Bitte warten...

Ein paar Hinweise zum (halbwegs) sicheren Umgang mit dem Computer

So selbstverständlich wie wir den Computer für die Erledigung alltäglicher Arbeiten verwenden, so sorglos sind viele Menschen leider oft im Umgang mit dieser Technik. Häufig besteht neben der puren Unkenntnis von Gefahren eine Hemmung, sich mit der Technik näher zu befassen, weil man möglicherweise meint, diese ohnehin nicht wirklich begreifen zu können. Viele Menschen vertrauen daher lieber blind, handeln mit einem Gefühl der Unsicherheit oder halten sich einfach an der Hoffnung fest, dass ihnen schon nichts passieren wird.

Leider wird dieser Leichtsinn oft genug früher oder später durch an sich unnötigen Ärger bestraft, denn viele Gefahren können schon durch das Befolgen einfacher Verhaltensregeln vermieden werden. Das Internet hält zu praktisch allen Fragen der Informationssicherheit, des Datenschutzes, der Privatsphäre, der Informationellen Selbstbestimmung usw. Antworten parat und sicherlich findet man im Bekanntenkreis jemanden, der einem gern bei der Absicherung des eigenen Rechners mit Rat und Tat zur Seite steht.

Auf dieser Seite sollen die häufigsten Gefahren und ihre Schutzmaßnahmen beleuchtet werden, wobei es hier mehr um einen Überblick geht als um ausführliche Details zu den einzelnen Themen:

Welche der hier vorgeschlagenen Maßnahmen man einsetzen möchte, ist auch immer eine persönliche Abwägungsfrage zwischen Sicherheit und Bequemlichkeit. Ein unangeschlossenes Fahrrad ist natürlich sehr bequem, doch muss man sich dann nicht wundern, wenn andere Meschen von dieser Bequemlichkeit ebenfalls Gebrauch machen. Andererseits ist die Verwendung von vier Schlössern zwar wesentlich sicherer aber auf Dauer eben auch ziemlich lästig.

Bei der Beschäftigung mit diesen Themen sollte man die folgenden Grundregeln im Hinterkopf haben:

➤ Sei bereit, Neues zu lernen.
➤ Befasse dich erst mit einem neuen Thema, wenn du das letzte wirklich verstanden hast.
➤ Schreibe dir auf, was du dir nicht merken kannst.
➤ Beherrsche die Technik, sonst beherrscht sie dich.
➤ Hundertprozentige Sicherheit gibt es nicht. Du kannst nur das Restrisiko minimieren.

Nur wenn du weißt, was du tust, kannst du dich durch die beschriebenen Maßnahmen auch sicher fühlen. Befolge die Anweisungen nicht blind. Wenn dir eine empfohlene Sicherheitsmaßnahme zu kompliziert erscheint, dann lass erst einmal die Finger davon. Eine schlecht oder falsch durchgeführte Maßnahme kann die Sicherheitslage durchaus auch verschlimmern. Lass dich im Zweifelsfall von jemandem beraten und unterstützen, der sich besser auskennt und dem du vertrauen kannst.

Sehr gute Quellen, um sich über aktuelle Fragen zu sicherheitsrelevanten Themen zu informieren, sind beispielsweise die IT-Nachrichtenportale von heise.de oder golem.de.

☠ Beschädigung oder Verlust eigener Daten

Die einfachste Gefahr, der jeder Benutzer ausgesetzt ist, ist die Beschädigung oder der Verlust von Daten durch die eigene Unachtsamkeit. Aber auch manche Schadprogramme, die unabsichtlich installiert wurden, können Schäden dieser Art verursachen. Unter Umständen können Schadprogramme oder andere Faktoren auch dazu führen, dass sich der Rechner nicht mehr starten lässt oder das Betriebssystem unbrauchbar geworden ist und man so keinen Zugriff mehr auf die eigenen Dateien hat, auch wenn diese an sich noch vorhanden und unbeschädigt sind. Eine andere Gefahrenquelle ist die physische Beschädigung eines Rechners beispielsweise durch Hitze, Stürze oder eingedrungene Flüssigkeiten. Und schließlich können Rechner auch verloren gehen oder gestohlen werden.

➤ Behalte den Überblick über deine Verzeichnisstruktur

Alle Daten eines Computers werden als Dateien gespeichert, die in in einer sehr komplexen Verzeichnisstruktur in einzelnen Ordnern mit Unterordnern und häufig weiteren Unterunterordnern gespeichert werden. Diese Verzeichnisstruktur kann recht verwirrend wirken und man mag geneigt sein, sich daher nicht näher mit ihr zu befassen. Dabei sollte man aber bedenken, dass die meisten Dateien zum Betriebssystem (z. B. Linux, Windows, Mac OS etc.) oder zu installierten Programmen gehören und einen in der Regel gar nicht weiter beschäftigen brauchen. Lediglich die eigenen Dateien wie Dokumente, Bilder, Videos etc. sollte man unbedingt im Blick haben, da sich diese bei Verlust sonst nur schwer oder überhaupt nicht mehr wiederherstellen lassen.

Für die eigenen Dateien existieren in der Regel in jedem Betriebssystem vorgegebene Ordner, um die Übersicht zu vereinfachen. Die Pfade zu diesen Ordnern sollten man sich unbedingt verinnerlichen, um die eigenen Dateien immer am richtigen Ort speichern und auch wiederfinden zu können. Mach dich dazu mit der Verzeichnisstruktur auf deinem Rechner vertraut. Das übliche Werkzeug dazu ist der Dateimanager, der auf jedem System vorhanden sein sollte. Verstehe, wie man an geeigneter Stelle Ordner anlegt und die eigenen Dateien dort sinnvoll unterbringt, so dass man auch wiederfindet, was man mal gespeichert hat. Verliere nicht die Orientierung in deiner Verzeichnisstruktur.

➤ Mache regelmäßig Sicherungskopien deiner Daten

Unabhängig von der Gefahrenquelle gehört ein regelmäßiges Backup deiner Dateien wohl zu den wichtigsten Sicherheitsmaßnahmen überhaupt. Dabei werden von den betroffenen Dateien Kopien erzeugt, die man im Bedarfsfall einfach wieder an den alten Ort zurück kopiert. Der Verzicht auf regelmäßige Sicherungskopien gilt in der IT-Szene als unverzeihliche Nachlässigkeit und wird daher gerne mit dem Slogan „no backup, no mercy“ kommentiert.

Als Speicherort für ein Backup ist eine externe Festplatte wohl am besten geeignet, denn sie ist physisch vom eigentlichen Rechner getrennt und leicht transportierbar. Sollte der Rechner also beschädigt werden oder verloren gehen, so hat man wenigsten immer noch das Backup der eigenen Dateien. Bei der Auswahl einer externen Festplatte sollte man beachten, dass der verfügbare Speicherplatz mindestens so groß ist wie die Gesamtgröße der zu speichernden Daten. Bei kleineren Datenmengen eignet sich unter Umständen auch ein USB-Speicherstick. Ebenso können Backups mit geringem Umfang auch auf optischen Medien wie (im besten Fall mehrfach beschreibbaren) CDs bzw. DVDs gespeichert werden.

Alternative Speicherorte sind weitere interne aber physisch getrennte Laufwerke im Rechner, eigenständige Partitionen auf der gleichen Festplatte, auf der die Originaldaten liegen oder auch Speicherplatz bei einem Anbieter eines Cloud-Dienstes. All diese Alternativen besitzen aber gegenüber einer externen Festplatte eine eher geringere Sicherheit.

Bei der alltäglichen Arbeit an wichtigen Dateien kann es sinnvoll sein, anliegende Änderungen nicht in der Originaldatei, sondern in einer Kopie vorzunehmen, um die Originaldatei bei Irrtümern oder aus sonstigen Gründen nicht zu verderben.

☠ Unbefugter physischer Zugriff Dritter auf den eigenen Rechner

Falls deine Wohnung nicht in einem von dir selbst kontrollierten Hochsicherheitstrakt liegt, in deiner WG merkwürdige Mitbewohner leben, du dein Notebook gerne mal verleihst oder unbeaufsichtigt rumliegen lässt oder es dir am Flughafen von der Polizei schon mal für eine Weile abgenommen wurde, dann könnte es sein, dass sich jemand ohne deine Zustimmung Zugang zu deinem Rechner verschafft hat. In einem solchen Fall kann diese Person die Daten auf deinem Rechner ausgelesen, kopiert, verändert oder gelöscht haben. Vielleicht befindet sich dort seit dem auch ohne dein Wissen eine Spähsoftware, die all deine Aktivitäten protokolliert und einer unbekannten Stelle meldet. Das wäre natürlich sehr ärgerlich. Glücklicherweise gibt es Mittel, sich im Vorfeld vor unbefugtem Zugriff durch Dritte zu schützen.

➤ Schütze deinen Rechner mit einem Passwort

Die gängigen Betriebssysteme bieten die Möglichkeit, verschiedene Benutzerkonten anzulegen, deren Eigentümer sich unabhängig von einander mit ihrem Passwort am Rechner anmelden können. Innerhalb des laufenden Systems verfügen die Benutzer über bestimmte Rechte, die das Lesen und Schreiben von Dateien sowie das Ausführen von Programmen betreffen. Normale Benutzer sollen nur Programme verwenden dürfen. Aus Sicherheitsgründen werden ihnen dagegen bestimmte administrative Rechte wie das Installieren von Programmen oder das Ändern von Systemeinstellungen verwehrt, was nur dem Administrator des Systems vorbehalten ist.

Hintergrund dieses Prinzips ist unter anderem, dass ein Programm, das man als normaler Benutzer ausführt, auch nur so weit ins System eingreifen kann, wie das der Benutzer darf. Ein Programm, das man als Administrator ausführt, hat dagegen vollen Zugriff auf das System, was im Falle eines Einbruchs in das System von außen ein Sicherheitsrisiko darstellt und daher für die alltägliche Arbeit vermieden werden sollte.

Nun mag man denken, dass die Anmeldung am System mit dem Benutzerpasswort einen ausreichenden Schutz vor unbefugtem Zugriff durch Dritte darstellt, da das Passwort ja geheim ist. Dies ist leider ein weit verbreiteter Irrtum, da es relativ trivial ist, einen ungeschützen Rechner beispielsweise mit Hilfe eines Live-Systems, das über einen USB-Anschluss oder ein CD- bzw. DVD-Laufwerk geladen wird, hochzufahren und dann über dieses System auf den Rechner zuzugreifen.

