Sicherheitstipps für Windows 10
Kontosicherheit
Die allermeisten Bedrohungen lassen sich durch Windows- und Software-Updates sowie durch die besten zwei Waffen überhaupt verhindern: Vernunft und Skeptizismus! Ausserdem ist Gerätesicherheit immer auch mit Kontosicherheit verbunden.
Passwörter
Immer wieder werden Onlinedienste und Webshops gehackt; teils können die Angreifer sogar auf die Mailadressen und Passwörter im Klartext zugreifen. Der Betreiber der sehr nützlichen Webseite haveibeenpwned.com kann nicht nur ein Lied davon singen, sondern listet die betroffenen Dienste und Shops unter Who’s been pwned sogar auf. Da sind auch Grössen dabei wie zum Beispiel Adobe, das Forum des Antivirenherstellers Avast, der Betreiber des Linkkürzers bitly, das Forum des Gameherstellers CD Projekt RED (Gamer kennen «The Witcher» und «Cyberpunk 2077») und viele mehr. Was wird ein Angreifer tun, der bei einem solchen Hack Ihr Passwort und Ihre Mailadresse klaut? Er wird versuchen, ob das Passwort auch für Ihr Mailkonto funktioniert. Und für Ihren Facebook-Account. Und noch für andere Sachen. Darum ist es so wichtig, für jeden Dienst ein anderes Passwort zu verwenden. Das verhindert, dass bei einem einzelnen Hack gleich Ihr ganzes Onlineleben in den Händen von Kriminellen landet.
Auf der Seite haveibeenpwned.com können Sie prüfen, ob Ihre Mailadresse bei einem bekannten Hack ebenfalls erwischt wurde und bei welchem das war. Ein Mailkonto der Autorin war zum Beispiel 2012 beim Dropbox-Hack und 2019 beim inzwischen «hopsgegangenen» Dienst verifications.io dabei. In so einem Fall ändert man am besten beim betroffenen Dienst umgehend das Passwort – und auch in allen anderen Diensten, in denen man dasselbe Passwort benutzt hat. Die Autorin hat das Dropbox-Passwort natürlich schon vor vielen Jahren geändert – und hat schon damals das Passwort nur für einen Dienst verwendet.
Zwei-Faktor-Authentifizierung
Eine gute Absicherung bietet es, wenn Sie beim Einloggen in einen Dienst ein zusätzliches Element eingeben müssen. Das kann der Code aus einer Bestätigungs-SMS oder einer Authenticator-App sein (siehe pctipp.ch/1480250), es kann aber auch das Anstöpseln eines FIDO2-Schlüssels sein, die Eingabe einer Geräte-PIN oder das Verwenden eines Fingerabdrucks.
Aktivieren Sie – wenn immer es ein Dienst anbietet – eine solche Zwei-Faktor-Authentifizierung. So kommt ein Angreifer schlimmstenfalls vielleicht an Ihr Passwort, aber ohne den zweiten Faktor (der nur auf Ihrem Handy oder PC liegt) kommt er in Ihre Onlinekonten nicht rein.
Links erkennen
Zu den gefährlicheren Nachrichten bei E-Mails, SMS und sonstigen Kommunikationsdiensten gehören jene mit gefälschten Links. Eine Nachricht könnte zum Beispiel behaupten, von Ihrer Bank oder Krankenkasse zu stammen. Über einen Link sollen Sie etwas herunterladen oder Daten eingeben, weil mit Ihrem dortigen Konto etwas nicht stimme. Zunächst würde kein seriöses Unternehmen auf diesem Weg von Ihnen verlangen, etwas herunterzuladen oder Daten wie zum Beispiel Passwörter einzugeben.
Zweitens ist der Betrugsversuch meistens schon am Link erkennbar. Das wichtigste Element hierbei ist die Domain. Wenn die Domain im Link nicht tatsächlich zum erwarteten Unternehmen gehört, können Sie von einer Fälschung ausgehen. Auf den Klick auf solche Links sollten Sie verzichten. Aber wenn Sie am Desktop-PC den Mauszeiger darüber halten (ohne zu klicken), erscheint der hinterlegte Link meistens in einem Pop-up.
Schauen Sie jetzt genau hin: Denken Sie sich zunächst das http:// oder https:// weg. Suchen Sie nun im Link von links nach rechts nach dem ersten Slash (/). Das, was unmittelbar vor diesem ersten Slash steht, ist die Domain, zu der ein Link führt, jeweils mit einem Punkt von der Toplevel- bzw. Länder-Domain abgetrennt. Ein Beispiel: «https://post-fin-update.etwas.com/pfch/onl_kdl_sess.transition.htm»
Direkt vor dem ersten Slash steht hier der Teil etwas.com. Würden Sie draufklicken, wenn jemand behauptete, dieser Link führe zum Schweizer Finanzinstitut PostFinance? Hoffentlich nicht!