20 Computer- und Netzwerksicherheit
Well, there’s egg and bacon; egg sausage and bacon; egg and spam; egg bacon and spam;
egg bacon sausage and spam; spam bacon sausage and spam; spam egg spam spam bacon
and spam; spam sausage spam spam bacon spam tomato and spam. [[Anm.: Dieser Sketch hat dazu geführt, dass »Spam« (eine bekannte amerikanische Dosenfleischmarke)
zum Synonym für unerwünschte Werbe-E-Mails wurde.]
– Monty Python’s Flying Circus
Wer Computer einsetzt, besonders mit Verbindung zum Internet, ist vielfältigen und täglich anwachsenden Bedrohungen ausgesetzt. Angriffe durch Viren oder E-Mail-Würmer, staatliche und privatwirtschaftliche Schnüffelei oder gar gezielte Angriffe durch Cracker können zu gravierenden Schäden bis hin zu völligem Datenverlust führen. Dieses Kapitel ergänzt die gezielten Sicherheitstipps zu einzelnen Themen, die Sie bisher an Ort und Stelle erhalten haben, und stellt allgemeinere Konzepte und Lösungen vor.
Beachten Sie jedoch zunächst Folgendes: Wenn Sie hundertprozentige Sicherheit möchten, dann müssen Sie auf jegliche Netzwerkteilnahme völlig verzichten und dürfen niemals fremde Datenträger benutzen! Eigentlich müssten Sie sogar Ihre gesamte Software, vom Betriebssystem über Compiler und Treiber bis hin zu den Anwendungen, selbst schreiben.[Anm.: Natürlich auch nur unter der Voraussetzung, dass Sie sich hervorragend mit Sicherheitsthemen auskennen.] Mit anderen Worten: IT-Sicherheit kann in der realen Welt immer nur ein Kompromiss sein. Der Aufwand der Absicherung und die Wichtigkeit der zu schützenden Daten müssen in einem vernünftigen Verhältnis zueinander stehen.
Wichtig ist auch, dass Sie sich intensiv mit den technischen Grundlagen von Computersystemen und Netzwerken beschäftigen müssen, bevor Sie sich ernsthaft um die Sicherheit kümmern können. Natürlich sollten auch – und gerade – Anfänger die hier gesammelten Sicherheitstipps umsetzen, aber Verantwortung für die Absicherung Dritter sollte nur übernehmen, wer sich wirklich auskennt.
Im Einzelnen werden in diesem Kapitel folgende Themen behandelt:
- PC-Gefahren. Hier geht es um die alltäglichen Bedrohungen von Desktoprechnern, Laptops und Netbooks durch Malware – Sammelbegriff für Viren, Würmer, Trojaner, Spyware und so weiter. Zugleich werden wichtige Gegenmaßnahmen beschrieben.
- Netzwerk- und Serversicherheit. Hier werden serverrelevante Themen wie Sicherheitslücken und Exploits, Rootkits, Cross Site Scripting (XSS) oder SQL Injection – und natürlich mögliche Gegenmaßnahmen – angesprochen. Daneben erhalten Sie eine Einführung in den Einsatz von Kryptografie.
Über das ganze Buch verteilt finden Sie weitere Sicherheitshinweise, die sich jeweils auf die einzelnen Themen beziehen.
20.1 PC-Gefahren
Sobald Sie eine Netzwerk- oder Internetverbindung herstellen, lauern zahlreiche potenzielle Gefahren für handelsübliche Desktoprechner: Tag und Nacht durchforsten automatisierte Skripte die Netze der großen Provider und suchen nach Schwachstellen in Programmen und Sicherheitseinstellungen. E-Mails mit gefährlichen Anhängen verbreiten sich exponentiell, indem sie sich aus den Adressbüchern bekannter E-Mail-Programme bedienen. Regierungen und Konzerne wollen (aus unterschiedlichen Gründen) möglichst lückenlos über Ihre Gewohnheiten Bescheid wissen. Und nicht zuletzt können alle heruntergeladenen Daten und jeder externe Datenträger Viren enthalten, die schlimmstenfalls Ihre eigenen gesammelten Daten vernichten.
Diese etwas drastische Einleitung soll Ihnen nicht etwa Angst machen, sondern Sie für viele verschiedene Gefahren auf einmal sensibilisieren. Es gibt zwar keine Allheilmittel gegen die hier angesprochenen Probleme, aber doch eine größere Palette vernünftiger und nicht zu aufwendiger oder einschränkender Maßnahmen. Die bedeutendsten Bedrohungen und mögliche Lösungsansätze werden im Folgenden vorgestellt.
20.1.1 Viren und Würmer
Ein Computervirus ist ein Programm oder Skript mit schädigender Wirkung. Die Bezeichnung Virus ist angebracht, weil diese Programme die Fähigkeit besitzen, sich selbst zu vervielfältigen. Inzwischen gibt es mehrere Hunderttausend solcher Schädlinge. Ein Virus im engeren Sinne manipuliert den Binärcode eines ausführbaren Programms. Seine Schadenswirkung und Weiterverbreitung entfaltet sich durch die Ausführung dieser Programme. Noch verbreiteter sind inzwischen Würmer, die sich per E-Mail, über Instant-Messaging-Dienste und allgemein über offene Netzwerkverbindungen verbreiten.
Weitaus die meisten Viren und Würmer gibt es für Windows – kein Wunder, schließlich ist es das verbreitetste Betriebssystem. Das ist kein Grund, sich über diese Plattform lustig zu machen; inzwischen sind auch einige Viren für Linux und Mac OS X bekannt geworden. Seltenere Unix-Varianten sind dagegen durch die exotische Hardware und ihren geringen Verbreitungsgrad effektiv geschützt.