Eine etwas wirksamere Methode, den Zugang zum Rechner zu erschweren, ist der Passwortschutz über das BIOS oder ähnliche Firmware wie das UEFI. Diese Firmware wird direkt nach dem Anschalten des Rechners und noch vor dem Laden des Betriebssystems ausgeführt. Durch Drücken einer bestimmten Taste, die in der Regel auf dem Bildschirm genannt wird, gelangt man zur Konfigurationsoberfläche der Firmware. Im Bereich ›Security‹ (beim BIOS) lässt sich dort ein Passwort angeben, das abgefragt wird, sobald die Firmware ausgeführt wird. Diese Methode bietet allerdings auch keinen absoluten Schutz vor unerwünschtem Zugriff, da das Passwort auf Hardware-Ebene auch umgangen werden kann. Dazu muss ein Angreifer allerdings den Rechner aufschrauben. Wenn man ein Firmware-Passwort verwendet, sollte man sich darüber im Klaren sein, dass hier allerdings auch die Gefahr besteht, sich selbst vom eigenen Rechner auszusperren, wenn die Eingabemaske für das Passwort nur eine begrenzte Anzahl von falschen Eingaben zulässt!

Wähle ein starkes Passwort, das nicht zu kurz ist und nicht leicht erraten werden kann. Wähle am besten eine kryptische Mischung aus Buchstaben, Zahlen und Sonderzeichen. Mit der Diceware-Methode können starke Passwörter erzeugt werden, die zwar lang, aber dennoch leicht zu merken sind. Mit Passwortgeneratoren können Passwörter automatisch erzeugt werden (für Linux siehe hier).

➤ Verschlüssele deine Festplatte

Um sicher zu gehen, dass die Daten auf der Festplatte selbst dann vor unerwünschtem Zugriff geschützt sind, wenn es einer fremden Person gelungen sein sollte, einen Passwortschutz zu umgehen oder zu knacken, kann man die Festplatte verschlüsseln. Verschlüsselung ist auch bei einem nicht durch ein Passwort geschützten System möglich und kann auch nur für einzelne Ordner oder Dateien angewendet werden. Je nach Betriebssystem stehen dafür unterschiedliche Programme wie beispielsweise TrueCrypt oder VeraCrypt zur Verfügung, die man sich zunächst installieren muss. Zum Entschlüsseln muss der Benutzer ein zuvor vergebenes Passwort eingeben. Ein Nachteil von Verschlüsselung kann in einer verringerten Arbeitsgeschwindigkeit bestehen, da die verschlüsselten Daten vor der Verwendung logischerweise zunächst entschlüsselt werden müssen.

➤ Lösche sensible Daten gründlich

Beim Löschen von Daten auf einem Datenträger ist zu beachten, dass diese in der Regel zunächst nur in den Papierkorb verschoben werden, um von dort im Zweifelsfall einfach wiederhergestellt werden zu können. Sie sind somit nicht wirklich gelöscht. Doch auch das Leeren des Papierkorbs löscht die Daten nicht wirklich, sondern entfernt sie nur aus der Verzeichnisstruktur des entsprechenden Dateisystems, so dass sie beispielsweise in einem Dateimanager nicht mehr sichtbar sind. Der bislang von diesen Daten belegte Speicherplatz wird dabei zwar freigegeben aber erst dann überschrieben, wenn dort andere Daten abgelegt werden. Bis dahin sind die alten Daten zwar mit den Bordmitteln des Betriebssystems nicht mehr erreichbar, können aber mit spezieller Software wiederhergestellt werden. Um sensible Daten wirklich entgültig zu löschen, muss der bislang belegte Speicherplatz mit anderen Daten oder wenigstens mit Nullwerten überschrieben werden. Dazu kann spezielle Eraser-Software verwendet werden.

➤ Richte ein Benutzerkonto für Gäste ein

Unabhängig von Situationen, in denen ein unbekannter Angreifer versucht, sich Zugang zu einem Rechner zu verschaffen, geschieht es natürlich auch mitunter, dass man einer bekannten Person seinen Computer zur Verfügung stellen möchte. Dabei sollte man sich aber darüber im Klaren sein, dass diese Person dann über alle Privilegien verfügt, die das verwendete Benutzerkonto bietet. Wenn man das eigene Benutzerkonto zur Vefügung stellt, kann der Gast damit eben auch alles tun, was man selbst darf, was vielleicht auch bei bekannten Personen nicht unbedingt erwünscht ist – insbesondere dann, wenn das eigene Benutzerkonto mit Administrationsrechten betrieben wird, was grundsätzlich vermieden werden sollte. Hierbei muss es auch gar nicht gleich um den Schutz der Privatsphäre gehen. Durch unbedachtes ›Herumklicken‹ kann ein Gast auch einfach Einstellungen verändern oder andere Spuren hinterlassen, was man gerne vermeiden würde.

Der einfachste Weg, um diesem Problem vorzubeugen, besteht im Einrichten eines eigenen Benutzerkontos für Gäste und unbekannte Personen über die Benutzerverwaltung des Betriebssystems, das als Mehrbenutzersystem ausgelegt ist. Auf diese Weise bleiben die eigenen Daten und Einstellungen geschützt und der Gast kann in seinem Bereich weitgehend tun, was er will, ohne dass sich dies negativ auf das System auswirkt. Bei der Anmeldung am System wählt man dann für einen Gast eben statt des eigenen Benutzerkontos dieses aus.

Wenn man sich in einer WG oder einer Familie einen Rechner regelmäßig mit den gleichen Personen teilt, bietet es sich ohnehin grundsätzlich an, für jeden Benutzer ein individuelles Benutzerkonto einzurichten, so dass sich diese nicht ein allgemeines Gästekonto teilen müssen.

➤ Sperre den Bildschirm, wenn dein Rechner unbeaufsichtigt ist

Gelegentlich kommt es vor, dass man einen Rechner, an dem man gerade angemeldet ist, verlassen muss. Sollten sich noch andere Personen in der Nähe befinden, so besteht die Gefahr, dass sich diese in der Zwischenzeit an den Rechner begeben und dort Dinge tun, die einem vielleicht nicht so recht sind. Um dies zu verhindern und den Rechner dazu nicht ausschalten zu müssen, kann man sich entweder vorübergehend vom Rechner abmelden oder man sperrt den Bildschirm, was unter allen gängigen Betriebssystemen möglich sein sollte. Auf Linux-Systemen geschieht dies zum Beispiel durch die Tastenkombination Strg+Alt+L, unter Windows mit +L und unter Mac OS mit ctrl++. Erst wenn man bei der Rückkehr an den Rechner sein Benutzerpasswort eingibt, wird der Bildschirm entsperrt und man kann den Rechner wieder verwenden.

☠ Infektion des eigenen Rechners mit lästigen oder schädlichen
    Programmen

Diese Form der Beeinträchtigung werden wahrscheinlich die meisten Benutzer schon einmal erlebt haben. Durch leichtfertiges oder unwissentliches Herunterladen und Installieren von Schadprogrammen (auch ›Malware‹ genannt) verschiedenster Art wie Viren, Würmer, Trojanische Pferde, Spyware usw. öffnet man seinen Rechner für diese Programme, die einen im harmlosesten Fall mit regelmäßigen Werbeeinblendungen nerven aber auch sensible persönliche Daten ausspionieren, Daten beschädigen oder löschen, oder im schlimmsten Fall das gesamte Betriebssystem lahm legen können. Einige dieser Programme sind so konzipiert, dass sie sich selbst auf angeschlossene Laufwerke wie beispielsweise USB-Speichermedien kopieren und sich auf diese Weise vermehren und weiter verbreiten.

Geschickt programmierte Schadprogramme können verbreitete Schutzmechanismen wie Virenscannern oder Firewalls beispielsweise durch den Einsatz von Rootkits umgehen und auf diese Weise unerkannt bleiben. Manche Programme dieser Art nisten sich auf eine Weise ins System ein, dass sie nur äußerst schwer wieder zu entfernen sind. In einem solchen Fall bleibt einem häufig keine andere Wahl als das gesamte Betriebssystem neu zu installieren.

➤ Meide Microsoft Windows

Diese Empfehlung mag für viele Benutzer ziemlich radikal klingen und oft auch nicht umsetzbar erscheinen. Dennoch möchte ich an dieser Stelle auf die gravierenden Schwächen dieses Betriebssystems hinweisen, das zweifellos das verwundbarste und am häufigsten erfolgreich angegriffene System auf dem Markt ist. Dies ist einerseits auf Fehler in der Systemarchitektur zurückzuführen, andererseits aber auch auf das von Microsoft Windows provozierte leichtsinnige Verhalten der Benutzer. Viele der unter Windows notwendigen Sicherheitsmaßnahmen erübrigen sich unter anderen Betriebssystemen. Allerdings muss ich zugeben, dass ich Windows zuletzt im Jahr 2006 verwendet habe. Seit dem kann sich einiges gebessert haben, wovon ich möglicherweise keine Kenntnis habe.

Angesichts der Tatsache, dass Windows im Gegensatz zu unixoiden Systemen wie Linux oder Mac OS seit Markteinführung Mitte der 80er Jahre des letzten Jahrhunderts bis heute nachträglich durch Virenscanner und Firewalls vor Angriffen geschützt werden muss und Microsoft trotz seiner zahllosen hochqualifizerten und hochbezahlten Entwickler es nicht geschafft hat, sein wichtigstes Produkt, das nicht zuletzt aufgrund von Microsofts aggressiver Marketingstrategie auf Millionen von Rechnern verwendet wird, von Hause aus gegen Angriffe abzusichern, kann ich zu keinem anderen Schluss kommen, als dass es sich hierbei um fahrlässig billigende wenn nicht gar vorsätzliche Gefährdung der Windows-Benutzer handelt. Microsoft kennt das Problem und verfügt auch über das Wissen, es zu beheben, aber es ist diesem Untenehmen offenbar gleichgültig. Die Dominanz von Windows hat in Verbindung mit dieser massiven Sicherheitslücke des Systems bei einem Großteil der Benutzer den Glauben bewirkt, dass die Gefahr von Schadprogrammen normal ist, man auf zusätzliche Schutzmechanismen angewiesen ist und diese eben ab und an auch mal versagen und man mit dem Schaden irgendwie leben muss. Von dieser Haltung profitieren dann wieder andere Firmen wie McAfee, Symantec oder Kaspersky, womit sich wieder einmal mehr zeigt, das Windows in erster Linie eine ›Gelddruckmaschine‹ für Microsoft und andere assoziierte Unternehmen ist. Schon allein aus diesen Gründen halte ich es für dringend angezeigt, Windows den Rücken zu kehren und nach Alternativen Ausschau zu halten.

