Hallo Herr Herbstritt, Sie kümmern sich an der Uni Freiburg um die Informationssicherheit. Digitale Informationen werden häufig mittels Passwort vor dem Zugriff Unbefugter geschützt. Was zeichnet ein gutes Passwort aus?

Dr. Marc Herbstritt ist der Informationssicherheitsbeauftragte der Albert-Ludwigs-Universität Freiburg.

Da gibt es gibt verschiedene Empfehlungen. Die Tendenz ist, in die Länge zu gehen, um sich besser gegen sogenannte „Brute-Force-Angriffe“ zu schützen. Bei solchen Attacken werden alle Passwortmöglichkeiten ausprobiert und das wird natürlich schwieriger, je länger das Passwort ist. Das ist ähnlich wie bei einem Zahlenschloss: Bei 3 Stelltasten sind es 1000 Optionen und bei einer 4. Ziffer hat man gleich eine Größenordnung mehr.

Mittlerweile empfiehlt man eine Passwortlänge von mindestens 10 Zeichen, ich würde sogar eher Richtung 12 gehen und immer auch Sonderzeichen einbauen.

Es wird auch klar empfohlen, für jeden Dienst ein anderes Passwort zu verwenden. Denn wenn zum Beispiel bei einem Webshop durch einen Angriff Kundendaten offengelegt werden – und das passiert durchaus regelmäßig – bekommen Angreifer Zugriff auf alle Daten, die diesen Kundenzugang berühren. Dasselbe Passwort bei verschiedenen Diensten zu benutzen, kann also sehr riskant sein.

Ein gutes Passwort sollte sicher, aber auch stets verfügbar sein. Sich alle eigenen Passwörter zu merken, scheint unrealistisch, auch möchte niemand immer ein Notizbuch dabei haben. Welche Möglichkeiten zum Passwortmanagement können Sie empfehlen?

Eine gute Möglichkeit bieten Passwortmanager. Hier muss man sich nur ein Hauptpasswort merken, um auf alle anderen Passwörter zugreifen zu können. Passwortmanager haben auch den Vorteil, dass sie häufig auch automatische Passwortgenerierungen anbieten.

Im Open-SourceBereich gibt es einige kostenfreie Optionen. Innerhalb der Uni empfehlen wir das Programm KeePass (Link in der Infobox).

Vorsichtig sein sollte man aber bei Anbietern, die ihre Passwörter in einer Cloud speichern. In der Vergangenheit gab es durchaus Fälle, wo diese von einem Angreifer kompromittiert wurden, der dann natürlich auf eine Großzahl von Passwörtern Zugriff hat. Solche Passwortmanager würde ich mit Vorsicht genießen.

Bei Passwortmanagern, die hingegen lokal arbeiten und die Passwörter auf dem eigenen System speichern, sollte auf jeden Fall eine externe Sicherung der Passwortdatei sicher gestellt sein. Denn falls der Computer verloren gehen sollte, ist der Zugriff auf die Passwörter dann immer noch möglich. Hier kommt dann das Thema der Backups ins Spiel.

Welche Optionen bieten sich an, um Backups von wichtigen Daten zu erstellen und wie oft sollte man ein Backup durchführen?

Wichtig ist, dass man auf jeden Fall eine gewisse Regelmäßigkeit für sich festlegt. Hier bietet es sich an, mit externen Festplatten oder USB-Speichersticks zu arbeiten.

Die verschiedenen Betriebssysteme bieten eigene Mechanismen an, um die Backups zu organisieren. Über die Suchfunktion auf dem jeweiligen Betriebssystem lassen sich die Einstellungen zum Backup leicht finden.

Hier kann man dann auch selber definieren, welche Inhalte mit welcher Regelmäßigkeit gesichert werden sollen. Wichtig ist es, sich zunächst klarzumachen, welche Daten man absichern möchte. Betriebssystemdaten müssen nicht regelmäßig gesichert werden, das ist sehr speicheraufwändig und diese können auch problemlos wiederhergestellt werden.

Für Studierende ist es sinnvoll, wichtige private Daten und Dokumente zum Studium zu sichern. Bei Abschluss- und Seminararbeiten sollte man mindestens einmal in der Woche ein Backup machen, je nach Umfang der täglichen Änderungen auch häufiger.

Studierende werden nicht darum herumkommen, ein eigenes E-Mail-Konto zu verwalten. Wie sicher ist der Informationsaustausch per E-Mail?

Das ist eine spannende Frage. Wenn man hier die Betreiber fragen würde, dann wäre die Antwort vermutlich „sehr sicher“. Sagen wir es so: Die ganzen Protokolle, die einem E-Mail-Austausch zugrunde liegen, sind mittlerweile etwas veraltet und nicht unbedingt auf heutige Sicherheitsanforderungen ausgerichtet.

Das kann dazu führen, dass Informationen von Dritten offen gelegt werden können. Die Anbieter versuchen hier nach und nach Sicherheitslücken zu schließen und auch mehr und mehr eine Infrastruktur aufzubauen, die halbwegs verlässlich ist, um Daten vertraulich zu halten. Die Verschlüsselung von E-Mails ist zudem eine weitere Option, um Daten vor Zugriff zu schützen.

Ein Freund von mir bekommt ständig E-Mails von Fremden mit Links zu fragwürdigen Angeboten im Internet. Stimmt es, dass einem über solche E-Mails geschadet werden kann?

Sie sprechen über die Kategorie der sogenannten Phishing- oder Spam-E-Mails. Hier besteht vor allem die Gefahr, dass man auf solche E-Mails hereinfällt. Die Szenarien sind sehr vielfältig. Es kann zum Beispiel sein, dass ein Datei-Anhang bei der E-Mail dabei ist, über welchen dann eine Schadsoftware installiert wird oder man aufgefordert wird auf einer gefälschten Webseite seine Zugangsdaten einzugeben.

Viele E-Mail-Anbieter bieten Spamordner an. Indem man solche unerwünschten Mails dorthin verschiebt, kann das eigene Postfach dazulernen und diese Mails theoretisch zukünftig direkt aussortieren. Das kann dabei helfen, die Menge solcher Mails, die man bekommt, zu verringern. Das Problem ist, dass man es selbst auf diese Weise technisch nicht in den Griff bekommt, alle Phishing-E-Mails automatisch zu erkennen.

Diese Mails einfach nicht mehr zu bekommen, ist daher leider nicht möglich. Hier hilft es nur, entsprechend sensibilisiert zu sein und zu wissen, an welchen Merkmalen man solche E-Mails identifizieren kann.

Kolleg*innen vom Karlsruher Institut für Technologie, dem KIT, haben hierfür das No-Phish-Quiz entwickelt. Aus meiner Sicht ist das eine sehr sinnvolle Maßnahme für Studierende, um eigene Kompetenz zur Identifizierung und Bewertung von Phishing-E-Mails aufzubauen (Link zum NoPhish Quiz in der Infobox)

Neben E-Mails nutzen viele Studierende Social Media, Messengerdienste wie WhatsApp, Telegram, Signal und Co, um sich auszutauschen. Wie gut geschützt sind diese Informationen?

Die angesprochenen Messenger-Dienste haben unterschiedliche Ausprägungen im Schutz der Kommunikation, die über sie stattfindet. Bei manchen gibt es eine Ende-zu-Ende-Verschlüsselung, durch die abgesichert wird, dass ein sogenannter „Man-in-the-Middle“ die Sachen nicht abhören kann. Wenn es keine Ende-zu-Ende-Verschlüsselung gibt, dann ist die Kommunikation wie bei der E-Mail relativ offen gelegt.

Meine Empfehlung ist, bei der Wahl des Messenger-Dienstes auf jeden Fall darauf zu achten, dass dieser eine Ende-zu-Ende-Verschlüsselung unterstützt.

Nicht nur Passwörter und private Nachrichten können abgefangen werden, sondern auch Nutzer*innendaten und das ganz legal, mithilfe sogenannter „Cookies“. Welche Einstellmöglichkeiten zum Schutz der Privatsphäre bleiben Nutzer*innen hier?

