Der Mythos von "gut genug" bei Sicherheit

1. Passwörter: Entropie an die Maschine auslagern

Menschen erzeugen schlechte Zufälligkeit. Wenn wir clever sein wollen, schaffen wir Muster, die Passwort-Cracker gezielt ausnutzen.

Nutzen Sie einen Passwortmanager, damit jedes Konto ein einzigartiges, hochentropisches Passwort erhält, das von Software statt aus dem Gedächtnis erzeugt wird.

Das eine Geheimnis, das Sie sich merken, sollte eine lange Passphrase sein, und der Tresor sollte eine moderne Schlüsselableitung wie Argon2id verwenden.

2. Authentifizierung: an die Herkunft gebunden, nicht nur Zwei-Faktor

Klassische Zwei-Faktor-Codes helfen, können aber in Echtzeit gephisht werden. SMS ist besonders fragil, weil SIM-Swaps und Rufnummernübernahmen Alltag sind.

FIDO2 und WebAuthn ändern das Protokoll. Ein Passkey oder Hardware-Schlüssel beweist den Besitz eines privaten Schlüssels für eine bestimmte Website-Herkunft, sodass eine Phishing-Domain ihn nicht wiederverwenden kann.

• Security Keys und Passkeys: phishingresistent und herkunftsgebunden.
• Authenticator-Apps: nützlich, aber weiterhin anfällig für Echtzeit-Phishing.
• SMS- oder E-Mail-Codes: für wertvolle Konten möglichst vermeiden.

3. Messaging: Verschlüsselung ist kein Häkchen

Ende-zu-Ende-Verschlüsselung schützt Inhalte, aber die Details des Designs zählen. Forward Secrecy hält alte Gespräche sicherer, falls später ein Langzeitschlüssel kompromittiert wird.

Verschwindende Nachrichten reduzieren die Datenmenge, die zurückbleibt. Daten, die nicht mehr existieren, können Monate später nicht durchsucht, vorgeladen oder geleakt werden.

Verschlüsselung löscht keine Metadaten und hilft nicht, wenn ein Angreifer Ihr entsperrtes Gerät kontrolliert.

4. Netzwerkhygiene: der VPN-Realitätscheck

Ein VPN ist kein Unsichtbarkeitsmantel. Es verschiebt Vertrauen vom lokalen Netzwerk zum VPN-Anbieter.

Nutzen Sie es, wenn es ein konkretes Problem löst: feindliches WLAN, Zensur oder Traffic Shaping. Erwarten Sie nicht, dass es schlechte Browser-Hygiene oder schwache Authentifizierung repariert.

Moderne Protokolle wie WireGuard sind attraktiv, weil ihr Design kompakt, prüfbar und auf gut verstandenen kryptografischen Bausteinen aufgebaut ist.

5. Browser: wo die meisten Konten tatsächlich sterben

Viele Kontoübernahmen beginnen mit gestohlenen Session-Cookies, nicht mit gebrochener Kryptografie. Der Browser ist eine riskante Umgebung voller Skripte, Erweiterungen und langlebiger Sitzungen.

Halten Sie Erweiterungen minimal, blockieren Sie Drittanbieter-Skripte konsequent und trennen Sie Identitäten möglichst mit Profilen oder Containern.

Phishingresistente Authentifizierung zählt hier besonders: Ein herkunftsgebundener Hardware-Schlüssel verweigert die Teilnahme auf der falschen Domain.

6. Sicheres Teilen: den Schadensradius reduzieren

Geheimnisse müssen manchmal geteilt werden, aber E-Mail und Arbeitschats erzeugen dauerhafte Sicherheitsschulden durch Logs, Backups, Vorschauen und Metadaten.

Das sicherere Muster ist kurzlebiges, clientseitig verschlüsseltes Teilen: vor dem Upload verschlüsseln, Schlüssel nicht serverseitig speichern und aggressiv ablaufen lassen.

Kurzlebigkeit ist kein Trick. Sie ist Datenminimierung, angewendet auf menschliche Arbeitsabläufe.

Eine Wochenend-Basis

Sicherheit ist kein binärer Zustand. Sie ist zusätzliche Reibung an den richtigen Stellen.

Das Ziel ist nicht, unangreifbar zu sein. Das Ziel ist, die Angriffskosten höher zu machen als den Wert der gewonnenen Daten.

1. Stellen Sie sensible Konten auf einzigartige, vom Passwortmanager erzeugte Passwörter um.
2. Fügen Sie hardwaregestützte Authentifizierung zu Ihrer primären Identität hinzu, besonders E-Mail.
3. Prüfen und entfernen Sie unnötige Browser-Erweiterungen.
4. Verlegen Sie sensible Gespräche in einen Ende-zu-Ende-verschlüsselten Messenger mit aktivierten verschwindenden Nachrichten.