Wiki/Sicherheit im Internet

Werkzeuge

LANGUAGES

Sicherheit im Internet

Hier finden Sie einen Leitfaden zur Sicherheitsoptimierung von Computern, die mit dem Internet verbunden sind.

Gleich zu Anfang einige Grundbemerkungen: den absolut 100-%-ig sicheren Internet-PC kann und wird es nicht geben.

Es verhält sich so wie beim Autofahren; ein gewisses Restrisiko ist immer präsent. Es geht jedoch darum, dieses Restrisiko zu minimieren. Dazu bedarf es zum einen der technischen Seite; das Auto sollte in einem sicheren Wartungszustand sein, Reifen mit gutem Profil haben, möglichst einen Airbag, gute Crash-Test-Ergebnisse etc. Zum anderen kann ich durch mein persönliches Verhalten die Sicherheit maßgeblich beeinflussen bzw. gefährden. Kein ABS, ESP, Servo, Breitreifen und innenbelüftete Scheibenbremsen helfen mir im Ernstfall etwas, wenn ich mit 2 Promille Blutalkohol mit 140 km/h bei Nebel und Glatteis in eine Kurve gehe, die auch bei trockener Fahrbahn und Sportfahrwerk höchstens 80 km/h vertragen hätte.

Übertragen auf den PC gilt:

Viel wichtiger für die Sicherheit als die gesamte technische Seite (Virenschutz, Firewall etc.) ist das Verhalten des Anwenders.

Ein unbedarfter, naiver Anwender (etwas boshaft als "Super-DAU" bezeichnet) kann es schaffen, bei einem einzigen Besuch einer bösartigen Webseite bzw. beim Öffnen eines e-Mail-Anhangs binnen Minuten auch ein gut konfiguriertes und und vorher sicheres System zu kompromittieren. Auch in einem gut gesicherten Netzwerk kann u.U. das Anschließen eines virenbeladenen USB-Memory-Sticks ausreichen, um das gesamte Netzwerk zu gefährden.

Daher befassen wir uns zuerst mit wenigen, aber wichtigen Verhaltensregeln und gehen dann auf die empfohlene Ausstattung bzw. Konfiguration über.

Inhaltsverzeichnis

Verhaltensregeln

  • Nicht im Web "blind drauflosklicken"
  • Nicht mit Administratorrechten surfen
  • Von unbekannten, nicht vertrauenswürdigen Webseiten keine Programme herunterladen
  • E-Mailanhänge, die unverlangt zugesendet wurden, nicht ausführen
  • Sich über neue Bedrohungen informieren
  • Nicht bei Anbietern kaufen, die unverlangte Werbemails ("Spam") versenden
  • Sich ständig vor Augen halten, dass man als Mensch manipulierbar ist
  • Kinder und unerfahrene Anwender beim Surfen im Auge behalten
  • Fremde Datenträger mit besonderer Vorsicht behandeln
  • Beim Eingeben persönlicher Daten auf Webseiten alles gründlich lesen, auch das "Kleingedruckte" und die AGB

Ein Virenschutzprogramm führen

Ein Virenschutzprogramm sollte zur Grundausstattung eines jeden PCs gehören, der mit dem Internet verbunden ist. Näheres dazu lesen Sie hier.

Nicht unter Administratorrechten im Internet surfen

Sondern lieber ein eigenes Benutzerkonto mit eingeschränktem Zugriff definieren, unter dem man dann im Web surft.

Hier wird beschrieben, wie man solche Konten einrichtet:

https://www.sicher-im-netz.de/verbraucher/194_572.aspx

Damit hält man viele (wenn auch nicht alle) Malware davon ab, sich über das Internet selbsttätig zu installieren.

Auf den Internet-Explorer zugunsten anderer Browser verzichten

Diese Empfehlung hat ihren guten Grund. Viele Sicherheitsexperten, u.a. nicht zuletzt das US-CERT, eine US-Regierungseinrichtung zum Schutz von IT-Strukturen, haben dies bereits offiziell empfohlen.

