Beim Thema Sicherheit im Internet verlieren Laien schnell den Überblick. Zwischen SSL-Zertifikaten und Deep Fakes haben viele Menschen keine Einblicke, welche vielfältigen Risiken und Gefahren in der digitalen Welt lauern. Trotzdem nutzt jeder täglich das Smartphone oder den Browser auf PC oder Laptop. Unser Artikel beleuchtet die wichtigsten Sicherheitsaspekte des Internets zu zeigt, dass echte Sicherheit nur durch ein Zusammenspiel von Mensch und Technik möglich wird.

Internet - das etablierte und doch unbekannte Medium

Mittlerweile wächst eine zweite Generation heran, die eine Welt ohne Internet nicht kennt. Was für ältere Mitmenschen bei der Nutzung von Webseiten oder digitalen Services gewöhnungsbedürftig ist, wird von jungen Menschen als Selbstverständlichkeit wahrgenommen. Doch auch ein Aufwachsen mit dem World Wide Web schützt nicht davor, Opfer des kriminellen Potenzials dieses Mediums zu wählen.



Dies ist mit der "realen" Welt vergleichbar. Auch im Alltag oder auf Reisen lassen sich verschiedene Vorsichtsmaßnahmen treffen, mit der sich die Wahrscheinlichkeit senken lässt, Opfer einer Straftat zu werden. Eine 100-prozentige Sicherheit gibt es nicht. Und während Gefahren wie ein Diebstahl oder körperlicher Angriff tief in unserer Evolution verwurzelt sind, gibt es keine derartig tiefe Verankerung digitaler Risiken.

Der generelle Aufbau des Internets und seiner Datenströme

Das Internet ist ein Oberbegriff für zahllose einzelne Netzwerke, die miteinander vernetzt sind. Ein einzelnes Netzwerk kann beispielsweise die Verbindung von PCs in einem Unternehmen sein. Diese kommunizieren intern in einem Intranet miteinander, für den externen Datenstrom wird ein Router oder eigenständiger Server benötigt.



Apropos Server: Auch die Bereitstellung von Webseiten funktioniert nach dem sogenannten Server-Client-Prinzip. Die Inhalte einer Webseite oder sonstige Daten wie Bilder, Videos und Anwendungen stehen auf einem Server bereit. Internetprovider stellen für Ihre Kunden Serverplatz bereit, um hierüber eine Webseite zu betreiben. Auch ein firmeneigenes Betreiben eines Servers ist möglich. Dieser muss natürlich 24 Stunden im Netz sein, damit die Seite dauerhaft erreichbar ist.



Als Client werden einzelne Geräte wie ein PC oder Smartphone bezeichnet, die eine Anfrage beim Server stellen. Eine solche Anfrage kann das Anzeigen der Inhalte einer Webseite oder der Download einer bestimmten Anwendung sein. Über Hunderte zentrale Knotenpunkte auf der gesamten Welt ist zugesichert, dass ein weltweiter Austausch von Daten und Informationen möglich wird. Genauso können einzelne Netzwerke gesondert abgesichert sein, damit nicht jeder einen Zugriff erhält. Ein Beispiel ist das ominöse "Darknet", das häufiger mit kriminellen Aktivitäten in Verbindung gebracht wird.

URLs, Domains und die Rolle von SSL-Zertifikaten

adobe.stock | Robert | 480952585



Für die meisten privaten Internetnutzer oder gewerblichen Betreiber einer Webseite sind die komplexen Strukturen des World Wide Web meist uninteressant. Stattdessen steht im Vordergrund, selbst sicher im Internet unterwegs zu sein bzw. Besuchern der eigenen Webseite maximale Sicherheit zuzusichern. Hierfür muss verstanden werden, weshalb ein Seitenbesuch überhaupt unsicher sein kann. Dazu einige grundlegende Begriffe:



Um einen bestimmten Punkt im Internet ansteuern zu können, wird eine URL benötigt. Diese identifiziert eine Webseite oder einen anderen Knotenpunkt im Netz eindeutig. Im allgemeinen Sprachgebrauch wird die URL einfach als Internetadresse bezeichnet. Zum Aufbau der URL gehört auch eine Zugriffsmethode, wie mit dem Internet interagiert werden soll. Der Aufruf einer Webseite ist schließlich etwas anderes als der Versand einer E-Mail an eine bekannte Mailadresse.