Klassische Viren
Echte Viren bestehen aus mehreren der folgenden Teile, manchmal auch aus allen:
- Der Vermehrungsteil enthält die Befehle für die Verbreitung des Virus.
- Der Erkennungsteil überprüft, ob der Computer bereits von demselben Virus befallen ist, und wirkt in diesem Fall nicht weiter.
- Der Schadensteil wird manchmal auch als Payload (auf Deutsch: Nutzlast) bezeichnet. Er kann beliebigen Schaden am befallenen System anrichten, von unerwünschten Meldungen und Tönen über gelöschte Dateien bis hin zu formatierten Datenträgern.
- Der Bedingungsteil kann dafür sorgen, dass der Virus nur unter bestimmten Umständen aktiv wird, etwa zu einem speziellen Datum oder nach Eingabe eines festgelegten Wortes.
- Der Tarnungsteil schließlich versucht den Virus vor dem Benutzer oder sogar vor Antivirenprogrammen zu verbergen.
Der Begriff Virus wurde 1981 geprägt. Viren waren zunächst rein akademische Forschungsprojekte, die dem Studium von Sicherheitsproblemen dienten. Erst 1982 wurde der erste »In the wild«-Virus entdeckt; seitdem vervielfacht sich die Anzahl der bekannten Viren Jahr für Jahr. Verbreitungswege und Tarnmechanismen wurden dabei immer ausgefeilter. Im gleichen Maße mussten die Antivirenprogramme aufgerüstet werden. Inzwischen ist nur noch dann einigermaßen Verlass auf sie, wenn die enthaltenen Virendefinitionen regelmäßig aktualisiert werden und wenn heuristische Erkennungsmechanismen, das heißt wahrscheinlichkeitsbasierte Annäherungen, verwendet werden.
Hier zunächst ein Überblick über die wichtigsten Virentypen. Beachten Sie, dass viele Viren zu mehreren dieser Arten gleichzeitig gehören können:
- Bootsektorviren, bekannt seit 1986, befallen den Master Boot Record von Datenträgern. Bereits das einfache Lesen einer infizierten Diskette kann den Virus auslösen und die Festplatte befallen. Von nun an wird der Virus bei jedem Bootvorgang ausgeführt. Die meisten Bootsektorviren sind speicherresident; sie bleiben also aktiv, bis der Computer wieder heruntergefahren wird. In diesem Zeitraum infizieren sie jede eingelegte Diskette. Mit dem Aussterben der Disketten in den letzten Jahren schien die Bedeutung dieser Viren zurückzugehen; inzwischen gibt es jedoch neue Wellen, die besonders die Bootsektoren von USB-Sticks befallen (siehe zum Beispiel http://it.slashdot.org/article.pl?sid=08/04/03/1946228).
- Dateiviren gibt es ebenfalls seit 1986. Sie befallen ausführbare Programme und werden beim Start dieser Programme ausgeführt. Sobald sie im Speicher sind, versuchen sie, weitere Programme zu infizieren.
- Makroviren benötigen nicht einmal ausführbare Programme, sondern befallen die Dateien bestimmter Anwendungsprogramme, die über eine Skript- oder Makrosprache programmierbar sind. Am häufigsten sind Microsoft-Office-Dokumente betroffen, weil sie sehr weit verbreitet sind und weil die Makrosprache VBA (Visual Basic for Applications) mächtige Befehle zur Steuerung von Windows und Office enthält. Zudem befallen die meisten Office-Makroviren sofort die Standard-Vorlagedateien und infizieren so jedes neu erstellte Dokument. Bis zum Aufkommen zahlreicher E-Mail-Würmer um 1999 war dies die häufigste Virenart.
- Stealth-Viren (sogenannte Tarnkappen-Viren) verfügen über einen besonders wirkungsvollen Tarnungsteil. Sie manipulieren Verzeichniseinträge, ändern die Wirkung von Systembefehlen oder manipulieren sogar Antivirenprogramme, um ihre Existenz zu verbergen. Zahlreiche neuere Bootsektor- und Dateiviren gehören zu dieser Kategorie.
- Polymorphe Viren sind noch gefährlicher als Stealth-Viren. Eingebaute Algorithmen zur Verschlüsselung und Selbstmodifikation sorgen nämlich dafür, dass jede Kopie des Virus eine neue Gestalt annimmt. Klassische Virensuchverfahren sind gegen diese Bedrohung völlig machtlos.
Würmer
Im Gegensatz zu Viren hängen sich Würmer nicht an Dateien oder Bootsektoren an, sondern verbreiten sich über Netzwerke. Ein Großteil von ihnen wird über ausführbare E-Mail-Attachments in Gang gesetzt, andere nutzen schlecht geschützte oder fehlerhaft implementierte Netzwerkfreigaben zur Verbreitung. Der »Morris«-Wurm von 1988 ist zwar der bekannteste Klassiker, aber die zweifelhafte Ehre, der erste Wurm gewesen zu sein, gebührt dem 1987 entstandenen »Tannenbaum«-Wurm. Er zeichnete einen Tannenbaum auf den Bildschirm und versandte sich an sämtliche auf dem Rechner gefundenen E-Mail-Adressen.
Für die bekannten E-Mail-Würmer ist fast immer die Mitwirkung des Computerbenutzers erforderlich: Erst wenn dieser – von Neugier und Unkenntnis getrieben – den Dateianhang einer befallenen Mail öffnet, wird der Schädling in Gang gesetzt. Einmal gestartet, versendet sich ein solcher Mail-Wurm an alle im Adressbuch und in lokalen Dateien gefundenen E-Mail-Adressen. Die meisten E-Mail-Würmer enthalten zudem gefährliche Schadensroutinen. Der erste neuere Wurm, nach seiner Betreffzeile ILOVEYOU genannt, ersetzte beispielsweise sämtliche JPEG- und MP3-Dateien auf dem Rechner durch Kopien seiner selbst.