Der Internet-Explorer ist tief ins Windows-Betriebssystem hinein verstrickt, jedoch mit etlichen Sicherheitslücken und Problemen behaftet, die stetig mit neuen Updates geflickt werden, von denen jedoch in schöner Regelmäßigkeit neue entdeckt werden. Durch die enge Systemintegration des Browsers kann jede kleinste Sicherheitslücke das gesamte Betriebssystem kompromittieren. Auch, wenn das System ständig mit den neuesten Updates gepatcht wird, bleibt immer eine erhebliche Restunsicherheit bestehen. Und zwar ohne dass irgendein Vorteil ersichtlich wäre, der sich etwa aus dieser tiefen Systemintegration des Browsers ergeben sollte: alternative Browser gelten als mindestens ebenso komfortabel und haben dabei fast eine bessere Performance bei geringerem Speicherverbrauch als der IE, bei ebenfalls besserer Sicherheit.

Eine Übersicht über aktuelle Sicherheitslücken des IE z.B. hier:

http://secunia.com/advisories/product/12366/

Ein grundlegendes Problem des Internet Explorers ist nicht zuletzt die Integration unsicherer Skripte wie Active-X, VB-Scripting, sowie J-Script, das ein vom ECMA-Standard abweichendes Javascript mit z.B. erheblich erweiterten Zugriffsrechten darstellt. Die Verwaltung des "Zonenmodells" überfordert dabei als Sicherheitskonzept den Normalanwender, aus Bequemlichkeit unterbleibt i.d.R. eine Zuweisung von Domains in die "vertrauenswürdige" bzw. "eingeschränkte" Zone. Vielmehr werden "der Einfachheit halber" von vielen Anwendern global alle Skripting-Optionen freigeschaltet. Höchst merkwürdig ist dabei z.B., dass J-Script sich nicht getrennt vom viel gefährlicheren "Active-Scripting" (VB-Scripte!) aktivieren lässt. Der Normalanwender durchschaut nicht die erheblichen Sicherheitsrisiken, denen er durch VB-Scripte, erst recht durch die höchst problematische Unterstützung des Active-X tagtäglich ausgesetzt wird. Desgleichen ist die Verwaltung der "Sicherheitszertifikate" für diese Skripte undurchschaubar und leicht zu missbrauchen. Beispielsweise hat es einmal ein Active-X-Script gegeben, welches einfach das Zertifikat eines Antivirenherstellers(!) dazu missbraucht hat, um sich als "vertrauenswürdiges" Skript zu tarnen und sich an allen Sicherheitskontrollen vorbeizumogeln. Das Sicherheitskonzept zu den aktiven Skripten des IE ist als höchst löchrig und intransparent anzusehen.

Die intransparente, den Normalanwender überfordernde Handhabung aktiver Skripte ist es auch, die immer schon die unbemerkte Installation von Dialern, Spy- und Adware etc. ermöglicht hat. Sogar der Microsoft-Gründer Bill Gates selbst, dem man doch eine gewisse Erfahrung in der Handhabung von Browsern zutraut, hat selbst zugegeben, dass sein eigener, privat genutzter Rechner mit Spy- und Adware verseucht war.

Eine Zusammenfassung oft geäußerter Kritikpunkte über den Internet Explorer finden Sie u.a. hier:

http://de.wikipedia.org/wiki/Internet_Explorer#Kritikpunkte

Zugegebenermaßen ist der Internet-Explorer immer noch Marktführer unter den Browsern, Sicherheitslücken werden daher hier vermehrt gesucht und auch gefunden. Und zugegebenermaßen haben auch andere Browser Sicherheitslücken. Jedoch sind dabei i.d.R. die Probleme nicht derart gravierend und folgenreich wie beim IE, außerdem werden bestehende Probleme offen diskutiert sowie schnell und zuverlässig mit Updates behandelt.

Wenn jedoch im Forum bei Antispam und anderswo von der unbemerkten Installation von Spyware, Browser-Hijackern wie "CoolWebSearch" und anderen "Haustierchen" bis hin zum handfesten Trojaner berichtet wird, ist auffälligerweise fast immer der Internet Explorer als Browser im Spiel. Viele User bei Antispam und auch anderswo sind daher auf die alternativen Browser Firefox bzw. Opera umgestiegen und fahren mit Sicherheit gut damit.

Allein schon durch den Verzicht auf Active-X und Active-Scripting bieten die beiden alternativen Browser bereits einen erheblichen Sicherheitsvorteil gegenüber dem IE, der sich jedoch beim tagtäglichen Websurfen nicht in einer schlechteren Darstellung der Webseiten bemerkbar macht. Beide Browser importieren ein bereits vorhandenes Nutzerprofil (Favoriten etc.) aus dem Internet Explorer und gelten als sehr komfortabel in der Handhabung. Keinesfalls ergibt sich bei der Benutzung dieser alternativen Browser irgendein Nachteil in der Performance der Webseitendarstellung. Es gibt lediglich einige wenige Webseiten, die leider nur mit dem Internet Explorer richtig dargestellt werden können. Wenn Sie eine solche Webseite als vertrauenswürdig einstufen, steht Ihnen jedoch auch nach der Installation eines alternativen Browsers immer noch der Internet Explorer für solche Ausnahmefälle zur Verfügung.

Auch die Bedienbarkeit der beiden Browser ist dem IE mindestens gleichwertig. Im Gegenteil war z.B. das Firefox-eigene Feature des "tabbed-browsing" ein Vorreiter, dem die Entwickler der aktuellen IE-Version erst hinterherprogrammieren mussten.

Offizielle Firefox-Webseite:

http://www.firefox-browser.de/

Firefox ist frei erhältlich.

Lesen Sie auch den Artikel über die erweiterte Absicherung von Firefox.

Offizielle Opera-Webseite:

http://www.opera.com/browser/?htlanguage=de/

Opera gibt es in einer Kauf- und in einer kostenlosen Version (dann allerdings mit eingeblendeter Werbung).

Eine Übersicht über weitere alternative Browser:

http://de.wikipedia.org/wiki/Liste_von_Webbrowsern

Doppelte Dateiendungen durch Windows anzeigen lassen

Treiben Sie Ihrem Windows-System die Marotte aus, unsichere doppelte Dateiendungen wie "Britney_naked.jpg.exe" nicht als ausführbare Datei anzuzeigen. Lesen Sie hier, wie es geht.

Unsichere, überflüssige Windows-Dienste abschalten

Leider starten die neueren Windows-Betriebssysteme eine Menge von primär nicht benötigten Diensten, die über Ports Verbindung mit dem Internet aufnehmen können. Unter der Maßgabe, damit denjenigen 0,1% der Anwender, die vielleicht einmal einen solchen Dienst brauchen könnten, die Konfiguration zu erleichtern, setzt man alle Anwender völlig unnötigen Risiken aus. Das geht solange gut, wie die Dienste, die an den betreffenden Ports lauschen, unangreifbar sind und keine Sicherheitslücken aufweisen. Dem ist aber beileibe nicht immer so.

Wenn Sie über einen Router (z.B. NAT-fähiger LAN-Router wie Fritz!Box etc.) mit dem Internet verbunden sind, brauchen Sie jetzt nicht weiterzulesen, weil dieser Router von vornherein ein direktes Ansprechen gefährdeter Windows-Ports i.d.R. unmöglich macht.

Ist Ihr PC jedoch über ein analoges oder DSL-Modem mit dem Internet verbunden, sollten Sie sich Gedanken über die vielen Windows-Dienste machen, die über entsprechende Ports mit dem Internet verbunden sind und nicht selten Opfer von Angreifern sind.

Wozu brauche ich eine "RPC/DCOM"-Schnittstelle mit Port zum Internet?

Antwort: Gar nicht. Eine Sicherheitslücke in dieser Schnittstelle wurde jedoch vom Blaster-Wurm ausgenutzt.

Wozu brauche ich eine LSASS-Schnittstelle mit Port im Internet? "Zur Sicherheitsauthentifizierung in Netzwerken"?

Ich will da aber niemandem aus dem Internet heraus den Zugriff auf meinen PC "authentifizieren". Also brauche ich auch keine Schnittstelle an einem nach außen offenen Netzwerkport, die da irgendjemanden "autorisieren" könnte.

Eine Sicherheitslücke in dieser eng ins System integrierten Schnittstelle wurde aber durch den Sasser-Wurm ausgenutzt.

Wozu brauche ich eine "Remote Assistance"?

