27 Seiten hat die aktuelle Anleitung Wie man nicht gehackt wird des US-Onlinemagazins Motherboard im PDF-Format. 27 Seiten, die gerade einmal das wichtigste Grundwissen vermitteln. Zum Zustand dessen, was durchschnittliche Nutzer als "das Internet" erleben, ist damit eigentlich alles gesagt. Sich im Netz zu bewegen, ähnelt heutzutage einem Spaziergang durch Berlin-Neukölln an Silvester: Ständig muss man aufpassen, nicht von irgendetwas Brennendem oder Explodierendem getroffen zu werden.

Die auf IT-Sicherheit spezialisierten Reporter von Motherboard beginnen mit dem threat model, also der Frage "Was willst du eigentlich schützen und vor wem?" Von den Antworten hängt ab, welche Maßnahmen man ergreifen muss. An dieser Stelle der Anleitung endet der individuelle Zuschnitt aber auch schon. Nacheinander werden dann Themen wie Passwörter, Zwei-Faktor-Authentifizierung, Anonymisierung sowie die Verschlüsselung von E-Mails, Chats und Festplatten abgehandelt. Solide Englischkenntnisse vorausgesetzt, ist das meist gut verständlich geschrieben, inklusive der Limitierungen, die jede Technik nun einmal hat. Aber die erste Frage, die Laien häufig haben, beantwortet die Anleitung nicht: Womit soll ich überhaupt anfangen?

Das macht der neue Security Planner des kanadischen Citizen Lab besser. Die Sicherheitsforscher der an der Universität von Toronto angesiedelten Einrichtung beschäftigen sich normalerweise mit staatlichen Überwachungsversuchen von Dissidenten und Journalisten. Sie decken auf, welche Spionagesoftware gegen Regimegegner und -kritiker eingesetzt wird, stellen die Hersteller und ihre Kunden damit bloß und helfen den Betroffenen, sich zu schützen. Nicht die schlechtesten Referenzen für eine Anleitung zur digitalen Selbstverteidigung.

Individueller Aktionsplan

Das besondere am Security Planner ist der interaktive Aufbau. Zunächst sollen die Nutzer drei Fragen beantworten: Welche Geräte und welche Anwendungen benutzen sie? Android- oder iPhones, Mac, Windows-PC oder Spielekonsole, E-Mail, Onlinebanking oder Social Media? Was wollen sie verhindern? Dass jemand ihre Konten hackt, dass jemand ihren Bildschirm sieht oder nachvollzieht, was sie im Netz aufrufen? Und wollen sie sich erst einmal nur über technische Hilfsmittel und staatliches Hacking informieren oder brauchen sie akute Hilfe, weil sie zum Beispiel im Netz belästigt werden?

Abhängig von den gewählten Antworten – eine Mehrfachauswahl ist immer möglich – erstellt der Security Planner einen individuellen Aktionsplan mit mehreren Tipps und einer "Top-Priorität" wie zum Beispiel dem Einsatz von Zwei-Faktor-Authentifizierung zur zusätzlichen Absicherung von Social-Media-Konten.

Die Autoren erklären aber auch, wie man eine Sicherungskopie seines iPhones anlegt, warum sie welche Passwortmanager empfehlen und wie man den Anhang einer verdächtigen E-Mail gefahrlos überprüft. Die Zielgruppe besteht ausdrücklich aus Anfängern auf dem Gebiet, die meisten empfohlenen Werkzeuge sind kostenlos. Wer sich etwa aufgrund seines Berufs besonderen Risiken ausgesetzt sieht, bekommt allerdings nur Links zu anderen Organisationen angeboten. Noch gibt es den Security Planner nur auf Englisch, weitere Versionen sollen folgen. Explizit genannt werden bisher aber nur Französisch und Spanisch.

Google hat Tipps für Risikonutzer

Das Citizen Lab verspricht außerdem, seine Ratschläge und Anleitungen zu pflegen und aktuell zu halten. Alle Empfehlungen durchlaufen einen Peer-Review-Prozess, daran beteiligt sind Sicherheitsforscher unter anderem von Universitäten und Aktivistengruppen wie dem Tibet Action Institute und dem Guardian Project. Drei der Berater und Prüfer des Security-Planner-Projekts sind Google-Angestellte.

Citizen-Lab-Direktor Ronald Deibert betont aber die Unabhängigkeit seiner Einrichtung: "Wir werden von einer Gemeinschaft aus Non-Profit- und Bildungseinrichtungen sowie Stiftungen unterstützt und akzeptieren niemals Geld oder Dienstleitungen im Tausch für eine Empfehlung", schreibt er.

Google selbst hat vor einigen Wochen ein "Erweitertes Sicherheitsprogramm" veröffentlicht. Es richtet sich an besonders gefährdete Nutzer von Google-Diensten, wie etwa Journalisten und Wahlkämpfer. Zentrale Bestandteile sind physische Sicherheitsschlüssel für die Anmeldung beim Google-Konto, eingeschränkte Zugriffsrechte für Drittanbieter-Apps auf persönliche Daten aus Google Drive oder Gmail sowie ein verschärfter Identifikationsprozess, wenn jemand angibt, sein "Passwort vergessen" zu haben.

Das Programm soll in erster Linie die Folgen von versuchtem oder auch erfolgreichem Phishing abmildern. Wie nötig das ist, hat im vergangenen Jahr unter anderem Hillary Clintons Wahlkampfleiter John Podesta demonstriert.

Die neuen Anleitungen und Initiativen enthalten keine bahnbrechenden Erkenntnisse und Tipps, an vielen Stellen berufen sie sich sogar ausdrücklich auf die Vorarbeiten anderer Aktivisten und Organisationen, die zum Teil seit Jahren im Netz verbreitet werden. Aber insbesondere die vergleichsweise niederschwelligen Einstiege helfen dem einen oder anderen vielleicht, einfach mal anzufangen mit dem Versuch, nicht gehackt zu werden.