

Zwei Virenscanner auf einem PC: Blockieren sie sich gegenseitig?

Mythos: Wer auf seinem PC zwei Antivirenprogramme installiert, muss mit Windows-Bluescreens rechnen oder steht am Ende mit zwei defekten Antiviren-Tools da. Denn die beiden Programme blockieren entweder das Windows-System oder sie fressen sich gegenseitig digital auf.

Darum geht’s: Ein Antivirenprogramm greift tief in das System von Windows ein und überwacht fortlaufend, das Dateisystem sowie etliche Windows- und andere Programmschnittstellen (APIs).

Was nicht geht: Zwei klassische Virenwächter auf einem System.
Vergrößern Was nicht geht: Zwei klassische Virenwächter auf einem System.

Die Wahrheit: Tatsächlich soll man keine zwei vollwertige Antivirenprogramm unter Windows installieren. Meist kann man das auch gar nicht, da die meisten Programme ihre Installation verweigern, wenn sie ein anderes Antivirenprogramm auf dem PC entdecken.

Doch gibt es auch eine ganze Reihe von Ausnahmen: So lassen sich zu einem kompletten, bereits installiertem Antivirenprogramm fast alle reinen Virenscanner installieren. Sie unterscheiden sich von einem kompletten Sicherheitspaket darin, dass sie über keinen Virenwächter verfügen. Das trifft zum Beispiel auf die Produkte Eset Online-Scanner , F-Secure Online-Scanner , Kaspersky Virus Removal Tool , oder den Adwcleaner zu (siehe im Kasten unten). Allesamt konzentrieren sich auf die gezielte Suche nach einem bereits existierenden Schädling im System. Ein Wächter, der kontinuierlich das System überwacht, fehlt.

Zusätzlich lassen sich sogar einige Sicherheitstools mit aktivem Wächter installieren. Das funktioniert etwa mit dem sehr empfehlenswerten Tool Acronis Ransomware Protection . Es schützt insbesondere vor Erpresserviren. Doch solche Spezialtools sind eher die Ausnahme.

Siehe auch: Die besten Browser-Addons für sicheres Surfen

Grünes Schlosssymbol im Browser: Ist die Website sicher?

Mythos: Das grüne Schlosssymbol in der Browserleiste bei Chrome, Edge oder Firefox gilt den meisten Surfern als Zeichen dafür, dass die besuchte Website sicher ist. Gefälschte Websites, sogenannte Phishing Sites, soll man daran erkennen, dass diese ohne Schlosssymbol daherkommen.

Darum geht’s: Das Schlosssymbol zeigt, dass die besuchte Website mit einem digitalen Zertifikat versehen ist und die Datenübertragung verschlüsselt abläuft. Das dafür nötige Zertifikat stellen sogenannte Zertifizierungsstellen aus. Das Zertifikat gemäß dem Standard X509 liefert zwingend wichtige Angaben, darunter Namen des Zertifikatsinhabers, Zertifizierungsstelle, Gültigkeitsdauer und Seriennummer. Sie können diese Daten auf einer per httpsverschlüsselten Website selber einsehen, wenn Sie mit der Maus auf das Schlosssymbol vor der Webadresse klicken. Je nach Browser sind noch weitere Klicks nötig, etwa auf „Weitere Informationen“ (Chrome) oder „‚Sichere Verbindung –› Weitere Informationen“ (Firefox).

Die Wahrheit: Sicherheitsforscher haben Ende 2018 herausgefunden, dass mittlerweile auch ein nennenswerter Teil von Phishing Sites mit einem grünen Schloss ausgestattet sind. So berichteten die Experten von Phishlabs , dass in ihrem Test 49 Prozent der Phishing-Seiten ein Schlosssymbol zeigen. Ein Anbieter von digitalen Zertifikaten kam in seiner Stichprobe auf einen noch höheren Anteil an signierten, also mit einem Schloss versehen Phishing-Websites.
So schützen Sie sich: Verlassen Sie sich nicht mehr alleine auf das Schlosssymbol. Wenden Sie statt dessen stets die Sicherheitsmaßnahmen an, die Sie bereits bei einem Phishing-Verdacht anwenden: Rufen Sie wichtige Websites etwa zu Ihrer Onlinebank oder einem anderen Finanzdienstleiter nicht über Links in Mails auf, sondern geben Sie selbst die Adresse in Ihren Browser ein. Kontrollieren Sie die angezeigte Webadresse zudem genau. Weitere Tipps finden Sie im nächsten Punkt.