Speziell für Webseiten ist die Eingabe von Domains die gängige Form, eine URL aufzurufen. Die Domain lässt sich grundsätzlich frei wählen und sollte bei Unternehmen den Firmen- oder Markennamen beinhalten. Angehängt wird eine Top-Level-Domain, beispielsweise ".de" für Deutschland oder ".shop", um auf ein kommerzielles Angebot hinzuweisen.



Bei der Auswahl und Verwaltung einer geeigneten Domains helfen namhafte Hostinganbieter weiter. Als Teil eines Hostingpakets lässt sich neben der Zuteilung einer Domain auch Serverplatz für die Webseite abschließen, ähnlich wie Speicherplatz in einer gesicherten Cloud. Jedes moderne Hostingpaket mit ein oder mehreren Domains zeichnet sich durch eine gesicherte, verschlüsselte Datenübertragung aus, realisiert über den Abschluss eines SSL-Zertifikats.

SSL-Zertifizierung von Webseiten und ihre Bedeutung



Die Interaktion mit einer Webseite kann facettenreich sein. Manchmal möchte der Seitenbesucher lediglich textliche Informationen oder Bilder betrachten. In Online-Shops oder bei einer Hotel-Buchung wird ein anderes Sicherheitsniveau benötigt. Hier gibt der Nutzer potenziell eine Vielzahl von Informationen ein, zu denen sensible Daten wie die eigene Kontonummer oder die CVC-Prüfziffer bei einer Kreditkartenzahlung gehören.



Durch die weltweite Netzwerkstruktur ist es nicht ausgeschlossen, dass Dritte den Datenstrom mitlesen, der zwischen dem heimischen PC und dem Server des Shops oder Reiseanbieters stattfindet. Bei den genannten, sensiblen Informationen sind der Cyberkriminalität hiermit Tür und Tor geöffnet. Eine Lösung: Die Übertragung der Daten findet verschlüsselt statt. Selbst wenn Informationen abgefangen würden, könnten diese von Kriminellen nicht ausgewertet werden.



Ob der Datentransfer zwischen Endgerät und Webseite verschlüsselt ist oder nicht, lässt sich in der URL der Seite erkennen. Steht hier einleitend "https://" statt "http://", hat sich der Betreiber der Seite für eine SSL-Verschlüsselung entschieden. Viele Browser stellen dies über ein Sicherheitsschloss dar. Beim Klick auf das Schloss lassen sich detaillierte Informationen zum Zertifikat aufrufen.



Betreiber älterer Webseiten, bei denen es nicht zur Eingabe sensibler Informationen kommt, verfügen im Regelfall nicht über ein SSL-Zertifikat. Eine Umstellung ist dennoch seit Jahren zu empfehlen. Wie die Entwickler bei Google mitteilen, spielt eine Verschlüsselung der Seite ins Ranking ein. Anders ausgedrückt: Wer sich gegen die SSL-Verschlüsselung entscheidet, nimmt in Kauf, bei Google-Suchanfragen nicht mehr gefunden zu werden. Mittlerweile warnen sogar einzelne Browser, wenn es zum Aufruf einer Webseite ohne SSL-Zertifikat kommt.

Sicherheitstechnische Unterschiede zwischen App und Browser

adobe.stock | Kaspars Grinvalds | 308426660



Der Sicherheitsaspekt bei einer Webseite, die im Browser aufgerufen wird, unterscheidet sich von der Nutzung von Anwendungen. Ob App auf dem Smartphone oder klassisches Programm auf dem PC, nach dem Download des Programms muss es nicht zwingend zu sensiblen Datenströmen kommen. Anstelle der SSL-Zertifikats geht es stärker darum, die Machenschaften krimineller Hacker zu verwenden.



