Archives

gainbacktest

Sichere E-Mail

Warum muss ich mir überhaupt Gedanken über meine E-Mails machen?

E-Mail-Postfächer beinhalten neben der normalen Kommunikation auch jede Menge Kontaktdaten, Registrationsmails, Bestellbestätigungen und Passwort-Erinnerungsmails. Ist das Konto erst einmal gehackt, hat der Angreifer Zugriff auf all diese Informationen und kann im Namen des gehackten Accounts sein Unwesen treiben. Vielleicht will er den Inhaber des Kontos einfach nur ausspähen und seine E-Mails lesen. Vielleicht nutzt er aber auch den vertrauenswürdigen Absender, um Spam oder malware zu verschicken. Oder er geht mit Login- und Kreditkartendaten shoppen – auf Kosten des Eigentümers. Ein gehacktes Postfach kann also einen sehr unerwünschten Domino-Effekt auslösen.

Wie kann denn jemand in mein Konto eindringen?

Ein unsicheres Passwort und unsichere Sicherheitsfragen machen es Angreifern unnötig leicht, ins E-Mail-Konto einzudringen. Selbst Politiker sind davor nicht gefeit, wie der Hack in das Postfach von Sarah Palin zeigt (die zu diesem Zeitpunkt für die US-Vizepräsidentschaft kandidierte). Der Hacker brauchte nur ihr Geburtsdatum, ihre Postleitzahl und den Namen ihrer High School, um ans Ziel zu kommen. Selbst wenn Passwort und Sicherheitsfrage gut gewählt sind, besteht immer noch die Möglichkeit, dass die E-mails mitgelesen werden.

Was muss ich also tun, um mein Postfach optimal zu schützen?

Um das Konto abzusichern, ist ein sicheres Passwort zunächst einmal unerlässlich.
Genauso wichtig wie sichere Passwörter sind gute Sicherheitsfragen. Üblicherweise erhält man beim Beantworten der Sicherheitsfrage wieder Zugriff auf den E-Mail-Account, wenn man doch einmal sein Passwort vergessen hat. Gut möglich also, dass sich ein Hacker nicht mit dem Passwort abmüht, sondern über die Sicherheitsfrage Zugang zum Konto sucht. Deshalb sollte beim Einrichten der Sicherheitsfrage bedacht werden, dass man jede Menge privater Informationen über Facebook, Twitter und Co. mit der Welt teilt. Also bitte nicht nach dem Namen der Universität fragen, wenn diese Info im Facebook-Profil für alle sichtbar ist. Eine originelle Anleitung, um Sicherheitsfragen sicherer zu machen, gibt es hier.
Eine weitere Maßnahme kann Risikostreuung sein, indem man nicht alle Registrierungen in Online-Shops und Web-Diensten über die gleiche E-Mail-Adresse laufen lässt. Sollte doch einmal ein Account gehackt werden, verliert man wenigstens nicht gleich alle Zugänge auf einmal.

Und wie schütze ich mich vor ungebetenen Mitlesern?

Wer seine E-Mails abruft oder abschickt, sollte das stets über eine sichere Verbindung tun. Bei Webmail im Browser kann man einfach darauf achten, dass die Adresse mit einem “https://” statt “http://” beginnt – das zusätzliche “s” steht für “secure”.  Diese Verschlüsselung gilt allerdings nur für die Übertragung vom Browser zum Mail-Provider. Es kann durchaus sein, dass die E-Mail auf dem weiteren Weg zum Empfänger unverschlüsselt übertragen wird.
Zusätzlich zur sicheren Verbindung empfiehlt es sich deswegen, den eigentlichen Inhalt der Mail ebenfalls zu verschlüsseln. Das geschieht mithilfe von PGP (Pretty Good Privacy), einem Programm zur Verschlüsselung von E-mails. PGP nutzt Public Key Encryption, ein asymmetrisches Verschlüsselungssystem, bei dem es einen öffentlichen und einen privaten Schlüssel gibt, mit dem Daten kodiert und dekodiert werden. PGP sorgt dafür, dass der gesamte Text einer E-mail verschlüsselt wird. Wenn sie jemand abfängt, hat er nichts als Buchstabensalat. Eine deutschsprachige Anleitung, wie man E-mails im Mailprogramm mit PGP verschlüsselt, liefert netzpolitik.org. Die Autoren von lifehacker.com erklären auf englisch, wie man PGP für Webmailer wie Google Mail installiert. Der größte Nachteil der Verschlüsselung: Sie bringt nur dann etwas, wenn beide Kommunikationspartner sie nutzen können und wollen. Was allerdings nicht kodiert wird, sind die Metadaten: Schnüffler haben noch immer die Möglichkeit zu dokumentieren, welche Server zu welcher Zeit miteinander kommuniziert haben.

Ich nutze PGP und sichere Passwörter. Bin ich jetzt vor Überwachung sicher?

Klares nein. Wie bereits erwähnt, bringt E-Mail-Verschlüsselung nur etwas, wenn sie von allen Kommunikationspartnern verwendet wird. Darüber hinaus haben Neugierige immer noch die Möglichkeit, Daten beim Surfen oder Chatten abzufangen.

,,,,,,,

Warum muss ich mir überhaupt Gedanken über meine E-Mails machen? E-Mail-Postfächer beinhalten neben der normalen Kommunikation auch jede Menge Kontaktdaten, Registrationsmails, Bestellbestätigungen und Passwort-Erinnerungsmails. Ist das Konto erst einmal gehackt, hat der Angreifer Zugriff auf all diese Informationen und kann im Namen des gehackten Accounts sein Unwesen treiben. Vielleicht will er den Inhaber des Kontos […]

gainbacktest

Wie andere sich wehren müssen

Ich tue mein Bestes, um meinen Rechner und meine Daten zu schützen. Aber was passiert, wenn andere Akteure im Netz angegriffen werden?

Im Zweifelsfall hilft die beste digitale Selbstverteidigung nichts. Wenn ein öffentlicher Akteur angegriffen wird, sind auch Einzelne betroffen: Stürzt der Server einer Bank ab, sind deren Dienste auch für sämtliche Kunden lahmgelegt. Besonders ein Angriff auf kritische Infrastruktur ist gefährlich. Im Zweifelsfall sind die Folgen dann nicht mehr auf digitale Welt beschränkt, sondern wirken sich auch auf das normale Leben aus – etwa wenn die Strom- oder Wasserversorgung nach einem Kraftwerks-Hack gestört wird.

Wissen die Verantwortlichen denn um die Gefahren?

Davon kann man ausgehen. Egal ob Strom- oder Wasserversorgung, Transport-, Gesundheits-, Finanzsysteme oder Telekommunikation: Unsere Welt basiert heute auf den selben elektronischen Steuermodulen. Sie stellen die Verbindung des Cyberspace zur realen Welt dar. Die zunehmende Vernetzung hat uns verwundbarer gemacht.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik weist seit Jahren darauf hin, dass kritische Infrastrukturen noch immer unzureichend geschützt sind. SCADA-Systeme können von digitalen Angreifern ohne großen Aufwand ausfindig gemacht werden. Sie sind meist unzureichend gesichert, ihre Daten werden teilweise nicht einmal verschlüsselt. Für Hacker sind SCADA-Systeme leichte Beute. Bestes Beispiel dafür: 2011 dringt der Hacker pr0f in die Steuerung des Wasserwerks von South Houston ein. Das dreistellige Passwort knackt pr0f in kürzester Zeit. Mit der Aktion will er gegen die laxen Sicherheitsvorkehrungen protestieren.

Und was tun sie, um sich darauf vorzubereiten?

Seitdem Estland im Jahr 2007 wochenlang unter dem Beschuss von Hackern stand, halten Europa und die USA Übungen ab, die die Nationen auf den digitalen Ernstfall vorbereiten sollen. Die USA testen mit dem Trainingsprogramm Cyber Storm in den Jahren 2008 und 2010 ihre Widerstandsfähigkeit bei einem Angriff auf kritische Infrastruktur. Das Department of Homeland Security simuliert Störfälle im Kommunikations-, Transport- und Energienetz. Die Übungen offenbaren, dass die digitalen Verteidigungswälle der USA einem Angriff kaum standhalten könnten.

Cyber Europe 2010 simuliert europaweit den schrittweisen Ausfall der Internetverbindungen in europäischen Ländern, die wesentliche Onlinedienste beeinträchtigt und die Kommunikation zwischen Staaten erschwert. Organisiert wird das Training von der Europäischen Agentur für Netz und Informationssicherheit (ENISA). Zwei Jahre später folgt Cyber Europe 2012, bei dem der Angriff eines Botnets auf Regierungsserver, den privaten Sektor und Einzelpersonen simuliert wird. Mehrere Hundert Sicherheitsexperten müssen mit über 1.000 Störfällen umgehen, die Politik- und Medienbetrieb ebenso lahmlegen wie Zahlungssysteme von Banken und die Telekommunikation innerhalb der Staaten. Ziel der Übungen ist es, Schwachstellen im System und beim Krisenmanagement aufzudecken, um daraus für die Zukunft zu lernen.

