Passwörter, Werbung und Updates

Die 7 größten Fehler im Web

03.03.2017 von Arne Arnold
Wer einen Fehler im Internet macht, der kann schnell persönliche Daten preisgeben oder gar Kriminellen Zugriff auf sein Bankkonto erlauben. Wir erklären sieben Fehler, die Sie auf keinen Fall begehen sollten.

Alles, was schieflaufen kann, läuft auch irgendwann tatsächlich schief. So lautet Murphys Gesetz. Damit Ihnen aber zumindest die folgenden sieben dummen Fehler erspart bleiben, haben wir hier für Sie zusammengefasst, worauf Sie beim Surfen achten sollten.

Oooops. Diese sieben Fehler im Web sollten Sie besser vermeiden.
Foto: pathdoc - shutterstock.com

1. An öffentlichen PCs in Webseiten angemeldet bleiben

Der Fehler: Wenn Sie sich bei einem Onlinedienst anmelden, sollten Sie sich unbedingt auch wieder abmelden. Diese Regel gilt zumindest immer, wenn Sie sich den Rechner mit jemand anderem teilen.

Hintergrund: An öffentlichen PCs, egal ob Hotel, Flughafen, fremdes Büro oder selbst bei Bekannten, gilt die höchste Alarmstufe. Wenn Sie es vermeiden können, dann melden Sie sich besser nicht an fremden Rechnern bei Onlinediensten an. Die Gefahr ist zu groß, dass ein Spionagecode dort Ihre Log-in-Daten abgreift. Doch selbst ohne Schadcode sollten Sie Ihre Online-Accounts nicht für den nächsten Benutzer offen lassen, der zumindest Schabernack damit treiben könnte. So könnte er etwa dumme Sprüche auf Ihre Facebook-Seite schreiben oder Ihnen ein paar Fernseher auf Ihre Rechnung über Ihren Online-Shop schicken lassen.

Lässt sich ein Log-in nicht vermeiden, melden Sie sich unbedingt wieder von dem Dienst ab. Denn viele Dienste lassen Sie automatisch für mehrere Wochen per Cookie angemeldet. Das heißt, auch wenn Sie den Browser schließen, bleiben Sie angemeldet. Das ist beispielsweise bei Facebook der Fall. Und natürlich sollten Sie nicht die Option „Angemeldet bleiben“ bei einem Log-in wählen, denn dann bleiben Ihre Log-in-Informationen ganz sicher bis zu einer Abmeldung auf dem PC gespeichert.

So geht’s besser: Dank Smartphone muss man heute nur noch selten fremde PCs nutzen. Das meiste lässt sich am eigenen Gerät erledigen. Doch wenn Sie dabei an einem fremden WLAN angemeldet sind, sollten Sie einen VPN-Dienst benutzen. Dieser baut eine geschützte Verbindung von Ihrem Handy zu einem VPN-Server im Internet auf. Andere WLAN-Teilnehmer können Sie so nicht belauschen. Empfehlenswert ist etwa die App Steganos Online Shield VPN, die 500 MB Traffic pro Monat kostenlos bietet.

Steht Ihr Smartphone nicht zur Verfügung, nutzen Sie fürs Einloggen an einem fremden Rechner am besten die Bildschirmtastatur. So haben einfache Keylogger keine Chance, Ihr Passwort mitzulesen. Die Tastatur starten Sie per Tastenkombination Win-R und der Eingabe von OSK.

Nachdem Sie mit dem Surfen fertig sind, empfiehlt es sich, über die Einstellungen des Browsers den Verlauf und alle Cookies zu löschen. Sobald Sie wieder Zugriff auf Ihren eigenen PC oder auf Ihr Smartphone haben, sollten Sie das Passwort für den betreffenden Dienst ändern.

Sonderfall Mail: Auf das eigene Mailkonto sollten Sie besonders gut aufpassen. Denn die eigene Mailadresse ist schließlich für die meisten Onlinedienste der Benutzername. Wer den kennt und Zugriff auf das Mailpostfach hat, der kann sich über die „Passwort vergessen“-Funktion der meisten Onlinedienste leicht Zugang zu den Konten verschaffen.

