1. Wähle ein starkes Passwort
Passwörter schützen eure Daten. Ein Passwort sollte für jeden Dienst einzigartig sein und möglichst lang – denn Passwort-Knacker lassen per Software systematisch alle denkbaren Kombinationen durchprobieren. Ein Trick: Nutze einen Nonsens-Merksatz als Eselsbrücke. Beispielsweise steht „Klar, ein ganzes Brot kostet mehr als ein halbes Brötchen!“ für „K,1gBkma1/2B!“. Oder du wählst eine Kombination von zufällig ausgewählten Wörtern. Passwort-Manager erzeugen für jeden Dienst ein sicheres Zufalls-Passwort. Sie speichern es, geschützt mit einem Master-Passwort, auf eurem Gerät ab und füllen Passwort-Formulare automatisch aus. Nachteil: Wird euer Master-Passwort geklaut, gilt das auch für die Passwort-Liste. Bei wichtigen Profilen ist die Methode Zwei-Faktor-Authentifizierung zu empfehlen. Dabei erhältst du nach Eingabe eines Passworts noch einen Sicherheitscode auf ein anderes Gerät oder über einen anderen Kommunikationskanal.
2. Schütze deine Geräte
Schlimm genug, wenn Laptop oder Smartphone verloren gehen oder gestohlen werden. Katastrophal wird es aber, wenn Dritte nun Zugriff auf deine Daten erlangen. Davor schützen Gerätesperren. Nach dem Herunterfahren und nach Inaktivität verriegeln sie das Gerät und verschlüsseln die Festplatte. Bei PCs ist Verschlüsselung oft als Option angelegt, aktiviere sie und wähle ein sicheres Passwort. Windows-Rechner bringen häufig die konzerneigene Verschlüsselungstechnologie Bitlocker mit. Ein beliebtes externes Programm ist die Open-Source-Software VeraCrypt. Bei iOS-Smartphones ist Festplattenverschlüsselung Standard, bei Android-Geräten muss sie meist erst manuell aktiviert werden. In jedem Fall gibt es große Unterschiede bei der Sicherheit der Smartphone-Sperrmethoden. Die häufig gewählte „Wisch“-Entsperrung ist leicht zu erraten, deutlich besser ist ein Passwort oder ein PIN aus sechs oder mehr Ziffern. Und was ist mit biometrischen Verfahren wie Fingerabdruckscannern, die neue Geräte mittlerweile oft anbieten? Immer wieder kursieren Geschichten, wie sich diese Verfahren hacken lassen. Das ist bei Attacken mit hoher krimineller Energie oft möglich. Für den Alltagsgebrauch schützen sie aber gut.
3. Schau auf Open Source
Wie Programme genau arbeiten und was sie mit Daten machen, ist oft nur dem Hersteller bekannt. Bei Open-Source-Software dagegen ist die Bauanleitung nicht Geschäftsgeheimnis – der Quellcode ist öffentlich einsehbar. Diese Software-Projekte sind meist deutlich privatsphärenfreundlicher und nicht Teil der großen IT-Konzerne, die viele Daten sammeln. In einigen Bereichen gibt es gut funktionierende Open-Source-Lösungen: der Browser Firefox etwa, das E-Mail-Programm Thunderbird, der Messenger Signal, das Kartenprogramm OpenStreetMap, das Office-Programm LibreOffice, das Betriebssystem Linux, die Navigations-App OsmAnd oder die Mail-App K-9. Mit F-Droid gibt es sogar einen eigenen App-Store für Android-Smartphones, der ausschließlich Open-Source-Apps auflistet.
4. Verschlüssele deine Mails
Gewöhnliche E-Mails sind transportverschlüsselt, das heißt, sie sind auf dem Weg zum und vom E-Mail-Anbieter geschützt. Dein E-Mail-Anbieter und der des Empfängers sehen sie jedoch im Klartext. Ende-zu-Ende-Verschlüsselung verwandelt den Text von Mails (oder auch von Messenger-Nachrichten) auf deinem Gerät in unverständlichen Datensalat. Erst das Gerät des Empfängers kann sie wieder entschlüsseln. Am verbreitetsten bei Mails ist der Verschlüsselungsstandard PGP. Den könnt ihr über Erweiterungen in die gängigen E-Mail-Programme integrieren. Auch für den Browserzugriff auf Mails gibt es Plugins, wobei nicht alle Mailanbieter das unterstützen. Das Plugin Mailvelope verschlüsselt beispielsweise Mails bei den deutschen Anbietern Web.de, GMX, T-Online und Posteo. Für Smartphones gibt es teils kostenlose und teils kostenpflichtige Apps, bei denen ihr mitunter eine Mail- und eine Verschlüsselungs-App kombinieren müsst. Beispielsweise könnt ihr die Open-Source-E-Mail-App K-9 mit der Verschlüsselungs-App OpenKeyChain kombinieren. Das junge Schweizer Projekt pEp will die Verschlüsselung vereinfachen und vereinheitlichen und bietet bisher eine Integration für die Mailprogramme Thunderbird und Outlook sowie eine Android-Mail-App mit integrierter Verschlüsselung an.
5. Schütze dich vor Spam
Spam-Mails sind das Haupteinfallstor für Cyberattacken. Malware-Spam versucht, über Anhänge oder Links auf infizierte Webseiten Schadprogramme auf deinen Rechner zu laden. Phishing-Spam gibt sich als Nachricht von einer Bank oder einem Webshop aus und verlinkt auf gefakte Webseiten, um dir deine Zugangsdaten zu entlocken. Manche Spam-Mails sind leicht zu erkennen, sie sind beispielsweise schlecht übersetzt. Gut gemachter Spam imitiert virtuos das Original und redet dich vielleicht sogar mit korrektem Namen an. Denk deswegen zweimal nach, bevor du auf Links und Anhänge in Mails von unbekannten Absendern klickst, die dich beispielsweise auf eine offene Rechnung aufmerksam machen. PC-Virenprogramme schützen zusätzlich vor Viren, auf Smartphones ist der Nutzen solcher Programme umstritten. Wenn du Zweifel hast, ob es sich um Phishing-Spam handelt, folge nicht dem Link in der Mail, sondern rufe im Browser regulär die Webseite des Dienstes auf, um den es (angeblich) geht.
6. Schütze deine Browser-Daten
Browser begleiten deine Surfaktivitäten, du kannst deine Daten aber schützen. Punkt 1: Nutze einen datensparsamen Browser. Viele Internetaktivisten empfehlen den nichtkommerziellen Browser Firefox, der deutlich datensparsamer als die Konkurrenz ist. Datenschützend verhält sich auch der Browser Cliqz und vor allem der Tor-Browser, der die höchste Anonymität gewährleistet, die Internetnutzung allerdings verlangsamt. Punkt 2: Lösche Cookies. Das sind kleine Textdateien in deinem Browser, über die dich Webseiten beim nächsten Besuch wiedererkennen. Tückisch sind sogenannte Drittanbieter-Cookies, mit denen dich beispielsweise Werbenetzwerke über Webseiten hinweg beobachten. Wenn du Drittanbieter-Cookies in den Browser-Einstellungen deaktivierst, unterbindest du das. Punkt 3 sind sinnvolle Browser-Plugins: HTTPS Everywhere forciert verschlüsselte Verbindungen mit Webseiten. Als Trackingblocker empfiehlt die Stiftung Warentest uBlock Origin und kürte das leicht zu handhabende Plugin zum Testsieger. Effektiv fand die Stiftung auch Scriptsafe, NoScript und Disconnect. Vorsicht: Plugins unseriöser Entwickler können selbst ein Einfallstor für Datenmissbrauch sein. Punkt 4: Beim Surfen kannst du deine IP-Adresse verschleiern, sie ist so etwas wie deine digitale Postadresse. Das geht über VPN-Dienste (Virtual Private Networks) und über den Anonymisierungsbrowser Tor.
7. Weise Android und iOS in die Schranken
Gemäß der Standardeinstellung von Smartphones geht viel Persönliches und Privates an die Datenbanken von Google und Apple. Auf Android kannst du über die Smartphone-Einstellungen unter anderem die Aufzeichnung deiner Standortdaten und deiner Aktivitäten in Google-Apps abwählen. Schau außerdem nach, ob automatische Back-ups und die Synchronisierung von Daten deaktiviert sind. In die Einstellungen kommst du auch, wenn du dich in dein Konto auf google.de einloggst. Auch Apple ist datenhungrig. Das tägliche Back-up, das an die Server des Dienstes iCloud geht, umfasst unter anderem den Anrufverlauf, Bilder und Videos, Nachrichten und App-Daten. Das Back-up kannst du in Gänze oder für einzelne Kategorien deaktivieren.
8. Lade nicht blind Apps herunter
Apps haben Zugriff auf viele Gerätedaten, sie können persönliche Informationen über dich abgreifen und sogar Schadware enthalten. Prüfe deswegen vor der Installation, wie seriös und datenhungrig eine App ist. An erster Stelle steht die Frage, ob die von einer App geforderten Berechtigungen plausibel sind. Braucht eine QR-Code-App beispielsweise wirklich Zugriff auf euer Telefonbuch? Schaut auf Transparenz: Ist der Sitz des Entwicklers erkennbar, gibt es die Datenschutzerklärung auf Deutsch, ist das Geschäftsmodell der App ersichtlich? Dass eine App quelloffen ist, ist ein gutes Zeichen. Der alternative App-Marktplatz F-Droid listet ausschließlich solche Apps auf. Sei außerdem vorsichtig, wenn du Android-Apps über einen Direktdownload aus dem Internet installierst (bei iOS ist das gar nicht möglich.) Die meisten Viren gelangen über diesen Weg auf Android-Geräte.
