Security-Checkliste 2026, Teil 2: Heimarbeit, Windows, Smartphone und Router
Unsere Security-Checklisten umfassen die Themen Heimarbeit, Windows, Smartphone und Router und geben Tipps zur Absicherung.
(Bild: Jessica Nachtigall / KI / heise medien)
Mobiles Arbeiten
Die Arbeit hat sich vom Platz im Büro entkoppelt. Viele arbeiten zu Hause oder im Zug – und manche gleich dort, wo andere Urlaub machen. Auch Angreifern gefällt das, denn die externen Arbeitsplätze sind eine potenzielle Schwachstelle im Unternehmensnetz.
Arbeitsplatz abschirmen
Sichern Sie Ihren Homeoffice-Rechner und alle mobilen Arbeitsgeräte nach dem Stand der Technik. Dazu zählen regelmäßige Betriebssystemupdates und ein Virenscanner. Denn ein eingefangener Virus kann die gesamte Firma lahmlegen. Greifen Sie aus dem Homeoffice und unterwegs über eine verschlüsselte VPN-Verbindung auf das Firmennetz zu. Nutzen Sie statt öffentlichen WLAN-Hotspots eine mobile Datenverbindung. Falls es unbedingt ein Hotspot sein muss, dann ist ein verschlüsseltes VPN erst recht Pflicht.
Schützen Sie Ihre Geräte und Daten auch vor direkten, physischen Zugriffen. Ein Dieb, der Ihr Notebook geklaut hat, darf nicht auch noch Ihre Daten erbeuten. Bei mobilen Rechnern sollte der Massenspeicher daher verschlüsselt sein, zum Beispiel mit BitLocker oder VeraCrypt. Das gilt auch für alle externen Datenträger. Defekte Speichermedien entsorgen Sie nicht selbst, sondern über die Firma. Denn die muss sicherstellen, dass sensible Informationen verlässlich gelöscht werden.
Aktivieren Sie Ortungs- und Fernlöschfunktionen. Suchen Sie sich unterwegs zum Arbeiten einen Platz, der vor neugierigen Blicken schützt. Richten Sie eine passwortgeschützte Bildschirmsperre ein und nutzen Sie diese konsequent, auch wenn Sie den Rechner „nur ganz kurz“ aus den Augen lassen (unter Windows mit Windows+L, am Mac mit Control+Command+Q). Am besten ist ein passwortgeschützter Bildschirmschoner, der sich nach kurzer Inaktivität automatisch einschaltet.
Videos by heise
Daten trennen
Wenn Sie Ihren privaten Rechner fĂĽr die Arbeit im Homeoffice nutzen, dann richten Sie hierfĂĽr ein eigenes Nutzerkonto ein. So bleibt Privates privat. Umgekehrt gilt: Firmendaten haben im Privatkonto nichts verloren. Greifen Sie auch auf Ihre privat genutzten Cloudkonten wie Dropbox, OneDrive oder Google Drive nicht vom Arbeitskonto aus zu.
Um auf dem Smartphone berufliche von privaten Kontakten zu separieren, arbeiten Sie ebenfalls mit zusätzlichen Nutzerkonten, sofern das auf Ihrem Betriebssystem möglich ist.
Verlust vermeiden
Speichern Sie wichtige, beruflich genutzte Dokumente und Daten nicht lokal auf Ihrem Rechner, Notebook oder Tablet, sondern möglichst auf dem Firmenserver. Das ist nicht nur sicherer, sondern vor allem beim hybriden Arbeiten deutlich komfortabler. Denn dort werden automatisch Backups angelegt und Sie haben gleich alles parat, wenn Sie vom Home- ins Firmen-Office wechseln.
Falls Daten doch mal lokal gespeichert werden müssen, richten Sie zumindest automatisches Synchronisieren per Backupsoftware ein. Verzichten Sie möglichst darauf, Dokumente auf USB-Sticks und externen Platten hin und her zu tragen.
