Eines der grossen Themen in den Medien und im Social Web diese Woche war die Veröffentlichung der Nutzerdaten tausender Hotmail-Konten. Entsprechende Liste kursierte auf P2P-Tauschbörsen und anderen einschlägigen Webseiten. In geringerem Umfang waren auch Nutzer von Google Mail und Yahoo Mail betroffen. Die Betroffenen waren dabei Anfang Woche über gefälschte E-Mails auf Fake-Seiten gelockt worden, wo sie Nutzernamen und Passwort eingeben mussten (sog. Phishing). Microsoft hatte mit der umgehenden Sperrung der betroffenen Accounts reagiert. Der Vorfall verdeutlicht einmal mehr, dass auch grosse Firmen wie Microsoft oder Google kein Garant für Sicherheit sind. Die wichtigste Lehre daraus ist aber, dass in den allermeisten Fällen im Endeffekt jeder einzelne Nutzer gefordert ist. In diesem Blogbeitrag möchte ich einige wenige Tipps geben, wie man sich bei der Nutzung eines der – sehr praktischen – Webmail-Angebote schützen kann. Viele der Tipps lassen sich analog auch auf andere Webangebote anwenden (vgl. dazu auch hier).
Tipp 1: Ein sicheres Passwort
Ein sicheres Passwort ist elementar. Doch leider missachten diese Regel sehr viele Leute, wie es auch eine Auswertung der gehackten Accounts zeigt: Die Passwörter „123456“ oder „12345678“ kamen sehr oft vor. Zudem bestanden die meisten Passwörter nur aus Kleinbuchstaben und nur die allerwenigsten waren eine Kombination aus Buchstaben und Zahlen. Die gewählten Passwörter sind zudem oftmals einfach zu kurz.
Wie sieht nun also ein modernes, relativ sicheres Passwort aus? Es besteht zunächst aus mindestens acht – besser zehn – Zeichen und ist aus Gross-/Kleinbuchstaben, Zahlen und Sonderzeichen zusammengesetzt. Zudem sollte die Bedeutung des Passworts nicht aus einem Zusammenhang heraus erratbar sein – also nicht der Vorname kombiniert mit dem Jahrgang.
Ein solches Passwort generiert man zum Beispiel dadurch, dass man einen sich leicht zu merkenden Satz mit acht oder mehr Worten und Zahlen konstruiert. Aus den Anfangsbuchstaben und den Sonder-/Satzzeichen dieses Satzes setzt man sich dann das Passwort zusammen. Ein Beispiel:
„Mein Name ist Earl, meine Serie wurde am 20. September 2005 erstmals ausgestrahlt!“ = MNiE,mSwa2.S2ea!
Tipp 2: Mehrere Konten für mehr Sicherheit
Legen Sie sich mehrere Konten bei mehreren Anbietern zu und Nutzen Sie die einzelnen Accounts immer nur für bestimmte Zwecke wie zum Beispiel zum Online-Shopping oder zur Anmeldung auf Webseiten. Dies minimiert einerseits das Spamrisiko und im Fall einer erfolgreichen Attacke ist der angerichtete Schaden nicht so gross.
Tipp 3: Wählen Sie die Webmail-Anbieter mit Bedacht aus
Nehmen Sie sich Zeit bei der Auswahl der Anbieter. Achten Sie genau auf den Leistungsumfang vor allem im Bereich der Sicherheit: Spamfilter, Anti-Phishing-Funktionalitäten, kann man sich auch mit einem frei gewählten Benutzernamen anmelden oder nur mit der Mailadresse, SSL etc.
Tipp 4: Der Benutzername ist bereits die halbe Miete!
Kennt ein Übeltäter ihren Benutzernamen, kennt er bereits 50% Ihrer Zugangsdaten! Wählen Sie also den Benutzernamen sorgfältig aus und vermeiden Sie es, Namen/Aliase zu verwenden, mit denen Sie bereits anderswo im Netz unterwegs sind.
Tipp 5: Zugangsdaten nie im Browser speichern
Geben Sie Ihre Zugangsdaten immer von Hand neu ein und speichern Sie sie nie im Browser – auch wenn diese Funktion sehr bequem ist. Wollen Sie sich zudem vor Keyloggern schützen, nutzen Sie zur Eingabe der Daten nicht die echte, sondern eine virtuelle Tastatur.
Tipp 6: Seien Sie wachsam und nehmen Sie Ihre Sicherheit in die eigenen Hände!
Sie haben nun sichere Passwörter für ihre sorgfältig ausgewählten Webmail-Konten, die alle nur bestimmten Zwecken dienen. Was können Sie noch tun, um die Sicherheit zu steigern?
- Wechseln Sie regelmässig die Passwörter.
- Kontrollieren Sie auf allen Seiten, die von Ihnen ein Passwort verlangen, vor der Eingabe immer auf die URL: Phishing-Seiten unterscheiden sich in ihrer Adresse immer von jenen der legitimen Seiten (s. dazu diesen Blogbeitrag zum aktuellen Hotmail-Fall).
- Speichern Sie wichtige E-Mails und solche, die sensitive Daten enthalten immer lokal und löschen Sie sie umgehend auf dem Webmail-Server; so finden Einbrecher wenigstens keine wertvollen Informationen.
- Achten Sie darauf, wem Sie auf welchen Plattformen welche Informationen weitergeben; mithilfe von Google lassen sich nämlich ohne weiteres Profile erstellen, die Rückschlüsse auf mögliche Passwörter zulassen (vgl. dazu auch Social Engineering).
- Informieren Sie sich regelmässig über die Themen Datenschutz und Sicherheit im Internet, halten Sie Ihre Software immer auf dem neusten Stand und bleiben Sie wachsam!
- Wenn Sie es ganz sicher haben möchten oder müssen, verwenden Sie entsprechende Verschlüsselungssoftware wie zum Beispiel „Pretty Good Privacy PGP“ oder ähnliches.
Bonus: Testen Sie Ihr Passwort
Auf der Seite des Datenschutzbeauftragten des Kantons Zürich können Sie online testen, wie stark oder schwach Ihre Passwörter sind. Aber Achtung: Aus Sicherheitsgründen sollten Sie auch hier niemals ihre „scharfen“ Passwörter eingeben, sondern nur ähnlich aufgebaute, die aber auch keine Rückschlüsse auf die echten erlauben.
Bildquelle: Flickr (CarbonNYC), cc-by