Auf europäischer Ebene gibt es seit 2004 außerdem die Europäische Verteidigungsagentur (EVA). Sie verantwortet Rüstungsplanung, -beschaffung und -forschung, auch im Bereich der Cybersicherheit. Zu diesem Zweck fördert die EVA Forschung im Bereich Cybersicherheit und will ein Frühwarnsystem etablieren, dass Angriffspunkte aufdeckt um Sicherheitslücken schnellstmöglich zu schließen.

Allerdings reichen diese Übungen mitunter nicht aus. Viele Unternehmen sind leider noch immer ungenügend auf Angriffe aus dem Internet vorbereitet. Jüngste Vorfälle belegen, dass manche Betreiber von Industrieanlagen die Gefahren aus dem Internet noch immer unterschätzen. Einigen Anlagebetreibern ist bekannt, dass die gängigen Steuerungssysteme wie SCADA noch immer Sicherheitslücken haben und ignorieren diese Gefahr. Dieser Umstand machte es den USA und Israel möglich, ihren Computerwurm Stuxnet in die iranische Atomanlage Natanz einzuschleusen. Leider ist nicht auszuschließen, dass auch der Westen im Visier von Hackern ist. Das Experiment des Sicherheitsforschers Kyle Wilhoit beweist das: Er simulierte ein virtuelles System eines Wasserkraftwerks und verzeichnete innerhalb eines Monats 39 Attacken auf die Steuerung.

,,,,,,

Ich tue mein Bestes, um meinen Rechner und meine Daten zu schützen. Aber was passiert, wenn andere Akteure im Netz angegriffen werden? Im Zweifelsfall hilft die beste digitale Selbstverteidigung nichts. Wenn ein öffentlicher Akteur angegriffen wird, sind auch Einzelne betroffen: Stürzt der Server einer Bank ab, sind deren Dienste auch für sämtliche Kunden lahmgelegt. Besonders […]

gainbacktest

Nützliche Technik

Ich habe keine Lust, mir unzählige Programme auf den Rechner zu installieren. Gibt es eine Komplettlösung?

Ja, die gibt es. Einige Anbieter bündeln Mail-, Surf- und Chatanwendungen zu einem Komplettpaket. Das heißt aber auch, dass man all diese Daten in die Hände eines Einzelnen legt. Egal welchen Anbieter man wählt: Man sollte nie vergessen, dass man seine Daten am Ende immer einem unbekannten Dritten anvertraut.

Eine dieser Anwendungen ist Ipredia OS. Das linuxbasierte Betriebsystem erlaubt anonymes browsen, mailen, chatten und anonymen Dateiaustausch. Ipredia baut die Verbindung über das anonyme Netzwerk I2P auf, eine Alternative zu TOR.

Auch das Programm Tails leistet als digitaler Schutzschild ganz gute Dienste. Tails ist eine Alternative zum TOR Browser Bundle, die neben anonymem Surfen auch sicheres Mailen und Chatten ermöglicht.

Tails steht für “The Amnesic Incognito Live System” und ist kostenfrei erhältlich. Die Software läuft auf DVD, USB-Stick oder SD-Karte und leitet beim Surfen alle ausgehenden Verbindungen über das TOR-Netzwerk. Es verschleiert die IP-Adresse des Nutzers, indem es Zielanfragen immer über mehrere Server leitet. Bei Tails ist zudem das AddOn HTTPS Everywhere vorinstalliert. Die Browser-Erweiterung stellt mit jeder angesteuerten Webseite die sichere HTTPS-Verbindung her, sofern die Seite HTTPS unterstützt. Damit können sensible Daten sicher über das Netz übertragen werden. Zusätzlich verschickt das Programm mit PGP verschlüsselte E-Mails.

Meinen Rechner kann ich  sicherer machen – aber was ist mit meinem Smartphone?

Nicht verzagen! Auch dafür gibt es Lösungen – die allerdings mit Einschränkungen daherkommen. Beim Smartphone gilt: Auch hier gibt es zwar gute Programme für verschlüsseltes Mailen, sicheres Surfen und Chatten, aber wer auf coole Zusatz-Apps nicht verzichten kann oder will, wird am Ende immer ein Datenleck in Kauf nehmen müssen. Denn Snapchat, Instagram und Co. schleusen unsere Daten ziemlich schlecht geschützt durch die Netzwelt.

