5Vorwort

Die Kommunikation im Internet hat ein immenses Ausmaß angenommen. Wir füttern das Netz wo wir gehen und stehen mit Informationen. Jede davon kann ausgewertet oder gar missbraucht werden. Das Buch soll Risiken der Nutzung des Internets aufzeigen und anhand von konkreten Handreichungen Verhaltenstipps für den Alltag anbieten. Dazu werden technische Hintergründe und Vorgänge ebenso erklärt, wie Geschäftsmodelle – etwa von Google – und deren Auswirkungen. Zugleich gibt das Buch Tipps für eine verantwortungsbewusstere und sicherere Nutzung des Internets und zeigt, wie man sich vor Online-Kriminalität schützen kann.

Rolf Schwartmann, Tobias Keber und Patrick Godefroid

7Security-Einmaleins

IT-Grundsicherung

Beispiel:

Herr Schneider hat sich einen neuen Computer gekauft. Er nimmt ihn zuhause in Betrieb und verbindet sich über das heimische WLAN mit dem Internet. Herr Schneider freut sich, nun noch schneller im Netz surfen zu können. Doch nach einigen Tagen erscheint auf seinem Rechner ein beunruhigender Hinweis: Sein Computer sei von einem Virus infiziert worden, der alle Daten auf der Festplatte verschlüsselt habe. Herr Schneider solle nun 100 EUR auf ein bestimmtes Konto überweisen, um wieder an seine Daten zu gelangen. Nun rächt sich, dass Herr Schneider grundlegende Sicherheitsvorkehrungen nicht getroffen hat.

Den Computer absichern

Ein Leben ohne Internet ist für die meisten Menschen nicht mehr vorstellbar. Das Internet bietet vielfältige Nutzungsmöglichkeiten und ebenso zahlreiche Vorteile für seine Nutzer. Es hat die Kosten für die Kommunikation mit Freunden und Familie erheblich verringert und bietet eine praktisch unüberschaubare Fülle an Informationen und Unterhaltung. Bei der Nutzung des Internets kann jedoch auch einiges schiefgehen. Schadprogramme, wie beispielweise Computerviren, können unbemerkt auf den eigenen Computer gelangen. Diese sog. Malware kann vielfältigen Schaden 8auf Computern anrichten. So kann sie etwa sensible Daten von der Festplatte löschen oder diese verschlüsseln, Passwörter ausspähen oder den Computer nutzen, um illegale Inhalte zu verbreiten. Damit dies nicht passiert, müssen Internetnutzer selbst die Initiative ergreifen und den eigenen Computer schützen.

Ein sinnvoller Grundschutz besteht dabei aus nur fünf Komponenten:

Zunächst muss der Zugang zum Computer kontrolliert werden, damit Unbefugte nicht unbemerkt den Computer nutzen können, um z. B. mit einem USB-Stick Schadprogramme zu installieren.
Software, die auf dem Computer installiert ist, muss stets aktuell gehalten werden. Dies gilt besonders für das Betriebssystem und den Web-Browser.
Ein Antivirenprogramm muss installiert und die Virendefinitionen des Programms mindestens täglich aktualisiert werden. Mindestens einmal pro Woche sollte der gesamte Computer nach Schadsoftware durchsucht werden.
Eine Firewall-Software, die den Datenverkehr des Computers in beiden Richtungen kontrolliert, sollte ebenfalls installiert werden.
Schließlich müssen regelmäßige Datensicherungen („Backups“) erstellt werden, damit im Falle eines Virenbefalls oder eines Hardwareschadens die Daten nicht verloren sind.

9Mit diesen Vorkehrungen ist ein Computer grundlegend vor den Gefahren geschützt, die im nächsten Abschnitt näher erläutert werden.

Malware: Bösartige Software

Eine große Gefahr für Internetnutzer besteht darin, dass es Angreifern gelingen könnte, Schadprogramme (sog. Malware) unbemerkt auf dem Computer zu platzieren. Das Arsenal, das Angreifer nutzen, um Computer zu attackieren, ist groß und wandelt sich stetig. Grundsätzlich kann Malware zunächst danach unterschieden werden, welchen Weg sie wählt, um sich zu verbreiten:

Computerviren (kurz „Viren“) sind Malware-Programme, die sich eigenständig weiterverbreiten, indem sie sich selbst auf Datenträger kopieren. Viren können beispielweise über E-Mail-Anhänge oder USB-Sticks auf einen Computer gelangen.
Computerwürmer (kurz „Würmer“) verbreiten sich dadurch, dass sie selbständig versuchen, sich über das Internet von einem auf den anderen Computer zu kopieren. Dazu nutzen sie Schwachstellen in der auf dem Computer installierten Software.
Als „Trojaner“ wird Malware bezeichnet, die sich in einem nützlichen Programm verbirgt und den Computernutzer auf diese Weise dazu verleitet, das Programm zu installieren. Zusammen mit dem nützlichen Programm wird die Malware dann unbemerkt als unerwünschte Beigabe auf dem Computer platziert.