Die meisten E-Mail-Würmer benutzen eine doppelte Dateiendung für ihre gefährliche Fracht: Vor Endungen wie .vbs (Visual Basic Script), durch die sie ausführbar werden, wird eine Erweiterung wie .jpg oder .txt gesetzt. Da Windows die Endungen bekannter Dateitypen standardmäßig ausblendet, werden diese Dateien für harmlose Bilder oder Texte gehalten, sodass es leicht zu einem fatalen Doppelklick kommt.
Bisher haben es glücklicherweise nur wenige Mail-Würmer geschafft, durch bloßes Anzeigen der Nachricht aktiviert zu werden. Eine dieser unrühmlichen Ausnahmen war »Nimda« von 2001 – ein überaus aggressiver und gefährlicher Wurm, der sich nicht nur über E-Mails verbreitete, sondern auch über diverse Sicherheitslücken im Microsoft Internet Information Server und im Internet Explorer.
Überhaupt nutzen die meisten aktuellen Würmer akute Sicherheitsprobleme der Software von Microsoft aus. Neben Windows selbst sind besonders Outlook und Outlook Express, der Internet Explorer und der Windows Media Player betroffen. Bezeichnenderweise handelt es sich also um Programme, die tief in das System integriert sind, weil sie zu dessen automatisch vorinstalliertem Lieferumfang gehören. Diese Geschäftspolitik von Microsoft sorgt übrigens nicht nur für massive Sicherheitsmängel, sondern hat auch eine Reihe von Monopolklagen vor amerikanischen und europäischen Gerichten provoziert. Deshalb hat Microsoft seine Haltung in diesem Punkt in den letzten Jahren zum Teil revidiert – zumindest ist Sicherheit in letzter Zeit das zentrale Thema öffentlicher Verlautbarungen des Konzerns.
Neben den E-Mail-Würmern gibt es auch solche, die Instant-Messaging-Dienste wie Windows Messenger oder AIM befallen. Auch Social-Media-Sites wie Facebook oder der Messaging-Webdienst Twitter waren bereits Ziel spezieller Würmer (siehe beispielsweise http://news.cnet.com/8301-1009_3-10217681-83.html).
Gegenmaßnahmen
Um sich vor Viren und Würmern zu schützen, sollten Sie eine Reihe kombinierter Sicherheitsmaßnahmen durchführen. Nur eine sorgfältige Beachtung der nachfolgenden Punkte kann Sie einigermaßen vor Schäden bewahren.
- Verwenden Sie Antivirensoftware. Es ist unabdingbar, dass auf jedem Computer – insbesondere solchen mit Netzwerk-
oder Internetzugang – ein aktuelles Antivirenprogramm installiert wird. Geeignete
Produkte sind etwa Norton Antivirus von Symantec sowie die Programme von McAfee, Kaspersky
oder G-DATA. Der Hersteller ist hierbei gar nicht so wichtig; viel bedeutender sind
die folgenden drei Punkte:
- Die Virendefinitionen müssen regelmäßig, am besten täglich, aktualisiert werden. Verantwortungsvolle Antivirenprogramme erledigen dies automatisch, sobald eine Internetverbindung hergestellt wird.
- Das Programm sollte über eine Wächterkomponente verfügen, die ständig im Hintergrund aktiv ist und den Zugriff auf sämtliche Datenträger und Dateien überwacht.
- Die Wächterfunktion sollte sich auch auf E-Mails ausweiten lassen. Da die meisten Antivirenprogramme dies durch einen lokalen Mail-Proxy realisieren, verlangsamt diese Maßnahme den E-Mail-Empfang. Die zusätzliche Sicherheit sollte Ihnen dieses kleine Opfer wert sein!
- Installieren Sie regelmäßig alle Updates und Patches. Fehlerfreie Software gibt es nicht. Vielmehr kommt es darauf an, dass bekannt gewordene
Sicherheitslücken möglichst schnell geschlossen werden. Aufgrund der aktiven Communitys
und des Viele-Augen-Prinzips klappt dies in der Welt der freien Software meist rascher
und zuverlässiger als bei kommerziellen Programmen, bei denen Sie den Launen des Herstellers
ausgeliefert sind – beispielsweise weil ein dringend erforderlicher Bugfix aus geschäftspolitischen
Gründen manchmal erst mit der nächsten kostenpflichtigen Vollversion geliefert wird.
Umso wichtiger ist es, dass Sie zumindest jeden erhältlichen Sicherheitspatch sofort installieren. Zu diesem Zweck sollten Sie regelmäßig zuverlässige IT-News wie heise.de oder golem.de verfolgen. Automatische Upgrade-Funktionen sind dagegen eher mit Vorsicht zu genießen. Es ist bereits vorgekommen, dass gerade diese Schnittstellen zur Installation von Malware missbraucht wurden. Erst recht sollten Sie niemals ein angebliches Sicherheitsupdate installieren, das per E-Mail gesendet oder verlinkt wird. In den meisten Fällen handelt es sich dabei um eine Phishing-Attacke (siehe »Phishing-Attacken« in Abschnitt 20.1.3, »Weitere Schädlinge«).
- Verwenden Sie eine Firewall. Da viele Bedrohungen von offenen Netzwerkschnittstellen ausgehen, lohnt es sich, diese zu kontrollieren und so weit wie möglich dicht zu machen. Windows 8 und 7, Windows Vista und Windows XP ab Service Pack 2 enthalten bereits eine einigermaßen zufriedenstellende Desktop-Firewall; bei noch älteren Windows-Varianten können Sie beispielsweise die kostenlose Comodo Firewall Pro installieren (Download zum Beispiel unter www.chip.de/downloads/Comodo-Internet-Security_28397713.html).