Die App SilentCircle verschlüsselt Sprach- und Videotelefonate und nutzt dafür eine Peer-to-Peer-Verbindung. Kostenlos ist dieser Service allerdings nicht. Pro Monat laufen für die App knapp 10 Dollar Gebühren auf. Ein Komplettpaket das auch verschlüsselte Textnachrichten ermöglicht, kostet mehr.

Nicht genug? Geld spielt keine Rolle? Dann lohnt der Umstieg aufs Cryptophone. Die Geräte – etwa das der deutschen Firma GSMK – haben eine integrierte Sprachverschlüsselung. Dafür muss man in Sachen Design ein bisschen zurückstecken. Oder man rüstet die gängigen iPhones und Android-Geräte mit dem Headset des Sicherheitsspezialisten Rohde und Schwarz auf, das Gespräche separat verschlüsselt. Die App-Nutzung wird dadurch aber nicht sicherer.

,,,,,,,,,,,

Ich habe keine Lust, mir unzählige Programme auf den Rechner zu installieren. Gibt es eine Komplettlösung? Ja, die gibt es. Einige Anbieter bündeln Mail-, Surf- und Chatanwendungen zu einem Komplettpaket. Das heißt aber auch, dass man all diese Daten in die Hände eines Einzelnen legt. Egal welchen Anbieter man wählt: Man sollte nie vergessen, dass […]

gainbacktest

Anonymität beim Surfen

Worauf sollte ich beim Surfen achten?

Für das Surfen im Internet sollte man die gleichen Sicherheitsvorkehrungen treffen wie beim Mailen und Chatten: Sensible Daten nicht über ungeschützte Kanäle preisgeben. Online-Shopping und Online-Banking sollten über eine HTTPS-Verbindung erfolgen, die das SSL-Protokoll verwendet. Das Protokoll stellt sicher, dass Absender und Empfänger tatsächlich die sind, für die sie sich ausgeben. Diese Vorsichtsmaßnahme schützt vor Betrugsmaschen wie Phishing. Und natürlich sollte man auch nicht jede Datei so ohne Weiteres herunterladen, wenn man unliebsame Besucher wie Trojaner oder Würmer nicht auf seiner Festplatte haben möchte.

Was kann ich tun, wenn ich beim Surfen nicht verfolgt und belauscht werden will?

Wenn es darum geht, sensible Daten sicher zu übertragen, reicht eine Browser-Erweiterung wie HTTPS Everywhere. Das AddOn versucht mit jeder angesteuerten Webseite eine verschlüsselte Verbindung aufzubauen. Normalerweise verbindet sich der Browser mit dem Server über eine HTTP-Verbindung. Viele Webseiten unterstützen aber auch HTTPS-Anfragen. Sie stellt die verschlüsselte Datenübertragung und die Authentifizierung der Kommunikationspartner sicher. HTTPS Everywhere baut immer dann HTTPS-Verbindungen auf, wenn die angesteuerte Webseite diese Verbindung unterstützt.
Mittlerweile gibt es auch AddOns, mit denen Nutzer der Aufzeichnung und Analyse ihres Surfverhaltens entgegenwirken können. Viele Webseiten sammeln Nutzerdaten, um sie für kommerzielle Zwecke weiterzuverwenden. Kostenlose Browser-Erweiterungen wie Ghostery oder Do Not Track Plus können helfen, diese Daten für sich zu behalten.
Geht es um komplett anonymes Surfen im Netz, müssen Nutzer einen Schritt weitergehen. Die Software TOR wirkt wie eine digitale Tarnkappe fürs Internet.

Wie funktioniert das?

TOR verschleiert die IP-Adresse eines Internetnutzers und stellt sicher, dass weder der Provider noch die Zielseite weiß, wer gerade welche Anfragen stellt. Beim Ansteuern einer Webseite läuft die Verbindung immer über mehrere Server (mindestens drei), die jeweils nur ihren Vorgänger und ihren Nachfolger kennen. Bei jedem Zwischenstopp ändert sich die IP-Adresse. Diese Vorgehensweise garantiert Absender und Empfänger die größtmögliche Anonymität. Klinkt sich ein Dritter in die Verbindung ein, kann er die Spuren der Verbindung nicht zu einem Absender oder Empfänger verfolgen. Sobald eine neue Webseite angesteuert wird, läuft der Verbindungsaufbau über komplett andere Server. So kann unmöglich die gesamte Kommunikation eines Nutzers protokolliert werden. Die Installationshilfe für die Betriebssysteme Windows, OS X und Linux gibt es direkt auf der Webseite des Anbieters.

Wie schütze ich mich, wenn ich an fremden Rechnern sitze?

TOR gibt es nicht nur für den Heimgebrauch, sondern quasi auch zum Mitnehmen: Das TOR Browser Bundle ist eine Kombination aus Browser, TOR-Client und Benutzeroberfläche. Der nützliche Surf-Helfer passt auf einen USB-Stick, den man zum Surfen an einem fremden Rechner anstecken kann.
Ebenfalls vom USB-Stick aus kann Tails betrieben werden. Die Software ist genau wie das TOR Browser Bundle kostenfrei und leitet alle ausgehenden Verbindungen über das TOR-Netzwerk. Über Tails kann man auch sicher Mailen und Chatten (mehr dazu in Nützliche Technik).

Muss ich mit Einschränkungen leben, wenn ich TOR nutze?

Anonymität hat ihren Preis. Ein Redakteur der ZEIT hat das Tor Browser Bundle ausprobiert und berichtet von seinen Erfahrungen: Die Surfgeschwindigkeit ist langsamer, aber noch erträglich. TOR nutzt andere Schriften und deaktiviert Flash-Inhalte – Youtube und Vimeo-Videos kann man als TOR-Nutzer also nicht ansehen.

,,,,,,,,,,,,

Worauf sollte ich beim Surfen achten? Für das Surfen im Internet sollte man die gleichen Sicherheitsvorkehrungen treffen wie beim Mailen und Chatten: Sensible Daten nicht über ungeschützte Kanäle preisgeben. Online-Shopping und Online-Banking sollten über eine HTTPS-Verbindung erfolgen, die das SSL-Protokoll verwendet. Das Protokoll stellt sicher, dass Absender und Empfänger tatsächlich die sind, für die sie […]

gainbacktest

Sicherer Chat

Welche Sicherheitsrisiken gibt es überhaupt beim Chatten?

Chatprogramme haben oftmals keine Verschlüsselung. Die Nachrichten, die beim Instant Messaging verschickt werden, können ohne Weiteres von Dritten mitgelesen werden. Betrüger können so persönliche Informationen abfangen und diese möglicherweise später für social engineering verwenden.
Auch die Datenübertragung ist im Chat denkbar unsicher. Hier kann der Rechner ebenfalls schnell mit einem Virus oder Trojaner infiziert werden. Nicht zuletzt sind die Benutzerdaten für Chats oft ungenügend oder gar nicht gesichert. Für Betrüger ist es ein Leichtes, sich Zugang zu Kennwörtern zu verschaffen und mit dem Account eine falsche Identität vorzutäuschen.

Was muss ich also tun?

Für den Anfang hilft es, keine sensiblen Daten im Chat zu verschicken. Login-Daten, Konto- oder gar Kreditkartendaten haben im Chat nichts verloren. Empfehlenswert ist auch, im Chat keine Dateien zu versenden oder zu empfangen. Im sichersten Fall sorgt man dafür, dass sämtliche Mitteilungen verschlüsselt werden und Unbefugte nicht einmal die Kommunikationspartner ausfindig machen können.

Mit welcher Technik funktioniert das?

Das Zauberwort heißt Off the Record-Messaging oder kurz gesagt OTR. Dahinter verbirgt sich ein Protokoll zur Verschlüsselung von Chatnachrichten. Darüber hinaus kann dank OTR nach einem Chat nicht mehr rekonstruiert werden, was überhaupt gesagt wurde – die elektronische Unterhaltung wird dadurch ähnlich vertraulich wie ein persönliches Gespräch, das nicht aufgezeichnet wurde. Eine Installationshilfe um OTR mit dem Pidgin Client zu nutzen, gibt es hier.

Geht das auch auf dem Smartphone?