10Neben der Differenzierung nach dem Verbreitungsweg lässt sich Malware auch danach unterscheiden, welche Art von Schaden sie anrichtet:

Scareware ist Malware, die den Nutzer dazu bringen möchte, aus Angst bestimmte Handlungen auszuführen. Beispielweise gibt es Scareware, die gefälschte Warnhinweise auf dem Computerbildschirm anzeigt, z. B. bezüglich eines angeblichen Virenbefalls des Rechners. Auf den Warnhinweisen werden die Nutzer dann dazu aufgefordert, einen Geldbetrag für die Entfernung der angeblichen Viren zu bezahlen.
Als „Ransomware“ wird Malware bezeichnet, die den Zugriff des Nutzers auf die Daten seines Computers sperrt. Die Daten werden quasi in „Geiselhaft“ genommen, und der Nutzer wird gezwungen, Lösegeld für seine Daten zu bezahlen.
Malware, die das Verhalten des Computernutzers ausspäht, wird als „Spyware“ oder „Adware“ bezeichnet. Die gesammelten Daten werden von dem Programm an einen Internetserver des Herstellers übermittelt. Die Daten werden vorwiegend dazu verwendet, dem Nutzer Werbung anzuzeigen und ihn zum Kauf von Produkten zu verleiten.
Keylogger zeichnen alle vom Nutzer ausgeführten Tastaturanschläge auf und erstellen auf diese Weise ein Protokoll aller am Computer eingegebenen Texte. Keylogger sind somit in der Lage, die Eingabe von Passwörtern auszuspähen.

11Sinnvolle Schutzmaßnahmen

Zugang und Nutzung kontrollieren

Für die Sicherung eines Computers ist es zunächst empfehlenswert, ihn sicher zu verwahren, ihn also beispielsweise nicht unbeaufsichtigt in öffentlichen Bereichen liegen zu lassen. Darüber hinaus sollte der Computer stets so eingerichtet werden, dass bei der Inbetriebnahme ein Passwort eingegeben werden muss. Dies lässt sich bei gängigen Betriebssystemen im Rahmen der Benutzerverwaltung leicht einstellen und sollte ernst genommen werden. Wie immer, wenn Passwörter zum Einsatz kommen, sollte ein starkes Passwort verwendet werden (siehe Abschnitt „Passwortschutz“).

Betriebssystem und Software aktuell halten

Sicherheitslücken, die im Betriebssystem oder in der Anwendungssoftware enthalten sind, ermöglichen Angreifern die Installation von Malware. Sicherheitslücken können zum einen durch Programmierfehler des Herstellers entstehen. Sie können aber zum anderen auch vom Hersteller der Software bewusst eingebaut worden sein, um z. B. Geheimdiensten Zugang zu fremden Computern zu ermöglichen. Auch beim weit verbreiteten PC-Betriebssystem Windows sind in der Vergangenheit zahlreiche Sicherheitslücken bekannt geworden. Microsoft, der Hersteller von Windows, reagiert auf die Sicherheitslücken mit der Veröffentlichung sog. Patches, also Flicken. Die Patches werden als Updates bereitgestellt und sollen die bekannten Sicherheitslücken schließen. Das Betriebssystem sollte so konfiguriert werden, 12dass diese sicherheitsrelevanten Updates automatisch installiert werden.

Auch Anwendungsprogramme können Sicherheitslücken enthalten. Bezüglich der Nutzung des Internets ist hier besonders der Web-Browser zu berücksichtigen. Sicherheitslücken in Web-Browsern können dazu führen, dass mit dem Browser aufgerufene Internetseiten selbstständig Malware auf dem Computer installieren, ohne dass der Nutzer etwas davon bemerkt. Für diese sog. Drive-by-Angriffe müssen die Internetseiten zuvor entsprechend präpariert worden sein. Auch von den Herstellern der Web-Browser gibt es daher, sobald Sicherheitslücken bekannt werden, entsprechende Updates, die alle Nutzer unbedingt und vorzugweise automatisch installieren sollten.