Momentan bleibt einem erst einmal leider nur, sich diese Cookie-Anforderungen der Netzbetreiber genau anzuschauen und bewusst eigene Einstellungen vorzunehmen. Üblicherweise bekommen Sie beim Aufruf einer Webseite ein Fenster präsentiert, bei welchem Sie dann die Möglichkeit haben, einfach alle Cookies zu akzeptieren, alle Cookies abzulehnen oder einen Kompromiss dazwischen einzustellen.

Bei diesen Cookie-Abfragungen hat man eigentlich immer die Möglichkeit, Einstellungen vorzunehmen. Wenn man eine Seite öfters nutzt, dann macht es Sinn, einmal ordentlich drüber zu gehen und zu entscheiden, welche Daten man hier weitergeben möchte und welche nicht. Ansonsten haben die typischen Internetbrowser auch häufig Funktionen, mit denen man gewisse Cookies blockieren und diese Vorgänge besser überwachen kann. Hier lohnt es sich also auf jeden Fall einmal in den Einstellungen des eigenen Internetbrowsers reinzuschauen.

Um sicher zu arbeiten, sind auch Systemupdates wichtig. Mein Computer macht mich ständig auf ausstehende Updates aufmerksam und will dann auch neu gestartet werden. Ich denke, ich spreche hier für viele, wenn ich sage, dass ich so etwas dann häufig vor mir her schiebe. Ist so ein Umgang gefährlich?

Gefährlich ist vielleicht der falsche Ausdruck, es ist riskanter. Man muss einfach sehen, dass durch diese Updates nicht nur neue Funktionalitäten dazu kommen, sondern oftmals Sicherheitslücken geschlossen werden. Deshalb ist die grundsätzliche Empfehlung, die Updates auch zügig einzuspielen.

Das gilt natürlich nicht nur bei Betriebssystem-Updates, sondern genauso auch bei Updates für Programme, die sie verwenden.

Welches Virenschutzprogramm ist für Studierende sinnvoll?

Ausreichend sind üblicher Weise die Programme, die das Betriebssystem bereits standardgemäß mitbringt. Im Bereich MacOS bekommen Sie dann über Systemupdates auch Aktualisierungen, was den Virenschutz angeht. Bei Windows-Systemen wiederum bringt der Defender, der bei Microsoft standardmäßig vorinstalliert ist, einen guten Basisschutz mit.

Was sollen Studierende tun, wenn Sie verdächtige Aktivitäten auf dem eigenen Rechner oder Benutzerprofil bemerken? Beispielsweise durch eine Meldung von dem eigenen Virenschutzprogramm.

Die wichtigste Empfehlung ist, erst einmal das Gerät vom Internet zu trennen. Das verhindert, dass sich die Schadsoftware, die sich möglicherweise installiert hat, nach außen hin kommunizieren und weitere Inhalte herunterladen kann, um sich verstärkt auf dem Gerät auszubreiten. Das heißt, WLAN ausschalten beziehungsweise das LAN-Kabel entfernen.

Je nachdem wie gravierend der Fall ist, wird ihnen nicht mehr viel bleiben als das System neu aufzusetzen. Wenn Sie dann ein gutes Backup haben, dann ist das verschmerzbar. Typischerweise ist dieser Weg die einfachste und auch die sicherste Variante.

Gibt es an der Uni eine Stelle, die Studierende bei Computer-Problemen unterstützen kann?

So einen Service können wir von der Universität für Studierende momentan leider nicht anbieten.

Es gibt aber gewerblich Geschäfte in Freiburg, die mit entsprechendem Wissen und Geräten ausgerüstet sind, die einem weiterhelfen können.

Wenn man von einem Virenbefall betroffen ist, ist meine Empfehlung an Studierende, das Betriebssystem nochmal neu aufzuspielen. Eine große Rolle spielt hier ein Backup, um das ich mich vorher kümmern sollte. Zu prüfen und gegebenenfalls zu ändern sind dann auch die Zugangsdaten zu den Online-Diensten, die man nutzt, gerade für die Bereiche E-Mail, Online-Shopping und Bankgeschäfte.