Viele Benutzer meinen, die Installation von Virenscanner und Firewall würde ausreichen und man sei damit ausreichend vor Angriffen geschützt. Allerdings wird dabei leider oft vergessen, dass diese Programme auch korrekt konfiguriert werden müssen, um einen effektiven Schutz zu bieten, was den Durchschnittsbenutzer oft überfordert. Außerdem lassen sich diese Schutzprogramme auch überlisten oder gar unbemerkt manipulieren. Ganz anders ist da die Situation bei den erwähnten unixoiden Systemen. Dazu empfehle ich den Artikel ›Personal Firewalls‹ bei UbuntuUsers.de.

Während man unter Windows seine Software üblicherweise mit Hilfe eines Browsers aus dem Internet herunterlädt und installiert – was eine Gefahrenquelle beinhaltet – geschieht die Installation von Software unter Linux in der Regel aus Paketquellen, die von dem Anbieter der Linux-Distribution zentral gepflegt werden. Die Pakete sind zusätzlich digital signiert, was gewährleistet, dass die Software beim Download nicht unbemerkt durch Dritte kompromittiert werden kann. Da den meisten Windows-Benutzern das Konzept von zentralen Paketquellen fremd sein dürfte, werden sie durch Windows dazu ermutigt, sich jede x-beliebige Software ungeprüft herunterzuladen und gefährden auf diese Weise ihr System.

Als Alternative zu Windows empfehle ich eine Linux-Distribution wie das von mir bevorzugte Linux Mint. Wenn auf dem Rechner genügend Platz vorhanden ist, lassen sich auch mehrere Betriebssysteme nebeneinander nutzen, so dass man nicht gezwungen ist, bei einem Umstieg sofort vollkommen auf Windows zu verzichten. Die parallele Installation von Linux neben Windows wird in einem eigenen Artikel beschrieben.

➤ Meide proprietäre Software

Sämtliche Software, die man verwendet, lässt sich aus lizenzrechtlicher Perspektive grob in zwei Kategorien einteilen: Bei einer Vielzahl der heute verwendeten Software einschließlich Betriebssystemen wie Microsoft Windows oder Apples Mac OS handelt es sich um proprietäre Software, deren Benutzung durch häufig restriktive Lizenzvereinbarungen, denen der Benutzer vor der Verwendung zustimmen muss, eng begrenzt wird. Bei Nichtbeachtung dieser Lizenzvereinbarungen (beispielsweise bei Weitergabe der Software an Familie, Freunde und Bekannte) kann einem eine Abmahnung aufgrund eines Verstoßes gegen das Urheberrecht drohen. Primäres Motiv der Anbieter dieser Software ist die finanzielle Gewinnerzielung durch die Vermarktung ihrer Produkte.

Auf der anderen Seite existiert aber auch eine große Menge an Software, deren Entwickler von dem Wunsch getrieben sind, den Benutzern Werkzeuge in die Hand zu geben, die es ihnen ermöglichen, ihren Rechner mit so wenig Beschränkungen wie möglich zu nutzen. Diese Produkte fallen in die Kategorie freie Software, die es den Benutzern erlaubt, die Software nicht nur zu verwenden, sondern bei Bedarf auch zu verändern und weiterzugeben, ohne dass ihnen juristische Schritte drohen. In diese Kategorie fallen beispielsweise Betriebssysteme wie Linux oder BSD sowie bekannte Produkte wie der Browser Mozilla Firefox, das E-Mail-Programm Mozilla Thunderbird, der VLC Mediaplayer, Büroanwendungen wie LibreOffice, die Bildbearbeitungssoftware Gimp, MediaWiki, die Software hinter Wikipedia, oder der Apache Webserver, der eine wichtige Grundlage des World Wide Web darstellt.

Das sicherheitsrelevante Problem bei proprietärer Software besteht aber vor allem darin, dass der Anwender nicht kontrollieren kann, was er sich da eigentlich installiert hat und was diese Programme tatsächlich tun, da diese Software grundsätzlich nur als Binärdatei erhältlich ist und damit der dem Programm zugrunde liegende Quelltext für den Benutzer weder einsehbar noch veränderbar ist (s. Black Box). Mit proprietärer Software erwirbt man daher die sprichwörtliche ›Katze im Sack‹. Um aber nachvollziehen zu können, was das Programm tut, wird der Quelltext benötigt, der vom Anbieter aber als Betriebsgeheimnis betrachtet wird und meist nur durch lizenzwidriges und damit in der Regel illegales Dekompilieren rekonstruiert werden kann. Bei Problemen mit der Software kann man diese nicht selbst anpassen und ist auf die Kooperation der Entwickler angewiesen. Natürlich enthält nicht jede proprietäre Software bösartigen Code. Vermutlich ist das bei den wenigsten Programmen der Fall. Das Problem ist nur, dass man es eben einfach nicht weiß und es keinen sicheren Weg gibt, das zu überprüfen oder überprüfen zu lassen. Es muss ja nicht gleich die Gefahr bestehen, dass die Entwickler vorsätzlich schädlichen Code wie beispielsweise eine Hintertür in die Software eingebaut haben. Sicherheitslücken ergeben sich viel häufiger einfach durch unausgereiften Code. Leider neigen viele Anbieter proprietärer Software dazu, existierende Sicherheitslücken oder Programmfehler zu verheimlichen (siehe dazu den Artikel Security through obscurity) und im besten Fall irgendwann stillschweigend zu beheben ohne diese Maßnahmen transparent zu machen. Dieses Verfahren ist deshalb so gefährlich, weil die Entwickler solcher Software durch die Geheimhaltung potentielle Opfer von Angriffen daran hindern, ihre Systeme zu schützen, da diese weder über die Gefahr noch über Gegenmaßnahmen informiert werden. Auf diese Weise werden potentielle Angreifer, die dagegen von einer Sicherheitslücke Kenntnis erlangt haben und diese für einen Angriff ausnutzen können, praktisch in ihren Handlungen unterstützt.

Im Gegensatz dazu liegt der Quelltext bei freier Software offen (siehe auch Open Source) und kann von jedem Menschen eingesehen und überprüft werden. Da Fehler in der Software so nicht nur von den Entwicklern gefunden und behoben werden müssen, sondern häufig von einer weltweiten Entwickler- und Nutzergemeinschaft (der so genannten Community) begutachtet werden (s. Sicherheitsaudit), läuft die Beseitigung von fehlerhaften oder schädlichen Bestandteilen oft schneller, auf jeden Fall aber für die Öffentlichkeit transparenter ab. Dies wird erreicht, indem in der Regel von Bugtrackern Gebrauch gemacht wird, bei denen für die Öffentlichkeit die Möglichkeit besteht, sich über Programmfehler zu informieren, solche zu melden, den Entwicklungstand bezüglich eines Fehlers zu verfolgen oder selbst einen Beitrag zu dessen Behebung zu leisten.

Aus diesen Gründen stellt proprietäre Software ein Sicherheitsrisiko dar und sollte gemieden werden. Für viele proprietäre Programme existieren auch freie Alternativen.

➤ Überprüfe die Vertrauenswürdigkeit einer Softwarequelle

Wenn dein Betriebssystem Software aus zentralen Paketquellen beziehen kann, kannst du diesen Weg der Installation als sicher betrachten. Solltest du dagegen Programme mit Hilfe deines Browsers aus dem Internet herunterladen, dann vergewissere dich vor der Installation, dass die Quelle auch vertrauenswürdig ist. Benutze im Zweifelsfall eine Suchmaschine, um dich vor der Installation über die Seriosität eine Software zu informieren.

Bei bekannten und weit verbreiteten Programmen kannst du einigermaßen darauf vertrauen, dass das Programm bei richtiger Verwendung sicher ist, da Sicherheitslücken angesichts vieler auch erfahrener Nutzer ansonsten bekannt sein dürften. Dennoch solltest du das Programm nur von der offiziellen Website des Anbieters herunterladen und nicht von irgendwelchen Softwareportalen oder anderen Webseiten, da dort nicht gewährleistet ist, dass es sich um das Originalprogramm handelt, das du haben möchtest, auch wenn es als original beworben wird und der Name der Installationsdatei darauf hindeutet. Achte beim Download auch darauf, dass die URL (auch ›Internetadresse‹ genannt) des Download-Links nicht auf eine Quelle verweist, die überhaupt nichts mit dem Anbieter zu tun hat. Du kannst das Ziel eines Links anzeigen lassen, wenn du den Mauszeiger vor dem Anklicken lediglich über den Link bewegst.

Sei wachsam bei unbekannter Software, insbesondere wenn es sich nicht um Open-Source-Software handelt. Informiere dich gründlich über die Funktionsweise und Seriosität der Software, bevor du sie dir installierst. Verwende bei deiner Recherche zu dem Programm Suchbegriffe wie ›Programm XY Malware‹ oder ähnliches. Wenn auch die meisten angebotenen Programme harmlos sein dürften, so ist dies dennoch der häufigste Weg, den eigenen Rechner mit Schadsoftware zu infizieren.

Lade dir keine Software von Softwareportalen herunter, die offenkundig illegale, da gecrackte Programme (sog. Warez) oder Links zu solchen anbieten. Du gibst damit den eigentlichen Urhebern der Software nicht nur zusätzlichen Vorwand, die behördliche Kontrolle des Internets voranzutreiben, du läufst auf diesem Wege vor allem Gefahr, dir manipulierte Software zu installieren. Cracker besitzen von Natur aus ein gewisses Maß an Skrupellosigkeit und krimineller Energie, und es gibt keine Garantie, dass sich diese nicht auch in Form von Schadsoftware oder ähnlichem gegen dich wendet, so verführerisch die Aussicht auf eine Gratisversion einer ansonsten vielleicht unerschwinglichen Software auch sein mag. Das gleiche gilt für das Filesharing illegaler Inhalte.

