So schützt du dich vor Hackerangriffen

123456. Du wirst überrascht sein, wo du dich mit dieser Zahlenfolge überall einloggen kannst. Denn einer aktuellen Studie zufolge lautet so das weltweit am häufigsten genutzte Passwort. Klar, diese sechs Zahlen sind einfach zu merken – aber damit fällt es Hackern nun mal genauso einfach, in Systeme, Konten und Geräte einzudringen. Auch wenn du ein nicht ganz so unkreatives und unsicheres Passwort gewählt hast, lohnt es, sich, regelmässig das Passwort zu ändern – oder besser gesagt die Passwörter. Denn, ja, es sollten viele verschiedene sein – von der mehrmaligen Verwendung derselben Passwörter wird abgeraten. Sonst haben Hacker nicht nur auf ein Konto, sondern auf mehrere Zugriff.

Doch wie sieht ein gutes Passwort aus? Möglichst lang sollte es sein und mindestens eine Zahl und ein Sonderzeichen enthalten. Warum das so wichtig ist? Weil es mit jedem weiteren Buchstaben und jedem weiteren Zeichensystem schwieriger wird, ein Passwort zu entschlüsseln – denn dadurch entstehen mehr mögliche Kombinationen und je mehr es sind, desto länger dauert es, diese zu berechnen. Bei einem sechsstelligen Passwort, das aus allen möglichen Buchstaben und Zahlen bestehen kann, sind es höchstens 26 Sekunden. Bei sieben Zeichen dauert die Berechnung bereits 27 Minuten, bei acht Zeichen sogar 28 Stunden. Bei 15 Zeichen sind die Kombinationen schier unendlich: Sie alle zu berechnen würde 11 Milliarden Jahre dauern. Wenn dann noch Sonderzeichen verwendet werden, von denen es unglaublich viele gibt, ist die Berechnung entsprechend noch aufwändig.

Komplexe Passwörter sind schwer zu knacken

Mit Sonderzeichen in Passwörtern solltest du allerdings aufpassen: Denn je nach Tastatur können sie fehlen. Ähnliches gilt für Umlaute, wobei es Probleme bei der Authentifizierung geben kann: So konnte beispielsweise Outlook, das Mail-Programm von Microsoft, eine Zeit lang Passwörter mit Ä, Ö und Ü nicht erkennen. Am besten sind daher sehr komplexe, lange Passwörter mit zufälligen Zahlen- und Buchstabenfolgen – oder lange Wörter oder Sätze, bei denen Buchstaben durch Zahlen ersetzt werden, zum Beispiel Z1tr0nen5aft. Um den Überblick zu behalten können dabei sogenannte Passwortmanager helfen.

Vorsicht bei öffentlichen WLAN-Netzwerken

Auch dein Smartphone solltest du schützen. Als besonders sicher gelten Fingerabdruck-Sensoren und Gesichtserkennungsprogramme, da sie einzigartige biometrische Daten nutzen. Trotzdem konnten auch schon die Fingerabdrucksensoren gehackt werden und Gesichtserkennungsprogramme haben ebenfalls Sicherheitslücken. Zwar gilt es als sehr aufwändig, diese Optionen zu hacken. Aber sie können dann im Fall eines Missbrauchs auch nicht so einfach geändert werden wie ein Passwort – schliesslich hast du nur ein Gesicht und einen Fingerabdruck. Darüber hinaus stehen die Optionen an manchen alten Geräten gar nicht zur Verfügung. Also bleiben zur Sicherung des Smartphones noch Pin-Codes oder Entsperrmuster. Bei Pin-Codes hängt die Sicherheit wie bei anderen Passwörtern wieder von der Länge ab: Vierstellige Pin-Codes haben «nur» 10 000 verschiedene Kombinationsmöglichkeiten, bei sechsstelligen Codes sind es eine Million Optionen.

Unsplash / Kenny Eliason

Das gängige Entsperrgitter hat theoretisch 400 000 unterschiedliche Möglichkeiten, darauf ein Muster zu zeichnen. Diese Möglichkeiten werden allerdings in der Regel nicht ausgenutzt, wie in verschiedenen Studien in Norwegen, den USA, Bochum und München herausgefunden wurde: Buchstaben wie L, Z und U sind die gängigsten Entsperrmuster – fast die Hälfte aller Muster startet oben links. Auch hier gilt: Lieber kompliziert, als eines, das sich anhand deiner Daumenbewegungen einfach erkennen lässt. Du solltest dir nämlich immer bewusst sein, dass dir andere Menschen beim Entsperren des Handys – zum Beispiel in öffentlichen Verkehrsmitteln – zuschauen können. In Bussen und Zügen solltest du daher auch davon absehen, Passwörter einzugeben oder E-Banking zu machen.

Generell solltest du aufpassen, wenn du in der Öffentlichkeit am Handy schreibst oder mit dem Laptop arbeitest – nicht nur, weil fremde Menschen auf deine Bildschirme spähen können. Auch Hacker können sich beispielsweise über falsche WLAN-Netzwerke Zugang zu deinen Geräten verschaffen: Sogenannte Evil Twin Networks sehen aus wie echte öffentliche WLAN-Netzwerke – wenn du dich dort einloggst, wird allerdings eine Schadsoftware installiert. Öffentliches WLAN solltest du daher vermeiden. Auch über den Hotspot am Handy oder eine dauerhaft aktivierte Bluetooth-Verbindung haben Hacker leichten Zugriff. Am sichersten ist dein Gerät also im Flugmodus. Wenn du trotzdem für Messenger-Nachrichten erreichbar bleiben willst, nutzt du also am besten mobile Daten.

Schutz durch VPN, Antivirenschutz und regelmässige Updates

Wenn das nicht geht und nur fremde WLAN-Netzwerke zur Verfügung stehen, aktivierst du am besten ein VPN, also ein virtuelles privates Netzwerk. Das ist ein Programm, das deine eigene IP-Adresse, also deine Adresse im Computernetz verschlüsselt – damit wirst du quasi unsichtbar, auch für Hacker. Generell empfiehlt es sich, beim Browsen im Internet das eigene Gerät mit einem VPN zu schützen. Unerlässlich sind zudem vertrauenswürdige und bewährte Antivirenprogramme. Für einen guten Schutz ist es allerdings auch wichtig, Geräte regelmässig zu aktualisieren. Denn Hacker nutzen die Schwachstellen von Geräten, die noch alte Betriebssysteme nutzen.

Fallen lauern allerdings nicht nur in diesen technischen Schwachstellen und Schlupflöchern. Das beste Virenschutzprogramm, das sicherste VPN und das komplizierteste Passwort nützen wenig, wenn du selbst eine Tür für die Hacker öffnest. Das geschieht beispielsweise durch die sogenannten Phishingmails: Das sind getarnte E-Mails, die dich dazu verleiten sollen, auf Links zu klicken oder Dokumente herunterzuladen – und so entweder versteckte Schadsoftware zu installieren oder Hackern unbemerkt die eigenen Anmeldedaten zur Verfügung zu stellen. Das können Mails sein, die aussehen, als wären sie von einer Mitarbeiterin oder einem Freund verfasst worden. Oder aber welche, die Autorisierungsmails von Microsoft, Google oder Amazon imitieren sollen. Viele davon sortieren die gängigen Mailprogramme sowieso schon aus – allerdings nicht immer.

Lieber nichts tun als zu schnell klicken

Um nicht in die Phishingfalle zu tappen, ist es wichtig, sich Mails genauer anzuschauen, bevor du auf Links klickst oder Dokumente runterlädst – insbesondere dann, wenn dringliche Forderungen platziert wurden: «Ihr Paket wird zurückgeschickt, wenn Sie nicht innerhalb der nächsten 24 Stunden mit diesem Link bestätigen» – damit wollen Hacker hektische Reaktionen erzwingen. Besser als ein schneller Klick: Wenn Kontaktdaten in der Mail angegeben sind, rufst du lieber bei dem Paketdienst an und fragst nach, ob du der Mail wirklich trauen kannst. Ist der Schreibstil der Arbeitskollegin sonst ein anderer? Auch hier kann ein kurzer Anruf für Klarheit sorgen. Wenn es keine Kontaktdaten gibt: Anzeichen für Phishing-Mails sind oft Rechtschreibfehler in der Nachricht oder eine andere Absenderadresse: «@g00gle» zum Beispiel anstatt «@google». Grundsätzlich empfiehlt sich also: Lieber stillsitzen als mit einem falschen Klick die eigenen Daten aufs Spiel zu setzen.