Der Download der App, über einen Store oder die Webseite des Anbieters, kann eine Sicherheitslücke darstellen. Aus diesem Grund sind Google Play oder der Apple App Store selbstverständlich Webseiten, die über ein SSL-Zertifikat verfügen. Doch was gilt für die Programmierung der App, die sich ein Nutzer herunterlädt? Theoretisch könnte der Anbieter der App kriminelle Machenschaften verfolgen, um im Hintergrund des ausgeführten Programms Daten von Smartphone oder PC zu erfassen.



Dass dies einfach möglich ist, wissen Handynutzer durch stetige Sicherheitsanfragen auf ihrem Gerät. Bewusst muss hier zugestimmt werden, ob ein Programm auf Bilder, Kontakte oder das Mikrofon des Smartphones zugreifen darf. Wird hier einer unseriösen App die falsche Erlaubnis erteilt, ist kriminelles Handeln nur schwer auszubremsen.



Anders als beim SSL-Zertifikat ist bei Apps der einzelne Nutzer stärker in der Verantwortung. Zum einen sollte ausschließlich ein Download bekannter und vertrauenswürdiger Apps stattfinden. Ansonsten ist eine Firewall sowie ein Malware- und Virenschutz auf dem Smartphone unerlässlich. Was auf dem PC obligatorisch ist, fehlt leider noch auf vielen Mobilgeräten und sollte vom Nutzer dringend nachgeholt werden.

Funktionsweise und Besonderheiten einer Cloud



Mit der Cloud ist über das letzte Jahrzehnt eine Hybrid-Lösung entstanden, die privat und gewerblich für höchste Flexibilität sorgt. Cloud-Strukturen reichen dabei von klassischen Server-Lösungen mit flexiblem Speicherplatz bis zu Anwendungen, die ortsunabhängig über die Cloud aufgerufen werden.



Herzstück des Cloud-Computing sind spezielle Server, die hohen Sicherheitsstandards genügen müssen. Für private Nutzer ist die Cloud vor allem beliebt, um Fotos, Videos oder Dokumente an einem zentralen Ort im Internet abzulegen. Was sonst als Datei alleine auf einem PC oder Smartphone existiert, lässt sich unabhängig vom Gerät über die Cloud aufrufen.



Im gewerblichen Bereich wird Software-as-a-Service bei immer mehr Firmen zum Standard. Hier geht es neben dem Ablegen von Dateien in der Cloud um die Bereitstellung von Programmen, beispielsweise eine Office-Anwendung. Diese muss nicht mehr gesondert auf jedem einzelnen Gerät einer Firma installiert werden, sondern lässt sich flexibel als Service über die Cloud aufrufen.

Sicherheitsaspekte der Cloud



Eine Cloud-Lösung ist auf besonders strikte Sicherheitsmaßnahmen angewiesen. Schließlich werden sensible Dateien oder Kundendaten in der Cloud gespeichert, die sonst auf einem Server oder den PCs der Firma gespeichert wurden. Da manche Unternehmen das Thema Datensicherheit bis heute nicht ernstnehmen, dürfte die gehobene Absicherung in einer Cloud jedoch oft die eigenen Sicherheitsmaßnahmen übersteigen.



Die wichtigen Aspekte der Cloud-Sicherheit lassen sich in vier Kernbereiche aufteilen:

· Identity und Access Management: Für die Cloud muss eine strikte Kontrolle gegeben sein, wer auf welche Bereiche der Cloud zugreifen darf. Hierzu gehört die eindeutige Identifikation zugriffsberechtigter Personen.

· Security Information und Event Management: Sollte es zu Bedrohungen oder ungewohnten Aktionen innerhalb der Cloud kommen, sind zeitnah serverseitig die richtigen Aktionen durchzuführen. Hier arbeiten viele Anbieter mit KI-basierten Systemen, die automatisiert auf Angriffe oder ungewohnte Verhaltensweisen innerhalb der Cloud reagieren.

· Data Loss Prevention: Was auf dem heimischen PC die Sicherheitskopie auf einem externen Laufwerk oder USB-Stick ist, stellen bei Cloud-Strukturen Maßnahmen zur Data Loss Prevention dar. Seriöse Anbieter sichern ihren Kunden diverse Tools und Services wie regelmäßige Backups zu.

