LernCafe 15 vom 15. Februar 2002: "Sicherheit"
Online-Journal zur allgemeinen Weiterbildung
http://www.lerncafe.de
Sicherheit im Internet
(Druckversion)
Krzysztof Janowicz
E-Mail: janowicz@basic.conactive.com
Einführung
Was ist überhaupt unter dem Schlagwort Sicherheit im Internet zu verstehen? Aus
diesem Artikel erfahren Sie über sowohl die verschiedenen Akteure als auch
einige konkrete Gefahren. Anschließend werden einige einfach umzusetzende
Sicherheitstipps vorgestellt.
Beispiele
Um so höher der Schutz ist den Sie benötigen, desto höher sind auch die damit
verbundenen Kosten. Damit sind zwar auch die finanziellen Faktoren gemeint, vor
allem aber der Komfortverlust den Sie zwangsläufig durch Sicherheitsmaßnahmen
erfahren. Folgendes Beispiel soll dies belegen: Angenommen, Sie möchten Ihren
Computer vor Zugriffen durch Dritte effektiv schützen und legen dabei ganz
besonderen Wert auf Passwörter, die den Zugang auf den Kreis der Personen
beschränken, die diese auch kennen. Somit müssten Sie, um Ihren Computer
wirklich gründlich abzusichern, vier verschiedene Kennwörter eingeben. Das
erste, das sogenannte BIOS-Passwort, wird schon beim Start des PCs abgefragt,
darauf folgt das jenige für das eigentliche Betriebsystem (z.B.: Windows) und
jeweils ein weiteres für die Verbindung ins Internet (also die Einwahl) und das
Abrufen/Schreiben von E-Mails. Zusätzlich zu diesen vier Passwörtern könnten
Sie auch noch jedes Ihrer persönlichen Dokumente (z.B.: Briefe) vor
Veränderung durch Dritte schützen, indem Sie diesen ebenfalls ein Kennwort
zuweisen.
Sicherheit?!
Immer häufiger ließt und hört man von den Gefahren aus dem Internet, doch viel zu selten macht man sich dabei bewusst, welchen Risiken man sich tatsächlich aussetzt und welche Gefahren eher in das Reich der Märchen zu verbannen sind. Bevor wir uns jedoch mit dieser Problematik beschäftigen, müssen wir uns erst einmal über zwei grundsätzliche Aspekte der Computersicherheit bewusst werden. Zunächst sei erwähnt, dass es so etwas wie einhundertprozentige Sicherheit nicht gibt, denn dies würde auch absoluten Stillstand bedeuten. Nur wenn Sie sich nicht mit dem Internet verbinden, keine Disketten oder CDs installieren und auch sonst keine Daten austauschen können sie reinen Gewissens sagen, dass Ihnen keine Gefahr droht. Dieser Gedanke leitet uns auch zum zweiten Aspekt über, nämlich der Tatsache, dass Sicherheit nicht bequem ist. Diese Aussage, auch wenn Sie auf den ersten Blick trivial klingen mag, ist eine der Schlüsselideen bei jeglicher Art von Risikoabschätzung.
Abwägungen
Wie Sie an diesem einfachen Beispiel sehen können wird die Anzahl an
Passwörtern die Sie sich merken müssen rasch groß und der Komfort bei der
Bedienung sinkt immer weiter ab. Dadurch kommt man schnell zu der Frage: Brauche
ich das überhaupt? Wie viel ist mir meine Computersicherheit überhaupt Wert?
Diese und ähnliche Fragen sollten Sie sich vor der Umsetzung von
Sicherheitskonzepten immer zuerst stellen. Damit soll keinesfalls gesagt werden,
dass Passwörter nicht wichtig wären und man auf diese verzichten sollte. Es
gilt jedoch stets abzuwägen welche Maßnahmen für einen selber zwingend und
welche eher optional sind.
Angreifer
Ganz grob lassen sich die potentiellen Angreifer, in zwei Gruppen aufteilen. Den
eher kleineren, aber nichts desto trotz sehr gefährlichen Teil machen die
belebten Akteure wie beispielsweise die "Cracker" aus. Dabei handelt
es sich um Personen, die versuchen, in fremde Computersysteme einzudringen und
dort entweder Schaden anrichten oder in den Besitz von Passwörtern gelangen
möchten. Dazu suchen die Angreifer nach Schwachstellen in Ihrem Betriebsystem
(und davon gibt es in Windows mehr als genug) und nutzen diese, um unbemerkt
spezielle Crackersoftware zu installieren. Findet ein Angreifer solche
Schwachstellen nicht auf Anhieb, so kann er Ihnen die Software auch als
vermeintlich harmlosen Bildschirmschoner per E-Mail schicken. Mittels dieser
Software ist der Angreifer anschließend in der Lage, Ihren Computer
fernzusteuern, ohne dass Sie dies überhaupt bemerken würden. Dadurch kann er
z.B. Ihre Dokumente manipulieren oder sogar Ihre gesamte Festplatte löschen.
