Hier finden Sie einen Leitfaden zur Sicherheitsoptimierung von Computern, die mit dem Internet verbunden sind. |
Gleich zu Anfang einige Grundbemerkungen: den absolut 100-%-ig sicheren Internet-PC kann und wird es nicht geben.
Es verhält sich so wie beim Autofahren; ein gewisses Restrisiko ist immer präsent. Es geht jedoch darum, dieses Restrisiko zu minimieren. Dazu bedarf es zum einen der technischen Seite; das Auto sollte in einem sicheren Wartungszustand sein, Reifen mit gutem Profil haben, möglichst einen Airbag, gute Crash-Test-Ergebnisse etc. Zum anderen kann ich durch mein persönliches Verhalten die Sicherheit maßgeblich beeinflussen bzw. gefährden. Kein ABS, ESP, Servo, Breitreifen und innenbelüftete Scheibenbremsen helfen mir im Ernstfall etwas, wenn ich mit 2 Promille Blutalkohol mit 140 km/h bei Nebel und Glatteis in eine Kurve gehe, die auch bei trockener Fahrbahn und Sportfahrwerk höchstens 80 km/h vertragen hätte.
Übertragen auf den PC gilt:
Viel wichtiger für die Sicherheit als die gesamte technische Seite (Virenschutz, Firewall etc.) ist das Verhalten des Anwenders. |
Ein unbedarfter, naiver Anwender (etwas boshaft als "Super-DAU" bezeichnet) kann es schaffen, bei einem einzigen Besuch einer bösartigen Webseite bzw. beim Öffnen eines e-Mail-Anhangs binnen Minuten auch ein gut konfiguriertes und und vorher sicheres System zu kompromittieren. Auch in einem gut gesicherten Netzwerk kann u.U. das Anschließen eines virenbeladenen USB-Memory-Sticks ausreichen, um das gesamte Netzwerk zu gefährden.
Daher befassen wir uns zuerst mit wenigen, aber wichtigen Verhaltensregeln und gehen dann auf die empfohlene Ausstattung bzw. Konfiguration über.
Ein Virenschutzprogramm sollte zur Grundausstattung eines jeden PCs gehören, der mit dem Internet verbunden ist. Näheres dazu lesen Sie hier.
Sondern lieber ein eigenes Benutzerkonto mit eingeschränktem Zugriff definieren, unter dem man dann im Web surft.
Hier wird beschrieben, wie man solche Konten einrichtet:
Damit hält man viele (wenn auch nicht alle) Malware davon ab, sich über das Internet selbsttätig zu installieren.
Diese Empfehlung hat ihren guten Grund. Viele Sicherheitsexperten, u.a. nicht zuletzt das US-CERT, eine US-Regierungseinrichtung zum Schutz von IT-Strukturen, haben dies bereits offiziell empfohlen.
Der Internet-Explorer ist tief ins Windows-Betriebssystem hinein verstrickt, jedoch mit etlichen Sicherheitslücken und Problemen behaftet, die stetig mit neuen Updates geflickt werden, von denen jedoch in schöner Regelmäßigkeit neue entdeckt werden. Durch die enge Systemintegration des Browsers kann jede kleinste Sicherheitslücke das gesamte Betriebssystem kompromittieren. Auch, wenn das System ständig mit den neuesten Updates gepatcht wird, bleibt immer eine erhebliche Restunsicherheit bestehen. Und zwar ohne dass irgendein Vorteil ersichtlich wäre, der sich etwa aus dieser tiefen Systemintegration des Browsers ergeben sollte: alternative Browser gelten als mindestens ebenso komfortabel und haben dabei fast eine bessere Performance bei geringerem Speicherverbrauch als der IE, bei ebenfalls besserer Sicherheit.
