Vorsicht bei E-Mails: Phishing-Mails kommen unerwartet. Genau deshalb sollte man als Empfänger skeptisch sein - ganz egal, wie echt die Mail aussieht oder wie vertrauenswürdig der Absender erscheint. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) lassen sich Absenderadressen von E-Mails leicht fälschen. Außerdem forderten Unternehmen, Banken oder offizielle Stellen nie per Mail zur Eingabe sensibler Daten wie Passwörter, Kreditkarten- und Kontoinformationen auf. Wenn die Mail von der Kreditkartenfirma vor einer Sicherheitslücke warnt und die Eingabe des PIN-Codes fordert, sollten Nutzer also stutzig werden. Im Zweifelsfall hilft ein Anruf beim angeblichen Absender der E-Mail weiter. Dazu sollten Nutzer aber auf keinen Fall eine in der E-Mail angegebene Nummer wählen, sondern im Telefonbuch oder online die Nummer der Bank oder des Unternehmens nachschlagen.

Nicht auf Links und Anhänge klicken: In E-Mails von unbekannten Absendern sollten Nutzer keine Links anklicken. Sie können nämlich auf nachgebaute Phishing-Seiten umleiten, die denen von Banken oder Online-Shops ähneln und dazu dienen, Zugangsdaten auszuspionieren. Oftmals ähneln sich auch die Web-Adressen der nachgebauten und der echten Seite. Um nicht auf nachgebaute Seiten umgeleitet zu werden, sollte die Onlinebanking-Seite der eigenen Bank nur direkt angesteuert werden. Dafür kann man sich im Browser ein Lesezeichen anlegen. Auch Mail-Anhänge sollten Empfänger nie leichtfertig öffnen. Selbst hinter scheinbar harmlosen Textdokumenten kann sich schädliche Software verbergen. Verdächtige E-Mails sollten am besten einfach gelöscht werden.

Sichere Passwörter: Als Schutz vor digitalen Einbruchsversuchen sollten Onlinekonten mit einem möglichst guten Passwort gesichert sein. Das muss laut BSI mindestens zwölf Zeichen lang sein, Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern enthalten. Worte aus dem Lexikon sind ebenso tabu wie leicht zu erratene Namen von Angehörigen oder Kombinationen wie "abc123" oder "asdfgh", die auf der Tastatur nebeneinander liegen. Passwörter sollten außerdem regelmäßig geändert werden - spätestens alle sechs Monate.

Zweifaktor-Authentifizierung: Viele Onlinedienste bieten mittlerweile an, das eigene Konto doppelt abzusichern. Dazu muss beispielsweise eine Telefonnummer hinterlegt werden. Zu dieser Nummer wird bei der Anmeldung mit Benutzername und Passwort zusätzlich ein Sicherheitscode geschickt. Erst wenn dieser Code eingegeben wird, erhält man Zugang. So reicht das Ausspähen von Login-Daten nicht mehr aus, um ein Onlinekonto vollständig zu übernehmen.

Den Computer mit Firewall und Virenscanner zu versorgen, reicht nicht. Dieser Schutz muss auch durch Updates aktuell gehalten werden. Auch der Browser und das Betriebssystem sollten regelmäßig auf den neuesten Stand gebracht werden. Das BSI rät dazu, Programmen zu erlauben, sich automatisch zu aktualisieren. Die entsprechende Option findet sich in den Einstellungen vieler Programme, bei Windows in der Systemsteuerung.