docSicherheitshinweise - Falk Wolf Schneider
download 
Report Transcription
Sicherheitshinweise - Falk Wolf Schneider
"Internet: Aufbaukurs"
Stand: 00.2009
Sicherheit
Im Internet, auch genannt die virtuelle Welt (Cyberspace), gibt es genau wie in der realen Welt
auch Menschen und Absichten, die boshaft oder kriminell sind.
Letzten Endes kann dort niemanden jemanden ein leibliches Leid antun, aber es ist möglich,
dem Nutzer vor dem Bildschirm Kosten (möglicherweise immense) und Probleme zu bereiten.
Die Ziele sind entweder die privaten Daten oder das Betriebssystem des Computers zu schädigen oder zu vernichten, Informationen zu erlangen, die es ermöglichen, finanziellen Schaden
zu verursachen, oder den privaten Computer zu nutzen, um andere Computer zu behindern
oder andere Nutzer zu schädigen.
Die meisten Bedrohungen für das Computersystem und die Daten verlangen vom Nutzer einen unvorsichtigen oder fehlerhaften Umgang, damit sie Schaden anrichten können. D.h., ohne aktive Fehler des Nutzers kann zum größten Teil nichts passieren.
Einige Bedrohungen nutzen aber auch Lücken, die das Betriebssystem oder Programme
selbst aufreißen oder die zu schließen vergessen wurden. Hier muss der Nutzer regelmäßig
aktiv werden, um einen Schutz des Computersystems und der Daten sicher zu stellen.
Malware (Schlechtware)
Für die folgend aufgezählten Arten von Schadprogrammen gilt, dass sie auf den lokalen Computer gelangen müssen und dort ausgeführt bzw. gestartet werden müssen. Dazu ist im Allgemeinen immer eine Handlung des Nutzers nötig. Schadprogramme können über Datenträger, über E-Mail-Anhänge oder über den Bezug (runterladen) aus dem Internet auf den lokalen
Computer gelangen.
Viren = kritisch
Ein Computervirus ist ein Schadprogramm, das Einstellungen des Betriebssystems ändert oder Daten löscht und das andere Programme infiziert (d.h., sich selbst in andere Dateien einpflanzt), sich also selbst vermehrt und verbreitet. So können also auch für das Betriebssystem
notwendige oder für den Nutzer wichtige Dateien befallen werden. Manche Viren (Rootkits)
nisten sich so tief in das Betriebssystem ein, dass nur ein erneutes Aufsetzen (Installieren) des
Betriebssystems Abhilfe schaffen kann. Natürlich gehen so alle nicht extern gesicherten (persönlichen) Daten und (persönlichen) Einstellungen verloren.
Trojanische Pferde (abgekürzt: Trojaner) = kritisch
Trojaner verstecken sich auf dem lokalen Computer und sammeln Daten, die sich kriminell
verwenden lassen, also z.B. Nutzernamen, Passwörter bzw. Kennwörter, Bankdaten, Kreditkartendaten. Die gesammelten Daten werden unbemerkt bei bestehender Internetverbindung
an den Auftraggeber gesendet, der sie dann zum Schaden des Nutzers verwendet.
Dialer (Wähler) = mittel
Wenn der Zugang ins Internet über die Einwahl im Telefonnetz hergestellt wird (analoges Modem, ISDN), dann leiten diese Programme die Einwahl zu anderen Telefonnummern um, die
wesentlich mehr kosten (Ausland, Sonderrufnummern). Bei der direkten Verbindung ins Internet über das Netzwerk (auch DSL-Modem) wird keine Einwahl mehr verwendet, weshalb Dialer auch keine Wirkung mehr haben.
© Falk Wolf Schneider
Seite 1 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
Spyware (Spionageware) = lästig
Eine Spyware spioniert persönliche Daten des Nutzers vom lokalen Computer aus, um dessen
Vorlieben (Surfverhalten, Kaufverhalten) im Hinblick auf die Zustellung von entsprechender
Werbung zu analysieren.
Adware (Zusatzware) = lästig
Manche Programme, die es kostenlos im Internet zum Runterladen und Verwenden gibt, finanzieren sich durch das Einblenden von Werbung oder versenden diese als E-Mail. Manchmal enthalten diese aber auch gleichzeitig Spyware, um herauszufinden, welche Werbung für
den Nutzer des lokalen Computers am interessantesten ist.
Hinweis: Im Gegensatz zu den werbefinanzierten Programmen gibt es noch Shareware (Teilware), die ein Nutzer zeitlich oder funktional eingeschränkt ausprobieren kann, bevor er dafür
zahlen sollte, und Freeware (Freiware), die komplett kostenlos ist.
Backdoors (Hintertüren)
Die Möglichkeiten von Computernetzwerken sind mannigfaltig. Gerade in Unternehmen und
Firmen ist es manchmal sinnvoll und gewünscht, dass Computer von anderen Computern
ferngesteuert werden können, damit die verantwortlichen Administratoren diese Computer
warten und pflegen können, obwohl sie örtlich von ihnen getrennt sind.
Betriebssysteme und Programme haben oft unvorhergesehene Probleme damit, festzustellen,
welcher Zugriff von außen auf den lokalen Computer gewünscht ist und welcher abgehalten
(geblockt) werden muss.
Kriminelle benutzen diese Lücken, um unbemerkt auf Computer, die sich im Internet befinden,
zu gelangen. Dort schleusen sie dann Schadprogramme ein oder nutzen den übernommenen
Computer, um anderen Computern (z.B. Firmen) Schaden zuzufügen, indem sie diese z.B.
durch unsinnige Anfragen (z.B. Aufrufen einer Internseite oder einer Information) lahm legen.
