Oberste Regel: 100%ige Sicherheit ist eine Illusion. Das geht nur, indem man alles abschaltet und sich im Keller einschließt, aber auch da gibt es dann Asseln, Ameisen und Spinnen 
Man kann Sicherheit nur optimieren, niemals perfekte Sicherheit erreichen. Hier muss man manchmal Kompromisse zwischen Sicherheit, Aufwand und Nutzbarkeit machen.
Allerwichtigste Regel, erst denken, dann klicken. Oder wie manche ITler es gern sagen, der beste Virenscanner und die beste Firewall nutzen fast gar nichts, wenn Brain.exe versagt und der DAU einfach immer "Ok" klickt. (DAU = Dümmster anzunehmender User, abgeleitet vom GAU)
Danach ist Passwort-Sicherheit ein wichtiges Thema, lange, möglichst zufallsgenerierte Passwörter, für jede Seite und jeden Dienst ein anderes, gegen Vergesslichkeit in einem stark verschlüsselten Passwort-Safe aufbewahrt, bringt weitere Sicherheit. Wo immer möglich dann 2-Faktor-Sicherheit aktivieren und nutzen, bringt eine weitere Ebene der Sicherheit. Also nicht "12345" oder "QWERTZ" oder "PASSWORT" sondern eher so etwas wie "6#Sr80^0Ifq$8x&AIWZrwSN#" benutzen.
Mit einem vernünftigen Passwort-Safe, den es teilweise kostenlos oder für kleines Geld mit Luxusfunktionen gibt, ist das schonmal ein großer Schritt in der Sicherheit nach vorne. KeyPass, KeyPassX, BitWarden oder LastPass sind hier bekannte und oft auf Sicherheit kontrollierte Systeme. Und für den Passwort-Safe dann auch 2-Faktor Login und nicht den Namen Deines Haustiers als Passwort, den du 5mal wöchentlich auf Instagram unter Deine niedlichen Katzenbilder schreibst, wo jeder Social Hacker es binnen 20 Sekunden herausfinden kann. Damit ist nicht die "Passwort speichern" Funktion des Browser gemeint, die ist oft eher unsicher und leicht knackbar und im Falle eines Browser-Problems oder einer Neuinstallation sind eventuell alle Passwörter verloren. Und wer einem Passwort Safe misstraut, weil die dahinterliegende Verschlüsselung für manche(n) unklar ist, im Notfall tut es auch ein Notizbuch und ein Stift.
Etwas mehr Next-Level: Lernen, wie man im Browser und eMail-Client Links überprüft, wo sie wirklich hingehen und was HTTPS ist. Sprich über einen Link erstmal vorsichtig mit der Maus drüberfahren und unten links im Browser die tatsächliche URL anschauen, ob sie auf einen bekannten Server verlinkt oder ob es stattdessen auf ein generisches Cloud-Speicher-Postfach umleitet, dass dann mit Malware oder anderem Schad-Kram gefüllt sein wird anstelle der Webseite, die man eigentlich ansteuern wollte oder ob statt des Bildes, dann man anschauen wollte, vielleicht eine InteressanterClickbaitName.jpg.exe oder eine ScheinbarHarmloseDatei.png.dll geladen wird. Auch auf dem Handy, erstmal Links in die Zwischenablage kopieren und dort prüfen, ehe man stumpf drauftippt. Und niemals persönliche Daten, Passwörter oder so etwas eintippen, wenn man nicht kontrolliert hat, wo die Seite hingeht und wenn vorne nur http:// statt https:// steht.
Lernen, warum man Short-Links entweder gar nicht anklickt (weil sie einen leicht auf Server locken, wo man sich besser nicht aufhält), oder wenn man sie gar nicht vermeiden kann, zumindest einen ShortLinks-Checker wie z.B. http://checkshorturl.com/ benutzen, um vor dem Aufruf festzustellen, ob er wirklich dorthin führt, wo man hin will, oder ob man in Wirklichkeit auf einem Server in der Ukraine landet, der nur so tut, als wäre es Paypal.
