bleib-Virenfrei: Schutzmaßnahmen für mehr IT-Sicherheit

Von , | Letzte Aktualisierung: 10.08.2020
Favicon bleib-Virenfrei Das Internet ist für viele aus dem Alltag nicht mehr wegzudenken. Den Vorteilen, die das Internet bietet, stehen aber auch zahlreiche Sicherheitsrisiken gegenüber. Schlagzeilen über Viren, Trojaner, Sicherheitslücken, Datenmissbrauchsfälle, Hacker-Angriffe und Phishing bzw. Pharming verunsichern viele Internetnutzer. Dabei lassen sich viele Risiken durch Virenschutzmaßnahmen am PC und einen bewussten Umgang mit dem Internet weitgehend minimieren. Die Installation eines Virenschutz-Programmes allein reicht leider nicht aus. Mit den hier beschriebenen Schutzmaßnahmen ↓ erfahren Sie Schritt für Schritt, wie Sie Ihren Computer aktiv vor Computerviren schützen.

Selbstverständlich gibt es, selbst mit den besten Schutzmaßnahmen, keine Garantie, dass man von Malware verschont bleibt. Einen umfassenden Virenschutz beim Surfen im Internet kann man nicht erreichen, aber mit den nachfolgenden Sicherheits-Tipps ist der nächste Webausflug von deutlich weniger Risiken für den eigenen Rechner begleitet.

Gerade der Internet-Browser und das E-Mail-Programm sind zumeist nach der Installation betriebsbereit und gewähren unproblematischen Zugang zum Internet. Dies verleitet zum sofortigen Lossurfen, wenngleich die von den Programmen voreingestellten Standardkonfigurationen bedenklich offen gegenüber Angriffen aus dem Internet sind.
Inhaltsverzeichnis
  1. Vorwort: Die Gefahr aus dem Internet
    1. Muss ich das wirklich alles lesen?
    2. Checkliste - ausdrucken und abhaken
  2. Aufmerksam, kritisch und informiert bleiben
  3. Benutzerkonto mit eingeschränkten Rechten nutzen (Windows)
    1. Eingeschränktes Benutzerkonto einrichten
  4. Software auf dem aktuellen Stand halten
    1. Windows Updates
    2. Update sonstiger Programme
  5. Regelmäßige Backups erstellen
  6. Sicherheit des Internet-Browsers erhöhen
    1. Aktive Inhalte deaktivieren
      1. Aktive Inhalte mit NoScript steuern (Mozilla Firefox)
      2. Welche Aktiven Inhalte gibt es?
    2. Cookies
      1. Der selektive Umgang mit unterschiedlichen Cookie-Arten
      2. Super-Cookies
    3. Browserdaten verschleiern
    4. Browser-Addon Ghostery - zum Schutz der Privatsphäre
    5. Passwörter im Browser nicht speichern
  7. Antivirenprogramm einsetzen
  8. Browser isoliert vom Betriebssystem ausführen
    1. Virtualisierungs-Tool Sandboxie
  9. Sicherer E-Mail-Verkehr
    1. E-Mail Anhänge misstrauen
    2. Besser ohne E-Mail-Vorschau
    3. Spam vermeiden
    4. E-Mail verschlüsseln (PGP)
  10. Vorsicht bei Downloads von Webseiten
  11. Versteckte Dateiendungen anzeigen lassen (Windows)
  12. Sichere Passwörter nutzen
    1. Problematische Passwörter - die klassischen Fehler
    2. Wie sollte ein gutes Passwort aufgebaut sein
    3. Passwörter speichern
    4. Verwendung von Einmal-Passwörtern
    5. Zwei-Faktor-Authentifizierung
  13. Passwörter und Login-Daten schützen
    1. Passwörter nicht an Dritte weitergeben oder per E-Mail versenden
    2. Phishing: Datenfischern nicht ins Netz gehen
    3. Pharming - Das modernere Phishing
    4. Login-Daten nur über verschlüsselte https-Verbindungen (SSL) übertragen
  14. Sicherheit beim Online-Banking
    1. Wichtige Sicherheits-Tipps
    2. Bankgeschäfte per Live-CD durchführen
    3. Welches TAN-Verfahren?
    4. Wer haftet für einen finanziellen Schaden – Bank oder Kontoinhaber
  15. Router und W-LAN Sicherheit
    1. W-LAN Hotspots
    2. VPN - Virtual Private Network
  16. Vorgehen bei Virenbefall
  17. Schlusswort
  18. Einzelnachweise

Vorwort: Die Gefahr aus dem Internet

Laut Schätzungen des Internetverbandes Eco waren 2015 38 Prozent aller Computer mit Malware infiziert[1]. Noch vor 20 Jahren waren die meisten Viren nur wenige Kilobyte groß, haben „nur“ den Bootsektor zerstört, das BIOS unbrauchbar gemacht oder die komplette Festplatte formatiert. Heute haben es die Viren meist auf das Geld der Computernutzer abgesehen.

Im harmlosesten Fall verbreiten Cyberkriminelle Adware, kleine Programme mit sehr aufdringlichen Werbefenstern. Im Schlimmsten Fall kann es jedoch passieren, dass ein Erpresservirus (sog. Ransomware) alle Daten verschlüsselt und diese erst gegen eine Gebühr wieder freigibt. Gibt es kein Ransomware Decryptor, stehen die Chancen ziemlich schlecht, ohne Zahlung wieder Herr seiner Computerdateien zu werden. Cyberkriminelle kennen zahlreiche Möglichkeiten, um mit Viren schnelles Geld zu machen.

Täglich erscheinen Meldungen über neue Viren und Sicherheitslücken. Da aber nur selten über verursachte Schäden berichtet wird, scheint der gewöhnliche Endanwender mit dem Satz »Ich bin drin« nur allzu oft zu vergessen, dass mit der Internetverbindung der eigene Rechner auch Angriffen aus dem Internet ausgesetzt ist. Das Internet ist keine Einbahnstraße. Daten verlassen den Computer, und Daten werden auf den Rechner heruntergeladen. Wenn dieser Datenaustausch ungewollt passiert, ist das mehr als ärgerlich.

Leider gibt es immer wieder Computer-Nutzer, die keine Schutzmaßnahmen benötigen und das dann mit den folgenden Worten begründen: „Ich benötige keine Schutzmaßnahmen, ich besuche nur sichere und vertrauenswürdige Internetseiten.“ Eine große Fehleinschätzung. Auch die sogenannten „sicheren und vertrauenswürdigen“ Internetseiten können Schädlinge verbreiten!

Am 18.02.2013 ist es Angreifern beispielsweise gelungen, die Internetseite der Sparkasse zu manipulieren. Die Internetseite hat stundenlang Schadcodes verteilt. Und auch andere namhafte Internetseiten wurden schon missbraucht, um Exploit-Kits zu verteilen. Zum Beispiel die Internetseiten von Arcor, eBay, T-Online und Yahoo.

Muss ich das wirklich alles lesen?

Das Thema Virenschutz ist leider so komplex, dass ein paar Worte nicht ausreichen, um auf alle Eventualitäten vorbereitet zu sein! Um Ihren Computer und all die Daten, die darauf gespeichert sind, zu schützen, brauchen Sie ein lückenloses Virenschutz Setup!

Nur die Kombination aller hier vorgestellten Schutzmaßnahmen bietet einen wirksamen Virenschutz. Es bringt Ihnen beispielsweise nicht viel, wenn Sie Ihren Browser absichern aber Ihr E-Mail-Programm offen wie ein Scheunentor lassen. Sie müssen nicht alles auf einmal lesen. Nehmen Sie sich Zeit, speichern Sie die Seite, indem Sie ein Lesezeichen setzen. Vorsorge ist grundsätzlich weniger aufwendig und kostengünstiger als Notfallmaßnahmen bei Virenbefall.

Checkliste - ausdrucken und abhaken

Mit unserer Checkliste können Sie jede Virenschutzmaßnahme, die Sie bereits umgesetzt haben, abhaken. Einfach ausdrucken und loslegen. Eine Druckansicht finden Sie hier.

1 Aufmerksam, kritisch und informiert bleiben
  • Aufmerksam sein
  • Regelmäßig informieren
2 Benutzer­konto mit einge­schränkten Rechten nutzen (Windows)
  • Einge­schränktes Benutzerkonto erstellen
  • Mit einge­schränktem Benutzerkonto surfen
3 Software auf dem aktuellen Stand halten
  • Windows Updates aktivieren
  • Update sonstiger Programme aktivieren
4 Regelmäßige Backups erstellen
  • BackUp Programm installieren
5 Sicherheit des Internet-Browsers erhöhen
  • Aktive Inhalte deaktivieren
  • Richtiges Cookie-Management
  • Browserdaten verschleiern
  • Browser-Addon BetterPrivacy installieren
  • Browser-Addon Ghostery installieren
  • Passwörter im Browser nicht speichern
6 Antiviren­programm einsetzen
  • Antiviren­programm installieren
7 Browser isoliert vom Betriebs­system ausführen
  • Virtua­lisierungs-Tool installieren
8 Sicherer E-Mail-Verkehr
  • E-Mail Anhänge misstrauen
  • Besser ohne E-Mail-Vorschau
  • Spam vermeiden
  • E-Mail verschlüsseln
9 Vorsicht bei Downloads von Webseiten
  • Nur von vertrauens­würdigen Seiten herunterladen
  • Herunter­geladene Programme auf Viren überprüfen
  • Keine unnötige Software downloaden
  • Auf Tauschbörsen verzichten
10 Versteckte Datei­endungen anzeigen lassen (Windows)
  • Windows-Einstellungen ändern
11 Sichere Passwörter nutzen
  • Lange und komplizierte Passwörter nutzen
  • Passwörter sicher speichern
  • Verwendung von Einmal-Passwörtern (falls möglich)
  • Zwei-Faktor-Authenti­fizierung aktivieren (falls möglich)
12 Passwörter und Login-Daten schützen
  • Passwörter nicht an Dritte weitergeben oder per E-Mail versenden
  • Phishing: Datenfischern nicht ins Netz gehen
  • Login-Daten nur über verschlüsselte https-Verbindungen (SSL) übertragen
13 Sicherheit beim Online-Banking
  • Sicherheits-Tipps beachten
  • Bank­geschäfte per Live-CD durchführen
  • Sicheres TAN-Verfahren nutzen
14 Router und W-LAN Sicherheit
  • Router und W-LAN richtig absichern
  • In öffentlich zugänglichen Hotspots einen VPN-Zugang nutzen

Aufmerksam, kritisch und informiert bleiben

Aufmerksam bleiben Technik alleine realisiert keine Sicherheit: Der Mensch ist ein wesentlicher Faktor beim Schutz der IT. Das größte Sicherheitsrisiko beruht auf eigenem, sorglosem Verhalten. Grady Booch, ein amerikanischer Informatiker sagte einst: A fool with a tool is still a fool. Auf Deutsch: Der Einsatz von Werkzeugen macht aus einem Idioten noch keinen Experten. Die größte Schwachstelle ist ein allzu sorgloses Surf-, und Downloadverhalten.

Wer mit einem gesunden Maß an Zurückhaltung und Misstrauen in die Welt des Internet eintaucht und nicht jedes x-beliebige Programm auf seinem Rechner startet, der bietet Einbrechern aus dem Internet eine deutlich geringere Chance, den eigenen Computer zu sabotieren oder auszuspionieren.

Informieren Sie sich regelmäßig über aktuelle Sicherheitslücken und andere sicherheitsrelevante Themen: Unternehmen sollten Ihre Mitarbeiter durch entsprechende Schulungen sensibilisieren. Bilden Sie sich und Ihre Mitarbeiter zu Fragen der IT-Sicherheit weiter. Cyberkriminelle sind nicht nur erfolgreich, indem sie technische Wege beschreiten, sondern auch mit Hilfe von z. B. "Social Engineering" oder "Social Hacking".

Unter "Social Hacking" wird verstanden, dass Informationen von Mitarbeitern erschwindelt werden, die diese normalerweise nicht weitergeben würden: Etwa wenn ein vermeintlicher Servicetechniker bei einem Mitarbeiter anruft und nach dem Passwort für sein Benutzerkonto fragt.

IT-Sicherheit lässt sich nicht alleine durch die Anschaffung von Sicherheitstechnologien erreichen, sondern sie muss auch im Bewusstsein der Mitarbeiter verankert und Bestandteil der Unternehmenskultur werden. Wie fatal sich der Verzicht auf eine stringente Sicherheitspolitik im Unternehmen auswirken kann, zeigen zahlreiche Beispiele der Technikgeschichte.

Benutzerkonto mit eingeschränkten Rechten nutzen (Windows)

Windows Benutzerkonten Bei der Windows-Installation durchläuft man einen automatisierten Einrichtungsvorgang, bei dem man unter anderem ein Administratorkonto erstellen muss (Kontoname frei wählbar). Loggt man sich anschließend in dieses Konto ein, kann man sämtliche Änderungen vornehmen, die Einfluss auf das Windows-System haben. Vergabe von Benutzerrechten, Installation und Deinstallation von Programmen...

Wer standardmäßig mit Administratorrechten im Internet surft, öffnet Viren Tür und Tor. Je mehr Rechte ein Benutzerkonto besitzt, desto mehr Schaden kann ein Virus verursachen. Sobald ein Virus mit Admin-Rechten gestartet wurde, kann dieser das komplette System steuern. Aus diesem Grund sollte man gleich nach der Windows-Installation ein weiteres Benutzerkonto mit eingeschränkten Benutzerrechten erstellen. Dieses sollte man für die alltägliche Arbeit nutzen. Der Benutzerkontenschutz (seit Windows XP verfügbar) ist eine sehr nützliche Funktion gegen Viren.

