Keine eigenen Cookies · Kein Tracking auf dieser Seite

Sicherheit

Schütze deine Konten und Daten richtig — vom Passwort-Manager über Zwei-Faktor mit FIDO2-Hardware-Keys bis zu Verschlüsselung und Backups.

8 Anleitungen in dieser Kategorie

Startseite Büro Windows PowerShell Linux Raspberry Pi Mac iPhone Android Tools Troubleshooting KI Netzwerk Robotik Sicherheit

Sicherheit

Schütze deine Konten und Daten richtig — vom Passwort-Manager über Zwei-Faktor mit FIDO2-Hardware-Keys bis zu Verschlüsselung und Backups.

Datenschutz
Einsteiger

DSGVO praktisch fuer Privat & Selbststaendige: was du wirklich umsetzen musst

Datensparsamkeit, EU-Dienste, Auskunft und Loeschung anfordern, sichere E-Mail: was du als Privatperson oder Selbststaendiger wirklich umsetzen musst, ohne Jura-Studium.

Mehr lesen

DSGVO klingt nach Aktenordnern und Anwaelten, ist aber zu 80 % reine Praxis: weniger Daten herausgeben, EU-Dienste nutzen und deine Rechte aktiv einfordern. Dieses Tutorial ist fuer Privatpersonen (du willst deine Daten zurueck und weniger Spam) und Einzelselbststaendige (du verarbeitest Kunden-/Newsletterdaten und willst rechtssicher arbeiten) gedacht. Wir lassen die Juristerei weg und zeigen konkrete Schritte, Vorlagen und Tools.

1. Datensparsamkeit: gib einfach weniger her

Das wirksamste Datenschutz-Werkzeug ist, Daten gar nicht erst herauszugeben. Der Grundsatz heisst Datenminimierung (Art. 5 DSGVO) und gilt fuer dich selbst genauso wie fuer das, was du von anderen abfragst.

  1. Pflichtfelder hinterfragen: Bei Bestellungen reichen oft Name + Lieferadresse. Telefonnummer und Geburtsdatum sind selten noetig – leer lassen oder Pflicht-Sternchen ignorieren, wo es geht.
  2. E-Mail-Aliase statt echter Adresse: Fuer Newsletter, Foren und Test-Accounts nie die Hauptadresse nutzen. Dienste wie SimpleLogin (Proton), addy.io oder Firefox Relay erzeugen pro Anmeldung eine Wegwerf-Adresse, die auf dein echtes Postfach weiterleitet. Spam? Alias einfach deaktivieren – deine echte Adresse bleibt sauber und unbekannt.
  3. Tracking blockieren: Browser-Tracker mit uBlock Origin ausbremsen. Laut DuckDuckGo enthalten rund 85 % der Mails versteckte Tracking-Pixel – viele EU-Mailanbieter (siehe unten) blockieren diese Pixel serverseitig.
  4. Als Selbststaendiger: Frage in Formularen nur ab, was du wirklich brauchst. Jedes Feld, das du nicht erhebst, musst du auch nicht schuetzen, dokumentieren oder loeschen.

2. EU-Dienste-Alternativen waehlen

US-Cloud-Dienste sind nicht automatisch verboten, aber EU-/Schweizer Anbieter ersparen dir Drittland-Diskussionen und sind fuer Selbststaendige der einfachste Weg zur Compliance. Konkrete, gut etablierte Optionen:

  • E-Mail: mailbox.org und Tuta (Server in Deutschland), Proton Mail (Schweiz). Alle DSGVO-tauglich, Tuta und Proton mit Ende-zu-Ende-Verschluesselung.
  • Cloud/Office: Nextcloud (selbst gehostet oder bei deutschem Hoster), mailbox.org-Groupware mit Kalender und Cloud.
  • Newsletter/Formulare als Selbststaendiger: EU-Anbieter mit Serverstandort EU bevorzugen und immer einen Auftragsverarbeitungsvertrag (AVV/AVB) abschliessen – bei seriosen Anbietern ein Klick im Konto.
  • Pruefhilfe: Vor der Anmeldung Serverstandort und AVV checken. Portale wie european-alternatives.eu listen EU-Alternativen pro Kategorie.

Wichtig: „Server in der EU“ allein reicht nicht, wenn der Anbieter ein US-Konzern ist. Fuer normale Buero-Daten ist das meist vertretbar; fuer sensible Daten (Gesundheit, Mandanten) waehle bewusst EU-/Schweizer Anbieter ohne US-Mutter.

3. Auskunft anfordern (Art. 15 DSGVO) – dein staerkstes Recht

Du darfst von jedem Unternehmen wissen, welche Daten es ueber dich gespeichert hat – ohne Begruendung. Das ist die erste Anfrage im Jahr kostenlos (Art. 12 Abs. 5 DSGVO) und muss innerhalb eines Monats beantwortet werden (Art. 12 Abs. 3 DSGVO).

  1. Formlose E-Mail oder Brief an den Anbieter, Betreff z. B. „Auskunftsersuchen nach Art. 15 DSGVO“.
  2. Verlange ausdruecklich: welche Daten, Verarbeitungszwecke, Empfaenger, Speicherdauer – und eine Kopie der Daten.
  3. Frist setzen: „Bitte antworten Sie innerhalb der gesetzlichen Frist von einem Monat.“
  4. Fertige Musterbriefe gibt es bei datenanfragen.de oder beim BfDI.

Beispiel-Textbaustein:

Betreff: Auskunftsersuchen nach Art. 15 DSGVO

Sehr geehrte Damen und Herren,

hiermit beantrage ich Auskunft ueber alle zu meiner Person
gespeicherten personenbezogenen Daten gemaess Art. 15 DSGVO.
Bitte teilen Sie mir Verarbeitungszwecke, Empfaenger, Speicherdauer
und Herkunft der Daten mit und stellen Sie mir eine Kopie zur Verfuegung.

Bitte antworten Sie innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Mit freundlichen Gruessen
[Name, ggf. Kundennummer]

Das Unternehmen darf einen Identitaetsnachweis nur bei begruendeten Zweifeln verlangen – und dann reichen Name, Anschrift, Geburtsdatum. Auf einer Ausweiskopie darfst du Foto, Ausweisnummer und alles Ueberfluessige schwaerzen.

4. Loeschung verlangen (Art. 17 DSGVO)

Du kannst die Loeschung deiner Daten verlangen, z. B. wenn der Zweck weggefallen ist oder du eine Einwilligung widerrufst. Das Unternehmen muss „unverzueglich“ loeschen.

  1. Schreibe: „Ich widerrufe meine Einwilligung und beantrage die Loeschung meiner Daten nach Art. 17 DSGVO.“
  2. Bestaetigung der Loeschung anfordern.
  3. Reagiert niemand? Beschwerde bei deiner zustaendigen Landesdatenschutzbehoerde – kostenlos und ohne Anwalt.

Achtung – nicht alles ist loeschbar: Gesetzliche Aufbewahrungspflichten gehen vor (z. B. Rechnungen 10 Jahre nach HGB/AO). Der Anbieter darf solche Daten behalten, muss die Verarbeitung aber auf die Aufbewahrung einschraenken (Art. 17 Abs. 3 DSGVO).

5. Pflichten als Selbststaendiger: das Minimum

Sobald du Kunden-, Newsletter- oder Mitarbeiterdaten verarbeitest, hast du Pflichten – auch als Ein-Personen-Betrieb. Die gute Nachricht: fuer Kleine ist es ueberschaubar.

  • Verzeichnis von Verarbeitungstaetigkeiten (Art. 30): Auch unter 250 Mitarbeitern brauchst du es, wenn die Verarbeitung „nicht nur gelegentlich“ erfolgt – das trifft fast jede Kundenliste. Reicht als simple Tabelle: wer, was, wozu, wie lange, an wen, welche Schutzmassnahmen. Muster gibt es beim BfDI.
  • Datenschutzerklaerung auf deiner Website (Art. 13) – was du erhebst und warum.
  • AVV mit allen Dienstleistern, die Daten fuer dich verarbeiten (Mailtool, Hoster, Buchhaltung).
  • Technische Massnahmen: Geraete-Verschluesselung aktivieren, starke Passwoerter im Passwortmanager, regelmaessige Updates, verschluesselte Backups.
  • Betroffenenanfragen beantworten koennen – genau die Auskunfts-/Loeschanfragen aus Abschnitt 3 und 4 erreichen dann dich.