Übrigens: Google, der Macher von Chrome, war die treibende Kraft dahinter, dass möglichst alle Websites im Internet eine verschlüsselte https-Verbindung anbieten. Phishing-Sites hatten sie dabei allerdings nicht im Sinn. Da nun die meisten Seiten verschlüsselt sind, hat Chrome sich von der grünen Farbe des Schlosssymbols verabschiedet und stellt dieses in Grau dar. Edge und Firefox sind mit Stand Februar 2019 noch beim grünen Symbol geblieben.

Windows 10: Volle Sicherheit mit Bordmitteln

Phishing-Mails: Wie gut sind sie zu durchschauen?

Mythos: Eine Phishing-Mail ist leicht an der schlechten Rechtschreibung und der plumpen Machart zu erkennen. Da fällt niemand drauf rein.

Darum geht’s: Obwohl die Spam-Filter mittlerweile sehr gut geworden sind, landen doch immer wieder Mal gefälschte Mails im Posteingang. Diese Nachrichten wollen Sie auf ebenfalls gefälschte Websites zwecks Datendiebstahl locken.

Man muss nicht naiv sein, um diese Mail glaubhaft zu finden.
Vergrößern Man muss nicht naiv sein, um diese Mail glaubhaft zu finden.

Die Wahrheit: Zugegeben, die meisten Phishing-Mails sind leicht zu erkennen, aber längst nicht alle. Etliche sind sehr nah am Original. Hinzu kommt, dass die Angreifer spätestens seit Ende 2018 Spam-Mails mit fortgeschrittenen Methoden entwickeln.

Dafür verbreiten sie zunächst auf klassischem Wege einen Trojaner namens Emotet auf möglichst vielen PCs. Kann er dort aktiv werden, studiert er die vorhandenen Mails und findet heraus, zwischen welchen Mailadressen aktuelle und häufige Verbindungen bestehen. Er analysiert den Inhalt der Mails und sucht zudem zu gefundenen Mailadressen die passenden Namen aus dem Adressbuch heraus. Mit diesen Daten kann Emotet zielgerichtet neue gefälschte Mails versenden, die von einem Absender stammen, mit dem der Empfänger häufigen Mailkontakt hat und die inhaltlich ebenfalls gut passen. Der Absender ist dabei nicht gefälscht, da Emotet auch noch die Log-in-Daten zum Mailpostfach seiner Opfer stielt. Selbst Experten können eine auf diese Weise sehr gut gefälschte Mail nicht auf Anhieb von einer echten Nachricht unterscheiden.

So schützen Sie sich: Gegen Phishing-Angriffe auf Ihre Konten hilft nur allergrößtes Misstrauen gegen Mails, die von Ihnen Login-Daten fordern. Über aktuelle Phishing-Attaken und andere Online-Angriffe informiert die empfehlenswerte Website www.onlinewarnungen.de .

Dort finden Sie eventuell Hinweise, ob eine fragliche Mail gefälscht ist. Falls Sie eine gute Fälschung identifizieren, freuen sich die Macher der Site über einen Screenshot, den Sie an www.onlinewarnungen.de senden (unter „Hilfe / Unterstützung“). So kann die Site andere Nutzer warnen.

Öffentliches WLAN: Kann ich darüber anonym surfen?

Mythos: Über ein kostenloses und öffentliches WLAN, etwa in einem Café, kann man unerkannt im Internet surfen.

Darum geht’s: Seitdem das Gesetz zur Störerhaftung gelockert wurde, ist es rechtlich unproblematisch, ein öffentliches WLAN anzubieten. Entsprechend groß sind in Städten mittlerweile die Angebote zum kostenlosen Surfen ohne oder ohne nennenswerte Anmeldung.