Eingeschränktes Benutzerkonto einrichten

Man kann beliebig viele Benutzerkonten einrichten (beispielsweise für jedes Familienmitglied) und dieses mit einem Passwort schützen. Das neue Benutzerkonto erscheint - nach der Erstellung - bei der nächsten Anmeldung auf der Willkommen-Seite von Windows.
Es ist wichtig, dass jedes Benutzerkonto (Administrator- oder normales Benutzerkonto) mit einem sicheren Passwort gesichert wird.
Windows Vista / Windows 7
Wichtig: Windows Vista und Windows 7 sind nicht mehr sicher. Der Support wurde von Microsoft eingestellt.
  1. Melden Sie sich als Administrator an.
  2. Füge Sie ein neues Benutzerkonto hinzu: Start > Systemsteuerung > Benutzerkonten und Jugendschutz > Benutzerkonten hinzufügen und entfernen.
  3. Es werden Ihnen alle vorhandenen Benutzerkonten angezeigt. Klicken Sie auf neues Konto erstellen (Eingabe Kontoname, Auswahl Kontotyp: Standardbenutzer) und klicken Sie auf Konto erstellen.
  4. Es öffnet sich die Ansicht Konto verwalten. Klicken Sie dort auf das neu erstellte Konto.
  5. Klicken Sie auf Kennwort erstellen und wählen Sie ein sicheres Kennwort. Klicken Sie anschließend auf Erstellen.
Windows 8
  1. Drücken Sie Windows + C oder gehen Sie mit Ihrer Computer-Maus in die untere rechte bzw. obere Ecke. Die Charms-Bar erscheint.
  2. Klicken Sie auf den Eintrag Einstellungen und dann auf Systemsteuerung.
  3. Klicken Sie auf PC-Einstellungen ändern > Benutzer > Benutzer hinzufügen.
  4. Klicken Sie auf Ohne Microsoft-Konto anmelden und dann auf Lokales Konto (Alternativ können Sie ihr Windows 8 Benutzerkonto natürlich auch mit einem Microsoft-Konto koppeln).
  5. Geben Sie einen Benutzernamen ein und wählen Sie ein sicheres Kennwort. Klicken Sie anschließend auf Weiter.
  6. Fertig! Neu eingerichtete Benutzer sind unter Windows 8 immer Standardbenutzer.
Windows 10
  1. Drücken Sie Windows + X und wählen Sie die Systemsteuerung aus.
  2. Nach dem Öffnen der Systemsteuerung erscheint die Kategorie Benutzerkonten. Klicken Sie auf den gleichnamigen Unterpunkt.
  3. Klicken Sie auf Anderes Konto verwalten > Neuen Benutzer in den PC-Einstellungen hinzufügen.
  4. In der Einstellungs-App können Sie nun einen weiteren Benutzer hinzufügen. Klicken Sie dazu unter "Weitere Benutzer" auf Diesem PC eine andere Person hinzufügen.
  5. Man wird nach einer Microsoft-E-Mail-Adresse, einem Passwort und einem Benutzernamen gefragt.
  6. Haben Sie alle Angaben getätigt und das Konto erstellt, müssen Sie den Kontotyp noch ändern. Klicken Sie dazu im Menü Einstellungen unter Konten auf den entsprechenden Benutzer. Anschließend definieren Sie den Benutzer als Standardbenutzer.
Zusätzlich ist standardmäßig ein eingeschränktes Gastkonto vorhanden. Es verfügt über keinen Kennwortschutz und sollte immer nur vorübergehend genutzt werden, etwa wenn du kurzfristig einen Bekannten an deinem Computer arbeiten lässt. Der Gast hat keine Möglichkeit, etwas an der Systemkonfiguration umzustellen. Unter Windows 10 müssen Sie das Gastkonto erst aktivieren (über das Ausführen-Dialog: Win + R ), mit dem nachfolgenden Befehl: net user gast /active:yes.

Software auf dem aktuellen Stand halten

Software aktualisieren Fehlerhafte Programme können als Einfallstor für Schädlinge dienen! Für viele Sicherheitslücken gibt es Lösungen. Es sollte gerade für das Betriebssystem regelmäßig nach sicherheitsrelevanten Updates geschaut werden. Doch was nützt es, immer die aktuellsten Updates für das Betriebssystem automatisch installieren zu lassen, wenn alle anderen installierten Programme nicht gepflegt werden? Das Betriebssystem ist schon lange nicht mehr alleine für Sicherheitslücken verantwortlich, bei der mittlerweile riesengroßen Fülle an Software auf dem Markt. Nur wenn ein Schädling keine Sicherheitslücken vorfindet und der Computer-Benutzer sich nicht täuschen lässt, ist eine Malware-Infektion ausgeschlossen.

Infizierungswege von Malware

Windows Updates

In der Windows Update Zentrale (Systemsteuerung > System und Sicherheit > Windows Update) kann man sämtliche Einstellungen vornehmen, welche die selbsttätigen Aktualisierungen des Betriebssystems und der installierten Microsoft-Programme betreffen. Computerbenutzer sollten die Option Updates automatisch installieren wählen, auch wenn dann ab und zu Komponenten heruntergeladen werden, die man nicht unbedingt benötigt.

Microsoft ist so konfiguriert, dass für die Übertragung der Updates eine Technologie genutzt wird, die BITS heißt. BITS steht für "Background Intelligent Transfer Service" (deutsch: intelligenter Hintergrundübertragungsdienst). Für den Download wird nur ungenutzte Netzwerkbandbreite genutzt, so dass der Durchsatz anderer Netzwerkverbindungen nicht nachteilig beeinflusst wird.

Update sonstiger Programme

Unabhängig vom integrierten Windows-Update bieten die meisten anderen Programme die Option Automatisch nach Aktualisierungen suchen. Diese sollte unbedingt aktiviert sein. Es gibt nur eine Situation, in der Sie die automatische Aktualisierung deaktivieren sollten. Dann nämlich, wenn Sie sich im Ausland befinden und via Roaming über ein mobiles Internet im Internet surfen. Updates können sehr groß sein und die Kosten für das Datenaufkommen in die Höhe schnellen lassen.

Regelmäßige Backups erstellen

Backup erstellen Wenn von einem Backup die Rede ist, ist die Datensicherung gemeint. Mit einer Datensicherung werden Kopien erzeugt, mit denen nach einem Datenverlust ein früherer Zustand wiederhergestellt werden kann. Ein Backup sollte regelmäßig erfolgen. Ein falscher Klick und ein Virus kann die komplette Festplatte löschen oder verschlüsseln. Auch reicht bereits ein einfacher Stromausfall, ein Wackelkontakt oder eine fehlerhafte Bedienung aus. Laut einer von uns durchgeführten Umfrage halten 93% aller Computernutzer eine Datensicherung für sehr wichtig, aber nur 14% sichern Daten regelmäßig. 40% haben noch niemals Daten gesichert und 80% haben schon Daten verloren.

Zur Vermeidung von Datenverlust sollten regelmäßige Datensicherungen durchgeführt werden!

Mit einfachen Mitteln eine regelmäßige Datensicherung zu organisieren, ist weder teuer noch allzu schwierig. Es gibt inzwischen zahlreiche Backup-Programme, auch kostenlose: Personal Backup von Rathlev und Paragon Backup & Recovery Free sind eine der besten kostenlosen Backup-Tools auf dem Markt. Die Programme lassen sich auf die Festplatte installieren und führen Sicherungen völlig automatisch durch.

Eine beliebte Variante der Datensicherung ist die sogenannte inkrementelle Datensicherung: Dabei werden beim Backup nur Daten berücksichtigt, die seit der letzten Sicherung hinzugekommen, geändert oder gelöscht worden sind. Sollten Sie sich für den Einsatz einer Datensicherungssoftware entscheiden, prüfen Sie, ob diese Software ein solches Verfahren unterstützt.

Wenn Sie zwei oder mehr über ein Netzwerk verbundene Computer haben, ist eine Datensicherung ganz leicht möglich. Kopieren Sie einfach die zu sichernden Daten auf den jeweils anderen Computer. Die meisten Computer-Festplatten sind zu weniger als einem Drittel belegt. Folglich ist genügend freier Speicher vorhanden, um die Datensicherung eines anderen Computers unterzubringen. Am besten richten Sie dafür auf dem ersten Computer eine Partition für die Sicherung des zweiten Computers ein und umgekehrt.

Abhängig von Datenmenge und Wichtigkeit und vom möglichen Schaden bei Verlust dieser Daten sollten für die Sicherung folgende Optionen berücksichtigt werden: Für Unternehmen ist es wichtig, verantwortliche Personen für die Datensicherung zu benennen. Wer ist zuständig für:

Sicherheit des Internet-Browsers erhöhen

Browser Browser sind unerlässlich für das Navigieren im Internet. Der Browser ist ein Programm, welches Internetseiten, Daten oder Dokumente darstellt. Das Programm liest den Quellcode aus, in dem die Internetseite programmiert wurde, und zeigt sie anschließend grafisch an. Kein heute verfügbarer Browser kann vollständige Sicherheit beim Surfen im World Wide Web garantieren, erst Recht nicht ohne eine überlegte, auf die individuellen Bedürfnisse zugeschnittene Konfiguration. Beim Internet-Browser sollte die Sicherheitsstufe so hoch wie möglich eingestellt werden. Insbesondere sollten aktive Inhalte (Daten, die beim Empfänger aktiv Veränderungen am Zustand des Rechners vornehmen können) wie ActiveX, Flash, JAVA und Javascript deaktiviert werden.

Experten sind sich nicht einig darüber, ob der Internet Explorer, der Firefox-, der Safari-, oder der Chrome-Browser der sicherere Browser ist. Dies ändert sich ständig, sobald neue Sicherheitsupdates und Browserversionen herauskommen. Tatsache ist jedoch, dass es für den Firefox-, und Chrome-Browser eine Vielzahl von sicherheitsrelevanten Erweiterungen gibt! Gegen den Google Chrome Browser spricht leider die integrierte Google-Spionage. Der Internet Explorer bzw. Edge-Browser enthält sehr oft Sicherheitslücken, die erst sehr spät geschlossen werden. Wir empfehlen den Mozilla Firefox Browser.

Aktive Inhalte deaktivieren

Mit dem Siegeszug des World Wide Web stieg die Nachfrage nach größerer Interaktivität rasant an. Das WWW, wie wir es heute kennen, ist dynamisch und reagiert sofort auf Eingaben, Mausklicks oder Antippen und Gesten auf einem Touchscreen. Diese unmittelbare Benutzerinteraktion wird zu einem großen Teil durch sogenannte Aktive Inhalte erzeugt. Das sind kleine Programme (ausführbare Codes), die in das Grundgerüst einer Webseite eingebettet sind und beim Laden der Seite vom Browser ausgeführt werden.

Ohne Aktive Inhalte kann sich eine angezeigte Webseite nur ändern, wenn sie erneut vom Server geladen wird. Das kann zum Beispiel durch das Anklicken eines Absenden-Knopfs erfolgen oder automatisch nach Ablauf einer voreingestellten Zeit, ist aber in jedem Fall relativ aufwändig. Zuerst wird die Eingabe an den Server übertragen, dort verarbeitet, eine neue HTML-Seite mit den geänderten Angaben generiert und diese an den Browser zurückgesendet. Aktive Inhalte können die Eingaben dagegen bereits im Browser kontrollieren und damit die Reaktionszeit verkürzen und die übertragene Datenmenge reduzieren. Die Sache hat aber auch einen Haken. Da Aktive Inhalte im Webbrowser ausgeführt werden, sind mit ihnen prinzipiell auch Angriffe auf den Browser und damit auf dem Computer des Websurfers möglich.

Alle Aktiven Inhalte stellen eine für den Computer-Nutzer nicht überschaubare Gefahr dar. Zu den bedeutendsten Gefahren Aktiver Inhalte gehören Drive-by Downloads. Damit wird das unbeabsichtigte und unbemerkte Herunterladen von Schadsoftware bezeichnet. Dabei werden in der Regel Designprobleme der Skriptsprachen und Sicherheitslücken der Browser ausgenutzt.

Drive by Download
Bild: Ablauf einer Drive-by-Download Infektion

Nun besteht in den Browsern die Möglichkeit, die Ausführung derartiger Inhalte zu unterbinden oder sich zumindest vor der Ausführung warnen zu lassen. Allerdings sind zahlreiche Seiten ohne die Aktiven Inhalte nur noch eingeschränkt darstellbar, so dass der sicherheitsbewusste Internet-Nutzer von vielen Angeboten ausgesperrt wird und für ihn das Surfvergnügen geschmälert wird. Höhere Sicherheit bedeutet hier, Einbußen am Komfort hinzunehmen.

Der Gebrauch Aktiver Inhalte nimmt zu. Doch wie schützt man sich nun vor unerwünschtem ausführbaren Code, ohne allzu große Einbußen am Komfort hinnehmen zu müssen? Grundsätzlich ist zu empfehlen, ausschließlich diejenigen Aktiven Inhalte im Browser zu erlauben, die tatsächlich benötigt werden. Zahlreiche Webseiten nutzen zb. externe Scripte (Werbeanbieter), um Werbung einzubinden. Wird ein Werbeanbieter durch Kriminelle manipuliert, verbreiten tausende Internetseiten Viren. Laut Malwarebytes (Juli 2015) gehen mehr als 50 Prozent der ausgelieferten Malware-Infektionen zu Lasten von Angriffen auf Werbeanbietern. Solche Scripte sollte man unbedingt deaktivieren!

Aktive Inhalte (Scripte) mit NoScript steuern (Mozilla Firefox)

NoScript - eine für Firefox entwickelte Erweiterung - ermöglicht es, die Ausführung Aktiver Inhalte gezielt einzuschränken. Setzt eine Internetseite Aktive Inhalte ein, können Sie per Mausklick festlegen, ob diese Internetseite Aktive Inhalte auf Ihrem Computer ausführen darf. NoScript arbeitet nicht eigenständig, sondern muss trainiert (konfiguriert) werden. Nach circa einer Woche haben Sie wahrscheinlich 95 Prozent aller Webseiten, die Sie regelmäßig besuchen, konfiguriert.
NoScript installieren
  1. Rufen Sie die Erweiterungs-Seite von Mozilla Firefox auf (addons.mozilla.org)
  2. Geben Sie in das Suchfeld oben rechts NoScript ein und drücken Sie Enter.
  3. Es öffnet sich ein neues Fenster, mit den Suchergebnissen. Klickem Sie auf NoScript.
  4. Klicken Sie nun auf Add to Firefox und bestätigen Sie die anschließende Sicherheitsabfrage mit Jetzt installieren.
  5. Fertig. Beim ersten Neustart des Browsers öffnet sich einmalig die Herstellerseite der NoScript-Erweiterung.
NoScript bedienen
  1. Nach der Installation von NoScript erscheint in der Taskleiste ein Icon. Ein S, für Script.
  2. Rufen Sie eine Webseite auf, zum Beispiel heise.de
  3. Das S-Icon in der Taskleiste ist nun durchgestrichen. Außerdem erscheint im unterem Bereich des Browsers eine neue Zeile (Scripte sind momentan verboten | 31 Scripte | 2 Eingebettete Objekte). Das heißt: NoScript hat 31 Scripte und 2 eingebettete Objekte verboten.
    NoScript
  4. Die Seite heise.de funktioniert tadellos ohne Scripte.
  5. Rufen Sie nun jedoch zum Beispiel die Internetseite vom zweiten deutschen Fernsehen auf (zdf.de), sieht das ganz anders aus. Die Seite lässt sich ohne aktivierte Scripte kaum nutzen. Also müssen Sie sich anschauen, welche Scripte momentan verboten sind (62 Scripte | 0 Eingebettete Objekte). Dazu klicken Sie einfach auf den NoScript Button in der Taskleiste.
  6. Nun sehen Sie alle eingebundenen Scripte, die verboten wurden (von verschiedenen Servern). In unserem Beispiel wurden Scripte von zdf.de und ioam.de verboten. NoScript Menü
  7. Den Scripten von zdf.de sollte man vertrauen können, also klicken Sie auf zdf.de erlauben*. Die Webseite wird neu geladen und die Scripte von zdf.de werden aktiviert.
    *Alternativ kann man Scripte auch temporär erlauben (aktuelle Browser-Sitzung).
  8. Und schon funktioniert die Webseite. Die Scripte von ioam.de sind weiterhin verboten aber scheinbar benötigt der Browser diese nicht. Warum sollte man mehr erlauben als notwendig?
NoScript Tipps
  1. Erlauben Sie ausschließlich diejenigen Aktiven Inhalte im Browser, die tatsächlich benötigt werden. Die wichtigsten Scripte - für eine funktionierende Internetseite - liegen meist auf demselben Server wie die Webseite selbst.
  2. Das Einblenden der Informationsleiste am unteren Rand des Browsers kann man in den Einstellungen jederzeit deaktivieren. Auf diese kann man durchaus verzichten.