Profi-Tipp: Lege dir einen Ordner „Datenschutz“ an mit Verzeichnis, Datenschutzerklaerung und allen AVVs. Wenn eine Behoerde oder ein Kunde fragt, hast du in 5 Minuten alles parat – das ist 90 % der gelebten DSGVO-Praxis. Dies ist eine technisch-praktische Anleitung und ersetzt keine Rechtsberatung; bei sensiblen Daten oder im Zweifel ziehe eine Fachperson hinzu.

Betrugsschutz
Einsteiger

Betrugsmaschen 2026 erkennen: Fake-Shops, Enkeltrick per WhatsApp, QR-Code-Betrug

Fake-Shops, der "Hallo Mama"-Trick auf WhatsApp und gefaelschte QR-Codes - so erkennst du die haeufigsten Betrugsmaschen 2026 und schuetzt auch deine Eltern davor.

Mehr lesen

Die teuersten Sicherheitsluecken sitzen 2026 nicht in der Technik, sondern im Kopf: Betrueger setzen auf Zeitdruck, Emotionen und Vertrauen. Dieses Tutorial zeigt dir die drei haeufigsten Maschen - Fake-Shops, den "Hallo Mama"-Trick auf WhatsApp und QR-Code-Betrug (Quishing) - mit konkreten Warnsignalen und Gegenmassnahmen. Geschrieben fuer Einsteiger und ausdruecklich auch zum Weitergeben an Eltern und Grosseltern, die besonders im Visier stehen.

Fake-Shops erkennen, bevor du zahlst

Fake-Shops locken mit unrealistisch guenstigen Preisen, kassieren die Zahlung und liefern dann keine oder minderwertige Ware. Der Fakeshop-Finder der Verbraucherzentrale hat von August 2022 bis Maerz 2026 ueber 100.000 verdaechtige Shops erfasst - rund 1.500 neue pro Monat. So pruefst du einen Shop in zwei Minuten:

  1. Kopiere die Shop-Adresse und pruefe sie zuerst im kostenlosen Fakeshop-Finder der Verbraucherzentrale.
  2. Achte auf die Zahlungsarten: Wird am Ende nur Vorkasse (Ueberweisung) angeboten, ist das laut Verbraucherzentrale das hoechste Risiko - Finger weg.
  3. Pruefe das Impressum: Fehlt es, ist es unvollstaendig oder zeigt es eine kryptische Auslandsadresse, ist Vorsicht geboten.
  4. Klicke auf Guetesiegel (Trusted Shops, TUEV, EHI). Echte Siegel verlinken auf ein gueltiges Zertifikat - bei Fake-Shops fuehrt der Klick ins Leere oder auf eine fremde Seite.
  5. Pruefe das Alter der Domain. Sehr junge Domains sind ein Warnsignal. Deutsche .de-Domains schlaegst du bei denic.de/webwhois nach, internationale ueber lookup.icann.org.

Auf einem Linux- oder Mac-Terminal kannst du das Domain-Alter auch direkt abfragen - achte auf das Feld Creation Date:

whois beispiel-shop.de | grep -i "Changed\|Created\|Creation"

Der "Hallo Mama"-Trick auf WhatsApp

Bei dieser Masche (auch Enkeltrick 2.0) schreiben Betrueger per WhatsApp oder SMS von einer unbekannten Nummer: "Hallo Mama/Papa, ich habe eine neue Nummer." Danach folgt ein Notfall - kaputtes Handy, dringende Rechnung - mit der Bitte, schnell Geld zu ueberweisen. Inzwischen nutzen Taeter dafuer gezielt persoenliche Infos aus dem Netz. So reagierst du richtig:

  1. Nicht unter Druck setzen lassen. Zeitdruck und Emotion sind das Werkzeug der Betrueger - kein echter Notfall verlangt eine Ueberweisung in fuenf Minuten.
  2. Verifiziere ueber die alte Nummer. Ruf dein Kind / deinen Enkel auf der bekannten alten Handynummer oder dem Festnetz an. So fliegt der Betrug fast immer auf.
  3. Niemals Geld ueberweisen oder Codes/Gutscheinkarten weitergeben, bevor die Identitaet zweifelsfrei bestaetigt ist.
  4. Nummer blockieren und melden. Du kannst die Nummer bei der Bundesnetzagentur als Betrugsverdacht melden.

