Bürgernetz-Pfaffenwinkel – Michael Wandinger

Juli 2004

Internet- bzw. Computer-Sicherheit

Leider kann man derzeit nicht mehr ohne weiteres unbesorgt im Internet surfen, mailen, chatten usw. Deswegen wollen wir hier einige grundlegende Informationen über Gefahren im Internet vermitteln.

Grundprobleme der Sicherheit

Sicherheitsbewußtes Verhalten ist lästig! Der Grund dafür ist, daß hier sich widersprechende Verhaltensweisen aufeinanderprallen:

Je mehr Funktionalität, desto weniger Sicherheit
Je mehr Komfort, desto weniger Sicherheit
Sicherheit kostet (Zeit, Geld, Aufwand, Zusatzprogramme usw.)

=> Das bedeutet, daß sicherheitsbewußtes Verhalten zunächst nur scheinbare Nachteile mit sich bringt.
Es muß also jeder für sich selbst abwägen, wie gefährdet er ist, und wieviel er gegen Computer-Gefahren tun will, also:.

Wenn ich mein persönliches Risiko abwägen will, und darüber bewußt entscheiden will, was ich zu meiner Sicherheit unternehme, muß ich einiges WISSEN!

Also werden SIE um eine Entscheidung nicht herumkommen:

1. ENTWEDER Sie wenden die "Vogel-Strauß-Taktik" an (Kopf in den Sand stecken, nichts wissen wollen, Gefahren konsequent ignorieren, sich in trügerischer Sicherheit wähnen, keinen Aufwand haben wollen, "das kann mir doch nicht passieren", usw. usw.), Dann aber bitte hinterher, wenn etwas passiert ist, nicht allzu heftig jammern.
2. ODER Sie informieren sich über Gefahren der Computernutzung und was Sie dagegen tun können.

Wenn sie den ersten Weg wählen wollen, können sie jetzt "beruhigt" dieses Seite verlassen, sie ist nicht für sie gemacht worden.
Wenn sie den zweiten Weg wählen wollen, sollten sie weiterlesen!

Gefahren

Dummerweise gibt es mittlerweile eine fast unüberschaubare Menge von Gefahren bei der Computernutzung. Trotzdem kann man sich vor allem mithilfe des wichtigsten Hilfsmittels das wir dazu haben, nämlich dem "gesunden Menschenverstand" relativ gut schützen.
Voraussetzung dafür ist:
- Kennen sie ihre Feinde
- Stellen sie sicher, dass Sie wissen, was sie tun.

Diesen beiden Themen sind die nächsten Kapitel gewidmet.

Viren, Würmer, Trojaner, Dialer

Derzeit sind Programme, die unter den obigen Begriffen laufen, die Hauptgefahrenquelle im Internet.

Als Viren werden Programme bezeichnet, die versuchen, sich von Rechner zu Rechner zu verbreiten, sich auf diesen Rechnern abspeichern und unterschiedlichste Schadfunktionen beinhalten, wie Daten löschen, Betriebssystem beschädigen, Rechner abschalten, ungefragt Mails verschicken usw.
Als Würmer werden Programme bezeichnet, die versuchen, sich von Rechner zu Rechner zu verbreiten und im Wesentlichen keine Schadfunktionen beinhalten, außer dem Ressourcenverbrauch, der durch ihre Verbreitung und Vervielfältigung entsteht.
Als Trojaner ("Trojanisches Pferd") werden Programme bezeichnet, die versuchen, sich von Rechner zu Rechner zu verbreiten und auf dem befallenen Rechner versteckte Zugänge öffnen oder Informationen vom befallenen Rechner an Dritte versenden
Als Dialer ("Wählprogramme") werden Programme bezeichnet, die sich meist per "Browser-Download" auf ihrem Rechner installieren, und versuchen ihre Internet-Verbindung nicht über ihren normalen "Provider" herzustellen, sondern über teure 0190-Mehrwert-Dienste-Telefonnummern. Dabei können enorme Kosten entstehen. Dies funktioniert nur über das Telefonnetz (analog oder ISDN), DSL-Benutzer sind hier nicht betroffen.

