Virenchecker, 128-Bit-verschlüsselte Internet-Verbindungen und eine persönliche Firewall - mein PC ist sicher. Wirklich? Wohl kaum, wenn der Virenscanner bloß die Würmer vom letzten Jahr kennt und das Gehaltslisten-Passwort fürs Firmen-LAN schon längst im Kollegenkreis ’rum ist. Auch die besten Werkzeuge bieten erst Schutz, wenn man gesunden Menschenverstand und ein paar grundlegende Regeln befolgt.
Wirklich lästig, sich jedesmal, wenn man den Rechner einschaltet, erst mit Name und Passwort anzumelden, obwohl im Familien-LAN gar nicht mit bösen Spionen zu rechnen ist. Doch mit Flatrate-Dauer-Internet-Zugang und einer versehentlich aufs Internet ausgeweiteten Festplatten-Freigabe avanciert der PC zur verwertbaren Ressource, mit der Kriminelle Schindluder treiben können. Hat man den eigenen Rechner einmal als Raubkopie-Server im Dienst fremder Hacker ertappt, erscheint es gleich viel spannender, sich mit Sicherheitseinstellungen zu beschäftigen.
Ungebetene PC-Benutzer haben immer dann eine Chance, wenn sie sich leicht selbst einloggen können - etwa, weil das Passwort aus dem Vornamen, Geburtstag oder Arbeitgeber des Benutzers besteht. Bessere Passwörter enthalten scheinbar zusammenhanglose Kombinationen aus Buchstaben und Ziffern. Anders als die typischen Ergebnisse so genannter Passwortgeneratoren, die sich kein Mensch merken kann, profitiert ein selbst angerichteter Zeichensalat im Idealfall von einem inneren Zusammenhang: Die Phrase „3m7egfS“ merkt sich besser mit dem Wissen, dass es sich um die Anfangsbuchstaben des Satzes „3 mal 7 ergibt ganz feinen Sand“ handelt.
Beim Surfen zeigen sich die Vorteile eines echten Multiuser-Betriebssystems wie Linux, wo man auch als allgewaltiger PC-Besitzer meist auf Superuser-Privilegien verzichten kann. Browst man als Nutzer mit eingeschränkten lokalen Berechtigungen durchs Web, müssen Angreifer schon tief in die Trickkiste greifen, um bei der Systemadministration mitzumischen.
Dasselbe Argument gilt auch für Windows NT, 2000 und XP; auch wenn es unter Windows XP eher selten zum Erfolg führt. Im Alltag lassen sich nämlich zahlreiche Anwendungen nur mit Administratorrechten installieren und ausführen. Das regelmäßige Ausweichen auf die Option „Ausführen als ...“ mit anschließender Passworteingabe tötet Nerven, und nur wenige Programme bieten beim Installieren an, später auch anderen Benutzern zur Hand zu gehen. Selbst diese Ausnahmen scheitern oft an Feinheiten: Was hilfts, wenn sich ein Programm auch von Dagobert Dummy aufrufen lässt, anschließend aber an mangelnden Administratorrechten für die zugehörige Datenbank-Engine scheitert?
Trotzdem kann man wenigstens Internet-Ausflüge auf einen eingeschränkten Account auslagern, den man neben dem eigentlichen Arbeitsaccount auf dem Windows-PC unterhält.
Dabei sind Windows und Co nur die erste Instanz, die sich nach einem Kennwort erkundigt. Die Passwortabfragen aus dem Netz - sei es das LAN in der Firma oder das Web - formieren sich schnell zum Gedächtnistest, will man außer dem Mail-Server auch noch eBay, das heise-Forum und weitere Quellen anzapfen. Ein gefundenes Fressen für seriöse, aber auch für windige Helfer, die dem geplagten Surfer das Passwörter-Merken abnehmen wollen.
Der Internet Explorer und andere Browser bieten an, einmal mitgeschriebene Webseite-Passwörter später automatisch einzusetzen. Diese Programme sind über Spionagevorwürfe erhaben und tun ihr Bestes, um ihnen anvertraute Passwörter vor unbefugtem Zugriff zu schützen. Nur ist das Beste der einzelnen Web-Betrachter durchaus unterschiedlich gut. Microsoft etwa setzt auf die verschlüsselte Ablage der Zugangsdaten in der Windows-Registry und lässt sich über den genauen Aufenthaltsort wohlweislich nicht aus.
Trotzdem schlecht, denn nach einer halbstündigen Google-Befragung hatten wir das erste Werkzeug zur Hand, das die versteckten Daten fein säuberlich als Listenansicht mit Klartext-Passwörtern präsentiert. Eine hübsche Datenquelle in Händen Neugieriger, die vor dem Rechner oder hintenrum übers Netz auf die Registry zugreifen können.
