Unter dem Radar

Wie gefährdet ist Otto Normalverbraucher im Web wirklich und wie kann man sich schützen?

So schön die Digitalisierung auch ist, sie hat Schattenseiten. Doch in welchem Maß bedrohen Hacker und Co. tatsächlich auch den Durchschnitts-Surfer?

Web-1.jpg

Es ist noch nicht lange her, als durch den „WannaCry“-Angriff mal wieder eindrucksvoll bewiesen wurde, wie verwundbar absolut alles heutzutage ist. Und spätestens seit der Snowden-Affäre weiß jeder „normale“ User, dass auch seine Daten durch die Großrechner von Geheimdiensten laufen können. Da fragt man sich natürlich, wie gefährdet man als Privatmensch in einer vernetzten Welt ist. Wie groß die Gefahr ist und wie Sie sich schützen können, erfahren Sie hier.

Vernetzung – Segen und Fluch

Vernetzung ist die Grundlage all dessen, was wir heute mit dem „Internet of Things“ (IoT) verbinden. Doch genau hier liegt leider auch die Wurzel allen Übels, das daraus erwachsen kann.

a) Ein Gral namens Komfort

Online-Banking
Klar, es ist einfach bequemer seine Bankgeschäfte von der Couch aus zu erledigen. Und wer dank Filialsterben nun in einer „Bank-Wüste“ lebt, hat oft auch schlicht keine andere Option.

Berührungsloses Zahlen
Statt die EC- oder Kreditkarte ins Lesegerät zu stecken, hält man sie einfach vor das Gerät und die Daten werden drahtlos gelesen. Dies bringt bei näherer Betrachtung praktisch nichts, lässt sich aber als komfortabler und schneller vermarkten.

Social Media
Facebook und Co. bringen die Menschheit zusammen. Bloß glauben Unbedarfte, dass es sich dabei um eine Wohlfahrtorganisation handelt, die aus reiner Menschenfreundlichkeit den Webspace zur Verfügung stellt. Dem ist nicht so, wie noch zu lesen sein wird.

Zahlen.png

Der Online-Kauf
Online Einkaufen kennt seit Jahren nur eine Richtung: Steil bergauf. Auch hier ist der Komfort überdeutlich, denn am Küchentisch shoppt es sich wesentlich entspannter als in der Innenstadt mit den staatlich verordneten Ladenschlusszeiten im Nacken und dem eher überschaubaren Angebot.

Das große Problem der Freiwilligkeit
Insgesamt ergibt sich folgendes Bild: Gegen ein Komfort-Versprechen sind viele gewillt, freiwillig Daten preiszugeben, die sie offline niemals herausrücken würden. Würde man im Laden dem Verkäufer seine politische Meinung nennen oder einem Wildfremdem Badehosen-Fotos vom Strandurlaub zeigen? Sicher nicht. Doch wissen viele nicht, was online mit ihren Daten geschieht.

Hype und echte Gefahren: Zwei Paar Schuhe

Die mediale Komponente
Nun muss man allerdings differenzieren. Klar ist, dass im Internet ähnlich viel Schindluder getrieben wird wie offline, auch mit persönlichsten Daten. Bloß steht das Web wegen seinem, nach wie vor bei vielen vorhandenen „Neuheitsfaktor“ unter Beobachtung. Jüngstes Beispiel ist der WannaCry-Angriff. Unter dem leiden nicht nur Privatpersonen, sondern sogar ein französischer Autohersteller, deswegen seine Produktion pausieren musste.

Für die Medienwelt ein gefundenes Fressen; wo es ein Bankraub nur in die Lokalzeitung schafft, werden Web-Angriffe und Geheimdienst-Skandale überregional bekannt und bekommen somit für den Einzelnen eine höhere Gewichtung und somit Bedrohungspotenzial.

Analogie zur Rasterfahndung
Und genau hier wird die User-Wahrnehmung verzerrt. Jeder erinnert sich an die NSA-Affäre und die Empörung, die er im Wissen empfand, dass auch seine Daten irgendwelche Geheimdienst-Rechner durchlaufen sind. In Wahrheit ist der Skandal eigentlich normale Praxis, die es in Form der Rasterfahndung seit Jahrzehnten gibt.

