8. Schutzmaßnahmen

Weite Teile der Bevölkerung sind der Ansicht, sich nicht darauf verlassen zu können, dass Staat und Wirtschaft eine sichere Online-Kommunikation gewährleisten. Ebenfalls 70 Prozent sehen aber auch die Nutzer selbst in der Pflicht, für die eigene Sicherheit Sorge zu tragen. Was jedoch unternehmen sie selbst, um sich vor den Gefahren im Internet zu schützen?

Gängig sind vor allem Schutzmaßnahmen, die automatisiert und im Hintergrund laufen

Die am häufigsten getroffenen Schutzmaßnahmen bei der Online-Kommunikation sind die Verwendung von Virenschutzprogrammen (72 Prozent) und Firewalls (62 Prozent) sowie die Aktualisierung von Antiviren-Software (62 Prozent). Das ist insofern plausibel, als die Menschen gerade in Spam- Mails und Schadprogrammen die größte Gefahr der Online-Kommunikation sehen.

Ich habe Norton und vertraue darauf. (55 Jahre, männlich, Gruppe 1)

Ich sichere meine Empfangsgeräte mit Schutzprogrammen. (36 Jahre, weiblich, Gruppe 2)

Online-Kommunikation: Schutzmaßnahmen 1

Datenschutzhinweise liest nur etwa ein Drittel (32 Prozent), und 42 Prozent der Befragten ändern regelmäßig ihre Passwörter.1

In den Online-Communitys nennen die Befragten zwar verschiedene individuelle Maßnahmen (insbesondere regelmäßige Passwortwechsel), sind sich aber über den Nutzen im Unklaren.

Als Zugang benutze ich Startpage, bei Firefox o.Ä. lösche ich bei bestimmten Aktionen die Chronik. (65 Jahre, weiblich, Gruppe 1)

Ich erkundige mich über aktuelle Risiken und sichere mich durch Passwörter. Ich habe Fake-IDs, z.B. bei Facebook. (36 Jahre, weiblich, Gruppe 2)

Nein, dafür ist mir der Zeitaufwand zu hoch. Ich vertraue darauf, dass meine Daten irrelevant für die meisten Organisationen oder Unternehmen sind bzw. dass es keinen Grund gäbe, mich auszuspionieren. Naiv, mit Sicherheit. Ansonsten würde ich aber auch nicht an dieser Online-Studie teilnehmen. (21 Jahre, weiblich, Gruppe 2)

Ich versuche, ganz wichtige Daten sofort zu löschen oder auf USB zu übertragen (23 Jahre, weiblich, Gruppe 3)

Eigentlich viel zu wenig. Jetzt gerade frage ich mich übrigens auch, wie sicher diese Seite hier ist und ob Ihr Institut nun in der Lage sein könnte, meinen Rechner auszuspionieren! Ich wüsste jetzt aber nicht, was ich dagegen tun kann, denn wahrscheinlich wäre es jetzt eh schon zu spät. Meinem Virenscanner und Firewall traue ich nicht zu, so etwas zu erkennen … (34 Jahre, weiblich, Gruppe 2)

Ich benutze Pseudonyme bei der Erstellung von Accounts, gebe meine Adresse und Telefonnummer nicht an, „verbinde“ keine Accounts miteinander, benutze nie meine „echte“ E-Mail-Adresse zur Verifizierung von Accounts, benutze kein Smartphone, speichere keine Cookies im Browser, habe bei jedem Neustart eine andere IP-Adresse und surfe ohne IP v6-Protokoll. (23 Jahre, männlich, Gruppe 3)

Nein, ich unternehme nichts, weil ich auch nicht wüsste, was ich unternehmen könnte. (53 Jahre, männlich, Gruppe 1)

Ich vertraue dem rheinischen Sprichwort: Et hät noch immer jot jejange“ 😉 (49 Jahre, weiblich, Gruppe 3)

Veränderung des Internetverhaltens aus Sicherheitsgründen ist keine Option

Drei Viertel der Bevölkerung sind nach eigenen Angaben bei der Online-Kommunikation eher zurückhaltend, ehe sie sich nicht einschätzbaren Risiken aussetzen (74 Prozent, vgl. Kapitel 7). Bei der Abfrage nach der Einhaltung konkreter Schutzmaßnahmen äußert jedoch ein deutlich geringerer Anteil, auf potenziell unsichere Angebote nicht zuzugreifen (54 Prozent), sensible Inhalte zu meiden (42 Prozent) und so wenig persönliche Daten wie möglich anzugeben (53 Prozent). Alle anderen abgefragten Schutzmaßnahmen werden von noch weniger als der Hälfte der Befragten getroffen. Am seltensten (26 Prozent) werden verschlüsselte Internetseiten genutzt. Die Vermutung liegt jedoch nahe, dass viele Nutzer den Unterschied zwischen https://, also verschlüsselten Seiten, und einfachen http://-Seiten nicht wahrnehmen und/oder schlicht nicht kennen.