Alle diese Programme werden im Folgenden "Schadprogramme" genannt und können Sie erheblich schädigen. Deswegen ist es wichtig zu wissen, wie sie sich verbreiten und wie man sich vor ihnen schützt.
Im Mai 2004 sind weltweit annähernd eintausend neue Schadprogramme (ohne Dialer) bekannt geworden und haben mehrere Millionen Computer befallen.
Es gibt schon längst menügeführte Virenbaukästen, mit deren Hilfe auch Sie sich ohne weitere Kenntnisse ihren persönlichen, äußerst wirkungsvollen Virus "zusamenklicken" könnten.
Moderne Schadprogramme vereinen mittlerweile mehrere Verbreitungswege und Schadfunktionen in sich, sie sind gleichzeitig Virus und Trojaner, verbreiten sich über ActiveX, Exploit und EMail (*)gleichzeitig und die Evolution solcher Programme geht in einem rasanten Thema weiter.
Diese Bedrohung muß ÄUSSERST ernst genommen werden!

(*) kleines Glossar am Ende des Artikels ???

Verbreitungswege

Prinzipiell können sich Schadprogramme über ein Computernetzwerk oder über Datenträger verbreiten. Während früher Datenträger der Hauptverbreitungsweg waren, sind es mittlerweile die Computernetzwerke (weil fast jeder Rechner an mindestens einem teilnimmt) und bei den Computernetzwerken ist es natürlich in erster Linie das Internet.
Tipp: Seinen Sie aber trotzdem genauso vorsichtig, wenn sie aus unbekannter Quelle ein ausführbares Programm auf Datenträger bekommen!
Im Internet verbreiten sich Schadprogramme über die dort vorhandenen oder genutzen Dienste, hierbei sind in erster Linie Internet-E-Mail (SMTP) und das "World Wide Web" (www, HTTP) zu nennen.
Die Schadprogramme können aber auch andere Dienste dazu nutzen, insbesondere alle Dienste, die auf ihrem Computer ständig aktiv sind.
Und dies sind in der Regel leider eine ganze Menge, wie man z.B. bei Windows-Computern mit einem Blick in die “Task-Leiste” feststellen kann.

Damit kommen wir nun zu einem weiteren wichtigen Fakt:

über 99% aller Schadprogramme sind für Computer geschrieben worden (und damit nur auf diesen lauffähig (= schadfähig)), die unter dem Betriebssystem "Windows" in allen seinen Versionen arbeiten

Gründe:

Über 90% aller Computer im Internet arbeiten unter dem Betriebssystem "Windows", das erleichtert die Verbreitung enorm
Eine ganze Reihe von Diensten und Funktionen, die in der Standardeinstellung schlecht abgesichert sind, sind auf fast allen Windows-Versionen vorhanden und sind damit für die Verbreitung von Schadprogrammen ideal geeignet

Benutzer von Macintosh-, Linux-, Unix- und anderen Betriebssystemen haben also derzeit ein ungleich geringeres Risiko im Internet als Windows-Benutzer, aber sie haben prinzipiell die gleichen Risiken.

Internet-E-Mail als Schadprogramm-Verbreitungsweg

E-Mail hat sich zum beliebtesten Transportmittel für Schadprogramme aller Art entwickelt. Dabei ist es sehr einfach, dies zu unterbinden.
Schadprogramme werden entweder als Dateianhänge zu E-Mails transportiert, oder sie werden über Scriptcode in HTML-Mails eingebettet.