Otto Normalverbraucher – Beifang der Terroristenhatz
Damit soll natürlich nichts entschuldigt werden, aber es ist eben eine Tatsache, dass Geheimdienste, selbst wenn sie Daten von Otto Normalverbraucher mitsammeln, nicht primär an diesem interessiert sind. Normalsterbliche sind hier „Beifang“. Das ist zwar nicht schön, aber es beweist mit dem nächsten Punkt die angesprochene verzerrte User-Wahrnehmung:

Es geht um Geld, um immens viel Geld

Handy-1.jpg
Jedes Selfie, jedes Like, jeder Kommentar macht Social-Media-User transparenter und ermöglicht es, ihnen zielgerichtetere Werbung zu präsentieren - ein Milliardengeschäft.

Denn genau andersherum sieht es dort aus, wo die wenigsten einen Eingriff in ihre Privatsphäre vermuten, bei den „guten Webseiten“. Um es klar auszudrücken: Jede Webseite sammelt Daten und wertet diese zu ihrem eigenen Nutzen aus. Amazon etwa kann durch Suchanfragen, Käufe und Klicks seiner Besucher sehr genau voraussagen, was diese als nächstes sehen wollen und präsentiert entsprechendes.

Mittlerweile gibt es auch Unternehmen, die sich nur dem Auswerten dieser „Big Data“ für andere Konzerne verschrieben haben. Sie sammeln die über Browser-Cookies, Social-Media-Einträge usw. freiwillig getätigten Angaben und können so ein unglaublich präzises Profil erstellen – völlig legal, denn wer heute Webseiten besucht, muss freiwillig zustimmen, dass diese Cookies setzen.

Das Ziel? Werbung. Je genauer man einen Benutzer kennt, desto exakter lässt sich sein Kaufverhalten vorhersagen. Hier ist das Internet und vor allem die Freiwilligkeit, mit der viele intimste Daten preisgeben werden, als einen gigantischen Krake verbildlichen. Denn es geht um Milliarden und Aber-Milliarden Euros an Verkaufs- und Werbeeinnahmen. Und das womöglich schlimmste: Die wenigsten User sehen dies als Skandal an.

Nichts ist wirklich sicher
Doch zurück zur Internetsicherheit. Natürlich kann man sich eklatant falsch verhalten. Gleichsam muss man aber auch einsehen, dass on- wie offline nichts 100%ig sicher ist. Wer absolute Sicherheit will, darf das Internet nicht benutzen und auch kein anderweitig vernetztes Gerät, angefangen bei modernen Fernsehern.

Übertriebene Panik bringt gar nichts
Und weil „offline gehen“ schwierig bis teilweise unmöglich ist, sollte man zumindest versuchen, nicht der allgemeinen Panikmache zu erliegen. Längst nicht jeder ist ein Ziel für Geheimdienste und Hacker. Viel wichtiger ist es, Vernunft beim normalen Surfen zu zeigen, denn dort liegen die echten Gefahren des Abgreifens von Daten.

Zwischenfazit
Im Web gibt es Gefahren – Punkt. Allerdings liegen diese nicht dort, wo man sie durch viele Skandale vermutet, sondern viel mehr im legalen Raum. Die größte Gefahr ist das eigene Nutzungsverhalten, denn es gibt immer jemanden, der damit Geld verdienen möchte.

Hier lauern die echten Gefahren für Otto Normalverbraucher

Nichtsdestotrotz gibt es natürlich auch für Normalsterbliche einige Gefahren. Diesen widmet sich der folgende Abschnitt in Stichpunkten

Online-Banking

Die Gefahr
Das TAN-Verfahren soll Online-Banking sicher machen. Das tut es aber nur, wenn man sich an die sieben Sicherheitsschritte hält. Andernfalls könnten Diebe die eigenen Kontodaten abgreifen und einen um sein Geld bringen.

Mögliche Vorgehensweisen der Täter
Auslesen von Nutzerdaten, Anlegen gefälschter Websites (Phishing), ausnutzen von zu laschen Passwörtern.

Risikoabschätzung
Hoch. In der Vergangenheit wurden immer wieder auch Privatpersonen Opfer von Angriffen beim Online-Banking und selbst wenn das Geld prinzipiell versichert ist, ist der Ärger dennoch enorm.

