In diesem Artikel schauen wir uns 10 Dinge an, die Sie besser nicht tun sollten, wenn Sie online sicher unterwegs sein wollen. Ziel ist es, typische Fehler zu vermeiden und einfache, bessere Gewohnheiten zu entwickeln. So können Sie Ihre eigene Cyber-Sicherheit stärken für sorgloses und entspanntes surfen im Internet.
1️⃣ Das gleiche Passwort für alles verwenden
Ein „gutes“ Passwort für alle Accounts wirkt im Alltag oft praktisch, stellt aber in der Realität ein erhebliches Sicherheitsrisiko dar, sollte dieses eine Passwort verloren gehen oder von Hackern gestohlen werden. Besonders kritisch wird es, wenn Zugangsdaten für E-Mail oder Online-Banking abhanden kommen, da diese Konten oft als zentrale Schlüssel zu vielen anderen Diensten dienen. Wie ein einziges Passwort trotzdem funktionieren kann erklären wir in diesem Blog-Artikel: Hier geht’s zum Passwort-Blog
Ein häufig unterschätztes Problem sind Datenlecks bei Online-Diensten. Davon hört man zwar regelmäßig in den Nachrichten, wirklich ernst nimmt es im Alltag aber selten jemand. Immer wieder werden komplette Datenbanken mit personenbezogenen Daten und Passwörtern gestohlen und im Darknet weiterverkauft. Angreifer nutzen diese Listen anschließend, um die gleichen Zugangsdaten automatisiert bei anderen Diensten auszuprobieren. Dieses Vorgehen nennt sich Credential Stuffing und funktioniert auch dann, wenn ein Passwort auf den ersten Blick komplex wirkt.
Das bedeutet: Die Stärke eines einzelnen Passworts hilft nur begrenzt, wenn es bereits in einem Leak aufgetaucht ist und mehrfach verwendet wird. Entscheidend ist deshalb vor allem, dass jedes Konto ein eigenes, einzigartiges Passwort hat.
Dabei gilt jedoch auch: Unterschiedliche Passwörter allein reichen nicht aus, wenn sie zu einfach aufgebaut sind. Varianten wie ein gleiches Wort mit Zahlen am Ende oder leicht abgewandelte Muster sind für Angreifer oft schnell zu erraten oder automatisiert zu knacken. Ein typisches Beispiel wäre etwa der Name eines Haustiers oder Kindes kombiniert mit Geburtsdatum oder Jahreszahl und einem Sonderzeichen, zum Beispiel „Mauzi2026!“. Solche Passwörter erfüllen zwar oft technische Mindestanforderungen, sind in der Praxis aber kein guter Schutz. Jedes einzelne Passwort sollte daher nicht nur einzigartig, sondern auch ausreichend komplex und nicht vorhersehbar sein.
Das klingt natürlich nach einer unmöglichen Aufgabe, schließlich kann sich niemand dutzende komplexe Passwörter merken. Genau hier helfen Passwortmanager. Sie erstellen sichere und individuelle Passwörter für jeden einzelnen Account und speichern sie verschlüsselt ab. Sie selbst müssen sich dabei nur noch ein einziges starkes Master-Passwort merken. In Kombination mit Zwei-Faktor-Authentifizierung entsteht so ein deutlich höheres Sicherheitsniveau im Alltag.
Mittlerweile existieren unzählige Passwortmanager, da ist für jeden was dabei. Für den Einstieg stellen wir 3 davon vor, um die Qual der Wahl etwas zu erleichtern:
- KeePassXC ist ein lokales Programm mit Browser-Erweiterung für Firefox oder Chrome. Die Passwörter werden in einer verschlüsselten Datei gespeichert, die man selbst verwaltet und bei Bedarf zwischen Geräten übertragen oder synchronisieren muss.
- Bitwarden ist ein cloudbasierter Passwortmanager mit App und Browser-Erweiterung, der einen einfachen Zugriff von verschiedenen Geräten ermöglicht. Für viele Nutzer ist er sehr komfortabel, wird aber je nach Sicherheits- und Datenschutzanforderung unterschiedlich bewertet.
- Für Apple-Nutzer gibt es außerdem die integrierte Passwörter-App, die auf allen Apple-Geräten automatisch verfügbar ist und sich über iCloud synchronisiert.
Wenn Sie prüfen möchten, ob Accounts im Zusammenhang mit Ihrer E-Mail-Adresse bereits von einem Datenleck betroffen sind, können Sie Dienste wie „Have I Been Pwned“ nutzen. Dort lässt sich schnell nachvollziehen, ob eigene Zugangsdaten bereits in bekannten Leaks aufgetaucht sind. Falls das der Fall ist, sollten diese Passwörter umgehend geändert werden.
2️⃣ Auf Phishing hereinfallen
Phishing ist oft deshalb so erfolgreich, weil es nicht wie ein klassischer Angriff aussieht. Die Nachrichten wirken auf den ersten Blick normal, manchmal sogar vertraut, und genau das macht sie gefährlich. Sie landen zwischen echten E-Mails, Paketbenachrichtigungen oder Konto-Updates und fallen deshalb kaum auf.
Typisch ist dabei, dass ein Gefühl von Dringlichkeit erzeugt wird. Es soll schnell gehen, etwas sei angeblich gesperrt oder eine Zahlung müsse bestätigt werden. Wer in solchen Momenten nicht genau hinschaut, klickt oft schneller, als er eigentlich möchte.
Das Problem ist nicht nur der Klick selbst, sondern das, was danach passiert.
Je nach Art des Angriffs werden entweder Zugangsdaten abgegriffen oder es wird versucht, Schadsoftware auf dem Gerät zu installieren. Besonders kritisch wird es dann, wenn es sich um E-Mail- oder Banking-Zugänge handelt, da diese Konten oft zentral mit vielen anderen Diensten verbunden sind.
Auffällig sind solche Nachrichten selten auf den ersten Blick. Kleine Details wie eine leicht veränderte Webadresse, ungewöhnliche Formulierungen oder ein Verhalten, das nicht zum normalen Ablauf des Dienstes passt, sind oft die einzigen Hinweise.
Am sichersten ist es deshalb, Links in solchen Nachrichten grundsätzlich zu vermeiden und stattdessen den Dienst direkt über die bekannte Website oder App zu öffnen. In vielen Fällen klärt sich damit sofort, ob die Nachricht echt ist oder nicht.
Mit der Zeit entwickelt sich dabei ein gewisser Reflex. Wer gelernt hat, solche Nachrichten nicht sofort zu öffnen, sondern kurz zu prüfen, reduziert das Risiko bereits erheblich, ohne dass dafür technisches Wissen notwendig ist.
3️⃣ Keine Backups erstellen
Viele Leute speichern ihre Daten nur an einem einzigen Ort, jüngere meist auf dem Smartphone, ältere auf dem Laptop oder Computer. Solange alles läuft, wirkt das völlig unproblematisch. Ärgerlich wird es erst, wenn genau dieses eine Gerät kaputt oder verloren geht. Dann merkt man schnell, wie wichtig die eigenen Daten wirklich sind. In der IT gibt es den klassischen Spruch: „Kein Backup, kein Mitleid!“
Backups sorgen dafür, dass eine zweite Kopie der Daten existiert, auf die man im Notfall zurückgreifen kann. Relativ einfach geht das heutzutage über automatische Cloud-Backups wie iCloud oder OneDrive. Die laufen im Hintergrund und man muss sich kaum darum kümmern. Wer mehr Kontrolle will, kann seine Backups selbst machen, zum Beispiel auf einer externen Festplatte. Das ist etwas mehr Aufwand, dafür bleiben die Daten komplett in der eigenen Hand.
Wichtig ist nur, dass Backups möglichst aktuell bleiben und auch getestet werden. Ein altes Backup bringt wenig, wenn wichtige neue Daten fehlen. Ab und zu sollte man testen, ob sich die Daten auch wirklich wiederherstellen lassen. Ein Backup, das nicht funktioniert, bringt im Ernstfall natürlich nichts.
4️⃣ Updates ignorieren
Software-Updates gehören zu den Dingen, die gerne aufgeschoben werden. „Jetzt nicht“ oder „Später erinnern“ klingt harmlos, und genau deshalb bleiben Updates oft länger aus als sinnvoll wäre. Das Problem daran ist, dass bekannte Sicherheitslücken in dieser Zeit weiterhin offen bleiben.
Viele dieser Schwachstellen sind kein theoretisches Risiko, sondern werden aktiv ausgenutzt. Angreifer verlassen sich darauf, dass Systeme nicht sofort aktualisiert werden. Besonders bei Smartphones, Browsern oder häufig genutzter Software ist das kritisch, da diese direkten Zugriff auf viele persönliche Daten ermöglichen.
Updates dienen dabei nicht nur neuen Funktionen oder optischen Änderungen. In vielen Fällen werden gezielt Sicherheitsprobleme behoben, die bereits bekannt und teilweise öffentlich dokumentiert sind. Ein nicht aktualisiertes System bleibt damit oft angreifbar, auch wenn man selbst keine aktive Fehlkonfiguration vorgenommen hat.
