Onlinekonten schützen: Die wichtigsten Tipps im Überblick

Eigene Onlinekonten absichern

Praxis & Tipps | Praxis

Ob Social Media, Onlinebanking oder E-Mail: Ihre Accounts enthalten viele wertvolle Daten. Unsere Tipps helfen Ihnen, diese möglichst einfach zu schützen.

Die Geschichte eines 20-jährigen Schülers aus Hessen, der private Daten hunderter Prominenter und Politiker veröffentlichte, sorgte jüngst für Furore. Der Schüler benötigte dafür nicht einmal besondere Hacker-Kenntnisse, sondern nur etwas Zeit und ein paar YouTube-Videos. Er legte private Daten wie Telefonnummern, Personalausweis-Scans und Adressen seiner Opfer offen. Damit Sie kein Opfer eines solchen Doxxing-Angriffs werden, haben wir für Sie die wichtigsten Tipps zusammengestellt, mit denen Sie Ihre Onlinekonten schützen können.

Der beste Schutz für Ihre Onlinekonten sind sichere Passwörter. Jedes Kennwort sollte mindestens acht Zeichen lang sein, je länger desto besser – die Länge ist der effektivste Stellhebel, um die Knackdauer zu erhöhen. Auf keinen Fall sollten Sie Wortkombinationen verwenden, die in bekannten Büchern oder Filmen zu finden sind oder persönliche Daten, die leicht zu erraten sind, etwa Ihr Geburtstdatum oder den Vornamen Ihres Kindes. Die geheime Zeichenfolge sollte einzigartig sein und nur ein einziges Mal zum Zuge kommen – verwenden Sie nicht dasselbe Passwort für mehrere Dienste. Von einem regelmäßigen Passwortwechsel raten wir übrigens ab.

Statt vorhersehbarer Zeichen nutzen Sie lange Wortfolgen, sogenannte Passphrasen. Eine Passphrase setzt sich aus möglichst beliebigen Wörtern zusammen. Das kann beispielsweise eine erwürfelte Kombination aus einer Worttabelle sein: Bei dieser Methode würfeln Sie mehrfach, bekommen so eine Zahlenfolge und entnehmen das zugehörige Wort einer sogenannten Diceware-Liste. Das Ganze wiederholen Sie mehrfach und setzen aus den so gefundenen Wörtern Ihre Passphrase zusammen. Die Würfel (engl. Dice) dienen dabei als Zufallsgenerator. Hier eine deutschsprachige Diceware-Liste zum Download (PDF).

Fragen Sie sich auch, wie Sie sich die ganzen unterschiedlichen Passwörter merken sollen? Am effektivsten klappt das mit Passwortmanagern wie die in der Basisversion kostenlosen Dashlane (Kurztest) oder KeePass: Die Manager verwahren Ihre sämtlichen Kennwörter und Sie müssen sich nur noch das Master-Passwort merken. Das sollte allerdings sehr lang und schwer knackbar sein, schließlich soll es Ihre anderen Kennwörter schützen. Falls Sie unsicher sind, welcher Passwortmanager zu Ihnen passt: c't hat 16 Passwortmanager für Windows getestet.

Besonders wichtige Passwörter wie das zu einem Passwortmanager dürfen Sie sich ruhig aufschreiben. Bewahren Sie den Zettel aber an einem sicheren Ort auf – etwa im Portemonnaie und im Safe. Es gibt keinen Trojaner, der dort herankommt.

In einigen Fällen empfiehlt sich zudem die sogenannte Zwei-Faktor-Authentifizierung: Hierbei wird zusätzlich zum Passwort ein Einmalcode erstellt, der Ihnen per App oder SMS aufs Handy geschickt wird. Den Code müssen Sie dann zusätzlich zum eigentlichen Passwort eingeben – an jedem Gerät üblicherweise nur einmal bei der ersten Nutzung. Auf diese Weise gelangt ein Hacker selbst mit einem geknackten Passwort nur an Ihr Konto beziehungsweise an Ihre Daten, wenn er zugleich Zugriff auf das Smartphone oder den PC hat. Wie die Anmeldung zur Zwei-Faktor-Authentifizierung für ein Google-Konto klappt, zeigt die Bilderstrecke.