Das ist vielleicht etwas für Anfänger, die sich mit dieser Option ferngesteuert Hilfe auf ihren PC holen können. Es gibt aber keinen Grund, diesen Dienst im Autostart mit hochzufahren. So etwas sollte nur auf Anforderung gestartet werden, auch wenn ein noch so ausgeklügeltes und kompliziertes Sicherheitssystem dahintersteht. Was solange gutgeht, bis nicht auch hier wieder irgendeine von der Russen-Mafia mit genug Geld und Ressourcen ausgestattete Hackerbande eine Lücke findet, um durch diesen Port Zugriff auf das System zu erlangen.

Wozu brauche ich "Telnet"?

Das ist ein Netzwerkprotokoll aus Unix-Zeiten und zählt nicht nur unter Windows-Systemen zu den gefährlichen, gern von Hackern genutzten Protokollen. Zum Internetalltag braucht der Normalanwender es nie. Dem versierten Telnet-Spezialisten dürfte jedoch das Wissen, wie dieser Dienst zu starten ist, eigentlich zuzutrauen sein. Völlig unnötig ist es, diesen Dienst in der Normalkonfiguration ständig mit hochfahren zu lassen.

Gerade die unscharfe, verwässerte technische Trennung zwischen internem Netzwerk und Internet ist eine spezifische Eigenheit, die sich durch die Entwicklung aller Windows-Systeme hindurchzieht. Daher sollte mit bestimmten Konfigurationsmassnahmen nachgebessert werden.

Die Konfiguration der "Dienste" ist jedoch von Hand nicht ganz einfach. Ein unsachgemäßes Hantieren mit dem Taskmanager bzw. mit der Registrierdatenbank kann zu erheblichen Instabilitäten und Ausfall wichtiger Funktionen führen. Man kann damit leicht sein Betriebssystem unbrauchbar machen.

In aller Regel sollten Sie daher lieber diesen Vorgang durch ein Hilfsprogramm automatisieren.
Für Windows 2000/XP gibt es dazu ein frei erhältliches Programm auf

http://www.dingens.org/ ("Windows-Dienste beenden")

Dieses Programm übernimmt selbsttätig die optimale Konfiguration der Windows-Netzwerkdienste; nicht benötigte Dienste werden deaktiviert, benötigte kritische Dienste werden so konfiguriert, dass das Risiko von externen Hackerangriffen minimiert wird.

Alle von diesem Programm vorgenommenen Einstellungen sind reversibel, es kann mit einem Mausklick die vorherige Grundkonfiguration wiederhergestellt werden.

Weitere Informationen zu Windows-XP/2000-Netzwerkdiensten auf:

http://www.ntsvcfg.de/

Alternative Mailprogramme verwenden

Zumindest, wenn Sie mit älteren Betriebssystemen als Windows XP mit Service-Pack 2 arbeiten, empfiehlt sich die Nutzung alternativer Mailprogramme. Die Microsoft-eigenen Mailprogramme Outlook und Outlook-Express haben das Problem, dass sie zur Darstellung von Bildern und html-Mails die Render-Maschine des Internet-Explorers benutzen. Damit werden viele der Verwundbarkeiten des Internet-Explorers gleich in die Mailprogramme mitübernommen. Das gilt besonders für ältere Systeme (WIN 2000), aber selbst bei aktuellen, gepatchten Systemen werden immer wieder Sicherheitslücken entdeckt, die das eng miteinander verstrickte Konglomerat aus Internet Explorer und Outlook betreffen.

Dabei gibt es hervorragende, taugliche Alternativen.

Thunderbird

Thunderbird ist das frei erhältliche Mailprogramm als Pendant zum Mozilla-Browser. Es wird von der Mozilla-Foundation als Open-Source-Projekt entwickelt.
Es ist in den neuen Versionen ebenfalls solide und leistet sich keine größeren Schwachstellen. Hier finden wir einen lernfähigen Spamfilter, Newsgroup-Reader und die Möglichkeit, diesen Mail-Client mit "Extensions" zu erweitern, sowie mit verschiedenen Sicherheits- und Verschlüsselungstechniken.

Thunderbird importiert bei der Installation ein bereits aus MS-Outlook/-Express vorhandenes Address- und Mailverzeichnis.

http://www.mozilla-europe.org/de/products/thunderbird/


Pegasus-Mail

Pegasus ist ein grundsolides, bekanntes und beliebtes Mailprogramm ohne wesentliche Schwachstellen, aber mit vielen wertvollen Optionen.

Hervorzuheben ist die integrierte Funktion zur pgp-Verschlüsselung, Spamfilter, Bildverwaltung und vieles mehr. Weitere Informationen hier:

http://www.pmail.com/

Pegasus ist ein Open-Source-Projekt und folglich kostenlos erhältlich.

Downloads zu Pegasus gibt es an vielfältiger Stelle, etwa bei:

http://www.chip.de
http://www.winsoftware.de
http://www.wintotal.de


Eudora

Eudora ist ebenfalls eine grundsolide Alternative zu den Microsoft-Mailprogrammen.

In der Bezahlversion ( ca. 49 US-$ ) kommt Eudora mit sehr umfangreichen Funktionen daher.
Es ist sicher eins der komfortabelsten Mailprogramme überhaupt und bietet Spamfilter, Suchfunktionen, umfangreiche Möglichkeiten der Formatierung, Multi-User-Funktionen und vieles mehr. Die werbefinanzierte Version enthält alle Optionen der Bezahl-Version ohne den Spamfilter. Dafür werden Werbebanner eingeblendet. Außerdem wird auch eine komplett kostenlose Light-Variante von Eudora angeboten, die noch mehr abgespeckt ist.

http://www.eudora.com

Internetverbindung über einen Router herstellen

Besonders die neueren DSL-Router verbessern das allgemeine technische Sicherheitskonzept eines Internet-PCs ganz erheblich. Im W-LAN jedoch nur, wenn sie gut konfiguriert mit WPA2-Verschlüsselung und sicherem LAN-Passwort eingesetzt werden.

Lesen Sie dazu auch:

http://www.antispam-ev.de/wiki/Firewall#Router_mit_Firewall

Infos zum Thema W-LAN-Verschlüsselung bei Wikipedia:

http://de.wikipedia.org/wiki/Wlan#Verschl.C3.BCsselung

Die Konfiguration von DSL-Routern geschieht meist über einen Webseiten-Dialog, z.B. bei Fritz!Box im Browser unter "http://fritz.box" aufzurufen.

Eine speziell präparierte Webseite kann u.U. unbemerkt diesen Dialog aufrufen und Änderungen an den Einstellungen vornehmen. Z.B. können die DNS-Einstellungen für das Online-Banking auf einen Phisher-Server umgelenkt werden. Zur Abwehr solcher Angriffe auf den Router ist es empfehlenswert, ein Kennwort für die Routerkonfiguration einzurichten. Die Fritz!Box hat z.B. standardmässig überhaupt kein Kennwort dafür eingerichtet! Dies muss erst im Konfig-Menü vorgenommen werden. Andere Router haben ein voreingestelltes Standard-Passwort, das jedoch aus naheliegenden Gründen geändert werden sollte. Ebenfalls sollte man aus Sicherheitsgründen während Konfigurationsarbeiten am Router keine weitere Webseiten im Internet ansurfen, etwa über weitere offene Fenster/Tabs.

Beachten Sie die Sicherheitshinweise in der Bedienungsanleitung Ihres Routers.

Sichere Passwörter verwenden

Oft wird viel zu wenig Aufmerksamkeit auf die Verwendung guter Passwörter gelegt.

Dabei ist in vielen Dingen dieses Passwort letztlich das einzige Gitter, was einen Angreifer vom Mißbrauch eines der von Ihnen benutzten Dienste trennt. Bedenken Sie, was ein Hacker u.U. anstellen könnte, wenn er eines Ihrer Passwörter gehackt hat:

  • Auf Ihre Kosten im Internet surfen (besonders über das WLAN!!!)
  • Über Ihren Internetzugang illegale Dateien herunterladen
  • Ihre persönlichen e-Mails lesen
  • In Ihrem Namen Waren/Dienstleistungen bestellen
  • Falls Sie eine Webseite betreiben: dort auf dem Server illegale Dateien einstellen
  • u.v.m.