Welche Aktiven Inhalte gibt es?

Hier ist zuerst einmal Javascript zu nennen. Eine Sprache, die zunächst von Netscape für die eigene Browsersoftware entwickelt und später unter dem Namen ECMA-Script standardisiert wurde. Javascript kann direkt im HTML-Code eingebettet werden. Es ist inzwischen die verbreitetste Skriptsprache und kann in Verbindung mit dem aktuellen HTML5-Standard andere Aktive Inhalte weitgehend ersetzen. Die folgenden HTML-Codes verdeutlichen die Möglichkeiten des Auftretens von JavaScript:
<SCRIPT>CODE</SCRIPT>
<STYLE type=text/javascript>CODE </STYLE>
<LINK href='code.js' rel=stylesheet>
<BODY BGCOLOR="&{CODE}">
<IMG src="javascript:CODE">
<FORM><INPUT type=text onChange="CODE"></FORM>
Der Name Java hat zwar große Ähnlichkeit mit Javascript, das ist aber auch schon fast alles, was die beiden Sprachen gemeinsam haben. Java wurde ursprünglich von Sun Microsystems als plattformunabhängige, objektorientierte Programmiersprache entwickelt und wird auch unabhängig vom Webbrowser verwendet. Im Browser werden Java-Programme als sogenannte Applets geladen, das sind kleine, abgeschlossene Programme. Sie übernehmen die gesamte Interaktion mit dem Benutzer und nicht nur kleine Funktionen innerhalb einer Webseite, wie Javascript. Ein Java-Applet wird in einer sogenannten Virtual Machine ausgeführt und kann daher eigentlich recht gut vom Browser abgeschottet werden. Leider hat sich auch dieser Schutz als löchrig erwiesen. Das folgende Beispiel zeigt einen HTML­Code, der zum Start der JVM führt, die erste Javaklasse herunterlädt und sie startet:
<APPLET CODE=demo.class>
Die Flash-Technologie wurde von Adobe für die Anzeige bewegter Inhalte entwickelt und wurde lange Zeit vor allem für die Wiedergabe von Videos innerhalb von Webseiten genutzt. Diese Aufgabe lässt sich inzwischen mit den Bordmitteln von HTML5 besser lösen. Der Flash Player macht beinahe täglich Negativ-Schlagzeilen aufgrund neuer Sicherheitslücken. Wir empfehlen die Deinstallation! VBScript ist eine von Microsoft in Konkurrenz zu Javascript entwickelte Lösung, die praktisch nur im Browser und unter dem Betriebssystem des Herstellers nutzbar ist. Sie stellt innerhalb von Webseiten eine Untermenge der Sprache Visual Basic zur Verfügung und erlaubt den Zugriff auf betriebssystemnahe Funktionen wie das Bearbeiten der Registry oder das Lesen und Schreiben von Dateien. Das macht sie für Angreifer besonders interessant.

ActiveX ist das zweite Microsoft-spezifische System für die Implementation Aktiver Inhalte. Auch sie werden nativ nur vom Internet Explorer unterstützt. Für andere Browser gibt es allerdings Plugins, die ebenfalls das Ausführen von ActiveX-Controls ermöglichen. Wie mit Javascript lassen sich auch mit ActiveX kleine, dynamische Funktionen innerhalb einer Webseite realisieren. Im folgenden ein HTML­Beispiel für ActiveX:
<OBJECT CLASSID="xyz.abc" CODE=Dateiname >

Cookies

Die Risiken von Cookies beziehen sich auf die Privatsphäre des Anwenders. Cookies sind kleine Dateien mit Zusatzinformationen, die beim Aufruf von Internetseiten automatisch auf der Festplatte abgelegt werden. In den kleinen Dateien können Kundendaten oder andere Informationen abgespeichert werden (beispielsweise der aktuelle Stand des Warenkorbs).

Weitere Beispiele für die Verwendung von Cookies:

Verwendung Beschreibung
Begrüßung In der ersten Epoche des Web-Zeitalters war die sogenannte Besucherbegrüßung eine nette Spielerei mit Cookies. Beim ersten Aufruf einer Internetseite wurde man nach dem eigenen Namen gefragt. Gab man diesen an, wurde ein Cookie (Inhalt: dein Name) auf die Festplatte abgelegt. Besuchte man die Internetseite anschließend erneut, wurde man namentlich begrüßt.
Login Cookies werden sehr oft zu Login-Zwecken gespeichert, um den Benutzer bei einem späteren Besuch der Internetseite automatisch anzumelden.
Ein Beispiel für eine negative Verwendung von Cookies sind die sogenannten Trace-Cookies (engl. trace = verfolgen). Die großen Werbenetzwerke binden Ihre Werbeflächen oft nicht lokal ein, sondern lassen sich extern verlinken. Wird dabei ein Cookie gesetzt, so ist dieses auch mit einer externen Internetadresse verknüpft und ist damit nicht nur auf der gerade besuchten Seite abrufbar, sondern auf jeder Website, die die betreffende Werbung ebenfalls über dieselbe externe Internetadresse eingebunden hat. So können Benutzerprofile über das Surfverhalten erstellt werden. Da Cookies bis zu zehn Jahre gültig sind, können diese Profile sehr umfangreich werden und irgendwann mit auf einer Website vorhandenen Personendaten verknüpft werden.

Benutzerprofile durch Cookies

Siehe auch: Cookies: Die Gefahren von Cookies

Heutzutage verwendet fast jede Internetseite Cookies, um die Besucher kontrollieren oder mit besseren Inhalten versorgen zu können. Im Prinzip sind Cookies sehr nützlich, können jedoch auch dazu missbraucht werden, dein Surfverhalten auszuspionieren. Ein kontrolliertes Cookie-Management ist daher anzuraten. Eine Möglichkeit, diesen Gefahren vorzubeugen besteht darin, die Cookies generell abzulehnen und berechtigte Seiten nur über die Ausnahmeliste freizuschalten. Da dies aber sehr pflege-intensiv und aufwendig ist, ist es für Vielsurfer sicher keine richtige Alternative. Zudem können viele Seiten ohne Cookies nicht navigiert werden. Ein guter Kompromiss zwischen Komfort und Sicherheit ist es, die Annahme von Cookies zwar generell zu aktivieren, die Laufzeit aber darauf zu begrenzen, bis der Browser geschlossen wird.
Mozilla Firefox
  1. Klicken Sie auf die Menüschaltfläche in der Taskleiste.
  2. Wählen Sie anschließend den Menüpunkt Einstellungen.
  3. Es werden Ihnen einige Einstellungs-Möglichkeiten angezeigt. Klicken Sie in der linken Menü-Leiste auf Datenschutz.
  4. Unter dem Punkt Chronik befindet sich ein Auswahlmenü: Firefox wird eine Chronik. Wählen Sie nach benutzerdefinierten Einstellungen anlegen.
  5. Es erscheinen weitere Einstellungen. Unter dem Menüpunkt Cookies akzeptieren befindet sich ein Auswahlmenü: Behalten, bis. Wählen Sie Firefox geschlossen wird.
Google Chrome
  1. Klicken Sie auf die Menüschaltfläche in der Taskleiste.
  2. Wählen Sie anschließend den Menüpunkt Einstellungen.
  3. Es werden Ihnen zahlreiche Einstellungs-Möglichkeiten angezeigt. Klicken Sie ganz unten auf Erweiterte Einstellungen anzeigen.
  4. Es erscheinen weitere Einstellungen. Klicken Sie auf Inhaltseinstellungen.
  5. Es öffnet sich ein neues Fenster. Setzen Sie einen Haken bei Lokale Daten nach Schließen des Browsers löschen und klicken Sie auf Fertig.
Können Server fremde Cookies auslesen? Nein. Cookies können nur vom eigenen Server ausgelesen werden. Ein fremder Server "B" kommt an Cookies von Server "A" nicht heran!

Der selektive Umgang mit unterschiedlichen Cookie-Arten

Nutzen Sie die von Browsern gebotene Möglichkeit:
  1. einzelne Domains zu definieren, von denen Cookies generell angenommen oder abgelehnt werden sollen. So können Sie beispielsweise Cookies von Ihrer Bank oder Ihrem Lieblingswebshop zulassen. Außerdem ermöglichen viele Browser eine grobe Trennung von Cookies zur Sitzungsverwaltung, Cookies zur Nutzerverfolgung und Third Party Cookies. Da beispielsweise Anbieter von Werbung versuchen Cookies zur Nutzerverfolgung möglichst dauerhaft zu speichern, verbleiben diese oft sehr lange im Speicher des Browsers. Indem Sie diesen
  2. Cookie-Speicher generell beim Beenden des Browsers löschen, schieben Sie einer langfristigen Verfolgung einen Riegel vor. Manche Browser oder Add-ons erlauben es zudem, diese Cookies direkt beim Speichern getrennt zu behandeln und überlassen dem Nutzer bei jedem Cookie, das dauerhaft gesetzt werden soll, die Wahl, wie er verfahren will. Cookies zur Sitzungsverwaltung werden normalerweise zum Ende einer Sitzung automatisch gelöscht. Deshalb macht es Sinn
  3. Sitzungscookies generell zu akzeptieren, weil Sie häufig benötigt werden. Die meisten Browser bieten zudem die Möglichkeit
  4. das Speichern von Cookies Dritter (Third Party Cookies) generell zu verbieten. Diese Einstellung macht normalerweise immer Sinn, da die für Sie nützlichen Funktionen dieser Cookies sehr beschränkt sind. Die hier vorgeschlagenen Einstellungen stellen einen Kompromiss zwischen dem durch Cookies geschaffenen Nutzen und den Ärgernissen dar. Funktioniert eine Website im Einzelfall mit diesen Einstellungen nicht, dann können Sie diese immer noch temporär in die Liste der generell erlaubten Domains aufnehmen.
Zusätzlich bieten fast alle Browser inzwischen einen so genannten „Privaten Modus“, nach dessen Verlassen alle aufgezeichneten Informationen wie Cookies oder Verlauf gelöscht werden. Dieser Modus kann beispielsweise bei der Nutzung von Computern verwendet werden, an denen die Einstellungen des Browsers nicht von den Nutzern vorgenommen werden können. Dazu gehören Computer in Internet-Cafes oder am Arbeitsplatz.

Super-Cookies

Zahlreiche Werbeagenturen nutzen inzwischen sogenannte Super-Cookies (auch Flash-Cookies genannt). Cookies, die an den Adobe Flash-Player gebunden sind. Super-Cookies sind in der Lage wesentlich mehr Informationen zu speichern. Auch diese werden heimlich auf der Festplatte abgelegt, erfüllen den gleichen Zweck wie normale Cookies, sind jedoch deutlich schwerer zu entdecken. Denn: Super-Cookies werden nicht im Browser-Verzeichnis, sondern im System-Verzeichnis abgelegt. Wenn man nur die Browser-Cookies löscht, bleiben die Super-Cookies erhalten. Außerdem kann jeder installierte Browser auf die gespeicherten Super-Cookies zugreifen. Werden zum Beispiel Super-Cookies über den Chrome-Browser gespeichert, kann auch der Firefox-Browser oder der Internet Explorer auf diese zugreifen.

Browser-Erweiterung BetterPrivacy Die Firefox-Erweiterung BetterPrivacy schützt zuverlässig vor dieser Art von Cookies. Die Erweiterung beinhaltet zahlreiche Einstellungen in denen Sie definieren können wann Super-Cookies gelöscht werden sollen.

Alternativ können Sie den Adobe-Flash-Player ganz deinstallieren (empfohlen).

Browserdaten verschleiern

Manchmal wird man von einer Internetseite darüber informiert, dass die Bildschirmauflösung zum Betrachten der Webseite zu klein eingestellt ist oder dass der eigene Browser nicht unterstützt wird. Da stellt sich schnell die Frage: Woher weiß die Internetseite das? Nun, ganz einfach, ein Browser gibt nicht nur die IP-Adresse weiter, sondern auch Informationen über die Konfiguration des jeweiligen Rechners. Dadurch wird es einfach, Sicherheitslücken zu erkennen.

Browserdaten

Einige Angaben, die der Browser sendet, können mit Webfiltern, wie zum Beispiel dem User-Agent Switcher (Google Chrome, Mozilla Firefox) unterdrückt oder sogar gefälscht werden.

An dieser Stelle sollte erwähnt werden: Viele Internetnutzer glauben, dass sie sich in den Weiten des Internets anonym bewegen und nicht ausfindig gemacht werden können. Die Schwelle, Rechtsverletzungen zu begehen, ist damit niedriger. So werden täglich Musikdateien über sogenannte Peer-to-Peer-Netzwerke getauscht, kompromittierende Videos von Bekannten ins Netz gestellt und Beleidigungen aller Art in Foren und Chaträumen hinterlassen. Doch jeder Aufruf einer Internetseite kann durch die IP-Adresse zurückverfolgt werden.

Durch die IP-Adresse ist der Computer für die am Internet angeschlossenen Rechner auffindbar, so dass ein Datenaustausch stattfinden kann. Bei jedem Aufruf einer Internetseite, jedem Ansehen eines Videoclips und jedem Hoch- bzw. Herunterladen einer Datei versendet Ihr Rechner Ihre IP-Adresse, damit Ihr „Gegenüber“ weiß, an wen er die angeforderten Daten zu senden hat. Zugleich hinterlegen Sie „Gegenüber“ (zumindest zeitweise) der empfangenen IP-Adresse (mitsamt Zugriffszeit, gegeben falls Datenmenge, Browsertyp u. a.) in der "Log-Datei" (log-file). Selbst wenn man bei einer Anmeldung falsche Angaben macht, kann über die IP-Adresse der Anschlussinhaber gefunden werden.

Browser-Addon Ghostery - zum Schutz der Privatsphäre

Ghostery Logo Zahlreiche Online-Dienste erstellen Benutzerprofile von uns. Dazu werden sogenannte Tracking-Cookies, Zählpixel und diverse andere Tracker verwendet. Die so gesammelten Informationen dienen der Bereitstellung personenbezogener Werbeeinblendungen. Ein Beispiel: "Frau XY hat ein Bankkonto bei der Sparkasse, ruft Internetseite zum Thema Hausbau auf und kommt laut IP-Adresse aus der Umgebung Hannover." Solche Informationen sind für Marketingunternehmen Gold wert – für den Computernutzer dagegen ein enormer Eingriff in die Privatsphäre.