➤ Halte deine Software auf dem neuesten Stand

Die gängigen Betriebssysteme bieten regelmäßige Aktualisierungen der Systemkomponenten, wovon man auch Gebrauch machen sollte, da auf diese Weise nicht nur neue Funktionen zur Verfügung stehen, sondern auch eventuell vorhandene Sicherheitslücken geschlossen werden.

Während unter Linux neben den Systemkomponenten auch alle über die zentrale Paketverwaltung installierten Anwendungen aktualisiert werden, sobald Updates vorhanden sind, müssen diese unter Windows individuell auf den neuesten Stand gebracht werden. Einige Anwendungen prüfen das Vorhandensein von Updates automatisch, für andere dagegen muss man das selbst in Erfahrung bringen.

Insbesondere Programme, über die man sich mit einem Netzwerk verbinden kann, wie beispielsweise Web-Browser oder Chat-Programme sollten immer aktuell gehalten werden, da diese für potentielle Angreifer das leichteste Einfallstor darstellen.

Obwohl die Aktualisierung von Betriebssystem und installierten Anwendungen von entscheidender Bedeutung für die Sicherheit des Systems ist, beherzigen viele Benutzer diesen Aspekt leider viel zu wenig. Insbesondere der Upgrade des Betriebssystems stellt für viele eine große Hürde dar, vielleicht weil sie sich von dieser Maßnahme technisch überfordert fühlen oder befürchten, sich bei einer neuen Version auf zu viele Veränderungen einstellen zu müssen. Da sie sich an die bisherige Version gewöhnt haben und damit vielleicht auch ganz zufrieden sind, sehen sie unter Umständen auch keine Veranlassung für eine Aktualisierung, selbst wenn die regelmäßige Versorgung mit Updates von Seiten des Herstellers bereits eingestellt wurde, obwohl auf diese Weise auch keine Sicherheitslücken mehr geschlossen werden können und der Rechner immer unsicherer wird.

Doch nicht nur private Anwender tun sich mit dieser Maßnahme schwer. Auch Unternehmen und selbst Behörden sind oft nur sehr zögerlich bereit, den Aufwand eines Upgrades auf sich zu nehmen, wie beispielsweise das Ende des Lebenszyklus von Windows XP gezeigt hat (siehe auch die Themensparten bei heise.de und golem.de). Menschen, die Windows XP nutzen und darüber hinaus auch noch auf den Internet Explorer schwören, sind besonders gefährdet, weil für diesen Browser ab Version 8 (veröffentlicht im Jahr 2009) unter Windows XP keine Aktualisierung auf eine neuere Version mehr möglich ist. Sie bewegen sich mit einem viele Jahre alten Browser durchs Internet, während beispielsweise für Mozilla Firefox alle paar Wochen Updates erscheinen, die auch Sicherheitsaktualisierungen beinhalten können.

➤ Öffne keine Anhänge von E-Mails dir nicht bekannter Absender

Eine bei Angreifern beliebte Methode ist das Einschleusen von Schadsoftware über Anhänge in harmlos erscheinenden E-Mails mit verführerischem Inhalt. Der Nutzer soll zum Öffnen des Anhangs animiert werden und startet damit aber die Schadsoftware, die dann unabsehbare Aktionen durchführt. Ob es sich bei einem Anhang um eine Schadsoftware handelt, ist zunächst nicht immer erkennbar. In der Windows-Welt sollte man bei Dateien mit der Endung .com (DOS-Befehlsdatei), .exe (ausführbare Datei) oder .scr (Bildschirmschoner) grundsätzlich misstrauisch werden, da es sich hierbei immer um lauffähige Programme handeln kann. Doch selbst in präparierten Microsoft Office-Dateien z. B. für Word (.doc), Excel (.xls) und PowerPoint (.ppt, .pps) sowie in PDF-Dokumenten können Viren schlummern, die Sicherheitslücken ausnutzen. Daher sollte man immer große Vorsicht walten lassen, wenn man unaufgefordert E-Mails mit einem Anhang erhält. Ist der Absender unbekannt, kann es sich um einen Angreifer handeln, wobei eine bekannte oder Vertrauen erweckende Absenderadresse keinerlei Indiz für eine sichere Mail ist, da ein Angreifer diese Adresse leicht fälschen kann. Häufig behaupten solche Angreifer in ihren Anschreiben, man habe eine Rechnung zu begleichen oder man solle an einer Umfrage teilnehmen oder ähnliches. E-Mails, auf deren Inhalt man sich keinen Reim machen kann, sind mit Skepsis zu betrachten. Im Zweifelsfall gilt immer, besser einen Anhang ungeöffnet lassen. Wenn man den Anhang gefahrenlos untersuchen möchte, kann man dazu einen Hex-Editor verwenden.

Als Grundregel kann man gelten lassen, dass E-Mails, die

• Anhänge enthalten
• von unbekannten Absendern stammen
• unaufgefordert zugestellt wurden
• plakativ formuliert sind
• Download-Links enthalten

mit großer Vorsicht zu betrachten sind. Absenderadressen sind wie gesagt kein sicheres Merkmal, um die Herkunft einer E-Mail zu bestimmen. Aussagekräftiger ist da die IP-Adresse des Mailservers, über den die Mail abgeschickt wurde. Diese ist dem Header der E-Mail zu entnehmen.

➤ Unterbinde das Nachladen von externen Grafiken in E-Mails

Grafiken können in E-Mails auf zwei verschiedene Arten eingebunden sein. Entweder werden sie als Datei mit der E-Mail selbst verschickt, wodurch diese entsprechend viel Datentraffic und damit auch Speicherplatz benötigen. Oder sie werden im Quelltext der betreffenden E-Mail lediglich referenziert und erst beim Öffnen der E-Mail von einem entfernten Server des Internets nachgeladen, um den Traffic gering zu halten und den verfügbaren Speicherplatz nicht unnötig zu belasten. Dieses Anliegen ist zwar zunächst nachvollziehbar und fair.

Diese Technik kann aber auch dazu missbraucht werden, beim Öffnen der E-Mail Daten nachzuladen, bei denen es sich gar nicht um eine Grafik, sondern um beliebigen anderen Code handelt, der sich der Kontrolle des Benutzers entzieht. Auf diese Weise können diverse Informationen über den Benutzer abgerufen oder Sicherheitslücken des Programms, mit dem die E-Mail geöffnet wurde, ausgenutzt und Schadsoftware auf dem Rechner des Benutzers installiert oder sogar ausgeführt werden.

Aus diesem Grund sollte man das Nachladen von externen Grafiken nur für solche E-Mails erlauben, denen man absolut traut.

➤ Sei wachsam bei Kurz-URLs

Ob in E-Mails oder auf Webseiten, gelegentlich stößt man bei dort enthaltenen Links auf so genannte Kurz-URLs. Dies sind Internet-Adressen, über die eine Weiterleitung zu dem eigentlichen Ziel des Links hergestellt wird. Primärer Zweck einer Kurz-URL ist die Reduzierung der Zeichenzahl der Adresse, um diese einfacher weitergeben zu können. Allerdings können Kurz-URLs auch dazu missbraucht werden, eine Zieladresse zu verschleiern, denn der Benutzer kann an der Kurz-URL nicht erkennen, wohin der Link führt. Auf diese Weise kann man ungewollt auf eine Seite geleitet werden, die Schadsoftware zu installieren oder private Daten auszuspähen versucht.

Eine solche Kurz-URL ist zum Beispiel bit.ly/1Be40D0.

Um das Linkziel einer Kurz-URL vor dem Anklicken zu überprüfen, kann ein entsprechender Dienst wie beispielsweise redirectcheck.com, longurl.org oder checkshorturl.com genutzt werden.

➤ Lasse dich nicht zur Installation verleiten

Angreifer, die es auf deinen Rechner oder deine Daten abgesehen haben, sind dazu häufig auf deine Kooperation angewiesen. Sie nutzen die Gutgläubigkeit und den fehlenden Sachverstand von Menschen aus und versuchen, sie dazu zu verleiten, die Schadsoftware herunterzuladen und sich zu installieren (s. Social Engineering).

Dazu werden häufig E-Mails verschickt, in denen diese Programme als harmlos, interessant, nützlich oder gar wichtig beworben werden. Ebenso werden Nutzer verunsichert, indem sich beim Surfen im Internet plötzlich Fenster mit angeblichen Sicherheitswarnungen öffnen, in denen behauptet wird, auf dem Rechner sei Schadsoftware oder pornografisches oder illegales Material gefunden worden und man müsse nun eine bestimmte Software installieren, um den Rechner davon zu säubern.

Solchen Aufforderungen sollte man niemals nachkommen. Statt dessen sollte man die Quelle solcher Aufforderungen ermitteln und die entsprechenden Seiten sperren.

➤ Überprüfe deine Startprogramme

Sollte sich Schadsoftware bereits auf deinem Rechner eingenistet haben, so kann es sein, dass diese jedes Mal, wenn du deinen Rechner hochfährst, automatisch ausgeführt wird. Im einfachsten Fall geschieht das durch einen Eintrag in der Liste deiner Startprogramme. Daher solltest du dort regelmäßig nachschauen und prüfen, ob du alle diese Programme verwenden möchtest. Ob ein dort aufgeführtes Programm nützlich oder schädlich ist, ist nicht immer zweifelsfrei zu erkennen, da auch die Namen und Beschreibungen von Schadprogrammen als harmlos getarnt sein können.

➤ Desinfiziere externe Speichermedien

Computerviren pflanzen sich gerne auf andere Rechnersysteme fort, indem sie sich automatisch und unbemerkt auf angeschlossene Speichermedien wie externe Festplatten, SD-Karten oder ähnliche Medien kopieren.

Um nicht selbst Opfer solcher Angriffe zu werden und auch andere Rechner davor zu schützen, auf diesem Wege infiziert zu werden, sollte man besonders unter Microsoft Windows angeschlossene Speichermedien immer einem Virencheck mit einem geeigneten Virenscanner unterziehen.

Fremde Rechner, insbesondere in Internetcafés, sind eine häufige Quelle für Infektionen dieser Art, da diese Rechner von sehr vielen unterschiedlichen Menschen genutzt werden und man selbst keine Kontrolle über die Sicherheit dieser Rechner besitzt.