Würmer = kritisch
Ein Computerwurm gelangt durch Lücken im Betriebssystem aus dem Internet oder aus dem
Intranet auf den lokalen Computer. Es ist die Hauptaufgabe eines Wurmes sich selbst zu verbreiten. Damit legt er aber den lokalen Computer oder das Computernetzwerk lahm, weil er,
zumindest wenn eine Verbindung ins Internet besteht, sämtliche Leistungsressourcen des
Computers dafür verwendet.
Bösartige Internetseiten bzw. schädlicher Programmiercode
Internetseiten sind nicht nur in HyperText Markup Language (HTML) geschrieben, denn HTML
bietet nicht die Möglichkeit, mit dem Besucher einer Internetseite zu interagieren. HTML kann
nur darstellen. Es bedarf weitere Skriptsprachen, um auf den Besucher zu reagieren. So sind
Einkaufsportale überhaupt erst möglich.
Phising (Angeln nach Passwörter) = kritisch
Es ist möglich, eine Internetadresse auf eine andere Internetadresse umzuleiten und/oder die
wahre Internetadresse zu verstecken. Beim ersten Fall wäre in der Adressleiste der Internet
Browsers nicht die Adresse zu sehen, die der Nutzer erwartet hätte. Kommt der zweite Fall
hinzu, wird in der Adressleiste nicht die Internetadresse der Internetseite angezeigt, die derzeit
im Browser dargestellt wird. So ist es also möglich, eine Internetseite darzustellen, die es gar
nicht ist. Kriminelle nutzen diese Möglichkeiten, um an Nutzernamen, Kennwörter und Bank© Falk Wolf Schneider
Seite 2 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
daten zu kommen. Dabei sieht die falsche Internetseite meistens genau aus, wie die richtige.
Hinweis: Es ist sehr einfach, die Kopie einer Internetseite herzustellen. Solche Umleitungen
sind meist in E-Mails versteckt. Vorsicht ist gerade dann erst recht geboten, wenn ein Unternehmen, bei dem in irgendeiner Weise Geld umgesetzt wird (z.B. Einkauf, Fahrkarten, Eintrittskarten, Banken), vorgibt, zur Prüfung seiner Technik oder seiner Daten die Eingabe von
Nutzernamen, Kennwörter oder Bankdaten zu brauchen. Dahinter steckt immer eine kriminelle
Absicht.
PHP = notwendig, harmlos
PHP ist eine Skriptsprache, die eine Internetseite dynamisch und automatisch entsprechend
den Anforderungen und Informationen zugeschnitten in HTML erstellt. Der gesamte Prozess
findet auf dem entfernten Computer statt. Der Nutzer des lokalen Computers bekommt nur
eine fertige Internetseite übertragen - die allerdings auch schädlichen Programmiercode enthalten kann. Diese Skriptsprache ist absolut notwendig, um z.B. in Einkaufsportalen die angebotenen Produkte aus der hinterlegten Datenbank abzurufen.
Javascript = notwendig, harmlos bis lästig
Dieser Programmcode kann Informationen sammeln über den Computer und über den Nutzer.
Dieser Programmcode wird zwar auf dem Computer ausgeführt, bei dem die Internetseite angezeigt wird, kann aber außer dem Auslesen von Informationen keine Schäden anrichten. Es
gibt heutzutage kaum noch Internetseiten, die kein Javascript beinhalten. Wenn Daten, die in
Formulare eingetragen werden, weiterverarbeitet werden sollen, wenn Popup-Fenster geöffnet
werden sollen, wenn Einkaufswagen gefüllt werden sollen, wenn Cookies erstellt werden sollen, dann ist Javascript dafür nötig. Javascript ist somit die Voraussetzung für jede Form der
dynamischen Internetseiten (auch für PHP).
Java = ungefährlich
Ist eine Programmiersprache, die vor allem für Multimedia-Anwendungen (auch auf dem Mobiltelefon) verwendet wird. Da Java auch komplett eigenständig als Programm auf dem lokalen
Computer funktionieren würde, könnte Java böswillig viel Schaden anrichten. Da Java aber
nur in einer abgesperrten virtuellen Umgebung, dem sogenannten Sandkasten (Sandbox),
arbeitet, kann Java nicht wirklich auf Funktionen und das System des Computers zugreifen,
auf dem es arbeitet. Alles, was Java zur Funktion braucht, ist in Java enthalten.
ActiveX = notwendig, gefährlich
Mit diesem Programmcode ist es möglich große Schäden auf dem Computer zur verursachen.
Diese Technik wurde von Microsoft selbst entwickelt, um entfernten Computern den Zugriff auf
den lokalen Computer zu ermöglichen und dort Änderungen vorzunehmen. Microsoft verwendet diese Technik, um Aktualisierungen (Updates) für die Sicherheit über das Windows Update
auf den lokalen Computer zu übertragen und zu installieren (muss ansonsten der Nutzer manuell machen). Eigentlich ist ActiveX gegen Missbrauch geschützt. Durch Lücken in diesem
Schutz könnten aber Kriminelle die Technik nutzen, um Schaden zu verursachen.
Umstände und Spuren
Spam (ungewollte Werbung) = sehr lästig
Spam ist ziellose Werbung, meistens mit Angeboten für die sich kaum jemand ernsthaft interessieren dürfte (Brustvergrößerung, Penisverlängerung, gefälschte Rolexuhren, Viagra). Werbung über das Internet zu verschicken, ist unverschämt billig. Wenn diese Werbung mit diesen
Angeboten auch vollkommen sinnlos erscheint, so kommt bei der Kosten-Nutzen-Rechnung
aber doch ein Gewinn heraus. Die Verursacher kennen die E-Mail-Adresse des Empfängers
© Falk Wolf Schneider
Seite 3 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
zu Beginn gar nicht, sondern lassen Programme (Robots = Roboter) alle möglichen Kombinationen von Buchstaben ausprobieren. Wenn eine Werbung in HTML geschrieben ist (ähnlich
einer Internetseite), dann kann bereits das Lesen der E-Mail verraten, dass es diese E-MailAdresse wirklich gibt. Daraufhin wird die E-Mail-Adresse für viel Geld an Werbeunternehmen
verkauft, um noch mehr Werbung an diese E-Mail-Adresse zu schicken, weil sicher ist, dass
die E-Mail wirklich in einem Briefkasten landet und eventuell gelesen wird.
Popup-Werbung (Aufspring-Werbung) = sehr lästig
Wenn eine Internetseite aufgerufen und angezeigt wird, kann diese Internetseite selbst ein
weiteres Fenster öffnen, in dem Werbung angezeigt wird. Entweder betrifft diese Werbung
dann tatsächlich Produkte des Unternehmens, deren Internetseite aufgerufen wurde (z.B. aktuelle Preisangebote der Deutschen Bahn bei http://www.bahn.de/) oder der Betreiber der Internetseite bekommt Geld dafür, dass er diese Werbung einblendet. (Internetseiten kosten die
Betreiber auch Geld.)
Banner-Werbung = lästig
Auf Internetseiten sind oft viele farbenprächtige und bewegte Bilder zu sehen. Auch hierbei
handelt es sich meistens um Werbung. Auch bei dieser Werbung kann es sich um Angebote
des Unternehmens handeln, dessen Internetseite aufgerufen wurde, oder um Werbung anderer Unternehmen, für dessen Platzierung der Betreiber der Internetseite Geld bekommt.
Cookies (Plätzchen) = notwendig, harmlos bis lästig
Das sind kleine Informationen, die mit Hilfe von Javascript gesammelt und auf dem lokalen
Computer gespeichert werden. Das ist nötig, um in Einkaufsportalen sich zu merken, was der
Nutzer in seinem Einkaufswagen hat. Manche Einkaufsportale (z.B. http://www.amazon.de)
merken sich auch, wofür der Kunde sich interessiert hat, und zeigen diese oder ähnliche Produkte beim nächsten Besuch des Einkaufsportals vorrangig bzw. gleich zu Beginn. Unproblematisch bleibt diese Funktion, solange die Informationen nur an die Internetpräsenz zurückgegeben werden, von denen diese gesammelt wurden. Nicht so häufig aber möglich ist, dass
Informationen über das Einkaufsverhalten des Nutzers weitergegeben werden.
Cache (Zwischenspeicher) = notwendig, harmlos
Im Zwischenspeicher werden Kopien aller besuchten Internetseiten automatisch auf der Festplatte des lokalen Computers gespeichert. Da das Aufrufen von Internetseiten über die Internetverbindung länger dauert als das Aufrufen von der Festplatte, ist die Beschleunigung bei
wiederholt aufgerufenen Internetseiten von Nutzen. Bei schnellen Internetverbindungen über
DSL ist aber kaum noch ein Unterschied zu bemerken. Der Zwischenspeicher wird gefüllt, bis
der vorgesehene Platz verbraucht ist, dann werden ältere Daten überschrieben.
Verlauf = harmlos
Im Verlauf werden die Internetadressen aller besuchten Internetseiten gespeichert. So ist es
möglich, Internetseiten erneut aufzurufen, die sich vor einer gewissen Zeit bereits angesehen
wurden. Voreingestellt werden die Internetadressen zum jeweiligen Tag des Aufrufs und zu
der Internetpräsenz, in diese die jeweilige Internetseite gehört, zusammengefasst. Die Internetadressen werden so lange aufgehoben, wie es eingestellt ist. Danach werden sie gelöscht.
Hinweis:
Meisten tritt eine Gefahr nicht alleine auf, sondern in Kombination:
Ein eingeschleustes Programm holt aus dem Internet unbemerkt vom Nutzer weitere Schadprogramme und startet deren Wirkung.
© Falk Wolf Schneider
Seite 4 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
Sicherheitsregeln
Einen 100%igen Schutz gibt es nicht!
Sicherheit ist aufwendig. Es geht bei Sicherheit darum, mehr Aufwand zu betreiben, als die
Kriminellen. Alle Risiken lassen sich aber schon durch das richtige Verhalten, durch Aufmerksamkeit, Skepsis und Misstrauen ("Vertrauen muss sich erworben werden") minimieren.
Sie müssen nicht alle Sicherheitsregeln befolgen, wenn Ihnen welche zu kompliziert oder zu
umständlich sind. Aber je mehr Sicherheitsregeln Sie befolgen, desto sicherer sind Sie.
Hinweis: Betrüger im Internet brauchen eine Strafverfolgung meistens wenig zu fürchten, weil
die Betrüger durch die Anonymität des Internets und durch die Möglichkeiten, die wahre eigene Identität zu verschleiern, schwer ausfindig zu machen sind. Wenn die Betrüger herausgefunden werden sollten, dann leben sie oft in Ländern, an denen von den Ordnungsbehörden
kein Herankommen ist.
Identität
1. Achten Sie auf Ihre Identität
> Geben Sie niemanden die Möglichkeit, Ihre Daten gegen Sie zu verwenden.
2. Geben Sie persönliche Daten nur heraus, wenn es notwendig ist (z.B. beim Einkauf)
> Überlegen Sie gut, was Sie jemanden von sich preisgeben. Sie wissen nicht,
wer im Internet auf der anderen Seite sitzt, und manchmal führen unabsichtliche Fehler der Inhaber zur Offenlegung Ihrer persönlichen Daten für jeden.
3. Geben Sie nur die jeweils notwendigen Daten heraus
> Wenn Sie Ihre Telefonnummer nicht angeben, können keine aufdringlichen
Werbeanrufe Sie erreichen. Wenn Sie Ihre E-Mail-Adresse nicht angeben, können keine ungewollten Werbe-E-Mails (Spam) Sie erreichen, allerdings auch
keine wichtigen Informationen z.B. Auftragsbestätigungen.
4. Schützen Sie die Identität anderer bei Rundschreiben
> Verschicken Sie nie E-Mail-Rundschreiben mit sichtbarer Empfängerliste. So
können nämlich alle Empfänger die E-Mail-Adressen der anderen sehen. Geben Sie als Hauptempfänger ("an:") sich selbst an, schreiben Sie alle anderen
Empfänger in das Feld "bcc:" (Blind Carbon Copy = Blinde Kohlepapierkopie).
5. Schaffen Sie sich eine virtuelle Identität
> Manchmal kann es sinnvoll sein, dass Sie falsche bzw. erfundene Angaben
machen. Im Internet will immer jeder alles von Ihnen wissen. Manchmal bekommen Sie dort nur etwas, auch wenn es nichts kostet, wenn Sie persönliche
Daten hinterlassen. Adressen können teuer für Werbezwecke verkauft werden.
Wenn Sie nicht vorhaben, etwas im Versandhandel zu bestellen, gibt es kaum
einen Grund, seine wahren persönlichen Angaben zu machen.
6. Verwenden Sie einen Nutzernamen oder einen Alias, der nicht oder nur schwer auf Sie
zurückgeführt werden kann
> So können Sie anhand der Anrede in Emails oder schon im Betreff erkennen,
ob Sie wirklich damit gemeint sind. So können Sie auch beim Verfassen von eigenen Nachrichten und Beiträgen im Internet sicher sein, dass Sie nicht erkannt
und Ihnen keine Werbe-E-Mails zugeschickt werden.
7. Achten Sie darauf, welche Zustimmung Sie geben oder welche Klausel Sie bestätigen
> Die Zustimmung zur Weitergabe Ihrer Daten oder der Aufnahme in den Verteiler von Werbung (z.B. Produktneuheiten, Newsletter = Neuigkeitenschreiben)
ist oft standardmäßig ausgewählt (angehakt) und nicht immer leicht zu erkennen oder nicht immer sichtbar platziert.
© Falk Wolf Schneider
Seite 5 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
Passwörter bzw. Kennwörter
1. Verwenden Sie keine Pass- bzw. Kennwörter, die zu erraten sind - also keine wirklichen
Wörter oder Namen. Verwenden Sie lange abstrakte Kombinationen aus Ziffern, Zahlen
und, wenn möglich, Sonderzeichen
> Kriminelle benutzen Software (sogenannte Robots = Roboter) um Pass- bzw.
Kennwörter automatisch herauszufinden. Es gibt nur eine begrenzte Anzahl an
Wörtern, aber es gibt eine unendliche Anzahl an Kombinationen.
2. Speichern Sie Pass- bzw. Kennwörter niemals auf dem Computer, schreiben Sie diese auf
Papier
> Daten, die sich nicht auf Ihrem Computer befinden, können auch nicht von
Schadprogrammen gefunden werden. Lassen Sie aber Papiere mit Ihren Passbzw. Kennwörter auch nicht offen herumliegen. Hinweis: Der Internet Explorer
bietet Ihnen auch an Pass- bzw. Kennwörter zu speichern - lehnen Sie das ab!
3. Verwenden Sie für jeden Anlass (Internetpräsenz) ein anderes Passwort
> Sollte ein Passwort gefunden worden sein, werden Kriminelle versuchen, dieses Passwort sofort auch für alle anderen Gelegenheiten zu verwenden. Kriminelle sind schnell, denn sie haben die Programme dafür.
4. Empfohlen wird, regelmäßig alle Pass- bzw. Kennwörter zu ändern
> So können Sie sicher gehen, dass Pass- bzw. Kennwörter, die schon unbemerkt von Kriminellen genutzt werden, ungültig werden und für die Kriminellen
keinen Nutzen mehr haben. Den Aufwand betreibt allerdings kaum jemand.
Verwenden Sie besser keine Programme, die Ihre Pass- bzw. Kennwörter verwalten.
5. Geben Sie nie Pass- bzw. Kennwörter in falsche Hände
> Wenn Sie Ihre Pass- und Kennwörter weitergeben, werden diese vielleicht
missbräuchlich verwendet werden. Niemals wird Ihre Bank oder Ihr Einkaufsportal Sie nach Ihrem Passwort fragen, außerhalb Ihrer Anmeldung (Einloggen /
LogIn) fürs Online-Banking oder Einkaufen. Ausnahme: Beim Telefonbanking
müssen Sie natürlich Ihr Kennwort nennen. Im Allgemeinen kann gesagt werden, dass die Mitarbeiter der Unternehmen, bei denen Sie Ihr Bankkonto haben
oder bei denen Sie im Internet einkaufen, Ihre Kennwörter gar nicht wissen.
Das weiß nur der Computer.
Schadprogramme
1. Holen Sie sich Software aus dem Internet nur von Quellen, denen Sie vertrauen können
> Die Internetseiten der Hersteller gelten als die einzig wirklich vertrauenswürdigen Quellen für Software. Download-Portale (Download = Herunterladen) lassen
manchmal die notwendige Sorgfalt vermissen und prüfen die Software, die sie
anbieten, nicht ausreichend auf Schadprogramme. Den Internetseiten von einschlägigen Computerzeitschriften kann eigentlich auch vertraut werden, weil
diese einen guten Ruf zu verlieren haben (Imageschaden).
2. Prüfen Sie Software, die Sie auf Ihren Computer holen, mit einem Antivirus-Programm, bevor Sie diese starten
> Wenn Sie Programme starten bzw. ausführen, wird der Schädling aktiv und gelangt in den Arbeitsspeicher des Computers. Von dort kann er sich verteilen. Er
schreibt sich selbst in andere Software rein und verschickt sich selbst als EMail.
3. Suchen Sie regelmäßig Ihren Computer mit dem Antivirus-Programm ab, auch wenn Sie
sich keine neue Software auf Ihren Computer geholt haben
© Falk Wolf Schneider
Seite 6 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
>
Es ist möglich (und die Entwicklung von Schadprogrammen ist nicht absehbar),
dass Schadprogramme in irgendeiner unbemerkten Weise den Weg auf Ihren
Computer finden.
4. Wenn Sie unsicher sind, prüfen Sie Ihren Computer, nachdem Sie Software neu installiert
bzw. eingerichtet haben, mit einem Programm gegen Spyware
> Ob ein Programm aktive Spionageprogramme enthält, kann nur geprüft werden,
wenn Sie das Programm ein Mal benutzt haben.
5. Emails können auch Schadprogramme mitbringen
> Emails selbst können keine Schadprogramme enthalten, weil sie nur Text oder
HTML (ähnlich von Internetseiten) sind. Aber die angehangenen Dateien oder
der in HTML geschriebene Code können Schadprogramme enthalten. Auch
wenn Sie eine E-Mail von einem bekannten Absender erhalten, heißt das nicht,
dass diese E-Mail mit Wissen des Absenders verschickt wurde. Schadprogramme können automatisch E-Mails verschicken.
=
Prüfen Sie, ob der Text der E-Mail für Sie persönlich einen Sinn ergibt.
=
Wenn die E-Mail einen unerwarteten Anhang hat, fragen Sie den Absender, ob der Anhang beabsichtigt ist.
=
Öffnen Sie den Anhang niemals direkt, speichern Sie den Anhang erst,
prüfen Sie ihn dann mit einem Antiviren-Programm und starten bzw. öffnen Sie ihn erst, wenn kein Schadprogramm gefunden wurde. Sollte ein
Schadprogramm gefunden werden, löschen Sie den gespeicherten Anhang und die E-Mail.
=
Antworten Sie niemals auf E-Mails, die unerwünschte Werbung enthalten
oder Schadprogramme, wenn diese von unbekannten Absendern kommen. Auch wenn im Text geschrieben steht, dass Sie aus dem Verteiler
genommen werden, wenn Sie dies wünschen. Wenn Sie sich nicht zuvor
in den Verteiler haben aufnehmen lassen (z.B. Tchibo Newsletter), dann
ist diese Option nur ein Trick, um festzustellen, ob die E-Mail einen Empfänger erreicht hat.
=
Wenn Sie eine E-Mail mit Schadprogramm von einem bekannten Absender erhalten haben, informieren Sie diesen darüber, dass mit seinem Absender ein Schadprogramm versendet worden ist und wahrscheinlich sein
Computer infiziert ist.
=
Manchmal erhalten Sie Rundschreiben mit schlimmen Warnungen vor
Schadprogrammen, vernichten Sie diese E-Mails, gehen Sie nicht darauf
ein. Diese E-Mails sind nur Falschmeldungen (Hoaxe), um Panik zu erzeugen.
Zahlungsweisen (geordnet nach Sicherheit - Sicherste zuerst)
1. Bestellen Sie, wenn möglich, auf Rechnung (diese Zahlweise wird aber kaum angeboten)
oder zahlen Sie bar bei Abholung, wenn machbar
> So können Sie in Ruhe die Bestellung auf Vollständigkeit und Zustand prüfen.
2. Bezahlen Sie über einen Zahldienst (z.B. http://www.paypal.de/). Diese Zahlweise ist gut
bei Online-Versteigerungen (z.B. http://www.ebay.de/)
> Entweder Sie führen bei den Zahldiensten ein Guthabenkonto oder die Zahldienste ziehen das Geld von Ihrem Konto ein. Manche Zahldienste garantieren
Ihnen, das Geld wieder zurück auf Ihr Konto zu überweisen, wenn die bestellte
Ware nicht geliefert wird oder nicht in Ordnung ist.
3. Bezahlen Sie per Kreditkarte
> Wenn Sie Zahlungen, die mit Ihrer Kreditkarte getätigt wurden, widersprechen,
muss das Kreditkartenunternehmen Ihnen das Geld zurückbuchen oder bewei© Falk Wolf Schneider
Seite 7 von 12
"Internet: Aufbaukurs"
4.
5.
6.
7.
8.
9.
Stand: 00.2009
sen, dass Sie die Bezahlung autorisiert haben: Ohne Ihre Unterschrift auf dem
Zahlbeleg, was im Internet nicht möglich ist, geht das aber nur, wenn Sie die
Prüfnummer von der Karte bei der Bestellung angeben mussten.
Bezahlen Sie per Lastschrift (Bankeinzug)
> So können Sie das Geld innerhalb einer gewissen Dauer durch die Bank zurückholen lassen, wenn der Vorgang nicht rechtens war.
Bezahlen Sie per Nachname, wenn Sie die zusätzlichen Gebühren nicht scheuen
> Sie können dabei allerdings auch nicht sicher sein, dass in der Sendung die
gewünschte Bestellung enthalten ist, weil Sie erst bezahlen müssen, bevor Ihnen die Sendung übergeben wird. Es wurden schon teure Ziegelsteine verschickt.
Schauen Sie im Impressum oder bei den Kontaktmöglichkeiten von Internetpräsenzen
nach, wo das Unternehmen ansässig ist
> Finden Sie keine Angabe der Adresse vom Unternehmen oder ist an der Adresse irgendetwas seltsam, kaufen Sie dort nichts. Sitz das Unternehmen im Ausland, seien Sie vorsichtig: Eine Firma im Ausland kann durchaus seriös sein,
aber eventuelle Einsprüche, Widersprüche oder Rückforderungen können Sie
nur schwer juristisch geltend machen.
Lesen Sie ganz genau die Vertragsbedingungen: Es gibt meistens nichts umsonst
> Hinter kostenlosen Angeboten stehen oft versteckte Kosten oder Abonnements.