Geldautomat.png

Web-Einkauf allgemein

Die Gefahr
Je mehr Zahlungsmöglichkeiten eine Webseite anbietet, desto größer die Optionen für Kriminelle, Kundendaten abzufischen. Vor allem, weil es viele kleinere Shops mangels IT-Wissen mit der Sicherheit nicht so genau nehmen.

Mögliche Vorgehensweisen der Täter
Anlegen von Fake-Verkaufsseiten, abgreifen von Kundendaten.

Risikoabschätzung
Mittel. Viele Zahlungsanbieter übernehmen die Sicherheitsaspekte. Doch können gerade die kleineren davon oft weniger leisten.

Pässe und Co. mit RFID

Die Gefahr
Wo RFID draufsteht, besteht immer die Möglichkeit, die auf diesen Chips gespeicherten Daten auszulesen. Weil Reisepässe und Personalausweise standardmäßig mit RFID ausgestattet sind, haben Täter die Möglichkeit, diese Daten und somit die Inhaber-Identität zu stehlen – aus der Distanz.

Mögliche Vorgehensweisen der Täter
Nach Aktivierung durch ein Funksignal senden RFID-Chips ihre Daten aus. Empfangen kann sie jedes entsprechend ausgestattete Gerät. Vor allem in Menschenmengen ist es deshalb leicht, so dicht an RFID-Besitzer zu gelangen, dass die Daten gestohlen werden können.

Risikoabschätzung
Mittel. RFID-Chips können zwar leicht ausgelesen, aber ebenso leicht abgeschirmt werden. Es bleibt das Risiko, beim tatsächlichen Benutzen ausgespäht zu werden.

Mal- und Spyware

Die Gefahr
Man fängt sich auf Computer, Handy und Co. Software ein, die wahlweise das Gerät für eine Lösegeldzahlung blockiert, im Hintergrund Programme installiert, Verhaltensweisen abgreift oder die Rechenkapazität zur Weiterverbreitung der Schadsoftware nutzt.

Mögliche Vorgehensweisen der Täter
Die erfolgreichsten Einbruchstellen sind immer noch heruntergeladene Daten (E-Mail-Anhänge, Programme, Filme, Musik usw.), hinter denen sich Schadsoftware versteckt.

Risikoabschätzung
Hoch. Jeder kann zum Opfer werden, selbst wenn er von einer eigentlich vertrauenswürdigen Quelle Daten herunterlädt. Ständig aktualisierte Schutzprogramme sind eine gute Versicherung.

Amazon & Co. die Giganten des Handels

Die Gefahr

Datendiebstahl ist bei den großen Händler-Giganten kaum ein Problem. Dafür aber die Produkte, die dort angeboten werden. Etwa die Amazon-Echo-Baureihe, die prinzipiell den gleichen Gefahren unterliegt, wie viele andere IoT-Anwendungen.

Mögliche Vorgehensweisen der Täter
Täter könnten sich in die Verbindung hacken und von dort mithören, was der Besitzer sagt und tut.

Risikoabschätzung
Gering. Einerseits ist die Verbreitung solcher Geräte noch recht gering, andererseits tun „die Großen“ viel dafür, dass ihr Prestige nicht durch solche Einbrüche leidet.

Google – mehr als eine Suchmaschine

Die Gefahr
Google selbst ist weniger eine Gefahr – dafür aber vieles, was einem als Suchergebnis angezeigt wird. Darunter irreführende Werbungen oder Webseiten für gefälschte Produkte.

Mögliche Vorgehensweisen der Täter
Die Täter versuchen, Googles Sicherheitssysteme zu unterlaufen und Seiten in die vorderen Suchergebnisse zu bekommen, die dem User Schaden zufügen.

Risikoabschätzung
Hoch. Denn Google filtert zwar vieles, aber je „echter“ eine Seite wirkt, desto größer das Risiko, als Unbedarfter darauf zu gelangen.

Social Engineering

Die Gefahr
Social Engineering ist die Online-Variante des Trickbetrugs. Täter versuchen, einen User zur Herausgabe von Daten zu bewegen, um damit Straftaten zu begehen.

Mögliche Vorgehensweisen der Täter
Social Engineering funktioniert darüber, dass die Täter vertrauensvoll wirken, etwa durch Anrufe, E-Mails oder Webseiten. Sie geben sich als Autoritätsperson aus und entlocken einem so sensible Daten.