Wurde schon Geld ueberwiesen: sofort die Bank anrufen (Rueckholung evtl. noch moeglich), Chats nicht loeschen, Screenshots sichern und Anzeige bei der Polizei erstatten - in vielen Bundeslaendern auch online ueber die Internetwache.

QR-Code-Betrug (Quishing) abwehren

Quishing = QR-Code + Phishing. Kriminelle ueberkleben echte QR-Codes mit Stickern an Parkautomaten und E-Ladesaeulen oder verschicken sie in gefaelschten Briefen (z.B. angebliche Bank- oder DHL-Zoll-Schreiben). Der Code fuehrt auf eine taeuschend echte Seite, die Bank- oder Kreditkartendaten abgreift. Davor schuetzt du dich so:

  • Am Parkautomat / an der Ladesaeule keinen aufgeklebten QR-Code scannen. Nutze stattdessen die offizielle App des Anbieters und gib die Parkzonen-Nummer manuell ein.
  • Sticker pruefen: Ein QR-Code, der erkennbar aufgeklebt ist oder ueber einen Aufdruck geklebt wurde, ist verdaechtig.
  • URL vor dem Oeffnen pruefen: Seriose QR-Scanner zeigen die Ziel-Adresse erst an. Stimmt die Domain nicht mit dem echten Anbieter ueberein oder ist sie kryptisch verkuerzt - abbrechen.
  • Niemals Bank-/Kartendaten nach dem Scannen eines QR-Codes eingeben. Banken fordern das nie per QR-Code im Brief an.
  • Im Zweifel die offizielle Adresse selbst tippen statt zu scannen.

Eltern und Grosseltern absichern - dein Drei-Punkte-Plan

Aeltere Menschen sind die Hauptzielgruppe. Gib ihnen drei einfache, einpraegsame Regeln mit:

  1. Eine feste Familien-Regel: "Bei jeder Geldforderung per Nachricht rufe ich zuerst auf der alten Nummer an." Ein vereinbartes Code-Wort in der Familie entlarvt Betrueger zusaetzlich.
  2. Tempo rausnehmen: Echte Behoerden, Banken und Verwandte setzen nie unter Sekunden-Zeitdruck. Druck = Warnsignal.
  3. Eine Anlaufstelle benennen: Im Zweifel kurz bei dir anrufen, bevor irgendetwas geklickt, gescannt oder ueberwiesen wird.

Profi-Tipp: Das gemeinsame Muster aller drei Maschen ist kuenstlich erzeugter Zeitdruck. Wer einmal innehaelt und auf einem zweiten, unabhaengigen Kanal nachprueft (Rueckruf auf bekannter Nummer, offizielle App, selbst getippte Adresse), entzieht jedem dieser Angriffe die Grundlage. Verfolge aktuelle Warnungen beim BSI und der Verbraucherzentrale.

Grundlagen
Einsteiger

Passwort-Manager: ein starkes Passwort für alles

Der wichtigste erste Schritt: Schluss mit wiederverwendeten Passwörtern. Wie du mit Bitwarden oder KeePassXC für jedes Konto ein eigenes, starkes Passwort bekommst — und dir nur noch eines merken musst.

Mehr lesen

Warum ein Passwort-Manager Pflicht ist

Das gleiche Passwort auf mehreren Seiten ist das größte Risiko überhaupt. Wird ein Dienst gehackt, landen Millionen Zugangsdaten in Listen, die Angreifer automatisch bei anderen Seiten durchprobieren (Credential Stuffing). Ob deine Adresse betroffen ist, prüfst du kostenlos bei Have I Been Pwned (haveibeenpwned.com).