Eine Übersicht über aktuelle Sicherheitslücken des IE z.B. hier:
Ein grundlegendes Problem des Internet Explorers ist nicht zuletzt die Integration unsicherer Skripte wie Active-X, VB-Scripting, sowie J-Script, das ein vom ECMA-Standard abweichendes Javascript mit z.B. erheblich erweiterten Zugriffsrechten darstellt. Die Verwaltung des "Zonenmodells" überfordert dabei als Sicherheitskonzept den Normalanwender, aus Bequemlichkeit unterbleibt i.d.R. eine Zuweisung von Domains in die "vertrauenswürdige" bzw. "eingeschränkte" Zone. Vielmehr werden "der Einfachheit halber" von vielen Anwendern global alle Skripting-Optionen freigeschaltet. Höchst merkwürdig ist dabei z.B., dass J-Script sich nicht getrennt vom viel gefährlicheren "Active-Scripting" (VB-Scripte!) aktivieren lässt. Der Normalanwender durchschaut nicht die erheblichen Sicherheitsrisiken, denen er durch VB-Scripte, erst recht durch die höchst problematische Unterstützung des Active-X tagtäglich ausgesetzt wird. Desgleichen ist die Verwaltung der "Sicherheitszertifikate" für diese Skripte undurchschaubar und leicht zu missbrauchen. Beispielsweise hat es einmal ein Active-X-Script gegeben, welches einfach das Zertifikat eines Antivirenherstellers(!) dazu missbraucht hat, um sich als "vertrauenswürdiges" Skript zu tarnen und sich an allen Sicherheitskontrollen vorbeizumogeln. Das Sicherheitskonzept zu den aktiven Skripten des IE ist als höchst löchrig und intransparent anzusehen.
Die intransparente, den Normalanwender überfordernde Handhabung aktiver Skripte ist es auch, die immer schon die unbemerkte Installation von Dialern, Spy- und Adware etc. ermöglicht hat. Sogar der Microsoft-Gründer Bill Gates selbst, dem man doch eine gewisse Erfahrung in der Handhabung von Browsern zutraut, hat selbst zugegeben, dass sein eigener, privat genutzter Rechner mit Spy- und Adware verseucht war.
Eine Zusammenfassung oft geäußerter Kritikpunkte über den Internet Explorer finden Sie u.a. hier:
Zugegebenermaßen ist der Internet-Explorer immer noch Marktführer unter den Browsern, Sicherheitslücken werden daher hier vermehrt gesucht und auch gefunden. Und zugegebenermaßen haben auch andere Browser Sicherheitslücken. Jedoch sind dabei i.d.R. die Probleme nicht derart gravierend und folgenreich wie beim IE, außerdem werden bestehende Probleme offen diskutiert sowie schnell und zuverlässig mit Updates behandelt.
Wenn jedoch im Forum bei Antispam und anderswo von der unbemerkten Installation von Spyware, Browser-Hijackern wie "CoolWebSearch" und anderen "Haustierchen" bis hin zum handfesten Trojaner berichtet wird, ist auffälligerweise fast immer der Internet Explorer als Browser im Spiel. Viele User bei Antispam und auch anderswo sind daher auf die alternativen Browser Firefox bzw. Opera umgestiegen und fahren mit Sicherheit gut damit.
Allein schon durch den Verzicht auf Active-X und Active-Scripting bieten die beiden alternativen Browser bereits einen erheblichen Sicherheitsvorteil gegenüber dem IE, der sich jedoch beim tagtäglichen Websurfen nicht in einer schlechteren Darstellung der Webseiten bemerkbar macht. Beide Browser importieren ein bereits vorhandenes Nutzerprofil (Favoriten etc.) aus dem Internet Explorer und gelten als sehr komfortabel in der Handhabung. Keinesfalls ergibt sich bei der Benutzung dieser alternativen Browser irgendein Nachteil in der Performance der Webseitendarstellung. Es gibt lediglich einige wenige Webseiten, die leider nur mit dem Internet Explorer richtig dargestellt werden können. Wenn Sie eine solche Webseite als vertrauenswürdig einstufen, steht Ihnen jedoch auch nach der Installation eines alternativen Browsers immer noch der Internet Explorer für solche Ausnahmefälle zur Verfügung.