Klar. Allerdings muss man dafür auf Whatsapp und Co. verzichten. Die Alternative heißt zum Beispiel myEnigma Secure Messaging. Die App kann kostenlos für Android und iOS heruntergeladen werden. Die Anmeldung erfolgt mit Handynummer und E-mailadresse. Ist die App erfolgreich installiert, scannt myEnigma das Adressbuch nach Nutzern, die ebenfalls bei dem Dienst angemeldet sind. Denn beim sicheren Chatten gilt wie beim E-Mail-Verschlüsseln: Nur wenn beide Seiten einen sicheren Service nutzen, ist  Schutz gegeben. MyEnigma verfügt über die gleichen Funktionen wie WhatsApp und Co.: Texten und multimediale Anhänge versenden ist kein Problem. Einzig auf Smileys müssen die Gesprächspartner verzichten.

,,,,,

Welche Sicherheitsrisiken gibt es überhaupt beim Chatten? Chatprogramme haben oftmals keine Verschlüsselung. Die Nachrichten, die beim Instant Messaging verschickt werden, können ohne Weiteres von Dritten mitgelesen werden. Betrüger können so persönliche Informationen abfangen und diese möglicherweise später für social engineering verwenden. Auch die Datenübertragung ist im Chat denkbar unsicher. Hier kann der Rechner ebenfalls schnell […]

gainbacktest

Wie Du Dich wehren kannst

Wie kann ich mich selbst schützen, wenn ich online gehe?

Schon die Einhaltung von einigen Grundregeln führt dazu, dass man wesentlich sicherer im Netz unterwegs ist.

1. Computer-Software sollte regelmäig aktualisiert werden. Mit ihren Updates schließen die Software-Hersteller bekannte Sicherheitslücken und machen es Angreifern so schwerer, ein Schlupfloch ins System zu finden.

2. Die Installation eines Anti-Virus-Programms hilft den Computer vor Schadprogrammen zu schützen und Viren loszuwerden. Auch hier gilt: Die Software muss aktuell gehalten werden, denn auch Cyber-Kriminelle entwickeln ihre Angriffsmethoden weiter.

3. Gegen Spam hilft ebenfalls eine Software, die unerwünschte E-Mails herausfiltert oder blockiert. Selbst wenn eine Spam-Mail einen Link enthält, bei dem man sich vom Verteiler abmelden kann: Bloß nicht draufklicken! Damit bestätigt man seine Mail und hat am Ende womöglich noch mehr Spam im Posteingang. Gegen Spam hilft, seine E-Mail-Adresse nicht überall preiszugeben. Wie man seine E-Mails sichern kann, ist hier nachzulesen.

4. Niemals E-Mails öffnen, deren Absender verdächtig erscheint. Links und Datei-Anhänge von unbekannten oder nicht vertrauenswürdigen Absendern sind ebenfalls tabu.

5. Niemals Konto- oder Kreditkartendaten über eine unsichere Verbindung schicken. Die URL sollte immer mit “https://” anfangen, dann nutzt sie ein sicheres Protokoll.

6. User Names und Passwörter sollte man für sich behalten und nicht auf dem Rechner abspeichern, womöglich noch in einem Sammel-Dokument. Tipps zur Wahl eines sicheren Passworts gibt es hier.

7. Vorsicht bei der Nutzung öffentlicher Computer. Man weiß nie, ob sich darauf Schadsoftware befindet – etwa ein Keylogger, der alle eingegebenen Daten protokolliert. Insofern sollte man nach Möglichkeit auch keinen USB-Stick an einen öffentlichen Computer anstecken. Zur Erinnerung: Ein USB-Stick war es, mit dem der Computerwurm Stuxnet aus der iranischen Atomanlage ins öffentliche Internet getragen wurde.

8. Nach datensensiblen Vorgängen wie Online-Banking oder Online-Shopping sollte man sich immer ordnungsgemäß aus der Webseite ausloggen und danach den Browser schließen und neu starten.

Okay, ich sollte meinen Rechner besser schützen. Aber wie stelle ich sicher, dass ich nicht schon längst Schadprogramme auf dem Rechner habe?

Da hilft nur ein guter Viren-Scanner. Er erkennt schädliche Programme und neue Modifikationen bekannter Schadsoftware. Selbst malware, die in Datei-Anhängen versteckt ist, kann ein Viren-Scanner aufspüren. Allerdings gilt hier nicht das Motto “Doppelt hält besser”. Lässt man zwei Viren-Scanner gleichzeitig laufen, behindern sie sich höchstwahrscheinlich gegenseitig bei der Suche. Ein einzelnes regelmäßig aktualisiertes Programm reicht völlig aus.

Gibt es Erste Hilfe-Maßnahmen, wenn mein Rechner mit malware infiziert ist?