- Sichern Sie wichtige Daten regelmäßig. Irgendwann erfolgt möglicherweise ein besonders heftiger Angriff, der allen Vorsichtsmaßnahmen
trotzt und tatsächlich Daten vernichtet. Deshalb ist es überaus wichtig, dass Sie
regelmäßig – am besten täglich – alle wichtigen Daten sichern. Wenn Sie externe Festplatten,
USB-Sticks, wiederbeschreibbare CDs oder DVDs dafür verwenden, verursacht dies nicht
einmal laufende Kosten. Bequemerweise lässt sich Brennsoftware zudem so einstellen,
dass sie beim Abmelden alle Daten aus den angegebenen Ordnern auf einen Datenträger
brennt und anschließend den Rechner herunterfährt.
Datensicherung ist nicht nur im unmittelbaren Hinblick auf die Sicherheit wichtig, sondern schützt auch vor Datenverlust aus anderen Gründen, beispielsweise durch Hardwareschäden.
- Öffnen Sie niemals unerwartete E-Mail-Anhänge. Neuere E-Mail-Würmer sind polymorph: Sie generieren bei jedem automatischen Versand neue Betreffzeilen und Texte. Zuweilen bedienen sie sich dabei sogar vorhandener Mails, sodass sie immer schlechter von harmlosen, absichtlich versandten Nachrichten zu unterscheiden sind. Wenn Ihnen jemand ein Attachment schickt, sollten Sie sich stets vergewissern, dass es bewusst und mit Absicht versandt wurde.
- Arbeiten Sie im Alltag nicht mit Administratorrechten. Bei der Installation von Unix-Systemen ist es weit verbreitet, dass auf die besondere
Bedeutung des Root-Benutzerkontos hingewiesen wird (oder dass es standardmäßig gar
nicht eingerichtet wird, wie etwa bei Ubuntu oder Mac OS X). Gleichzeitig wird oft
angeboten, einen ersten Standardbenutzer einzurichten. Unter Windows ist der automatisch
beim Systemstart angemeldete Benutzer dagegen uneingeschränkter Administrator. Dies
birgt enorme Risiken. Sie sollten dringend ein Benutzerkonto mit eingeschränkten Rechten
einrichten und sich nur dann als Administrator anmelden, wenn Sie Systemverwaltungsaufgaben
zu erledigen haben.
Leider wird diese Empfehlung durch manche Programme torpediert, die mit Standard-Benutzerrechten nicht funktionieren. In diesem Fall sollten Sie versuchen, die benötigten Rechte einzeln zu setzen; immerhin erlaubt Windows hier relativ feine Abstufungen. Wenn es gar nicht anders geht, sollten Sie sogar erwägen, auf eine andere Software auszuweichen. Außerdem ist es ratsam, diesen Punkt bei Ihrer nächsten Kauf- oder Einführungsentscheidung zu berücksichtigen.
Seit Windows Vista wurde die Sicherheit hier ein wenig verbessert: Wenn Aktionen tatsächlich Administratorrechte benötigen, werden Sie deutlich darauf hingewiesen und müssen dies noch einmal ausdrücklich bestätigen.
- Wechseln Sie Browser und E-Mail-Client. Viele Angriffe betreffen nicht die gesamte Windows-Plattform, sondern nur die mitgelieferte
Standardsoftware. Besonders häufig werden Sicherheitslücken im Browser Internet Explorer
und in E-Mail-Clients wie Microsoft Mail oder dem alten Outlook Express ausgenutzt,
weil diese am häufigsten eingesetzt werden. Die einfache Antwort: Steigen Sie um!
Es gibt genügend Alternativen. Ein relativ schneller, standardkonformer Browser ist
beispielsweise Mozilla Firefox; aus derselben Open-Source-Gemeinde stammt auch der
Mailer Thunderbird. Beide importieren bequem Konten, Favoriten und Einstellungen der
Microsoft-Tools. Andere mögliche Browser sind beispielsweise Google Chrome oder Apple
Safari.
Der (kostenlose) Browsercheck unter http://www.heise.de/security/dienste/browsercheck/ ermöglicht Ihnen die gezielte Überprüfung Ihres Browsers auf bekannte Schwachstellen.
- Passen Sie die Sicherheitseinstellungen Ihres Browsers an. Ob Sie nun bei den genannten Microsoft-Produkten bleiben oder die Software wechseln – setzen Sie sich stets genau mit den Einstellungsmöglichkeiten auseinander.
- Blenden Sie die Dateiendungen ein. Es ist vollkommen unverständlich, warum Microsoft die Erweiterungen bekannter Dateitypen seit Windows 95 ausblendet. Öffnen Sie Extras · Ordneroptionen eines beliebigen Verzeichnisses, und deaktivieren Sie die Option Erweiterungen bei bekannten Dateitypen ausblenden (Windows 8, 7 und Vista). Bei älteren Windows-Versionen heißt der Eintrag anders und befindet sich unter dem Menüpunkt Ansicht.
20.1.2 Trojaner und Backdoors
Eine weitere Bedrohung von Desktoprechnern entsteht durch Programme, die im Geheimen unerwünschte Funktionen ausführen. Das reicht von der relativ harmlosen, meist anonymen Auswertung von Daten für die gezielte Einblendung von Werbebannern über den Missbrauch fremder PCs als Virenschleudern oder Spam-Relays bis hin zu ausgewachsenen Backdoors, über die Angreifer auf Ihrem Rechner fast so arbeiten können, als säßen sie davor.
