Aktuelle Seite: Home Sicherheitskonzept Computersicherheit und Datenschutz - eine Einführung

Zitat des Augenblicks  

Fehlerfreie Software ist veraltet.
[Jens Hektor in dcsm]
   

Umfragen  

Hohe Rechnung erhalten?

Ja, als gefährlicher Spam behandelt. - 24.3%
Ja, Anhang geöffnet. Viruswarnung. - 8.1%
Ja, Anhang geöffnet, meine Dateien sind futsch. - 8.1%
Nein, bisher nicht, aber schon davon gehört. - 43.2%
Nein, bisher nicht. - 16.2%

Abgegebene Stimmen: 37
Die Abstimmung ist beendet. on: 17 Mai 2012 - 00:00
   

Neue Beiträge  

   

Meistgelesen  

   

Besucher  

Deine IP: 38.107.179.241
Angemeldet 0
Gäste 2
Jetzt Online
-
   

Autoren-Login  

   

Computersicherheit und Datenschutz - eine Einführung

  • Drucken
Details
Details
Geschrieben von IRON
Zugriffe: 1238

Die Geschichte der Computersicherheit ist eine Geschichte voller Missverständnisse...

Die Kenner alter TV-Werbespots werden wissen, auf welche Werbung ich hier anspiele. Alle anderen können diesen Satz ruhig wörtlich nehmen.
In der Tat gibt es bei kaum einem Thema soviel Unklarheit, Nicht-Wissen, Ahnungslosigkeit und Missverständnisse, wie bei der Sicherheit privater Rechner.
In meiner ersten, sehr aktiven Internetphase zwischen 1999 und 2004 erlebte ich diverse mehr oder minder katastrophale Wurmschwemmen, wöchentliche Sicherheitslücken in Browsern und Betriebssystem und allgemeine Ratlosigkeit mit. Seither hat sich hard- u. softwareseitig - oberflächlich betrachtet - viel getan und man sollte glauben, dass die massenhaft infizierten Rechner der Vergangenheit angehören. Schließlich predigen die von Herstellern entsprechender "Schutzprogramme" gesponserte "Fachpresse" sowie andere Medien seit Jahr und Tag den zwingend nötigen Einsatz von Virenscannern und Desktop-Firewalls nebst diversen anderen Progrämmchen und Tools, um die "bösen Hacker" draußen zu halten.
Otto Normal-User hält es daher für eine unanzweifelbare Wahrheit, dass er sich nur so wirklich schützen kann. Wie aber sieht die Realität aus? Nach wie vor überschwemmen schädliche Programme (Malware) das Internet und die heimischen Datenträger. Wären die "Schutzprogramme" wirklich so wirksam, müsste es doch mal ruhiger werden, oder?
Stattdessen werden täglich - täglich! - tausende neue Schädlingsvarianten kreiert und verbreitet. Das liegt keineswegs nur daran, dass "die anderen" unvorsichtig oder ganz ohne Schutz surfen oder die falschen "Schutzprogramme" kaufen. Die Ursachen und Gegenmaßnahmen sind auch 10 Jahre später genau solche unbequemen Wahrheiten, wegen denen ich seinerzeit hitzige Diskussionen in vielen Hilfeforen ausfechten musste.

Und weil niemand gerne solche Ratschläge hören oder gar befolgen will (sie führen ja zu Unbequemlichkeiten), strotzt das Internet nur so von kompromittierten, ferngesteuerten und verseuchten Rechnern.
Bevor ich im Detail bzw. beispielhaft auf einzelne Probleme eingehe, will ich ganz allgemein die (nicht nur)meiner Erfahrung nach wichtigsten Sicherheitslektionen und Ratschläge formulieren.


Lektion 1: Absolute Sicherheit ist eine Illusion

Im PC-Bereich gibt es keine 100%ige Sicherheit - nie. Dafür gibt es einen triftigen Grund:
JEDE SOFTWARE HAT (vorläufig unentdeckte) FEHLER.
Beim Umfang des Programmcodes heutiger Anwendungen sind Bugs praktisch unvermeidbar. Und je mehr Entwickler beteiligt sind und je mehr Features die Anwendung haben soll, desto wahrscheinlicher sind solche Fehler.
Daraus folgt aber leider:
JEDE SICHERHEITSSOFTWARE HAT (vorläufig unentdeckte) SICHERHEITSRELEVANTE FEHLER.
Anfänger mögen sich diese beiden Aussagen als Banner ausdrucken und an die Wand pinnen - zur steten Erinnerung.
Aus den o.g. Mängeln der Software folgt zwingend, dass man als Anwender seine Programme oft und regelmäßig updaten muss. Außerdem ist es nicht zuviel verlangt, sich ebenso häufig z.B. auf www.heise.de/security über neue Sicherheitslücken zu informieren.
Es ist im Ernstfall stets besser, schon zu wissen, was einen eventuell an Problemen erwartet, wenn man das nächste Mal online geht. Eine weitere logische Schlussfolgerung ist, dass man sich entgegen aller anders lautenden Behauptungen von Herstellern und Medien eben nicht auf die Wirksamkeit der "Schutzprogramme" verlassen darf. Auf die Schwachstellen von Virenscannern und Desktop-Firewalls gehe ich an anderer Stelle noch genauer ein.

Lektion 2: Traue niemandem

Angesichts ordentlich formatierter Texte "schwarz auf weiß" vertrauen zu viele Anwender allzu gern verkappter Werbung und direkten Lügen, die nur zwei Zwecken in dieser unserer kapitalistischen Marktwirtschaft dienen: Profit/Umsatz und Betrug - was letztlich aufs Gleiche hinausläuft.
Hersteller bzw. Verkäufer von Software und Internetdienstleistungen und somit auch Hersteller von "Schutzprogrammen" sind keine altruistisch veranlagten Wohltäter der Menschheit. Sie wollen in erster Linie Geld verdienen, also werden sie sich bemühen, dem Kunden das zu erzählen, was der hören will.
Die Redewendung "zu schön, um wahr zu sein" ist scheinbar bei 90% der Internetnutzer in Vergessenheit geraten. Lieber überfrachten sie ihr System in wahren Installationsorgien mit nutzlosen Programmen, um am Ende mit ihren verzweifelten Hilfegesuchen wegen Vireninfektionen in Hilfeforen wieder aufzutauchen.
Nicht weniger naiv sind diejenigen, die immer noch an mehr oder minder illegale "Schnäppchen" in den Grauzonen des Internets und dem "Hacker-Underground" glauben. Statt Schnäppchen zu finden, werden sie abgezockt, mit Trojanischen Pferden und gephishten Kredikarten-Daten um ihr Geld gebracht oder einfach nur durch Spam-Bots entmündigt.
Wer dem entgehen will, muss sich auf seriösen Seiten und durch gute Literatur gründlich informieren und zumindest einige der technischen Zusammenhänge begreifen, um den Argumenten folgen zu können und wenigstens ansatzweise begreifen, was auf seinem Rechner "abgeht".

Lektion 3: Sicherheit braucht ein Konzept

Es ist blinder Aktionismus, dieses oder jenes "Schutzprogramm" zu installieren, weil es gerade in einer Zeitschrift oder auf einer Webseite empfohlen wird (gerne auch jahrelang derselbe "Testsieger") oder weil ComputerB**d in Großbuchstaben vor neuen Monster-Viren warnt.
In der Tat, ein Internetrechner braucht eine Firewall, aber nicht eine gleichnamige Software. Eine Firewall ist kein Stück Hard- oder Software, sondern ein Konzept - ein Maßnahmen-Paket.
Man muss feststellen, welche Internet-Programme exakt benötigt werden. Als nächstes ist sicherzustellen, dass sie soweit möglich und bekannt, keine aktuellen akuten Sicherheitslücken aufweisen bzw. diese zeitnah behoben werden, ob nun durch Patches/Bugfixes oder Updates oder den Wechsel des Programms, wenn es immer wieder negativ auffällt. Je weniger der weit verbreiteten Standardprogramme man nutzt, desto weniger wahrscheinlich ist ein von Schadprogrammen ausnutzbarer Fehler.
Ein weiteres beliebtes Einfallstor sind angreifbare laufende Systemdienste, die bei Windows zu Dutzenden oft unnötigerweise der Bequemlichkeit wegen laufen und dadurch Schnittstellen zum Internet bereitstellen, die missbraucht werden können. Hier gilt es, alles nicht zwingend Nötige zu deaktivieren, dann sind die berüchtigten offenen Ports zu bzw. existieren einfach nicht.
Tipps zu diversen System- und Programm-Optionen gibts hier.
Des Weiteren gilt es, vertrauliche Daten zu verschlüsseln (z.B. mit GnuPG bzw. GPG4Win) oder durch Passwörter zu schützen, die nicht erraten werden können.
Folgende Arten von Passwörtern verbieten sich daher:
Geburtstage
KFZ-Kennzeichen
Ehejubiläen
Namen von Verwandten, Bekannten, Haustieren
Namen von Film- oder Musik-Stars
Namen von Filmen, Serien usw.
"idiotensichere" Tastenfolgen wie qwertz, asdfgh oder 123456 usw. sowie grundsätzlich alles, was man in einem Wörterbuch finden kann.

Sichere und dennoch gut zu merkende Passwörter kann man z.B. erstellen, indem man sich einen kurzen, durchaus sinnfreien Satz wählt, daraus die Anfangs- oder Endbuchstaben in abwechselnder Groß- und Kleinschreibung nutzt und noch um ein oder mehrere Sonderzeichen ergänzt oder einzelne Buchstaben durch ähnliche Ziffern ersetzt.
Beispiel:
Ohne        blauen    Himmel    geht    es    mir    nicht        gut.
{o        B        h        G    e    M    n        G#    oder
0        8        H        9    e    3    n        9
Grundsätzlich gilt, dass Passwörter niemals im Klartext bzw. idealerweise überhaupt nicht (Bequemlichkeit, Alzheimer) gespeichert werden sollten. Sind sie einmal ausspioniert, ist der Schaden immens. Der Umgang mit privaten und vertraulichen Daten insgesamt wird leider meist sträflich leichtsinnig gehandhabt. Viel zu viele private Informationen werden in Online-Foren, Chats, in sozialen Netzwerken und bei der Freigabe von Ordnern und Laufwerken im lokalen Heimnetzwerk und Internet öffentlich zugänglich gemacht. Es gehört nur wenig Mühe dazu, auf dieser Grundlage Menschen auszuspionieren, sie zu belästigen und ihnen zu schaden.
Je vertraulicher die Daten, desto weniger haben sie auf lokalen, unverschlüsselten Datenträgern oder im Internet zu suchen. Auch die Mitteilsamkeit gegenüber Freunden, Bekannten und Kollegen ist gefährlich, selbst wenn diese absolut vertrauenswürdig und moralisch integer sind. Schließlich können auch deren Rechner ohne ihr Wissen ausspioniert werden. Auch in umgekehrter Richtung ist Misstrauen oberste Pflicht. Ein bekannter Name eines Freundes oder einer Behörde im Absender oder Betreff einer Mail ist kein Garant für harmlose Inhalte. Adressfälschung ist trivial und heute Standardverhalten bei der Verbreitung von Malware.


Das Betrachten von HTML-Mails mag zwar optisch ansprechend sein, ist aber wegen der eventuell eingebetteten schädlichen Skripte und aktiven Inhalte hochgefährlich, von Anhängen ganz zu schweigen.
Darum gilt:    Mails grundsätzlich als reinen Text (plain Text bzw. text/plain) ohne Formatierungen jeglicher Art anzeigen lassen
Anhänge NUR DANN akzeptieren, wenn man sie SELBST vorher anforderte oder VORINFORMIERT wurde, was da gleich kommt und warum.
Wie bereits in Lektion 2 angerissen, verbietet es sich vernünftigerweise von selbst, Dateien aus offensichtlich illegalen oder sonstwie nicht vertrauenswürdigen Quellen zu beziehen, denn die Wahrscheinlichkeit, den Rechner zu verseuchen, liegt bei ersteren zwischen 90 und 100 Prozent, bei letzteren mindestens bei 50 Prozent.
Was aber sind NICHT vertrauenswürdige Quellen? Was die Sicherheit meines Rechners betrifft, sind das ca. 90% aller Quellen im Netz. Damit will ich nicht sagen, dass 90% der INHALTE unbrauchbar sind, sondern lediglich die Download-Quellen.
Einfacher ist die Definition vertrauenswürdiger Quellen. Hierzu zählen die originalen Seiten von Soft- u. Hardware-Herstellern sowie einige wenige namhafte Großkonzerne, die sich peinliche Datenskandale nicht leisten können und überhaupt finanziell und technisch in der Lage sind, ihren öffentlich erreichbaren Datenbestand oder Auftritt sauber zu halten. Die so beliebten Internet-Portale kleiner Anbieter, Dienstleister und Online-Zeitschriften bzw. Verlage gehören NICHT dazu. Und am allerwenigsten vertrauenswürdig (auch ohne bösen Vorsatz) sind Webseiten von Privatleuten oder Tauschbörsen, denn bei ersteren handelt es sich meist (im sicherheitstechnischen Sinn) um blutige Amateure oder Kriminelle und bei letzteren um ein Netzwerk rein privater, völlig unbekannter und damit garantiert zum Teil infizierter Rechner blutiger Amateure oder Krimineller. Ich weiß, wovon ich schreibe. Ich habe nur so zum Spaß zwei Jahre lang in solchen Tauschbörsen infizierte Rechner identifiziert und deren Besitzer informiert. Die waren nicht sehr erfreut. Ich übrigens auch nicht.

Gerne unterscheiden diverse Medien auch sichere und unsichere Webseiten. Das ist nicht mit seriös/unseriös zu verwechseln oder gleichzusetzen. Eine vertrauenswürdige/seriöse Seite verdient zwar aufgrund des Leumunds ihres Betreibers unser aller Vertrauen, aber dennoch kann sie mittlerweile ohne Kenntnis des Betreibers gehackt und manipuliert sein, so dass sie nicht mehr sicher ist und nun Malware verteilt.
Es ist unmöglich, im Vorfeld, d.h. vor Besuch der Seite zu bestimmen, ob sie sicher oder unsicher ist.

Auch Initiativen wie WOT ändern nichts daran, denn die Bewertungen durch private Nutzer sind weder zuverlässig noch repräsentativ. Versuche durch Virenscanner - ob sie sich nun "SiteAdvisor", "Webschutz" oder "Link-Checker" nennen, greifen ebenso wenig.
Daher gibt es keine sicheren Webseiten, die man bedenkenlos ansurfen kann. Es ist ja gerade das Merkmal einer Drive-by-Infektion, ohne Interaktion mit dem Besucher auf dessen Rechner Malware zu installieren, wenn dieser die Seite lediglich aufruft/besucht.
Drive-by-Infektionen gelingen, wenn der beim Seitenbesuch verwendete Browser bekannte und daher nutzbare Sicherheitslücken aufweist bzw. Plugins wie Flash, Java, Adobe Reader, QuickTime und Realplayer nutzt, die ihrerseits angreifbar sind. Insbesondere Java, Adobe Reader und Flash liegen bei typischen Opfern solcher Infektionen in veralteten Versionen vor. Häufig ist sich das Opfer auch nicht bewusst, dass der Internet Explorer aktuell gehalten werden muss, da er von Windows für diverse Aufgaben herangezogen wird, auch wenn ein anderer Browser zum Surfen verwendet wird. Besonders ICQ und Skype nutzen Komponenten des IE. Liegt dieser in einer veralteten Version vor, sind auch diese Chat-Dienste angreifbar - unabhängig vom tatsächlichen Chatprogramm, das diese Protokolle nutzt.

 

   
© Ullrich Eisenheim