Die Browser-Erweiterung Ghostery blockiert sämtliche Tracking-Techniken (u.a. Tracking-Cookies, Zählpixel, Web-Bugs). Ein sich automatisch öffnendes Popup-Fenster (deaktivierbar) informiert - bei jedem Aufruf einer Internetseite - über die geblockten Tracker:

Geblockte Tracker von Ghostery

Ghostery ist verfügbar für: Chrome, Firefox, Opera, Safari, Internet Explorer (ghostery.com).

Passwörter im Browser nicht speichern

Mit der Funktion "Passwort speichern" können Anmeldedaten für Websites gespeichert und bei Bedarf automatisch vorgeschlagen werden. Wir empfehlen, diese Funktion zu deaktivieren, da nie ausgeschlossen werden kann, dass durch künftige Sicherheitslücken ein Zugriff auf diese Daten möglich sein könnte. Gespeicherte Passwörter, egal in welcher Form, bieten keine ausreichende Sicherheit.

Sollte entgegen der Empfehlung die Funktion zum Speichern von Passwörtern verwendet werden, so sollte unbedingt ein Master-Passwort gesetzt werden. Nach Aktivierung dieser Funktion wird vor der ersten Verwendung eines gespeicherten Passwortes ein zusätzliches Kennwort abgefragt. Zudem erfolgt die Speicherung der Passwörter dann verschlüsselt.
Mozilla Firefox
  1. Klicken Sie auf die Menüschaltfläche in der Taskleiste.
  2. Wählen Sie anschließend den Menüpunkt Einstellungen.
  3. Im Reiter Sicherheit finden Sie die Einstellung Master Passwort verwenden. Setzen Sie dort einen Haken.
  4. Vergeben Sie ein sicheres Passwort und klicken Sie auf Ok.
Google Chrome
  • Die Eingabe eines Master-Passwortes ist nicht möglich. Gespeicherte Passwörter können jederzeit über die URL chrome://settings/passwords abgerufen werden. Ein großes Sicherheitsrisiko!

Antivirenprogramm einsetzen

Wichtig
Leider birgt ein Antivirenprogramm immer die Gefahr, dass die Nutzer fahrlässig werden. Ein Antivirenprogramm bietet keine 100-prozentige Sicherheit!
Browser Ein Antivirenprogramm spürt Viren, Würmer und Trojaner auf und blockiert diese. Falls möglich, löscht er diese. Mit dem Microsoft Windows Defender ist bereits ein guter Virenschutz von Haus aus in das Windows-Betriebssystem integriert. Es tummeln sich jedoch ein dutzend weitere Antivirenprogramme auf dem Markt, u. a. von Kaspersky, Norton, Bitdefender, Avast, F-Secure, Symantec, McAfee und Trend Micro. Doch mit welchem Virenscanner soll man auf die Jagd nach Schädlingen gehen? In Zeitschriften werden - gefühlt wöchentlich - andere Testsieger gekürt.

Eine gute Anlaufstelle - bei der Wahl des richtigen Antivirenprogrammes - ist die Internetpräsenz vom „AV-Test“ Institut (https://www.av-test.org/). Aus 26 Testkandidaten ermittelt das Institut in regelmäßigen Abständen die besten Antivirenprogramme für Privatnutzer. Eine weitere Anlaufstellen sind die Virenscanner-Tests des österreichischen Sicherheitsunternehmens „AV-Comparatives“ (https://www.av-comparatives.org/).
Kostenlose Antivirenprogramme
  • Avast Free Antivirus (avast.com)
  • Avira Free Security (avira.com)
  • AVG Anti-Virus Free Edition (avg.com)
  • Bitdefender Antivirus Free Edition (bitdefender.de)
  • Panda Free Antivirus (pandasecurity.com)
Wenn der Virenscanner einen Virus, Trojaner oder Wurm auf dem PC findet, heißt es: Keine Panik! Unüberlegte Rettungsversuche richten mehr Schaden an als der Virus selbst. Es gibt zwei mögliche Zustände: Der Virus ist in einer Datei enthalten, aber noch nicht aktiv. Und solange der Virus nicht gestartet ist, kann er auch keinen Schaden anrichten.

Eigentlich kritischer ist Zustand zwei: Ein Virus ist auf dem PC aktiv geworden und hat eventuell bereits Schaden angerichtet. Dann sollten die Alarmglocken schrillen, denn es besteht Gefahr für alle vorliegenden Daten.

Der gleichzeitige Betrieb mehrerer Virenscanner auf einem Computer bringt keine Vorteile und kann das gesamte Computersystem lahmlegen.

Browser isoliert vom Betriebssystem ausführen

Die sogenannte Sandbox-Technik ist eine sehr gute Barriere gegen Malware. Wenn Sie Ihren Browser in einer Sandbox ausführen, wird der Browser vom Rest des Systems abgeschirmt. Der Browser läuft in einem geschützten Bereich und kann keine Änderungen am Windows-System vornehmen. Manipulationen an Windows, die ein böswilliger Schadcode vornehmen möchte, bleiben ohne Wirkung. Ideal um Anwendungen auszuprobieren oder aber auch sicher im Internet zu stöbern.

Die Sandbox ist im Grunde eine Art isoliertes Betriebssystem im Betriebssystem:

Festplatte ohne Sandbox Festplatte mit Sandbox
Festplatte ohne Sandbox Festplatte mit Sandbox
  • Blaue Felder = Windows-Programme, Dokumente
  • Roter Felder = Neue Inhalte
  • Gelber Rahmen = Sandbox
Eine sehr gute Sandboxing-Lösung ist das Programm Sandboxie von Ronen Tzur (für private Nutzer kostenlose).

Virtualisierungs-Tool Sandboxie

Sandboxie Wer kein Geld für ein Virtualisierungstool ausgeben möchte, ist mit dem kostenlosen Virtualisierungs-Tool Sandboxie (sandboxie.com - Open Source) sehr gut bedient. Mit Sandboxie kann man sämtliche Anwendungen in einer sicheren virtuellen Umgebung starten oder sogar installieren. Leert man den Inhalt der Sandboxie, verschwinden sämtliche Dateien innerhalb der Sandbox (Dateien, Programme). Alle Dateien, die über Sandbox laufen, können das System nicht beeinträchtigen. Auch keine widerwillig heruntergeladene Malware.

Die Benutzung des Programms ist kinderleicht: Im Explorer gibt es einen Kontexteintrag, mit welchem man auswählen kann, ob die betreffende Anwendung in einer sicheren oder unsicheren Umgebung gestartet werden soll. Sandboxie unterstützt alle Windows-Versionen ab Window 2000 - auch die 64-Bit-Varianten. Damit das Programm auf Deutsch läuft, muss man die Sprache bei der Installation unbedingt auswählen.

Für allgemeine Einstellungen des Programms ist das Menü Konfiguration zuständig. Die Eigenschaften einer einzelnen Sandbox definiert man im Anwendungsmenü unter Sandbox > Sandboxname > Sandboxeinstellungen oder über das Kontextmenü der jeweiligen Sandbox. Sandboxie wird standardmäßig mit einer DefaultBox ausgeliefert, die jedoch sehr freizügig eingestellt ist. Um eine sichere Sandbox einzurichten, sollte man unbedingt eine neue Sandbox-Konfiguration anlegen (Sandbox > Neue Sandbox erstellen). Der Name einer Sandbox darf weder Umlaute, Leer- oder Sonderzeichen enthalten.

ln der Standardkonfiguration sperrt das Programm weder Lesezugriffe auf das Dateisystem noch auf die Registrierungsdatenbank. Nur Schreibzugriffe werden gesperrt. So kann ein in der Sandbox gestartetes Programm ohne Probleme sicherheitsrelevante Dateien und Einträge in der Registrierungsdatenbank lesen. Malware, die Zugangsdaten ausspionieren möchte, könnte also trotz der Sandbox-Umgebung Schaden anrichten. Aus diesem Grund sollte man unbedingt eine Sandbox konfigurieren, die keine Netzzugriffe zulässt. Hierfür klickt man in den Sandboxeinstellungen unter Beschränkungen > lnternetzugriff auf die Schaltfläche Alle Programme sperren. Möchte nun ein Programm aus der Sandbox heraus eine Netzverbindung aufbauen, erscheint eine Fehlermeldung. Alternativ kann man auch den Zugriff auf bestimmte Dateipfade und Registry-Schlüssel sperren. Möglich unter Ressourcenzugriff der Sandboxeinstellungen > Ressourcenzugriff > Dateizugriff > Zugriff verweigern und unter Registrierungs Zugriff > Zugriff verweigern.

Um Programme in einer Sandbox zu starten, klickt man mit einem Rechtsklick auf die Programmdatei, und im anschließenden Kontextmenü auf ln der Sandbox starten. Sandboxie blendet dann ein Auswahlmenü ein, um die gewünschte Sandbox auszuwählen. Programme die in einer Sandbox laufen, erkennt man daran, dass der Programmname in der Titelzeile zwischen zwei Doppelkreuzen ([#] Programmname [#]) steht. Außerdem wird der Fensterrand gelb, wenn man die Titelzeile mit der Maus berührt.

Sicherer E-Mail-Verkehr

Mail Der E-Mail-Dienst ist einer der meist-genutzten Dienste im Internet. Er ermöglicht das Verschicken von elektronischer Post an beliebige Teilnehmer im Netz, die über eine entsprechende E-Mail-Adresse verfügen. Die E-Mail bestand ursprünglich nur aus einer Nachricht in Textform (+ Zusatzinformationen wie Absender, Betreff und Weiterleitung). Inzwischen wird das Anhängen von beliebigen Dateien an die E-Mail unterstützt, womit ein einfacher Dateiversand ermöglicht wird. Wie in allen Bereichen des World Wide Webs, ist es auch beim E-Mail-Verkehr wichtig, die Augen offen zu halten. Eine große Gefahr geht heute von E-Mails aus.

E-Mail Anhängen misstrauen

Eingehende E-Mails sind das größte Einfallstor für Computerviren. Der Angreifer kann sein Ziel direkt anwählen und muss nicht warten, bis der Internetnutzer eine bestimmte Seite anwählt und ein bestimmtes Programm herunterlädt, wie es die meisten Attacken über das Internet erfordern. Ferner lässt sich die Absenderadresse unproblematisch fälschen, sodass der Absender der E-Mail fast unmöglich identifiziert werden kann. Zum besseren Schutz sollten daher offensichtlich unsinnige E-Mails ungelesen in den Papierkorb wandern. Bei vermeintlich bekannten oder vertrauenswürdigen Absendern sollten E-Mail-Attachments vor dem Öffnen immer auf Viren überprüft werden. Viel zu oft werden E-Mail Anhänge arglos geöffnet, auch wenn sie als E-Mail-Attachment von unbekannten Absendern stammen.

E-Mail verschlüsseln (PGP)

Sicherer ist die Kommunikation via E-Mail mit Verschlüsselungsprogrammen wie dem bekannten PGP (www.pgp.com). Auf diese Weise lässt sich die Herkunft der elektronischen Post überprüfen. Zudem können gesendete Nachrichten nicht von anderen Personen als dem beabsichtigten Empfänger abgefangen und gelesen werden. Vertrauliche Daten (Passworte, Kreditkartennummern etc.) sollten immer vor der Übermittlung übers Netz verschlüsselt werden.

PGP ("Pretty Good Privacy") funktioniert wie folgt: Jeder PGP User erstellt einen PGP-Key. Dieser Key besteht wiederum aus 2 einzelnen Keys: Dem Public Key und dem private Key. Mit dem Public Key können Sie nur Daten verschlüsseln, nicht entschlüsseln. Diesen Key geben Sie z.B. Ihren Freunden damit sie Ihnen verschlüsselte Daten schicken können. Mit dem private Key können Sie die verschlüsselten Daten wieder entschlüsseln. Diesen Key darf niemand außer Ihnen besitzen! Wenn Ihnen jemand etwas schicken will, dann verschlüsselt die Person es mit Ihrem Public Key, schickt es Ihnen und nur Sie können die Daten mit dem private Key entschlüsseln. Hört sich kompliziert an, ist es aber nicht! Wenn Sie es einmal gemacht haben, sind es nur ein paar Klicks um z.B. eine Datei oder einen Text zu verschlüsseln!

Das Public-Key-Verfahren
Bild: Das Public-Key-Verfahren
Emails verschlüsseln mit Thunderbird und Enigmail
  1. Installieren Sie die Freie Software Gpg4win (gpg4win.de). Gpg4win beinhaltet die GnuPG (GPG) Kryptokomponenten. Mit diesen werden alle Schlüssel erzeugt, verwaltetund Dateien ver- und entschlüsselt.
  2. Starten / Installieren Sie anschließend das E-Mail Programm Thunderbird (mozilla.org).
  3. Klicken Sie im Thunderbird-Menü auf Add-ons und suchen das Add-on "Enigmail". Installieren Sie das Add-on per Klick auf Installieren und starten Thunderbird neu.
  4. Nach dem Thunderbird-Neustart startet automatisch der Enigmail-Assistent. Wählen Sie Jetzt einrichten und klicken Sie auf Weiter.
  5. Als Anfänger wählt man am besten die Standard-Konfiguration - > Weiter.
  6. Vermutlich werden Sie noch keinen PGP-Schlüssel haben. Klicken Sie also auf Ich möchte ein neues Schlüsselpaar erzeugen -> Weiter.
  7. Um den privaten Schlüssel zu schützen, müssen Sie eine Passphrase angeben (einen Passwort-Satz). Klicken Sie anschließend auf Weiter.
  8. Das Schlüsselpaar wird nun erzeugt. Das öffentliche und das private. Sobald das Schlüsselpaar angelegt ist müssen Sie noch ein Widerrufszertifikat anlegen. Mit diesem können Sie den Public Key jederzeit als ungültig erklären. Das Zertifikat Sollten Sie gut geschützt speichern!
  9. Nachricht mit Enigmail verschlüsselnEnigmail ist nun fertig eingerichtet. Wenn Sie nun eine Mail schreiben, können Sie diese direkt im Nachrichtenfenster verschlüsseln (siehe Bild):
    Punkt 1: Eine Schaltfläche, über die Sie die Enigmail-Sendeoptionen (Punkt 6) öffnen können.
    Punkt 2: Eine Schaltfläche, über die Sie das Verschlüsseln für diese Nachricht aktivieren / deaktivieren können.
    Punkt 3: Eine Schaltfläche, über die Sie das Unterschreiben für diese Nachricht aktivieren / deaktivieren können.
    Punkt 4: Über diese Schaltfläche können Sie Ihre öffentlichen Schlüssel als Anhang mitsenden. Falls der Mail-Empfänger diesen noch nicht besitzt und Ihnen verschlüsselt zurückschreiben möchte
    Punkt 5: Eine Zusammenfassung der gewählten Optionen (verschlüsselt, unterschrieben).
    Punkt 6: Enigmail-Sendeoptionen.
Wer sein Verschlüsselungsprogramm für Datenübertragungen innerhalb Deutschlands nutzt muss sich um rechtliche Fragen bei der Benutzung solcher Programme nicht kümmern.