☠ Ausspähen der eigenen Kommunikation übers Internet

Eigene Anfragen an Server im Internet und deren Antworten werden ebenso wie die Kommunikation über E-Mail, Sofortnachrichtendienste, Internettelefonie oder Videochat ohne besondere Schutzmaßnahmen im Klartext übertragen. Die dabei transportierten Daten gehen dabei meist nicht den direkten Weg, sondern werden über eine Kette von Zwischenstationen weitergereicht. Insbesondere an diesen Knotenpunkten können die versendeten Daten beispielsweise über einen Man-in-the-Middle-Angriff mitgelesen und unter Umständen auch manipuliert werden.

Mit der missbräuchlichen Kontrolle durch private Cyberkriminelle ist hier wohl weniger zu rechnen. Seit einiger Zeit wächst in der Öffentlichkeit aber das Bewusstsein, dass aufgrund der Automatisierbarkeit der Überwachung dieser Datenwege besonders Geheimdienste versuchen, diese Kanäle zu kontrollieren. Obwohl durch diese Maßnahmen in massiver Weise das Grundrecht auf Privatsphäre verletzt wird, empfinden viele Menschen dennoch bislang kaum die Notwendigkeit, sich gegen diese Form der Überwachung zu schützen. Die Position ›Ich habe ja nichts zu verbergen‹ erscheint mir hier etwas bedenklich, da sie einerseits eine grundsätzliche Zustimmung zur flächendeckenden und anlasslosen Überwachung beinhaltet, andererseits in der Regel wohl auch nicht wirklich zutrifft, denn wer würde schon Kameras und Mikrofone in seiner Wohnung dulden, nur weil man ja nichts zu verbergen hat?

Es muss allerdings auch gesagt werden, dass die hier aufgeführten Maßnahmen zum Schutz der Privatsphäre mit erhöhtem technischen Aufwand und Bequemlichkeitseinbußen verbunden sind und man abwägen muss, wie wichtig es einem ist, der Überwachung Widerstand zu leisten und zu welchem Aufwand man dafür bereit ist.

➤ Schütze dein Netzwerk

Wer privat oder geschäftlich einen Internetzugang nutzt, tut dies in der Regel als Teil eines Netzwerkes (meist in Form eines LAN), auch wenn der eigene Rechner der einzige innerhalb des LAN ist. Der Datenverkehr zwischen den einzelnen Teilnehmern des Netzwerkes wird in der Regel über einen Router geregelt. Dies ist das Gerät, das sich zwischen dem Telefonanschluss und dem Rechner befindet. An einem Router können weitere Rechner über ein LAN-Kabel oder kabellos über WLAN angeschlossen sein.

Da der gesamte Datenverkehr zwischen dem Internet und dem eigenen Rechner über den Router fließt und dieser auch aus dem Internet heraus erreichbar ist, ist der Router ein beliebtes Angriffsziel für Internetkriminelle und Geheimdienste. Oft werden Router mit den originalen Werkseinstellungen betrieben, was das Eindringen in ein solches Gerät relativ leicht macht. Hierbei geht es nicht nur um das Mitschneiden von Kommunikation, sondern unter Umständen auch um das gezielte Fälschen von Antworten auf Anfragen des Benutzers an entfernte Server im Internet durch DNS-Spoofing, bei dem der Benutzer auf gefälschte Webseiten umgeleitet wird, ohne dass es für ihn ohne Weiteres ersichtlich ist.

Grundsätzlich sollte man daher immer ein eigenes sicheres Passwort für den Zugang zum Router festlegen. Das Passwort und alle anderen Einstellungen des Routers können meist über eine eigene Administrationsoberfläche verwaltet werden, die man im Browser über eine spezielle lokale IP-Adresse aufrufen kann.

Weiterhin sollte man sicherstellen, dass die Firmware (das Betriebssystem) des Routers immer aktuell ist, da Aktualisierungen auch Korrekturen zu eventuellen Sicherheitslücken enthalten können. Die Prüfung und Installation von aktuellen Versionen der Firmware erfolgt ebenfalls über die Administrationsoberfläche des Routers.

Wer sich kabellos per WLAN mit dem Internet verbindet, sollte schließlich dafür sorgen, dass die Daten sicher verschlüsselt werden (s. WLAN/Datensicherheit).

➤ Verschlüssele deine Kommunikation

Mit Hilfe von Verschlüsselung – insbesondere asymmetrische Ende-zu-Ende-Verschlüsselung – können über das Internet gesendete Daten vor unbefugtem Mitlesen geschützt werden, sofern der verwendete private Schlüssel geheim gehalten wird und über ein starkes Passwort geschützt ist. Für die Umsetzung dieser Art von Verschlüsselung stehen verschiedene Technologien zur Verfügung.

Während es möglich ist, durch Verschlüsselung die Inhalte der eigenen Kommunikation zu verschleiern, bleiben die Metadaten dieser Kommunikation – also Informationen darüber, wer wann mit wem über welche Wege kommuniziert hat – dennoch nachverfolgbar, da diese nicht verschlüsselt werden. Mit Anonymisierungsverfahren lassen sich allerdings auch die Kommunikationswege verschleiern. Verschlüsselung und Anonymisierung zu kombinieren wird mit Bitmessage angestrebt.

Erfolgt das Surfen im Netz lediglich über das Protokoll HTTP, so wird dabei keine Verschlüsselung angewendet, das heißt, es werden alle übertragenen Daten zwischen Sender und Empfänger in beiden Richtungen im Klartext übertragen und können daher auch ohne weiteres mitgelesen und manipuliert werden. Um Opfer eines gezielten Angriffs zu werden, muss der Angreifer zwar die momentan verwendete IP-Adresse einem konkreten Ziel zuordnen können, was insbesondere bei einer dynamisch vergebenen IP-Adresse nicht trivial und daher auch nicht besonders wahrscheinlich ist. Die fehlende Verschlüsselung kann aber auch zur ungezielten massenhaften Verbreitung von Schadcode missbraucht werden. Daher sollte grundsätzlich – wenn verfügbar und insbesondere bei der Übertragung von schützenswerten privaten Daten – das Protokoll HTTPS verwendet werden (und die DSGVO schreibt dies Anbietern auch vor), wobei die TLS-Technologie zur Anwendung kommt. Dies ist daran zu erkennen, dass die URL der aufgerufenen Seite mit https:// beginnt und nicht mit http://. Außerdem wird in der Adresszeile des Browsers beispielsweise durch ein grünes Schlosssymbol explizit auf eine sichere Verbindung hingewiesen. Mit der Browser-Erweiterung HTTPS Everywhere wird man bei einer Reihe von Webseiten automatisch auf deren verschlüsseltes Angebot umgeleitet.

Bei der Kommunikation über E-Mail verhält es sich ähnlich. Ohne eine explizit verwendete Verschlüsselung werden auch E-Mail-Inhalte im Klartext übermittelt. Für die Verschlüsselung kommt häufig GnuPG zum Einsatz. Dieses Verschlüsselungssystem wird für den E-Mail-Client Mozilla Thunderbird beispielsweise durch die Erweiterung Enigmail implementiert, deren Einsatz auf einer eigenen Seite beschrieben wird. Für einige Webmailer kann die Firefox-Erweiterung Mailvelope verwendet werden (das allerdings momentan als unsicher eingestuft wird, s. heise.de). E-Mail-Dienste, die sich auf Verschlüsselung spezialisiert haben, sind beispielsweise Posteo und mailbox.org.

Verschlüsselung bei Sofortnachrichtendiensten (Chat über Instant Messaging) kann mit OTR erreicht werden, das beispielsweise vom plattformübergreifenden Desktop-Client Pidgin unterstützt wird. Bei den gängigen mobilen Clients wie Signal, Telegram oder WhatsApp wird Verschlüsselung angeboten aber unterschiedlich sicher implementiert.

Für verschlüsselte Videokonferenzen (Videotelefonie) steht unter anderem der Client Jitsi zur Verfügung.

Siehe auch: Cryptocat, Autocrypt

➤ Lösche alte E-Mails auf dem Server deines E-Mail-Dienstes

E-Mails werden in der Regel auf einem entfernten Rechensystem gespeichert, auf dessen Sicherheit man selbst keinen Einfluss hat, und können daher dort auch ausgelesen oder manipuliert werden, wenn es einem Angreifer gelungen sein sollte, in das System einzudringen. Um die Erfolgsaussichten eines solchen Angriffs wenigstens zu verringern, sollte man alte E-Mails, die man nicht mehr benötigt, auch regelmäßig aus dem System entfernen, da für den Angreifer selbst in diesen Mails wertvolle Informationen enthalten sein können.

E-Mail-Programme bieten die Möglichkeit, E-Mails auf dem eigenen Rechner zu speichern, bevor sie auf dem Server gelöscht werden.

➤ Nutze Anonymisierungsdienste

Da es bei der Verschlüsselung wie gesagt möglich ist, die Verbindungsdaten einer Kommunikation nachzuverfolgen, können diese mit Hilfe von Anonymisierungsverfahren verschleiert werden.

Als bekannte Vertreter sind hier Tor, Privoxy, GNUnet oder JonDo zu nennen. Eine Linux-Distribution mit Schwerpunkt Anonymität ist Tails.

Eine Möglichkeit, E-Mails anonymisiert zu versenden, besteht in der der Verwendung von so genannten Remailern. Einen anonymen E-Mail-Dienst bietet der Chaos Computer Club auf der Seite anonbox.net.

☠ Unerwünschte Verbreitung persönlicher Daten

Wenn es Angreifer nicht darauf angelegt haben, einen Rechner unter ihre Kontrolle zu bekommen oder Dateien zu beschädigen, dann sind sie meist an den persönlichen Daten eines Benutzers interessiert. Insbesondere die eigenen Kontaktdaten, Bankverbindungsdaten, Freundeslisten und natürlich Zugangsdaten wie Benutzernamen und Passwörter aber auch die Lesezeichen des Browsers und die Liste der bisher besuchten Webseiten (Browserverlauf) sind hier besonders wertvoll. Dabei geht es im ›harmlosesten‹ Fall häufig darum, die betroffene Person mit Spam zu überhäufen, wobei entweder die gefundenen Kontaktdaten direkt verwendet oder an andere Interessenten weiterverkauft werden. Kritischer stellt sich die Lage dar, wenn es die erbeuteten Daten dem Angreifer ermöglichen, sich Zugangsrechte des Benutzers zu erschleichen und in dessen Namen getarnt Aktionen durchzuführen, die zunächst andere schädigen und im Falle eines Rechtsverstoßes auf den betroffenen Benutzer zurückfallen, der dadurch unter Umständen in die Beweispflicht gerät, dass jemand anderes in seinem Namen gehandelt hat (s. Identitätsdiebstahl und Störerhaftung).