Wenn Sie nachweisen können, dass die berechneten Kosten oder der Abonnementvertrag nicht ersichtlich angeben waren, ist der eingegangene Vertrag ungültig. Allerdings müssten Sie die Rückzahlung meistens vor Gericht einklagen.
Geben Sie die Angaben von Zahlungsmitteln nicht grundlos an
> Wenn Sie nicht irgendetwas kaufen wollen, gibt es keinen Grund, Ihre Bankverbindung oder Ihre Kreditkartennummer anzugeben. Jeder der Ihnen seriös etwas kostenlos anbietet, wird nicht nach einem Zahlungsmittel fragen. Ansonsten
finden sich immer fadenscheinige Gründe mit dem Ziel, Sie zu überlisten.
Bei Käufen und Vertragsabschlüssen im Internet (wie auch übers Telefon) gilt das Fernabsatzgesetz
> Sie können innerhalb von zwei Wochen nach der ersten Lieferung bei Bestellungen oder nach dem Vertragsabschluss bei Dienstleistungen vom Kauf und
Vertrag ohne Angabe von Gründen zurücktreten. Näheres:
http://bundesrecht.juris.de/bgb/__312d.html und
http://bundesrecht.juris.de/bgb/__355.html
Spuren
1. Löschen Sie regelmäßig den Cache (Zwischenspeicher) des Internet Browsers (Internet
Explorers)
> Um zu vermeiden, dass irgendwer oder irgendwas sehen kann, welche Internetseiten Sie zuletzt aufgerufen haben, löschen Sie den Cache. Damit werden die
Teile der Internetseiten entfernt, die der Internet Browser auf Ihrem lokalen
Computer zwischengespeichert hat.
2. Löschen Sie regelmäßig die abgelegten Cookies
> Um zu vermeiden, dass irgendwer oder irgendwas sehen kann, was Sie zuletzt
eingekauft haben, löschen Sie die Cookies.
3. Löschen Sie regelmäßig den Verlauf
> Um zu vermeiden, dass irgendwer oder irgendwas sehen kann, welche Internetseiten Sie zuletzt aufgerufen haben, löschen Sie den Verlauf.
© Falk Wolf Schneider
Seite 8 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
Schutzmaßnahmen
Folgende vorbeugende Schutzmaßnahmen sollten auf dem Computer eingerichtet bzw.
durchgeführt werden.
Regelmäßige Updates von Betriebssystem und Programmen
Holen Sie sich regelmäßig Updates (also Aktualisierungen) für Ihre Software von den Internetseiten des Herstellers. Viele Programme bieten innerhalb der Programme oder in der Umgebung der Programme die Möglichkeit, Aktualisierungen automatisch oder manuell zu beziehen.
Aktualisierungen, die Sicherheitslücken schließen, sind immer kostenlos!
•
Betriebssysteme von Microsoft (z.B. Windows XP oder Windows Vista) über das
Windows Update oder das Microsoft Update oder über:
http://www.update.microsoft.com/
• Büro-Software von Microsoft (z.B. Microsoft Office oder Microsoft Works) über das
Microsoft Update oder über:
http://office.microsoft.com/de-de/downloads/default.aspx
Antiviren-Programme
Antiviren-Programme können Ihren Computer nach bekannten Schadprogrammen durchsuchen und vernichten diese dann, in dem sie zuerst versuchen, den Teil im Programm bzw. im
File (Datei), der Schaden verursacht, aus dem Programm herauszulösen, beim Fehlschlagen
dieser Lösung dann versuchen, das gesamte Programm in die Quarantäne zu verschieben,
und zuletzt, das gesamte Programm zu löschen. Das können Sie regelmäßig durchführen lassen oder bei Bedarf manuell. Die meisten Antiviren-Programme besitzen auch die Funktion,
dass sie gleich zusammen mit dem Betriebssystem starten und ab diesem Zeitpunkt alle Speicher- und Öffnungsvorgänge (Schreiben und Lesen) auf die Laufwerke überwachen. So wird
sofort eine Warnung angezeigt, wenn Hinweise auf Schadprogramme erkannt werden. Da
ständig neue Schadprogramme entwickelt werden, müssen Antiviren-Programme ständig mit
neuen Informationen versorgt werden, damit sie die neuen Schadprogramme erkennen. Im
Allgemeinen holen sich die Antiviren-Programme diese Aktualisierung automatisch, sobald
eine Internetverbindung besteht.
•
Für die private Nutzung kostenloses Antiviren-Programm "AntiVir" der Firma Avira:
http://www.free-av.de/
Firewalls (Feuerwände)
Eine Firewall hilft, Eindringlinge von außen abzuhalten. Die Firewall verhindert, dass Kriminelle
Ihre persönlichen Daten, die Schadprogramme auf Ihrem lokalen Computer gesammelt haben,
abrufen können. Die im Betriebssystem vorhandene Firewall bei Windows XP (ab Service
Pack 2) und Windows Vista schützt Sie davor schon, aber sie schützt Sie nicht davor, wenn
sich auf Ihrem lokalen Computer Schadprogramme befinden, die automatisch Kontakt zu den
Kriminellen aufnehmen. Dazu brauchen Sie eine Firewall, die Sie fragt, ob Sie einem Programm erlauben wollen, Kontakt mit dem Internet aufzunehmen. Eine Firewall sollte immer
eingeschaltet sein, zumindest aber, bevor Sie ins Internet gehen.