In vielen Fällen haben Sie es sogar selbst zu verantworten, wenn Sie so einen ungebetenen Gast auf Ihren Computer einladen. Oft erhalten Sie ihn nämlich durch Download und Installation eines angeblich nützlichen oder unterhaltsamen Programms. Daher stammt auch die Bezeichnung Trojaner – die Kurzform für »Trojanisches Pferd« –, also eine harmlos wirkende Hülle mit schädlichen Inhalten.[Anm.: Der »Trojaner« sind eigentlich Sie selbst – schließlich holen Sie das Pferd in Ihr »digitales Troja«; anschließend schlüpfen die versteckten Krieger (hier: Schadensroutinen) heraus und greifen an.]
Seltener gelingt es Crackern, derartigen Code bereits durch den bloßen Besuch bestimmter Websites auszuführen, indem sie gezielt Sicherheitslücken in der Scripting- oder Plug-in-Engine des Browsers ausnutzen. Installieren Sie regelmäßig Updates und Patches, und führen Sie von Zeit zu Zeit den zuvor erwähnten Browsercheck aus, um die Anfälligkeit Ihres Browsers gegenüber solchen Angriffen zu testen.
Backdoors sind die gefährlichsten Schädlinge, die durch Trojaner installiert werden können. Dabei können diese Programme selbst eigentlich recht nützlich sein: Bekannte Backdoors wie SubSeven, Back Orifice oder WinGate wurden als »Remote Administration Tools« geschrieben, die den unter Windows herrschenden Mangel an standardisierten Fernwartungsschnittstellen wie Telnet oder SSH wettmachen sollten. Administratoren könnten diese Tools also ganz bewusst auf PCs in ihrem Netzwerk installieren, um die Rechner bequem und zeitsparend verwalten zu können.
Gefährlich wurden diese Programme erst, als verantwortungslose oder böswillige Menschen auf die Idee kamen, sie durch Trojaner zu verbreiten. Da die meisten Backdoors eine Komponente enthalten, die einen Rechner über die dynamisch zugewiesene IP-Adresse hinaus eindeutig kennzeichnet, kann der Cracker vom Installationszeitpunkt an auf Ihrem Rechner beliebig ein- und ausgehen, sobald dieser mit dem Internet verbunden ist.
Für den Schutz vor Trojanern gelten ähnliche Regeln wie die eingangs bei den Viren und Würmern genannten. Aktuelle Antivirenprogramme enthalten unter anderem Erkennungsregeln für bekannte Trojaner und Backdoor-Installationsprogramme. Im Übrigen können die im weiteren Verlauf angesprochenen Firewalls Anhaltspunkte liefern, da sie verdächtige Netzwerkaktivitäten melden oder sogar unterbinden können.
Für Verunsicherung sorgte in den letzten Jahren der Begriff des sogenannten Bundestrojaners: Deutsche Politiker haben beschlossen, dem Bundeskriminalamt und anderen Behörden die Erlaubnis zu erteilen, heimlich die Inhalte der PCs von Terror- oder Schwerverbrechens-Verdächtigen zu durchsuchen. Der verharmlosende Begriff Onlinedurchsuchung verschleiert dabei den wichtigsten Unterschied zu einer Hausdurchsuchung: die »Durchsuchung« findet heimlich statt, ohne dass der Verdächtige darüber in Kenntnis gesetzt wird.
Kurz vor Drucklegung dieser Auflage wurde bekannt, dass die Geheimdienste von USA und Großbritannien (und wahrscheinlich auch anderen Ländern) das Internet und alle seine Nutzer umfassend überwachen, indem sie jegliche Kommunikation anzapfen, speichern und auswerten. Was viele IT-Experten schon lange vermutet hatten, wurde dabei zur traurigen Gewissheit: Große Unternehmen wie Apple, Google, Microsoft, Facebook und so weiter gewähren den Diensten heimlich, aber ganz offiziell Zugriff auf ihre Systeme.
20.1.3 Weitere Schädlinge
Neben den besonders gefährlichen Viren, Würmern und Trojanern existieren einige weitere Varianten von Malware mit unterschiedlichem Gefährdungspotenzial: Spam oder Hoaxes nerven vor allem, nehmen aber auch unnötig Zeit und Netzwerkbandbreite in Anspruch; Spy- und Adware spähen Ihre Surfgewohnheiten und andere Daten aus; 0900-Dialer können sogar Unsummen an Geld kosten. Es folgt hier eine (nicht vollständige) Auflistung alltäglicher Plagegeister und möglicher Gegenmaßnahmen.
Dialer
0900-Dialer gehörten noch vor wenigen Jahren zu den gefährlichsten Arten von Malware; inzwischen haben Betrüger sie zugunsten anderer »Geschäfts«zweige so gut wie aufgegeben – aufgrund der steigenden Verbreitung von DSL lohnt sich das Ganze nicht mehr so sehr wie früher.
Dialer werden manchmal über Sicherheitslücken installiert, öfter aber als spezielle Form von Trojanern: Manche betrügerischen Websites geben an, dass der »kostenlose Download spezieller Zugangssoftware« erforderlich sei, um bestimmte Inhalte sehen zu können. Der Download kostet in der Tat nichts, aber nach der Installation wird der Internetzugang nicht mehr über den bisherigen Provider hergestellt, sondern über 0900- oder 0137x-»Mehrwert«-Rufnummern, für die entweder ein hoher Minutenpreis oder eine noch höhere Gebühr pro Einwahl fällig wird. Oft steigen Telefonrechnungen nach dem Befall durch einen Dialer um mehrere Hundert Euro.
Seit Mitte 2003 gilt in der Bundesrepublik ein Gesetz, das dem Einsatz von Dialern engere Grenzen setzt: Jeder Dialer muss bei der Regulierungsbehörde für Telekommunikation und Post (RegTP) registriert werden, und vor der Installation muss der Benutzer durch eine eigenhändige Texteingabe zustimmen. Hüten Sie sich also dringend vor Websites, auf denen Sie nach dem Klick auf einen Link zur Eingabe von »OK« oder Ähnlichem aufgefordert werden![Anm.: Verwechseln Sie dies nicht mit den sogenannten CAPTCHAs: Auf manchen Websites werden Sie aufgefordert, einen Code abzutippen, der verzerrt in einem Bild zu sehen ist. Dies dient lediglich dazu, Skripten den Zugriff auf die Dienstleistung der Seite zu verweigern: Menschen können ein CAPTCHA ohne Weiteres lesen, Programme dagegen nicht.] Übrigens blühte das Dialer-Unwesen trotzdem munter weiter, weil das Gesetz im Ausland nicht gilt und weil es zum Wesen kriminell agierender Personen gehört, sich nicht an Gesetze zu halten.
Völlig unverständlich war in diesem Zusammenhang stets das Verhalten der Telefongesellschaften: Während sie den Dialer-Betreibern trotz verschlungener Beteiligungen über unzählige Schein- und Briefkastenfirmen zuverlässig das ergaunerte Geld zukommen ließen, behaupteten sie gegenüber ihren Kunden oft genug, die Betreiber gar nicht ermitteln zu können. Der Gipfel der Unverschämtheit war die Behauptung eines Telekom-Sprechers in einem Interview mit der Computerzeitschrift »c’t«, die Telekom selbst würde an den Dialern fast nichts verdienen.
Es gibt verschiedene Möglichkeiten, der Gefahr durch Dialer zu entgehen:
- Spezielle Schutzprogramme verhindern manchmal die Installation, immer aber die Anwahl von Mehrwertdienst-Rufnummern durch Modem oder ISDN-Karte.
- Wenn Sie keine Mehrwertdienst-Rufnummern benötigen, können Sie die entsprechenden Vorwahlen (0137x, 0900) bei vielen Telefongesellschaften komplett sperren lassen. Falls diese Einschränkung für Sie nicht infrage kommt, können Sie alternativ eine monatliche Höchstgrenze für Ihre Telefongebühren festlegen lassen – darüber hinaus werden dann keinerlei ausgehende Verbindungen mehr hergestellt.
- Steigen Sie komplett auf DSL um, sofern es in der Region verfügbar ist – inzwischen geschieht auch in ländlichen Gebieten viel bezüglich DSL-Ausbau. Da es sich nicht um ein Telefonwahlverfahren handelt, sind Sie hier vor normalen Dialern sicher. Komplett heißt allerdings, dass nicht nur Ihr Internetzugang über DSL läuft, sondern dass Sie auch ein eventuell vorhandenes Modem oder einen ISDN-Adapter für Fax- oder Telefoniedienste aus dem Rechner entfernen müssen.
Viele fundierte Informationen zu Dialern, technische und rechtliche Tipps sowie Downloadlinks zu verschiedenen Schutzprogrammen bietet übrigens die Website http://www.computerbetrug.de. Dort geht es längst nicht mehr nur um reine PC-Dialer, die dank DSL tatsächlich im Aussterben begriffen sind, sondern um alle telefonbasierten Betrugs- und Belästigungsarten.
Spy- und Adware
Viele kostenlose Tools und Programme sind werbefinanzierte Adware – als Gegenleistung dafür, dass Sie nichts bezahlen, müssen Sie sich Werbeeinblendungen gefallen lassen. Das hört sich zunächst nach einem fairen Geschäft an; bei einigen seriösen Anbietern (wie etwa bei älteren Versionen des Browsers Opera) ist es dies auch in der Tat. Unfair wird es erst, wenn das Programm Ihr Surfverhalten oder Ihre lokalen Dateien durchsucht, um die Werbung anhand der vorgefundenen Informationen an Ihre Bedürfnisse und Ihren Geschmack anzupassen. Im Webbrowser lässt sich dieses erweiterte Usertracking einfach ausschalten, indem Sie die Annahme von Cookies verweigern – insbesondere von solchen, die nicht von der aktuellen Domain selbst stammen. Bei allen anderen Arten von Software können Sie dagegen nicht wissen, auf welche Weise die Bespitzelung durchgeführt wird und wie weit sie geht.
Noch viel ärgerlicher sind Anwendungsprogramme, die regelmäßig »nach Hause telefonieren« – viele von ihnen suchen nämlich nicht nur nach Online-Updates, sondern informieren ihren Hersteller auch gleich über diverse Aspekte Ihres Systems und der vorgefundenen Softwarebasis.
Eine Variante dieses Verfahrens ist die von Microsoft seit Windows XP eingeführte und von immer mehr Softwarefirmen übernommene Unart der »Aktivierung« – Sie können die Software nur noch nutzen, wenn Sie sie über Internet oder Telefon freischalten. Falls Sie Programme mit Aktivierungszwang benötigen (einige in diesem Buch behandelte gehören leider dazu), dann sollten Sie auf jeden Fall die telefonische Variante wählen. Bei der schnelleren und bequemeren Internetaktivierung können Sie sich über den Inhalt der verschlüsselten Daten, die das Aktivierungstool versendet, nicht sicher sein; beim Telefon sind es auf jeden Fall weniger Informationen.
Das empfehlenswerte, kostenlose Windows-Programm Spybot Search & Destroy bekämpft recht zuverlässig viele verschiedene Arten von Spy- und Adware. Neben einschlägigen Softwarekomponenten werden beispielsweise auch bestimmte Registry-Einträge oder Tracking-Cookies entfernt. Sie können das Tool unter http://www.safer-networking.org/de herunterladen. Sie sollten es regelmäßig laufen lassen und seine Spyware-Definitionen stets aktualisieren.