Wenn Sie etwa im Urlaub über öffentliche PCs auf Ihre Mails zugreifen müssen, lohnen sich aufwendigere Schutzmaßnahmen. Sie können für diese Zeit etwa eine Zwei-Faktoren-Authentifizierung für Ihr Mailkonto einrichten. Zugriff erhalten Sie dann lediglich, wenn Sie zusätzlich zum Passwort auch einen Code eingeben. Diesen bekommen Sie entweder per SMS oder er wird von einer App generiert.

Sollte Ihr Mail-Account keine Zwei-Faktoren-Authentifizierung bieten, so können Sie für die Reise eine Weiterleitung Ihrer Mails zu einem Dienst aktivieren, der diese Funktion anbietet, etwa Gmail oder Outlook.com. Die Weiterleitung aktivieren Sie online in den Einstellungen Ihres Mailkontos.

Im Notfall: Für den Fall, dass Sie sich mal an einem fremden Rechner nicht ausgeloggt haben, sollten Sie umgehend das Passwort für den Dienst ändern. Darüber hinaus können Sie in den Einstellungen des Dienstes nachsehen, ob sich angemeldete Rechner online abmelden lassen. Diese Funktion bieten derzeit zwar erst wenige Dienste, etwa das Google-Konto (unter „Geräteaktivitäten & Benachrichtigungen“ auf https://myaccount.google.com) und Facebook („Einstellungen -> Sicherheit -> Bekannte Geräte“), doch einen Versuch ist es wert.

2. Keine Updates für Microsoft, Java, Adobe & Co. einspielen

Der Fehler: Sie deaktivieren die Update-Funktion von Windows und von Anwendungsprogrammen wie dem Adobe Reader. Das kann auch unwissentlich geschehen, zum Beispiel durch die Installation einer Firewall, die den Update-Prozess von Anwendungen blockiert.

Auf dieser Website sehen Sie die aktuellen Updates für Windows 10 inklusive der Build-Nummer. Diese Nummer vergleichen Sie mit der Angabe in den Windows-Einstellungen.

So geht’s besser: In Windows 10 mit dem Update 1607 vom August 2016 lässt sich das Windows-Update nicht mehr deaktivieren. Ob Ihr Windows auch wirklich auf dem neuesten Stand ist, können Sie bei Windows 10 über die Webseite www.pcwelt.de/S2YtA1 mit dem Eintrag unter „Windows-Symbol -> Einstellungen -> Info -> Betriebssystembuild“ abgleichen. Auf der Webseite gilt die Nummer nach „OS Build“ im ersten (neuesten) Eintrag als maßgeblich. Hier führt Microsoft jedoch auch Build-Nummern von Windows 10 Mobile auf, die gelegentlich weiter sind als die normale Version. Ein Klick auf die Build-Nummer bringt Ihnen Aufschluss darüber.

Ob Sie für Windows 7 und 8 Updates beziehen, kontrollieren Sie ganz einfach über „Systemsteuerung -> System und Sicherheit -> Windows Update“. Wenn die Funktion dort keinen Kontakt zum Update-Server herstellen kann, gibt sie in der Regel eine Fehlermeldung aus.

Ihren Internet-Browser mit allen seinen installierten Plug-ins können Sie sehr schnell auf Aktualität hin testen. Besuchen Sie die Webseite www.browsercheck.pcwelt.de und klicken Sie auf „Jetzt auf Updates prüfen“. Der Check zeigt Ihnen an, ob der Browser oder die enthaltenen Plug-ins veraltet sind. Speziell für Firefox bietet Hersteller Mozilla einen Update-Check für Plug-ins, den Sie über www.mozilla.org/de/plugincheck ausführen. Bei diesem Test sollten eigentlich keine alten Versionen auftauchen, da sowohl die Browser Firefox als auch Chrome mittlerweile selber für regelmäßige Updates sorgen. Allerdings gilt auch hier: Vertrauen ist gut, Kontrolle ist besser.