Die Wahrheit: In der Regel erhalten Sie keine Informationen darüber, wie das öffentliche WLAN konfiguriert ist. Tatsächlich sind Sie in einem solchen Netz häufig noch gläserner als bei Ihrem Internetanschluss zu Hause. So ist es etwa möglich, dass Ihre Netzwerkverbindung nicht von den anderen Teilnehmern getrennt ist. Somit können diese alle unverschlüsselten Daten, die Sie über das Internet austauschen, mitlesen. Zum anderen kann der WLAN-Router ein ausführliches Protokoll speichern und Sie so enttarnen. Da hilft es nichts, wenn Sie beim Surfen die Eingabe persönlicher Daten vermeiden. Fast immer wird Ihr Notebook oder Smartphone Informationen über Sie preisgeben. Surfen Sie hingegen mit dem Smartphone, genügt es, wenn eine einzige App, in der Sie angemeldet sind, unverschlüsselt nach neuen Daten im Internet sucht.
So schützen Sie sich: Der beste Schutz gegen Mithörer in öffentlichen WLANs ist eine VPN-Verbindung. Diese gibt es mit reduziertem Datenvolumen kostenlos, etwa mit der App My Steganos Online Shield VPN für Android.

VPN: Welchen Schutz bietet ein virtuelles privates Netzwerk?

Mythos: Wer eine VPN-Verbindung für PC oder Smartphone nutzt, der ist im Internet anonym und schützt so seine Privatsphäre.

Darum geht’s: Eine VPN-Verbindung verschlüsselt eine Netzwerkverbindung zum Beispiel von Ihrem PC aus zu einem VPN-Server im Internet. Von dort aus surft man wie gewohnt im Internet. Die Verbindung bis zum VPN-Server gilt wegen ihrer Verschlüsselung als abhörsicher.

Eine VPN-Verbindung schützt Sie beim Surfen in einem öffentlichen WLAN-Zugang.
Vergrößern Eine VPN-Verbindung schützt Sie beim Surfen in einem öffentlichen WLAN-Zugang.

Die Wahrheit: Der Schutz einer VPN-Verbindung ist genau begrenzt. Der Inhalt der Internetverbindung von Ihrem PC bis zum VPN-Server des VPN-Anbieters ist nicht einsehbar. Aber: Jede Webseite, die Sie besuchen, erhält dennoch jede Menge Informationen von Ihnen. Dazu gehört zwar nicht die IP-Adresse, die Sie von Ihrem Internet-Provider erhalten haben, aber die IP-Adresse des VPN-Anbieters. Sollte die Polizei hinter Ihnen her sein, kommt sie mit einem richterlichen Beschluss auch trotz VPN-Anbieter an Ihre Heimatadresse. Die Webseitenbetreiber wiederum nutzen sowohl Cookies als auch einen digitalen Fingerabdruck Ihres Rechners, um Sie wiederzuerkennen. Damit kennt der Betreiber Sie zwar nicht unbedingt namentlich, anonym sind Sie aber auch nicht.

So schützen Sie sich: Wer möglichst anonym und mit möglichst großer Privatsphäre surfen möchte, muss einigen Aufwand betreiben. Am besten klappt das noch mit einem speziellen Surfsystem, das besonders auf Datenarmut getrimmt ist. Empfehlenswert ist das Linux-Live-System Tails . Etwas weniger aufwendig in der Handhabung ist der Einsatz der Software Tor-Browser .

Der Tor-Browser verschleiert Ihre IP-Adresse zuverlässig und ist auf Datensparsamkeit getrimmt.
Vergrößern Der Tor-Browser verschleiert Ihre IP-Adresse zuverlässig und ist auf Datensparsamkeit getrimmt.

Anleitungen und Tipps zu beiden Systemen finden Sie hier . Testtools und Tipps für mehr Sicherheit und Datenschutz bei einer VPN-Verbindung finden Sie in dem PC-WELT-Ratgeber „ Test: Das verrät Ihr VPN über Sie “. Einen Überblick über die besten VPN-Dienste 2019 finden Sie hier .

PC-WELT Marktplatz

63936