In diesen Fällen ist der Angreifer weniger an der Person selbst als an ihren Daten interessiert. Anders verhält es sich, wenn aus der Verknüpfung der gefundenen Daten ein aussagekräftiges Persönlichkeitsprofil gebildet wird und der betroffene Benutzer dadurch unter eine gewisse Form geheimer Beobachtung gerät. Dabei werden oft auch freiwillig oder leichtsinnig abgegebene Informationen des Benutzers verwendet, wie das beim ungeschützten Surfen im Internet häufig passiert, um einem Benutzer beispielsweise Werbung zu präsentieren, die an dessen persönliche Interessen, an seine Kontakte oder an seinen Aufenthaltsort angepasst wurde.

Was genau mit den gesammelten Daten geschieht, entzieht sich unserer Kontrolle, weshalb man grundsätzlich darauf achten sollte, so wenig persönliche Informationen wie möglich über das Internet zu verbreiten. Im Zweifelsfall halte ich es für besser, angeforderte private Daten, die man nicht mitteilen möchte, zu fälschen, als sie Systemen zur Verfügung zu stellen, deren Vertrauenswürdigkeit man nicht einschätzen kann.

➤ Lasse dich nicht zur Preisgabe deiner Daten verleiten

Am einfachsten ist es für einen Angreifer natürlich, wenn man seine persönlichen Daten – oder auf was er es gerade abgesehen hat – freiwillig herausrückt. Wenn uns dafür nicht wie beispielsweise in Sozialen Netzwerken, bei Online-Shops oder auch außerhalb des Internets wie bei Gewinnspielen oder Bonussystemen wie Payback oder DeutschlandCard eine konkrete erwünschte Dienstleistung oder zumindest ein erwünschtes ›Konsum-Erlebnis‹ als Gegenleistung geboten werden kann, dann setzen Angreifer oft auf Verführung oder Betrug (s. Phishing). Dabei werden diverse Vorteile oder Notwendigkeiten vorgegaukelt, die die Herausgabe der gewünschten Daten erforderten. Hier wird mangelnder Sachverstand und die Gutgläubigkeit der Betroffenen ausgenutzt, die seriöse Hinweise oft nicht von betrügerischen unterscheiden können und im Zweifelsfall eher zur Kooperation als zur Vorsicht neigen (s. Social Engineering). Beispiele für solche Fallen, die einem in Form von entsprechend gestalteten E-Mails, als Webseite oder als sich überraschend öffnendes Programmfenster begegnen können, sind:

• die Klassiker: Penisverlängerungen und gefälschte Potenzmittel
• angebliche Sicherheitsprobleme auf dem eigenen Rechner (Virenbefall)
• angeblich auf dem eigenen Rechner gefundene illegale Software (z. B. Kinderpornografie)
Kettenmails verschiedenster Art (z. B. Hilferuf aus Afrika, Asien, Südamerika…)
• angebliche Sicherheitsüberprüfung einer Behörde, Bank oder eines Telekommunikationsdienstes
• erfundene Nachforderungen
• Aufforderung zu einer Überweisung, um einer Strafverfolgung zu entgehen
Abofallen etc.

Solchen Aufforderungen sollte man niemals nachkommen. Ebenso sollte man niemals Passwörter oder andere Zugangsdaten wie beispielsweise Transaktionsnummern (TAN) für das Online-Banking preisgeben. Statt dessen sollte man sich im Zweifelsfall mit seiner Bank in Verbindung setzen und sie über diesen Angriffsversuch informieren. Grundsätzlich sollte man im Zweifelsfall immer zuerst eigene Bemühungen anstellen, um die Ernsthaftigkeit unangefordert verschickter Informationen zu überprüfen.

Gelegentlich erfragen manche Online-Dienste die eigene Handynummer, um beispielsweise im Falle eines vergessenen Zugangspasswortes dieses oder ein neues per SMS zustellen zu können. Dabei sollte man sich aber darüber im Klaren sein, dass auf diese Weise eine Verknüpfung zwischen Handynummer und dem entsprechenden Online-Account hergestellt werden kann. Sollte man beispielsweise sein Handy anonym per Guthabenkarte betreiben, hat man seine Anonymität in dem Moment aufgegeben, wo die eigenen persönlichen Daten, die man bei dem Online-Dienst hinterlegt hat, dem man seine Handynummer zur Verfügung gestellt hat, Rückschlüsse auf die eigene Person zulassen.

➤ Verschicke Zugangsdaten u. ä. niemals unverschlüsselt

Zu den gefährlichsten Handlungen, durch die man selbst leicht dazu beitragen kann, Angreifern den Zugang zu eigenen Daten zu ermöglichen, gehört die unverschlüsselte Weitergabe von Zugangsdaten wie Benutzernamen und Passwörtern, PIN oder TAN etc. an andere Personen über E-Mail oder ähnliche Kommunikationswege.

Wir wissen nicht, in welchem Maße und von wem unsere Kommunikation überwacht wird. Wir wissen aber, dass es beispielsweise durch Man-in-the-Middle-Angriffe technisch möglich ist und dass beispielsweise Geheimdienste Überwachung auch flächendeckend und anlasslos durchführen, also auch dann, wenn wir vollkommen unbescholtene Bürger sind. Wir müssen also damit rechnen, dass unsere Kommunikation überwacht wird.

Dabei muss man es sich aber nicht so vorstellen, dass da ein Spion welcher Art auch immer mit Kopfhörern vor einem Rechner sitzt und uns dabei zusieht und -hört, wie wir Informationen austauschen. Diese Art der Überwachung wird von Maschinen durchgeführt und geschieht automatisiert, im einfachsten Fall anhand von speziellen Suchbegriffen – wie man das selbst von einer Suche mit einer Suchmaschine kennt – durch die sensible Informationen aus unserer Kommunikation herausgefiltert werden können. Zugangsdaten sind für Spione neben jeder Art von privaten Daten natürlich goldwert, da sie es ihnen ermöglichen, noch tiefer in unser Privatleben einzudringen oder dort in unserem Namen Aktionen durchzuführen.

Wenn es sich nicht grundsätzlich vermeiden lässt, solche Daten überhaupt zu verschicken, dann sollte das immer verschlüsselt geschehen, wie bereits im Artikel oben erwähnt.

➤ Überlege dir, was du im Internet oder mit Kreditkarte kaufst

Sei dir darüber im Klaren, dass mit jedem Einkauf, den du im Internet tätigst oder bei dem du mit Kreditkarte bezahlst, irgendwo Daten über dich und deinen Einkauf erfasst und gespeichert werden. Auf diese Weise kann nicht nur dein Konsumverhalten analysiert und daraus ein Persönlichkeitsprofil erstellt werden, auch kann so gerade bei netzwerkfähigen Geräten wie Routern, PCs, Tablets oder Mobiltelefonen aber unter Umständen sogar bei Navigationssystemen oder bei Digitalkameras theoretisch ein Bezug zwischen dir, dem verwendeten Gerät und deinen Handlungen mit diesem Gerät hergestellt werden, da diese Geräte in der Regel eindeutige und einzigartige Erkennungsmerkmale wie beispielsweise eine MAC-Adresse oder IMEI-Nummer besitzen und dadurch identifiziert werden können.

Wenn du solche Geräte anonym nutzen möchtest, stelle zuvor sicher, dass du sie auch anonym erworben hast.

➤ Verwende starke und einzigartige Passwörter

Je länger man den Computer nutzt, um diverse alltägliche Aufgaben zu bewältigen, umso öfter wird man irgendwo ein Passwort für ein schützenswürdiges Benutzerkonto oder eine vertrauliche Datei angelegt haben. Um angesichts der wachsenden Zahl von Situationen, in denen man sich auf diese Weise authentifizieren muss, den Überblick über die eigenen Passwörter nicht zu verlieren, mag man geneigt sein, einfach überall das gleiche Passwort zu verwenden. Diese Entscheidung ist aber höchst riskant, da potentiellen Angreifern dieses Verhalten bekannt ist und sie im Falle des Ausspionierens auch nur eines einzigen gültigen Passwortes (beispielsweise durch einen Wörterbuchangriff, die Brute-Force-Methode oder durch Verwendung von Rainbow Tables) dieses dann auch an anderen Orten ausprobieren können und sich so leicht Zugang zu vielen weiteren geschützten Konten oder Dateien verschaffen können.

Grundsätzlich sollten Passwörter einzigartig und möglichst lang sein und Groß-, Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Man muss hier für sich einen guten Mittelweg zwischen Sicherheit und Komfort finden.

Die sicherste Lösung für diese Anforderung ist die Verwendung eines Passwortmanagers (beispielsweise plattformunabhängig mit KeePassXC). Dieses Programm enthält auch einen Passwortgenerator für starke Passwörter. Allerdings nutzt einem diese Option wenig, wenn man sich an fremden Rechnern – beispielsweise in einem Internet-Café – einloggen muss, es sei denn man hat sich das benötigte Passwort zuvor notiert.

Man kann sich die Passwörter auch in eine Text- oder Tabellendatei schreiben und dieses Dokument selbst mit einem Passwort schützen. In LibreOffice beispielsweise werden passwortgeschützte Dokumente automatisch auch verschlüsselt, so dass diese auch nicht mit einem Hex-Editor sinnvoll ausgelesen werden können.

Schließlich sollte man auch daran denken, seine Passwörter immer mal wieder zu ändern, da auch bei Befolgung aller Sicherheitstipps immer ein Restrisiko bleibt, dass Zugangsdaten öffentlich geworden sein können.