Konferenzen kontrollieren
Virenschutz hin, Firewall her: Die größte Schwachstelle in der Firmen-IT ist immer noch der Mensch. Im Homeoffice stehen Ihnen Gesprächspartner selten gegenüber. Videochat-Teilnehmer ohne Kamera können Kollegen sein, aber auch Angreifer, die mitlauschen wollen. Fordern Sie die Kollegen zunächst auf, die Kamera zu aktivieren und starten Sie das Meeting neu, wenn die Geisterbilder nicht verschwinden.
Übrigens: Die beliebten Screenshots von Videokonferenzen können wertvolle Informationen für Angreifer enthalten, um sich entweder direkt ins nächste Meeting einzuklinken oder Phishing-Attacken vorzubereiten. Wenn Sie beispielsweise unbedingt Fotos vom letzten Meeting veröffentlichen müssen, machen Sie vorher sensible Daten wie URLs, Meeting-IDs sowie die Gesichter der Teilnehmer unkenntlich.
Anrufe hinterfragen
Nicht alles läuft auf Anhieb perfekt. Bleiben Sie auch aus der Ferne in Kontakt mit den Admins Ihrer Firma und erstellen Sie beizeiten eine Liste mit wichtigen Ansprechpartnern für den Notfall.
Anrufen und Mails sollten Sie grundsätzlich skeptisch gegenüberstehen, denn Caller-IDs und Absendernamen können gefälscht sein. Meldet sich etwa vermeintlich Ihr Lieblings-Admin, ein Geschäftspartner oder der Chef telefonisch bei Ihnen, sollten Sie keine sensiblen Daten preisgeben und sich schon gar nicht auf eine Fernwartung einlassen.
Selbst den vertrauten Stimmen und Gesichtern müssen Sie zunehmend mit Skepsis begegnen, denn sie lassen sich immer besser synthetisch nachahmen. Rufen Sie die Person, die angeblich angerufen hat, beim leisesten Zweifel lieber unter der bekannten – nicht der angezeigten – Rufnummer zurück und klären Sie den Sachverhalt direkt. (atr@ct.de)
Windows
(Bild:Â Jessica Nachtigall / KI / heise medien)
Auf Windows haben es Hacker besonders häufig abgesehen, schlicht, weil es so verbreitet ist. Die gute Nachricht ist, dass Sie sich mit Bordmitteln vor den meisten Angriffen schützen können.
Updates installieren
Microsoft liefert regelmäßig Updates, die Sicherheitslücken in Windows schließen. Stellen Sie sicher, dass alle verfügbaren Updates installiert sind und die Update-Installation nicht pausiert wurde. Rufen Sie hierzu „Nach Updates suchen“ über das Suchfeld auf und installieren Sie alle verfügbaren Aktualisierungen.
Erscheint oben im Fenster der Hinweis „Updates wurden bis [Datum] ausgesetzt“, klicken Sie auf „Updates fortsetzen“, damit Windows nach frischen Aktualisierungen sucht. Sorgen Sie dafür, dass Windows auch andere Microsoft-Programme wie Office auf dem aktuellen Stand hält, indem Sie unter „Erweiterte Optionen“ den Schiebeschalter „Updates für andere Microsoft-Produkte erhalten“ aktivieren.
Alte Windows-Versionen versorgt Microsoft nicht mehr mit Sicherheits-Patches, wodurch das Angriffsrisiko steigt. Nutzen Sie daher Windows 10 oder 11 mit dem derzeit aktuellen Funktions-Upgrade. Beachten Sie, dass Windows 10 seit dem 14. Oktober 2025 nicht mehr von Microsoft mit Sicherheitsupdates versorgt wird. Wer weiterhin Updates benötigt, kann Microsofts ESU-Programm (Extended Security Updates) nutzen: einmalig rund 30 Euro für ein Jahr, für EU-Nutzer nach einer Intervention von Verbraucherschützern sogar kostenlos. Halten Sie auch Anwendungen wie Browser, Mail-Client, PDF-Viewer und Videoplayer aktuell.