Risikoabschätzung
Gering. Seriöse Institutionen (Banken, Behörden etc.) würden Kunden niemals per Mail oder Anruf um Passwörter und Co. fragen. Wer das beherzigt, kann das Risiko weitestgehend eliminieren.

Facebook weiß was Du tust – immer

Die Gefahr
Neben den angesprochenen Gefahren der Daten-Sammelei ist es vor allem falsches Userverhalten, das zu Problemen führt. Etwa, dass Sicherheitseinstellungen nicht richtig bedient werden und Daten öffentlich zu sehen sind.

Mögliche Vorgehensweisen der Täter
Es wird ausgenutzt, dass User für alle Welt sichtbar posten, dass sie gerade im Urlaub sind. Zusammen mit einer eingegebenen Adresse braucht es dann nur noch eine Fahrt, um das Haus leerzuräumen.

Risikoabschätzung
Mittel. Facebooks Sicherheitseinstellungen sind unrühmlich verwirrend und schwer richtig einzustellen. Wer aber zumindest seine genaue Adresse nirgendwo eingibt und vielleicht auch nicht Fotos á la „Am Flughafen, sehen uns in drei Wochen“ postet, kann solche Angriffe wirksam unterbinden.

So schützt man sich wirkungsvoll

Das Risiko ist für Otto Normalverbraucher zwar nicht so hoch, wie oft dargestellt, gleichzeitig aber durchaus existent. Mit richtigen Verhaltensweisen kann man es weiter senken.

a) Offline-Schutz

Bares schützt
Online-Schutz fängt offline an. Wer Bargeld verwendet, kann kein Bankkarten-RFID-Opfer werden. Deshalb sollte man es sich zur Routine machen, alles vom Wocheneinkauf bis zur größeren Anschaffung mit Scheinen und Münzen zu bezahlen.

Augen auf am Geldautomaten
Natürlich bietet Bargeld-Abheben auch einen Angriffspunkt, weil es vielerorts unmöglich ist, sich Geld am Schalter auszahlen zu lassen. Umso wichtiger ist es, nicht nur die wichtigsten Geldautomaten-Betrugsmaschen zu kennen, sondern sie zu umgehen:

  • Niemals Geld an Straßenautomaten abheben, sondern nur in Filialräumen.
  • Den Kartenschacht prüfen und daran wackeln, um sicherzugehen, dass kein echt wirkendes Lesegerät davorgesteckt wurde.
  • Das Eingabefeld auf gleiche Weise prüfen. Dabei auch auf dünne Tastenfolien achten.
  • Auf verdächtig neu aussehende und/oder abstehende Teile achten.
  • Nach kleinen Kameralinsen, auch im Umfeld des Automaten suchen.
  • Immer mit dem Oberkörper und der freien Hand die PIN-Eingabe abdecken.

Sobald einem an einem Automaten irgendetwas verdächtig vorkommt, das Personal informieren und niemals während (unbeobachteter) Ladenschlusszeiten Geld ziehen.

Eine echte Trennung gibt es nicht mehr
Schon das Geldautomaten-Beispiel zeigt, dass es heutzutage, selbst offline praktisch unmöglich ist, von Onlinekriminalität verschont zu bleiben. Und wie am Geldautomaten lässt sie sich nur durch konsequenten Verzicht auf vermeintlich einfache, digitale Lösungen reduzieren.

  • Niemals vernetzte Elemente bei sicherheitsrelevanten Anwendungen verwenden (Kameras, Rauchmelder, Alarmanlagen, Schlösser)
  • Online empfangene Aufforderungen (etwa von der Bank) immer durch Besuch oder Anruf verifizieren
  • Kritische Handlungen (abschließen von Krediten, Autokauf usw.) niemals online tätigen, sondern nur vor Ort
  • Bei allen Karten, Ausweisen etc. sicherstellen, dass die RFID-Chips deaktiviert sind. Notfalls selbst deaktivieren (Achtung: bei Ausweisdokumenten eine Straftat!). Im Zweifelsfall diese Dokumente in auslesesicheren Hüllen lagern und nur herausnehmen, wenn sie tatsächlich unmittelbar benötigt werden.
  • Keine Werbegeschenke etc. annehmen, die einen auffordern, online Gewinncodes oder Ähnliches zu bestätigen.