Phishing-Attacken
Als Phishing wird das Erschleichen von Passwörtern und anderen Zugangsdaten durch Überlistung von Benutzern verstanden. Die bekannteste Variante sind Phishing-Mails: Eine pompös aufgemachte HTML-E-Mail mit gefälschter Adresse, die genau dem Corporate Design einer bekannten Website wie eBay, Amazon oder T-Online entspricht, fordert Sie auf, Ihre Zugangsdaten einzugeben. Wird eine solche E-Mail über bekannte Spam-Kanäle versendet, ist es sehr wahrscheinlich, dass sie Hunderttausende echter Kunden der betreffenden Unternehmen erreicht.
Eine zweite Möglichkeit besteht darin, Websites mit unscheinbaren Änderungen am Domainnamen einzurichten und Anwender durch Links auf diese Seiten zu locken. Bei oberflächlicher Ansicht bemerkt man einen vertauschten Buchstaben (»voiksbank«) oder zusätzliche Anhänge (»www.ebay.com.19837847586.com«) manchmal nicht.
Noch perfider ist ein Bild mit integrierter Image Map (siehe Kapitel 17, »Webseitenerstellung mit [X]HTML und CSS«): Die Statuszeile des E-Mail-Programms zeigt die URL des äußeren Hyperlinks an, während ein rechteckiger Image-Map-Bereich, der das gesamte Bild abdeckt, auf eine ganz andere Adresse verweist. Am besten deaktivieren Sie die automatische Anzeige von Bildern im E-Mail-Client ganz, oder Sie verzichten sogar vollständig auf die Auswertung von HTML-Mails.
Einige Ratschläge können Ihnen helfen, nicht auf Phishing-Attacken hereinzufallen:
- Geben Sie persönliche Daten oder Anmeldeinformationen niemals in ein Formular ein, das per E-Mail versandt oder verlinkt wurde.
- Banken, Versicherungen oder E-Commerce-Plattformen fragen Sie nie nach Ihren Zugangsdaten – es sei denn, Sie besuchen absichtlich deren Websites und möchten Transaktionen durchführen, für die eine Anmeldung erforderlich ist.
- Brechen Sie Vorgänge stets ab, wenn Sie sich unsicher fühlen, und fragen Sie gegebenenfalls telefonisch beim (vermeintlichen) Betreiber der entsprechenden Website nach. Besonders stutzig sollten Sie werden, wenn sensible Webtransaktionen über HTTP statt über verschlüsseltes HTTPS durchgeführt werden (auch ohne Phishing eine sehr schlechte Idee!).[Anm.: Der Gipfel war das Online-Bestellverfahren für Tickets zur Fußball-WM 2006: Auf Verdacht (es war ein Losverfahren) sollten unzählige persönliche Daten, darunter Personalausweisnummer und Bankverbindung, eingegeben werden – und das auch noch über eine offene Verbindung ohne SSL-Schutz!] Auch wenn das Verschlüsselungszertifikat abgelaufen ist oder von einem unbekannten Aussteller stammt (der Browser meldet beides), sollten Sie nicht fortfahren.
Spam & Co. – die Nervensägen
Wenn Sie E-Mail benutzen, erhalten wahrscheinlich auch Sie jeden Tag Angebote für »todsicher steigende« Aktien, Geschäftsbeziehungen mit nigerianischen Exilprinzen, gefälschte Rolex-Uhren, Hypotheken mit niedrigen Zinsen, die Aufwertung diverser Körperteile, billige OEM-Software und natürlich Pornografie. Die Rede ist von Spam, Junk- oder Trash-Mail oder auch Unsolicited Commercial Email (UCE).
Der direkte Schaden durch Spam-Mails kommt vor allem durch die Verstopfung von Mailservern und die massenhafte Verschwendung von Netzwerkbandbreite zustande. Indirekt (und für Endbenutzer viel gravierender) schaden solche unerwünschten Zusendungen vor allem durch den Zeitaufwand, den ihre Beseitigung verursacht. Ärgerlich ist zudem, dass die gesamte Nützlichkeit von E-Mails durch diese Belästigung allgemein nachlässt. Inzwischen wird allgemein von 90 % (!) Spam-Anteil im gesamten E-Mail-Aufkommen ausgegangen.
Zunächst einmal ist eines sehr wichtig: Folgen Sie niemals einem in der Spam-Mail enthaltenen Link! Es handelt sich entweder um den Versuch, Ihnen Viren und Trojaner unterzujubeln, oder jemand verdient durch die Einblendung einiger Hundert Popup-Werbebanner Geld an Ihnen.
Auch den in vielen Spam-Nachrichten enthaltenen angeblichen »Abbestell«- oder »Blacklist«-Link sollten Sie keinesfalls betätigen: Er dient dem Spammer ausschließlich als Hinweis darauf, dass Ihre E-Mail-Adresse tatsächlich aktiv ist – Sie haben die Mail offensichtlich erhalten und darauf reagiert. Solche Adressen sind besonders begehrt und werden auf dem Spam-Markt zu etwas höheren Preisen gehandelt als »unbestätigte« Empfänger.[Anm.: Noch selbstverständlicher sollte sein, dass Sie im Leben nicht daran denken, die angeblich angebotenen Produkte zu bestellen! Besonders hartnäckigen Spammern gelingt es tatsächlich, einige Menschen zur Überweisung von Geld zu überreden.]
Aus demselben Grund sollten Sie selbst im Zorn davon absehen, auf Spam zu antworten. Häufig sind die Absenderadressen ohnehin gefälscht, und falls nicht, bestätigen Sie wieder einmal, dass Ihre Adresse existiert. Darüber hinaus verschlimmern Sie die Verschwendung von Netzwerkbandbreite, die durch Spam ohnehin entsteht.