Daten-GAU vorbeugen
Ihre Daten sind auf der Systemplatte oder -SSD allein auf Dauer nicht gut aufgehoben, da diese jederzeit ausfallen kann. Zudem besteht die Gefahr, dass die Daten von einem Krypto-Trojaner verschlüsselt werden. Sorgen Sie vor und legen Sie Backups aller wichtigen Daten an. Im einfachsten Fall reicht es, die Daten auf einen USB-Datenträger zu kopieren.
Virenschutz ĂĽberprĂĽfen
Ein Virenschutzprogramm kann Sie zwar nicht vor allen Gefahren schützen, doch vor vielen. Bei aktuellen Windows-Versionen ist der Windows Defender vorinstalliert, der einen ausreichenden Schutz bietet. Etwaige Testversionen anderer Virenschutzprodukte sollten Sie entfernen. Stellen Sie sicher, dass der Defender aktiv und mit aktuellen Signaturen versorgt ist. Um die Signaturen zu checken, rufen Sie den „Viren- und Bedrohungsschutz“ über das Suchfeld auf und navigieren zu „Schutzupdates“.
Noch mehr Schutz bietet die Windows-11-Funktion „Smart App Control“. Ist sie aktiv, führt Windows nur noch Programme aus, die Microsoft für unbedenklich hält. Auch diese Funktion erreichen Sie über das Suchfeld.
Zugriffsschutz aktivieren
Ihr Rechner muss nicht nur vor Angriffen aus dem Internet geschützt werden, sondern auch vor physischen Zugriffen, also vor Personen, die sich dem Rechner nähern. Im besten Fall verschlüsseln Sie die Systemplatte oder -SSD mit BitLocker oder VeraCrypt. So sind Ihre Daten – oder die Ihres Arbeitgebers – auch dann noch geschützt, wenn jemand an der Windows-Anmeldung vorbei direkt auf den Datenträger zugreift.
Schützen Sie Ihr Windows-Konto mit einem mindestens zehn Zeichen langen Passwort. Sie müssen es nur selten eingeben, wenn Sie als Anmeldemethode zusätzlich eine mindestens vierstellige, besser längere PIN setzen. Eine solche PIN ist ausreichend sicher, weil Windows nur sehr wenige Fehleingaben zulässt, ehe es die Eingabe verzögert.
Datenschutz verbessern
Sorgen Sie dafür, dass nicht mehr Daten fließen als nötig: Suchen Sie im Startmenü nach „Einstellungen für Diagnose und Feedback“ und stellen Sie alles aus, was möglich ist. Windows drängt Ihnen bei der Einrichtung das Microsoft-Konto auf, das eng mit der Cloud vernetzt ist. Nutzen Sie besser ein lokales Konto. Trennen Sie hierzu die Internetverbindung während der Windows-Installation. Öffnen Sie die Eingabeaufforderung mit Umschalt+F10 und geben Sie oobe\bypassnro ein. Danach startet die Installation neu und Sie können nach der Länder- und Tastatureinstellung „Ich habe kein Internet“ wählen und ein lokales Konto erstellen. (rei@ct.de)
Smartphones
(Bild:Â Jessica Nachtigall / KI / heise medien)
Android-Smartphones und iPhones beherbergen allerlei wichtige Daten, die nur Sie etwas angehen. Mit ein paar Handgriffen schützen Sie Ihre mobilen Begleiter vor Malware und neugierigen Mitmenschen. Die meisten Tipps gelten auch für Tablets und weitere Mobilgeräte.