Maßnahme: Stellen sie ihr Email-Programm so ein, daß sogenannte "aktive Inhalte" keinesfalls ausgeführt werden, und das System immer rückfragt
Maßnahme: Versenden sie keine HTML-Mails, sagen sie ihren Bekannten und Freunden, daß sie keine HTML-Mails wollen, stellen sie in ihrem Mailprogramm ein, daß HTML-Mails nicht als HTML-Mail dargestellt werden sollen, sondern als "nur Text"-Nachrichten.
Maßnahme: Seien sie doppelt so mißtrauisch, wenn sie den Sender der Email nicht kennen, aber auch ein bekannter Sender ist kein Garant für ein unschädliches E-Mail
Maßnahme: Vergewissern sie sich, von welchem Typ eine an einer E-Mail hängende Datei ist. Seinen sie bei ausführbaren Dateien ÄUSSERST mißtrauisch oder löschen
Sie diese generell. Es gibt keinen sinnvollen Grund, warum ihnen jemand eine ausführbare Datei als E-Mail-Anhang senden sollte.
Unter Windows werden ausführbare Dateien immer aufgrund ihrer Dateinamenserweiterung kenntlich gemacht, das sind die letzten drei Buchstaben hinter dem Punkt.
Windows hat die Eigenschaft, in der Standardeinstellung die Dateinamenserweiterung auszublenden. Schalten sie diesen gefährlichen Unsinn im Windows-Explorer ab: Extras – Optionen – Reiter Ansicht – Dateien und Ordner – Häkchen von „Dateinamenerweiterung bei bekannten Dateitypen ausblenden“ entfernen!
Folgende Dateinamenserweiterung kennzeichnen ausführbare Programme: *.com, *.pif, *.vbs, *.scr, *.exe
Erhalten sie einen Dateianhang mit den Dateinamenserweiterungen *.com, *.pif, *.com, *.vbs, *.scr oder wird gar versucht, mit einer doppelten Dateiendung die tatsächliche Endung zu verstecken (z. B. *.txt.vbs, *.jpg.com, "sdfdf.jpg .exe" oder ähnlichem), können sie schon sicher sein, eine gefährliche Sendung erhalten zu haben. Seien sie auch bei Archivdateien (*.zip, *.rar) sehr vorsichtig beim Öffnen des Archives.
Maßnahme: Gewöhnen sie sich prinzipiell ab, E-Mail-Anhänge per Doppelklick zu öffnen.
Verwenden sie nach Möglichkeit ein anderes Mailprogramm als Outlook. Erstens können auch einfache -Mailviren ihr Outlook-Adressbuch auslesen und sich damit an ihre Freude und Bekannten versenden und Zweitens führt Outlook ActiveX-Skripte aus und kommt noch dazu mit entsprechend unsicheren Standardeinstellungen daher. Wenn sie Outlook verwenden wollen, verwenden sie das Adressbuch nicht, schalten sie wie gesagt unbedingt die Ausführung aktiver Inhalte ab

Wenn Sie das alles beherzigen, kann ihnen über E-Mail schon nicht mehr viel passieren.

Dienste, die in der Regel auf ihrem Windows-Rechner aktiv sind, ohne daß sie sich dessen bewußt sind:

Das Windows-Netzwerk (die sogenannten NetBIOS-Funktionen)
Die RPC-Funktionen (Remote Procedure Calls)
Das Remote Desktop Protokoll von Windows XP (Fernsteuerung)

Diese drei Dienste sind Netzwerkdienste und können damit für Exploits (Auskundschaftung) genutzt werden
Alle diese Dienste können sie grundsätzlich abschalten, aber es ist nicht ganz einfach.
Sie sollten sie unbedingt abschalten, wenn sie sie nicht benötigen (das ist fast immer der Fall)!
Wenn sie im Internet nur Surfen und E-Mailen wollen, muß auf ihrem Rechner KEIN EINZIGER Netzwerkdienst laufen. Gelingt es ihnen, alle abzuschalten, sind sie vor Netzwerk-Exploits nahezu vollständig sicher!

ActiveX (eigentlich Visual Basic Script oder Windows Scripting Host)

Dies ist kein Netzwerkdienst, sondern eine standardmäßig installierte Programmiersprache, die auch "aktive Inhalte" genannt wird. