Sicherheit im Internet

Das Thema „Sicherheit im Internet“ hat zwei wesentliche Aspekte, nämlich erstens Sicherheit vor Sabotage, also Sicherheit vor Programmen mit Schadensfunktionen, die über E-Mail, aber auch durch den Aufruf entsprechend präparierter WWW-Seiten unbemerkt auf den Rechner gelangen können, zweitens Sicherheit von Daten vor unbefugtem Zugriff bzw. Sicherheit vor dem Ausspionieren von Daten innerhalb von Netzwerken.

Zu den Programmen mit Schadensfunktionen zählen insbesondere Viren, Würmer und Trojanische Pferde. Sie werden in der entsprechenden FAQ des IMT näher beschrieben. Generell sind Viren Programmabschnitte, die als unbemerkter Bestandteil von Programmdateien oder von Datendateien mit ausführbaren Skripten/Steuersequenzen auf den Rechner gelangen und dort diverse, nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder an deren Umgebung vornehmen, z. B. alle Ihre Daten löschen können.
Viren sind keine selbständigen Programme, sondern benötigen eine Wirtsdatei, reproduzieren sich jedoch selbst und verbreiten sich weiter, indem sie sich wiederum an Programmdateien oder Datendateien mit ausführbaren Skripten/Steuersequenzen anhängen bzw. in diesen einnisten. Scripte sind Programme, die im Unterschied zu exe- und com-Dateien nicht in binärer, kompilierter Form, sondern - wie z. B. JavaScript in HTML-Dateien - als reiner Text vorliegen und erst beim Aufruf - im Falle von JavaScript vom Browser - interpretiert werden. Weitere Informationen zu Computerviren finden Sie im WWW z. B. unter http://www.bsi-fuer-buerger.de, http://www.bsi.de/av/, http://www.mcert.de, http://www.buerger-cert.dehttp://www.virus-aktuell.de, http://www.heise.de/security/, http://www.wdr.de/themen/computer/software/virenticker/index.jhtml oder http://www.datenschutzzentrum.de/material/themen/edv/viren/pcviren.htm.

Trojanische Pferde sind Programme, die neben scheinbar oder tatsächlich nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Benutzer und ohne dessen Wissen ausführen. Im Gegensatz zu Viren können sich Trojanische Pferde nicht selbständig verbreiten. Trojanische Pferde sind in der Regel dazu bestimmt, den Rechner auszuspionieren und/oder Kennwörter und Benutzernamen - z. B. beim Einloggen des Benutzers in den entsprechenden Dienst - zu protokollieren und an den Angreifer zu melden. Die Kenntnis von Kennwort und Benutzername ermöglicht dann dem Angreifer z. B. die unberechtigte Nutzung von Online-Diensten auf Kosten des Ausspionierten.
Andere Trojanische Pferde installieren auf Ihrem Rechner einen Dialer. Die Dialer-Software ersetzt das Wählprogramm von Windows durch ein eigenes oder es fügt eine neue DFÜ(Datenfernübertragung)-Verbindung hinzu. Das bedeutet, dass Sie in Zukunft nicht mehr über AOL, T-Online, Internet-by-Call oder Ihren persönlichen Internet-Provider ins Netz kommen, sondern nur noch mit einer neuen, so genannten Premium-Dienste-Nummer, die Sie in den finanziellen Ruin führen kann. Manche Trojanische Pferde ermöglichen dem Angreifer sogar die vollständige Kontrolle über das infizierte System. Der Schutz vertraulicher Daten auf vernetzten Computern (z. B. Personaldaten, Prüfungsdaten usw.) ist bei Befall mit Trojanischen Pferden oder Viren nicht mehr gesichert. Die Daten können verändert, gelöscht oder ausgeforscht und über das Netz an den Angreifer verschickt werden. Diese Datendiebstähle/Datenmanipulationen bleiben wahrscheinlich nicht selten unbemerkt, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt. Wegen der starken Verbreitung und des geringen Sicherheitsstandards bestehen derzeitig die größten Gefahren durch Trojanische Pferde bei Computern mit den DOS/Windows-Betriebssystemen von Microsoft. Weitere Informationen zu Trojanischen Pferden finden Sie im WWW z. B. unter http://www.trojaner-info.de oder http://www.dialerschutz.de oder http://www.dialerhilfe.de.

Würmer sind - im Gegensatz zu Viren vollwertige - Programme, die zwar zumeist selber keinen Schaden anrichten, aber Viren oder Trojanische Pferde beherbergen können. Ursprünglich hatten Würmer nur die Funktion, sich selbst in Form von automatisch erzeugten elektronischen Kettenbriefen weiter zu verbreiten, und bedienten sich dazu der Skriptsprachen, die die frühen E-Mail-Programme besaßen. Würmer versenden sich selbst weiter, indem sie ein E-Mail-Programm z. B. veranlassen, eine E-Mail mit der Wurm-Datei als Anhang an alle im Adressbuch aufgeführten E-Mail-Adressen zu senden oder sogar an alle E-Mail-Adressen, die in auf dem Rechner gespeicherten HTM-Dateien enthalten sind. Heutzutage nutzen sie dazu Sicherheitslücken in E-Mail-Programmen und Betriebssystemen. Die versandten Wurm-Dateien sind natürlich nicht als solche deklariert, sondern tarnen sich als Screensaver oder andere mehr oder weniger nützliche Programmdateien - oder sogar als Datendateien. Die neuen Würmer werden häufig auch als Viren oder Trojanische Pferde bezeichnet, weil sie Viren beherbergen und sich als nützliche Dateien tarnen. Grundlegende Informationen zu Würmern finden Sie im WWW unter http://www.kossakowski.de/wuermer.htm. Informationen zu derzeit grassierenden Würmern finden Sie auf den oben genannten WWW-Seiten zu Viren.

zum Seitenanfang
 

Schutzmaßnahmen vor Viren, Würmern und Trojanischen Pferden

Wie in der FAQ des IMT zum Thema Viren, Würmer und Trojaner dargestellt, ist der beste Schutz umsichtiges Verhalten der Anwender:

Öffnen Sie keine Mail-Anhänge von unbekannten Absendern ohne vorherige Überprüfung. Überprüfen Sie alle angehängten Dateien - nicht nur Programmdateien wie exe- und com-Dateien - mit einem Virenscanner, der sich auf dem neuesten Stand befindet.

Öffnen Sie keine Mail-Anhänge von Ihnen bekannten, an sich vertrauenswürdigen Absendern, wenn Ihnen der Text der Mail irgendwie merkwürdig vorkommt und Sie befürchten müssen, dass der Anhang einen Wurm oder Virus enthält.

Löschen Sie E-Mails, deren Absenderangabe oder Betreffzeile Ihnen merkwürdig vorkommen, am besten ungelesen.

Klicken Sie nicht auf in E-Mails enthaltene Links, wenn Sie dem Absender nicht völlig vertrauen und nicht absolut sicher sind, dass die Absenderangabe nicht gefälscht ist.

Beseitigen Sie Sicherheitslücken in Betriebssystemen und Anwenderprogrammen, indem Sie die entsprechenden Patches (Programmflicken zum Ausbesserung von Softwarelöchern und Programmfehlern) installieren, sobald sie zur Verfügung stehen. Patches für Microsoft-Programme finden Sie unter http://www.windowsupdate.com. Die Website funktioniert allerdings nur, wenn Sie den Internet Explorer benutzen und - zumindest für diese Website - ActiveX-Steuerelemente und JavaScript zulassen.

Installieren Sie einen Virenscanner, der Ihr System regelmäßig checkt bzw. möglichst sogar ständig beobachtet. Halten Sie diesen Virenscanner auf dem neuesten Stand. Informationen zu Antiviren-Software, die Viren und Trojanische Pferde natürlich möglichst nicht nur erkennen, sondern auch ohne Beschädigung der Datei - sofern dieselbe nicht schon vom Virus irreparabel geschädigt wurde - entfernen können sollte, finden Sie im WWW z. B. unter http://www.av-test.org.

Das IMT hilft Ihnen beim automatischen Aktualisieren von Windows und Sophos.

Verwenden Sie möglichst Betriebssysteme und Anwenderprogramme, die weniger gebräuchlich und damit seltener das Ziel von Angreifern sind. Falls Ihr Betriebssystem zwischen den Rollen des Administrators und z. B. des Benutzers oder Gastes unterscheidet, surfen Sie in jener Rolle, in der Sie über die wenigsten Benutzerrechte verfügen: Auch Schadprogramme, die beim Surfen eventuell auf Ihren Rechner gelangen, verfügen dann nur über diese wenigen Benutzerrechte.

Speziell bei den Betriebssystemen Windows NT und XP ist zu beachten: Setzen Sie unbedingt ein nicht zu einfaches Administratorenpasswort. Außerdem sollten Sie unter „Start, Systemsteuerung, Netzwerkverbindungen, LAN-Verbindung, Eigenschaften“ die Option „Datei- und Druckerfreigabe für Microsoft-Netzwerke“ deaktivieren, sofern Sie nicht übers Netz auf Ihren Drucker oder Rechner zugreifen müssen. Denn die Datei- und Druckerfreigabe kann in Verbindung mit einem nicht hinreichend sicheren Passwort von Schadprogrammen genutzt werden, um Zugriff auf Ihren Rechner zu erlangen.

Verwenden Sie möglichst einen Browser, der vom Betriebssystem so weit als möglich separiert ist und keine Sicherheitslücken enthält, die Zugriffe über den Browser auf Ihr Betriebssystem und Ihre Dateien erlauben. Allerdings sind manche WWW-Seiten so speziell für den Microsoft Internet Explorer optimiert, dass Sie wahrscheinlich bisweilen nicht auf ihn verzichten werden können. Eine aktuelle Liste der ungepatchten Sicherheitslücken des Internet Explorers finden Sie unter http://www.safecenter.net/UMBRELLAWEBV4/ie_unpatched/. Als alternative Browser kommen z. B. Konqueror (http://www.konqueror.org, für Linux), Mozilla (http://www.mozilla.org), Firefox (http://www.firefox-browser.de), Netscape (http://channels.netscape.com/ns/browsers/default.jsp) oder Opera (http://www.opera.com) in Frage. Auch bei diesen Browser tauchen zwar immer wieder einmal Sicherheitslücken auf, aber diese sind in der Regel bei weitem nicht so gravierend wie jene des Internet Explorers. Insbesondere akzeptieren diese Browser keine ActiveX-Steuerelemente und räumen JavaScript nicht derart umfangreiche Zugriffsrechte ein wie der Internet Explorer. ActiveX-Steuerelemente sind Programme, die von jedem beliebigen Website-Betreiber programmiert und eingesetzt werden können und im Idealfall die Funktionalität des Internet Explorers erweitern. Andererseits können ActiveX-Steuerelemente aber ebenso wie Trojanische Pferde mit Ihrem Rechner machen, was sie wollen, und tun das eventuell auch, falls Sie an ActiveX-Steuerelemente von unseriösen Website-Betreibern geraten.

Wenn Sie den Microsoft Internet Explorer benutzen, deaktivieren Sie deshalb sicherheitshalber unter „Extras > Internetoptionen > Sicherheit > Internet > Stufe anpassen“ das Ausführen aller ActiveX-Steuerelemente sowie den Download derselben, außerdem Java und JavaScript (Scripting) sowie die Option „ActiveX-Steuerelemente und Plugins ausführen“. Falls Sie auf Plugins (Zusatzprogramme für den Browser zur Anzeige bestimmter Dateien) z. B. für PDF-Dateien oder Flash-Dateien nicht verzichten möchten, sollten Sie die Möglichkeit „Eingabeaufforderung“ wählen. Falls Sie glauben, auf Java und JavaScript nicht verzichten zu können, sollten Sie für Java die Option „Hohe Sicherheit“ und für „Active Scripting“ die Option „Eingabeaufforderung“ wählen. Sie sollten JavaScript nur bei WWW-Seiten vertrauenswürdiger Personen/Unternehmen/Institutionen zulassen. Allerdings sind auch vertrauenswürdige Websites vor Hackerangriffen nicht gefeit und dann leider nicht mehr vertrauenswürdig. JavaScript kann - entgegen anders lautenden Meldungen - zumindest beim Microsoft Internet Explorer tief in das Betriebssystem eingreifen und stellt deshalb durchaus eine Gefahrenquelle dar. Weitere Informationen zur Browsersicherheit finden Sie im WWW z. B. unter http://www.heise.de/ct/browsercheck/.

Deaktivieren Sie in Ihrem E-Mail-Programm die Darstellung von Mails im HTML-Format - sofern Ihr E-Mail-Programm eine solche Darstellung überhaupt zulässt - bzw. lassen Sie sich Mails als reinen Text anzeigen. Bei E-Mails im HTML-Format können beim Öffnen bzw. schon bei der Vorschau schädliche Skripte ausgeführt werden.

Seien Sie misstrauisch, wenn Ihnen von Personen oder Unternehmen, deren Vertrauenswürdigkeit Sie nicht beurteilen können, per E-Mail oder auf WWW-Seiten angeblich nützliche - und zudem auch noch kostenlose - Programme wie Antiviren-Software oder PC-Utilities oder PC-Spiele oder auch Demos offeriert werden: Es könnte sich um ein Trojanisches Pferd handeln. Setzen Sie einen Virenscanner ein, der auch die meisten trojanischen Pferde erkennen wird, und verzichten Sie im Zweifel lieber auf ein Ausprobieren des Programms. Gegen Dialer gibt es spezielle Software, die beim Versuch einer Einwahl über einen unseriösen Dialer den Anwender - meistens - warnt.

Sichern Sie Ihre Daten regelmäßig auf einem Drittmedium, also nicht nur auf Ihrem Rechner.

Speichern Sie keine Kennwörter und Benutzernamen auf Ihrem Rechner oder im Netzwerk, sondern geben Sie sie jeweils neu ein.

Verbinden Sie Rechner, auf denen wichtige oder sensible Daten gespeichert sind, möglichst gar nicht mit dem Internet oder einem lokalen Netzwerk.

zum Seitenanfang
 

Sicherheit vertraulicher Daten im Internet - Problemfelder

Um den Schutz Ihrer Privatsphäre ist es schlecht bestellt, wenn Sie ohne Schutzmaßnahmen E-Mails versenden, im Internet surfen oder per FTP (File Transfer Protocol) Dateien versenden oder empfangen. Ihre E-Mails können von Unbefugten gelesen, Ihre Spuren beim Surfen verfolgt, Ihre Kennwörter und Benutzernamen abgefangen, die gesendeten und empfangenen Dateien manipuliert werden. Legale, kommerzielle Software kann ohne Ihr Einverständnis Verbindung mit dem Server des Herstellers aufnehmen, z. B. um sich selbst zu registrieren. Spyware versucht, Sie auszuspionieren, und übermittelt ohne Ihr Einverständnis Informationen an den Hersteller. Cookies speichern auf Ihrem Rechner Daten über Ihr Surfverhalten und können genutzt werden, um Ihre Interessen zu erkunden und Ihnen ungefragt entsprechende Waren anzubieten. Ohne Schutzmaßnahmen ist es einem Angreifer sogar möglich, über Sicherheitslöcher in Ihrer Browser- und Betriebssoftware Ihren Rechner fernzusteuern und von Ihrem Rechner aus Angriffe auf andere Rechner zu starten.

zum Seitenanfang
 

Verschlüsselung von E-Mails

E-Mails werden standardmäßig im Klartext über das Internet im Klartext übertragen. Sie können dabei abgefangen, gelesen und geändert werden. Ferner hat jeder Administrator der Verteilerpunkte, über die Ihre E-Mail geleitet wird, die Möglichkeit, sie einzusehen. Weitgehende Abhilfe schaffen Verschlüsselungsprogramme wie GnuPP (http://www.gnupp.de) oder GnuPG (http://www.gnu.org).