9. Nutze die Datenschutz-Einstellungen sozialer Netzwerke
Ohne die datenhungrigen sozialen Netzwerke auszukommen ist schwierig, wenn der halbe Freundeskreis auch dort ist. Ob Facebook, WhatsApp, Snapchat oder Instagram – nutze wenigstens die Möglichkeiten, die dir die Einstellungen bieten. Auf Facebook beispielsweise kannst du die Gesichtserkennung abstellen. Wenn du die Facebook-App nutzt, kannst du den Standortverlauf deaktivieren und verhindern, dass die App dein Telefonbuch ausliest. Du kannst Drittanbieter-Apps die Erlaubnis entziehen, bestimmte Profilinformationen zu verwenden. Du kannst auch einstellen, wer auf Facebook deine Posts sehen darf. Ebenfalls empfehlenswert: Schau, was du veröffentlichst und mit anderen teilst. Im schlimmsten Fall können andere deine Inhalte für Mobbing oder Stalking benutzen. Das betrifft Kontaktinformationen, und es betrifft natürlich auch Bilder, die dir später vielleicht peinlich sind.
10. Mach Back-ups
Ist ein Gerät unbrauchbar oder weg, sind (oft) auch die Daten weg. Sorge deswegen in Form von Back-ups vor. Auf PCs reicht meist eine Sicherung der wichtigen Dateien auf einer externen Festplatte oder – ganz oldschool – auf DVD. Natürlich solltest du auch deine Datenträger verschlüsseln, besonders dann, wenn du sie in die Schule, Uni oder sonst wohin mitnimmst. Ein simpler Transfer auf einen Datenträger geht vom Prinzip her auch auf Smartphones, beispielsweise bei Fotos. Schwieriger wird es bei Dateien von Apps, etwa der Messenger-App, dem Telefonbuch oder der Notiz-App. Eine Möglichkeit: Komplett-Back-ups des Betriebssystems mit allen Einstellungen und App-Dateien. Auf iOS geht das über die iCloud-Back-up-Funktion, bei Android mit Einschränkungen über Google Drive, oft gibt es auch Cloud-Lösungen der Gerätehersteller. Lokale Komplett-Back-ups bei iOS könnt ihr über iTunes auf euren Computer ziehen. Lokale Lösungen bei Android sind schwieriger und nur über Drittanbieter-Apps möglich. Eine Option sind Back-ups einzelner App-Dateien. Über die Apps Helium und MyPhoneExplorer kannst du einige App-Dateien lokal sichern.
11. Halte deine Software aktuell
Die Aktualität von Software ist entscheidend für die IT-Sicherheit. Bekannt gewordene offene Sicherheitslücken reparieren Hersteller über kleine Updates der Software, sogenannte Sicherheits-Patches. Besonders relevant ist das Thema bei Android-Geräten. Ältere Android-Smartphones haben oft veraltete Versionen des Betriebssystems, da die Hersteller keinen Support auf eine neue Version mehr anbieten. Je älter die Version ist, desto mehr Angriffsflächen bietet das Gerät. Achte deswegen beim Kauf stets darauf, welche Betriebssystem-Version auf einem Android-Gerät läuft. Wer sich auskennt, kann ein freies Android-Betriebssystem aufspielen, das von engagierten Communitys für die Smartphones angepasst wird. Vorteil: Du hast ein aktuelles Betriebssystem. Nachteil: In der Regel sind nicht mehr alle Funktionen des Smartphones verfügbar, und jedes Update muss von Hand eingespielt werden.
12. Kenne deine Rechte
IT-Unternehmen müssen dir laut Datenschutz-Grundverordnung der EU Auskunft erteilen, welche Daten sie über dich speichern. Du kannst die Daten anfordern und sie, nach einer Bearbeitungszeit von meist einigen Tagen, einsehen, herunterladen oder dir zuschicken lassen. Einige Beispiele: Über takeout.google.com kannst du alle Daten anfordern, die Google-Dienste über dich gespeichert haben. Auf Facebook.com erledigst du das über den Navigationspfad Einstellungen – Deine Facebook-Informationen, in der WhatsApp-App über Einstellungen – Account – Account-Info anfordern. Bei Apple gibt es mit privacy.apple.com ein Datenportal für Auskünfte zu Daten, die mit deiner Apple-ID verknüpft sind. Wie Tests gezeigt haben, machen es Unternehmen Nutzern nicht immer leicht, ihre Ansprüche einzufordern. Sie sind aber dazu verpflichtet, dir Auskunft zu erteilen.
Illustrationen: Raúl Soria