•
Für den privaten Gebrauch kostenlose Firewall "Zone Alarm" der Firma Zone Labs:
http://www.zonealarm.com/
© Falk Wolf Schneider
Seite 9 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
Anti-Spionage-Programme
Anti-Spionage-Programme durchsuchen bereits eingerichtete (installierte) Programme auf dem
lokalen Computer nach Hinweisen auf Spionage-Tätigkeiten. Wenn Prozesse oder Routinen in
den Programmen gefunden werden, die Spionage durchführen (können), dann werden diese
herausgelöst und vernichtet. Es ist dabei aber durchaus möglich, dass das gesamte Programm dann nicht mehr funktioniert. Auch Windows ist von Haus aus so eingestellt, dass es
spioniert. Die Spionage-Programme und Windows sammeln aber im Allgemeinen, nur Informationen, die etwas über Ihre Person und Ihre Vorlieben verraten.
•
Um die Spionage von Windows auszuschalten, müssen ein paar Einstellungen in
Windows geändert werden, an die normal nicht herangekommen werden kann. Das
Programm "XP-AntiSpy" von Christian Taubenheim kann diese Einstellungen ändern:
http://www.xp-antispy.org/
• Software (Programme) auf dem lokalen Computer zu finden, die spionieren könnte,
hilft das kostenlose Programm "SpyBot - Search & Destroy" von Patrick M. Kolla (Safer-Networking Limited). Das Programm hilft auch dabei, Spuren zu entfernen, die der
Spionage-Software die gesuchten Informationen liefern könnten:
http://www.safer-networking.org/
• Eine weitere gute und unkomplizierte Alternative, um Software auf dem lokalen Computer zu finden, die spionieren könnte, ist das Programm "a-squared Free" von Emsi
Software, das für die private Nutzung kostenlos ist: http://www.emsisoft.de/
Phising-Filter
Phising-Filter beziehen aus einer Datenbank im Internet die Information, hinter welchen Internetadressen Phising-Seiten liegen. Diese Information liefern sie entweder automatisch, d.h.,
eine Internetseite wird automatisch geblockt (nicht dargestellt), oder der Nutzer lässt die aufgerufene Internetadresse manuell überprüfen. Für den effektiven Schutz ist es notwendig, dass
die Datenbank mit den Informationen über die gefährlichen Seiten auf dem neusten Stand ist.
Es kann bezweifelt werden, dass die Kriminellen nicht schneller die Internetadressen geändert
haben. Außerdem pflegt jeder Hersteller von Phising-Filter nur seine eigene Datenbank. Der
bessere Schutz ist, Links (also Verknüpfungen auf Internetadressen) in E-Mails oder auf unseriösen Internetseiten nicht zu verwenden oder darauf zu achten, ob die angezeigte Internetadresse in der Adressleiste stimmt. Niemals wird eine Bank Ihr Passwort bzw. Kennwort durch
eine E-Mail anfordern oder abfragen. Es gilt: Wenn Sie unsicher sind, rufen Sie das Unternehmen oder die Firma einfach per Telefon an und fragen Sie, ob alles so in Ordnung ist.
Wenn Sie auf einer Internetseite Ihren Nutzernamen und Ihr Kennwort eingeben müssen,
symbolisiert das geschlossene Vorhängeschloss im Internet Browser, dass für diese Internetseite ein Sicherheitszertifikat ausgestellt wurde. Prüfen Sie über das Vorhängeschloss, von
wem und für wen dieses Zertifikat ausgestellt wurde und ob es noch gültig ist.
•
Ein zusätzliches Programm wird eigentlich nicht benötigt: Der Internet Explorer 7
bietet einen integrierten Phising-Filter. Außerdem gibt es keine kostenlosen Programme für diesen Zweck: Als alternatives Programm kann "AntiPhishing" der Firma
Steganos als Demonstration ausprobiert werden: http://www.steganos.de/
Anti-Spam-Filter
Mit aufwendigen Prozeduren und mit verschiedenen Ansatzpunkten versuchen diese Programme, unerwünschte Werbung in E-Mails zu erkennen. Das gelingt nicht immer gut. Oft
werden auch E-Mails gelöscht, die der Nutzer eigentlich gerne bekommen hätte. Ganz oft passiert das mit E-Mails aus dem Ausland. Die Handhabung dieser Programme erfordert Finger© Falk Wolf Schneider
Seite 10 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
spitzengefühl. Ganz einfach und mit guter Erkennung funktioniert das Anti-Spam-System, das
in den E-Mail-Briefkasten bei "Web.de" (http://www.web.de/) integriert ist. Wenn der AntiSpam-Schutz hier eingeschaltet ist, dann gibt es drei Verzeichnisse ("Freunde & Bekannte",
"Unbekannt", "Unerwünscht"), in die ankommende E-Mails nach Erkennung einsortiert werden.
Zu Beginn werden die E-Mails immer falsch einsortiert, weil die Absender nicht bekannt sind mit jeder weiteren manuellen Korrektur durch den Nutzer nimmt die korrekte Sortierung zu.
•
Als alternatives Programm auf dem lokalen Computer könnte "Spam Terrier" von der
Firma Agnitum verwendet werden: http://www.agnitum.de/
Popup-Blocker
Ein Popup-Blocker hindert Internetseiten daran, automatisch weitere Fenster im InternetBrowser zu öffnen. Das Programm geht in diesem Fall davon aus, dass es sich dabei um unerwünschte Werbung handelt. Weil der Popup-Blocker mit seiner Vermutung aber auch falsch
liegen kann, benachrichtigen diese Programme den Nutzer, wenn Sie das automatische Öffnen eines Fensters verhindert haben, damit der Nutzer entscheiden kann, ob es sich vielleicht
bei dem nicht angezeigten Fenster doch um eine wichtige Information handelt. Der Internet
Explorer blendet dazu unterhalb der unteren Symbolleiste eine Informationsleiste ein, über die
das verhinderte Fenster manuell geöffnet werden kann. Diese Funktion ist ab Windows XP mit
Service Pack 2 in den Internet Explorer integriert.