Die Lösung ist nicht, sich 100 Passwörter zu merken, sondern genau eines — das Master-Passwort. Der Manager erzeugt und speichert den Rest.

Welcher Manager?

ToolTypIdeal für
BitwardenCloud (Open Source, optional selbst gehostet)Sync über alle Geräte, Familie, Einsteiger
KeePassXCOffline-Datei (.kdbx)Maximale Kontrolle, kein Cloud-Vertrauen nötig
Proton Pass / 1PasswordCloud (kommerziell)Komfort, Passkey-Support, Support-Wunsch

Für die meisten ist Bitwarden die beste Wahl: kostenlos, quelloffen, Apps für Windows/Mac/Linux/iOS/Android und Browser-Erweiterungen.

In 4 Schritten startklar

  1. Konto anlegen und ein Master-Passwort als Passphrase wählen (siehe unten).
  2. Browser-Erweiterung installieren — sie füllt Logins automatisch aus und bietet beim Anmelden an, neue zu speichern.
  3. Bestehende Logins nach und nach ersetzen: bei jedem Login das alte Passwort durch ein generiertes (20+ Zeichen) tauschen.
  4. Den Passwort-Generator nutzen — nie wieder selbst ausdenken.

Das Master-Passwort: deine einzige Festung

Das Master-Passwort darfst du nirgends wiederverwenden und nirgends speichern. Nimm eine Passphrase aus 5–6 zufälligen Wörtern (Diceware) — die ist leicht zu merken und trotzdem extrem stark, z. B. Anker-Vulkan-Wiese-7-Tinte-Mond.

Sichere dein Master-Passwort einmalig analog: aufschreiben und an einem sicheren Ort (Ordner, Tresor) verwahren. Vergisst du es, ist der Tresor bei Zero-Knowledge-Anbietern wie Bitwarden unwiederbringlich verloren — das ist gewollt, denn so kann auch der Anbieter nicht hinein.

Und der Schritt danach: das Manager-Konto selbst mit Zwei-Faktor absichern — am besten mit einem Hardware-Key. Wie das geht, steht im nächsten Guide.

Authentifizierung
Fortgeschritten

Zwei-Faktor & FIDO2-Hardware-Keys: MFA, die wirklich schützt

Ein Passwort allein reicht nicht. Warum SMS-Codes unsicher sind, Authenticator-Apps gut, ein FIDO2-Hardware-Key (YubiKey) aber phishing-sicher ist — inklusive Kaufberatung für alle Bauformen und dem Premium-Key mit Fingerabdruck.

Mehr lesen

Die drei Stufen von Zwei-Faktor

Zwei-Faktor-Authentifizierung (2FA, Teil von MFA) verlangt zusätzlich zum Passwort einen zweiten Nachweis. Aber nicht jeder zweite Faktor ist gleich gut:

MethodeSchutzSchwäche
SMS-CodeNiedrigSIM-Swapping: Angreifer lassen deine Nummer auf ihre SIM portieren und fangen den Code ab. Auch über gefälschte Funkzellen abhörbar.
Authenticator-App (TOTP)GutDer 6-stellige Code kann auf einer Phishing-Seite in Echtzeit abgegriffen und sofort weitergereicht werden.
Hardware-Key (FIDO2)Sehr hochPraktisch nur durch physischen Diebstahl des Keys — und selbst dann schützt PIN/Fingerabdruck.

Faustregel: App-TOTP überall dort, wo es kein FIDO2 gibt — und einen Hardware-Key für alles Wichtige (E-Mail, Passwort-Manager, Microsoft/Google/Apple-Konto, Banking, GitHub).

Was FIDO2 phishing-sicher macht

FIDO2/WebAuthn ist der offene Standard hinter den Hardware-Keys. Bei der Registrierung erzeugt der Key ein kryptografisches Schlüsselpaar: Der private Schlüssel verlässt den Key nie, nur der öffentliche geht zum Dienst. Beim Login unterschreibt der Key eine Anfrage — und zwar fest an die echte Domain gebunden.