Veraltete Plug-ins in einem Browser waren in der Vergangenheit oft eine Trittleiter für PC-Viren auf ihrem Weg ins System. Auf dieser Seite überprüfen Sie, ob Ihr Browser und Ihre Plug-ins noch aktuell sind.

Updates für Anwendungen sucht das Tool Secunia Personal Software Inspector (auf unserer Heft-DVD), das viele Updates auch automatisch einspielen kann.

3. Eine Internetsuche nach Promi-Gerüchten

Fehler: Wer nach der schmutzigen Wäsche von Prominenten sucht, bekommt nicht nur haltlose Gerüchte, sondern auch jede Menge PC-Viren untergeschoben.

Denn die Verbreiter von Schadcode platzieren ihre Viren bei den Geschichten, die möglichst häufig gesucht werden. Wer zum Beispiel nach Informationen über das Topmodel Heidi Klum sucht, gelangte im Jahr 2016 mit einer Wahrscheinlichkeit von zwölf Prozent auf eine mit Malware verseuchte Webseite. Dies geht aus einer Studie hervor, die Intel Security bereits im September vorgelegt hatte. Auf dem zweiten Platz folgt mit elf Prozent die ehemalige „Germany´s Next Top Model“-Teilnehmerin Gina-Lisa Lohfink. Auf den weiteren Plätzen landeten Christoph Maria Herbst, Diane Kruger, Oliver Pocher, Dieter Bohlen und Michaela Schäfer.

So geht’s besser: Natürlich will jeder auch künftig nach spannenden Themen im Internet suchen können. Damit sich Ihr PC dabei keinen Virus einfängt, sollten Sie ein gutes Antivirenprogramm benutzen. Auf Heft-DVD finden Sie AVG Internet Security in einer Drei-Monats-Vollversion. Alternativ lässt sich Avira Safe Search Plus nutzen. Die Browser-Erweiterung warnt vor verseuchten Websites schon in der Ergebnisliste der Internetsuche.

4. Urheberrechtlich geschützte Filme herunterladen

Fehler: Sie laden kostenlos Filme aus Quellen herunter, die offensichtlich nicht legal sind.

Darum geht’s: Ein Beispiel für eine Quelle mit Filmen, die offensichtlich urheberrechtlich geschützt sind, ist etwa das Bittorrent-Netzwerk. Natürlich gibt es bei Bittorrent auch jede Menge legaler Downloads, von der Linux-Distribution über Open-Source-Filme bis hin zu kostenlosen Handbüchern. Ein Großteil der Downloads besonders aktueller Kinofilme ist dort jedoch illegal. Wer folglich beim Download von einer Abmahnkanzlei erwischt wird, der zahlt schnell mehrere hundert bis tausend Euro.

So geht’s besser: Schon seit Längerem ist die Auswahl an Onlinevideotheken groß und das Angebot gleichzeitig äußerst preiswert. Denn Marktgrößen wie Amazon, Netflix oder Maxdome liefern sich einen harten Preiskampf, was gut für den Zuschauer ist. Bereits für rund 10 Euro pro Monat lassen sich Tausende von Filmen ansehen. Wer ohnehin bereits Prime-Kunde bei Amazon ist (www.amazon.de/prime), erhält so eine nennenswerte Auswahl an Filmen, die sich auch auf den TV streamen lassen.

Wer es trotzdem komplett kostenfrei mag, der kann sich auf www.clipfish.de rund 1000 Kinofilme kostenlos und ohne Anmeldung ansehen. Allerdings dann mit jeder Menge Werbung.

Tipp: In den Onlinevideotheken wächst das Angebot an hochauflösenden Filmen. Wo und wie Sie an 4K-Filme kommen, verrät der Ratgeber unter www.pcwelt.de/2228120.