Wer bislang Passwörter mit dem IE gespeichert hat, sollte diese vorsichtshalber löschen, indem er alle kritischen Adressen mit gespeicherten Passwörtern aufsucht, die hierfür vom Browser eingesetzten Passwörter per Mausklick oder Cursortaste zum Editieren freigibt und erst bestätigt, nachdem er das Häkchen für „Passwort Merken“ entfernt hat.
Andere, plattformübergreifend angebotene Browser sind zur Passwortablage von vornherein auf eigene Dateien angewiesen. Etwa bei Opera ab Version 6 übernimmt der Zauberstab Wand diese Aufgabe. Er legt die Passwörter jedes Benutzers in einer individuellen Datei Wand.dat ab, die man nach Verlassen des Browsers auf Diskette oder USB-Stick auslagern und vor dem nächsten Gebrauch wieder einfügen kann. So ergibt sich zwanglos die Gelegenheit, einen Passwort-Tresor einzurichten, der sich wahlweise zu Hause oder im Büro öffnen lässt.
Ähnliches funktioniert auch mit Netscape, das ganze Benutzerprofile mitsamt gespeicherten Passwörtern auf austauschbaren Datenträgern unterbringen kann. Die Lösung fällt komfortabler aus als die von Opera, zudem vermeidet sie das Risiko, dass man eine verlagerte Passwortsammlung zwar vielleicht am ursprünglichen Platz löscht, anschließend aber für jedermann lesbar im Windows-Papierkorb zurücklässt.
Der Kennwort-Sicherung nehmen sich auch spezielle Programme an, etwa der Password Safe auf der Heft-CD. Er lässt dem Anwender die Wahl unter zahlreichen Verschlüsselungsmechanismen und vermittelt als Open-Source-Programm die Sicherheit, keine versteckten Hintertüren zu enthalten. Nur muss man die jeweils passende Benutzer-Passwort-Kombination immer von Hand aussuchen und dann per Cut & Paste in die betreffende Anwendung übertragen, während der Browser den Job viel bequemer mit ein bis zwei Mausklicks erledigt.
Mit zunehmenden Homebanking-, E-Business- und Stimmabgabe-Angeboten greifen immer mehr Internet-Verbindungen auf verschlüsselte Datenübertragung zurück. Hier liegen die Schwachpunkte meist nicht mehr in der Verschlüsselungstiefe, die selbst staatlichen Überwachungswerkzeugen gewachsen ist, sondern darin, dass man seine Daten hochsicher an jemanden schickt, der sich zu Unrecht als der richtige Adressat ausgibt, die Daten liest und dann weiterleitet, als wäre nichts geschehen.
Das Standard-Mittel gegen diese so genannten Man-in-the-Middle-Angriffe bilden Website-Zertifikate, sozusagen amtliche Bestätigungen, dass am anderen Ende der Leitung tatsächlich derjenige agiert, den man erwartet. Weil diese Zertifikate nur über eine bestimmte Zeit gelten, kann es im Einzelfall vorkommen, dass man statt des gewünschten Datenaustauschs ein Popup-Fenster mit einer Fehlermeldung präsentiert bekommt. Wer derlei Warnungen gewohnheitsmäßig wegklickt oder sowieso jedwedem Zertifikatinhaber blind vertraut, darf sich nicht wundern, wenn seine Daten irgendwann trotz vermeintlich sicherer Übertragung doch für Schindluder herhalten müssen. Sicherheitsbewusste Zeitgenossen werden wie im Bild auf Seite 122 in c't 9/03 Warnungen allemal auf den Grund gehen und unnötige Risiken vermeiden.
Um einen fremden PC-Besitzer auszuspionieren, muss man sich gar nicht unbedingt auf dessen Gerät einloggen. Viel einfacher hat es ein Angreifer, wenn das Opfer selbst mithilft: Der beste Passwortschutz hilft wenig, wenn empfindliche Dateien mit Zugriffsrechten für jedermann auf der Serverplatte herumliegen. Will man etwa im Familien-LAN oder einer Wohngemeinschaft auf Festplattenbereiche anderer Rechner zugreifen, muss der Client für Micrsoft-Netzwerke aktiviert sein - eine Anforderung, die sich je nach Windows-Version im Menü „Netzwerkverbindungen“ oder im Menü „Einstellungen/Systemsteuerung/Netzwerk“ kontrollieren lässt. Derselbe Client macht aber, für eine Internet-Verbindung aktiviert, den Surf-Rechner zugleich zum öffentlichen Fileserver. Daher sollte man unbedingt darauf achten, dass dieses Protokoll in einer Verbindung nach draußen blockiert ist, wie im Bild auf dieser Seite erkennbar.