Angriffziele
Oftmals hört man von Personen, die sich bisher nur wenig mit der
Sicherheitsthematik befasst haben, dass man selber doch nicht zur Zielgruppe der
Cracker gehören würde und daher vor diesen sicher wäre. Auch wenn eine solche
Aussage vor einigen Jahren noch durchaus richtig war, so gilt sie inzwischen
nicht mehr. Im Regelfall suchen sich die Angreifer kein Ziel aus, sondern
stoßen eher zufällig darauf. Dazu bedienen Sie sich wiederum spezieller
Angriffsprogramme, die das Internet permanent nach gerade verbundenen Computern
absuchen und diese auf Schwachstellen prüfen. Ziel von Angriffen ist stets
derjenige, der nicht ausreichend geschützt ist. Bei der unglaublich hohen
Anzahl an mit dem Internet verbunden Computern hat es ein Cracker gar nicht
nötig, sich auf ein bestimmtes, womöglich schwer zu erbeutendes Ziel
festzulegen, wenn er doch stets auch genug schlecht geschützte Systeme
vorfindet. Oberstes Gebot ist es daher kein einfaches Ziel darzustellen und so
"wenig schmackhaft" zu erscheinen.
Viren
Die zweite Gruppe der Angreifer stellen die "Viren" und
"Würmer" dar. Diese sind zwar auch einstmals von einem Menschen
erschaffen worden, verbreiten sich aber anschließend automatisch von Computer
zu Computer oder Dokument zu Dokument weiter. Die Viren lassen sich von den
Würmern vor allem dadurch abgrenzen, dass sie sich von einer Datei zur
nächsten verbreiten und auf die Interaktion mit dem Benutzer angewiesen sind.
Ein Virus der beispielsweise Microsoft Word Dokumente befällt verbreitet sich
zwar auf jedes geöffnete Dokument weiter, verbleibt aber auf dem gleichen
Computersystem. Um einen weiteren Computer zu infizieren, muss der Benutzer ein
bereits infiziertes Dokument per Diskette oder E-Mail an einen Bekannten
weitergebeben haben. Dieser Gesichtspunkt schränkt zumindest die
Verbreitungsgeschwindigkeit von Viren massiv ein.
Würmer
Ganz anders dagegen verhält es sich mit den "Würmern". Diese
befallen keine einzelnen Dokumente, sondern stets das gesamte Computersystem und
benötigen nach der einmaligen Aktivierung keine Interaktion mehr mit dem
Benutzer um sich auf andere Computer auszubreiten. Diese Würmer kommen häufig
in E-Mail Anhängen getarnt auf das System und werden aktiviert wenn der
Benutzer die angefügte Datei ausführt. Anschließend versendet sich der Wurm
automatisch an alle im Adressbuch des Opfers enthaltenen Kontaktpersonen weiter.
Sowohl bei Viren als auch bei Würmern reichen die angerichteten Schäden von
reiner Belästigung bis hin zum Ausspionieren von Kontodaten, Passwörtern oder
dem Versenden persönlicher Dokumente an beliebige Dritte.
Lösungen
Wie bereits diskutiert ist Sicherheit immer auch eine Kosten/Nutzen -Rechnung.
Deshalb sollen in folgendem in aller Kürze einfache Tipps vorgestellt werden,
mittels derer bereits ein höheres Maß an Sicherheit gewährleistet werden
kann.
Die Computerwelt besteht zur Zeit vorwiegend aus
einer Monokultur von Produkten der Firma Microsoft. Das reicht vom Betriebsystem
bis hin zum Office-Paket und dem Browser zum Surfen im Internet. Für die
Programmierer von Viren & Würmern ist es daher besonders einfach, mit einer
einzigen Sicherheitslücke eine möglichst große Anzahl an Opfern zu treffen.
Daher sind beispielsweise nahezu alle Würmer darauf ausgelegt, die beiden
Microsoft E-Mail Programme Outlook und Outlook Express zu treffen. Bereits der
bloße Verzicht auf den Einsatz dieser Programme schützt Sie als Anwender vor
den meisten dieser Schädlinge. Dies gilt ebenso für den Browser Internet
Explorer von Microsoft. Zwar besitzen auch Programme anderer Hersteller viele
teilweise kritische Sicherheitslücken, dennoch gilt Ihr Einsatz (schon wegen
der geringeren Verbreitung) als weniger bedenklich.
Alternativen
Ein gutes Beispiel ist der Browser von Opera. Er ist ebenso wie der Internet
Explorer kostenlos und lässt sich auch in deutscher Sprache aus dem Internet
herunterladen (siehe "Links"). Bisher sind bei diesem Produkt nur sehr
wenige und eher unkritische Sicherheitsprobleme bekannt. Da seine Verbreitung
zudem gering ist, würde es sich selbst bei einer gröberen Sicherheitslücke
für Angreifer kaum lohnen, einen speziell für diese Zielgruppe zugeschnittenen
Schädling zu entwerfen. Gleiches gilt für das E-Mail Programm Eudora, welches
ebenso kostenlos bezogen werden kann (siehe "Links"). Beide Produkte
sind auf den ersten Blick zwar etwas gewöhnungsbedürftig, eine einmalige
Einarbeitung lohnt sich jedoch allemal.
Links
Hier können Sie die obenerwähnte alternative Software kostenlos herunterladen:
Der Opera Browser http://www.opera.com
E-Mail Programm Eudora http://www.eudora.com/