Die allgemein gültige Regel lautet daher: Löschen Sie Spam immer sofort! Unternehmen Sie nichts anderes.
Natürlich ist es praktisch, wenn Ihnen ein Programm beim Aussortieren der Spam-Mails behilflich ist; ein Allheilmittel gibt es aber nicht. Die einzige Möglichkeit besteht darin, »lernende« Spam-Filter einzusetzen. Solchen Programmen können Sie anhand Ihres täglichen Mail-Aufkommens den Unterschied zwischen »Ham« (erwünschte Mails) und »Spam« beibringen. Manche E-Mail-Clients (zum Beispiel Thunderbird oder das mit Mac OS X gelieferte Apple Mail) enthalten bereits ab Werk ein solches Modul. Ansonsten gibt es zahlreiche Zusatzlösungen von Drittanbietern.
Eines der vielversprechendsten Projekte ist die seit Version 3.0 unter dem Dach der Apache Software Foundation entwickelte Open-Source-Software SpamAssassin. Das umfangreiche, durch verschiedene Module erweiterbare Perl-Programm verwendet eine Mischung aus Regeln und statistischen Methoden sowie der zuvor genannten Lernfähigkeit.
SpamAssassin lässt sich auf Unix-Systemen einfach als Filter verwenden, bevor Sie Ihre E-Mails mit Ihrem Standard-E-Mail-Client entgegennehmen. Als Spam erkannte Nachrichten werden nicht etwa gelöscht, sondern von SpamAssassin mit zusätzlichen Headern (X-Spam-*) versehen. In den meisten Clients lassen sich Regeln festlegen, die die E-Mails nach diesen Headern sortieren oder gar automatisch löschen.
Noch praktischer ist es, den SpamAssassin oder andere Anti-Spam-Software gleich vor den lokalen Mailserver zu schalten, um alle Nachrichten zu kennzeichnen, bevor sie an die User verteilt werden. Entsprechende Lösungen lassen sich sehr flexibel gestalten, da SpamAssassin neben Anwendungsprogrammen auch einige Perl-Module enthält, die sich in eigenen Skripten nutzen lassen. Beachten Sie aber, dass gesetzliche Einschränkungen dieses Vorgehen bei öffentlich oder kommerziell genutzten Servern ohne Zustimmung der User beziehungsweise Kunden verbieten könnten. Sie können diese nützliche Software unter http://www.spamassassin.org herunterladen. Eine ausführliche Dokumentation und einige Zusatztools finden Sie dort ebenfalls. Der E-Mail-Client Microsoft Outlook Express (Standard bis Windows XP) kann E-Mails nicht anhand von Headern sortieren. Die einzige Möglichkeit besteht darin, ein kleines Zusatzskript zu schreiben, das beim Auftreten bestimmter Header den Betreff oder den Body der Nachricht selbst modifiziert.
Inzwischen gibt es übrigens auch viele Provider, die ihren Kunden optional einen Spam-Filter auf den Mailservern anbieten.
Fast ebenso nervig wie Spam sind die zahlreichen Hoaxes und Kettenbriefe, die von besorgten oder vermeintlich wohlmeinenden Usern freiwillig an alle Bekannten und Geschäftspartner versandt werden. Inzwischen scheint die Häufigkeit dieses Phänomens glücklicherweise nachzulassen.
Ein Hoax (»Scherz«) warnt vor angeblich äußerst gefährlichen Viren oder Sicherheitsproblemen. Es werden haltlose Behauptungen aufgestellt, etwa dass der genannte Virus mehrere völlig verschiedene Betriebssysteme befallen oder gar Hardware zerstören könne. Oft werden solche »Nachrichten« mit großen Namen geschmückt: »Microsoft, IBM und AOL warnen vor einem neuen, überaus gefährlichen Virus ...«
Auch solche Nachrichten dürfen Sie ausschließlich löschen. Falls der unmittelbare Versender Ihnen persönlich bekannt ist, weisen Sie ihn darauf hin, dass auch er solche Mails in Zukunft nicht mehr weiterleiten, sondern kommentarlos vernichten soll. Nicht zuletzt sind diese »manuellen Würmer« ein gefundenes Fressen für Spammer: Durch die zigfache Weiterleitung an möglichst viele Personen sind solche Mails oft randvoll mit aktuellen, funktionierenden E-Mail-Adressen.
Eine weitere Seuche sind die unsäglichen Kettenmails, eine moderne Form der früher populären – und schon damals nervtötenden – Kettenbriefe. Viele Kettenmails enthalten irrwitzige Versprechungen (»Wenn du diese Mail an fünf Bekannte verschickst, geht dein größter Wunsch in Erfüllung«) oder Drohungen (»Wenn du sie nicht weiterschickst, wirst du nackt, allein und ohne Geld qualvoll an einer unendlich schmerzhaften Krankheit verenden«). Geben Sie die einzige passende Antwort darauf: Löschen Sie diesen Unfug!
Weisen Sie Bekannte, die Ihnen solche Mails senden, darauf hin, dass sie sinnlos Bandbreite verschwenden und möglicherweise sogar mit den Gefühlen von Menschen spielen. Egal ob esoterischer Mumpitz, religiöse, finanzielle oder amouröse Heilsversprechungen oder die Hilfe durch einen Cent pro weitergeleiteter E-Mail, die ein armes, unglückliches Kind in der Dritten Welt angeblich erhält: Sie wissen doch ganz genau, dass das alles gar nicht stimmen kann!
Inzwischen findet sich dergleichen auch häufig in Facebook und anderen sozialen Netzwerken. Auch hier gilt: löschen, den Absender auf das eigene Desinteresse hinweisen und im Wiederholungsfall blockieren.
Ihr Kommentar
Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.