Wenn der Rechner ein Eigenleben zu führen beginnt, sollte man misstrauisch werden. Einige der typischen Anzeichen für eine Infektion mit malware sind zum Beispiel: Fenster öffnen sich willkürlich, der Mauszeiger bewegt sich von allein, der Rechner arbeitet plötzlich langsamer als sonst, auf dem Bankkonto wurden unbefugt Beträge abgebucht.

Erste Maßnahme: Stecker ziehen! Der Rechner sollte von jeglichen Netzverbindungen getrennt werden, dafür sollte sogar der Router ausgeschaltet werden. Da malware-Programme ihre Daten über das Internet versenden (etwa Schnüffelsoftware wie Keylogger) und Instruktionen über das Internet erhalten (etwa ein Botnet bei einem DDoS-Angriff), ist das Trennen der Internetverbindung der erste Schritt, um Kontrolle zurückzuerlangen.

Wenn man malware auf dem Rechner vermutet, sollte sofort die aktuellste Version des Viren-Scanner zu Einsatz kommen. Er spürt Trojaner und andere Schadprogramme auf und entfernt sie zuverlässig. Hat man ein Programm unter Verdacht, sollte man es sofort deinstallieren. In einigen Fällen eliminiert man damit allerdings nur den Träger der malware, nicht die malware selbst.

Bevor der Viren-Scanner vom Durchsuchen der Festplatte auf das Eliminieren der Schadprogramme übergeht, sollte man die wichtigsten Daten sichern. Die Experten von netzwelt.de raten, anschließend den Datenträger ebenfalls auf Schadsoftware zu scannen, damit man sich den Virus nicht gleich wieder einfängt.

Anschließend kann mit dem Entfernen der malware begonnen werden. Bringt dieser Schritt noch nicht die gewünschte Wirkung, sollte man das Problem in die Hände eines Fachmannes geben. Oder man recherchiert selbst im Internet, um herauszufinden um welche malware es sich handelt und welche zusätzlichen Schritte nötig sind. Im schlimmsten Fall muss das ganze Betriebssystem des Rechners neu aufgesetzt werden. Das ist zwar zeitaufwändig, aber kein Weltuntergang – und am Ende ist man die ungebetenen Gäste wieder los.

,,,,,,,,,,

Wie kann ich mich selbst schützen, wenn ich online gehe? Schon die Einhaltung von einigen Grundregeln führt dazu, dass man wesentlich sicherer im Netz unterwegs ist. 1. Computer-Software sollte regelmäig aktualisiert werden. Mit ihren Updates schließen die Software-Hersteller bekannte Sicherheitslücken und machen es Angreifern so schwerer, ein Schlupfloch ins System zu finden. 2. Die Installation […]

gainbacktest

Sichere Passwörter

Wie werden Passwörter geknackt?

Meist durch Online-Klau. Immer wieder kommen zigtausendfach Nutzerdaten abhanden, oft inklusive Passwörtern – zuletzt etwa Adobe oder Snapchat. Jedes Passwort ist normalerweise so verschlüsselt, dass man es nur durch Ausprobieren wieder herstellen kann (->Brute-Force-Attacke) – die Entschlüsselung ist also eine Frage der Zeit. Auf dieser Website kann man sich übrigens eine Schätzung berechnen lassen, wie lange es dauert, um das eigene Passwort zu knacken. Wer ein langes und schwer vorhersagbares Wort gewählt hat, ist da also klar im Vorteil. Aber wer das geklaute Passwort auch bei anderen Websites verwendet hat, muss sich beeilen und das Sicherheitsloch stopfen. Zweithäufigste Methode der Passwort-Knacker ist das Ausspähen, etwa durch Lauschprogramme (->Keylogger) oder (->Phishing). Hier sind Länge und Unvorhersagbarkeit des Passworts leider egal – siehe letzte Frage.

Was heißt dann “sicheres Passwort”?

“Sicher” bedeutet bei Passwörtern: Lang (über acht Zeichen, wenn es geht zwölf oder mehr), neu (nicht länger als ein Jahr im Gebrauch), und am Besten auch noch weltweit einmalig und nicht zu erraten. Namen, Geburtsorte, leicht zu erratende Zahlenkombinationen (Geburtsorte, Handynummer, 123456) und alle Worte, die in irgend einem Lexikon stehen, sind unsicher – denn sie werden nach dem Klau zuerst ausprobiert. Passwörter, die auf mehreren Websites verwendet werden, sind unsicher. Ein sicheres Passwort sieht also in etwa so aus: “!Lya_mm3$#ObAsAck:Vay”. Wer dieses Passwort jetzt verwendet, ist aber selber Schuld – jetzt ist es ja öffenlich und damit auch eher unsicher.