•
Ein zusätzliches Programm wird eigentlich nicht benötigt. Alternativ kann aber
"NoPopUp 2003" von der Firma Nextsoft verwendet werden:
http://nopopup.nextsoft.de/
Verschlüsselungssoftware
Im Allgemeinen ist der Datenverkehr im Internet unverschlüsselt. Es könnte also jeder die Informationen leicht abgreifen. Die Übertragung von Pass- bzw. Kennwörtern kann verschlüsselt
durchgeführt werden. Wenn die betreffende Internetseite dies unterstützt, steht in der Adressleiste als Übertragungsprotokoll nicht "http" für HyperText Transfer Protocol (HypertextÜbertragungsprotokoll) geschrieben sondern "https" für HyperText Transfer Protocol Secure
(Sicheres Hypertext-Übertragungsprotokoll) und das geschlossene Vorhängeschloss wird angezeigt. Für das Versenden von E-Mails gibt es ein solches Verschlüsselungssystem von sich
aus nicht. Also müssten Sie selbst Ihre E-Mail verschlüsseln und der Empfänger muss die EMail wieder entschlüsseln, dazu muss der Empfänger das gleiche Programm benutzen und
muss den Schlüssel kennen.
•
Ein solches kostenloses Programm ist "Pretty Good Privacy (PGP)" von der Firma
PGP. Das Programm bietet auch die Möglichkeit, Daten auf dem lokalen Computer
zu verschlüsseln: http://www.pgp.com/de/
Anonymizer (Anonymisierer)
Die Bewegung im Internet hinterlässt nicht nur auf dem lokalen Computer Spuren. Wenn Sie
ins Internet gehen, tun Sie dies über einen Provider, dessen Computer fester Bestandteil des
Internets ist. Dieser Computer bedient nicht nur Ihren Computer, sondern ist noch mit einer
Menge anderer Computer verbunden, die auch über ihn ins Internet gehen. Damit er die richtigen Daten an den richtigen Computer weiterleitet, merkt er sich welche Daten (z.B. Internetseiten, E-Mails) Sie abrufen wollen oder Sie versenden wollen (z.B. E-Mails). Damit kein Compu© Falk Wolf Schneider
Seite 11 von 12
"Internet: Aufbaukurs"
Stand: 00.2009
ter warten muss, verteilt der Computer des Providers die Daten in Form von kleinen Portionen
(Paketen). So wird ständig jeder Computer bedient. Darüber führt der Computer des Providers
ein Protokoll, gleich eines Einzelverbindungsnachweises beim Telefon. Der Computer des
Providers weiß also, welche Daten Sie aus dem Internet abgerufen haben und welche Sie gesendet haben. Im Allgemeinen werden diese Informationen maximal ein Monat lang aufgehoben. Bei Verdacht auf kriminelle Handlungen kann das BKA die Herausgabe der Verbindungsdaten gerichtlich einfordern. Zukünftig sollen diese Daten per Gesetz noch länger aufbewahrt
werden. Außerdem ist der Weg, den ein Paket z.B. von der abgerufenen Internetseite bis zu
Ihnen oder als E-Mail von Ihnen bis zum Empfänger nimmt, in dem Paket protokolliert. So
kann also in jeder Portion nachgelesen werden, welcher Computer der Versender und welcher
Computer der Empfänger ist. Nun können Sie einen Computer, ähnlich dem Computer des
Providers, zwischen den Datenverkehr des Internets und dem Computer des Providers schalten (Proxy = Stellvertreter). Dieser Computer empfängt die Datenpakete für Ihren lokalen
Computer. Nur dieser Computer weiß, dass dieses Datenpaket für Sie bestimmt ist, und leitet
es über den Computer des Providers an Sie weiter. Sie sind also für den Rest des Internets
unsichtbar bzw. anonym. Allerdings müssen Sie erstens diesem Dienst vertrauen, dass er Informationen zu den Daten, die Sie abrufen, nicht weitergibt und zweitens hat dieser Computer
meistens eine so große Menge an Daten zu verschieben, dass die Geschwindigkeit der
Datenübertragung für den einzelnen Computer (also Sie) sehr gering ist.
•
Die Technische Universität Dresden bietet einen solchen Service kostenlos und verhältnismäßig vertrauenswürdig an. Dazu wird das kostenlose Programm "JAP" benötigt, das die Interneteinstellungen des lokalen Computers für die Nutzung des Java
Anon Proxy modifiziert: http://anon.inf.tu-dresden.de/
Security Suites (Sicherheitspakete)
Sicherheitspakete beinhalten alle Funktionen zum Schutz Ihres Computers und zusätzliche
Funktionen zum Löschen von Ihren Spuren, die Ihr Besuch im Internet zurückgelassen hat
(z.B. Verlauf, Cookies, Cache), in einem Programm. Das ist grundsätzlich zwar sehr komfortabel und oft einfach zu bedienen, aber solche Programme machen Ihren Computer sehr langsam, weil alle Prozesse dieser Sicherheitspakete gleichzeitig arbeiten. Deshalb sind solche
Komplettpakete nicht zu empfehlen. Einzelne Programme belasten den Computer nicht so
sehr. Der Internet Explorer bietet, etwas weniger bequem zwar, die Funktionen zum Löschen
der Spuren auch.
Backups (Datensicherungen)
Sichern Sie Ihre wichtigen und einzigartigen Daten (z.B. Dokumente und Bilder) auch auf externen Datenträgern (z.B. CD-R, DVD-R, Diskette, USB-Stick, externe Festplatte) in Kopie. Die
Festplatte eines Computers geht sicher irgendwann - ohne außergewöhnliche Ursachen - kaputt. Schadprogramme zerstören Ihre Daten absichtlich. Dann ist es gut, wenn Sie Ihre persönlichen Daten nicht komplett verloren haben.
Bleiben Sie wachsam !
© Falk Wolf Schneider
Seite 12 von 12