Um verschlüsselte E-Mails austauschen zu können, müssen Sie zunächst ein eigenes Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugen. Mit einem geeigneten Mailprogramm, das die Verschlüsselung von Mails per GnuPG /GnuPP unterstützen, können Sie anschließend verschlüsselte E-Mails austauschen. Lassen Sie sich von Ihrem Mailpartner hierzu seinen öffentlichen Schlüssel zuschicken und schicken Sie ihm im Gegenzug Ihren öffentlichen Schlüssel zu.

Sie können nun E-Mails mit Ihrem privaten Schlüssel und dem öffentlichen Schlüssel Ihres Partners verschlüsseln. Im Gegenzug kann dieser die von Ihnen verschlüsselte E-Mail mit seinem privaten und Ihrem öffentlichen Schlüssel entschlüsseln.

Mit der Verschlüsselung ist allerdings noch nicht sichergestellt, dass der Schlüssel nicht gefälscht wurde und dass der angegebene Absender der E-Mail auch der tatsächliche Absender ist. Um sicherzugehen, dass ein öffentlicher Schlüssel auch wirklich von der entsprechenden Person stammt, können Sie Ihren Schlüssel von verschiedenen Leuten unterschreiben (signieren) lassen. Hierzu müssen Sie sich persönlich mit Leuten treffen, die GnuPG /GnuPP einsetzen und dieser Person Ihren öffentlichen Schlüssel übergeben (auf Diskette) sowie sich ausweisen. Noch aussagekräftiger ist die Signierung durch eine öffentliche Zertifizierungsstelle. An der Universität Paderborn gibt es eine solche Zertifizierungsstelle.

Wissenswertes zu kryptographischen Verfahren: Grundsätzlich gibt es zwei Arten von kryptographischen Verfahren (Verschlüsselungsverfahren), nämlich symmetrische und asymmetrische Verfahren. Bei symmetrischen Algorithmen wird ein Schlüssel verwendet, mit dem ein Text verschlüsselt und wieder entschlüsselt werden kann. Daher ist es bei diesen Verfahren notwendig, dem Kommunikationspartner den Schlüssel auf sicherem Wege zu übermitteln.

Bei asymmetrischen Verfahren existieren zwei zusammengehörige Schlüssel, von denen der eine zum Verschlüsseln und der andere zum Entschlüsseln verwendet werden. Die Kenntnis des Schlüssels zum Verschlüsseln genügt nicht, um einen Text entschlüsseln zu können. Da der Schlüssel zum Verschlüsseln daher problemlos veröffentlicht werden kann, wird hier von einem „Public Key“ gesprochen. Dagegen wird der Schlüssel zum Entschlüsseln, der geheim gehalten werden muss, als „Private Key“ bezeichnet. Diese Verfahren funktionieren im Prinzip wie ein Vorhängeschloss: Um eine Kiste zu verschließen, kann jeder das Vorhängeschloss zuschnappen lassen (Public Key). Um die Kiste wieder zu öffnen, wird jedoch der Schlüssel dieses Schlosses, der Private Key, benötigt. Der Private Key selbst wird beim Speichern durch ein Kennwort geschützt.

Schließlich gibt es noch hybride Verschlüsselungsverfahren, bei denen sowohl symmetrische als auch asymmetrische Verschlüsselungsalgorithmen eingesetzt werden. Bei GnuPG werden beispielsweise die eigentlichen Daten mit einem zufällig erzeugten symmetrischen Sitzungsschlüssel verschlüsselt. Dieser Sitzungsschlüssel wird dann, um einen sicheren Schlüsseltausch zu ermöglichen, mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und von GnuPG zu einem Paket zusammengepackt. Auf der Empfängerseite entschlüsselt GnuPG zuerst mit dem geheimen Schlüssel des Empfängers den Sitzungsschlüssel, mit dem dann die ursprünglichen Daten wieder hergestellt werden können.

Ein Problem bei allen Verschlüsselungsprogrammen ist die Ablage des geheimen Schlüssels und des Kennwortes, mit dem der Schlüssel geschützt wird. Sofern sich eine entsprechende Datei auf der Festplatte des Rechners oder auch nur im Zwischenspeicher desselben befindet, besteht die - nicht nur theoretische - Gefahr, dass ein Trojanisches Pferd die Datei mit dem Schlüssel und - z. B. bei der Eingabe - das Kennwort stiehlt. Daher ist es am sichersten, allerdings auch mit zusätzlichen Kosten verbunden, den geheimen Schlüssel auf einer Smartcard (natürlich verschlüsselt) zu speichern.

Eine Smartcard ist eine kreditkartenförmige Karte, welche Verschlüsselungsinformationen enthält und so den Zugang zu bestimmten Systemen ermöglicht. Die Erzeugung des symmetrischen Schlüssels und dessen Verschlüsselung wird dann auf der Smartcard vorgenommen, so dass alle Schlüssel nur verschlüsselt in den Rechner gelangen. Nur die eigentliche symmetrische Verschlüsselung der zu versendenden Nachrichten wird meist aus Performancegründen auf dem Rechner ausgeführt. Weiterhin wird bei der Kennworteingabe die Verbindung Tastatur-Rechner unterbrochen, so dass das Kennwort nur auf die Smartcard und nicht in den Rechner gelangen kann. Jeder Öffnungsversuch an der Smartcard bzw. dem Smartcard-Leser führt dazu, dass alle sensiblen Daten gelöscht werden.

Weitere Informationen zu den Themen Verschlüsselung und Zertifizierung finden Sie im WWW z. B. unter http://www.sicherheit-im-internet.de oder http://www.bsi-fuer-buerger.de oder http://www.gnupp.de oder http://www.pca.dfn.de oder http://ca.fernuni-hagen.de.

zum Seitenanfang
 

Verschlüsselung von WWW-Seiten

Ebenso wie E-Mails werden auch WWW-Seiten im Internet standardmäßig unverschlüsselt übertragen. Wenn Sie selbst eine Homepage betreiben und dort keine Bestellformulare anbieten und auch nicht nach persönlichen Daten fragen, kann die Tatsache, dass die WWW-Seiten unverschlüsselt übertragen werden, Ihnen und den Besuchern Ihrer Homepage in der Regel egal sein. Gleichfalls wird Ihnen diese Tatsache als Besucher einer WWW-Seite, die keine dynamisch generierten Informationen speziell für Sie persönlich enthält, meistens egal sein.

Anders verhält es sich z. B., wenn Sie online einkaufen und über Formulare im Web Bestell- oder Kontodaten oder sonstige vertrauliche Informationen übermitteln müssen oder erhalten möchten, die Dritten nicht bekannt werden sollen und nicht von Dritten verfälscht werden können dürfen. In diesem Fall sollten Sie darauf achten, dass die Informationen verschlüsselt übertragen werden. Häufig schaltet die angesprochene Website bei der Abfrage oder Ausgabe vertraulicher Informationen automatisch auf eine verschlüsselte Verbindung um. Manchmal wird die verschlüsselte Verbindung aber auch nur optional angeboten. Sie sollten sie auf jeden Fall nutzen.

Verschlüsselt wird in der Regel mit SSL (Secure Sockets Layer). Damit lassen sich verschlüsselte Verbindungen über eine normalerweise unsichere Internet-Verbindung aufbauen. Überprüft wird außerdem die Identität des angesprochenen Servers. Ferner berechnet das Protokoll, ob die Daten vollständig und unverändert den Empfänger erreichen.

Das SSL-Protokoll ist im Web erkennbar am Präfix https:// in der Adresszeile (statt http:// beim unverschlüsselten Datentransfer). Das "s" steht für "secure". Die meisten WWW-Browser zeigen die SSL-Verbindung zudem durch ein Symbol (gesichertes Vorhängeschloss o. Ä.) in der Statusleiste an. Das „s“ veranlasst den Browser, vom angesprochenen Server ein Zertifikat und seinen öffentlichen Schlüssel anzufordern.

Als Anwender brauchen Sie sich um die Technik in der Regel nicht zu kümmern. Es reicht, wenn Sie einen Browser verwenden, der SSL beherrscht und bei Bedarf anwendet. Alle aktuellen Browser können das. Falls der Server dem Browser ein ungültiges Zertifikat schickt oder der Browser das Zertifikat nicht kennt, informiert Sie der Browser darüber. Sie können sich dann entscheiden, ob Sie das Zertifikat akzeptieren, ob Sie es nur in diesem Falle akzeptieren oder ob Sie es sogar installieren möchten. Letzteres ist nur ratsam, wenn Sie dem Aussteller wirklich vertrauen. Bedenken Sie bitte außerdem: Das Zertifikat sagt nichts über die Seriösität des Zertifizierten aus, sondern ist lediglich eine Identitätsbestätigung.

Vor der Installation eines Zertifikates empfiehlt es sich bei einer Ihnen zuvor unbekannten Website, dessen Fingerprint zu überprüfen, damit Sie sicher sein können, dass Ihnen keine gefälschte WWW-Seite und kein gefälschtes Zertifikat präsentiert werden. Das Erstellen eines Fingerprints erfolgt mit einem mathematischen Verfahren (Hash), das zu einem Text eine (relativ lange) Zahl generiert, die den Text repräsentiert. Zum Überprüfen des Fingerprints müssen Sie den authentischen Fingerprint des Zertifikates vom Betreiber der Website schriftlich oder telefonisch oder persönlich erfragen. Bei einer Ihnen bekannten Website genügt es dagegen, wenn Sie die korrekte Adresse der Website in das Adressfeld Ihres Browsers eintippen und dann die Website aufrufen. Sie dürfen dann davon ausgehen, dass sowohl die Website als auch das Zertifikat echt sind.

Die Zertifikate deutscher Hochschulen und der meisten Forschungseinrichtungen basieren auf dem Zertifikat des Deutschen Forschungsnetzes (DFN). Dieses Basiszertifikat und das Zertifikat der Universität Paderborn können und sollten Sie herunterladen und sich dadurch den Download vieler abgeleiteter Zertifikate ersparen. Informationen und Downloadlinks finden Sie auf den WWW-Seiten der Zertifizierungsstelle der Universität Paderborn.

zum Seitenanfang
 

Passwörter

Passwörter sollten nach Möglichkeit nur verschlüsselt übertragen werden, also per SSL. Wenn ein Passwort nicht verschlüsselt übertragen werden kann, z. B. bei FTP, sollten Sie es zumindest häufig ändern. Ferner sollten Sie Ihre Passwörter nicht auf Ihrem Rechner oder im Netzwerk speichern, sondern jeweils neu eingeben. Das verringert die Gefahr, dass sie von Spionageprogrammen ausgespäht werden.

Außerdem sollten Sie nicht zu einfache Passwörter wählen: Ein gutes Passwort enthält Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen in einer sinnlosen Reihenfolge und ist mindestens acht Zeichen lang. Ungeeignet als Passwörter sind z. B. alle Wörter, die in einem Wörterbuch, Telefonbuch o. Ä. vorkommen, außerdem Geburtstagsdaten oder Kombinationen davon. In der Praxis ist zu beachten, was an Zeichen erlaubt ist: Z. B. lassen manche Provider keine Sonderzeichen im Passwort zu. Auch die Länge des Passwortes unterliegt in der Regel Beschränkungen.

Wie Sie ein Passwort kreieren und sich merken, ist im Grunde egal. Wichtig ist, dass die Grundlage für das Passwort für andere Personen oder für Programme zum Passwortknacken nicht nachvollziehbar ist und das Passwort nicht durch triviales Herumprobieren gefunden werden kann. Nehmen Sie also z. B. einen Satz, der Ihnen gerade in den Sinn kommt, und packen Sie den ersten Buchstaben jedes Wortes in das Passwort. Bei dem Satz "Ich telefoniere nicht besonders gern oder besonders häufig" wäre das z. B. die Zeichenfolge "itnbgobh". Jetzt schreiben Sie noch jeden n-ten Buchstaben groß: "iTNbgOBh". Zusätzlich schauen Sie, welche Buchstaben welchen Ziffern ähnlich sehen, und ersetzen sie dadurch: "17Nbg03h". Schon haben Sie ein hervorragendes Passwort, das man sich mit Hilfe dieser Eselsbrücke leicht merken kann.

zum Seitenanfang
 

Surfspuren im Internet - Cookies und Web-Bugs

Nicht nur Ihr Internet-Provider protokolliert alle Ihre Bewegungen im WWW und speichert die Daten mindestens 80 Tage lang, sondern auch diverse Online-Shops und Softwarehersteller versuchen, mittels Cookies, Web-Bugs sowie Spyware in Freeware und Shareware Ihr Surfverhalten zu ergründen - die Online-Shops, um Ihnen maßgeschneiderte Werbung zu präsentieren, die Freeware- und Sharewarehersteller, um die gewonnenen Daten an Internet-Werbeagenturen zu verkaufen.

Cookies sind kleine Textdateien, in denen gespeichert werden kann, welche WWW-Seiten Sie besucht haben, was Sie bestellt haben, wann und wie oft und wie lange Sie auf den Seiten des Website-Betreibers surfen. Zusätzlich lassen sich Benutzernamen, Kennwörter und einfache Benutzer-Profile anlegen und speichern. Beim nächsten Besuch kann Ihnen der Anbieter dann passende Angebote machen und Sie können sehen, welche Seiten Sie schon besucht und was Sie bestellt haben. Cookies können insofern auch hilfreich sein.

Die Möglichkeiten von Cookies sind begrenzt: Cookies gelten nur für die jeweilige Website - der Anbieter kann damit also z. B. nicht auskundschaften, was Sie bei der Konkurrenz oder sonstwo machen. Er kann freilich die - aus Cookies und eventuellen Bestellungen - gewonnenen Daten ohne Ihr Wissen an eine Werbeagentur verkaufen und diese kann, wenn sie genug Daten aus verschiedenen Quellen über Sie gesammelt hat und es ihr gelingt, die Datensätze personengenau zu verknüpfen, daraus ein sehr genaues Personenprofil erstellen.

Cookies stellen kein Sicherheitsrisiko für Ihren Rechner dar. Außerdem können Sie im Browser einstellen, dass Cookies generell nicht angenommen oder nicht über die jeweilige Online-Sitzung hinaus gespeichert oder nur Cookies von bestimmten Anbietern zugelassen werden. Ferner können Sie bereits dauerhaft gespeicherte Cookies wieder löschen. Beim Internet Explorer z. B. können Sie das Löschen der Cookies unter „Extras > Internetoptionen > Allgemein > Cookies löschen“ und die genannten Einstellungen unter „Extras > Internetoptionen > Datenschutz“ vornehmen. Werkzeuge zur Wahrung Ihrer Anonymität im Internet finden Sie z. B. unter http://directory.google.com/Top/Computers/Security/Internet/Privacy/.

Trickreicher als Cookies sind Werbebanner/Web-Bugs. Web-Bugs sind winzige, häufig nur 1 x 1 Pixel große, meistens unsichtbare, nämlich transparente Bilder im Gif-Format, die in jeder WWW-Seite oder E-Mail im HTML-Format versteckt sein können, oder eben Werbebanner oder sonstige Grafikdateien, die als Web-Bugs missbraucht werden. Web-Bugs stammen typischerweise von einem anderen Server als jenem, auf dem die aufgerufene WWW-Seite liegt. Wenn Sie einen Web-Bug zusammen mit dem Rest der WWW-Seite laden, werden Informationen an den Rechner der Firma gesendet, die diesen platziert hat, z. B. Ihre IP-Adresse, anhand derer Ihr Rechner oder - bei dynamischen IP-Adressen - zumindest Ihr Internet-Provider eindeutig identifizierbar sind, der von Ihnen benutzte Browser, die URL der WWW-Seite, die Sie gerade aufgerufen haben, sowie die URL jener, die Sie davor aufgerufen hatten. Diese Seite heißt Referer. Um das Profil über Ihre Surf-Gewohnheiten zu vervollständigen, wird gewöhnlich auch die Uhrzeit, zu der Sie die WWW-Seite besuchen bzw. die E-Mail öffnen, gespeichert. Da inzwischen auf fast allen kommerziellen WWW-Seiten - einschließlich der WWW-Seiten von Computerzeitschriften und sonstigen Zeitschriften - Web-Bugs versteckt sind, lässt sich allein mit diesen Informationen bereits ein ziemlich lückenloses Profil Ihrer Surfgewohnheiten und damit Ihrer Interessen erstellen. Darüber hinaus können auch noch die Daten eines vorher gesetzten Cookies abgerufen werden.