Genau das killt Phishing: Eine gefälschte Seite wie g00gle-login.com bekommt vom Key schlicht keine gültige Signatur, weil die Domain nicht passt. Du kannst gar nicht aus Versehen den „Code" auf der falschen Seite eingeben, denn es gibt keinen abtippbaren Code. Dazu kommt der physische Tastendruck: Ohne Berührung des Keys passiert nichts — Remote-Angriffe laufen ins Leere.

Welche Bauform passt zu dir?

Alle „5er"-YubiKeys können dasselbe (FIDO2, U2F, Smartcard/PIV, TOTP, OTP, OpenPGP) — sie unterscheiden sich nur im Anschluss und der Größe:

ModellAnschlussNFCBauformFingerabdruckIdeal für
YubiKey 5 NFCUSB-AJaStandardDer Allrounder: PC/Laptop + Smartphone per NFC
YubiKey 5C NFCUSB-CJaStandardModerne Laptops, Android & iPhone 15+
YubiKey 5 NanoUSB-ANanoBleibt dauerhaft im Rechner stecken
YubiKey 5C NanoUSB-CNanoMini für moderne Laptops
Security Key C NFCUSB-CJaStandardGünstiger Einstieg, nur FIDO2/U2F (~35 €)
YubiKey BioUSB-A/USB-C(C-Variante)StandardJaHöchster Komfort + Sicherheit (~120 €)
NFC oder nicht? Willst du dich auch am Smartphone anmelden, nimm ein NFC-Modell (5 NFC / 5C NFC) und halte den Key einfach ans Handy. Ohne NFC brauchst du den passenden USB-Stecker am Telefon.

Der Premium-Key: YubiKey Bio mit Fingerabdruck

Der neueste und teuerste Consumer-Key (~120 €) ist der YubiKey Bio. Sein Unterschied: ein Fingerabdrucksensor direkt auf dem Schlüssel. Statt eine PIN einzutippen, legst du nur den Finger auf.

Der Vorteil: Der Bio bringt einen echten dritten Faktor mit — Besitz (der Key) plus Inhärenz (dein Fingerabdruck). Bei den normalen Keys ist der zweite Schutz eine PIN, die man theoretisch absehen kann; beim Bio ist es deine Biometrie. Dazu ist er schneller und bequemer: kein Tippen, nur Auflegen.

Warum er als so sicher gilt:

  • Der private Schlüssel verlässt nie das manipulationssichere Secure Element des Keys — er ist nicht auslesbar, nicht kopierbar.
  • Der Fingerabdruck wird ausschließlich auf dem Key gespeichert und geprüft (Match-on-Chip). Er wird nie an den PC, den Dienst oder in eine Cloud übertragen.
  • FIDO2 bleibt domaingebunden — Phishing scheitert wie bei allen FIDO2-Keys.
  • Ohne den physischen Key und den registrierten Finger ist eine Anmeldung praktisch unmöglich.

So nutzt du ihn richtig:

  1. Einrichten: Im Browser unter chrome://settings/securityKeys bzw. den Yubico-Tools eine Key-PIN festlegen (Fallback, falls der Fingerabdruck mal nicht erkannt wird).
  2. Fingerabdrücke registrieren: Über die Yubico Authenticator-App mehrere Finger anlernen (z. B. beide Zeigefinger und Daumen) — robuster im Alltag.
  3. Bei jedem Dienst registrieren: Konto → Sicherheit → „Sicherheitsschlüssel hinzufügen" → Key einstecken → Finger auflegen.
  4. Immer einen Backup-Key: Registriere parallel einen zweiten Key (siehe Kasten unten).

