Was wären Unternehmen und Privatpersonen alles schon an Schäden durch Erpresser-Software und unwiederbringlich zerstörte Daten erspart geblieben, wenn sie nur Updates eingespielt hätten. Die wichtigste Grundlage für ein halbwegs sicheres System ist ein vom Hersteller noch unterstütztes Betriebssystem, das regelmäßig mit allen aktuellen Software-Updates versorgt wird – egal, ob es sich um einen PC, einen Mac, einen Server oder ein Smartphone handelt.

Auch die genutzte Software sollte regelmäßig auf verfügbare Updates überprüft werden. Dabei steht an erster Stelle der Webbrowser; es ist egal, ob man Chrome, Firefox oder einen anderen Browser nutzt – und die verwendeten Plugins wie Adobe Reader, Java und Adobe Flash. Weitere Software, bei der es besonders wichtig ist, sie auf dem aktuellen Stand zu halten, ist Microsoft Office, um auch gegen bekannte Makroviren gewappnet zu sein.

Wer Mac oder Linux einsetzt, verringert die Gefahr, Opfer eines Angriffs zu werden, tendenziell, weil Windows die verbreitetere Plattform ist. Dasselbe gilt für iOS, was als sicherer gilt als Android. Aber auch Android ist recht sicher, wenn das Installieren von Apps auf Quellen außerhalb von Googles Play-Store untersagt ist. Egal, welches Betriebssystem eingesetzt wird: Updates sind wichtig. Für Windows XP und Windows Vista werden keine Sicherheits-Aktualisierungen mehr angeboten – weg damit, die beiden veralteten Windows-Versionen gehören ins Museum!

Die beiden wichtigsten Regeln für Passwörter lauten: Erstens: Kein Passwort sollte zweimal verwendet werden. Zweitens: Kein Passwort darf in einem Lexikon stehen.

Wird mal wieder ein Online-Dienst gehackt, werden die dort entwendeten E-Mail-Adressen in Kombination mit den Passwörtern, die teilweise leider noch immer nicht ausreichend verschlüsselt gespeichert werden, auch bei anderen Diensten ausprobiert. Es ist beispielsweise nicht bekannt, dass Twitter je gehackt wurde – trotzdem wurden teils selbst prominente Accounts übernommen, weil Angreifer die Daten beispielsweise aus dem Linkedin-Hack verwendeten. Die Opfer hatten dasselbe Passwort für beide Dienste verwendet.

Die einfachste und bequemste Maßnahme, dies zu verhindern, ist die Verwaltung sämtlicher Passwörter über einen Passwort-Manager, der die Passwörter alle mit einem General-Schlüssel versehen in der Cloud speichert. Beim Thema Passwörter in der Cloud schreien manche vielleicht auf – de facto sind die Daten dort aber beim Einsatz eines guten Passwortmanagers gut verschlüsselt gespeichert. Das Verwenden eines Passwort-Managers ist immer sicherer als im schlimmsten Fall ein Passwort für alle Dienste zu verwenden. Eine Übersicht über Passwort-Manager findest du hier: Werde Herr des Passwort-Chaos! 7 hilfreiche Passwort-Manager im Kurzporträt.

Bei der Festlegung des General-Schlüssels gibt es einen einfachen Trick, sich ein längeres und sicheres Passwort zu merken: Merke dir einfach einen Satz wie beispielsweise „Das blaue Pferd springt über die Wiese“ und nutze die Anfangsbuchstaben samt Groß- und Kleinschreibung dieses Satzes für das Passwort – in diesem Fall beispielsweise „DbPsüdW“. Dieses Passwort kann dann noch um Ziffern oder Sonderzeichen ergänzt werden.

Von allen Passwörtern ist das für den E-Mail-Account übrigens das Wichtigste – denn es ist der Schlüssel zum Ändern aller anderen Passwörter. Hier es es besonders wichtig, dass das Passwort nur einmal verwendet wird und sicher ist. Das Aktivieren der Zwei-Faktor-Authentifizierung für bestimmte Online-Dienste erhöht die Sicherheit zusätzlich.

Dass Erpresser-Software überhaupt noch ein Geschäftsmodell ist, liegt vor allem daran, dass es immer noch Unternehmen und Privatpersonen gibt, die trotz aller Appelle ihre Daten nicht regelmäßig sichern. Dabei sind regelmäßige Backups ein unverzichtbarer Grundstein jeder IT. Selbst wenn dann Daten durch eine Erpresser-Software mit einem fremden Schlüssel verschlüsselt werden, können sie im schlimmsten Fall über das Einspielen des Backups wiederhergestellt werden.

Ist es wirklich wahrscheinlich, dass eine Person, die ich nicht kenne, mir das als Anhang schickt? Würde mich ein Microsoft-Mitarbeiter wirklich anrufen, weil mein PC mit einer Malware infiziert ist und mich zur Installation einer Fernwartungs-Software überreden? Kenne ich diese Person bei Facebook wirklich oder hat sie nur einen bestehenden Kontakt samt Foto und Namen kopiert?

Viele moderne Cyberangriffe setzen auf sogenanntes Social Engineering und wollen dabei gar nicht die Technik überlisten, sondern die Schwachstelle namens Mensch. Eine gesunde Portion Skepsis ist vor allem immer dann angesagt, wenn es darum geht, Überweisungen oder Abbuchungen zum Beispiel über Paypal zu betätigen oder per SMS zu bestätigen und bei der Aufforderung zum Öffnen von E-Mail-Anhängen.

Zusammengefasst lautet die Strategie, um einen Großteil der bekannten Cyberangriffe abzuwehren:

1. Betriebssystem und Software auf dem aktuellen Stand halten
2. Passwort-Manager einsetzen
3. Regelmäßige Backups
4. Skepsis bei E-Mail-Anhängen und Aufforderungen, Überweisungen zu tätigen oder per SMS zu bestätigen