Im täglichen Umgang entsteht das Problem meist durch Aufschieben. Ein Update wird verschoben, weil gerade keine Zeit ist oder das Gerät weiter genutzt werden soll. Gerade bei Windows-Updates kommt hinzu, dass viele Nutzer es gewohnt sind, diese möglichst lange hinauszuzögern, da es in der Vergangenheit gelegentlich zu Problemen nach Updates gekommen ist. Dieses Verhalten führt jedoch dazu, dass wichtige Sicherheitsupdates deutlich später installiert werden oder es wird nach einiger Zeit komplett darauf vergessen.
Die einfachste Lösung: Automatische Updates aktivieren
So werden wichtige Aktualisierungen im Hintergrund eingespielt, ohne dass man selbst aktiv werden muss.
Ansonsten gilt: Updates möglichst zeitnah durchführen
Insbesondere bei Geräten und Anwendungen mit Internetzugang.
Am Ende entsteht das Risiko nicht durch fehlendes Wissen, sondern durch aufgeschobene Entscheidungen.
5️⃣ Alle App-Berechtigungen erlauben
Direkt nach dem Öffnen einer neuen App wird oft um Zugriff auf Kamera, Mikrofon, Kontakte oder den Standort gebeten. Meist klickt man das schnell weg, Hauptsache die App funktioniert.
Das Problem entsteht dabei nicht durch eine einzelne Berechtigung, sondern durch die Kombination aus vielen Zugriffsrechten und dem Umstand, dass nicht jede App die man aus dem Appstore lädt auch 100% sicher ist. Wenn eine Anwendung Sicherheitslücken hat oder im schlimmsten Fall kompromittiert wird, können weitreichende Berechtigungen den möglichen Schaden deutlich vergrößern.
Viele Apps fordern außerdem Rechte an, die für ihre eigentliche Funktion gar nicht notwendig sind. Ein einfaches Spiel braucht in der Regel keinen Zugriff auf Kontakte, und eine Taschenlampen-App hat selten einen legitimen Grund für Standortdaten. Solche Anfragen werden im Alltag oft ohne genaues Nachdenken bestätigt und dann vergessen. Deshalb lohnt es sich, die App-Berechtigungen gelegentlich zu überprüfen und unnötige Zugriffe wieder zu entziehen. Das dauert meist nur wenige Minuten und ist direkt in den Einstellungen des Smartphones möglich.
Sollten Apps manche Funktionen wie z.B. Standort tatsächlich brauchen, dann gibt es die Möglichkeit, Berechtigungen nur bei Bedarf zu erlauben. Das sorgt dafür, dass Apps nur dann auf bestimmte Daten zugreifen können, wenn sie wirklich aktiv genutzt werden.
Wer hier ab und zu aufräumt, reduziert nicht nur unnötige Datenfreigaben, sondern sorgt auch dafür, dass mögliche Schwachstellen einzelner Apps weniger schlimme Auswirkungen haben.
6️⃣ Öffentliches WLAN ohne Schutz nutzen
Öffentliche WLAN-Netzwerke sind natürlich praktisch aber man weiß nie genau, wer sonst noch im selben Netz lauert. Im Café, am Bahnhof oder im Hotel fühlt es sich an, als wäre man ganz normal online, im Hintergrund kann der Datenverkehr aber unter Umständen leichter einsehbar sein als im eigenen Heimnetz.
Ein VPN kann hier helfen.
Es sorgt dafür, dass die Verbindung zwischen Gerät und Internet verschlüsselt wird und dadurch deutlich schwerer mitgelesen werden kann.
Und damit kommen wir zum heutigen Sponsor dieses Artikels: Nord… kleiner Scherz. Aber tatsächlich sind VPN-Dienste ein sinnvoller Zusatz, wenn man unterwegs online ist. Anbieter wie NordVPN oder ExpressVPN setzen eher auf einfache Bedienung und breite Nutzung, während Mullvad (kann ich empfehlen 
) stärker auf Datenschutz und minimale Datenspeicherung ausgerichtet ist. Je nach Bedarf unterscheiden sich diese Lösungen also spürbar, wobei es hier mittlerweile bestimmt für alle einen passenden Anbieter gibt.
Unabhängig vom Anbieter ist ein VPN kein Freifahrtschein für sorgloses Verhalten, aber ein sehr hilfreiches Werkzeug, wenn man unterwegs zusätzliche Sicherheit haben möchte.
