Sicherheit im Netz: Ramsbecker mit ultimativem Passwort-Tipp

Tim Klamandt stammt gebürtig aus Ramsbeck und lebt inzwischen in Meschede. Der 25-Jährige ist IT-Sicherheitsexperte und Datenschutzbeauftragter. Er weiß, worauf es heute ankommt, wenn es darum geht, sicher im Internet unterwegs zu sein. © Frank Selter

Ramsbeck. Der Ramsbecker Tim Klamandt ist IT-Sicherheitsexperte. Er hat wertvolle Hinweise fürs Surfen im Netz - und den ultimativen Passwort-Tipp.

Passwort-Diebstahl, Datenklau, Online-Betrug. Die Welt wird immer digitaler und der Mensch immer angreifbarer. Tim Klamandt weiß, worauf es heute ankommt, wenn es darum geht, sicher im Internet unterwegs zu sein. Der gebürtige Ramsbecker ist IT-Sicherheitsexperte und Datenschutzbeauftragter.

Herr Klamandt, sind Sie ein Nerd?

Tim Klamandt: Sehe ich danach aus? (lacht) Ich würde sagen, ich bin Informatiker durch und durch und zocke auch gern. Für viele ist das ja schon ein Nerd. Ich bin allerdings kein so genanntes Kellerkind. Da gibt es sicherlich ganz andere Beispiele. Ich ziehe es schon vor, draußen etwas zu unternehmen.

Was denkt ein Experte wie Sie, über Menschen, die als Passwort 123456 verwenden und das am Besten noch auf mehreren Plattformen gleichzeitig?

Es ist ja zum Glück so, dass es inzwischen auf den meisten Webseiten Passwort-Richtlinien gibt, die so etwas gar nicht mehr zulassen. Dort werden zum Beispiel mindestens Großbuchstaben und Sonderzeichen verlangt, damit ein Passwort eine gewisse Komplexität bekommt. Es gibt aber auch immer noch Seiten auf denen das nicht der Fall ist. Und wenn man es sich dann als Nutzer mit 123456 aus Bequemlichkeit so einfach macht, kann ich das nicht nachvollziehen. Es gibt auch Webseiten, die nach einer gewissen Zeit aus Sicherheitsgründen eine Änderung des Passwortes verlangen. Wenn ich dann nur die letzten Ziffern ändere, ist dieses Passwort auf lange Sicht auch nicht sonderlich sicher. Eine 100-prozentige Sicherheit gibt es zwar leider ohnehin nicht. Aber ich vergleiche die IT-Sicherheit immer mit einer Versicherung. Die schließe ich ja auch ab, in der Hoffnungs, dass ich sie niemals brauche. Wenn ich wirklich 100-prozentig sicher sein will, muss ich auf Online-Banking, Online-Shopping und am Besten noch auf den kompletten Internetzugang verzichten. Das ist natürlich nicht mehr zeitgemäß. Deswegen geht es darum, sich immer mit der größtmöglichen Sicherheit im Netz zu bewegen.

Wie lautet Ihre Empfehlung, wenn es um die Auswahl eines Passwortes geht?

Ich bin gemeinsam mit vielen anderen IT-Sicherheitsexperte der Meinung, dass es Sinn macht, ein Passwort sehr komplex zu gestalten und dabei zu bleiben. Im Optimalfall nutzt man dafür einen Passwort-Manager, weil es nahezu unmöglich ist, sich diese Passwörter zu merken. Damit habe ich auf der einen Seite die größtmögliche Sicherheit und auf der anderen immer noch eine gewisse Bequemlichkeit. Ich muss mir nämlich nur ein Passwort merken, um in den Passwort-Manager zu gelangen. Hier kann man durchaus auch auf kostenlose Angebote zurückgreifen. Nur weil etwas kostenlos angeboten wird, muss es nicht zwingend schlecht sein. Letztlich kommt es darauf an, dass es regelmäßige Updates gibt. Zur weiteren Sicherheit bietet es sich übrigens an, die Zwei-Faktor-Autorisierung zu nutzen, wenn sie angeboten wird. Wie etwa bei Facebook. Dann bekomme ich beim Anmeldeversuch eine Nachricht per Mail, App oder am besten per SMS - und erst wenn ich die bestätigt und genehmigt habe, bin ich eingeloggt. Damit kann sich der Angreifer nicht einloggen, wenn er den zweiten Faktor nicht hat. Und ich persönlich würde auch darauf verzichten, Passwörter im Browser zu speichern - auch dann, wenn ich den Rechner daheim nur allein nutze.

Haben Sie einen Geheimtipp, wenn es ums Passwort geht?

Ich empfehle meinen Freunden immer, zu versuchen, ein Leerzeichen ins Passwort einzubinden, sofern es die jeweilige Anwendung zulässt. Bei einem so genannten Brute-Force-Angriff wird versucht, Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren herauszufinden. Mit einem Leerzeichen in einem langen komplexen Passwort dauert es Jahre bis Jahrzehnte, bis ein solches Passwort auf diese Weise geknackt wird. Unter www.checkdeinpasswort.de gibt es im Internet eine Seite, auf der ich überprüfen kann, wie lange es dauern wird, mein Passwort mit dieser Methode zu knacken. Es wäre natürlich nicht so schlau, sein eigenes Passwort dort einzugeben, aber man kann es ja mit einem ähnlichen versuchen.

Wie kann ich mich vor Phishing schützen?

In erster Linie durch gesundes Misstrauen. Viele Mensch neigen dazu, zu glauben, dass alle anderen Menschen nett sind. Und genau diese Gutgläubigkeit wird beim Phishing ausgenutzt, um Zugänge zu bekommen. Ich vergleiche das immer mit einem Beispiel aus dem Leben: Wenn bei mir Zuhause jemand klingelt, den ich nicht kenne, lasse ich ihn ja auch nicht sofort herein. E-Mails von Banken oder Shopping-Plattformen, in denen es darum geht, dass das Passwort abgelaufen ist, sollte man sich immer ganz genau anschauen. Ich rate grundsätzlich davon ab, auf Links oder einen Button zu klicken oder einen Angang herunter zu laden. Im Zweifelsfall würde ich immer direkt die jeweilige Internetseite ansteuern. Wenn ich eine vermeintliche Bestellbestätigung von Amazon bekomme und ich mir sicher bin, dass ich nichts bestellt habe, warum sollte ich dann auf einen Button klicken, der mich zur Webseite führt? Und grundsätzlich ist auch der Absender zu beachten. Wenn der zum Beispiel auf .pl oder .ru endet ist klar, dass die Mail weder von Amazon noch von meiner Bank sein kann. Rechtschreib- und Formulierungsfehler sind in den Mails übrigens auch immer ein deutlicher Hinweis darauf, dass die Mail nicht echt ist. Wenn es um IT-Sicherheit geht, ist die größte Fehlerquelle der Mensch, der am Rechner sitzt. Deswegen ist es wichtig, das Bewusstsein zu schärfen.

Wie gestalte ich denn meinen Computer so sicher wie möglich?

Voraussetzung ist selbstverständlich ein funktionierendes Anti-Viren-System. Wenn ich sicher sein will, ist das ein Muss auf dem Rechner. Weil es hier extrem viele Anbieter gibt, empfehle ich, darauf zu achten, welcher aktuell der Beste ist. Dazu gibt es viele Testberichte im Netz. Nicht immer ist der teuerste auch der beste. Hier muss ich mich dann bei der Entscheidung fragen, was ich möchte. Es gibt Anti-Viren-Programme, die machen das System langsamer als andere, sind dafür aber besser und können mehr. Andere sind schneller, aber eben nicht so umfangreich. In vielen Testberichten wird genau das thematisiert. Grundsätzlich bin ich auch der Meinung: Auf einen Rechner gehört nur so viel Software wie nötig und so wenig wie möglich. Denn jede Installation birgt immer ein gewisses Sicherheitsrisiko. Und wenn ich schon auf die ein oder andere Software nicht verzichten kann oder will, ist es wichtig, darauf zu achten, dass sie - ebenso wie das gesamt Betriebssystem - immer auf dem aktuellsten Stand ist. Wenn ich mir Software aus dem Internet herunterlade, sollte ich außerdem darauf achten, auf welchen der vielen Download-Buttons ich klicke. Ein geschulter Informatiker erkennt den richtigen in der Regel auf Anhieb. Die meisten Menschen sind aber geneigt, den größten oder den blinkenden Button anzuklicken, hinter dem sich eine infizierte Webseite verbergen kann.

Worauf gilt es, beim Einkaufen im Internet zu achten?

