Mit Phishing und Scamming versuchen böswillige Akteur*innen, in unsere Geräte einzudringen. Wie man sich dagegen schützen kann – und warum wir nicht alleine schuld sind, wenn unser Datenschutz versagt.
Ein großes Sicherheitsproblem technischer Systeme sind die Nutzer*innen. Menschen können beispielsweise mit Phishing oder Scamming manipuliert werden. Bei E-Mails sei es recht einfach, den Absender so zu fälschen, als sei die Mail von einer bekannten Person, sagt CryptoParty-Aktivist Aaron Wey. Er rät deshalb zu Vorsicht, gerade bei Mails mit Anweisungen. „Man sollte bei aller Kommunikation, die reinkommt, mitdenken: es könnte auch Phishing sein. Im Zweifelsfall immer über einen zweiten Kanal checken, ob man gerade wirklich mit der richtigen Person kommuniziert.“
Joachim Wagner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik, warnt besonders vor „E-Mails, bei denen ich nicht weiß, woher sie kommen oder die mir einen Notfall vorgaukeln wollen.“ Vor allem solle man vermeiden, darin enthaltene Anhänge zu öffnen oder auf ominöse Links zu klicken. Und erst recht nicht Passwörter oder die Infos zur Zweifaktorauthentifizierung weitergeben.
„Es ist wichtig, dass man mit gesundem Menschenverstand ein Stück weit misstrauisch an solche Mails und solche Anrufe herangeht und nachdenkt: Ist das wirklich eine plausible Geschichte? Habe ich da wirklich Handlungsdruck?“ Bei angeblichen Problemen mit Accounts empfiehlt er, das Gegenüber anzurufen, statt der Handlungsanweisung in der Nachricht zu folgen.
Verdächtige Links prüfen
Laut Alexander Paul von resist.berlin, einer Digitalberatung vor allem für Aktivist*innen, würden Mainstreamlösungen wie Google-Messages und Google Safe Browsing zu deutlich mehr Sicherheit führen, indem sie zum Beispiel Phishing-Nachrichten erkennen oder schädliche Websites blockieren. Allerdings würden diese Schutzmaßnahmen umso besser funktionieren, je mehr Daten an Google übermittelt werden – hier sollte jede*r für sich selbst zwischen Sicherheitsbedürfnis und Datenschutz abwägen.
Mit dem Browsergame Phishing Master der Forschungsgruppe Secuso vom Karlsruher Institut für Technologie lässt sich spielerisch trainieren, wie man Phishing-Nachrichten erkennt.
Verdächtige Links lassen sich auf verschiedenen Websites prüfen, phishtank.com oder virustotal.com zum Beispiel. Bei verdächtigen Anhängen wie PDFs, Word-, Excel-, oder Powerpoint-Dokumenten empfehlen die Sicherheitsexperten von Front Line Defenders die App Dangerzone, die solche Dateien von gefährlichen Erweiterungen befreien kann.
Antivirenprogramme sind zum Schutz vor Malware übrigens gar nicht so sinnvoll, letztlich machen sie Systeme häufig sogar anfälliger für Malware. Toni, Aktivist*in in der CryptoParty-Bewegung, sagt: „Die meisten Geräte haben einen guten Basisschutz, Windows bringt beispielsweise den Microsoft Defender mit. Bei zusätzlichen Antivirenprogrammen gibt es das Problem, dass sie die Berechtigung brauchen, die auf den gesamten Festplatteninhalt zuzugreifen. Da gibt es eine gute Studie von DARPA und dem Department of Defense in den USA, die sich Behörden-Rechner angeguckt haben. Und ein Drittel der gefundenen Sicherheitslücken war in der Virenscanner-Software selbst.“
Die Probleme der anderen
Zusätzlich zu den Problemen, die wir selbst als unachtsame Nutzer*innen verursachen können, gibt es in unserem Netzwerk auch noch zahlreiche weitere Menschen, die ein potenzielles Sicherheitsproblem darstellen. Toni sagt: „Meine Kommunikation ist auch auf den Geräten von anderen Personen. Und je nachdem, wie sicher oder unsicher deren Geräte sind, ist meine Kommunikation auch sicherer oder unsicherer.“ Tonis Empfehlung: „Sich mit Kommunikationspartner*innen auch mal über so generelle Fragen auszutauschen: Was machst du eigentlich für deine Sicherheit?“
Datenschutz erfordert ständige Wachsamkeit und einigen Aufwand, wenn er ernsthaft betrieben wird. Datenschutz ist DIY. Aber das heißt nicht, dass die volle Verantwortung bei den Nutzer*innen liegt. Dem Grundgesetz nach müssten eigentlich die Regierenden von Bund und Ländern der Datensammelwut kommerzieller Datensammler und Sicherheitsbehörden Schranken setzen, und Privatsphäreverletzungen, die über das absolut Notwendige hinausgehen, verhindern und ahnden. Dazu könnten sie mit der Förderung von Digitalkompetenz und freier Software die Zahl der Datenlecks verringern, Sicherheitslücken aufdecken, statt sie für Staatstrojaner zu verwenden, sowie Anbieter von Spionagesoftware vom Markt verbannen.
Auch Menschen in Konzernen, die für Profit die informationelle Selbstbestimmung ignorieren, tragen Verantwortung. Aber während man Staat und Konzernen höchstens mit IFG-Anfragen und DSGVO-Auskunftsersuchen auf Datenschutzprobleme hinweisen kann, hat man beim eigenen Digitalwerkzeug die größte Kontrolle – und eine Vielzahl von Lösungen zum Schutz der Privatsphäre zur Hand.
Mehr Tipps zur digitalen Selbstverteidigung gibt es hier und unter netzpolitik.org/digitale-selbstverteidigung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.