Besser ohne E-Mail-Vorschau

Die automatische Vorschau im Vorschaufenster des E-Mail-Clients ist als sehr problematisch zu betrachten. Malware kann sich so, obwohl die E-Mail noch gar nicht mittels Doppelklick geöffnet wurde, ohne Probleme einschleusen. Aus Sicherheitsgründen sollte man deshalb auf diese Funktion verzichten.
Outlook Express
  1. Klicken Sie im Menü Ansicht auf Lesebereich > Aus.
Mozilla Thunderbird
  1. Öffnen Sie Mozilla Thunderbird und klicken die F8-Taste Ihrer Tastatur.

Spam vermeiden

Es ist ein belastendes Problem für das gesamte Internet, für jeden einzelnen Internetuser und für die Internetprovider: SPAM. Die Massen an E-Mails mit Werbung für dubiose Geschäftsideen, Viagra und zweifelhafte Haarwuchsmittel nehmen permanent zu. Bisherige Anti-Spam Betreiber gehen langsam aber sicher in die Knie und geben den Kampf gegen Spam auf. Man kann derzeit nur schwer abschätzen, welcher Schaden unmittelbar durch SPAM entsteht, wenn täglich Hunderte, Tausende ja sogar Millionen E-Mails in Form von Spam mit unerwünschter Werbung ins Haus kommen.

Selbst wenn Spam-Mails inhaltlich nicht zur Kenntnis genommen und sofort gelöscht werden, stellen sie doch eine enorme Belästigung und einen hohen Kostenfaktor dar.

Spam zu vermeiden, indem man seine private E-Mail-Adresse nicht überall angibt, ist weitaus leichter, als Spam zu bekämpfen. Vielleicht haben Sie sich mal gefragt, wie Spamversender überhaupt an Ihre E-Mail-Adresse gekommen sind. Hier gibt es mehrere Möglichkeiten:
  • Das E-Mail-Adressbuch eines Freundes wurde von einem Trojaner ausgespäht.
  • Sie haben an Gewinnspielen oder ähnlichem teilgenommen.
  • Ein Softwarebot hat Ihre E-Mail-Adresse auf Ihrer Webseite, in Foren oder Gästebüchern gescannt.
  • Sie haben sich für einen Newsletter angemeldet.
  • Beim Herunterladen einer Datei haben Sie Ihre E-Mail-Adresse angegeben.
Einige Dinge könne Sie tun, um den Spam zu begrenzen
  • Wenn Sie eine eigene Internetseite besitzen, möchten Sie mit Sicherheit, dass man Kontakt zu Ihnen aufnehmen kann. Hinterlassen Sie Ihre E-Mail-Adresse nicht in maschinenlesbarer Form. Ersetzen Sie Ihre E-Mail-Adresse durch eine kleine Grafikdatei, auf welcher Ihre E-Mail Adresse zu lesen ist. Spambots können deine Adresse dann nicht auslesen.
  • Hinterlassen Sie eine private E-Mail Adresse nicht in Foren, Gästebüchern oder Chats.
  • In der Regel können Sie davon ausgehen, dass eine Adresse nur dann mit Spam-Mails eingedeckt wird, wenn Sie oder Dritte diese bekannt geben. Grundsätzlich sollten Sie bei der Angabe einer E-Mailadresse, z.B. in einem Formular einer Webseite, damit rechnen, dass Sie nun Spam-Mail erhalten, auch bei scheinbar seriösen Dienstleistungen. Fragen Sie sich, ob die Angabe einer E-Mailadresse wirklich notwendig ist.
  • Legen Sie sich weitere E-Mail-Adressen zu. Sehr zu empfehlen sind Anbieter von sogenannten Wegwerf-Adressen (z.B. für Foren-Anmeldungen oder zum Testen von neuer Software). Das Prinzip von Wegwerf-Adressen ist ganz einfach: Sie gehen beispielsweise auf 10minutemail.com und denken sich eine Mülladresse aus. Diese Adresse steht Ihnen 10 Minuten lang zur Verfügung und kann von Ihnen abgerufen werden. Nach 10 Minuten wird der Inhalt des Postfaches gelöscht.
  • Mail-Programme, die über verschiedenen Verfahren, z.B. Schwarz/Weiß-Listen, Textfilter oder statistische Methoden versuchen Spam-Mails zu identifizieren und zu löschen, können helfen.
Und auch wenn Sie sich über unerwünschte Werbemails ärgern, antworten Sie niemals auf solche E-Mails. Damit bestätigen Sie lediglich die Korrektheit Ihrer E-Mail-Adresse. Nutzen Sie auch keine Abmeldelinks in Spam-Mails. Sonst werden Sie in in Zukunft noch mehr Werbemails erhalten. Eine aktive E-Mail-Adresse ist mehr wert als eine inaktive E-Mail-Adresse.

Kann gegen Spammer vorgegangen werden? Theoretisch ja, praktisch nein. Voraussetzung für ein erfolgreiches Vorgehen ist, dass der Spammer, also der Versender der E-mail bzw. der dafür Verantwortliche, zweifelsfrei identifiziert werden kann. Es muss der vollständige Name bzw. Firma mit vollständiger Adresse ermittelt werden können. Das ist häufig leider nicht oder nur schwer möglich. Außerdem sollte der Spammer seinen Wohn- bzw. Geschäftssitz in Deutschland haben. Anderenfalls wäre ein erfolgreiches Vorgehen zwar nicht unbedingt ausgeschlossen, aber erheblich erschwert und praktisch nur bei Einschaltung eines Anwaltes in dem betreffenden Land sinnvoll.

Vorsicht bei Downloads von Webseiten

Vorsicht bei Downloads Der Download von Software aus unsicheren Quellen geht sehr leicht von der Hand. Programme sollten jedoch nur von vertrauenswürdigen Seiten heruntergeladen werden, also insbesondere von den Originalseiten des Erstellers. Anonyme Webspace-Provider, die jeder Privatperson Speicherplatz zur Verfügung stellen, sollten unbedingt als Quelle gemieden werden.

Heruntergeladene Programme sollten vor ihrer Installation auf Viren überprüft werden (Online-Überprüfung: www.virustotal.com). Wer die Möglichkeit besitzt, Software erst auf einem nicht vernetzten älteren Rechner auszuprobieren, kann dies natürlich auch tun.

Ganz wichtig ist es auch, auf Softwaredownloads aus Tauschbörsen zu verzichten. Man kann sich fast nirgendwo anders so leicht infizieren wie dort. Es werden so nicht nur viele schädliche Dateien verbreitet, sondern oftmals stellen die Tauschbörsen-Programme an und für sich schon ein Risiko dar. Ganz oft ist in diesen Spyware integriert - aber auch Trojaner und Backdoors wurden schon in Tauschbörsen-Programmen gefunden. Finger weg von Musik- oder Videotauschbörsen, bei denen die Daten direkt von einem Nutzer zum anderen Nutzer weitergegeben werden. Da die Beteiligten meist keine Nutzungsrechte vom Urheber eingeräumt bekommen haben, verletzen sie sowohl beim Hochladen als auch beim Herunterladen der Daten Urheberrechte. Oft findet sich im Internet der Hinweis, dass das Herunterladen von Dateien innerhalb der Tauschbörsen erlaubt bzw. ein rechtlicher Graubereich ist. Diese Aussage betraf die alte Rechtslage. Seit September 2008 ist auch der Download von offensichtlich rechtswidrig angebotenen Dateien verboten!

Viele Benutzer lassen unzählige Hintergrundanwendungen auf dem eigenen Rechner laufen – Augen, die dem Mauszeiger folgen, Programme, die im eingestellten Zeittakt das Hintergrundbild auswechseln. Jedes ausführbare Programm hat vollen Zugriff auf den eigenen Rechner und kann Hintertüren öffnen. Grundsätzlich gilt, nur das zu installieren, was wirklich gebraucht wird. Jedes ungenutzte Programm und jede unnötige Funktion vergrößert die Gefahr eines unberechtigten Zugriffs auf die heimische Festplatte. Bei dauerhaft genutzten Anwendungen sollten nur diejenigen Funktionen aktiviert sein, die auch benötigt werden. In den Office-Anwendungen wie WORD, EXCEL oder POWERPOINT ist der Makro-Viren-Schutz zu aktivieren.

Kriminelle nutzen vermehrt soziale Netzwerke, um Schadsoftware (Würmer, Trojaner o. ä.) zu verbreiten. Sie versenden z. B. Nachrichten, die einen Link auf manipulierte Webseiten enthalten. Klickt der Empfänger auf den angegebenen Link, wird er auf der Zielseite z. B. aufgefordert, ein Zusatzprogramm zu installieren und holt sich mit dem Download das Schadprogramm auf den eigenen Rechner. Wenn Sie im Browser aufgefordert werden ein sogenanntes "Add-On" oder "Plug-in" herunterzuladen, prüfen Sie zunächst ob Sie die Erweiterung tatsächlich brauchen und von welchem Hersteller und aus welcher Quelle die Browsererweiterung stammt. Problematisch sind auch interne Zusatz-Anwendungen (z. B. Mini-Spiele). Sie stammen meist von Drittanbietern, deren Sicherheitsstandards nicht zwangsläufig denen der sozialen Netzwerke entsprechen müssen.

Versteckte Dateiendungen anzeigen lassen (Windows)

Standardmäßig werden bei Windows keine Dateiendungen angezeigt. Virenschreiber nutzen diese Tatsache sehr gerne aus. Die mit Viren infizierte Datei foto.exe, wird zum Beispiel in foto.jpg.exe umbenannt und so an ahnungslose Computernutzer verschickt. Dieses sieht bei Erhalt der Datei als E-Mail-Anhang nur „foto.jpg“, da Windows den bekannten Dateianhang „.exe“ ausblendet. Ist sich der Computernutzer der Dateiendungs-Einstellung von Windows nicht bewusst, führt ein Doppelklick auf die angebliche Bilddatei zwangsläufig zum Start der infizierten .exe-Datei.

Ausgeblendete Dateierweiterung Eingeblendete Dateierweiterung
Ausgeblendete Dateiendung Eingeblendete Dateiendung

Mit wenigen Klicks kann man die Dateiendungen standardmäßig anzeigen lassen:
Windows Vista / Windows 7
Wichtig: Windows Vista und Windows 7 sind nicht mehr sicher. Der Support wurde von Microsoft eingestellt.
  1. Rufen Sie den Arbeitsplatz auf.
  2. Im oberen linken Bereich des Fensters finden Sie den Menüpunkt Organisieren. Rufen Sie diesen auf und klicken Sie anschließend auf den Menüpunkt Ordner- und Suchoptionen.
  3. Es öffnet sich ein neues Fenster. Wechseln Sie vom Reiter Allgemein zu Ansicht.
  4. Entfernen Sie den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden und klicken Sie auf Übernehmen.
Windows 8
  1. Öffnen Sie einen beliebigen Ordner.
  2. Klicken Sie in der Menüleiste auf Ansicht > Optionen.
  3. Im Fenster Ordneroptionen klicken Sie auf den Reiter Ansicht.
  4. Den Haken bei Erweiterungen bei bekannten Dateitypen ausblenden entfernen Sie und klicken auf Übernehmen.
Windows 10
  1. Öffnen Sie den Explorer / einen beliebigen Ordner.
  2. Klicke Sie in der Menüleiste auf Ansicht > Ein-/ausblenden.
  3. Setzen Sie einen Haken bei Dateinamenerweiterungen.
Computer-Neulinge fragen sich sehr oft, welche Dateitypen infiziert werden können. Die Anzahl der infizierbaren Dateitypen ist riesig. Mit Abstand am häufigsten beinhalten *.exe und *.com-Dateien Viren, Trojaner und Co. Allerdings können auch Skriptdateien (*.js, *.vbs, *.shs, *.shb), Officedokumente (*.doc, *.ppt, *.xls), Systemdateien (*.reg, *.bat, *.inf, *.lnk, *.scr *.pfi), gepackte Dateien (*.rar, *.zip), und sogar Mediendateien (*.wmv, *.mov, *.flc) Schädlinge transportieren. Auch PDF-Dateien, MP3 Dateien und RTF-Dateien mit Schadcodes wurden bereits entdeckt. Im Prinzip sind nur reine Textdateien (*.txt) nicht zu infizieren.

Sichere Passwörter nutzen

Passwort Sicherheit im Internet ist und bleibt eines der Schlüsselthemen unserer Zeit, neben dem Schutz vor Viren und Malware steht vor allem die Passwortsicherheit im Fokus. Passwörter sind im Prinzip Türschlösser. Sensible Daten, Bankgeheimnisse, persönliche Bilder und nahezu jeder Account im Internet ist durch Passwörter abgesichert. Diese Absicherung ist allerdings nur so gut wie das dazugehörige Passwort und hier gibt es bei vielen Nutzern immer noch Nachholbedarf. Passwörter sind prinzipiell wie Schlüssel zu behandeln: Zwar bringt ein Generalschlüssel einen simplen Komfort, ist dieser aber erst einmal gestohlen oder kopiert, so stehen alle Türen offen. Private Daten und Accounts sollten daher immer so abgesichert werden, dass sie nur schwer zu knacken sind und eine Sicherheitslücke nicht gleich unser ganzes, digitales Leben offenlegt. Vertrauliche, lange und komplexe Passwörter sind der sicherste Weg, sich vor fremdem Zugriff zu schützen und die eigenen Daten so abzusichern, wie man dies auch mit einer Haustür tun würde: mit einem Sicherheitsschloss.

Problematische Passwörter - die klassischen Fehler

Als das Internet in den Neunzigern noch wirkliches Neuland war und erste Erfahrungen mit Accounts gesammelt wurden, war das häufigste Passwort noch (das klein geschriebene) passwort. Das war zwar nicht sicher, aber leicht zu merken. Auch Liebe, Gott, der eigene Name oder Name der Partner waren beliebte Kennwörter. Dies rief betroffene Webseiten (deren Ruf litt schließlich unter den Sicherheitslücken) auf den Plan und so wurden Nutzer ermahnt, doch eine Kombination aus Zahlen und Buchstaben zu benutzen - passwort1 war geboren.

Grundsätzlich gilt, dass zu kurze Passwörter technisch unsicher sind, wohingegen persönlich sehr naheliegende Passwörter kaum mehr geheim sind, da sie leicht zu erraten sind. Wirklich problematisch sind Namen, Benutzerkennungen, einfache Wörter (auch in anderen Sprachen), Sportvereine, Abkürzungen oder Zahlen- und Tastaturfolgen (wie 98765 oder qwertz). Auch Kombinationen der oben genannten, simplen Passwörter mit einer Zahl (frank7) sind kaum geeignet. Die Anfangsbuchstaben von Merksätzen funktionieren ebenfalls nur, wenn diese hinreichend kompliziert sind (MVemjSunP ist also wegen seiner Bekanntheit ungeeignet, auch wenn er die Planeten unseres Sonnensystems wiedergibt).
Fehler bei der Wahl eines Passwortes
  • Keine Namen von Partnern, Freunden oder anderen Familienmitglieder verwenden.
  • Keine einfachen Wörter aus dem eigenen Sprachschatz
  • Keine Geburtsdaten, Telefonnummern
  • Keine Tastaturfolgen (wie 98765 oder qwertz)
  • Keine Rückwärtsschreibung (otua, saerdna ...)
  • Keine Rechnernamen, Benutzernamen
  • Keine Anfangsbuchstaben von bekannten Merksätzen

Wie sollte ein gutes Passwort aufgebaut sein

Ein wirklich gutes, sicheres Passwort muss lang und kompliziert sein. 12 bis 20 Stellen (bei WLAN-Verschlüsselungen sollten es immer mindestens 20 Stellen sein) muss es haben und aus einer Mischung aus Groß- und Kleinschreibung bestehen, aus Zahlen und Sonderzeichen. Die Länge eines Passworts ist vor allem beim Schutz gegen Brute-Force-Angriffe von enormer Bedeutung. Bei dieser Art von Cyberattacke benutzen Hacker spezielle Programme, die eine beliebige Anzahl von Passwörtern ausprobieren bis sie das richtige getroffen haben. Selbst große Konzerne wie Apple hatten mit Brute-Force-Angriffen Probleme, und so wurden bereits Fotos Prominenter iCloud-Nutzer kompromittiert. Zwar sind die Sicherheitsvorkehrungen gegen diese massenhafte Eingabe von Passwörtern in den letzten Jahren gestiegen, dennoch stellt Brute Force ein Problem dar - und je kürzer ein Passwort ist, desto schneller kann es von einem Algorithmus "erraten" werden.

Passwort­länge (Zeichen)
Groß-, Klein­buchstaben, Zahlen
Mögliche Kombinationen Anzahl der maximal benötigten Zeit
in Sekunden in Minuten in Stunden in Tagen in Jahren
1 62 0.000002056398384068883
2 3844 0.00012749669981227074
3 238328 0.007904795388360785
4 14776336 0.4900973140783687
5 916132832 30
6 56800235584 1884 31.40
7 3521614606208 116804 1946.73 32.45 1.35
8 218340105584896 7241843 120697.38 2011.62 83.82
9 13537086546263552 448994240 7483237.34 124720.62 5196.69 14.24
10 839299365868340200 27837642899 463960714.98 7732678.58 322194.94 882.73
Ein sicheres Passwort kann etwa aus den Anfangsbuchstaben oder Silben eines Satzes bestehen, der nur für Sie Sinn ergibt (Zum Beispiel: EHuv10k?DleeseNa - Ein Hund von 10 Kilogramm? Der leert seinen Napf). Solche Passwörter schützen aufgrund ihrer Länge vor Übergriffen durch Computerprogramme und da sie sinnlos und bei der Wahl der Vertretung der Wörter durch Buchstaben zufällig sind, schützen sie zusätzlich vor dem Erraten durch Bekannte. Dennoch kann man sich selbst diese Passwörter merken, sie funktionieren also ausgezeichnet.

Auch die Verwendung von Umlauten (ä,ö,ü) oder Sonderzeichen, die man nur über die Alt-Taste oder die Kombination von Shift- und Alt-Taste abrufen kann, eignen sich ganz hervorragend. Problematisch wird es dann aber in einem anderen Punkt: Denn sichere Passwörter sollten regelmäßig geändert werden und für die jeweilige Seite beziehungsweise den jeweiligen Account individuell sein. Schon bei wenigen Accounts kann es also schnell zu einiger Verwirrung kommen.
Das optimale Passwort
  • Lang und kompliziert (12 bis 20 Stellen)
  • Mischung aus Groß- und Kleinschreibung, aus Zahlen und Sonderzeichen
  • Verwendung von Umlauten (ä,ö,ü) oder Sonderzeichen

Passwörter speichern

In Kriminalromanen mag es naheliegend sein, die Passwörter auf einem Notizzettel neben dem Computer zu notieren oder eine Word-Datei mit dem Titel Passwörter unverschlüsselt auf dem Rechner zu speichern, in der Realität liegt hier aber eine der größten Sicherheitslücken.

Eine gute Möglichkeit des sicheren Speicherns bietet das Freeware-Programm KeePass. KeePass ist ein kostenloses Programm für Windows, das Kennwörter in einer verschlüsselten Datenbank sichert. Der Nutzer hat hierbei die Wahl, ob er KeePass an ein Masterpasswort, sein Windows-Konto oder an eine Datei binden möchte.
  • KeePass selbst ist OpenSource (Sourcecode verfügbar).
  • Das Programm startet ohne Installation, kann auf einem externen USB-Stick mitgeführt werden
  • Passwörter können nach Kategorien sortiert werden.
  • Die Passwörter werden verschlüsselt (AES, Twofish-Algorithmus).
  • Integrierter Passwort-Generator. Die Passwörter können zufällig und wirr werden, da diese nicht an Merksätze gebunden sind.
  • Automatischer Eintrag von maskierten Passwörtern in URL oder in die Zwischenablage.
Das Masterpasswort sollte man sich gut merken. Falls man es vergessen hat, hat man vom KeePass-Entwickler keine Hilfe zu erwarten. Die Datenbank wird stark verschlüsselt.

Verwendung von Einmal-Passwörtern

Selbst die Einhaltung aller hier beschriebenen Sicherheitskriterien für Passwörter, halten potentielle Angreifer (in Fachkreisen auch Sniffer genannt) nicht ab, Angriffe zu starten. Jeder Nutzer des Internets muss sich darüber im Klaren sein, das auch ein Sniffer die Sicherheitsempfehlungen für Passwörter kennt und ständig nach neuen Wegen sucht, diese zu unterlaufen. Es muss also dafür gesorgt werden, dass die durch Angreifer aufgezeichneten Daten nicht genutzt werden können. Ein wirksames Mittel für einen sicheren Einsatz von Authentisierungssystemen im Internet, sind Verfahren, die auf dem Prinzip von Einmal-Passworten beruhen. Ein solches ausschließlich softwarebasierte System ist das S/Key-System. Mit S/Key können bis zu 99 Einmal-Passworte generiert werden, die vom Benutzer ausdruckbar sind. Das Prinzip von S/Key beruht auf einer leicht zu berechnenden Funktion (y = (x)), deren Umkehrfunktion (x = (y)) nur in einer inakzeptabel langen Zeit berechnet werden kann. Ausgehend von einem Standardwert (x) wird diese Funktion 99 Mal angewandt: y = 99 (98( 97(...2( 1(x)) ... )))

Die dabei entstehenden Zwischenwerte werden ausgedruckt und dienen als Einmal-Passworte. Das Ergebnis der letzten Iteration (y) wird auf dem Server gespeichert. Logt sich ein potentieller Benutzer auf dem entsprechenden Server ein, wird geprüft, ob das Ergebnis der Funktion auf den vom Benutzer angegebenen Wert mit dem Ergebnis übereinstimmt ( y = (Passwort) ?), das auf dem Server gespeichert ist. Ist die Authentisierung erfolgreich, gewährt der Server den Login und speichert den vom Benutzer angegebenen Wert als neues, beim nächsten Login zu erzielendes Ergebnis ab.

S/Key ist schon seit einigen Jahren erfolgreich im Einsatz. Jedoch weist dieses Verfahren auch einige Nachteile auf. So müssen u.a. alle Programme ersetzt werden, die ein Passwort abfragen.

Zwei-Faktor-Authentifizierung

Einige Online-Dienste unterstützen die sogenannte Zwei-Faktor-Authentifizierung. Mit der Zwei-Faktor-Authentifizierung sperren Sie Angreifer aus. Selbst dann, wenn Sie einen Trojaner auf Ihrem System haben, der Ihr Passwort einfach mitliest. Oder wenn Ihr Passwort per Keylogger mitgelesen wird. Bei der Zwei-Faktor-Authentifizierung benötigen Sie zusätzlich zu Ihrem Passwort einen zweiten Faktor. Beispielsweise einen Code der Ihnen per SMS zugesendet wird. Oder einen Code der über eine mobile App generiert wird.

Auf https://twofactorauth.org/ finden Sie eine Liste mit Online-Diensten, die diese Authentifizierungs-Möglichkeit anbieten.

Passwörter und Login-Daten schützen

Würden Sie Ihren Schlüssel in der Haustür stecken lassen? Vermutlich nicht. Gehen Sie genauso vernünftig mit Ihren Passwörtern bzw. Zugangsdaten um! Oft müssen sich Hacker gar nicht erst die Mühe machen und Passwörter knacken, Phishing Mails oder gefälschte Webseiten bieten Ihnen genug Gelegenheit, Passwörter abzugreifen. E-Mail-Fragen nach Passwörtern oder nicht authentifizierte Webseiten sind echte Fallgruben für die Online-Sicherheit.

Passwörter nicht an Dritte weitergeben oder per E-Mail versenden

Die Weitergabe an noch so vertraute Dritte oder das Senden von Passwörtern per E-Mail stellen klaffende Sicherheitslücken dar.

Phishing: Datenfischern nicht ins Netz gehen

Der aus den englischen Worten Password (engl. für Kennwort) und fishing (engl. für Angeln) zusammengesetzte Begriff P-hishing bezeichnet das illegale Angeln von Kennwörtern. Gemeint ist damit der Diebstahl von Zugangsdaten allgemein. Zugangsdaten zum Onlinebanking stehen sehr oft im Fokus von Phishing-Attacken. Aber nicht immer geht es den Dieben gleich um die Online-Banking-Daten. Auch Zugangsdaten von Onlineshops, E-Mail-Accounts oder sozialen Netzwerken sind häufig Ziel von Phishing-Kampagnen.

Ein besonders attraktives Ziel für Online-Kriminelle sind PayPal-Konten.

Beim sogenannten Phishing verschickt der Unbekannte massenweise E-Mails, die ihrem Layout, Inhalt und auch ihrer Adresszeile nach, von einem vertrauenswürdigen Geschäftspartner des Empfängers zu stammen scheinen (z.b. Bankinstitute). In der E-Mail wird der Empfänger aufgefordert, dem in der E-Mail enthaltenen Link zu folgen. Als Grund werden beispielsweise eine notwendige Aktualisierung der Kontodaten, ein angeblicher Datenverlust oder Sicherheitsprobleme angegeben.

Beispiel einer Phishing-Mail:

Phishing Mail

Der Link führt auf eine vom Täter erstellte Internetseite, die wiederum der Webseite des Geschäftspartners zum Verwechseln ähnlich sieht. Auf der gefälschten Internetseite wird das Opfer aufgefordert, in einer scheinbar sicheren Umgebung seine vertraulichen Daten (z. B. PIN, TAN) einzugeben. Gibt das Opfer die Daten ein, landen diese direkt in den Händen der Betrüger. Die Betrüger können kurz darauf das Konto leer räumen.

Die Täter versuchen, dass die getäuschte Internetadresse mit der Original-Internetadresse so weit wie möglich übereinstimmt. Neben Buchstabendrehern, die relativ schnell zu erkennen sind, versuchen sie eine gleichnamige Domain unter einer anderen Top-Level-Domain (TLD) zu registrieren. Viele Banken registrieren daher vorsorglich ihre Domain unter verschiedenen TLDs und leiten von dort ihre Kunden auf die richtige Webseite weiter.

Fiktive Beispiele für getäuschte Adressen von www.bank-online.de:
  • Buchstabendreher: www.bank-onllne.de, www.banl-online.de o. ä.
  • andere Top-Level-Domain: www.bank-online.com, www.bank-online.eu o. ä.
Oftmals nutzen die Angreifer eine nicht korrekt verschlüsselte Verbindung zur Bank – weder ein Schlosssymbol noch ein „https://“ sind in der Adresszeile des Webbrowsers erkennbar.

Möglich ist auch, dass die Täter die DNS-Server manipulieren. Hier ist für den Internetnutzer nicht mehr erkennbar, dass er sich auf einer gefälschten Seite befindet. Mehr dazu nachfolgend unter Pharming.

Obwohl manche Phishing Angriffe sehr ausgefeilt sind, gibt es dennoch eine große Anzahl von Angriffsversuchen, die bei genauerem Hinsehen als Fälschungen identifizierbar sind. Nachfolgend einige typische Merkmale für Phishing-E-Mails.
Phishing E-Mails erkennen
  1. Sie werden aufgefordert vertrauliche Bankdaten wie beispielsweise PINS, TANs oder Passwörter anzugeben. Das kann nur ein Betrugsversuch sein, denn Ihre Bank fragt Sie niemals nach vertraulichen Daten, weder per E-Mail noch per Telefon.
  2. Die Anrede ist unpersönlich. Ihre Bank kennt Sie und würde den korrekten Namen für das Anschreiben verwenden.
  3. Die E-Mail weist viele Rechtschreib- oder Grammatikfehler auf. Besonders auffällig ist das Fehlen von Umlauten. Aber ein fehlerfreier Text allein ist trotzdem noch kein Garant für gute Absichten des Absenders. Es gibt auch Phisher, die die deutsche Sprache perfekt beherrschen.
  4. In der E-Mail ist ein Formular eingebunden, dass Sie ausfüllen sollen. Formulare in E-Mails sind grundsätzlich verdächtig und sollten Ihr Misstrauen hervorrufen.
  5. Links in E-Mails können unsichtbar auf ein ganz anderes Ziel verweisen, wie zum Beispiel auf eine gefälschte Webseite der Betrüger. Klicken Sie daher nicht auf Links in E-Mails, sondern kopieren Sie diese in Ihre Browser-Adresszeile.

Um Surfer besser vor Phishing-Angriffen zu schützen, wurden inzwischen verschiedenste technische Hilfsmittel entwickelt. Dazu zählen zum Beispiel in E-Mail-Programme integrierte Spam-Filter, die Phishing-E-Mails erkennen. Und auch viele Internet-Sicherheitspakete und Antiviren-Programme bieten Schutz vor Phishing. Die wichtigste Schutzmaßnahme ist jedoch „Achtsamkeit“! Siehe auch: Was ist Phishing? Und wie kann ich mich davor schützen?

Phishing mit Schadsoftware

Viele Schadprogramme verbreiten sich per Phishing-Mails. Dazu senden Betrüger zum Beispiel eine einfache E-Mail mit Anhang. Der Anhang wird von arglosen Empfängern geöffnet und installiert die Schadsoftware automatisch.