Auch die Bedienbarkeit der beiden Browser ist dem IE mindestens gleichwertig. Im Gegenteil war z.B. das Firefox-eigene Feature des "tabbed-browsing" ein Vorreiter, dem die Entwickler der aktuellen IE-Version erst hinterherprogrammieren mussten.
Offizielle Firefox-Webseite:
Firefox ist frei erhältlich.
Lesen Sie auch den Artikel über die erweiterte Absicherung von Firefox.
Offizielle Opera-Webseite:
Opera gibt es in einer Kauf- und in einer kostenlosen Version (dann allerdings mit eingeblendeter Werbung).
Eine Übersicht über weitere alternative Browser:
Treiben Sie Ihrem Windows-System die Marotte aus, unsichere doppelte Dateiendungen wie "Britney_naked.jpg.exe" nicht als ausführbare Datei anzuzeigen. Lesen Sie hier, wie es geht.
Leider starten die neueren Windows-Betriebssysteme eine Menge von primär nicht benötigten Diensten, die über Ports Verbindung mit dem Internet aufnehmen können. Unter der Maßgabe, damit denjenigen 0,1% der Anwender, die vielleicht einmal einen solchen Dienst brauchen könnten, die Konfiguration zu erleichtern, setzt man alle Anwender völlig unnötigen Risiken aus. Das geht solange gut, wie die Dienste, die an den betreffenden Ports lauschen, unangreifbar sind und keine Sicherheitslücken aufweisen. Dem ist aber beileibe nicht immer so.
Wenn Sie über einen Router (z.B. NAT-fähiger LAN-Router wie Fritz!Box etc.) mit dem Internet verbunden sind, brauchen Sie jetzt nicht weiterzulesen, weil dieser Router von vornherein ein direktes Ansprechen gefährdeter Windows-Ports i.d.R. unmöglich macht.
Ist Ihr PC jedoch über ein analoges oder DSL-Modem mit dem Internet verbunden, sollten Sie sich Gedanken über die vielen Windows-Dienste machen, die über entsprechende Ports mit dem Internet verbunden sind und nicht selten Opfer von Angreifern sind.
Wozu brauche ich eine "RPC/DCOM"-Schnittstelle mit Port zum Internet?
Wozu brauche ich eine LSASS-Schnittstelle mit Port im Internet? "Zur Sicherheitsauthentifizierung in Netzwerken"?
Eine Sicherheitslücke in dieser eng ins System integrierten Schnittstelle wurde aber durch den Sasser-Wurm ausgenutzt.
Wozu brauche ich eine "Remote Assistance"?
Wozu brauche ich "Telnet"?
Gerade die unscharfe, verwässerte technische Trennung zwischen internem Netzwerk und Internet ist eine spezifische Eigenheit, die sich durch die Entwicklung aller Windows-Systeme hindurchzieht. Daher sollte mit bestimmten Konfigurationsmassnahmen nachgebessert werden.
Die Konfiguration der "Dienste" ist jedoch von Hand nicht ganz einfach. Ein unsachgemäßes Hantieren mit dem Taskmanager bzw. mit der Registrierdatenbank kann zu erheblichen Instabilitäten und Ausfall wichtiger Funktionen führen. Man kann damit leicht sein Betriebssystem unbrauchbar machen.
In aller Regel sollten Sie daher lieber diesen Vorgang durch ein Hilfsprogramm automatisieren.
Für Windows 2000/XP gibt es dazu ein frei erhältliches Programm auf
Dieses Programm übernimmt selbsttätig die optimale Konfiguration der Windows-Netzwerkdienste; nicht benötigte Dienste werden deaktiviert, benötigte kritische Dienste werden so konfiguriert, dass das Risiko von externen Hackerangriffen minimiert wird.
Alle von diesem Programm vorgenommenen Einstellungen sind reversibel, es kann mit einem Mausklick die vorherige Grundkonfiguration wiederhergestellt werden.
Weitere Informationen zu Windows-XP/2000-Netzwerkdiensten auf:
Zumindest, wenn Sie mit älteren Betriebssystemen als Windows XP mit Service-Pack 2 arbeiten, empfiehlt sich die Nutzung alternativer Mailprogramme. Die Microsoft-eigenen Mailprogramme Outlook und Outlook-Express haben das Problem, dass sie zur Darstellung von Bildern und html-Mails die Render-Maschine des Internet-Explorers benutzen. Damit werden viele der Verwundbarkeiten des Internet-Explorers gleich in die Mailprogramme mitübernommen. Das gilt besonders für ältere Systeme (WIN 2000), aber selbst bei aktuellen, gepatchten Systemen werden immer wieder Sicherheitslücken entdeckt, die das eng miteinander verstrickte Konglomerat aus Internet Explorer und Outlook betreffen.
Dabei gibt es hervorragende, taugliche Alternativen.
Thunderbird
Thunderbird ist das frei erhältliche Mailprogramm als Pendant zum Mozilla-Browser. Es wird von der Mozilla-Foundation als Open-Source-Projekt entwickelt.
Es ist in den neuen Versionen ebenfalls solide und leistet sich keine größeren Schwachstellen. Hier finden wir einen lernfähigen Spamfilter, Newsgroup-Reader und die Möglichkeit, diesen Mail-Client mit "Extensions" zu erweitern, sowie mit verschiedenen Sicherheits- und Verschlüsselungstechniken.
Thunderbird importiert bei der Installation ein bereits aus MS-Outlook/-Express vorhandenes Address- und Mailverzeichnis.
Pegasus-Mail
Pegasus ist ein grundsolides, bekanntes und beliebtes Mailprogramm ohne wesentliche Schwachstellen, aber mit vielen wertvollen Optionen.
Hervorzuheben ist die integrierte Funktion zur pgp-Verschlüsselung, Spamfilter, Bildverwaltung und vieles mehr. Weitere Informationen hier:
Pegasus ist ein Open-Source-Projekt und folglich kostenlos erhältlich.
Downloads zu Pegasus gibt es an vielfältiger Stelle, etwa bei:
Eudora
Eudora ist ebenfalls eine grundsolide Alternative zu den Microsoft-Mailprogrammen.
In der Bezahlversion ( ca. 49 US-$ ) kommt Eudora mit sehr umfangreichen Funktionen daher.
Es ist sicher eins der komfortabelsten Mailprogramme überhaupt und bietet Spamfilter, Suchfunktionen, umfangreiche Möglichkeiten der Formatierung, Multi-User-Funktionen und vieles mehr. Die werbefinanzierte Version enthält alle Optionen der Bezahl-Version ohne den Spamfilter. Dafür werden Werbebanner eingeblendet. Außerdem wird auch eine komplett kostenlose Light-Variante von Eudora angeboten, die noch mehr abgespeckt ist.
Besonders die neueren DSL-Router verbessern das allgemeine technische Sicherheitskonzept eines Internet-PCs ganz erheblich. Im W-LAN jedoch nur, wenn sie gut konfiguriert mit WPA2-Verschlüsselung und sicherem LAN-Passwort eingesetzt werden.
Lesen Sie dazu auch:
Infos zum Thema W-LAN-Verschlüsselung bei Wikipedia:
Die Konfiguration von DSL-Routern geschieht meist über einen Webseiten-Dialog, z.B. bei Fritz!Box im Browser unter "http://fritz.box" aufzurufen.
Eine speziell präparierte Webseite kann u.U. unbemerkt diesen Dialog aufrufen und Änderungen an den Einstellungen vornehmen. Z.B. können die DNS-Einstellungen für das Online-Banking auf einen Phisher-Server umgelenkt werden. Zur Abwehr solcher Angriffe auf den Router ist es empfehlenswert, ein Kennwort für die Routerkonfiguration einzurichten. Die Fritz!Box hat z.B. standardmässig überhaupt kein Kennwort dafür eingerichtet! Dies muss erst im Konfig-Menü vorgenommen werden. Andere Router haben ein voreingestelltes Standard-Passwort, das jedoch aus naheliegenden Gründen geändert werden sollte. Ebenfalls sollte man aus Sicherheitsgründen während Konfigurationsarbeiten am Router keine weitere Webseiten im Internet ansurfen, etwa über weitere offene Fenster/Tabs.
