Im Rahmen des European Cybersecurity Month im Oktober sollen Nutzerinnen und Nutzer seit 2012 für einen vorsichtigen und bedachten Umgang mit dem Internet sensibilisiert werden. Anlässlich des Aktionsmonats hat die Nachrichtenagentur spot on news bei einem Experten von Google unter anderem nachgefragt, worauf dieser im Alltag in Sachen Internet besonders achtet – und was er für die verbreitetsten Gefahren hält.
Bedrohungen von Phishing bis Malware
Für Userinnen und User von Browsern wie Google Chrome, Mozilla Firefox oder Apples Safari sei Phishing «leider weiterhin die grösste Bedrohung», erklärt Dr. Jochen Eisinger, Director of Engineering for Chrome Trust & Safety im Google Safety Engineering Center München. «Phishing ist eine Methode, bei der Angreiferinnen und Angreifer gefälschte Websites erstellen, die wiederum echten Websites ähneln, um Nutzerinnen sowie Nutzer dazu zu verleiten, persönliche Informationen wie Passwörter, Kreditkartennummern oder Kontodaten preiszugeben.»
Eisinger gibt in diesem Zusammenhang auch ein Beispiel: «Ein typisches Beispiel ist eine gefälschte E–Mail von einer Bank oder einem anderen Dienst, die User auffordert, auf einen Link zu klicken und sich anzumelden. Der Link führt jedoch zu einer gefälschten Website und Hacker haben durch einen unachtsamen Klick Zugriff auf persönliche Daten.»
«Eine weitere typische Bedrohung ist Malware», erläutert der Experte. «Websites enthalten dabei einen schädlichen Code, der darauf abzielt, Viren, Trojaner und Co. auf dem Computer der Nutzerinnen und Nutzer zu installieren. Zu guter Letzt – Passwörter: Eine der gängigsten Methoden, um ein Konto zu hacken, ist der Passwortdiebstahl. Viel zu häufig werden immer noch das gleiche Passwort für mehrere Websites oder schwache Passwörter im Stil ‹Passwort1› verwendet.»
Mehr Sicherheit: Updates und Wachsamkeit
Die Bedrohung durch Phishing lasse sich «vor allem durch einen wachsamen Blick und Softwareupdates verhindern. Um solche Angriffe zu erkennen und zu verhindern, sollte zunächst auf ungewöhnliche oder verdächtige Absenderadressen geachtet werden. Oftmals versuchen Phisher, legitime Adressen nachzuahmen, indem sie leichte Abweichungen oder Tippfehler verwenden.»
«Ausserdem solltet ihr niemals auf Links in unaufgeforderten E–Mails klicken oder Anhänge öffnen», betont Eisinger. «Zudem ist es wichtig, Betriebssysteme, Browser und alle Softwareanwendungen kontinuierlich aktuell zu halten, da diese vor bekannten Phishing–Seiten warnen und verdächtige E–Mails filtern.»
In Googles hauseigenem Browser Chrome, der kürzlich seinen 15. Geburtstag gefeiert hat, übernehme das «die Funktion Safe Browsing, die auch vor Malware schützt. Für die sichere Verwendung von Passwörtern empfehle ich die Nutzung eines Passwortmanagers: Hier können starke, einzigartige Passwörter für jeden Online–Dienst erstellt und gespeichert werden.»
Erweiterungen als Einfallstor?
Auch bei Browser–Erweiterungen ist Vorsicht geboten. «Erweiterungen sind ja kleine Zusatzprogramme, die die Funktionen von Browser–Anwendungen erweitern. Auch wenn viele Browser bereits zahlreiche Funktionen von ehemaligen Erweiterungen inkludiert haben, sind solche Erweiterungen noch aktuell und gerne genutzt – können aber auch ein Einfallstor für Online–Risiken sein», warnt Eisinger, der dazu rät, diese nur aus offiziellen und sicheren Quellen zu installieren.
«Ausserdem sollten User die angeforderten Berechtigungen jeder Erweiterung überprüfen. Wenn die Berechtigungen nicht mit der Funktionalität der Erweiterung übereinstimmen, ist Vorsicht geboten. Es ist auch ratsam, den Zeitpunkt der letzten Aktualisierung der Erweiterungen zu überprüfen. Regelmässig aktualisierte Erweiterungen zeigen, dass die Entwicklerinnen und Entwickler aktiv sind und sich um die Pflege und Sicherheit der Erweiterung kümmern.»
Auf diesen Standard setzt der Google–Experte
Gibt es weitere Möglichkeiten oder Sicherheitsfunktionen, auf die der Experte auch privat setzt? «Ganz klar: Für alle meine Aktivitäten im Internet habe ich eine Zwei–Faktor–Authentifizierung (2FA) eingerichtet und – wo möglich – setze ich auf Passkeys. Ausserdem führe ich regelmässige Sicherheitschecks durch, wie zum Beispiel eine Überprüfung der Drittanbieter–Apps, die Zugriff auf meine Konten haben. Wenn ich diese Apps nicht mehr benötige, werden sie entfernt.»
Mit einer Zwei–Faktor–Authentifizierung soll sichergestellt werden, dass auch wirklich die Person vor dem Bildschirm sitzt, die sich für den User oder die Userin ausgibt. Nutzerinnen und Nutzer müssen über zwei unterschiedliche Wege beweisen, dass sie die Berechtigung für einen Zugang besitzen. Der erste Faktor ist im Regelfall das entsprechende Passwort, der zweite oftmals eine Art Bestätigungscode, der via App oder SMS auf dem Smartphone abrufbar ist.
Sicherheitsfunktionen von Chrome
Eisinger empfiehlt Chrome–Nutzerinnern und –Nutzern das «Safe Browsing»–Feature. Die Funktion «ist standardmässig aktiviert und arbeitet im Hintergrund, während Nutzerinnen und Nutzer im Web surfen. Es bietet Schutz vor Websites, die als schädlich oder betrügerisch eingestuft wurden, zum Beispiel durch eine deutliche Warnung. Safe Browsing hat verschiedene Schutzniveaus, die man anpassen kann. Der ‹Erweiterte Schutz› – das höchste Schutzniveau – überprüft beispielsweise auch Downloads auf Gefahren.»
«Für eine bessere Orientierung der eigenen Sicherheitseinstellungen, gibt es inzwischen den ‹Datenschutz–Leitfaden› in Chrome, der unter ‹Datenschutz und Sicherheit› in den Einstellungen zu finden ist. Wer sich über die jeweiligen Vor– und Nachteile der einzelnen Einstellungen informieren möchte, sollte sich durch den Leitfaden klicken», schlägt Eisinger zudem vor.
Die bereits erwähnten Passkeys seien unterdessen «eine sicherere und einfachere Alternative zu herkömmlichen Passwörtern. Damit können sich Nutzerinnen und Nutzer bei Apps und auf Websites auf die gleiche Weise anmelden, wie sie ihre Geräte entsperren: mit einem Fingerabdruck, einem Gesichtsscan oder einer PIN für die Bildschirmsperre. Passkeys können ganz einfach direkt in Chrome im Passwortmanager erstellt werden und werden auf dem Computer oder Smartphone lokal gespeichert. Dadurch ist die Methode Phishing–sicher.»