Tummeln sich mehrere Benutzer auf einem Windows-Rechner, kann jeder im Verzeichnis „Eigene Dateien“ ablegen, was er als privat betrachtet; Dateien, auf die auch andere Nutzer zugreifen dürfen, kann man etwa ins Verzeichnis „Gemeinsame Dateien“ verlagern. Wirklichen Schutz bietet das allerdings nur auf echten Multiuser-Systemen wie Windows 2000 und XP, und auch nur unter NTFS und wenn nicht ohnehin alle Nutzer über Administratorrechte verfügen.
Zugriffskontrollen dieser Art gibt es nicht für gespeicherte Cookies: Sie gibt der Browser auf Anforderungen übers Internet weiter, wenn man ihn nicht konkret daran hindert. Cookies eignen sich zwar als Werkzeug für Anzeigenagenturen, um die Interessenschwerpunkte von Surfern auszuspionieren, helfen aber auch zahlreichen Websites, den Besucher für dessen eigenen Komfort zu identifizieren. Prinzipiell alle Cookies zu blockieren ergibt deshalb genauso wenig Sinn wie die Praxis, alle Webseiten mit gleich restriktiven Browsereinstellungen zu besuchen. Als Ausgangsbasis fürs Browsen unter Windows empfiehlt sich jedoch die prinzipielle Blockade von Active-X-Controls.
Der Internet Explorer gliedert das Web in unterschiedlich gefährliche Zonen. Je nachdem, ob man eine Webseite genau einschätzen kann, ob sie der hauseigenen Systemadministration untersteht oder ob sie als besonders suspekt gelten muss, kann man Microsofts Browser verschieden stark an die Kandare nehmen und Active-X-Controls, Java- und andere Programminhalte von Webseiten blockieren oder auch nicht. Die Kontrolle mit Bordmitteln stößt allerdings an ihre Grenzen, wenn man Plug-ins, Microsofts einzige Option, etwa PDF-Dokumente im Internet-Explorer anzuzeigen, getrennt von Active-X-Elementen bahandeln oder zwischen Javascript- und Visual-Basic-Routinen differenzieren will. Abhilfe schafft der c't-IEController [#literatur [1]]. Kommt man beim Besuch einer Webseite mit den aktuellen Browsereinstellungen nicht weiter, kann man die betroffene Adresse mit gelockerten Sicherheitsanforderungen besuchen, wenn man sie als hinreichend vertrauenswürdig einstuft.
Signierte Controls von den Adressen „*.microsoft.com“ und „*.windowsupdate.com“ sind als Ausnahmen zu verteten, die zur automatischen Suche nach empfehlenswerten Windows-Updates dienen. Ansonsten sollte man mit dieser Option nicht zu freizügig umgehen; ist man sich seiner Sache nicht ganz sicher, empfiehlt es sich eher, die Seite links liegen zu lassen. Schreibt man dem Webmaster auch noch eine passende Mail, kann man zudem etwas gegen die Unsitte tun, Websites mit Skripten und Plug-in-bedürftigen Inhalten zu überfrachten. Welche Aktivitäten die aktuellen Browsereinstellungen zulassen, und wie man das Zonenmodell an die eigenen Bedürfnisse anpasst, kann jeder selbst mit dem c't-Browser-Check unter www.ctmagazin.de/browsercheck herausfinden.
Abseits der Zoneneinteilung mutet der Windows-Browser dem Surfer wahre Klick-Orgien zu, um etwa mal eben Javascript zu deaktivieren. Netscape und Opera tun sich da leichter; Opera vermag sogar per Tastatur-Shortcut Plug-ins zu stoppen.
Freilich können alle Browser-Abdichtungen nicht fern halten, was man als Surfer bewusst aus dem Internet saugt. Wer ohne genaues Hinsehen jedes vermeintlich coole Progrämmchen herunterlädt, fällt leicht auf böswillige Begleitsoftware herein, die postwendend oder nach sorgsam getarnten Nachlade-Manövern ans Werk geht. Etwa das Programm Gator, das seine Dienste als Passwort-Manager offeriert, lädt über einen längeren Zeitraum tröpfchenweise einen Anzeigenclienten aus dem Internet, der sich nach vollendetem Download klammheimlich installiert und dem Anwender beim Surfen hinterherspioniert. Meistens, aber nicht immer, kann man sich gegen solche Unbill schützen, wenn man sich die Lizenzbestimmungen aller Programme genau ansieht, bevor man sie installiert.
Viren- und Spywarescanner taugen nur, wenn man sie auf dem aktuellen Stand der Technik hält. Wurmattacken aus dem Internet wecken so viel öffentliches Interesse, dass sich der Bedarf regelmäßiger Aktualisierungen der benutzten Schutzprogramme wohl überall herumgesprochen hat.