7️⃣ Alte Accounts liegen lassen
Alte Accounts vergisst man schnell. Zum Beispiel eine alte Hotmail- oder GMX-Adresse von früher, ein längst nicht mehr genutztes Social-Media-Profil (kennt hier noch jemand Netlog?) oder irgendein Forum, bei dem man sich vor (mittlerweile) Jahrzehnten registriert hat.
Vor allem alte E-Mail-Konten sind ein echtes Problem. Sie werden oft jahrelang nicht genutzt, haben schwache Passwörter oder waren bereits Teil eines Datenlecks.
Dabei geht es nicht nur um den Mail-Account selbst. E-Mail-Adressen sind häufig der zentrale Schlüssel für andere Dienste. Das Zurücksetzen eines Passwortes funktioniert meist noch über diese alten Mail-Adressen, mit denen man damals die Accounts erstellt hat. Wenn ein Angreifer Zugriff darauf hat, kann er versuchen, andere Accounts zu übernehmen, die damit verknüpft sind.
Hinzu kommt, dass sich in alten Postfächern oft erstaunlich viele persönliche Informationen finden lassen. Alte Registrierungen, Bestellungen, Adressen oder sogar Dokumente liegen dort teilweise seit Jahren herum und können missbraucht werden, etwa für Betrug oder Identitätsmissbrauch.
Auch Social-Media-Accounts sind nicht harmlos. Übernommene Profile werden oft genutzt, um Spam zu verschicken, Kontakte anzuschreiben oder Betrugsversuche glaubwürdig wirken zu lassen, weil sie von einem „echten“ Account kommen.
Alte Accounts verschwinden also nicht einfach. Sie bleiben bestehen und werden mit der Zeit eher unsicherer als sicherer.
Deshalb lohnt es sich, solche Altlasten einmal bewusst durchzugehen. Entweder man sichert sie ordentlich ab oder löscht sie, wenn sie wirklich nicht mehr gebraucht werden. Alles dazwischen ist im Grunde eine offene Baustelle.
8️⃣ Geräte ungesichert lassen
Wer im Büro mal kurz aufs Klo geht, ohne den Bildschirm zu sperren, findet bei der Rückkehr zum Arbeitsplatz eventuell mal ein verändertes Hintergrundbild vor. Ein kleiner Scherz unter Kollegen, meist harmlos und schnell wieder behoben.
Ähnlich aber doch ganz anders ist es, wenn ein Laptop im Café offen stehen bleibt, während man sich kurz ein Getränk holt. In diesem Moment ist das Gerät für jeden zugänglich, der gerade daneben sitzt.
Dann geht es nicht mehr nur um kleine Späße. Offene E-Mails lassen sich lesen und im Browser eingeloggte Konten direkt nutzen. Auf einem liegen gelassenen, ungesperrten Smartphone können private Nachrichten oder Bilder eingesehen werden. Im schlimmsten Fall wird es sogar direkt mitgenommen, weil ein entsperrtes Gerät deutlich einfacher zurückgesetzt und weiterverkauft werden kann.
Eine einfache Sperre mit PIN, Fingerabdruck oder automatischer Bildschirmsperre verhindert genau das und sorgt dafür, dass Geräte nicht unbeaufsichtigt genutzt werden können. Moderne Geräte verlangen eine solche Absicherung oft schon bei der Einrichtung. Falls das übersprungen wurde oder nicht eingerichtet ist, sollte das unbedingt nachgeholt werden.
9️⃣ Klicken ohne nachzudenken
Im Internet stößt man immer wieder auf Dinge, die sofort zum Klicken einladen oder sogar Druck machen. Ein Pop-up warnt zum Beispiel vor einem angeblichen Virus mit der Aufforderung „SOFORT VIRUS BEREINIGEN“, oder ein Banner verspricht „Sie haben ein iPhone gewonnen!“ Das sind keine Zufälle, sondern gezielte Versuche, Nutzer zu einer Aktion zu bringen.
Hinter solchen Inhalten steckt meist ein klarer Zweck: entweder sollen Programme installiert werden, Daten abgegriffen werden oder man wird auf Seiten weitergeleitet, die nicht das sind, was sie vorgeben zu sein.
Auch bei Google ist Vorsicht sinnvoll. Die ersten Ergebnisse sind nicht immer die besten, sondern oft einfach nur stark beworben.
Darunter können sich auch Seiten befinden, die bekannte Dienste nur nachahmen. Wer hier einfach ohne Nachdenken auf den ersten Link klickt, landet schneller als gedacht auf der falschen Seite.
Pop-Up-Benachrichtigungen sind ebenfalls mit Vorsicht zu genießen. Echte Warnungen kommen in der Regel vom eigenen Gerät oder vom installierten Virenschutz und nicht von zufälligen Webseiten im Browser.
