8 schlechte Sicherheitstipps, die Sie getrost ignorieren können

bad cybersecurity advice

Im Internet sind viele Sicherheitstipps zu finden. Extrem viele. Obwohl der Großteil dieser Ratschläge nützlich ist, gibt es hier und da einige, die definitiv nicht hilfreich sind. So gibt es immer noch zahlreiche Artikel, die veraltete Empfehlungen enthalten oder mögliche Sicherheitsrisiken, die unnötig aufgebläht wurden. In einigen Fällen sind die Informationen auch schlicht und einfach falsch.

Wir geben Ihnen acht Beispiele von schlechten Sicherheitsratsschlägen, die Sie getrost ignorieren können.

1. Ändern Sie Ihr Passwort regelmäßig.

In der Vergangenheit galt die Empfehlung, Ihre Kennwörter alle paar Monate zu ändern. Der Grund dafür war einfach: Sollte ein Angreifer an eines Ihrer alten Passwörter kommen, wäre dies nicht mehr im Einsatz und daher Ihr Konto sicher.

Dieser Ratschlag ist jedoch veraltet – und das sogar schon seit Jahren. Das sind die Gründe dafür:

Fazit

Anstatt Ihre Kennwörter regelmäßig zu ändern, sollten Sie einen guten Passwortmanager einsetzen, um einen Überblick über Ihre Zugangsdaten zu behalten. Im Idealfall informiert Sie dieser auch, wenn eines Ihrer Passwörter von einer Datenschutzverletzung betroffen ist. Schützen Sie Ihre Konten außerdem mit der mehrstufigen Authentisierung.

2. Scannen Sie keine QR-Codes.

Mit zunehmender Beliebtheit von QR-Codes haben einige Sicherheitsexperten – darunter auch das FBI – Bedenken vorgebracht, dass diese auch von Angreifern eingesetzt werden könnten, um auf Phishing-Seiten umzuleiten und/oder Malware herunterzuladen.

Obwohl dieses Risiko theoretisch gegeben ist, gibt es dafür bisher nur wenige Einzelfälle. Die Gefahr eines Malware- oder Phishing-Angriffs per E-Mail oder SMS ist erheblich höher. Zwar ist der Ratschlag an sich nicht falsch, aber für die meisten Personen liegt dieses Risiko eher am unteren Ende der Prioritätenliste.

Fazit

Das Gefahrenpotenzial beim Scannen eines QR-Codes ist nahezu null. Ob Sie nun per URL oder QR-Code auf eine Seite zugreifen, wenn es um Finanzdaten geht, ist unabhängig davon Kontrolle natürlich immer besser. Um auf der sicheren Seite zu bleiben, überprüfen Sie die URL unbedingt noch einmal oder geben Sie diese am besten doch manuell ein, bevor Sie Informationen herausgeben.

3. Verwenden Sie doch einen Mac.

Übereifrige Apple-Anwender behaupten gerne einmal, dass Macs vor Malware sicher sind. Nach dem Motto, für absoluten Schutz vor Cyberkriminalität, wechsle einfach zu macOS.

In Wirklichkeit ist kein Betriebssystem perfekt, wenn es um Sicherheit geht. Während das geschlossene Ökosystem von Apple mehr Kontrolle hinsichtlich der Softwarequalität bieten mag als die „wilde“ Windows-Umgebung, kann dennoch Malware in Form von Trojanern, Droppern, Ransomware und dergleichen auf einen Mac gelangen.

Der wesentliche Grund dafür, dass es für Mac weniger Malware-Bedrohungen gibt, liegt darin, dass Windows ein größeres Ziel ist. 76 % der Marktanteile liegen bei Windows, während lediglich 16 % der Desktop- und Laptop-Benutzer macOS verwenden. Folglich konzentrieren sich die Cyberkriminellen auf das System mit der größeren Nutzerbasis, weil dort die Erfolgsaussichten entsprechend höher sind.

Fazit

Ja, auch Macs können mit Malware infiziert werden. Nein, es ist nicht sinnvoll, zu einem komplett neuen Betriebssystem zu wechseln, das letztendlich genauso anfällig ist.

4. Ändern Sie die Spracheinstellungen, um Ransomware zu vermeiden.

Einige Cybersicherheitsexperten haben vorgeschlagen, dass Sie sich vor Ransomware schützen können, indem Sie schlicht das Tastaturlayout und die Spracheinstellungen auf Russisch setzen.

Weshalb? Ransomware-Gruppen brauchen in der Regel in der Gemeinschaft Unabhängiger Staaten keine Folgen von Strafverfolgungsbehörden befürchten, sofern sie keine Organisationen dort angreifen. Um nicht versehentlich ein in den GUS ansässiges Unternehmen anzugreifen, überprüfen viele Ransomware-Familien die Sprach- und Tastatureinstellungen des Zielsystems, bevor der Payload ausgeführt wird. Werden GUS-Sprachen wie Russisch entdeckt, wird die Ransomware beendet, ohne auch nur eine Datei zu verschlüsseln.

Dieser Tipp hat jedoch einige Löcher. Erstens reicht es nicht, schlicht eine Tastatur in einer GUS-Sprache zu installieren. Die meisten Ransomware-Ketten überprüfen nicht nur die installierten Sprachen, sondern auch die aktive Sprache des Systems. Sofern Sie also nicht unbedingt ein russisches Tastaturlayout verwenden möchten, wird die Ransomware dennoch ausgeführt. Zweitens – und das ist der wichtigere Fakt – ist das Überprüfen der Sprache nur ein kleiner Teil beim Auskundschaften des Ziels. Ransomware-Betreiber setzen verschiedene Methoden ein, um mehr über ihre Opfer zu erfahren und relativ einfach herauszufinden, ob ein Unternehmen in den GUS ansässig ist … unabhängig von den Tastatur- und Spracheinstellungen.

Fazit

Das Ändern Ihrer Spracheinstellungen oder Verwenden eines kyrillischen Tastaturlayouts hat höchstwahrscheinlich keinen Effekt, um sich vor Ransomware-Angriffen zu schützen. Nutzen Sie Ihre wertvolle Zeit lieber, um bewährte Abwehrmaßnahmen gegen Ransomware umzusetzen.

5. Verwenden Sie keine öffentlichen Ladestationen.

In den vergangenen Jahren haben verschiedene Cybersecurity-Experten, unter anderem die FCC, Warnungen vor sogenanntem Juice Jacking herausgegeben. Dabei handelt es sich um einen Angriff, bei dem Kriminelle Malware in den USB-Anschluss von öffentlichen Ladestationen laden. Da beim USB-Standard sowohl Elektrizität als auch Daten übertragen werden, besteht das Risiko, dass beim Anschließen an den kompromittieren USB-Port Daten gestohlen oder Malware hochgeladen werden könnte.

Sie müssen sich allerdings um Juice Jacking keine großen Gedanken machen. Es mag zwar theoretisch möglich sein, dass ein besonders entschlossener Cyberkrimineller eine öffentliche Ladestation hacken könnte, aber die Chancen, dass Sie tatsächlich auf einen derartigen Angriffs stoßen und dieser auch erfolgreich ist, sind extrem gering. Derzeit liegen uns keinerlei Informationen vor, dass so etwas tatsächlich schon einmal vorgekommen ist.

Fazit

Es gibt ein paar Beispiele, in denen das Konzept des Juice Jackings praktisch nachgewiesen wurde. Allerdings sind tatsächliche Angriffe überaus selten, wenn es sie überhaupt gibt. Sie sind für Angreifer schlicht zu schwierig abzuschätzen und umzusetzen. Sie brauchen sich also nicht wirklich Sorgen darum machen. Es gibt wesentlich wichtigere Punkte auf Ihrer Cybersecurity-To-Do-Liste.

6. Nutzen Sie VPN, um Ihre Privatsphäre zu schützen.

VPNs sind nützlich, um Aktivitäten vor dem Internetdienstanbieter abzuschirmen oder auf regional beschränkte Inhalte zuzugreifen.