Lernen, wie man einen eMail-Header lesen und entschlüsseln kann, um herauszufinden, ob die vermeintliche eMail von Amazon, Paypal, YouTube oder der Bank wirklich von dort stammt, oder dort deutlich steht, dass sie vielleicht doch von einem eMail-Server in Vietnam versendet wurde. Wo dann jemand nur darauf wartet, dass Du auf den Link klickst und Deine Daten eingibst, um danach Dein Konto leer zu räumen. Achja, es gibt auch genug europäische Abzocker und kostenlose Postfächer mit .de oder .eu oder .com Endungen, das ist nicht auf fremde Länder beschränkt.
Updates installieren ist auch ein wichtiger Punkt. Viele Leute werden über Software-Lücken infiltriert, die eigentlich lange bekannt und repariert sind. Aber da sie auf uralter Software rumhantieren und immer zu faul sind Updates zu installieren, sind viele oft Monate später immer noch dafür anfällig, obwohl die Sicherheitslücke eigentlich lange gestopft wurde. Vollautomatische Bots scannen rund um die Uhr Eure System auf bekannte Sicherheitslücken ab, um sie auszunutzen, und gegen die meisten davon helfen aktuelle Sicherheitspatches für Betriebssystem, Browser, eMail-Client und andere wichtige Apps, mit denen man Bankgeschäfte, Online-Shopping, etc. durchführt.
Darüber hinaus kann ich im Browser Tools wie NoScript oder Privacy Badger oder Disconnect empfehlen, kann man auch miteinander kombinieren. Aber auch hier muss man lernen, wie man damit umzugehen hat. Denn die besten Sicherheitstools nützen nichts, wenn man hinterher zu faul ist sie richtig anzuwenden und immer nur auf "okay, alles erlauben" klickt, ohne richtig hinzuschauen und nachzudenken. Generell braucht man eine gewisse Grund-Skepsis gegenüber unbekannten Diensten und auch wenn etwas bekannt aussieht, sollte man sich immer wieder versichern, dass man auch tatsächlich dort landet, wo man rein optisch gelandet zu sein scheint. Phishing Seiten werden immer besser und das Login-Portal Deiner Bank nachzubauen ist sehr leicht, wenn Du nicht weiß, wie man die URL im Browser ausliest.
Achja, auch wenn viele Influencer Dir erzählen, man bräuchte einen VPN um sicher im Internet unterwegs zu sein. Das einzige, was dabei sicherer wird, sind die Einnahmen Deines Lieblingsinfluencers. Und 99% aller Virenkiller und Sicherheits-Tools die normalerweise empfohlen werden fallen in die Kategorie "Schlangen-Öl"-Produkte, womit gemeint ist, dass sie nicht nur nicht wirklich helfen, sondern oft sogar im Gegenteil Dein System unsicherer machen, als es vorher war. Zumindest unter Win10 ist der Windows Defender für 95%+ der User völlig ausreichend, umsonst und sicherer als wenn man Fremdprodukte installiert, die eventuell mehr Tore aufreissen und im Falle eines Windows Updates tagelang hinterher hinken oder nicht mehr richtig funktionieren.
Und nur weil jemand Apple Produkte nutzt oder Linux bist Du zwar nicht anfällig gegen Windows-Viren, aber es gibt auch genug Sicherheitsprobleme in der Welt von IOS, MacOS und Ubuntu und Co. Nur wird darüber weniger berichtet, weniger dazu getestet und Viren bleiben dort öfter und länger unerkannt.
Ansonsten könnte ich, als ehemaliger Hauptberuflicher System- und Netzwerkadministrator hier noch stundenlang weiter schreiben, aber ich vermute, das oben wird schon ca. 80-90% der Leser überfordern.