Zum Hacken von Passwörtern werden oft einfachste Techniken wie z.B. simples Raten verwendet. Jemand, der Sie gut kennt, könnte auf die Idee kommen, auszuprobieren, ob Sie für bestimmte Dinge Passwörter aus Ihrem Lebensbereich verwenden. Besonders gern wird man dabei mit folgendem leider oft fündig:

  • Name der Ehefrau/des Ehemanns
  • Name der Katze/des Hundes/Hamsters
  • Autokennzeichen, Automarke
  • Wohnort
  • Straße, Hausnummer
  • etc.

Oft versuchen Hacker, in sogenannter "Brute_Force-Technik durch Ausprobieren etlicher Kombinationen beliebter Passwörter einen Zugang zu knacken. Oftmals ist dabei eins der speziellen, in Kreisen der Hacker kursierenden "Cracker"-Programme im Spiel. Mit Hilfe eines solchen "Crackers" können mittels Brute-Force-Technik unsichere Passwörter teilweise in Sekunden geknackt werden, insbesondere wenn es sich um ein einfaches wie "Mausi", "Baum", "Opel", "1234" etc. handelt. Um das Knacken eines Passworts so gut wie unmöglich zu machen, sollte man daher ein Passwort verwenden, das:

  • mindestens 8 Stellen hat,
  • eine Kombination aus Zahlen, Sonderzeichen und Buchstaben in Groß- u. Kleinschrift verwendet und daher nicht im Duden / in Wörterbüchern zu finden ist,
  • von Zeit zu Zeit gewechselt wird.

Schlecht ist z.B.: "Mausi123".

Gut ist z.B.: "%i23#U8b".

Um sich ein Passwort besser merken zu können, empfiehlt sich die Verwendung von Merksätzen, etwa: "Meine Oma ist 82 und fährt im Hühnerstall Motorrad". Wenn man jetzt die Anfangsbuchstaben bzw. Zahlen verwendet, ergibt das: MOi82&fiHM wobei das Wort "und" durch das Sonderzeichen "&" ersetzt wurde.

Ebenfalls kann man in Passwörtern den Buchstaben "e" durch "3", "a" durch @", "i" durch "1" ersetzen, wodurch sich leicht merkbare, aber sichere Kombinationen ergeben, wenn man sich Eselsbrücken z.B. aus Sätzen oder Sprichwörtern bildet.

Z.B.:

W@l1@ysm = We all live in a yellow submarine
oder
W@3Ggfsh= Wer andern eine Grube gräbt, fällt selbst hinein
oder
3gnG@mt3= Es gibt nichts Gutes außer man tut es

Empfehlenswert sind z.T. auch sogenannte "Passwort-Manager". Es gibt dazu verschiedene Lösungen und Programme, z.B. als Plug-In für Firefox. Mit diesem Passwort-Manager ist es möglich, nur noch ein einziges, übergeordnetes "Master-Passwort" zu führen und den Zugriff auf alle anderen Passwörter durch den Manager übernehmen zu lassen. Ein Nachteil soll hierbei nicht verschwiegen werden: bei einem Crash der Festplatte sind zusammen mit dem Passwort-Manager alle Passwörter verschwunden. Es kann dann nach Neuinstallation des Betriebssystems ein ärgerlicher Aufwand entstehen, um bei den entsprechenden Dienstleistern neue Passwörter anzufordern.

Zusätzliche Maßnahmen

Firefox-Browser absichern

Blacklist in der Hosts-Datei führen

Personal Firewall installieren

Leseempfehlung

Wir empfehlen unbedingt das Lesen des Informationsportals des Bundesamtes für Sicherheit in der Informationstechnik:

https://www.sicher-im-netz.de/verbraucher/201.aspx

Sowie der Grundsatzinfos bei Computerbetrug.de.

http://www.computerbetrug.de/sicherheit-im-internet/

Dort erhalten Sie ganz ausführliche und umfangreiche Informationen zum Thema PC-Sicherheit.

--Goofy 20:50, 12. Aug 2007 (CEST)




Benutzeroptionen:
 Anmelden 

 Spezialseiten 
Diese Seite wurde zuletzt am 16. März 2012 um 22:19 Uhr geändert. Diese Seite wurde bisher 45.087-mal abgerufen.
   © 1999 - 2024 Antispam e. V.
Kontakt | Impressum | Datenschutz

Partnerlink: REDDOXX Anti-Spam