➤ Blockiere Skripte, die dein Surfverhalten ausspähen

Wer im Internet surft, begegnet regelmäßig unwissentlich Webseiten, auf denen meist in JavaScript geschriebene Computerprogramme (Skripte) enthalten sind, die Daten über jeden Besucher sammeln und zur Speicherung bzw. Auswertung an einen entfernten Server senden. Diese Programme werden häufig von Drittanbietern zur Verfügung gestellt und dienen dem Betreiber einer Webseite oft zur Nutzer- und Marktanalyse. Die bei diesem als Tracking bezeichneten Verfahren gesammelten Daten können aber auch dazu verwendet werden, heimlich das Surfverhalten des Benutzers oder seinen Standort zu überwachen und von ihm ungefragt ein Persönlichkeitsprofil zu erstellen. Zumindest die Daten, die ein Browser ins Netz sendet, können schon dazu ausreichen, einen Nutzer zu identifizieren, auch wenn dessen Person unbekannt ist (›Ich weiß nicht, wer du bist, aber ich weiß, dass du schon mal auf der Seite xyz warst.‹). Welche Daten über den Browser öffentlich werden, lässt sich auf der Seite Panopticlick ermitteln.

Um die Übersicht und Kontrolle darüber zu erlangen, welche Skripte eingesetzt werden, exitieren für einige Browser spezielle Erweiterungen, über die man einzelne Skripte auch deaktivieren und bestimmte Werbung auf Webseiten abstellen kann:

Ghostery, NoScript, uBlock, Privacy Badger und das etwas umstrittene Adblock Plus.
Interessant auch das Add-on ›Disconnect‹ für Firefox, Chrome/Chromium und Opera.

Siehe auch Do Not Track.

➤ Sei vorsichtig bei Browser-Erweiterungen

Viele Browser erlauben die nachträgliche Installation von so genannten Plug-ins, Add-ons oder Erweiterungen, die die Funktionalität des Browsers erweitern. Diese Erweiterungen werden in der Regel nicht von den Herstellern des Browsers produziert, weshalb bei ihrer Verwendung die gleichen Sicherheitsmaßnahmen angewendet werden sollten, wie bei jeder anderen Software auch. Grundsätzlich ist davon auszugehen, dass es Erweiterungen möglich ist, beispielsweise das eigene Surfverhalten zu protokollieren und gegebenenfalls an andere zu übermitteln. Ob dies wirklich geschieht, kann nur durch die eigene Überwachung des Datenverkehrs festgestellt werden. Für sicherheitsrelevante Aktivitäten sollten Erweiterungen daher deaktiviert werden. Am besten verwendet man aber für solche Aktivitäten einen eigenen Browser, bei dem überhaupt keine Erweiterungen installiert sind, bzw. nur solche, denen man vertrauen kann.

➤ Deaktiviere unerwünschte Cookies

Viele Websites legen so genannte Cookies auf dem eigenen Rechner ab. Das sind kleine Dateien, in denen vorübergehend Daten gespeichert werden, die für die Dauer der individuellen Sitzung von Bedeutung sind. Oft verlieren diese Cookies aber nicht am Ende einer Sitzung ihre Gültigkeit und verbleiben für spätere Sitzungen auf dem Rechner. Auf diese Weise ist es beispielsweise möglich, eine neue Benutzersitzung mit einem Dienst im Internet zu beginnen, ohne sich erneut einloggen zu müssen.

Dieser Einsatz von Cookies ist oft sinnvoll und vom Benutzer gewünscht. Einige Seiten dokumentieren den Einsatz von Cookies auch transparent im Rahmen ihrer Datenschutzerklärung und weisen darauf gemäß der sogenannten Cookie-Richtlinie hin. Andererseits können Cookies auch dafür verwendet werden, um das Nutzerverhalten auszuspähen, wenn der Betreiber einer Webseite einem Drittanbieter durch Einbinden von zusätzlichem Code das Setzen von Cookies erlaubt. Diese Cookies können dann auch auf anderen Webseiten, die dem Drittanbieter ebenfalls geöffnet wurden, ausgelesen werden. Auf diese Weise können die verschiedenen, vom Benutzer besuchten Webseiten in einen Zusammenhang gebracht und zu einem Benutzerprofil kombiniert werden (s. Tracking). Dieser Einsatz bietet dem Nutzer meist keinen Mehrwert, sondern gefährdet dessen Privatsphäre, weshalb Cookies von solchen Anbietern im Browser deaktiviert werden sollten. Allerdings gilt das nicht in allen Fällen, weshalb man nach der Deaktivierung die Funktionsweise der Webseite überprüfen sollte. In der Regel kann man in den Einstellungen des verwendeten Browsers eine Liste mit allen abgelegten Cookies einsehen, um zu erfahren, wer diese Technik einsetzt.

Über die folgenden Links findet man Informationen zum Deaktivieren der Cookies von Drittanbietern für die Browser Mozilla Firefox, Google Chrome und Opera.

➤ Schütze dich und andere vor Spam

Der Umgang mit unerwünschten Werbemails (Spam), die den eigenen E-Mail-Posteingang fluten, gehört vielleicht zu den lästigsten Erfahrungen, mit denen sich so mancher Benutzer häufig herumschlagen muss. Sicherlich werden sich viele, die Opfer dieser Art von Angriff geworden sind, fragen, woher die Absender der Spam-Mails die eigene E-Mail-Adresse haben. Die vier häufigsten Wege, über die die eigene Adresse öffentlich werden kann, sind vermutlich folgende:

Du hast dich bei dem Angreifer selbst mit deinen Daten registriert, ohne zu wissen, dass er deine Adresse missbrauchen wird. Vielleicht bist du auch Opfer eines Phishing-Angriffs geworden und hast dich bei einem Dienst registriert, der deine Adresse nicht selbst für Spam missbraucht, sie aber an Spammer weiterverkauft hat (s. Adresshandel).

Deine Adresse wird irgendwo im Internet sichtbar im Klartext angezeigt und ein Spammer oder Adressenhändler hat deine Adresse dort mit Hilfe einer auf E-Mail-Adressen spezialisierten Suchmaschine (Spambot) gefunden.

Auf einem Rechner, dessen Benutzer deine Adresse in seinem E-Mail-Programm oder einer anderen Software mit Adressverwaltung (z. B. MS Outlook) gespeichert hat, befindet sich ein aktives Schadprogramm, dass dort deine Adresse gefunden und über das Internet an einen Spammer oder Adressenhändler gesendet hat.

Deine Adresse wurde schlichtweg erraten. Wenn du bei einem großen Webmail-Provider wie Gmail, GMX oder Yahoo dein Mail-Konto hast und deine Adresse nicht besonders ausgefallen ist, kann diese leicht erraten werden. Die Adresse mausi@example.org ist sicherlich leichter zu erraten als gf23_54wxv_2@example.org.

Wenn du bereits Spam an eine deiner E-Mail-Adressen erhältst, betrachte diese Adresse als verloren. Es gibt keinen effizienten Weg, um Spam an diese Adresse wieder loszuwerden. Öffne auf keinen Fall Anhänge solcher Mails und betätige keinen Link in einer Spam-Mail, der zu einer Seite führt, über den du den angeblichen ›Newsletter abbestellen‹ kannst. Bei boshaften Spam-Mails kann es sich bei dem Link um eine präparierte Seite handeln, die versucht, noch mehr Informationen über dich zu bekommen, Schadsoftware zu installieren oder durch deren Besuch du dem Angreifer einfach ›nur‹ die Existenz deiner Adresse bestätigst. Alles, was du machen kannst, ist solche Spam-Mails zu löschen und zu hoffen, dass der Angreifer irgendwann gestoppt wird oder aufgibt.

Wenn dein Postfach hoffnungslos mit Spam bombardiert wird, gib diese Adresse auf und richte dir mindestens zwei neue Adressen ein. Die eine Adresse ist deine private wichtige Adresse, die du nur an persönliche Kontakte weitergibst. Die andere ist eine so genannte Wegwerf-Adresse, die du für jede Kommunikation verwendest, bei der du nicht sicher sein kannst, was mit deiner Adresse geschieht: Online-Shops, Webforen, fremde Menschen usw. Sollte diese weniger wichtige Adresse auch irgendwann unaushaltbar zugespammt werden, kannst du sie leichter aufgeben, als wenn es deine wichtige persönliche Adresse wäre.

Vielleicht hast du selbst schon einmal von jemandem eine Rundmail oder ähnliches bekommen, die an sehr viele Empfänger adressiert war, deren Namen und E-Mail-Adressen du im Header der Mail lesen konntest. In diesem Fall hat der Absender für die Mail das Sendeverfahren An: oder CC: (Kopie) gewählt. Dadurch erfährt jeder Empfänger der Mail, an wen diese ebenfalls verschickt wurde, was den einzelnen Empfängern aus Gründen des Schutzes der Privatsphäre nicht recht sein könnte, da sie selbst bestimmen möchten, wer ihre Adresse erhält. Um dies zu verhindern, sollte für die Empfänger von Mails dieser Art immer das Sendeverfahren BCC: (Blindkopie) gewählt werden, damit die anderen Adressaten in der Mail verborgen werden.

Um E-Mail-Adressen davor zu schützen, auf Webseiten von Spambots ausgelesen zu werden, können diese mit Hilfe verschiedener Techniken wie beispielsweise JavaScript verschlüsselt oder getarnt werden. Siehe dazu Address munging. Besser wäre allerdings ein Kontaktformular auf der Webseite, da dann eine Kontaktmöglichkeit angeboten wird, ohne seine Adresse überhaupt zu offenbaren.

➤ Sei vorsichtig an fremden Rechnern

Wenn man den Computer einer anderen Person nutzt – sei es bei einem Bekannten, auf der Arbeit oder in einem Internetcafé – sollte man besondere Vorsicht walten lassen, da man hier meist nicht weiß, wie sorgfältig dieser Rechner gegen potentielle Angriffe geschützt ist. Wenn sich aktive Schadsoftware auf diesem Rechner befinden sollte, so kann die eigene Verwendung des Rechners beispielsweise mit Hilfe eines Keyloggers protokolliert werden, angeschlossene externe Speichermedien können mit einem Virus infiziert werden, Kommunikationen können mitgelesen werden usw.

Um hier selbst für mehr Sicherheit zu sorgen, sollte man einfach immer überdenken, was man an diesem Rechner tut und was man von sich preisgibt. Um eine eventuelle Infektion des Systems auszuschließen aber auch um eigene Programme und Werkzeuge nutzen zu können, kann man den Rechner auch mit einem eigenen separaten Betriebssystem von einem USB-Medium starten (s. Live-System). So bleibt das auf dem Rechner installierte Betriebssystem unberührt. Live-Systeme mit Schwerpunkt auf dem Schutz der Privatsphäre sind beispielsweise Tails, Ubuntu Privacy Remix oder JonDo.

➤ Meide Facebook, Google, Amazon und andere ›Datenkraken‹

Für viele Unternehmen sind unsere Daten goldwert, da sie ihre Produkte und Dienste so noch gezielter auf uns zuschneiden und vermarkten können. Einige Unternehmen machen ihren Umsatz aber auch direkt über den Handel mit unseren Daten, wobei hier nicht nur unsere persönlichen Stammdaten von Interesse sind, sondern beispielsweise auch unsere Beziehungen innerhalb sozialer Netzwerke. Während sich viele Angreifer auf heimtückische Weise den Zugang zu unseren Rechnern oder Daten verschaffen, geben wir die Kontrolle über persönliche Daten aber häufig auch selbst aktiv aus unseren Händen, manchmal ohne uns dessen bewusst zu sein. Doch auch wenn wir selbst gar kein aktives Mitglied eines sozialen Netzwerks sind, können unsere Daten gegen unseren Willen erfasst werden, beispielsweise wenn jemand, der uns kennt, einem Dienstanbieter den Zugriff auf die Liste seiner Kontakte erlaubt hat.

Bei der Registrierung zu diversen Diensten im Internet (aber auch im ›analogen‹ Leben) müssen wir oft seitenlange Formulare ausfüllen, in denen neben unseren persönlichen Stammdaten auch private Informationen wie Schulbildung, Einkommensverhältnisse oder Hobbys abgefragt werden. Viele Angaben sind freiwillig, andere dagegen obligatorisch und für die Registrierung notwendig, auch wenn sie für die Bereitstellung des Dienstes eigentlich nicht von Bedeutung sind. Darüberhinaus nehmen sich viele Anbieter das Recht heraus, Daten, die wir bei der Nutzung eines Dienstes versenden, selbst verwerten zu dürfen. Oft sind wir uns dessen nicht bewusst, da wir bei der Registrierung die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung entweder gar nicht oder nicht gründlich genug gelesen oder sie schlichtweg nicht verstanden haben. Diese sind leider oft so umfangreich und für den juristischen Laien unverständlich formuliert, dass es nahe liegt, die Lektüre der AGB zu überspringen. Ob solche Texte vorsätzlich abschreckend formuliert wurden, sei hier dahingestellt.

Letztlich räumen wir den Anbietern mit unserer Bestätigung der AGB aber eben all die Rechte ein, die dort geregelt sind, wobei sich die Formulierungen dort besonders bei Unternehmen, die es auf unsere Daten abgesehen haben (s. Datenkrake), oft mindestens in juristischen Grauzonen bewegen. Doch wer würde schon gegen ein Unternehmen klagen, wenn sich herausstellt, dass die AGB (die oft auch noch nachträglich und unangekündigt geändert werden darf) nicht geltendem Recht entspricht? Eher würde man wohl die Kooperation kündigen. Doch bereits abgefangene Daten lassen sich damit auch nicht mehr schützen.

Daher gilt hier wohl der alte Grundsatz ›Vorsorgen ist besser als Heilen‹, was bedeutet, dass man

• die AGB und Datenschutzerklärung gründlich lesen,
• grundsätzlich keine privaten Daten versenden sowie
• fragwürdige Dienste ganz meiden sollte.

Was ein ›fragwürdiger Dienst‹ ist, muss natürlich jeder selbst entscheiden. In der Vergangenheit sind hier aber besonders die großen Dienstanbieter im Internet wie Google, Yahoo, Facebook (mit seinen Diensten WhatsApp und Instagram) oder Skype in die Kritik geraten, aber auch Online-Shops wie Amazon/AWS, um nur ein paar Beispiele zu nennen.

Alternativen zu problematischen Dienstanbietern werden in der folgenden Tabelle aufgeführt:

➤ Sicherheit von Mobiltelefonen und Tabletcomputern

Nicht nur über den eigenen Rechner können private Daten ausgespäht und Kommunikationen mitgelesen werden. Ebenso ist es Angreifern möglich, andere Kommunikationsgeräte wie zum Beispiel Smartphones oder Tablets anzuzapfen. Durch leichtfertige Installation von Apps auf solchen Geräten kann den Anbietern dieser Programme ebenso der Zugang zu privaten Daten gewährt werden, wie das auf einem herkömmlichen Computer der Fall ist. In der Konfiguration der Geräte lassen sich die Berechtigungen der Apps oft individuell einstellen, womit deren Sicherheit erhöht werden kann.

Aber auch über gewöhnliche Mobiltelefone können persönliche Daten ausspioniert werden. Insbesondere über IMSI-Catcher kann der Standort eines Mobiltelefons ermittelt und damit ein Bewegungsprofil des Nutzers erstellt werden, so wie das bei der polizeilichen Funkzellenabfrage der Fall ist.

Wird mit solchen Geräten das mobile Internet genutzt, so kann mit Hilfe von Geotargeting der ungefähre Standort des Gerätes ermittelt werden.

Wer diese Spuren vermeiden möchte, kann den Flugzeugmodus des Gerätes aktivieren, ein abhörsicheres Telefon wie das Blackphone verwenden oder das Telefon einfach abschalten oder zu Hause lassen. emoticon: smile

Obwohl das auf vielen Mobilgeräten eingesetzte Betriebssystem Android, das von Google produziert wird, auf dem Linux-Kernel basiert und damit freie Software ist, werden mit diesem System sowohl von Google als auch vom Hersteller des Gerätes in der Regel viele Dienste mitinstalliert, die den Nutzer zur Verwendung verleiten sollen, womit dieser diesen Unternehmen seine Daten zur Verfügung stellt, ohne dass er in der Regel weiß, was mit diesen Daten geschieht. Die Apps dieser Dienste lassen sich oft auch nicht deinstallieren (s. auch Bloatware). Auf einer Reihe von Mobilgeräten lassen sich als Gegenmaßnahme alternative Betriebssysteme wir beispielsweise LineageOS installieren.

➤ Vorsicht beim ›Internet der Dinge‹

Mit dem so genannten Internet der Dinge versuchen verschiedene Anbieter, eine Vielzahl von Dingen des Alltags elektronisch zu vernetzen. Ob dies dem Anwender einen echten Mehrwert bringt, muss wohl jeder für sich selbst entscheiden. In jedem Fall birgt dieses Vorhaben ein erweitertes Risiko für die Sicherheit der dabei anfallenden Daten, da diese vom Anwender häufig nicht oder nur schwer zu kontrollieren sind. Insbesondere die flächendeckende Einführung von „intelligenten“ Stromzählern (Smart Meter) ist hierbei kritisch zu betrachten, wie entsprechenden Artikeln bei heise.de und golem.de zu entnehmen ist.

Andere Geräte mit fragwürdigem Schutz persönlicher Daten sind vor allem Sprachassistenten aber auch die so genannten Wearables wie beispielsweise Smartwatches oder Fitness-Armbänder.

Siehe auch: Smart Home.

➤ Vorsicht bei RFID-Transpondern

Wer sich nicht aus eigenem Interesse mit den Gefahren für die Privatsphäre beschäftigt, wird vielleicht noch nie etwas von RFID-Transpondern gehört haben, denn sie sind unauffällig und in den Massenmedien eher kein Thema. Und doch sind sie allgegenwärtig und eine mögliche Technologie zur schleichenden Realisierung des Gläsernen Menschen.

RFID-Transponder (RFID = radio frequency identification) sind kleine, meist passive (d. h. nicht mit eigener Energiequelle ausgestattete) Sender mit einer eindeutigen Kennung und gegebenenfalls weiteren Daten, die mit entsprechenden Empfangsgeräten auf kurze Distanzen ausgelesen werden können. Sie werden vor allem zur berührungslosen Identifikation der mit ihnen verbundenen Objekte verwendet, zum Beispiel in der Warenauszeichnung, in Chipkarten, in Eintritts-, Mitglieds- und Kundenkarten, bei der Transportlogistik, in Kantinen, Büchereien und Videotheken, in der Fließbandproduktion, in der Massentierhaltung usw.

Sie sind so klein, dass sie selbst in dünne Materialien wie Papier oder Textilien dauerhaft und nahezu unsichtbar eingearbeitet werden können. Im landwirtschaftlichen und medizinischen Bereich können sie bei Bedarf auch Tieren oder Menschen implantiert werden. Da das Auslesen der Daten des Transponders über eine Distanz von mehreren Metern möglich ist und dafür kein direkter Kontakt erforderlich ist, ist es für eine Person, die einen mit RFID-Transponder ausgestatteten Gegenstand bei sich führt, nicht erkennbar, ob ein Auslesen stattfindet. Der Weg, den ein solcher Gegenstand zurücklegt, kann auf diese Weise unbemerkt von Dritten nachvollzogen und so auch wieder für die Erstellung eines Bewegungsprofils verwendet werden.

Der Nutzen der RFID-Technologie für die Personenkontrolle wird nicht zuletzt dadurch unterstrichen, dass auch die seit 2005 ausgegebenen biometrischen Reisepässe sowie seit 2010 die elektronischen Personalausweise der Bundesrepublik Deutschland mit RFID-Transpondern ausgestattet sind. Die aus anderen Gründen ebenfalls äußerst umstrittene elektronische Gesundheitskarte der Krankenkassen ist davon bislang noch nicht betroffen, der Einsatz von RFID ist hier aber bereits geplant, wie einem Artikel bei heise.de zu entnehmen ist.

RFID-Transponder lassen sich mit hoher Spannung zerstören, allerdings besteht dabei die Gefahr, dass der Gegenstand, der den Transponder enthält, dabei ebenfalls Schaden nimmt. Der Verein Digitalcourage beschäftigt sich kritisch mit der RFID-Technologie auf seiner Website.

Mehr…

So, und wer jetzt immer noch nicht genug hat, erfährt in diesem Jahresrückblick des CCC, was im Jahre 2019 die Highlights in der Computerwelt zu den Themen IT-Sicherheit, Datenschutz und Bürgerrechte insbesondere in der Bundesrepublik Deutschland waren: