Ben Schlabs, COO der Security Research Labs, über den sicheren Umgang mit Viren und Hackern – und darüber, wie man ein sicheres Passwort findet.
Ben, auch die Bedrohungen aus dem Netz folgen Trends. Wo sehen Sie aktuell die größten Gefahren von Hackern und Viren?
Aus meiner Sicht ändert sich an den Gefahrenquellen nie etwas. Das weichste Angriffsziel ist für Hacker fast immer der Mensch. Der Angreifer sucht sich immer den einfachsten Weg, Schadsoftware auf den Rechner seines Opfers zu bekommen oder dessen Passwörter auszuspähen. Und die Angegriffenen machen es ihm oft zu leicht. Was immer gut funktioniert – auch ganz aktuell in Corona-Zeiten – ist eine E-Mail oder Textnachricht, die dem Empfänger Angst einjagt. Wir sehen aktuell viele Phishing-E-Mails, die sich um das Thema Covid-19 drehen und die Empfänger auffordern, auf eine bestimmte Website zu gehen, wo ihnen dann Passwörter entlockt werden oder sie aufgefordert werden, eine (Schad-)Software herunterzuladen.
Können Sie ein Beispiel für so eine Phishing-E-Mail nennen?
Ganz fies sind E-Mails in denen vermeintliche Anti-Viren-Software angeboten wird. Zum Beispiel steht da: „Vorsicht vor Covid-19 Ransomware! Checken Sie jetzt, ob ihr Computer bereits infiziert ist.“ Dann wird man aufgefordert, sich eine Software herunterzuladen und in Wahrheit richtet die erst den Schaden an. Es ist ein häufiger Trick, kostenlose Antivirensoftware anzupreisen, die dann Schadsoftware enthält.
Was raten Sie also?
In Covid-19-Zeiten gibt es eine schöne Analogie: Meide den Kontakt mit zu vielen unbekannten Menschen und ebenso mit unbekannter Software und Websites. Nutze nur die Dinge, mit denen du vertraut bist. Ruhe bewahren, ist auch wichtig. Nicht auf Links klicken und sich auf unbekannten Websites mit einem Passwort einloggen. Das gilt zum Beispiel für E-Mails in denen steht, dass im Paketshop ein Päckchen abgegeben wurde, das nach 24 Stunden zurückgeschickt wird, wenn man der Anweisung nicht folgt. Seine Kronjuwelen sollte man gut schützen und das sind zum Beispiel die Passwörter für E-Mail-Konten, denn sie sind der Schlüssel für viele Anwendungen.
Wie schützt man sein E-Mail-Konto am besten?
Überall wo es möglich ist, sollte man die Zwei-Faktor-Authentisierung (2FA) aktivieren. Wenn man ein sicheres Passwort hat, bleibt eine sehr kleine Wahrscheinlichkeit, dass es von einem Angreifer ausgespäht oder geknackt wird. Bei der Zwei-Faktor-Authentisierung muss man üblicherweise zusätzlich ein Einmalkennwort eingeben, bevor man Zugang erhält. Einmalkennwörter erhält man meistens auf dem Handy, entweder per Authenticator-App oder SMS. Auch hier gibt es eine sehr kleine Wahrscheinlichkeit, dass ein Angreifer den Code abfängt. Beide sehr kleine Wahrscheinlichkeiten zusammen ergeben eine extrem kleine Wahrscheinlichkeit, dass ein Angreifer erfolgreich ist.
Was ist bei Passwörtern wichtig?
Menschen wählen gern Passwörter, die sie sich gut merken können. Und das sind leider oft solche, die sie immer wieder verwenden. Das ist ein absolutes No-Go. Für Passwörter von allen Konten, die irgendwann einmal wichtig sein könnten, muss gelten: Sie brauchen ein langes, trotzdem merkbares, sicheres und einzigartiges Passwort. Früher hat man gesagt, dass Passwörter alle paar Monate geändert werden müssen. Wir und andere Forscher sind heute davon überzeugt, dass das eine schlechte Idee ist, denn der regelmäßige Wechsel führt dazu, dass die Menschen es sich leicht machen und unsichere Passwörter wählen.
Wie findet man ein sicheres Passwort?
Es sollte auf jeden Fall ein zufälliges Passwort sein. Man sollte keinesfalls die Namen der Kinder mit Geburtsdatum wählen, denn Angreifer wissen alles, was LinkedIn oder Facebook weiß, und geben das in die Cracking-Software ein. Zufall ist zum Beispiel, dass ich hier eine Tatort-Tasse stehen habe. Tatort_tassegrünePflanzeSnake – das wäre zum Beispiel ein gutes Passwort. Das sind fünf zufällige Wörter hintereinander in verschiedenen Sprachen. Wenn ich mir dazu noch die Groß- und Kleinschreibung merke, ist das sicher genug.
Es heißt immer: Es dürfen keine Wörter sein, die im Duden stehen…
Da müsste man auch sagen: keine Buchstaben aus dem Alphabet und keine Zahlen von 0 bis 9. Es müssen mehrere Wörter sein und die müssen zufällig sein. Die Länge des Passwortes ist viel wichtiger als die Komplexität. Das Passwort sollte mindestens vier willkürliche Wörter haben. Bei weniger als neun Buchstaben und Ziffern ist das Passwort unter Umständen in wenigen Sekunden geknackt, Muster auf dem Keyboard oder einzelne Wörter aus dem Duden noch schneller.
Wieso ist es wichtig, dass das Passwort merkbar ist?
Es ist nicht für jedes Konto wichtig, so dass man für die meisten auch zufällig generierte Passwörter nutzen kann. Wichtig ist es aber für mein zentrales E-Mail-Konto, mit dem ich auch andere Zugänge wieder freischalten kann. Wenn ich im Urlaub bin ohne Rechner und das Handy ist geklaut, dann möchte ich immer noch eine Mail versenden können. Dazu muss ich das Passwort im Kopf haben.
Ist es empfehlenswert, Passwörter in einem Schlüsselbund oder einem Passwortsafe zu speichern?
Auf jeden Fall ist es viel sicherer, überall ein sicheres zufälliges Passwort zu haben, dass man zum Beispiel in der Schlüsselbundverwaltung vom Mac oder bei Google speichert, als überall dasselbe Passwort zu haben. Passwortsafes sind also ratsam.
Wie schütze ich meinen Laptop?
Als normaler Nutzer ist man heute ziemlich gut geschützt, wenn man die regelmäßigen Updates installiert. Denn die Betriebssysteme werden damit bereits gegen Viren und Schadsoftware geimpft. Das gilt für Windows, Linux und für Macs. Macs werden seltener in Großkonzernen genutzt, und die meisten Angriffe wenden sich immer noch gegen große Unternehmen, weil sie die wertvollsten Angriffsziele sind. Daher gibt es für den Mac von vorneherein weniger Schadsoftware. Außerdem ist das Betriebssystem aus dem Hause Apple schon immer nur auf die eigene Hardware abgestimmt und somit wohl auch sicherer gebaut. Aber seit etwa zehn Jahren ist das Sicherheitslevel insgesamt gestiegen. Heute kann man Software nicht mehr so einfach aus Versehen auf seinen Rechner laden, die behauptet, dass sie von Microsoft kommt und in Wahrheit kommt sie von woanders her. Das erkennt der Rechner inzwischen.
Kann ich trotzdem für mehr Sicherheit sorgen?
Der wichtigste Rat ist: den eingebauten Schutz auch zu nutzen. Ich empfehle zum Beispiel, sich selbst immer als Nutzer anzumelden und nicht als Admin. Wenn man dann etwas tun möchte, das zum Beispiel permanenten Zugriff auf den Rechner gewährt, wird das Admin-Passwort verlangt. So merkt man, dass etwas nicht stimmt. Diese Vorsichtsmaßnahme gilt für Windows wie für Mac, ist für Windows-Nutzer aber sicher wichtiger. Außerdem ist es gut, die Festplatte zu verschlüsseln. Das hilft dann auch, wenn man den Laptop verliert.
Bieten Virenschutzprogramme zusätzlichen Schutz?
Auch hier ist vor allem wichtig, den eingebauten Schutz zu nutzen. Das heißt: Bei Windows Microsoft Defender aktivieren, und bei Mac die Firewall aktivieren und andere Schutzmechanismen nicht ausschalten. Virenschutzprogramme von Drittanbietern können einen zusätzlichen Schutz bieten. Sie unterstützen den Nutzer dabei, besser aufzupassen, was er sich auf den Rechner lädt. Dabei leisten Virenschutzprogramme nur gute Dienste, wenn sie regelmäßige Updates erhalten. Denn es ist ja wie bei dem Corona-Virus: Ständig tauchen neue Schadprogramme auf, gegen die ein Gegenmittel gefunden werden muss. Es gibt Programme, die permanent alles überwachen und solche, die man bei Bedarf einschaltet. Werbeblocker zählen für moderne Internet-Nutzer ebenfalls zu den wichtigsten Grundschutzmaßnahmen. Solche Browser-Plugins verhindern die Darstellung von oft aufdringlicher Werbung auf besuchten Websites und schützen dadurch außerdem vor Web-Tracking und „Malvertising“, also Werbebannern, in denen schädlicher Code eingebunden ist. Web-Tracking kann man übrigens auch ohne Plugin in den meisten Browsern einschränken. Der Nutzer muss sich entscheiden, welche Arten von Schutz er möchte. Auch im Netz bleiben die Einhaltung grundlegender Hygienemaßnahmen und verantwortungsbewusstes Verhalten der Menschen unverzichtbar für den Schutz gegen Infektionen.
ZUR PERSON:
Als Kind eines Angehörigen der amerikanischen Luftwaffe zog Ben Schlabs oft um. Er besuchte deutsche Schulen in Deutschland und Washington D.C., bevor er einen Abschluss in Physik an der Universität von Virginia erwarb. Seine Begabung für Problemlösungen und sein Querdenken führten ihn zu einer Karriere in der IT-Sicherheit. Ben ist COO der Security Research Labs, wo er und sein Team sich auf die Erkennung und Abwehr realistischer Cyber-Bedrohungen spezialisiert haben. Ben lebt in Berlin, ist aber auch in den USA und Japan zu Hause.