Mit der App Authenticator von Lastpass erhalten Sie den Zusatzcode, der für eine Anmeldung mit zwei Faktoren notwendig ist. Das Besondere hier: Statt die Zahl abtippen zu müssen, geben Sie den Log-in per Fingertipp frei.
Die Website Mimikama versammelt aktuelle Fake-News, falsche Gewinnspiele, Zeitungsenten, aber auch wahre Kuriositäten aus dem Internet.
Die Seite Meinpreiswecker richtet sich an Käufer, die bevorzugt bei Amazon shoppen. Denn der Preisalarm dort gilt nur für Amazon. Benachrichtigt wird man wie üblich per Mail.

5. Ein und dasselbe Passwort für alle Log-ins verwenden

Fehler: Wer für Anmeldungen bei Webseiten, Programmen und anderen geschützten Diensten stets dasselbe Passwort verwendet, öffnet dem Kontodiebstahl Tür und Tor.

Darum geht’s: Log-in-Daten zu Onlinediensten – das heißt die Kombination aus Benutzernamen und Passwort – werden leider immer wieder gestohlen. In vielen Fällen geschieht der Diebstahl der Daten gar nicht vom PC des Benutzers aus. Zumeist brechen Hacker in die Server großer Dienste ein und stehlen dort die Datenbank mit allen Log-in-Infos. Dies ist bereits bei Sony Playstation passiert, bei Adobe, Dropbox und zahlreichen weiteren Diensten.

So geht’s besser: Nutzen Sie einen Passwort-Manager wie den Online-Passwort-Manager Lastpass (auf Heft-DVD) oder den Offline-Passwort-Manager Keepass (auf Heft-DVD). Er hilft Ihnen, für jeden Dienst ein neues Passwort zu speichern. So kommt ein Hacker wenigstens nur an den Log-in eines Dienstes.

Tipp: Sie erhöhen die Sicherheit eines Log-ins deutlich, wenn Sie eine Zwei-Faktoren-Authentifizierung nutzen. Das muss der Dienst allerdings anbieten. Viele wichtige Dienste tun das aber bereits, etwa Paypal, Gmail, Outlook.com.

Bei einer solchen Zwei-Faktoren-oder Zwei-Wege-Anmeldung geben Sie zu Ihrem Passwort noch einen zusätzlichen Code ein, der alle paar Sekunden neu erstellt wird. Bei vielen Diens-ten erledigt das eine App. Empfehlenswert ist etwa Google Authenticator.

Besonders bequem ist die App Authenticator von Lastpass. Auch sie zeigt alle paar Sekunden einen Zusatzcode für die Log-ins an. Aufgrund einer Push-Funktion hin zum Browser-Plug-in von Lastpass müssen Sie diesen Zusatzcode nicht mehr eingeben. Ein Tipp auf Okay in der Lastpass-Authenticator-App genügt für die Anmeldung. Das ist einfach, bequem und immer noch deutlich sicherer, als keine Zwei-Faktoren-Authentifizierung zu nutzen.

6. Das Standardpasswort für Geräte nicht ändern

Fehler: Viele Geräte lassen sich über eine passwortgeschützte Weboberfläche konfigurieren oder anderweitig steuern. Das Passwort für den erforderlichen Log-in ist oft ein Standard-passwort. Jeder Hacker kann es in Erfahrung bringen und für einen Angriff nutzen.