Beachten Sie die Sicherheitshinweise in der Bedienungsanleitung Ihres Routers.
Oft wird viel zu wenig Aufmerksamkeit auf die Verwendung guter Passwörter gelegt.
Dabei ist in vielen Dingen dieses Passwort letztlich das einzige Gitter, was einen Angreifer vom Mißbrauch eines der von Ihnen benutzten Dienste trennt. Bedenken Sie, was ein Hacker u.U. anstellen könnte, wenn er eines Ihrer Passwörter gehackt hat:
Zum Hacken von Passwörtern werden oft einfachste Techniken wie z.B. simples Raten verwendet. Jemand, der Sie gut kennt, könnte auf die Idee kommen, auszuprobieren, ob Sie für bestimmte Dinge Passwörter aus Ihrem Lebensbereich verwenden. Besonders gern wird man dabei mit folgendem leider oft fündig:
Oft versuchen Hacker, in sogenannter "Brute_Force-Technik durch Ausprobieren etlicher Kombinationen beliebter Passwörter einen Zugang zu knacken. Oftmals ist dabei eins der speziellen, in Kreisen der Hacker kursierenden "Cracker"-Programme im Spiel. Mit Hilfe eines solchen "Crackers" können mittels Brute-Force-Technik unsichere Passwörter teilweise in Sekunden geknackt werden, insbesondere wenn es sich um ein einfaches wie "Mausi", "Baum", "Opel", "1234" etc. handelt. Um das Knacken eines Passworts so gut wie unmöglich zu machen, sollte man daher ein Passwort verwenden, das:
Schlecht ist z.B.: "Mausi123".
Gut ist z.B.: "%i23#U8b".
Um sich ein Passwort besser merken zu können, empfiehlt sich die Verwendung von Merksätzen, etwa: "Meine Oma ist 82 und fährt im Hühnerstall Motorrad". Wenn man jetzt die Anfangsbuchstaben bzw. Zahlen verwendet, ergibt das: MOi82&fiHM wobei das Wort "und" durch das Sonderzeichen "&" ersetzt wurde.
Ebenfalls kann man in Passwörtern den Buchstaben "e" durch "3", "a" durch @", "i" durch "1" ersetzen, wodurch sich leicht merkbare, aber sichere Kombinationen ergeben, wenn man sich Eselsbrücken z.B. aus Sätzen oder Sprichwörtern bildet.
Z.B.:
Empfehlenswert sind z.T. auch sogenannte "Passwort-Manager". Es gibt dazu verschiedene Lösungen und Programme, z.B. als Plug-In für Firefox. Mit diesem Passwort-Manager ist es möglich, nur noch ein einziges, übergeordnetes "Master-Passwort" zu führen und den Zugriff auf alle anderen Passwörter durch den Manager übernehmen zu lassen. Ein Nachteil soll hierbei nicht verschwiegen werden: bei einem Crash der Festplatte sind zusammen mit dem Passwort-Manager alle Passwörter verschwunden. Es kann dann nach Neuinstallation des Betriebssystems ein ärgerlicher Aufwand entstehen, um bei den entsprechenden Dienstleistern neue Passwörter anzufordern.
Blacklist in der Hosts-Datei führen
Personal Firewall installieren
Wir empfehlen unbedingt das Lesen des Informationsportals des Bundesamtes für Sicherheit in der Informationstechnik:
Sowie der Grundsatzinfos bei Computerbetrug.de.
Dort erhalten Sie ganz ausführliche und umfangreiche Informationen zum Thema PC-Sicherheit.
--Goofy 20:50, 12. Aug 2007 (CEST)