Antivirenprogramm installieren und updaten

Um die Gefahr, dass Angreifer unbemerkt Malware auf einem Computer platzieren können, auf ein akzeptables Maß zu reduzieren, ist es unerlässlich, ein Antivirenprogramm einzusetzen. Das Antivirenprogramm läuft während des Betriebs des Computers kontinuierlich und prüft, ob Daten, die auf den Computer gelangen, Malware enthalten. Dazu nutzt das Antivirenprogramm Datenbanken, in denen sämtliche bekannten Malware-Programme eingetragen sind. Da Angreifer kontinuierlich neue Malware in Umlauf bringen, aktualisieren die Hersteller von Antivirenprogrammen die Datenbanken ebenfalls kontinuierlich mit Informationen über neu entdeckte Malware. Es ist unbedingt notwendig, die Malware-Datenbanken so oft wie möglich, mindestens aber einmal täglich, zu aktualisieren.

13Antivirenprogramme werden von zahlreichen unterschiedlichen Herstellern angeboten, und es ist empfehlenswert, ein Programm eines bekannten Herstellers zu nutzen. Einige Hersteller bieten kostenlose Versionen ihrer Antivirenprogramme an, die bereits ein vertretbares Maß an Sicherheit bieten. Es ist jedoch durchaus empfehlenswert, eine kostenpflichtige Lizenz zu erwerben, da Inhaber einer Lizenz zumeist häufiger und früher Zugriff auf die aktualisierten Malware-Datenbanken erhalten.

Firewall nutzen

Neben dem Antivirenprogramm ist auch der Einsatz einer sog. Firewall-Software sinnvoll. Diese „Feuerwand“ kontrolliert den Datenverkehr des Computers mit dem Internet in beide Richtungen. Die Firewall schlägt Alarm, sobald Programme auf dem Computer versuchen, auf das Internet zuzugreifen. So kann erkannt werden, wenn z. B. Malware versucht, Daten vom Computer auf einen fremden Internetserver zu übertragen. Viele Anbieter von Antivirenprogrammen kombinieren ihre Produkte mit Firewall-Software.

Der Einsatz eines solchen kombinierten Produkts ist zur Grundsicherung des Computers empfehlenswert.

Daten sichern

Trotz der genannten Sicherheitsvorkehrungen kann es zu einem Virenbefall kommen. Im schlimmsten Fall sind dann 14alle auf dem Rechner befindlichen Daten verloren. Daher ist es unerlässlich, regelmäßig Sicherungskopien (sog. Backups) anzufertigen. Um Datenverluste zu vermeiden, ist eine wiederkehrende, z. B. wöchentlich stattfindende Datensicherung durchzuführen. Zur Datensicherung sollten externe Speichermedien, wie etwa eine externe Festplatte, genutzt werden.

Praxistipp:

Weiterführende Hinweise zum Thema IT-Grundsicherung finden Sie auf der Website „Bundesamt für Sicherheit in der Informationstechnik (BSI), Startseite für Bürger“: https://www.bsi-fuer-buerger.de

sowie auf der Homepage des Projekts „Verbraucher sicher online“: http://www.verbraucher-sicher-online.de/

Hersteller von Antiviren- und Firewall-Software, die in Tests häufig positiv bewertet werden:

http://www.kaspersky.com

http://www.avira.com

http://www.bitdefender.de

https://www.gdata.de

http://www.avg.com

Von den Herstellern Avira und AVG sind Versionen verfügbar, die von Privatanwendern kostenlos genutzt werden dürfen: http://www.avira.com/de/avira-free-antivirus.

15Passwortschutz

Beispiel:

Frau Müller nutzt das Internet gern und intensiv. Sie hat viele Online-Accounts, z. B. bei Facebook, Xing, Twitter und bei eBay. Darüber hinaus nutzt sie Online-Banking und unterhält mehrere Mailadressen bei unterschiedlichen Providern. Je mehr Accounts hinzukommen, umso schwieriger findet es Frau Müller, sich für jeden Online-Account ein spezielles Passwort merken zu müssen. Deswegen ist sie dazu übergegangen, bei allen Accounts das gleiche Passwort „schnuffi83“ zu verwenden. Eines Tages stellt Frau Müller fest, dass sie sich nicht mehr bei ihren Accounts anmelden kann. Bei allen Accounts scheint das Passwort geändert worden zu sein.