Hinsichtlich der Sicherheit sind die Vorteile eines VPNs jedoch beschränkt. Bei einem VPN wird der Netzwerkverkehr verschlüsselt, was sicherlich nützlich war, als das Internet noch zum Großteil über das unverschlüsselte HTTP lief. Heutzutage erfolgt der Großteil des Datenverkehrs jedoch über HTTPS (siehe auch 8. unten). Folglich hat VPN nicht zu viel hinsichtlich Sicherheit oder Datenschutz zu bieten. Sie tauschen letztendlich Ihren Internetdienstanbieter gegen den VPN-Anbieter. Sofern Sie dem einen nicht gegenüber dem anderen Vorzug geben, ergibt sich nicht wirklich ein Vorteil.

Fazit

Sofern Sie nicht auf regional beschränkte Inhalte oder Torrents zugreifen möchten, brauchen Sie höchstwahrscheinlich kein VPN. Es trägt nur wenig zur Verbesserung Ihrer Sicherheit oder Privatsphäre bei.

7. Klicken Sie nicht auf verdächtige Links.

Das Problem bei diesem Ratschlag ist, dass niemand auf einen Link klickt, der verdächtig aussieht. Schließlich möchte niemand mit Malware infiziert oder Opfer eines Phishing-Angriffs werden. Benutzer klicken wenn überhaupt auf Links, die eben nicht verdächtig aussehen.

Stattdessen sollte mehr über Anzeichen aufgeklärt werden, die darauf hindeuten, dass ein Link schädlich sein könnte. Wenn Sie beispielsweise den Mauszeiger auf eine URL bewegen und feststellen, dass die Zieladresse nicht dem Linktext entspricht, handelt es sich höchstwahrscheinlich um einen bösartigen Link. Ähnliches gilt, wenn der Text mit dem Link schlecht geschrieben oder nicht das typische Markenlayout hat. Auch wenn Sie nach Informationen gefragt werden, die Sie nicht weitergeben sollten, wie Kennwörter oder eine PIN, klicken Sie möglichst nicht auf die URL.

Fazit

Es ist wichtig, vorsichtig zu sein, auf welche Links man klickt. Doch um bösartige Links zu vermeiden, müssen Sie zuerst einmal wissen, wie Sie diese erkennen können.

8. Verwenden Sie kein öffentliches WLAN.

Für die meisten Websites wurde anfangs unverschlüsseltes HTTP verwendet. Das bedeutete, dass andere Personen in Ihrem Netzwerk leicht Ihren Datenverkehr ausspionieren, auf die von Ihnen aufgerufenen Websites zugreifen, Ihre Nachrichten überwachen und sonstige von Ihnen übertragene Daten abfangen konnten.
Das hat sich jedoch mit der zunehmenden Verwendung von HTTPS geändert. Dieses Protokoll sichert die Kommunikation zwischen Ihrem Browser und dem Webserver ab. Dabei wird der Datenverkehr verschlüsselt, sodass selbst wenn Ihre Daten abgefangen werden sollten, diese unnütz sind. Heutzutage laufen ungefähr 95 % aller Webseiten über HTTPS und die meisten Browser warnen, wenn Sie auf herkömmliche HTTP-Seiten zugreifen möchten.

Fazit

Nahezu jeder wichtige Onlinedienst nutzt HTTPS, wodurch das tatsächliche Risiko bei der Verwendung von öffentlichen WLAN-Zugängen sehr gering ist. Und nein, auch in einem öffentlichen WLAN brauchen Sie kein VPN.

Schlusswort

Jeder Sicherheitsratschlag hat unterschiedliche Beweggründe. Während nicht alle der hier genannten Tipps komplett falsch sind, so sind sie doch für die meisten Anwender eher unwichtig. Anstatt sich also auf die in unserem Artikel erwähnten Ratschläge zu konzentrieren, ist es für die Mehrheit von Ihnen wesentlich wichtiger, sich mit bewährten Grundlagen zu befassen. Minimieren Sie beispielsweise die Angriffsoberfläche, pflegen Sie ein gutes Patchmanagement und verfolgen Sie eine umfassende Backup-Strategie. Damit ist Ihrer Sicherheit wesentlich besser geholfen.

 

Übersetzung: Doreen Schäfer

Senan Conrad

Weitere Artikel