Wie soll man sich denn so ein Passwort merken?

Das geht nur mit Tricks. Die Macher des populären Mozilla-Browsers beschreiben auf ihrer Website ein nettes Rezept: Wähle einen Lieblingssatz, sagen wir “Schläft Ein Lied In Allen Dingen” (Joseph von Eichendorf). Nehme die ersten beiden Buchstaben jedes Wortes und wechsele Groß- und Kleinschreibung ab (“ScEiLiInDi”, wird laut http://www.howsecureismypassword.net/ in einem Jahr Rechenzeit von einem normalen PC geknackt). Jetzt noch mit Sonderzeichen garnieren (“?ScEiLiInDi*”, 1 Million Jahre), fertig ist der erste Teil des neuen Passwortes. Der zweite wird aus dem Namen der betreffenden Website und dem Jahr gebildet, nach einer eigenen Regel, etwa: Eine Ziffer, ein Buchstabe (Facebook wird zu “2F0a1c4″). Und jetzt kombinieren (“?ScEiLiInDi*2F0a1c3″, 384 Trilliarden Jahre) – fertig.

Darf ich mir das wenigstens irgendwo notieren?

Die Idee ist gar nicht so abwegig, einige Sicherheitsexperten sehen darin das kleinere Übel (in diesem Artikel findet sich eine Zusammenfassung der Diskussion). Aufschreiben ist jedenfalls besser als unsichere Passworte zu verwenden oder ein und dasselbe Passwort auf vielen Websites einzusetzen. Der Nachteil ist natürlich, dass der Zettel verloren gehen oder in falsche Hände geraten kann. Ab und zu eine Kopie in einem versiegelten Umschlag an einen sicheren Ort deponieren hilft zumindest gegen das Verlorengehen.

Gibt es dafür keine App?

Doch, sogar eine ganze Reihe von Apps und kleinen Helferprogrammen. Man muss sich dann nur noch ein Passwort merken und kann im Gegenzug beliebig viele sehr komplexe Passwörter vergeben. Die meisten Programme bieten auch eine Zufallsfunktion an, die ein besonders seltenes Passwort auswürfelt, das muss man dann meistenst auch gar nicht mehr selber eintippen, viele Programme übernehmen das Passwort in die Zwischenablage, so dass man es sehr einfach in das entsprechende Feld einfügen kann – Roboform ist da ganz komfortabel. Vergleichsartikel über Hilfsprogramme mit ähnlichen Funktionen findet man in der Computerwoche (Februar 2013) oder Information Week (April 2013). Sicherheitsexperte Bruce Schneier hat so einen Helfer für seine eigenen Passwörter geschrieben und veröffentlicht: Password Safe. Die meisten der Programme bieten Funktionen, um die verschlüsselten Passworte zu sichern, etwa vom PC auf das Handy. Natürlich kann die Datei dabei abgefangen werden – trotzdem ist das immer noch sicherer, als auf vielen Websites das gleiche Passwort zu verwenden.

Und wenn das Passwort sicher ist, ist alles in Ordnung?

Natürlich nicht. Gegen Abhören und Ausspionieren ist kein noch so sicheres Passwort gewachsen. Vielleicht ist Dein Computer verwanzt, vielleicht schickt eine Schadsoftware jeden Tastenanschlag an einen gekaperten Rechner auf einem fernen Kontinent, oder vielleicht ist die Website, auf der Du das Passwort eingegeben hast, auch schon gehackt. Gegen solche Szenarien braucht man noch etwas mehr als ein sicheres Passwort, vielleicht einen Fingerabdruck oder die Zusendung eines Einmal-Codes per SMS, wie man es vom Online-Banking gewohnt ist  (->Zwei-Faktor-Authentifiziernug).

,,,,,,

Wie werden Passwörter geknackt? Meist durch Online-Klau. Immer wieder kommen zigtausendfach Nutzerdaten abhanden, oft inklusive Passwörtern – zuletzt etwa Adobe oder Snapchat. Jedes Passwort ist normalerweise so verschlüsselt, dass man es nur durch Ausprobieren wieder herstellen kann (->Brute-Force-Attacke) – die Entschlüsselung ist also eine Frage der Zeit. Auf dieser Website kann man sich übrigens eine […]