Das Bundeskriminalamt (BKA) hat nach ZEIT-Informationen einen Verdächtigen festgenommen, der mutmaßlich für einen der größten deutschen Hackerangriffe der vergangenen Jahre verantwortlich sein soll. Der 20-jährige Einzeltäter soll den Datendiebstahl und Leak über das nun gesperrte Twitter-Konto @_0rbit bereits gestanden haben. Über 1.000 Politiker*innen – darunter Bundeskanzlerin Angela Merkel –, Prominente und Journalist*innen sind betroffen. Von vielen von ihnen landeten nicht nur Adresse und Telefonnummer im Netz, sondern auch sensible Dateien, Fotos, Nachrichtenverläufe.

Weitere 200 Menschen, die in der Öffentlichkeit stehen und sich beruflich mit Rechtsextremismus beschäftigen, wurden am Samstag Opfer eines weiteren Datenleaks – dieser wurde mit hoher Wahrscheinlichkeit vom rechten Spektrum initiiert. Die Daten waren für kurze Zeit auf der linken Plattform Indymedia zugänglich und mit teils heftigen Beleidigungen versehen.

Sich durchs Internet zu bewegen, birgt etliche Risiken: "Phishing" etwa beschreibt das Abgreifen persönlicher Zugangsdaten durch Dritte, einen Identitätsdiebstahl, mit dem dann Betrugshandlungen oder ähnliches durchgeführt werden können. Das BKA verzeichnet beim sogenannten Cybercrime eine kontinuierlich steigende Kriminalitätsentwicklung "wie in kaum einem anderen Deliktbereich". Es wird daher immer wichtiger, seine Daten im Netz bestmöglich zu schützen. Schon in unter 30 Minuten ist einiges möglich. Hier einige Tipps:

1. Überblick verschaffen, bei ungenutzten Diensten abmelden, nur noch die nötigsten Angaben machen

Bevor Maßnahmen zum sichereren Surfen getroffen werden, sollte erstmal ordentlich aufgeräumt werden. Es bietet sich an, sich zunächst mit Papier und Stift eine Liste über alle – ja, möglichst alle – Internetdienste und Social-Media-Kanäle anzulegen, bei denen man per Mailadresse und Passwort angemeldet ist. Da kommt in den meisten Fällen eine ganze Menge zusammen, Netflix über Ticketverkaufsstellen über unüberlegte Anmeldungen beim lokalen Theater, Steuererklärungssoftware, Wordpress-Blogs und so weiter nicht vergessen. Im Browserverlauf und E-Mailposteingang lassen sich dafür womöglich Erinnerungsstützen finden.

Anschließend kann gecheckt werden, welche Dienste denn wirklich aktiv und regelmäßig verwendet werden und bei welchen man sich zum Beispiel nur für eine Bestellung mal eben einen Account anlegte. Diese überflüssigen Accounts sollten ohne Ausrede gelöscht werden – in vielen Fällen lassen sich künftig zum Beispiel Käufe als Gast ohne Anmeldung tätigen. Es lohnt sich, seine Internetaccounts auf ein überschaubares Maß zu bringen. Anschließend können auf dem Papier auch diese Accounts markiert werden, bei denen sehr einfache Passwörter verwendet wurden, und diese womöglich mehrfach, dazu später mehr.

Bei Neuanmeldungen sollte künftig darauf geachtet werden, nur die allernötigsten privaten Daten anzugeben. Eine Adresse oder Telefonnummer ist optional, wird aber empfohlen? Dem Reflex widerstehen, nicht angeben. Es ist wichtig, das Netz nicht mit den persönlichen Daten zu überfluten. Ebenso wichtig ist es, genau zu lesen, wofür oder warum es eine Angabe oder etwa das Übersenden des Ausweises braucht – das ist nur in den allerseltensten Fällen wirklich notwendig.

2. Zwei-Faktor-Authentisierung für Social-Media-Kanäle und wichtige Dienste einstellen

Wer nicht auf Social-Media-Kanäle oder andere Webdienste verzichten möchte und es nicht schon getan hat: Unbedingt wenige Minuten Zeit nehmen und die sogenannte Zwei-Faktor-Authentisierung (2FA) auf allen wichtigen Diensten einstellen. Durch sie werden User*innen nach jedem Einloggen mit E-Mailadresse und Passwort zusätzlich nach einem Sicherheitscode gefragt, der per SMS aufs Smartphone geschickt wird. Der Aufwand ist gering, der Nutzen hoch: In der Regel steht zwischen einem Menschen, der Daten abgreifen will, und uns nur ein Passwort. Durch die 2FA wird dieses allein nutzlos. Das bedeutet aber auch, dass noch besser als ohnehin schon auf das Smartphone geachtet werden muss.

Hier einige der Dienste, die eine 2FA in den Sicherheitseinstellungen anbieten, als Checkliste:

  • WhatsApp
  • Facebook
  • Instagram
  • Twitter (hier "Anmeldebestätigung" genannt)
  • Google-Konten (Gmail, Drive etc.)
  • Microsoft (Hotmail, Onedrive etc.)
  • Apple (iCloud-Dienste)
  • Amazon
  • Dropbox
  • Steam

3. Mehrere E-Mailadressen und Passwörter nutzen

Auch wenn das durch die Zwei-Faktor-Authentisierung obsolet erscheint: Wer zusätzlich verschiedene E-Mailadressen und Passwörter für verschiedene Dienste nutzt, schützt sich doppelt. Wem das zu aufwendig erscheint, sollte zumindest eine weitere E-Mailadresse anlegen und bei wichtigen Diensten zwischen mindestens drei sicheren Passwörtern hin und her wechseln und diese einmal im Jahr ersetzen. Die Betonung liegt hier bei sicher: Es dürfte mittlerweile allen bekannt sein, dass der eigene Name plus Geburtsdatum kein sicheres Passwort ist, besser ist ein alpha-numerischer Code aus abwechselnd groß und klein geschrieben Buchstaben und Zahlen.

Wer passwortmäßig künftig in der sichersten Liga mitspielen möchte, sollte einen sogenannten Passwortmanager nutzen. Sie generieren etwa sichere Passwörter für jeweils alle Dienste, die dann im Programm oder der App abgespeichert werden und belegt das Masterpasswort zusätzlich mit einer 2Fa – das macht es Hacker*innen nahezu unmöglich, an ein Passwort zu kommen. Die Süddeutsche Zeitung hat einige von den Managern getestet, darunter Lastpass und 1Passwort.

4. Künftig nur noch inkognito surfen

Es gibt eine einfache Möglichkeit, im Netz eine für potenzielle Hacker*innen oder Unternehmen viel weniger nachverfolgbare Spur zu hinterlassen: alle bisher gespeicherten Cookies, temporären Internetdaten und den Verlauf löschen (das ist ansonsten ohnehin mindestens einmal die Woche nötig) und künftig nur noch inkognito surfen. Wer so surft, bei dem*der werden nur noch Lesezeichen oder heruntergeladene Daten gespeichert. Standardmäßig werden zudem viele schädliche Skripte oder Phishing-Softwares geblockt, was das Surfen schneller macht.

Die Inkognito-Funktion bieten mittlerweile alle wichtigen Browser an, entweder über die Einstellungen oder über zusätzliche Fenster, darunter Firefox, Chrome, der Internet Explorer oder Safari. Das Ganze funktioniert auch mobil. Wer Google nutzt, sollte zudem künftig unangemeldet surfen – das Unternehmen merkt sich nämlich, nach was wir gesucht haben.

Auch wenn immer ein Restrisiko bleibt: Wer diese Hinweise berücksichtigt, surft künftig sehr viel sicherer im Netz. Wer nachprüfen möchte, ob er*sie schon einmal gehackt wurde, kann das mithilfe des Tools Have I been pawned? tun.