Betriebssystem-Updates
Ganz gleich, ob Sie Android oder iOS nutzen: Achten Sie darauf, dass ein möglichst aktuelles Betriebssystem auf dem Gerät installiert ist. Betriebssystemupdates schließen meist Sicherheitslücken. Apple versorgt seine iPhones vorbildlich mit Updates: Das aktuelle iOS 26 läuft noch auf dem iPhone 11 und SE 2 von 2019 beziehungsweise 2020.
Bei Android ist die Lage durchwachsen: Insbesondere bei preiswerten Smartphones versiegt der Update-Fluss oft nach kurzer Zeit. Google Pixel, Samsung-Flaggschiffe und Xiaomi-15-Modelle erhalten inzwischen aber sechs bis sieben Jahre Updates.
Ob es ein Update gibt, können Sie in den Einstellungen überprüfen. Suchen Sie dort einfach nach „Update“ oder „Softwareaktualisierung“. Dort können Sie auch die Installation anstoßen. Android-Nutzer erfahren in den Einstellungen auch das von der Android-Version unabhängige Sicherheitspatch-Level, das besagt, von welchem Datum die installierten Sicherheitspatches sind. Falls Sie ein Smartphone einsetzen, um das sich der Hersteller nicht mehr kümmert, sollten Sie mittelfristig über eine Neuanschaffung nachdenken.
Zugriffsschutz aktivieren
Stellen Sie sicher, dass der Sperrbildschirm eingerichtet ist und ein Passcode zum Entsperren des Smartphones festgelegt ist. Andernfalls kann jeder, dem das Gerät in die Hände fällt, auf Ihre persönlichen Daten zugreifen oder eine Trojaner-App installieren. Der Passcode sollte mindestens sechs Zeichen lang und schwer zu erraten sein: 1234, 0815 oder Ihr Geburtsdatum sind also tabu.
Die meisten Smartphones lassen sich zusätzlich auch komfortabel per Gesichtsscan oder Fingerabdruck entsperren. Der Passcode muss dann nur noch selten eingegeben werden. Sie finden die entsprechenden Einstellungen auf dem iPhone unter „Face ID & Code“ (oder „Touch ID & Code“). Bei Android lauten die Stichwörter „Sicherheit“ und „Displaysperre“ sowie „Biometrie & Passwort“.
Externe Quellen meiden
Installieren Sie Apps am besten nur aus den offiziellen Stores von Apple, Google und den Geräteherstellern. Die Apps werden zumindest bei Apple und Google einem Sicherheitscheck unterzogen. Android-Nutzer, die eine App als APK-Installationspaket installieren möchten, sollten dieses nur direkt vom Entwickler der App beziehen. Stellen Sie unter Android sicher, dass der Cloud-Virenschutz Play Protect aktiv ist. Sie finden ihn im Menü des Play Store. iOS-Nutzer benötigen keinen Virenscanner.
App-Berechtigungen
Prüfen Sie vor dem Installieren und Nutzen einer App genau, welche Rechte sie einfordert und ob es einen nachvollziehbaren Grund für den Zugriff auf wichtige Ressourcen wie Kamera, Mikrofon und Standort gibt. Erteilen Sie den Zugriff nur Apps, denen Sie vertrauen, und nur, wenn Sie die betroffene Funktion der App auch nutzen wollen. iOS-Nutzer können unter „Einstellungen/Datenschutz“ bereits erteilte Rechte verwalten, Android-Nutzer schauen in den Einstellungen etwa unter „Datenschutz/Berechtigungsverwaltung“. Gehen Sie die Liste aufmerksam durch und entziehen Sie alle Berechtigungen, die Sie nicht für nötig halten.
Risiko Jailbreak
Durch „Rooting“ (Android) und „Jailbreaking“ (iOS) kann man sich höhere Rechte auf dem Smartphone verschaffen und das System tiefgreifend ändern. Das hebelt jedoch auch essenzielle Schutzfunktionen aus, sodass zahlreiche Anwendungen wie Banking-Apps den Start verweigern. (rei@ct.de)
WLAN-Router
(Bild:Â Jessica Nachtigall / KI / heise medien)
Assistenten richten den WLAN-Router zwar binnen Minuten ein, aber optimale Sicherheit braucht oft etwas Nacharbeit, selbst wenn der Netzverteiler schon gemäß WPA3 verschlüsselt.