Zugegeben, es ist schwierig aber machbar. Man muss nur viel Konsequenz zeigen.

Online-Schutz

So viele Daten wie nötig, so wenig wie möglich

Fitness.jpg
Im sozialen Netz sollte man niemals persönliche Daten preisgeben, die über den Wohnort hinausgehen - schon das ist eigentlich zu viel.

Ohne Online geht es heute in vielen Fällen nicht mehr. Dann aber sollte nur ein Minimum an Daten verraten werden:

  • Auf Social-Media-Accounts keine Adressangaben machen, die über den Wohnort hinausgehen
  • In Profilen nur den Namen eingeben, nicht das Geburtsdatum und erst recht keine Angaben zum persönlichen Werdegang usw. Das ist ein soziales Netzwerk, kein Vorstellungsgespräch
  • Den Browser auf allen Geräten so sicher wie möglich machen.
  • Niemals unter Klarnamen Stellung zu gesellschaftlichen Themen beziehen (etwa auf den Facebook-Portalen von Nachrichtenseiten)
  • Gepackte E-Mail-Dateianhänge immer durch einen Virenscanner prüfen.
  • Keine Artikel, Käufe usw. durch Klick auf den Linkbutton zu Social-Media-Profilen teilen
  • Keine Firmen, Parteien oder Organisationen „liken“.
  • Bei Online-Käufen idealerweise auf Nachnahme, Rechnung oder Vorkassen-Überweisung als Zahlungsart setzen.

Auf diese Weise hinterlässt man deutlich weniger digitale Fingerabdrücke. Wenngleich es unmöglich ist, sie komplett zu eliminieren.

Grafik 3.png

Das Reserve-Bankkonto
Wer viel online kauft und dort nicht auf den Komfort von Kreditkarte, Bankeinzug und Co. verzichten möchte, kann ein zweites Konto anlegen, das nur für diesen Zweck existiert. Auf dieses Konto kann man dann monatlich per Dauerauftrag eine bestimmte Summe überweisen. Selbst wenn einem die Bankdaten beim Shoppen gestohlen werden, ist nur dieses Geld in Gefahr und nicht das auf dem Haupt-Konto.

Nicht auf alles klicken
Mit diesem einfachen Trick nehmen Sie 25 Kilo ab“. Solche und ähnliche Sensationsmeldungen liest man selbst auf ansonsten seriösen Seiten zuhauf. Der Trick ist es, niemals auf so etwas zu klicken. Selbst wenn sich dahinter keine Kriminellen verbergen, handelt es sich doch um Clickbait, dem Fingieren von möglichst aufsehenerregenden Inhalten, um User dazu zu bringen, auf diesen Link zu klicken – für jeden Klick bekommt der Seitenbetreiber Geld.

Passwörter leichtgemacht
Man sollte nicht glauben, wie viele Menschen auch heute noch Dinge wie „1234“ oder „Passwort“ als Passwort für etwas verwenden. Dabei sind sichere Passwörter wirklich nicht schwer. Und wer dann noch für jeden Account ein anderes verwendet, macht es praktisch unmöglich, ihm großflächigen Schaden zuzufügen – da ein gutes Passwort von normalen Online-Kriminellen schon extrem schwer zu knacken ist. Natürlich könnte man Passwort-Generatoren verwenden. Allerdings spucken diese meist Codes aus, die man sich unmöglich merken kann. „Menschenfreundlicher“ geht es auf folgende Weise:

  1. Man denke sich einen gut merkbaren Eselsbrücken-Satz aus. Etwa der Klassiker „Mein Vater erklärt mit jeden Sonntag unsere neun Planeten“ (diesen bitte jetzt nicht nehmen, er dient nur als Beispiel und ist damit nicht sicher)
  2. Von diesem Satz setzt man nun die Anfangsbuchstaben in Groß- und Kleinschrift zu einem Wort zusammen: MVemjSunP. Ein Hacker müsste dann nicht nur neun Zeichen erraten, sondern auch Groß- und Kleinbuchstaben.
  3. Weil aber bei Passwörtern gilt „je länger, desto besser“, setzt man nun zwischen jeden Buchstaben abwechselnd einen Unter- bzw. Bindestrich M_V-e_m-j_S-u_n-P
  4. Je verwirrender das Passwort, desto komplexer wird es zu knacken. Wer sich das bisherige Passwort gut merken kann, ersetzt einzelne Buchstaben noch durch optisch ähnlich aussehende Zahlen und Sonderzeichen /\/\_\/-3_m-1_5-u_n-P