Hier ist es wichtig, sich die URL anzusehen. Bei seriösen Shops steht grundsätzlich https:// davor. Das bedeutet, dass diese Verbindung gesichert ist und persönliche Daten auch gesichert übermittelt werden. Das ist bei Seiten mit http:// nicht der Fall. Soll heißen: Dort werden meine eingegebenen Bank- oder Login-Daten im Klartext übermittelt. Entsprechend würde ich jedem davon abraten in solchen Shops einzukaufen. Es heißt zwar nicht, dass immer ein böser Willen des Betreibers dahintersteckt. Es kann ja auch sein, dass er einfach nicht weiß, wie man auf https umstellt. Mit wäre das aber trotzdem zu unsicher. Auch das Impressum einer Seite ist immer sehr aufschlussreich. Ein Impressum ist Pflicht und muss leicht zu finden sein. Wenn eine Seite also keins hat, kann hier schon etwas nicht stimmen. Und wenn ich ein Impressum gefunden habe, würde ich die Daten überprüfen - also mal nachschauen, ob es die Adresse wirklich gibt. Sinn macht es auch, den Namen des Shops zu googeln und sich Erfahrungsberichte anzuschauen. Die sind allerdings auch mit Vorsicht zu genießen. Oft ist schwer zu erkennen, ob die Rezensionen echt sind. Hierfür muss man einfach ein Gespür entwickeln. Wenn es nur 5-Sterne-Bewertungen und Lob gibt, lässt mich das schon zweifeln. Auch hier gilt: Gesundes Misstrauen ist das A und O. Und wenn ich mir dann immer noch unsicher bin, empfiehlt es sich, auch mal jemand anderen nach seiner Meinung zu fragen.

Wie merke ich denn, wenn ich gehackt worden bin?

Es gibt Webseiten wie etwa www.haveibeenpwned.com, auf denen ich meine Mail-Adresse eingeben kann. Dort wird überprüft, ob die Adresse in irgendwelchen geleakten - also veröffentlichten - Listen auftaucht. Wenn ich lese, dass mal wieder eine Datei mit 93.000 Passwörtern aufgetaucht ist, überprüfe ich, ob meine Mail-Adresse dabei ist. Wenn das der Fall sein sollte, gilt: Passwort ändern. Und wenn ich so leichtsinnig war, und das gleiche Passwort für mehrere Zugänge genutzt habe, sollte ich es auch dort ändern. Wenn der Rechner langsam wird oder ich Rechnungen bekomme, von Dingen, die ich nicht bestellt habe, ist ein möglicher Hacker-Angriff nicht auszuschließen.

Was halten Sie als IT-Sicherheitsexperte von Freifunk und anderen öffentlich zugänglichen W-Lan-Netzwerken?

Generell würde ich sagen, dass Freifunk etwas Gutes ist, das man durchaus verwenden kann. Ich persönlich würde in öffentlichen Netzwerken allerdings nichts nutzen, was mit meinen personenbezogenen Daten zu tun hat. Gegen normales Surfen im Internet spricht aber sicherlich nichts. Da sehe ich nichts Kritisches.

Sie sind auch Datenschutzbeauftragter. Was sagen Sie dazu, dass ich aktuell wegen Corona meine Daten in eine Liste eintragen soll, die in den Gaststätten ausliegt?

Ich frage mich schon, warum ich in manchen Dokumenten meinen Namen, meine komplette Adresse samt Postleitzahl, meine Telefonnummer und meine E-Mail-Adresse angeben soll. Es reicht doch, meinen Namen und meine Telefonnummer oder meine Mail-Adresse anzugeben, damit ich erreichbar bin, wenn ein Corona-Fall aufgetreten sein sollte. Bedenklich finde ich als Datenschutzbeauftragter Gästelisten, in denen ich beim Eintragen die Daten der anderen Gästen sehen kann. Eintragen würde ich meine notwendigen Daten aber trotzdem. Ich würde dem Gastronomen nicht zwangsläufig eine böse Absicht unterstellen, auch wenn er laut Verordnung verpflichtet ist, diese Daten für unbeteiligte Dritte unzugänglich zu machen.

• Tim Klamandt ist IT-Sicherheitsexperte in Rechen- und Netzwerksystemen und seit Januar TÜV geprüfter Datenschutzbeauftragter.
• Tim Klamandt ist 25 Jahre alt, stammt gebürtig aus Ramsbeck und lebt inzwischen in Meschede.