2FA für Google-Konto einrichten (13 Bilder)

Die Einstellungen zur Zwei-Faktor-Authentifizierung für das Google-Konto erreichen Sie nach der Anmeldung bei Google mit einem Klick auf das Nutzersymbol oben rechts.

Beim PayPal oder anderen Zahlungsvorgängen sollten Sie die Zwei-Faktor-Authentifizierung in jedem Fall aktivieren; die Dienste bieten dies üblicherweise in ihren Einstellungen an. Ein sicheres Passwort ersetzt die zusätzliche Authentifizierung aber nicht.

Oftmals haben es Angreifer auf Ihre E-Mail-Konten abgesehen, denn darüber gelangen die Hacker leicht an alle möglichen weiteren Daten. Die Online-Ganoven erkennen an Ihren E-Mails beispielsweise, auf welchen Webseiten Sie sich herumtreiben, und können vor allem Ihre Passwörter für andere Konten per Recovery-Funktionen zurücksetzen. Deshalb sollten Sie den Zugang zum E-Mail-Konto mit einem einzigartigen, möglichst langen Passwort schützen und die Zwei-Faktor-Authentifizierung nutzen (s.o.).

Zusätzlich sollten Sie das automatische Nachladen externer Bilder oder HTML-Darstellungen im Programm deaktivieren. Klicken Sie nicht unüberlegt auf Links und angehängte Dokumente – solche Anhänge sind ein beliebtes Mittel für Angreifer. Schauen Sie zuerst genau auf die Absenderadresse solcher Nachrichten und fragen Sie im Zweifel lieber kurz nach, ob die im Absender genannte Person die E-Mail tatsächlich verschickt hat.

Damit Ihre Onlinekonten sicher sind, muss auch das lokale Gerät geschützt sein. So sollten Sie am PC stets einen funktionierenden Virenscanner nutzen; unter Windows kann dies beispielsweise der eingebaute Windows Defender sein.

Außerdem sollten Sie Ihre Software immer auf dem aktuellen Stand halten: Laden Sie regelmäßig Updates für Ihr Betriebssytsem, alle Browser und lokalen Mailprogramme herunter, am besten per Auto-Update. Auch Adobes PDF-Reader und die Office-Software sollten Sie regelmäßig aktualisieren. Dabei sollten Sie die Updates nur von vertrauenswürdigen Quellen beziehen, etwa aus dem offiziellen App-Store des Betriebssystemherstellers oder von der jeweiligen Hersteller-Webseite.

Onlinekonten absichern, Schritt für Schritt (6 Bilder)

Sichere Passwörter

Ein sicheres Passwort ist zum Schutz der Daten unumgänglich. Je zufälliger und länger das Passwort, desto besser. Verwenden Sie keine leicht zu erratenden Fakten wie Geburtsdaten oder die Namen von nahen Verwandten

Einen hundertprozentigen Schutz gibt es leider nicht. Zumal die Schwachstellen oft gar nicht beim einzelnen User liegen, sondern bei den Onlinediensten selbst. Das gilt wohl auch für die 2,2 Milliarden E-Mail-Adressen nebst dazugehöriger Passwörter, die Ende Januar im Netz auftauchten.

Ob sich Ihre E-Mail unter den korrumpierten Adressen befindet, können Sie mit dem Identity Leak Checker des Hasso-Plattner-Institus prüfen. Nach Eingabe der E-Mail-Adresse verschickt der Dienst an ebendiese Adresse eine Mail mit einer Auflistung der Leaks, von denen die E-Mail betroffen ist. Weil es zu einer Mail-Adressen meist bei mehreren Diensten einen passenden Account gibt, sollten Sie zudem Ihre Passwörter bei Pwned Passwords überprüfen – findet sich dort eines Ihrer Passwörter, kennen dies auch die Online-Ganoven.

Im c't-Checklisten-Booklet haben wir für Sie Sicherheits-Checklisten für verschiedenste Anwendungsbereiche gebündelt, darunter etwa SIcherheits-Einstellungen für Windows 10 und Tipps für Android. Im SIcherheits-Booklet (PDF) finden Sie zudem die wichtigsten Schritte zur Absicherung von Handy, PC, Router, Rasberry Pi und Smart Home kurz zusammengefasst. (rei)

Anzeige