Seitdem es Computer gibt, stellt sich die Frage, wie unterschiedliche Nutzer hinsichtlich ihrer Befugnisse differenziert werden können. Als ein langfristig stabiles Konzept haben sich hierfür Benutzerkonten („Accounts“) etabliert. Die Kombination aus Nutzername und Passwort ist für Internetnutzer allgegenwärtig: Für praktisch jeden Dienst, den wir im Internet nutzen wollen und jede Website, auf der wir uns anmelden, brauchen wir einen Account.

Das Konzept der Nutzerauthentifizierung über Nutzername und Passwort beruht darauf, dass das Passwort nur dem jeweiligen Nutzer bekannt ist. Jeder Nutzer hat daher ein Interesse daran, dass sein Passwort auch geheim bleibt. Wenn es einem Angreifer gelingt, das Passwort auszuspähen oder zu erraten, kann er sich im Namen des Nutzers bei dem jeweiligen Account anmelden und diesen unbefugt nutzen.

16Starke Passwörter sind kompliziert

Der Umgang mit Passwörtern verdient daher besondere Beachtung. Da es schwierig ist, sich viele Passwörter merken, tendieren viele Nutzer dazu, entweder sehr einfach zu erratende Zeichenkombinationen als Passwort (z. B. „qwertz“, „hallo“ oder „1234“), und/oder das gleiche Passwort für unterschiedliche Nutzerkonten zu verwenden. Diese Vorgehensweise ist zwar sehr bequem, sie ist aber auch sehr unsicher. Bei Passwörtern zeigt sich der Zielkonflikt aus Bequemlichkeit und Sicherheit somit besonders deutlich.

Für den sicheren Umgang mit Passwörtern lässt sich eine ganze Reihe von Anforderungen definieren.

Starke und somit sichere Passwörter müssen lang sein.
Sie müssen aus einem möglichst großen Zeichenvorrat zusammengesetzt werden, also aus Ziffern, großen und kleinen Buchstaben sowie aus Sonderzeichen bestehen.
Sie dürfen keine Worte enthalten, die in Wörterbüchern vorkommen. Das Passwort „Mein#sicheres%Passwort*seit-1998“ ist zwar lang und besteht aus einem großen Zeichenvorrat. Da es aber aus Buchstabenkombinationen besteht, die in Wörterbüchern vorkommen, ist es für Angreifer leichter zu knacken.
Kein Passwort darf für zwei oder mehr unterschiedliche Nutzerkonten oder Dienste genutzt werden. Für jeden Dienst muss ein eigenes Passwort angelegt werden, da ansonsten Angreifer, die das Passwort für einen Account geknackt haben, Zugriff auf alle anderen Konten des Nutzers hätten.
17Passwörter sollten nie – zumindest niemals unverschlüsselt – aufgeschrieben werden, weder auf Papier noch auf dem Computer.
Passwörter müssen von Zeit zu Zeit geändert werden. Je kürzer ihre „Lebensdauer“ ist, desto höher ist die Sicherheit.

Wie soll ich mir das merken?

Wie lässt sich dieser Zielkonflikt praktisch auflösen und wie kann man sich Passwörter merken, die die oben genannten Anforderungen erfüllen? Eine oft empfohlene Methode besteht darin, Passwörter aus den Anfangsbuchstaben der Worte eines Satzes zu bilden. Auf diese Weise kann aus dem Satz: „Seit 1993 denke ich mir jeden Samstag ein neues Passwort aus“ das verhältnismäßig starke Passwort „S1993dimjSenPa“ extrahiert werden.

Der Vorteil dieser Methode besteht darin, dass lange Zeichenketten mit scheinbar zufälligen Buchstabenkombinationen erzeugt werden können, die schwer zu erraten, jedoch durch die Verbindung mit dem Satz leichter zu merken sind. Sie hilft jedoch nicht weiter, wenn es darum geht, sich viele unterschiedliche Passwörter zu merken. Dazu wäre die gleiche Anzahl unterschiedlicher Sätze im Kopf zu behalten, und zusätzlich müsste die Zuordnung der Sätze zu den einzelnen Accounts hergestellt werden. Dies ist nur schwer handhabbar.

18Ein Tresor für Passwörter: Passwortmanager

Ein Ausweg aus dem Dilemma sind sog. Passwordsafes oder Passwortmanager. Diese Computerprogramme dienen dazu, eine große Anzahl von Passwörtern zu verwalten. Die Passwortmanager enthalten eine verschlüsselte Datenbank, die nur geöffnet werden kann, wenn das sog. Masterpasswort eingegeben wird. In diesem Fall öffnet sich die Datenbank und alle in ihr hinterlegten Passwörter sind einsehbar.

Sicherheitnicht absolutKlumpenrisiko