Phishing über Instant Messaging oder Soziale Netzwerke

Neben E-Mail zählt für Betrüger das Instant Messaging zu den beliebtesten Phishing-Werkzeugen. Im Normalfall kann man den Angriff schnell erkennen, da Ihnen beispielsweise ein Link zu einer präparierten Webseite von einem unbekannten Kontakt zugeschickt wird.

Ähnlich wie beim Instant Messaging funktioniert ein Phishing-Angriff mit Hilfe von gekaperten Profilen in sozialen Netzwerken. Gelingt es einem Betrüger, die Kontrolle über ein Profil in einem sozialen Netzwerk zu übernehmen, so kann er im Namen des eigentlichen Profil-Eigentümers den Link zu seiner gefälschten Webseite an alle im Profil hinterlegten Freunde verschicken. Die Nachricht des Betrügers wirkt für die Empfänger vertrauenswürdig, da sie annehmen, dass der Absender ein Freund ist. Auch Links von Freunden sollten Sie daher kritisch untersuchen.

Pharming - Das modernere Phishing

Beim Pharming erfolgt die Manipulation des Computersystems. Betroffen ist entweder das System des potentiellen Opfers oder der sogenannte DNS-Server. Nachfolgend wird beides erklärt.

Manipulation des Computersystems des potentiellen Opfers

Das System des Internetnutzers wird manipuliert, indem ein Schadprogramm (Trojaner oder Spyware) eingeschleust wird. Das schädliche Programm kann dabei auf die unterschiedlichste Art und Weise in das Computersystem gelangen: Durch das Öffnen von infizierten E-Mail-Anhängen, durch das unbedachte Herunterladen von Software oder aufgrund infizierter Skriptdateien auf einer Webseite. Sitzt das Schadprogramm im System, beginnt es zu arbeiten. Dabei gibt es drei Möglichkeiten:
  • Das Programm schreibt mit, wenn der Internetnutzer seine persönlichen Daten eingibt und sendet sie unbemerkt an den Täter. Die so erlangte TAN nützt dem Täter allerdings nichts, da sie ja ebenfalls an den Server der Bank gesendet wurde und damit nach ihrer Verwendung ungültig ist. Insofern sind weitere Manipulationen notwendig, so z. B. die Umleitung der eingegebenen TAN oder das Senden einer scheinbaren Fehlermeldung, die die Eingabe einer weiteren TAN erfordere.

  • Das Programm öffnet beim Aufruf der Originalseite ein Fenster, das in Wirklichkeit aber gar nichts mit der Seite der Bank zu tun hat. Grafisch an die Originalseite angepasst, wird der Nutzer aufgefordert, z. B. aus Sicherheitsgründen Zugangsdaten und (mehrere) TANs einzugeben. Die eingegebenen Daten werden umgehend an den Täter gesendet.

  • Das Schadprogramm setzt sich in die Host-Datei des Systems. In der Adresszeile bleibt dann die korrekte Internetadresse stehen, der Nutzer wird aber auf die gefälschte Internetseite geführt. Das funktioniert folgendermaßen: Gibt der Nutzer eine Internetadresse ein, schaut der Browser zunächst in der Host-Datei nach, ob Internetadresse und zugehörige IP-Adresse bereits von einem vorherigen Besuch abgespeichert sind. Das Schadprogramm beeinflusst diese Nachfrage dann in der Weise, dass anstatt der richtigen IP diejenige aufgerufen wird, die zur gefälschten Internetseite gehört.

Manipulation des DNS-Servers (DNS-Spoofing)

Eine andere Vorgehensweise ist die Manipulation am DNS-Server. Um eine Internetseite aufzurufen ist es erforderlich, dass die aus Buchstaben bestehende Internetadresse in eine Zahlenfolge umgewandelt wird, IP-Adresse genannt. Diese Aufgabe übernehmen zentrale Großrechner: die DNS-Server.

Die DNS Funktionsweise

Gelangt ein Trojaner auf einen solchen DNS-Server oder wird die DNS-Konfiguration Ihres Computers manipuliert, ist es möglich dem Domainnamen andere IP-Adressen zuzuordnen. So wird der anfragende Internetnutzer auf eine gefälschte Seite umgeleitet – obwohl er bei der Eingabe im Browser vorsichtig war. Im Jahr 2011 haben Cyberkriminelle so die DNS-Anfragen tausender infizierter Rechner abgefangen und auf andere IP-Adressen umgeleitet. Dort griffen die Hintermänner unter anderem Kreditkartendaten ab. Auch wurden bereits Fälle bekannt in denen manipulierte DNS-Server Antivirenprogramme daran hinderten, notwendige Viren-Updates zu laden.

Vorsicht: Leider werden die „Datenfischer“ immer trickreicher. Die fortschreitende Technik hilft ihnen dabei. Der Einsatz von Schadprogrammen bewirkt, dass der Internetnutzer noch schlechter erkennt, ob er auf einer Originalseite oder auf einer gefälschten Internetseite ist. Denn es wird an der IP-Adresse angesetzt und nicht an der sichtbaren Domain-Adresse. Auch die Gestaltung der Originalseite lässt sich mit speziellen Programmen nachbilden oder die Täter übernehmen Originalteile durch Inlinelinks. Auch die Überprüfung der Sicherheitsmerkmale (SSL, Vorhängeschloss, Zertifikat) bringt keine absolute Gewissheit, denn die Täter können aktive Inhalte täuschend echt nachbilden.

Login-Daten nur über verschlüsselte https-Verbindungen (SSL) übertragen

Das stärkste Passwort bringt nichts, wenn es über eine unverschlüsselte Verbindung (quasi im Klartext) übertragen wird. Achten Sie auf das geschlossene Sicherheitsschloss (HTTPS) in der Adresszeile des Browsers, bei der Eingabe von Passwörtern. SSL erlaubt eine authentisierte, vertrauliche Kommunikation durch Erweiterung des TCP/IP-Protokolls. Unabhängig von der Anwendung werden dabei alle Nachrichten pauschal verschlüsselt. Zu erkennen ist dies an dem Namen des jeweiligen Web-Links, der mit https:// beginnt.

SSL Zertifikat von bleib-virenfrei.de

Sehr nützlich ist die Browser-Erweiterung HTTPS Everywhere (Chrome, Firefox, Opera). Die Erweiterung sorgt dafür das Internetseiten die HTTPS anbieten auch darüber aufgerufen werden. Auch kann man sämtlichen HTTP-Traffic komplett sperren, so das Internetseiten, die kein HTTPS anbieten gar nicht mehr aufgerufen werden können.

HTTPS Everywhere

Jeder Anbieter einer verschlüsselten Übertragung benötigt ein Zertifikat. In diesem bestätigt eine vertrauenswürdige Zertifizierungsinstanz, dass hinter der Internetseite der Seitenbetreiber steht, der z. B. aus dem Impressum als Verantwortlicher hervorgeht. Wenn Sie sehr sensible Daten angeben, sollten Sie das Zertifikat überprüfen, also insbesondere wenn Sie Zahlungen oder Zahlungsanweisungen online vornehmen. Zur Überprüfung des Zertifikats klicken Sie auf das geschlossene Vorhängeschloss. Es erscheint die Zertifizierungsstelle (z. B. VeriSign) und derjenige, für den das Zertifikat erstellt wurde. Achten Sie darauf, dass diese Angabe („ausgestellt für“) mit der eingegebenen Internetadresse (URL) übereinstimmt.

Sicherheit beim Online-Banking

Für viele ist Online-Banking (bzw. Home-Banking) eine praktische Alternative gegenüber dem Gang zum Bankschalter. Millionen Menschen in Deutschland nutzen Online-Banking. Jährlich werden so mehrere Milliarden transferiert. Hier eine Überweisung, da die letzte Amazon-Rechnung begleichen... Unabhängig von Standort und Öffnungszeiten kann sich der Kunde jederzeit über eine Webseite oder mittels einer Spezialsoftware über das Internet in sein Konto einloggen und dort Kontodaten einsehen und Transaktionen (z. B. Überweisungen) vornehmen. Schnell und unkompliziert. Doch wie sicher sind Bankgeschäfte und wie kann man mehr für seine Sicherheit tun?
Wichtige Sicherheits-Tipps
  • Vergewissen Sie sich, dass Sie sich tatsächlich auf der Internetseite Ihres Bankinstituts befinden. Die Web-Adresse für das Online-Banking am besten mit der Hand in die Adresszeile eingeben.
  • Achten Sie auf Unterschiede bei der Anmeldung.
  • Computernutzer erhalten sehr oft täuschend echt aussehende E-Mails, scheinbar von ihren Bankinstituten versendet. Aufgrund technischer Umstellungen oder sonstigen Gründen werden sie darin aufgefordert, ihre geheimen Zugangsdaten fürs Online-Banking bekannt zu geben. Keine Institution versendet oder erfragt wichtige, persönliche Informationen per E-Mail, sondern erledigt das immer mit der Post oder persönlich.
  • Werden Daten im Internet übermittelt, können sie abgefangen, eingesehen und verändert werden. Es sei denn, dass der Übertragungsweg verschlüsselt wird. Aus diesem Grund sollten vertrauliche Informationen (insbesondere persönliche Daten, Bankverbindungen, Geheimzahlen u. ä.) nicht, bzw. nur unter Beachtung von Verschlüsselungstechniken, im Internet übermittelt werden. Für Online-Geschäfte stellt eine Bank immer eine verschlüsselte Verbindung zur Verfügung. Eine sichere Übertragung wird durch die SSL-Verschlüsselung gewährleistet. Die Weiterentwicklung nennt sich TLS. SSL ermöglicht es, den kontinuierlichen Datenstrom zwischen dem Server und dem Browser eines Internetnutzers zu verschlüsseln - die Verbindung sozusagen "abhörsicher" zu machen. Sie erkennen eine verschlüsselte SSL-Verbindung an dem angehängten "s" am "http" im Adressfeld Ihres Browsers (also "https://" anstatt "http://"). Zudem erscheint (je nach Browser) oben oder unten rechts im Bild ein geschlossenes Vorhängeschloss. Sind diese beiden Merkmale erfüllt, handelt es sich um eine sichere Verbindung.
  • Verwenden Sie ein sicheres Passwort für Ihr Online-Banking.
  • Erlauben Sie den Browser keinesfalls, Ihre Online-Banking Zugangsdaten zu speichern. Einige Virenscanner verfügen über einen speziellen Banking-Browser (z.B. Bitdefender), für sorgenfreies Online-Banking.
  • Setzen Sie das Überweisungslimit möglichst niedrig an, um den Schaden im Falle eines Datenmissbrauchs zu minimieren.
  • Wenn Sie Ihre Bankgeschäfte abgeschlossen haben, melden Sie dich ordnungsgemäß ab.
  • Vermeiden Sie Online-Banking an öffentlich zugänglichen Computern oder in WLAN-Hotspots.
  • Wenn Ihnen beim Online-Banking irgendetwas verdächtig vorkommt, kontaktieren Sie umgehend Ihre Bank.
  • Kontrollieren Sie regelmäßig Ihre Kontoauszüge. Wurde eine Abbuchung vorgenommen, die Sie nicht veranlasst haben, kontaktieren Sie umgehend Ihre Bank!
  • Erstatten Sie Strafanzeige, wenn Sie Opfer von Datenklau geworden sind. Auch wenn Sie das Geld von der Bank zurückerstattet bekommen liegt ein Betrug vor, der strafbar ist.
Siehe auch: Sicherheit beim Online-Banking – Tipps und Hinweise

Bankgeschäfte per Live-CD durchführen

Live CD Jeder Angriff durch einen Banking-Trojaner setzt voraus, dass der Räuber einen Schädling auf dem Computersystem des Opfers installieren kann. Damit das nicht passieren kann, sollten Sie für Banking-Transaktionen ein Linux basierendes Live-System nutzen. Live-System bedeutet, dass das Betriebssystem nicht auf dem Computer installiert wird, sondern von einer CD gestartet wird. Dabei werden die notwendigsten Daten und Informationen in den RAM geladen. Wird das System beendet, werden keine Veränderungen gespeichert. Dadurch kann sich kein Virus in das System einnisten, und ein Virenangriff ist nur sehr schwer möglich.

Es gibt sehr viele Linux Derivate, die derzeit so genannte "Live Systeme" anbieten. Die bekanntesten Live-CD-Systeme listen wir hier auf:
  • Bankix
  • Knoppix Live-CD
  • Ubuntu Desktop-CD
Von einer Live-CD starten
  1. Um Ihren Computer von einer CD zu starten, müssen Sie zuerst die Bootreihenfolge im BIOS ändern. Das BIOS erreichen Sie, indem Sie beim Computerstart eine bestimmte Taste drücken. Welche das ist, wird Ihnen meistens beim Start angezeigt. Sehr oft ist es eine der folgenden Tasten: Entf, F2, F8 oder F10.
  2. Sobald Sie sich in den BIOS-Einstellungen befinden, navigieren Sie zum Menüpunkt Boot.
  3. Legen Sie unter dem Punkt Boot Device Priority fest, dass das CD-Laufwerk vor der Festplatte (Hard Drive) gestartet wird.
  4. Drücken Sie anschließend die Esc-Taste und bestätigen die geänderten Einstellungen mit Enter.
  5. Ihr Computer startet anschließend neu. Befindet sich eine CD im CD-Laufwerk, startet der Rechner von dieser. Befindet sich keine CD im Laufwerk, startet der Rechner von der Festplatte (Windows).

Welches TAN-Verfahren?

Die SMS-TAN erfreut sich derzeit der größten Beliebtheit. Das Vertrauen in die SMS-TAN hat jedoch in den letzten Monaten stark gelitten. Wer auf Nummer sichergehen möchte, sollte das Chip-TAN-Verfahren nutzen. Es ist sogar sicher, wenn der Computer infiziert wurde – sofern der Banking-Kunde die Transaktionsdaten prüft.

TAN-VerfahrenSicherheit
i-TANUnsicher
m-TANRelativ sicher
Push-TANHohe Sicherheit
App-TANHohe Sicherheit
Chip-TANHohe Sicherheit
Photo-TANHohe Sicherheit

TAN-Verfahren bei deutschen Banken

BankTAN-Verfahren (Computer)TAN-Verfahren (mobile Banking)
1822direkt1822TAN+, QRTAN+, mTAN1822TAN+
comdirectmTAN, photoTANmTAN, photoTAN
Commerz­bankmTAN, photoTANmTAN, photoTAN
Consors­bankSecurePlus-AppSecurePlus-App
DKBTAN2go, chipTANTAN2go, chipTAN
Hypo-VereinsbankmTAN, appTAN, photoTANappTAN
ING-DiBamTAN, Banking to go App, TAN-GeneratormTAN, Banking to go App, TAN-Generator
NetbankmTANSecureApp, mTAN
norisbankmTAN, photoTANphotoTAN
PostbankBestSign, chipTAN comfortmobile Postbank BestSign mobil
PSD BankmTAN, SmartTAN+ GeneratorSecureGo App
Santander BankSantander­Sign (TouchID / FaceID), mobileTANSantander­Sign (TouchID / FaceID), mobileTAN
Sparda-BankenchipTAN, sparda­SecureApp, mTANSparda­SecureApp
SparkassechipTAN, mTAN, pushTANchipTAN, mTAN, pushTAN
TargoBankmTAN, pushTAN, photoTANmTAN, pushTAN, photoTAN
Volks-/Raiffeisen­bankenSmartTAN plus, SmartTAn photo, mTAN, pushTANSmartTAN plus, SmartTAn photo, mTAN, pushTAN
WüstenrotmTANSecureGo App
Stand: April 2020

Wer haftet für einen finanziellen Schaden – Bank oder Kontoinhaber

Grundsätzlich muss Ihnen die Bank den Betrag wieder gutschreiben, wenn Sie die Abbuchung nicht veranlasst haben. Allerdings kann die Bank den Anspruch kürzen, wenn der Kunde die "personalisierten Sicherheitsmerkmale" (also PIN und TAN) nicht sicher aufbewahrt hat. Handelte der Kunde dabei fahrlässig, haftet er maximal bis zu einer Höhe von 150 Euro. Kann ihm dagegen ein "grob fahrlässiges Verhalten" nachgewiesen werden, muss er unter Umständen voll haften.

(Grob) fahrlässig ist es z. B., seine PIN im Computer zu speichern oder seine TAN-Liste im Schreibtisch aufzubewahren. Hier können Dritte (z. B. Familienangehörige, Arbeitskollegen) mühelos die Daten benutzen und Überweisungen tätigen. Schwieriger ist es, dem Kunden einen nachlässigen Umgang mit den Daten vorzuwerfen, wenn er Opfer einer Phishing-, oder Pharming-Attacke geworden ist. Denn heutzutage können eingeschleuste Trojaner die Daten auf dem Computer ausspähen, ohne dass man die Manipulation bemerkt. Es kommt dann darauf an, ob man genügend Sicherheitsvorkehrungen getroffen hat, um dieses Risiko des Datenklaus zu minimieren. Bisher haben Gerichte zu diesem Thema entschieden, dass die Bank das Risiko trägt, wenn der Kunde ein aktuelles Betriebssystem und ein aktuelles Virenprogramm installiert hat. Beachten Sie aber, dass es sich hierbei um Einzelfallentscheidungen und nicht um eine gesicherte Rechtsprechung handelt.

Am besten per Rechnung zahlen

Werden Waren über das Internet bestellt, Dateien (z. B. Musik, Zeitungsartikel) gegen Zahlung eines Entgelts heruntergeladen oder eine kostenpflichtige Internetmitgliedschaft begründet, wollen beide Vertragspartner ein effektives und sicheres Zahlungsmodell benutzen. Denn aufgrund der Anonymität des Internets besteht für beide Vertragspartner die Gefahr, dass der andere nicht liefert bzw. nicht bezahlt. An erster Stelle steht die Frage, ob der Onlinehändler auf Vorkasse besteht oder aber Zahlung nach Eingang der Ware vereinbart wurde, sei es per Nachnahme, sei es auf Rechnung.

Die Zahlweise selbst kann auch unterschiedlich aussehen: Oft hat der Kunde die Wahl, ob er die Bezahlung auf herkömmlichem Weg vornimmt (z. B. Überweisung bei der Hausbank, Zahlung per Nachnahme), das Internet als Übertragungsmedium benutzt (Online-Überweisung, Zahlung per Kreditkarte oder Lastschriftverfahren). Grundsätzlich sollten Sie mit größeren Beträgen nicht in Vorleistung gehen. Am sichersten ist die Zahlung per Rechnung. So können Sie die bestellte Ware in Ruhe überprüfen, bei Nichtgefallen gegebenenfalls widerrufen.

Router und W-LAN Sicherheit

Wireless Icon Es ist sicherlich nicht übertrieben, wenn man sagt, dass WLAN die Art und Weise, wie wir das Internet nutzen, revolutioniert hat. Es handelt sich um eine algegenwärtige Technologie, die es uns erlaubt, uns kabellos per Telefon, Tablet oder Notebook mit dem Internet zu verbinden, ganz egal wo wir uns gerade befinden. Doch wie heiß es so schön: Mobilität hat ihren Preis. Und damit meinen wir nicht die Anschaffunskosten für den WLAN-fähigen Router oder die WLAN Karte, sondern das Sorgen für Sicherheit. Wer heute einen DSL-Vertrag abschließt, bekommt in der Regel ein Kombigerät mit DSL-Modem und WLAN-Router, um sofort loslegen zu können. Mit Sicherheit war das Einrichten eines WLAN-Netzwerks noch nie so einfach wie heute. Doch die wenigsten Kunden wissen, welchen Risiken Sie gegenüberstehen. Mit den Standardeinstellungen des Gerätes öffnet man jedem potenziellen Angreifer die Haustür. Bevor man Sich in das kabellose Internetvergnügen stürzt, sollte man einige Sicherheitsvorkehrungen treffen:
  1. Admin-Passwort und Benutzer-Passwort ändern
    Das allererste was nach einem Kauf eines Routers getätigt werden muss, ist das Ändern des Admin-Passworts! Die Voreinstellung des Herstellers ist auf keinen Fall zu benutzen. Die voreingestellten Passwörter sind erstens viel zu schwach (wenn überhaupt vorhanden) und zweitens jedem Hacker bekannt. Für einen optimalen Schutz sollte das neue Passwort aus mindestens 20 Zeichen bestehen sowie Groß- und Kleinschreibung, Zahlen und Sonderzeichen beinhalten (siehe: Sichere Passwörter).

    Router Passwort ändern
    Router-Einstellungen

    Achtung! Einige Router verfügen neben dem Admin-Account noch zusätzlich über einen Benutzer-Account. Änderen Sie auch hier unbedingt das Passwort, verwenden Sie aber nicht dasselbe wie für den Admin-Account.

  2. Das WLAN ausreichend Verschlüsseln
    Die Funkwellen sollten Sie ausreichend schützen, mit einer entsprechenden WPA2 Verschlüsselung. WPA2 verwendet als Erweiterung des WPA-Standards den als sicher geltenden AES-Verschlüsselungsalgorithmus. Ältere Verschlüsselungsarten wie WEP oder WPA sind nicht mehr zu empfehlen - Hände weg davon! Das Passwort sollte die maximale Länge von 63 Zeichen besitzen, sowie Groß- und Kleinschreibung, Zahlen und Sonderzeichen beinhalten. Weitere Informationen über sichere Passwörter finden Sie hier.

  3. MAC Adressen Filter
    Viele Router bieten die Möglichkeit, nur bestimmte Geräte Zugriff auf das Netzwerk zu gestatten. Zur Identifikation der Geräte werden sogenannte MAC-Adressen herangezogen. Diese Adresse ist eine weltweit eindeutige Kennung jeder Netzwerkkarte. MAC-Adressen werden allerdings unverschlüsselt übertragen, können daher abgefangen und manipuliert werden. Daher sollte man nicht allein auf diesen Filter setzen. In Verbindung mit einem starken WLAN Passwort ist der MAC Adressen Filter (Menüpunkt: Zugriffslisten konfigurieren) eine gute Kombination gegen Hacker.

    Tipp: Für eine einfache Einrichtung, sorgen Sie dafür, dass alle Geräte mit dem Netzwerk verbunden sind, die in die Liste aufgenommen werden sollen. So sperren Sie kein Gerät aus und müssen sich nicht auf die Suche nach den MAC-Adressen machen.

    MAC Adresse Eingabeaufforderung
    Eingabeaufforderung

    Die MAC-Adresse lässt sich bei Laptops oft auf der Rückseite mit einem entsprechenden Aufkleber finden. Ist dieser nicht mehr lesbar oder verwenden Sie einen Desktop Rechner, können Sie die MAC-Adresse auch im Betriebssystem ausfindig machen. Unter Windows gehen Sie folgendermaßen vor: Rufen Sie das Start-Menü auf und geben Sie in das Suchfeld cmd ein und klicken Sie Enter. Es öffnet sich ein Fenster mit der sogenannten Eingabeaufforderung. Geben Sie dort den folgenden Befehl ein: ipconfig/all und bestätigen Sie die Eingabe mit Enter. Die zwölf-stellige Physikalische Adresse (MAC-Adresse) des WLAN-Adapters wird angezeigt.

    Unter Mac OS X gehen Sie folgendermaßen vor: Gehe Sie in die Systemeinstellungen und klicke Sie auf Netzwerk. Unter Weitere Optionen klicken Sie auf den Reiter Ethernet. Dort finden Sie die "Ethernet-ID" welche die gesuchte MAC-Adresse ist.

    Beim iPhone gehen Sie folgendermaßen vor: Gehen Sie in die Einstellungen und tippen auf Allgemein -> Info. Suchen Sie hier die Bezeichnung "WLAN-Adresse", welche die gesuchte MAC-Adresse ist.

    Übrigens: Einige Router protokollieren, welches Gerät wann und mit welcher MAC-Adresse im Netzwerk angemeldet war. Ein solches Protokoll kann zwar keinen Missbrauch verhindern, ist aber ein hervorragendes Kontrollinstrument.

  4. WLAN Reichweite verringern
    Positionieren Sie den WLAN-Router so, dass Sie in Ihrer kompletten Wohnung oder in Ihrem Haus guten Empfang haben, aber nicht so, dass der Router ungehindert in die Nachbarschaft ausstrahlt. Einige Geräte bieten die Möglichkeit die Sendeleistung zu verringern.

  5. WPS und UPnP deaktivieren
    Viele LAN-Geräte sind standardmäßig mit der Verbindungstechnik WPS ausgestattet. Im Prinzip ist WPS eine nützliche Sache: Geräte (Handys, Laptops, Tablets) müssen nicht mehr umständlich ins WLAN gebracht werden – man drückt z.b. einfach einen Knopf am Router und einem am Gerät, und schon ist man im WLAN. Ohne nervige Eingabe des WLAN Passwortes. Leider weisen viele Router gravierende WPS-Sicherheitslücken auf. Aus diesem Grund sollten Sie die WPS-Technik unbedingt deaktivieren.

    Auch sollten Sie das Protokoll UPnP deaktivieren. UPnP ist eine Router-Funktion, mit der man das Gerät anweisen kann, bestimmte Einstellungen so zu ändern, dass bestimmte Programme störungsfrei funktionieren, beispielsweise Messenger oder Tauschbörsen. Leider sind viele Router von außen per UPnP angreifbar.

  6. Deaktivierung der Fernkonfiguration
    Als letztes sollten Sie unbedingt darauf achten, soweit vorhanden, dass keine Fernkonfiguration des Routers möglich ist. Ansonsten könnten Hacker Ihre Router-Einstellungen über das Internet manipulieren.

  7. Unbenötigten WLAN-Zugang deaktivieren
    Wenn der WLAN-Zugang nicht benötigt wird, sollten Sie diesen deaktivieren (zum Beispiel Nachts). Bei einigen Geräten lässt sich die WLAN Funktion Timer-gesteuert aktivieren. Wenn Sie einen WLAN-Router gekauft haben, jedoch nicht beabsichtigen, drahtlos ins Internet zu gehen, deaktivieren Sie die WLAN-Option dauerhaft.

W-LAN Hotspots

WLAN Hotspots sprießen seit einigen Jahren aus dem Boden. In Hotels, Restaurants, Filialen, überall sind sie zu finden. Wer viel unterwegs ist, hat sich sicherlich schon mal gefragt, wie sicher das Surfen über den offenen Draht ist? Sobald man sich in ein fremdes Netz einwählt, ist man von jedem darin befindlichen Gerät aufspürbar. Da alle Daten unverschlüsselt ins Netz gehen, können Hacker, die womöglich ebenfalls im Hotspot angemeldet sind, alle Daten mitlesen. Sensible Daten sollten niemals über öffentlich zugängliche Hotspots versendet werden. Völlig abzuraten ist von Online-Überweisungen über öffentliche Hotspots!

VPN - Virtual Private Network

Einige Anbieter bieten sogenannte VPN-Zugänge an. Bei einem VPN (Virtual Private Network) nutzen Sie für Ihre Kommunikation einen sicheren Tunnel. Durch Verschlüsselungstechnologien wird gewährleistet, dass die Daten geheim bleiben. Andere W-LAN-Nutzer bekommen keinen Einblick in die Verbindung. Die eingesetzten Schlüssel sind nur den beteiligten Computern bekannt. Für Geschäftspartner können Firmen den Zugriff auf bestimmte Server oder Dienste beschränken – etwa für gemeinsame Projekte.

Ein VPN ist nicht besonders teuer: VPN-Anbieter berechnen für die Verbindung zwischen Computer und Schutzserver monatlich etwa 10-20 Euro.

Für die individuelle VPN-Lösung ist viel IT-Fachwissen erforderlich.

Vorgehen bei Virenbefall

Wer die Aktivitäten seines Systems aufmerksam beobachtet, kann eine Virusinfektion eventuell ohne weitere Hilfsmittel erkennen. Das gelingt vor allem dann, wenn sich der Virus auffällig präsentiert, z.B. in Form von Nachrichten oder Grafiken, oder Dateien hinsichtlich Dateigröße oder Speicherdatum plötzlich große Veränderungen aufweisen. Die wichtigste Methode, einen Schädling zu entdecken, ist der Einsatz eines aktuellen Antivirenprogramms. Beim Verdacht einer Vireninfektion gilt vor allem: Keine Panik!
Wichtig
Der einzig sichere Weg - bei Virenbefall - ist die vollständige Löschung des Systems bzw. das Aufspielen eines BackUps! Wenn ein System infiziert wurde, ist das System nicht mehr vertrauenswürdig. Alle Daten könnten manipuliert sein.
Rettungs-CDs bei Virenbefall:
  • Bitdefender Rescue CD (www.bitdefender.de)
  • Avira AntiVir Rescue System (www.avira.com)
  • AVG Rescue CD (www.avg.com)
  • F-Secure Rescue CD (www.f-secure.com)
  • Kaspersky Rescue Disk (www.kaspersky.com)
  • Panda SafeCD (www.pandasecurity.com)

Schlusswort

Wir alle, die das Internet nutzen, sind Teil dieses Netzwerkes und haben somit auch eine gewisse Verantwortung dem Anderen gegenüber. Wenn jemand der Meinung ist, es wäre nicht nötig, ein Betriebssystem auf dem neuesten Stand zu halten und die Windows-Update Taste nicht einmal kennt, der handelt grob fahrlässig. Genauso wie diejenigen, die es nicht für nötig halten, einen Virenscanner zu installieren oder denken, sie erkennen Viren und Würmer auf Grund ihrer Erfahrung schon rechtzeitig selbst. Leute, euch sei gesagt: Ihr seid für die rasante Massenverbreitung von Schädlingen, das Wachstum von Botnetzen usw. mitverantwortlich!

Einzelnachweise

  1. eco.de: botfrei.de Jahresstatistik 2015.