E-Mails und Phishing: Der häufigste Infektionsweg ist immer noch die E-Mail, insbesondere der E-Mail-Anhang: „Wenn man den öffnet, hat man meist schon verloren“, sagt Joachim Wagner, Sprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Hintergrund werde sofort eine Datei ausgeführt, die die Schadsoftware installiert. Oder man landet via Link auf einer gefälschten Webseite. Dort soll man dann persönliche Daten preisgeben („Phishing“).

In den E-Mails geht es meist um Rechnungen. Die Fälschungen werden auch immer besser: „Die Angreifer schauen sich etwa die Kontakte eines Nutzers bei Facebook an, um dann in deren Namen Mails zu versenden“, sagt Wagner. Die Texte enthielten weniger Rechtschreibfehler als früher, teils erkenne man selbst an der Absenderadresse kaum noch, dass nicht der vorgegebene Dienst dahintersteckt.

„Geht es um Bankgeschäfte, Kontosperrungen und ähnliches und wird man aufgefordert, etwas anzuklicken, sollte man immer skeptisch sein“, rät Maurice Ballein, Redakteur beim IT-Portal „Netzwelt.de“. Und BSI-Sprecher Wagner sagt: „Erst denken, dann klicken!“ Helfen könnten drei Fragen: Kenne ich den Absender? Ist der Betreff sinnvoll oder vage („Dringende Nachricht“)? Erwarte ich einen Anhang? „Wenn da schon Zweifel bestehen, die Mail ungeöffnet löschen.“

Ist die Nachricht gut gefälscht, könne man auch bei der Firma anrufen und nachfragen. „Nur nicht dem Link folgen“, sagt Wagner. Die Adresse könne man stattdessen manuell in den Browser eingeben und auf diese Weise prüfen. Hinter dem sichtbaren Link-Text kann sich nämlich eine andere Adresse verstecken. Ist angeblich ein Online-Konto betroffen, loggt man sich am besten über den offiziellen Weg dort ein und schaut nach, ob wirklich etwas vorliegt.

Ransomware: Krypto-Trojaner verschlüsseln die Dateien auf einem Rechner, dann wird der Nutzer erpresst: Er soll für den Entschlüsselungscode zahlen. Verbreitet wird Ransomware über manipulierte Webseiten, Downloads und via E-Mail. „Wir raten ganz klar, nicht zu zahlen und die Erpressung anzuzeigen“, sagt Frank Timmermann vom Institut für Internet-Sicherheit in Gelsenkirchen.

Wagner rät zu einer möglichst geringen Angriffsfläche. Browser, Betriebssystem und Programme sollten immer aktuell sein. Nutzer sollten Updates schnellstmöglich einspielen. „Wichtig ist eine vernünftige Sicherheitslösung aus Firewall und Antivirensoftware“, erläutert Ballein. Alle drei Experten raten zu regelmäßigen Backups auf externen, vom Rechner getrennten Datenträgern.

Sicherheitslücken in Programmen: Schwachstellen bei gängiger Software gibt es immer wieder. Oft dauert es nach ihrer Offenlegung einige Tage, bis der Hersteller die Lücke schließt. Auch hier heißt es: alle Updates zeitnah ausführen. Und beim Software-Download die Quelle prüfen, sagt Timmermann: „Wenn ich keine Originalseiten nutze, sollte ich mich fragen, wer das anbietet und ob ich ihm trauen kann.“ Die Entwickler der Software kann man meist recht einfach finden.

Online-Banking und Co: Hier sind sichere Kennwörter Pflicht. „Bitte für wichtige Konten verschiedene Passwörter nutzen und diese regelmäßig wechseln“, sagt Wagner. Viele Dienste bieten eine Zweifaktor-Authentifizierung an, etwa mit der zusätzlichen Eingabe einer TAN. Sichere Verbindungen erkennt man im Adressfeld durch das „https“ am Anfang. Wer das Schlosssymbol daneben anklickt, erhält Informationen zum Sicherheitszertifikat. No-Gos sind sensible Transaktionen im öffentlichen WLAN. Und das WLAN zu Hause braucht ein gutes Passwort. Aus aktiven Konten sollte man sich stets ausloggen.

Manipulierte Werbebanner: Schwierig wird es, wenn Werbeserver gekapert werden und Werbebanner Rechner mit Schadcode infizieren - mitunter selbst auf seriösen Webseiten und ohne Zutun des Nutzers. Zum Schutz davor rät Ballein: „Der Browser sollte aktuell sein und eine Echtzeit-Sicherheitserkennung haben.“ Das Deaktivieren von JavaScript ist zwar eine weitere Möglichkeit, ganz auf der sicheren Seite zu sein, schränkt aber die Nutzbarkeit vieler Seiten ein. Einen Kompromiss zwischen Schutz und Funktionalität bietet das Add-on NoScript für Firefox: Es erlaubt versierten Nutzern, Skripte und Plug-ins gezielt und nur auf bestimmten Seiten freizugeben.