Konfiguration abdichten
Moderne Router kommen normalerweise vollautomatisch ins Netz, nur manchmal muss man selbst noch per Browser oder Smartphone-App Hand anlegen. Dabei gehen die Assistenten aber an manchen empfehlenswerten Optionen vorbei, sodass LĂĽcken bleiben.
Ändern Sie zuerst das voreingestellte Konfigurationspasswort. Weil es typischerweise auf dem Typenschild steht, reicht Unbefugten ein schnelles Foto, um später den Router unbemerkt manipulieren zu können. Falls vorhanden und abgeschaltet, aktivieren Sie das automatische Firmware-Update. Dann hält sich der Router selbstständig frisch, selbst wenn Sie auf Reisen sind.
Richtig verschlĂĽsseln
Bei der WLAN-VerschlĂĽsselung sollte der Mixed-Mode WPA2+WPA3 aktiv sein. Falls Sie wegen alter Clients auf WPA2 bleiben mĂĽssen, schalten Sie den Schutz der Steuerpakete (PMF) ein. Ă„ndern Sie den Funknetznamen und das WLAN-Passwort, weil diese ebenfalls meist auf dem Typenschild stehen.
Verwenden Sie ein Passwort von mindestens 24, besser 30 Zeichen Länge. Denn einige Knackprogramme können WPA2-Passwörter durch Probieren herausfinden (Brute-Force-Attacke). Dafür zeichnen Angreifer den WLAN-Verkehr auf und führen diesen später einem leistungsfähigen PC zu. Ob er dann Ihr Passwort schnell findet, hängt von der Länge des Passworts ab.
Gastnetz nutzen
Aktivieren Sie das Gast-WLAN und stecken Sie Besucher, Smart-Home- und IoT-Geräte dort hinein. Auch das Gastnetz braucht ein langes Passwort. Müssen Sie fürchten, dass Besucher es weitergegeben haben, muss ein neues her, gegebenenfalls regelmäßig (Kalendertermin). Erlauben Sie im Gast-WLAN nur wenige Dienste, beispielsweise Surfen und Mailen, um unerwünschtes Filesharing zu unterbinden.
Falls die Webseite des Routers aus dem Internet erreichbar ist, muss das per HTTPS geschehen, besser aber ausschließlich per routereigenem VPN (WireGuard oder IPsec). Das gilt auch für einen Heimserver, dessen Dienste Sie unterwegs brauchen. VPN ist sicherer als Portweiterleitungen, die eine gute serverseitige Absicherung voraussetzen. Weitere Tipps für eigene Server finde Sie in der Security-Checkliste „Server & Hosting“.
WPS nur vorĂĽbergehend
Mit Wi-Fi Protected Setup genügt ein WPS-Tastendruck, um Clients ins WLAN zu bringen. So können sich auch Unbefugte in einem unbeobachteten Moment Zugang zum Heimnetz verschaffen. Schalten Sie WPS deshalb nur bei Bedarf ein und anschließend wieder aus.
Ähnliches gilt für UPnP: Über diese Router-Automatik können sich Geräte eine Portweiterleitung zum Internet selbst einrichten. Das ist bequem, erleichtert aber auch eingeschleppter Malware das Leben. Lassen Sie UPnP deshalb nur vorübergehend laufen oder schränken Sie es auf einzelne Netzwerk-Hosts ein.
Wenn der Router abgedichtet ist, exportieren Sie seine Konfiguration, damit es nach einem Defekt mit dem Ersatz durch Konfigurationsimport schnell weitergehen kann. (ea@ct.de)
(goe)