Ganz anders liegt der Fall bei Anwendungssoftware: Einmal aufgespielt, erfüllt ein PC-Programm seinen Zweck meist noch nach Jahren, und zusätzliche Features einer neuen Release decken nicht immer einen wirklichen Bedarf. Auto-Update-Funktionen, die einem Hersteller intime Details über Kunden-PCs verraten könnten, rücken allgemeine Software-Updates weiter ins Zwielicht. Also dominiert das Motto, niemals ein laufendes System zu vermurksen.
Dabei offenbaren auch vermeintlich längst fehlerfreie Anwendungen immer wieder Sicherheitslücken, mit denen Cracker und so genannte Skript-Kiddies Festplatteninhalte auslesen, löschen oder ganze Internet-Bereiche lahm legen können. Solche Bedrohungen nehmen nicht nur die Hersteller der betroffenen Programme, sondern auch deren Anwender in die Pflicht, rechtzeitige Gegenmaßnahmen zu starten.
Als etwa der Slammer-Wurm im Februar ganze Firmennetze außer Betrieb setzte, war das Gegenmittel schon längst verfügbar. Leider hatte nur kaum jemand den passenden Patch für Microsofts SQL-Server aufgespielt - auch nicht auf dem Microsoft-Campus bei Seattle. Kein Wunder, war doch der Sicherheitsfix dermaßen umständlich und fehleranfällig, dass der Hersteller sein Security-Bulletin zu diesem Problem mehrfach überarbeiten und schlussendlich mit einer gesonderten Bedienungsanleitung ergänzen musste, um Anwender vor zusätzlichen Sicherheitslöchern und gar vor Systemabstürzen zu bewahren.
Immerhin bemüht man sich in Redmond um ein besseres Patch-Management; der Baseline Security Analyzer durchsucht Windows-PCs nach patchbedürftigen Microsoft-Programmen, unzulänglichen Passwörtern und nach Verwundbarkeiten des Betriebssystems und bietet dem Anwender die passenden Patches an. Leider agiert der Ratgeber vorerst nur auf Englisch; für anderssprachige Systeme liefert er irreführende Ergebnisse.
Microsoft veröffentlicht beinahe täglich eine oder mehrere Sicherheitswarnungen auf seinen Webseiten. Zumindest theoretisch finden Anwender dort, auf den einschlägigen Webseiten anderer Softwarehäuser und bei unabhängigen Herausgebern die aktuellen Sicherheitshinweise. In der Praxis wird aber kaum jemand täglich nach Warnungen für alle verwendeten Programme Ausschau halten können. Hier empfiehlt sich ein regelmäßiger Besuch bei Informationsquellen wie den im Kasten auf dieser Seite erwähnten und ein regelmäßiger Check zumindest für all diejenigen Programme, die in irgendeiner Form mit dem Internet kommunizieren: Betriebssystem, E-Mail-Client, Browser mitsamt Plug-ins, Multimediaplayer und ähnliche.
Wer seinem Internet-Rechner vertrauen will, verzichtet auf den blinden Download suspekter Software, nutzt die Sicherheitsfixes für kritische Anwendungen und hält besonders solche Schutzprogramme wie Virenscanner und Spyware-Killer auf dem Laufenden. Nicht zuletzt sollte man Einladungen zum Unfug, etwa durch passwortfreie Nutzerkonten oder allzu freizügige Browsereinstellungen vermeiden, Letzteres etwa mit Hilfe des Browserchecks und IEControllers von c't. (hps)
[1] Matthias Withopf, Axel Kossel, Internet Explorer an die Kette gelegt, Echte Kontrolle über aktive Inhalte, c't 1/03, S. 86
[#anfang Seitenanfang]
Neu erkannte Viren- und Trojanergefahren sind am besten auf den Websites der Hersteller einschlägiger Abwehrprogramme zu finden. Aktuelle Warnhinweise auf bekannt gewordene Sicherheitslücken in System- und Anwendungssoftware finden sich unter folgenden Adressen:
| Sicherheitshinweise von Microsoft | www.microsoft.com/germany/ms/security |
| Sicherheitsfixes für Windows und Zubehör per Active-X | www.windowsupdate.com |
| Herstellerunabhängige Nachrichten über Sicherheitslücken | www.securityfocus.com/archive/1 www.dfn-cert.de/eng/infoserv/ssc-sub.html http://lists.netsys.com/pipermail/full-disclosure |
Auch allgemeine Informations-Webseiten wie www.heise.de geben die wichtigsten Warnungen weiter, müssen sich aber auf die wichtigsten Fälle beschränken.
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-288814
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
