Digitale Identität - wie kann ich meine Persönlichkeit im Netz absichern? 9 Tipps unserer Experten!
von Svenja Koch
Für Kriminelle sind zunächst die persönlichen Informationen eines der Hauptziele bei ihren Cyberangriffen. Aus diesem Grund ist ein sorgsamer Umgang mit den eigenen persönlichen Daten besonders wichtig. Viele gehen jedoch vergleichsweise nachlässig mit der Sicherheit ihrer Daten um, weil sie meinen, dass mit den eigenen Daten niemand etwas Besonderes anfangen kann. Andere glauben, dass ein solcher Datenklau niemals sie selbst trifft. Die Methoden der Cyberkriminellen sind jedoch vielseitig und extrem raffiniert. Gleiches gilt für die Verwendungsmöglichkeiten. Diese Daten nutzen Cyberkriminelle z.B. für Kreditkartenbetrug oder nehmen die Persönlichkeit des Bestohlenen an. Auf diese Weise öffnen sie Webseiten oder tätigen Bestellungen. In diesem Artikel erfahren Sie, wie Sie sich effektiv vor Identitätsdiebstahl und einem möglicherweise daraus folgenden Cyberangriff schützen können.
1) Sichere Passwörter verwenden
Dieser Punkt ist so alt wie das öffentliche Internet und dennoch nach wie vor brandaktuell. Ein schwaches Passwort erhöht das Cyberrisiko enorm. Cyberkriminelle erraten schwache Passwörter einfach und schnell. Laut einer Studie in Zusammenarbeit mit Passwort-Manager-Anbieter Nordpass waren die zehn häufigsten Passwörter im Jahre 2019 die folgenden:
- 12345
- 123456
- 123456789
- test1
- password
- 12345678
- zinch
- g_czechout
- asdf
- qwerty
Dies belegt, dass die Mehrheit der Internetnutzer weiterhin extrem unsichere Passwörter verwendet. Cyberkriminelle haben damit leichtes Spiel, wenn es um das Knacken von Zugangsdaten geht. Selbstverständlich kennen auch Hacker solche Listen mit den häufigsten Passwörtern. Das einfache Testen der Kombination aus E-Mail-Adresse und Passwort reicht dann bereits aus, um Zugang zu einem Account zu erhalten. Ein solcher Fall ist nicht einmal mehr als Hacking zu bezeichnen, es handelt sich einfach nur um Nachlässigkeit seitens der Nutzer. Zunächst einmal sind Zahlen- und Buchstabenketten wie „123“ grundsätzlich tabu. Wichtig ist weiterhin, ein möglichst komplexes Passwort einzusetzen. Ein wahllos aneinandergereihter Mix aus Buchstaben, Zahlen und Sonderzeichen ist in der Regel eine sichere Variante.
2) Für jeden Account ein eigenes Passwort
Die meisten Internetnutzer besitzen eine Vielzahl an Accounts auf den unterschiedlichsten Seiten. Jeder dieser Plattformen erfordert eine Identifizierung, die in den meisten Fällen aus der Kombination von E-Mail-Adresse und einem Passwort besteht. Da sind die verschiedenen Social Media-Plattformen, Onlineshops oder auch Nachrichtenplattformen und Vergleichsportale. Hinzu kommen Webseiten, auf denen sich für einen bestimmten Grund registriert wurde und die bereits komplett in Vergessenheit geraten sind. Die Liste an Webseiten mit einer Registrierung ist faktisch endlos - und die meisten von uns haben keine genaue Vorstellung, auf wie vielen Plattformen sie sich im Laufe der Jahre bereits registriert haben.
Das Internet vergisst hingegen nie und so geht auch von alten, vergessenen Accounts eine Gefahr aus. Das beste Passwort ist nutzlos, wenn es auf mehreren Seiten zum Einsatz kommt. Der Nutzer gibt nämlich die Sicherheit in die Hände der Webseitenbetreiber und verliert somit komplett die Kontrolle. Die Cyberspionage findet gezielt auf den Servern von solchen Webseiten statt. Immer wieder räumen Betreiber selbst großer Internetportale ein, dass sie Ziel einer erfolgreichen Cyberattacke waren. Bei kleineren oder inaktiven Webseiten gelangen Informationen über einen Datenklau häufig nicht mal an die Öffentlichkeit. Hierbei erbeuten die Cyberkriminellen wertvolle persönliche Daten, insbesondere die Kombination aus E-Mail-Adresse und Passwort. Die Webseite, die Ziel eines solchen Angriffs ist, kann völlig unbedeutend sein, beispielsweise ein kleines Diskussionsforum. Jedoch besitzen die Angreifer nun den wertvollen persönlichen Datensatz. Verwendet der Nutzer überall das exakt selbe Passwort, dann gelten alle Accounts als kompromittiert. So schaffen sich viele Internetnutzer ihr eigenes hohes Cyberrisiko.
Deshalb ist es Pflicht, für absolut jede Webseite ein einzigartiges und sicheres Passwort zu wählen. Wer sich diese Menge an Passwörtern nicht merken kann oder Angst hat, den Zugang zu verlieren, der setzt einen Password-Manager ein. Diese Programme speichern alle Zugangsdaten und sind meist auch in der Lage, sichere Passwörter auf Knopfdruck zu erstellen. Der Nutzer muss sich dann nur noch ein Passwort merken, und zwar das für den Password-Manager. Für dieses Passwort gilt natürlich dasselbe wie bei allen anderen Passwörtern – es muss möglichst komplex und sicher sein.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
3) Keine Passwörter mit Details aus dem persönlichen Umfeld verwenden
Eine beliebte Methode ist es, bei der Erstellung von Passwörtern Details aus dem eigenen Umfeld zu nutzen. Anwender greifen gerne auf das eigene Geburtsdatum oder den Namen der Kinder oder des Ehepartners zurück. Diese Dinge sind leicht zu merken und deshalb praktisch. Sie haben jedoch einen großen Nachteil. Sobald ein Cyberkrimineller Informationen über die Familie hat, ist die Sicherheit der Passwörter in Gefahr. Viele dieser Daten sind relativ leicht erhältlich. Ein beliebter Ort, um solche Informationen gezielt zu suchen, ist Facebook. Viele Nutzer haben ihre Familienmitglieder markiert oder machen Angaben zu Hobbys, dem Lieblingsverein und ähnlichen persönlichen Details. Genau diese Details sind häufig auch Bestandteil des Passworts. Die Cyberkriminellen wissen ganz genau um diese Schwäche und müssen dann nur noch die Passwörter testen, um nach Treffern zu suchen.
4) Wenn möglich, die Zwei-Faktor-Authentifizierung nutzen
Auf vielen Seiten ist inzwischen eine Zwei-Faktor-Authentifizierung für die Identifizierung möglich. Diese Methode ist eine sehr gute Sicherheitsstrategie, denn sie schafft Abhilfe für die Verletzlichkeit des Passworts. Die Zwei-Faktor-Authentifizierung erfordert eine Bestätigung der Identität über zwei separate, getrennte Komponenten. Einer dieser Faktoren ist weiterhin die Kombination aus Passwort und E-Mail-Adresse. Der zweite Faktor ist beispielsweise eine PIN, die via SMS an das Smartphone geschickt wird. Der Hacker müsste in diesem Fall also nicht nur Passwort und Mail-Adresse kennen, sondern auch noch physischen Zugriff auf das Handy der Zielperson haben. Nur dann erlangt er vollen Zugang zu dem Konto.
5) Immer misstrauisch sein!
Eine der besten Strategien gegenüber Cyberattacken ist ein gesundes Maß an Misstrauen. Jegliche Nachricht im E-Mail-Eingang ist eine potenzielle Gefahr. Die richtige Vorgehensweise ist es, Spam-Mails direkt zu löschen. Es ist weder sinnvoll, dass Empfänger diese lesen, noch auf solche Nachrichten zu antworten. Vom Öffnen etwaige Anhänge ist sowieso abzuraten, da diese häufig Schadsoftware enthalten. Solche Keylogger installieren sich unbemerkt und zeichnen die Eingaben an der Tastatur auf. Diese umfassen Passwörter, Logins zum Online-Banking und ähnlich kritische Vorgänge. Die Schadsoftware übermittelt alle diese Daten direkt an die Kriminellen.
Selbst Nachrichten von Freunden oder Verwandten, die von einer plötzlichen Notlage erzählen und schnell um Geld bitten, sind mit Misstrauen zu begegnen. Diese Nachrichten können auf den ersten Blick tatsächlich von den richtigen Absendern stammen und beispielsweise per E-Mail oder über Facebook zugestellt werden. Es ist jedoch gut möglich, dass Cyberkiminelle die Kontrolle über diese Accounts gewonnen haben und nun versuchen, den Freundeskreis finanziell auszubeuten. Eine direkte Nachfrage bei diesen Personen, entweder per Telefon oder falls möglich von Angesicht zu Angesicht, ist der richtige Schritt.
Gleiches gilt bei E-Mails oder Anrufen von der vermeintlichen Hausbank oder gar einem Lottoveranstalter. Bei einem unerwarteten Millionengewinn sind viele schnell gutgläubig und folgen den Anweisungen. Hier fragen Betrüger nach den Kontodaten und weiteren persönlichen Informationen. Die eigene Bank fragt jedoch grundsätzlich keine persönlichen Informationen über das Internet ab. Wer eine solche Mail erhält, informiert am besten seine Bank direkt und ignoriert die ursprüngliche Nachricht der Betrüger.
Im Internet tauchen immer wieder auch zweifelhafte Gewinnspiele auf. Pop-ups beim Surfen sind generell mit Misstrauen zu sehen, denn dahinter verbergen sich häufig Cyberkriminelle. Diese nutzen gerne bekannte Namen von Großkonzernen und versuchen so, Vertrauen zu erwecken. Neben Geldpreisen versprechen diese Gewinnspiele häufig Reisen oder Sachpreise. Für die Teilnahme wird über das Gewinnspiel dann nach persönlichen Daten oder sogar nach den Kreditkarteninformationen gefragt. Spätestens jetzt ist der Zeitpunkt gekommen, die Seite zu schließen.
6) Mehrere E-Mail-Adressen nutzen
Sehr viele Internetnutzer verwenden nur eine einzige Mail-Adresse. Vor allem aus Gründen der Bequemlichkeit möchten viele alle Nachrichten zentral über einen Dienst erhalten. Auf diese Weise setzen sich Nutzer jedoch einem erhöhten Cyberrisiko aus. Haben Hacker Zugriff auf dieses eine E-Mail-Konto, dann steht ihnen potenziell jeder Account, der hierrüber registriert ist, offen.
Deshalb ist es sinnvoll, mehrere E-Mail-Adressen zu nutzen. Es gibt viele gute und komplett kostenlose Mail-Anbieter wie etwa Google, Hotmail oder Yahoo!. Nutzer sollten ihre E-Mail-Adressen, die sie für die Registrierung von Accounts nutzen, idealerweise aufteilen. Für wirklich wichtige Seiten wird eine spezifische Mail-Adresse reserviert, die sonst für keine andere Funktion benutzt wird. Weniger wichtige Accounts hingegen sind dann mit einer anderen E-Mail-Adresse verknüpft.
7) Sichtbarkeit von persönlichen Daten einschränken
Viele persönliche Information stellen wir freiwillig ins Internet. Dies beginnt bereits bei der Wahl der E-Mail-Adresse oder eines Namens bei der Registrierung in einem Forum. Es gibt keinen Grund, hier seinen richtigen Namen anzugeben. Sinnvoll ist es, einen sogenannten Nicknamen zu verwenden. Ansonsten haben Hacker direkt einen Teil der begehrten persönlichen Daten völlig ohne Aufwand erhalten.
In sozialen Medien veröffentlichen ebenfalls viele einen Teil ihrer persönlichen Informationen. Nutzer tragen gerne das Geburtsdatum oder den aktuellen Wohnort ein. So können Freunde zum Geburtstag gratulieren oder alte Schulfreunde finden sie leichter. Mit den Daten, die Betrüger auf den sozialen Medien sammeln, ist es aber schnell möglich, ein täuschend echtes Fake-Profil auf einer anderen Seite zu erstellen. Mit dem Wohnort, einem Foto und dem Geburtsdatum sowie dem vollständigen Namen erzeugt ein Cyberkrimineller beispielsweise einen Account auf einer anderen Social Media-Plattform und gibt sich als diese Person aus.
Deshalb ist es wichtig, die Möglichkeiten dieser Plattformen für die Einschränkung der persönlichen Reichweite zu nutzen. In den Einstellungen gibt es die Option, persönliche Informationen nur Freunden, ausgewählten Personen oder gar keinem zugänglich zu machen. Es ist ratsam, dass jeder zumindest die öffentliche Sichtbarkeit dieser Daten deaktiviert. Beim Hochladen von Bildern und Informationen auf sozialen Medien ist es generell sinnvoll zu überdenken, ob diese Daten in das öffentliche Internet gehören. Sobald diese Informationen einmal im Netz sind, ist es unmöglich, sie wieder zu entfernen.
8) Vorsicht bei öffentlichen Internetverbindungen
Wer viel und gerne mit dem Smartphone surft, greift gerne auf eine WLAN-Verbindung zurück. Nicht nur ist diese meist schneller, sondern auch kostenlos. Das Surfen über die mobile Datenverbindung belastet hingegen das Volumen und kostet somit häufig Geld. Da ist ein öffentlich zugängliches WLAN im Café oder an einem anderen öffentlichen Ort eine willkommene Gelegenheit.
Viele Nutzer sind komplett gutgläubig bei freien WLAN-Netzen. Jedoch ist absolut unbekannt, wer dieses WLAN betreibt. Das öffentliche WLAN im örtlichen Schnellimbiss hat eventuell sogar den Namen der Lokalität. Eine Garantie, dass der Restaurantbesitzer wirklich der Betreiber ist, ist dies jedoch nicht. Tatsächlich kann ein Cyberkrimineller dahinterstecken, der Gutgläubige dazu bringen möchte, sich mit seinem WLAN zu verbinden. Wer sich mit einem solchen Netzwerk verbindet, läuft Gefahr, dass ein Angreifer alle übertragenen Informationen abfängt. Solche WLAN-Verbindungen sind in der Regel unverschlüsselt, sodass kein technischer Schutz bei der Übertragung vorhanden ist. Eine schnelle Kontrolle der eigenen E-Mails reicht schon aus und die Angreifer verfügen über das Passwort.
Kriminelle mit entsprechenden technischen Fähigkeiten haben also die Möglichkeit, den Datenverkehr abzufangen. Auf diesem Weg gelangen die Angreifer beispielsweise an die Login-Informationen zur E-Mail-Adresse oder dem Social-Media-Account.
Selbst wer nicht aktiv surft, ist in öffentlichen Bereichen gefährdet, wenn die WLAN-Funktion des Handys aktiv ist. Das Smartphone sucht dann automatisch nach Netzwerken und ist dementsprechend sichtbar. So wird das eigene Smartphone zur Einladung für Cyberattacken. Dies gilt umso mehr, wenn die Funktion für das automatische Verbinden zu bekannten Hotspots aktiviert ist. Dies ist eine beliebte Einstellung, die von vielen Smartphone- und Tablet-Besitzern aktiviert ist. Die praktischen Vorteile sind offensichtlich: Wer abends von der Arbeit nach Hause kommt, möchte direkt auf dem Sofa mit dem Smartphone surfen. Über die automatische Verbindung aktiviert das Smartphone sofort die Internetverbindung, da der eigene Router bekannt ist. Die Identifizierung erfolgt jedoch ausschließlich anhand des Namens sowie des WLAN-Passworts. Kaum ein Nutzer ändert die WLAN-Bezeichnung an seinem Router zu Hause. Dies machen sich Cyberkriminelle im öffentlichen Raum zunutze. Sie erstellen Hotspots mit gebräuchlichen WLAN-Bezeichnungen, wie etwa „Telekom“. Wenn dann noch die Datei- und Verzeichnisfreigabe am Smartphone aktiviert ist, haben die Angreifer direkt Zugang zu allen Informationen auf dem Gerät. Der Nutzer bekommt von der Attacke nicht einmal etwas mit, das Smartphone kann die ganze Zeit unbenutzt in der Jackentasche liegen.
Auch hier gibt es wieder einfache Maßnahmen, um sich selbst zu schützen. Vor allem ist Selbstdisziplin gefragt und die richtigen Einstellungen am Smartphone sind wichtig:
- WLAN-Funktion am Smartphone in öffentlichen Bereichen deaktivieren
- Datei- und Verzeichnisfreigabe deaktivieren
- Automatische Verbindung zu bekannten Netzwerken deaktivieren
- Keine vertraulichen Daten in öffentlichen Netzwerken abrufen
9) Was tun bei einem Identitätsdiebstahl?
Wer Opfer einer Cyberattacke ist und festgestellt hat, dass ein Krimineller die eigenen persönlichen Daten widerrechtlich nutzt, muss schnell, aber besonnen handeln. Dieser Prozess ist mitunter langwierig - aber unausweichlich.
Eine Anzeige bei der Polizei ist sinnvoll. Falls kriminelle Aktivitäten wie finanzieller Betrug involviert sind, ist der Weg zur Polizei eine Pflichtaufgabe. Über die eingeleiteten Ermittlungen erhalten die Betroffenen dann ein Aktenzeichen. Dieses ist wichtig, wenn Mahnungen, Zahlungsaufforderungen und ähnliche Schreiben eintreffen. Betrogene haben so eine Möglichkeit, die Unternehmen auf die laufenden Ermittlungen hinzuweisen und verfügen bei etwaigen Gerichtsverfahren über ein Beweismittel.
Der nächste Schritt ist, die Kontrolle über die eigene Identität und die wichtigen Konten wiederzuerlangen. Hierbei ist es unbedingt notwendig, alle Zugangsdaten zu ändern. Dies betrifft vor allem die Passwörter von allen E-Mail-Konten, da nicht ausgeschlossen ist, dass auch diese betroffen sind. Im gleichen Schritt ist es sinnvoll, wo möglich, die Zwei-Faktor-Authentifizierung zu aktivieren. Dann fallen unbefugte Zugriffe auf die Konten schneller auf und Kriminelle haben eine zusätzliche Hürde zu überwinden. Außerdem ist dies der richtige Zeitpunkt, einen Passwort-Manager zu nutzen.
Ein weiterer, wichtiger Schritt ist es, Freunde und die Familie zu informieren. Nicht selten infiltrieren Cyberkriminelle über kompromittierte Accounts weitere Personen. So geben diese sich in sozialen Medien als die betroffene Person aus und schreiben direkte Verwandte oder Freunde an. Dies geschieht mit dem Ziel, weitere Daten zu extrahieren oder sogar finanziellen Betrug zu begehen. Freunde und Familienmitglieder sind oft gutgläubig, wenn ein Bekannter eine Nachricht schickt und über einen akuten finanziellen Notfall berichtet. Schnell ist eine hohe Geldsumme auf ein unbekanntes Konto überwiesen und der Schaden damit noch größer.
Fazit
Die meisten Risiken, die zu einem erfolgreichen Diebstahl der digitalen Identität führen, sind deutlich zu minimieren. Wer eine strikte IT-Sicherheitsstrategie festlegt und diese konsequent einhält, verringert das Cyberrisiko bereits enorm. Die zentralen Faktoren, die es zu berücksichtigen gilt, nochmals kurz und knapp zusammengefasst:
- Schwache Passwörter vermeiden
- Passwort-Manager verwenden
- Niemals dasselbe Passwort auf zwei unterschiedlichen Seiten einsetzen
- Keine persönlichen Details als Passwort nutzen
- Zwei-Faktor-Authentifizierung aktivieren
- Öffentliches WLAN und unverschlüsselte Verbindungen meiden
- Generell misstrauisch sein
- Anhänge von E-Mails unbekannter Absender niemals öffnen
- Reichweite von persönlichen Daten auf sozialen Medien einschränken