Jetzt wurde aus einem logisch zu merkenden Satz ein Passwort mit 21 unterschiedlichen Symbolen und kaum erkennbarer Logik. Und gemäß den Rechenregeln fürs Passwortknacken bräuchte man hier mehrere Billionen Jahre, um es herauszufinden.

Tor-Netzwerk
Waren die bisherigen Tipps noch wirklich „Normalverbraucher-Gelände“, betreten wir nun „Enthüllungsjournalisten-Niveau“, das TOR-Netzwerk. Für den Hausgebrauch ist ein solches Netzwerk in wenigen Schritten aufgebaut und dabei so sicher, dass normale Kriminelle – so man sich innerhalb des Netzwerks richtig verhält – einen gar nicht mehr ausspähen können. Wirklich geknackt werden kann TOR wenn überhaupt nur von Geheimdiensten und selbst dann nur unter monatelangen Anstrengungen.

Es reichen schon die richtigen Einstellungen

Dabei muss man sich online nicht einmal so verhalten, als wäre man ein Agent auf geheimer Mission. Für Otto Normalverbraucher reicht es schon, auf den jeweiligen Webseiten, im Browser und der Firewall die richtigen Regler zu betätigen. Und einmal mehr, ein wenig auf Komfort zu verzichten. Etwa, das drahtlose Synchronisieren von Daten oder andere Cloud-Anwendungen.

Stichwort Smartphone
Ein letzter Sicherheitsaspekt sei den Smartphones und Tablets vorbehalten. Zuzüglich der bislang genannten Regeln sollte man folgendes tun:

  • Für die zwingend notwendige Aktivierung des Accounts (etwa bei Android) eine „Wegwerf-E-Mail-Adresse“ erstellen.
  • Die GPS-Funktion ausgeschaltet lassen und nur aktivieren, wenn man sie tatsächlich benötigt (etwa zum Navigieren)
  • Die Berechtigung der einzelnen Apps so weit limitieren, wie es nur möglich ist.
  • Daten nur physisch auf dem Gerät speichern und nur per Kabel an den PC übertragen (nicht in die Cloud)
  • Den Sperrbildschirm per Passwort- oder PIN-Abfrage blockieren (und regelmäßig das Display reinigen, um verräterische Fingerspuren zu entfernen)
  • Keine öffentlichen WLAN-Netze verwenden
  • Keine Social-Media-Funktionen nutzen, die die Telefonnummer oder die der gespeicherten Kontakte wollen
  • Apps nur von den Betriebssystem-eigenen Plattformen und nie von unseriösen Drittanbietern installieren
  • Keine wichtigen Daten auf dem Gerät speichern (etwa Bank-PINs usw)

Wer auf extreme Sicherheit setzen will, sollte sich zudem auch fragen, ob es überhaupt ein Smartphone sein muss. Wer nicht auf dedizierte Smart-Anwendungen (etwa Messenger) angewiesen ist und die restlichen Apps bloß für den Komfort haben will, sollte überlegen, ob es nicht auch ein „Dumb-Phone“ täte – in vielen Fällen tut es das nämlich.

Zusammenfassung und Fazit
Datenschutz im Netz ist eine Medaille mit zwei Seiten. Auf der einen ist es so, dass die Möglichkeiten des Internets eben tatsächlich viele neue Angriffspunkte eröffnen, die auch Otto Normalverbraucher schaden können. Auf der anderen Seite sind es aber weniger „die“ Geheimdienste, die uns alle überwachen, sondern eher typische Kriminelle und vor allem Konzerne. Und selbst wenn es letzteren nicht um tatsächlich kriminelle Aktivitäten geht, liegt hier doch der wichtigste Punkt, an dem Datenschutz zum Problem für Jedermann wird. Grundsätzlich ist übertriebene Panik jedoch fehl am Platz.