Darum geht’s: Tatsächlich finden sich solche Standardpasswörter meistens nur für Log-ins in geschützten Bereichen. So ist die Weboberfläche Ihres Routers lediglich im lokalen Heimnetzwerk erreichbar. Aus dem Internet heraus kann ein Hacker sie nicht aufrufen. Zumindest normalerweise nicht. Doch finden die Angreifer immer wieder Wege, diese Beschränkung zu umgehen. Beim Beispiel Router geht das etwa über eine manipulierte Website. Konnte der Hacker zudem noch eine Schwachstelle im Browser des Opfers ausnutzen, greift er über die Website und das Heimnetz auf den Router zu, gibt dort automatisiert das Standardpasswort ein und hat danach Zugriff auf den Router. Das wiederum bringt ihn in Ihr komplettes Heimnetzwerk. Teilweise ist der Umweg über eine manipulierte Webseite und eine Browser-Lücke gar nicht erforderlich. Wenn der Hacker im Router selbst eine Schwachstelle findet, dann kann er ihn direkt aus dem Internet heraus übernehmen. Das geschieht gerade reihenweise bei IoT-Geräten, etwa IP-Kameras. Sie werden von dem Schadcode Mirai übernommen, der dem Sicherheitsforscher Brian Krebs zufolge (https://krebsonsecurity.com) die Kombination aus Standardpasswort und -nutzernamen von 69 Geräten kennt. Darunter sind zum Beispiel auch IP-Kameras und Router der Hersteller Dahua, Hisilicon und Mobotix.

Das Netzwerk an gekaperten Geräten, das Mirai bildet, wurde schon zwei Mal für DDos-Angriffe gegen Webseiten genutzt. Englischsprachige Infos dazu unter www.pcwelt.de/XSSBRG.

So geht’s besser: Jedes Gerät, das Sie mit Ihrem Heimnetz oder direkt mit dem Internet verbinden, sollte kein Standardpasswort mehr haben. Es ist zwar mühsam, jedes neue Gerät auf einen Standard-Log-in hin zu kontrollieren, aber ein wichtiger Schutz gegen Hacker-Angriffe. Schauen Sie deshalb in das Handbuch Ih-res Routers, der IP-Kamera oder der smarten Glühbirne. Zusätzlich empfiehlt sich eine Suche im Internet mit dem Namen des Gerätes und den Stichwörtern „password login“. Haben Sie herausgefunden, ob es einen Standard-Log-in gibt, dann ändern Sie diesen.

7. Werbung für extrem günstige Geräte anklicken

Fehler: Sie entdecken beim Surfen Werbung für ein tolles Gerät, etwa ein iPad, das nur 30 Euro kosten soll, und Sie klicken darauf.

Darum geht’s: Nahezu immer werden Sie nach diesem Klick auf einer Website landen, die nur an Ihren persönlichen Daten interessiert ist oder gar versucht, einen Virus auf Ihr System zu schieben. Zumindest werden Sie jedoch mit Werbung bombardiert, die dem Urheber der 30-Euro-iPad-Webseite Geld einbringt, Ihnen aber meist gar nichts nutzt. Neben unglaublich günstigen Geräten locken die Macher oft mit Gewinnspielen, bei denen sich Geld oder wiederum ein tolles Gerät gewinnen lässt.

So geht’s besser: Wenn etwas zu gut klingt, um wahr zu sein, ist es das in der Regel nicht. Diese Binsenweisheit gilt natürlich auch im Internet. Suchen Sie günstige Preise deshalb lieber über Preissuchmaschinen.

Mittlerweile gibt es außerdem etliche Webseiten, die vor Fake-News, falschen Gewinnspielen und Hoax-Nachrichten warnen. Wenn Sie etwa bei www.mimikama.at vorbeischauen, bekommen Sie recht schnell ein Gefühl dafür, wie die falschen Gewinnspiele heute aufgemacht sind. Die Site ermittelt allerdings auch wahre, kuriose Geschichten. So ist etwa die Meldung, dass in einer japanischen Eislaufbahn 5000 Fische eingefroren wurden, Mimikama zufolge wahr (https://goo.gl/qg4KyX).

Tipp: Für eingefleischte Amazon-Fans ist ein eigener Preiswecker erhältlich. Auf der Website www.meinpreiswecker.de suchen Sie nach dem begehrten Produkt entweder per Namen oder mit seiner EAN-oder ASIN-Nummer (Amazon Standard Identification Number). Diese fin-den sich auf der Amazon-Seite des Produkts. Im nächsten Schritt legen Sie Ihren Wunschpreis bei Meinpreiswecker.de fest und werden im Anschluss daran per Mail informiert, wenn der Preis weit genug gefallen ist. (PC-Welt)