Auch andere konkrete Schutzmaßnahmen, die einen Mehraufwand oder eine Einschränkung der Möglichkeiten im Alltag mit sich bringen, werden kaum berücksichtigt, z.B. das Verwenden von unterschiedlichen Mail-Adressen (33 Prozent) oder das Abkleben von Webcams (30 Prozent).

Online-Kommunikation: Schutzmaßnahmen 2

Hier wird noch einmal deutlich, dass einerseits ein hohes Sicherheitsbedürfnis in der Bevölkerung bei der privat-geschäftlichen Online-Kommunikation besteht, es aber nicht in konkrete Schutzmaßnahmen übersetzt wird. In der alltäglichen Praxis herrscht offenbar weniger Zurückhaltung, als angegeben wird. Der konkrete Verzicht auf ein Angebot ist in der tatsächlichen Entscheidungssituation offenbar doch schwer durchzuhalten.

Gefahrenbewusstes Vorgehen beim E-Mail-Verkehr

Jenseits übergeordneter Schutzmaßnahmen bleibt die Frage, welche Sicherheitsvorkehrungen bei der im privat-geschäftlichen Bereich so wichtigen Kommunikation per E-Mail konkret getroffen werden. Im Umgang mit E-Mails werden mehrheitlich individuelle Sicherheitsstrategien verfolgt: E-Mails unbekannter Absender oder darin befindliche Links und Dokumente öffnet die breite Mehrheit der Bevölkerung nach eigenen Angaben nicht. Nur 9 Prozent (E-Mails) bzw. 11 Prozent (Links oder Dokumente) räumen ein, dies hin und wieder zu tun. Knapp drei Viertel geben an, zip- oder exe-Dateien grundsätzlich nicht zu öffnen. 70 Prozent löschen E-Mails unbekannter Absender sofort.

Das leuchtet ein, denn gut die Hälfte der Menschen in Deutschland verlässt sich beim E-Mail-Verkehr nicht allein auf den Virenschutz. 46 Prozent verlassen sich aber darauf, dass E-Mails, die nicht automatisch geblockt werden, auch keine Gefahr darstellen. 44 Prozent gehen indes davon aus, dass E-Mails, die nicht im Spam-Ordner landen, vertrauenswürdig sind.

Mehr als die Hälfte stimmt zu, sich hin und wieder unsicher zu sein, ob eine E-Mail gefälscht ist. Etwa einem gleich großen Anteil gilt die Betreffzeile einer E-Mail als Indikator für deren Vertrauenswürdigkeit.

Bei E-Mails gilt: Es ist sicher mit einem Restrisiko verbunden, vergleichbar mit dem Risiko, welches man im Alltag immer trägt. Man muss sich eben an Regeln halten, wie im Straßenverkehr, und man sollte keine unbekannten E-Mails öffnen oder unbekannte Links herunterladen. Es kommt hier stark auf das eigene Verhalten an, welches den Sicherheitsfaktor entscheidend beeinflusst. (41 Jahre, weiblich, Gruppe 3)

Glaubwürdigkeit und Vertrauen im E-Mail-Verkehr

  1. Bill Burr, verantwortlich für die Empfehlung, Passwörter alle 90 Tage zu ändern, hat diese widerrufen. Aktuell dazu: http://www.sueddeutsche.de/digital/it-sicherheit-der-mann-der-schuld-ist-am-passwort-wahnsinn-bereut-sein-werk-1.3623586. Außerdem: Forscher von der University of North Carolina bezweifelten bereits im Jahr 2010, dass das regelmäßige Ändern von Passwörtern die Sicherheit vor fremden Zugriffen tatsächlich erhöht. Grund dafür ist, dass in der Praxis meist kein völlig neues Kennwort gewählt wird, sondern das alte lediglich leicht modifiziert wird. Angreifer können auf Grundlage alter Passwörter – selbst wenn diese gut gewählt sind – relativ einfach das neue Passwort erahnen bzw. per Algorithmus suchen lassen. Außerdem tendieren Menschen dazu, schwächere Passwörter zu vergeben, wenn sie wissen, dass sie sie sowieso bald wieder ändern (müssen). Vgl. Zhang, Yinqian/Monrose, Fabian/Reiter, Michael K. (2010): The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis. University of North Carolina at Chapel Hill. Online: https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf Forscher der Carleton University Ottawa kamen im Jahr 2015 ebenfalls zu dem Ergebnis, dass der Nutzen von Passwortänderungen relativ gering sei, da sie Angriffe nur minimal erschweren und sich der Mehraufwand für den Endnutzer eher nicht lohne. Vgl. Chiasson, Sonia/van Oorschot, Paul C. (2015): Quantifying the Security Advantage of Password Expiration Policies. School of Computer Science, Carleton University, Ottawa, Canada. Online: http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf []