Oft sind es nur die spektakulären Fälle, die in die Medien gelangen: Hacker, die sich etwa in die Netzwerke des Autokonzerns BMW eindringen oder die Europäische Zentralbank (EZB) im September dazu zwangen, eine ihrer Webseiten vom Netz zu nehmen. Eine aktuelle Umfrage der Beratungsgesellschaft EY zeigt: Cyberattacken und Datendiebstahl sind für viele Unternehmen in Deutschland inzwischen eine konkrete Gefahr. Zwei von fünf Unternehmen haben in den vergangenen drei Jahren Hinweise auf Spionage entdeckt, gut jedes vierte Unternehmen (26 Prozent) wurde mehrmals Ziel von Kriminellen – zumeist gab es Hackerangriffe auf IT-Systeme.

Was bei solchen Geschichten aber häufig untergeht: Hackerangriffe zielen längst nicht nur auf große Unternehmen ab. Einer Studie des Digitalverbandes Bitkom zufolge ist im vergangenen Jahr jeder zweite Internetnutzer in Deutschland Opfer von Cyberkriminalität geworden. Bei fast einem Viertel der Befragten ging es um persönliche Daten, die illegal genutzt oder weitergegeben wurden – Passwörter, Kreditkarteninformationen, gestohlene Identitäten.

Wie erkennt man einen Hackerangriff?

Manchmal sind es Beschwerden von Freunden und Bekannten, die stutzig machen: Warum man plötzlich so unsinnige Nachrichten verschicke oder leere Mails mit Anhang? Offensichtlicher ist es, wenn die Bank sich meldet und auf verdächtige Kreditkartenzahlungen oder Abbuchungen aufmerksam macht. Auch große Plattformen wie Facebook und Google benachrichtigen ihre Nutzer, wenn sie Auffälligkeiten bemerken – etwa ein unbekanntes Gerät, das aufs Konto zugreift. Genauso kann es ein Indiz sein, dass sich der Internetbrowser ganz kurz öffnet und wieder schließt oder Programme ungewöhnlich schnell abstürzen.

Mit dem Identity Leak Checker hat das Hasso-Plattner-Institut ein Werkzeug entwickelt, mit dem sich überprüfen lässt, ob das Passwort eines E-Mail-Accounts ausgespäht wurde. Dafür reicht es, auf der Website die eigene E-Mail-Adresse einzugeben. Danach werden knapp sechs Milliarden Datensätze durchforstet, um zu kontrollieren, ob die E-Mail-Adresse im Zusammenhang mit anderen personenbezogenen Daten wie zum Beispiel Telefonnummer, Adresse oder Geburtsdatum im Internet offengelegt oder missbraucht wurde. Das Ergebnis geht wenige Sekunden später an die angegebene E-Mail-Adresse, bietet jedoch nur teilweise Klarheit: Denn selbst wenn eine E-Mail-Adresse nicht in der Datenbank auftaucht, kann es trotzdem sein, dass an anderer Stelle persönliche Daten gestohlen wurden.

Was kann ich tun, wenn ich gehackt wurde?

Wer den Verdacht hat, der Computer oder das Smartphone könne gehackt worden sein, sollte zuallererst Ruhe bewahren. „Wenn du im Panikmodus bist, wirst du womöglich nicht die richtige Entscheidung treffen“, erklärt Claudio Guarnieri im Gespräch mit dem Magazin vice.com. Er ist selbst Hacker und arbeitet als Sicherheitsforscher für Amnesty International. Seine Empfehlung: Betroffene sollten die Internetverbindung sofort kappen, noch besser aber das gesamte Gerät ausschalten. „Entweder um zu verhindern, dass Daten verloren gehen oder gestohlen werden, oder um der Selbstlöschung der Malware zuvorzukommen. Sie könnte als Beweis in einem späteren Verfahren dienen.“

Da Hacker häufig über abgefangene Passwörter Zugriff auf Konten und Geräte bekommen, sollten im Anschluss sämtliche Passwörter von Diensten erneuert werden, die auf dem betroffenen Gerät verwendet wurden. Ein sicheres Passwort beinhaltet mindestens zwölf Zeichen, darunter Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen.

Oft ist es ratsam, eine Person hinzuziehen, die sich auskennt und bei weiteren Schritten helfen kann. Und schließlich sollte der Vorfall auch bei der Polizei gemeldet werden. Das geht zum Beispiel unkompliziert in den Internetwachen der einzelnen Bundesländer. Unternehmen sollten Sicherheitsvorfälle und Cyber-Angriffe zusätzlich auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik melden.

Mehr zum Thema

 

Millionen Microsoft-Nutzer betroffen: Mehrfach vergebene Passwörter sind unsicher

Kann ich mich gegen Hackerangriffe absichern?

Spezielle Versicherungsangebote mit Namen wie Internet-Rechtsschutz, Cyber-Versicherung oder auch Internetschutz versprechen Hilfe bei Betrug im Onlineshopping, Identitätsmissbrauch und Cybermobbing. Ein Angebot, das etwa in Fällen von Cybermobbing hilfreich sein könnte: „Die kompetente Organisation und Finanzierung von technischen Experten zur Löschung von diskreditierenden Daten wäre prima“, so Peter Grieble, Versicherungsexperte bei der Verbraucherzentrale in Baden-Württemberg. Problematisch findet er jedoch die geltenden Konditionen der Anbieter: „Einige Versicherer beschränken die Anzahl der Löschversuche auf drei Mal oder es werden anfallende Kosten nur bis zu einer Höhe von einigen Hundert Euro übernommen. Dadurch ist der Wert der Hilfe begrenzt.“

Die Stiftung Warentest kommt nach der Prüfung von drei speziellen Rechtsschutzversicherungen für Internetärger im Frühjahr 2017 zu dem Ergebnis: Wer im Fall von Cybermobbing, Vertragsstreit oder anderem Ärger im Netz Rechtsschutz benötige, brauche keine extra Internet-Rechtsschutzversicherung. „Solche Probleme deckt jede Police mit Privat- und Berufsrechtsschutz ab.“

Wie kann ich einem Hackerangriff vorbeugen?

Marktgängige Antiviren-Software schützt bestenfalls vor schwächeren Angriffen oder bereits bekannter Malware. Solange es keine sinnvolle Software gibt, die per Mausklick einen Hackerangriff bemerkt und abwehrt, muss jede und jeder für sich aktiv werden. Dabei sollte man folgende Tipps beachten:

Software aktuell halten: Updates enthalten Softwareanpassungen, die den nächsten Angriff verhindern können. Selbst wenn es manchmal nervt: Es ist wichtig, Updates für Virenscanner oder bekannte Programme nicht wegzuklicken, sondern durchzuführen.

Skeptisch sein gegenüber Unbekanntem: Besondere Vorsicht ist geboten, wenn ein Programm oder eine Nachricht zu einem Klick oder einem Download auffordert. Wer unsicher ist, überprüft den Link mit einem Online-Virenscanner, sucht im Netz nach Hinweisen oder fragt eine vertrauensvolle Person, die sich damit auskennt.

Passwortmanager mit Zwei-Faktor-Authentifizierung nutzen: Diese Programme erzeugen und speichern Pass­wörter in einer verschlüsselten Datei auf PCs, Notebooks und Smartphones. Nutzer müssen sich dann nur noch ein einziges Passwort merken – das Masterpasswort. Manager mit Zwei-Faktor-Authentifizierung verlangen bei der Anmeldung neben dem Masterpass­wort zusätzlich einen zweiten Schlüssel, etwa einen Finger­abdruck.

Apps überprüfen: Dass eine vermeintlich harmlose App viel Schaden anrichten könnte, zeigt sich zum Beispiel bei ihrer Anfrage auf Zugriffsrechte, die gar nichts mit ihrer eigentlichen Funktion zu tun haben: Eine Kalender-App, die auf Kamera, Mikro, Galerie, das Adressbuch und Geodaten zugreifen möchte? Sofort deinstallieren! Genauso könnte es an einer schädlichen App liegen, dass das Datenvolumen nach der Installation innerhalb kürzester Zeit verbraucht ist.

Daten regelmäßig sichern: Es muss gar nicht unbedingt der Hackerangriff sein, um plötzlich vor dem Dilemma zu stehen, dass sämtliche Daten gelöscht oder unauffindbar sind. Darum ist es umso wichtiger, Dateien regelmäßig an zwei anderen Orten als auf dem Computer zu speichern – zum Beispiel in einer oder zwei Clouds und zusätzlich auf einer externen Festplatte.