Machen können Sie gegen Web-Bugs ohne Zusatzsoftware kaum etwas - allenfalls generell die Darstellung von Grafiken in Ihrem Browser unterbinden. Im Browser Opera können Sie unter „Datei > Einstellungen > Privacy“ immerhin die Weitergabe der Referer-URL ausschalten, indem Sie das Häkchen vor „Enable Referer logging“ entfernen. Es ist im übrigen kaum möglich, Web-Bugs zweifelsfrei zu erkennen, denn jede Grafik, die von einem anderen Server geladen wird, könnte ein Web-Bug sein. Erst die Auswertung der erhaltenen Daten durch den Server-Betreiber macht nämlich die Grafik zum Web-Bug.

Programme gegen Web-Bugs: Das Programm Bugnosis (http://www.bugnosis.org) spürt verdächtige Bilder auf. Das Programm WebWasher (http://www.webwasher.de) - für private Anwender kostenlos - verfügt über mächtige Filterfunktionen auch bezüglich Web-Bugs.

zum Seitenanfang
 

Spyware

Eine noch ernstere Bedrohung ihrer Privatsphäre über das Internet stellt Spyware (Spionagesoftware) dar. Spyware ist jede Software, die den Internet-Anschluss eines Benutzers im Hintergrund - also ohne Ihr Wissen oder Ihre ausdrückliche Erlaubnis - einsetzt, um z. B. Ihre Interessen und Vorlieben herauszubekommen oder um ein Kundenprofil zu erstellen oder um herauszufinden, ob Sie legaler Besitzer einer kostenpflichtigen Software sind. Selbst ein Betriebssystem kann also Spyware sein. Spyware ist z. B. auch der Media Player 7, denn er nimmt ohne Wissen des Nutzers Kontakt mit Microsoft auf.

Häufiger jedoch wird so genannte Adware (Advertising Software) zu einer echten Bedrohung der Privatsphäre im Internet. Adware ist Shareware, die sich durch die Einblendung von Werbung finanzieren soll. Der Anwender hat die Wahl, ob er das Programm gegen eine Gebühr registriert und die Banner somit entfernt oder ob er die Werbeeinblendung auf dem Bildschirm lässt. Häufig enthält Adware jedoch nicht nur Werbeeinblendungen, sondern darüber hinaus versteckte Zusatzprogramme (Plug-Ins), die unbemerkt Informationen über Sie sammeln und anschließend herausschmuggeln. Die Adware wird dadurch zur Spyware. Der Unterschied zwischen solcher Spyware und Trojanischen Pferden besteht eigentlich nur darin, dass die meisten Adware- bzw. Spyware-Programme tatsächlich recht nützlich sind. Besonders ärgerlich ist, dass auch bei einer Registrierung der Shareware zwar die Werbeeinblendungen abgeschaltet werden, die Spyware aber häufig nicht deaktiviert wird, sondern weiter Daten verschickt - unter anderem nicht selten die bei der Registrierung zusätzlich gewonnenen Daten.

Software können Sie mit Spychecker (http://www.spychecker.com) vor der Installation als Spyware erkennen, sofern die zu prüfende Software dem Spychecker als Spyware bekannt ist. Ist eine Installation bereits erfolgt, können Sie Spyware mit Programmen wie Ad-aware oder Spybot Search & Destory (http://www.safer-networking.org) oder SpyBlocker (http://www.spyblocker-software.com/spyblocker/) aufspüren und auch entfernen. Allerdings funktioniert die Shareware, die die Spyware enthielt, dann in der Regel nicht mehr oder wird sogar mitgelöscht.

Generell ist zu sagen, dass Anti-Spyware-Programme in der Regel nicht alle Spyware erkennen. Sie sollten deshalb immer mindestens zwei Programme verwenden, um zumindest einen Großteil der Spyware zu entfernen. Weitere Informationen zu Spyware finden Sie im WWW z. B. unter http://www.at-web.de/spezialverzeichnisse/spywarecheck.htm.

zum Seitenanfang
 

Personal Firewalls

Eine weitere Möglichkeit, Spyware ausfindig zu machen und zu blockieren, ist der Einsatz einer Firewall (wortwörtlich übersetzt Feuerschutzmauer). Firewalls gibt es für Netzwerke, aber auch für Einzelplatzrechner (Personal Firewall). Eine Personal Firewall (auch: Desktop Firewall) sichert Ihren Rechner und Ihre Daten dadurch, dass sie den ein- und ausgehenden Datenverkehr auf Ihrem PC kontrolliert. Sie können einstellen, welchen Programmen sie erlauben bzw. welchen Programmen sie verbieten, Daten ins Internet zu senden oder aus dem Internet zu empfangen, und Sie können unbefugte Zugriffe aus dem Internet auf Ihren Rechner unterbinden, indem Sie die Zugriffsrechte entsprechend beschränken und offene Ports (Anschlüsse) schließen. Speziell im Falle von Spyware würde sich dieselbe beim Versuch, Daten übers Internet zu verschicken, verraten und auf die Nachfrage der Firewall hin, ob das Programm Daten ins Internet senden darf, könnten Sie der Spyware den Internetzugang dauerhaft verbieten.

Firewalls sind allerdings kein Allheilmittel. Gegen Viren, Würmer und Trojanische Pferde schützen sie nicht. Sobald ein Trojanisches Pferd Ihren Rechner erobert hat, kann es die Firewall abschalten oder auch austricksen, indem es die ausspionierten Daten über eine Anwendung verschickt, der Sie den Internetzugang schwerlich verwehren werden, z. B. über den Internet Explorer oder über Ihr Mailprogramm. Wenn Sie Filesharing-Software installiert haben, um an Tauschbörsen teilzunehmen, bietet eine Firewall in der Praxis ebenfalls keinen Schutz mehr.

Ein populäres kostenloses Firewall-Programm ist ZoneAlarm (http://www.zonelabs.com). Das Programm bietet einen guten Schutz, allerdings nur geringe Konfigurationsmöglichkeiten. Außerdem warnt es bei jedem Portscan und kann den Benutzer damit ziemlich nerven. Als Portscan bezeichnet man das „Abtasten“ -Scannen - eines netzwerkfähigen Rechners auf offene Anschlüsse - Ports - hin. Allerdings kann man die ständigen Warnungen in ZoneAlarm abschalten, ohne die Schutzfunktion zu beeinträchtigen. Ein weiteres für private Anwender kostenloses Firewall-Programm ist z. B. Sygate Personal Firewall (http://www.sygate.com). Außerdem gibt es natürlich kommerzielle Programme, die teilweise sehr leistungsstark sind. Generellen Schutz bietet jedoch keine Firewall, zumal immer wieder neue Sicherheitslücken entdeckt werden: Ihre eigene Wachsamkeit und Vorsicht bei Downloads, bei nicht erbetenen E-Mail-Anhängen, beim Gebrauch von Programmen mit Werbebannern und hinsichtlich der Wahl und der Einstellungen Ihres Browsers und Ihres E-Mail-Programmes sind der beste Schutz. Alle anderen genannten Programme können diesen Schutz ergänzen, aber nicht ersetzen.

Weitere Informationen zur Firewalls finden Sie im WWW z. B. unter http://www.bsi.de oder  http://www.cert.dfn.de/dfncert/.

zum Seitenanfang
 

Anonyme Proxy-Server

Von den Informationen, die Sie preisgeben, wenn Sie eine WWW-Seite besuchen - IP-Adresse, Providername, Rechnername, Betriebssystem, Browsertyp, Browser-Fähigkeiten (Plug-Ins wie Flash), Referer (vorher besuchte WWW-Seite), eventuell vorhandene Cookies - können Sie viele nicht nur durch Programme wie CookieCooker (http://cookie.inf.tu-dresden.de) verfälschen, sondern auch dadurch, dass Sie über einen anonymen Proxy-Server ins WWW gehen. Proxy-Server sind „Drehscheiben“ im WWW. Wird eine Anfrage nach einer WWW-Seite über einen Proxy-Server geleitet, so schaut der Proxy zunächst einmal in seinem eigenen Speicher nach, ob das entsprechende Dokument dort vorhanden ist. Wenn ja, wird die Proxy-Kopie des Dokuments an den Browser zurückgeschickt, was das Surfen erheblich beschleunigen kann. Wenn nein, wird die Anfrage ganz normal weitergeleitet und das Dokument von seinem Server abgerufen. Für den Server, auf dem ein neu abzurufendes Dokument liegt, sieht es dabei so aus, als käme die Anfrage vom Proxy-Server selbst und nicht vom Benutzer „hinter“ dem Proxy. Der Ursprung der Anfrage bleibt dem Website-Betreiber also verborgen. Dieser Vorgang wird Masquerading (Maskierung, Verschleierung) genannt.

Anonymizer sind ein Sonderfall der Proxy-Server. Sie bieten ihren Benutzern nicht nur die Anonymität des Masquerading, sondern filtern zusätzlich ungewünschte Inhalte wie Cookies heraus oder verschleiern sonst die Identität des Benutzers. Der Bekannteste dieser Dienste trägt selbst den Namen Anonymizer (http://www.anonymizer.com). Anonym surfen können Sie aber z. B. auch über http://nonymouse.com/anonwww_de.html. Weitere Anonymizer finden Sie über http://directory.google.com/Top/Computers/Security/Internet/Privacy/. Ihre Anonymität ist bei einem anonymen Proxy-Server natürlich nur so lange gewährleistet, wie der Proxy-Betreiber die Daten nicht sammeln und an interessierte Unternehmen verkauft.

Die meisten Anonymizer-Dienste bieten hauptsächlich Web-Applikationen ihrer Dienste an, bei Anonymizer kann aber auch der Server anon.free.anonymizer.com:80 direkt als Proxy-Server angesprochen werden. Die Adresse des Proxy-Servers tragen Sie im Internet Explorer unter „Extras > Internetoptionen > Verbindungen > Einstellungen > Proxyserver“ ein. Ein anonymer Proxy kann auch dabei helfen, den Provider und den Rechnernamen im Internet zu verschleiern. Alle Proxies können Ihnen aber nicht helfen, wenn Sie im Internet-Browser JavaScript - oder Java oder ActiveX - aktiviert haben. Denn damit lassen sich ganz einfach zahlreiche detaillierte Informationen über Ihren Rechner sammeln.

zum Seitenanfang

Index A-Z | Impressum | Webmaster | Geändert am: 30.08.2013 | Direktlink: 153 | Login