· Business-Continity: Sollte es trotz aller Vorsichtsmaßnahmen zu einem erfolgreichen Angriff gekommen sein, stellt der Cloud-Anbieter die Fortsetzung des Geschäftsbetriebs sicher. Dieser Aspekt umfasst auch die erneute, schnelle Bereitstellung gesicherter Daten und Anwendungen.

Alle seriösen Hosting- und Cloudanbieter decken die genannten Bereiche ab. Hier stehen verschiedene Leistungspakete zur Auswahl, die private und gewerbliche Anwender in allen Größenordnungen als Zielgruppe haben. Speziell die Umstellung auf eine Cloud-Lösung sollte professionell begleitet werden, um den richtigen Ansatz in Funktionalität und Sicherheit zu wählen.

Das Geschäftsmodell von Social Media im Zusammenspiel mit Nutzerdaten



Sich mit Freunden und Marken rund um den Globus verbinden und hierfür keinen Cent zahlen - das Geschäftsmodell der Social Media wirkt zu attraktiv, um wahr zu sein. Tatsächlich bringt die Nutzung von Facebook, Instagram oder YouTube eine Schattenseite mit sich. Nutzerdaten und seine Vorlieben bezüglich medialer Inhalte werden gespeichert und für passende Werbeeinblendungen genutzt. Dies gilt selbst für Produkte oder Services, die Freunde oder Kollegen im jeweiligen Netzwerk "geliked" haben.



Bei der Registrierung in einem sozialen Netzwerk sollte jedem Nutzer klar sein, dass der kommerzielle Erfolg der Plattformen auf diesem Prinzip basiert. Weder Firewall noch Virenschutz oder die SSL-verschlüsselte Datenübertragung der Social Media schützen hiervor. Je aktiver eine Nutzung des sozialen Netzwerks stattfindet, umso gläserner wird der einzelne Anwender. Gerade junge Menschen sind hierfür wenig sensibilisiert und geben schnell Informationen preis, die nicht für die Öffentlichkeit bestimmt sind.

Wie sicher ist die Nutzung von Social Media wirklich?

adobe.stock | Aleksei | 283452126



In rein technischer Hinsicht kann Betreibern wie Meta als Großunternehmen hinter Facebook, WhatsApp und Instagram wenig vorgeworfen werden. Dies gilt zum einen für die Sicherheit der Smartphone-Apps dieser Webseiten sowie ihre SSL-Verschlüsselung. Alle großen Konzerne und Marken betreiben Social-Media-Accounts. Dies wäre nicht der Fall, wenn eine Nutzung der Dienst unseriös und mit großen Sicherheitslücken verbunden wäre.



Das datenintensive Geschäftsmodell, von dem Werbepartner der Plattformen profitieren, kann die individuelle Sicherheit gefährden. Hier hilft alleine der bewusste Umgang mit persönlichen Daten. Nach der Registrierung sollte Nutzer genau überlegen, welche Information bereitgestellt werden und welche nicht. Leider schützt dies nicht vor aktiven Freunden oder Arbeitskollegen, die die eigene Person regelmäßig auf Fotos verlinken oder deren Verbindung für die Einblendung bestimmter Werbeanzeigen verantwortlich ist.

Typische Sicherheitslücken in Heimnetzwerken



Bei allen Sicherheitsmaßnahmen, die Unternehmen und Hosting-Anbieter betreiben - die größte Risikoquelle bleibt der Mensch. Dies gilt speziell für das Heimnetzwerk, für das es anders als bei Firmen keine Einweisung in Sicherheitsmaßnahmen und ihre stetige Überprüfung gibt. Was gewerblich durch die DSGVO geregelt und bei Verstößen mit empfindlichen Bußgeldern geahndet wird, spielt im privaten Bereich keine Rolle.



Bereits kleine Maßnahmen reichen aus, um größere Sicherheit im Heimnetzwerk zu schaffen. Und dies ist in Zeiten der Digitalisierung, in denen Online-Banking und Bestellungen in Online-Shops obligatorisch sind, wichtiger denn je:



1. Router für die LAN/WLAN-Nutzung werden mit einem Standard-Passwort ausgeliefert. Dieses sollte schnell geändert werden.



2. Ein möglichst geringer Personenkreis sollte das WLAN-Passwort des Routers kennen. Für Gäste bieten viele Router einen Gastzugang an, der bei längerer Nutzung auszuschalten ist.



3. Bei der Wahl des Passworts für die WLAN-Nutzung ist auf einen zeitgemäßen Standard wie WPA 2 oder WPA 3 zu achten. Jeder moderne Router unterstützt einen dieser Standards.



4. Die Software des Routers und der wichtigsten Anwendungen im Alltag sollte immer auf dem neusten Stand bleiben.



5. Alle Geräte im Netzwerk sind mit einer Firewall und einem Schutzprogramm vor Viren und Malware auszustatten. Der Microsoft Defender bietet bereits einen guten Standard, sollte jedoch mit Updates immer auf dem neusten Stand gehalten werden.

Das Thema Cookies und warum niemand blindlings "akzeptieren" sollte



Das Geschäftsmodell von Social-Media ist längst in weiteren Bereichen der Internetnutzung angekommen. Beispielsweise kennen Nutzer die Vielzahl an Werbeanzeigen, die beim Aufrufen von Tageszeitungen am Rand oder im unteren Bereich einer Webseite eingeblendet werden. Wie individuell diese Einblendungen sind, hängt von der Erlaubnis der "Cookies" an, für die es in den letzten Jahren zu einer radikalen Änderung kam.



Cookies sind kleine Dateien, die beim Aufrufen einer Webseite auf dem Nutzergerät gespeichert werden. Dies können nützliche Informationen wie Anmeldedaten sein, um diese nicht bei jedem Besuch der Webseite neu eingeben zu müssen. Am anderen Ende des Spektrums befinden sich Werbe-Tracker, wobei Kooperationen mit Webseiten keine Seltenheit sind.



Dank der EU-Rechtsprechung dürfen Cookies nicht mehr heimlich im Hintergrund angelegt werden. Dies hat zu teilweise komplexen Einstellungen beim Aufruf einer Webseite geführt. Viele Nutzer stimmen hier blind allen Cookies zu und öffnen sich damit dem Zugriff von Werbenetzwerken - oder anderen unseriösen Dienstleistern.



Ein blindes Akzeptieren ist deshalb bei keiner Webseite anzuraten. Durch die umständliche Menüführung und die Auswahl zahlloser Cookies von Hand wirkt das Vorgehen außerdem abschreckend. Alternativen wie Cookies dürften sich in den kommenden Jahren durchsetzen und die Zukunft der digitalen Werbung einläuten.

Deep Fakes und andere Gefahren rund um Fake News und Informationen

Bei allen Sicherheitsfragen zwischen Technik und Datenschutz ist die neuste Facette digitaler Risiken vielen Nutzern nicht bewusst. Hier geht es nicht um den Datenstrom oder das Nutzergerät, sondern die Information selbst. Fake News und bewusst irreführende Informationen beeinflussen die Wahrnehmung des Mediums Internet. Und da gerade in sozialen Netzwerken jeder seine Meinung äußern kann, kann schnell eine Verunsicherung auf anderer Ebene entstehen.



Dies gilt längst nicht mehr nur für Textinformationen und manipulierte Bilder. Die moderne Technologie erlaubt sogenannte Deep Fakes. Gemeint sind Videos, in denen beispielsweise Berühmtheiten Worte in den Mund gelegt werden können. Diese Fakes sind täuschend echt und dürften eine juristische Regulation notwendig machen. Um nicht auf Deep Fakes und Fake News hereinzufallen, hilft leider nur das kritische Denken des einzelnen Nutzers weiter.

Fazit zu digitalen Sicherheitsaspekten

Die digitale Welt ist nicht sicherer oder unsicherer als die reale Welt. Sie birgt lediglich andere Gefahren, die den meisten Nutzern nicht intuitiv bewusst sind. Ein Hineindenken ins Thema Sicherheit, speziell zum Schutz vor Hackern und Fehlinformationen, ist jedem Bürger oder Unternehmen anzuraten.