Ein Adblocker kann wunder bewirken. Der blockt viele dieser aggressiven Werbeeinblendungen automatisch. Ganz ersetzt er vorsichtiges Verhalten nicht, aber er macht das Surfen deutlich angenehmer und sicherer. Ein Beispiel für solche Adblocker wäre der zuverlässige uBlock Origin für Firefox, Chrome, Edge, oder Safari.
Ein kurzer Moment zum Nachdenken vor dem Klick ist im Netz oft der effektivste Schutz überhaupt.
🔟 Sicherheitskultur vernachlässigen
In bestimmt jedem Bekanntenkreis gibt es eine Person, die zum Thema Cybersicherheit meint: „Das passiert mir nicht“ oder „Ich habe ja nichts Wichtiges auf dem Gerät.“ Genau diese Einstellung führt oft dazu, dass diese Leute ihre eigene Sicherheit vernachlässigen.
Die meisten Probleme entstehen nicht durch einen großen Fehler, sondern durch viele kleine Entscheidungen, die sich über Zeit summieren. Ein schneller Klick, ein Passwort, das überall gleich ist, ein Update, das auf später verschoben wird. Oft passiert es einfach nebenbei, ohne dass man wirklich darüber nachdenkt, denn es hat ja keine direkte bzw. sofortige Auswirkung.
Mit der Zeit entsteht daraus eine gewisse Routine, in der solche Kleinigkeiten nicht mehr hinterfragt werden, weil bisher ja nichts passiert ist.
Schauen wir uns einmal folgendes fiktives Beispiel an, welches viele kleine und evtl. unscheinbare Probleme verknüpft:
Ausgangslage
- Ein alter Account eines Online-Forums aus längst vergangener Zeit geriet in Vergessenheit und wurde nie gelöscht.
- Eine alte E-Mail Adresse, die ebenfalls seit Jahren nicht mehr benutzt wird, ist bei diesem Account hinterlegt.
- Beide Accounts benutzen das gleiche Passwort. Ein Passwort war schließlich leichter zu merken.
- Die alte E-Mail ist als Wiederherstellungs-Option für einen aktuellen Account hinterlegt.
Problem
Die Zeit der alten Online-Foren ist längst vorüber. Die Admins kümmern sich nicht mehr um regelmäßige Updates und so geschieht es, dass ein abenteuerlustiger Hacker mit einem YouTube-Tutorial und wenigen Klicks an die Benutzerdatenbank des Forums gelangt. Darin zu finden: besagte alte E-Mail Adresse und das dazugehörige Passwort. Damit bewaffnet kann der Angreifer nun das alte verstaubte E-Mail Postfach seines Opfers durchstöbern. Mit all den Informationen aus den alten Mails kann der Hacker ziemlich viel über den eigentlichen Besitzer des Postfachs herausfinden z.B. Name, Adresse, Geburtsdatum, Namen von Familienmitgliedern und Freunden, diverse Hobbies usw. Zusätzlich lassen sich dann auch recht flott die aktuellen Accounts des Opfers in Erfahrung bringen und man munkelt, dass mindestens einer der aktuellen Accounts die alte E-Mail Adresse als Wiederherstellungsoption hinterlegt hat… Nachdem der Hacker einige der Accounts durchprobiert hat, landet doch tatsächlich eine Mail mit Wiederherstellungslink im alten E-Mail Postfach und wenige Klicks später ist auch der aktuelle Account gehackt. Und sollte das nicht klappen, dann bietet das alte Postfach genug Infos, damit der Hacker zumindest eine richtig gute Phishing-Mail verfassen kann!
Fazit
Niemand setzt von Beginn an alle Empfehlungen zur Vermeidung der genannten Punkte konsequent und fehlerfrei um und das ist auch gar nicht notwendig. Cyber-Sicherheit ist für die meisten Leute kein alltägliches Thema. Umso wichtiger sind kleine Anpassungen in den eigenen Gewohnheiten, weil sie langfristig viel ausmachen können. Maßnahmen wie sichere Passwörter, regelmäßige Updates oder ein bewusster Umgang mit verdächtigen E-Mails und Pop-Ups können das persönliche Sicherheitsniveau deutlich erhöhen. Auch wenn einzelne Schritte zunächst unbedeutend erscheinen, können sie langfristig einen großen Unterschied machen und dabei helfen, digitale Risiken wirksam zu reduzieren.
Cyber-Sicherheit ist kein einmaliges Setup, sondern ein Prozess.
Schon wenige kleine Gewohnheitsänderungen reichen aus, um deutlich sicherer unterwegs zu sein.