Schritt für Schritt: Key bei einem Konto registrieren

Beispielhaft für Google — bei Microsoft, Apple, GitHub & Co. läuft es fast identisch:

  1. Konto öffnen → SicherheitBestätigung in zwei Schritten.
  2. Sicherheitsschlüssel / Passkey hinzufügen wählen.
  3. Key einstecken (oder per NFC ans Handy halten) und auf Aufforderung berühren.
  4. Dem Key einen Namen geben (z. B. „YubiKey blau – Alltag").
Kaufe immer zwei Keys. Geht dein einziger Key verloren oder kaputt, sperrst du dich sonst aus deinen Konten aus. Registriere bei jedem wichtigen Dienst beide Schlüssel — einen für den Alltag (Schlüsselbund), einen als Backup im Tresor. Deaktiviere parallel schwächere Verfahren wie SMS, sobald die Keys laufen.
Den YubiKey Bio gibt es bewusst nur als USB-A/USB-C ohne reine Nano-Bauform — der Fingerabdrucksensor braucht Platz. Für „dauerhaft steckenbleiben" nimmst du einen 5 Nano, für Komfort den Bio.
Authentifizierung
Einsteiger

Passkeys: anmelden ganz ohne Passwort

Passkeys lösen das Passwort ab — phishing-sicher, bequem und schon von Google, Apple, Microsoft, Amazon & PayPal unterstützt. Was sie sind und wie du den ersten einrichtest.

Mehr lesen

Was ist ein Passkey?

Ein Passkey ist im Kern derselbe FIDO2/WebAuthn-Mechanismus wie beim Hardware-Key — nur dass der private Schlüssel auf deinem Smartphone, Laptop oder einem YubiKey liegt. Du meldest dich mit dem an, was das Gerät ohnehin schützt: Face ID, Fingerabdruck oder Geräte-PIN. Kein Passwort, kein Code zum Abtippen — und damit nichts, was abgephisht oder geleakt werden kann.

Synchronisiert vs. gerätegebunden

  • Synchronisierte Passkeys (Apple iCloud-Schlüsselbund, Google Passwortmanager, Bitwarden): landen verschlüsselt in deinem Konto und stehen auf all deinen Geräten bereit. Bequem, ideal für die meisten.
  • Gerätegebundene Passkeys (auf einem YubiKey): verlassen den Schlüssel nie. Maximal sicher, ideal für die wichtigsten Konten.

Ersten Passkey einrichten

  1. Beim Dienst (z. B. Google, PayPal, Amazon) → SicherheitPasskey erstellen.
  2. Gerät fragt nach Face ID / Fingerabdruck / PIN → bestätigen.
  3. Fertig — beim nächsten Login bietet die Seite den Passkey automatisch an.
Passkeys und Hardware-Keys schließen sich nicht aus: Lege synchronisierte Passkeys für den Alltag an und hinterlege bei kritischen Konten zusätzlich einen YubiKey als gerätegebundenen Anker. Behalte ein starkes Passwort + 2FA als Rückfallebene, solange ein Dienst noch nicht reines Passkey-Login kann.
Awareness
Einsteiger

Phishing erkennen: die 7 Warnsignale

Die meisten Hacks beginnen mit einer E-Mail. So entlarvst du gefälschte Nachrichten, bevor du auf den Link klickst — und warum ein FIDO2-Key dich selbst dann noch schützt.

Mehr lesen

Die 7 Warnsignale

  1. Dringlichkeit & Drohung: „Ihr Konto wird in 24 h gesperrt!" — Druck soll dein Nachdenken ausschalten.
  2. Absender genau prüfen: Anzeigename „PayPal", echte Adresse aber service@paypa1-secure.ru. Den echten Absender einblenden.
  3. Link-Ziel kontrollieren: Maus über den Link halten (nicht klicken) — stimmt die Domain vor dem ersten einzelnen /? paypal.com.betrug.ru ist betrug.ru, nicht PayPal.
  4. Unpersönliche Anrede: „Sehr geehrter Kunde" statt deines Namens.
  5. Anhänge: unerwartete .zip, .html oder Office-Dateien mit „Makros aktivieren".
  6. Daten-Abfrage: Seriöse Dienste fragen nie per E-Mail nach Passwort, PIN oder TAN.
  7. Zu gut, um wahr zu sein: Gewinne, Pakete, Steuererstattungen, die du nie erwartet hast.

Im Zweifel — so reagierst du

  • Nicht klicken. Rufe die Seite selbst über ein Lesezeichen oder die getippte Adresse auf.
  • Im Verdachtsfall den Anbieter über offizielle Kanäle kontaktieren — nie über die Nummer/den Link aus der Mail.
  • Phishing an die echte Stelle melden (z. B. Verbraucherzentrale, phishing@anbieter).
Der beste Phishing-Schutz ist technisch: Mit einem FIDO2-Hardware-Key nützt dem Angreifer dein Passwort nichts — selbst wenn du es auf einer Fake-Seite eingibst, verweigert der Key der falschen Domain die Anmeldung.
Datenschutz
Fortgeschritten

Festplatte verschlüsseln: BitLocker, FileVault & LUKS

Geht Laptop oder USB-Stick verloren, sind ohne Verschlüsselung alle Daten offen. Full-Disk-Encryption macht sie ohne dein Passwort wertlos — auf Windows, Mac und Linux.

Mehr lesen

Wichtig vorab: Sichere den Wiederherstellungsschlüssel getrennt vom Gerät, bevor du startest, und lege ein Backup an. Ohne Schlüssel und Passwort sind verschlüsselte Daten endgültig verloren — das ist der Sinn der Sache.

Windows: BitLocker

Ab Windows Pro integriert. Einstellungen → Datenschutz & Sicherheit → Geräteverschlüsselung bzw. Systemsteuerung → BitLocker. Den Wiederherstellungsschlüssel nicht nur im Microsoft-Konto, sondern auch ausgedruckt/offline sichern. Windows Home bietet die einfachere „Geräteverschlüsselung", wenn die Hardware (TPM) passt.

macOS: FileVault

Systemeinstellungen → Datenschutz & Sicherheit → FileVault einschalten. Du wählst, ob der Schlüssel über die Apple-ID wiederherstellbar ist oder du einen lokalen Wiederherstellungsschlüssel notierst — letzteres ist privater.

Linux: LUKS

Am einfachsten bei der Installation („Festplatte verschlüsseln" anhaken). Nachträglich pro Datenträger mit cryptsetup:

# Container anlegen (ACHTUNG: löscht das Ziel)
sudo cryptsetup luksFormat /dev/sdX
# öffnen und einbinden
sudo cryptsetup open /dev/sdX cryptdata
sudo mkfs.ext4 /dev/mapper/cryptdata
Verschlüsselung schützt im ausgeschalteten Zustand. Sperre den Bildschirm beim Weggehen und fahre das Gerät bei Diebstahlrisiko ganz herunter — im Standby liegt der Schlüssel im RAM.
Resilienz
Fortgeschritten

Backups & Ransomware-Schutz: die 3-2-1-Regel

Das beste Sicherheitskonzept gegen Ransomware, Defekt und Diebstahl ist ein Backup, an das der Angreifer nicht herankommt. So baust du es richtig auf.

Mehr lesen

Die 3-2-1-Regel

  • 3 Kopien deiner Daten (das Original + 2 Backups),
  • auf 2 verschiedenen Medien (z. B. interne SSD + externe Platte/NAS),
  • 1 davon außer Haus (Cloud oder Platte an einem anderen Ort).

Warum „offline" gegen Ransomware entscheidet

Ransomware verschlüsselt alles, was erreichbar ist — auch verbundene Backup-Platten und Netzlaufwerke. Schutz bietet nur eine Kopie, die nicht permanent verbunden ist (air-gapped) oder die nicht überschrieben werden kann (immutable / versioniert).

VarianteSchutz vor Ransomware
Externe Platte, nur zum Backup angestecktHoch (air-gapped)
NAS mit Snapshots / VersionierungHoch (Wiederherstellung früherer Stände)
Cloud mit Versionierung (z. B. Backblaze, Proton Drive)Hoch, zugleich Off-site
Dauerhaft gemountetes NetzlaufwerkNiedrig — wird mitverschlüsselt

Werkzeuge

  • Windows/Mac/Linux: restic oder Duplicati — verschlüsselt, dedupliziert, versioniert.
  • Komplett-Image: Macrium Reflect (Win), Time Machine (Mac).
Ein Backup, das du nie zurückgespielt hast, ist nur eine Hoffnung. Teste einmal pro Quartal eine echte Wiederherstellung einzelner Dateien — und verschlüssele Backup-Medien (siehe Guide oben), falls sie verloren gehen.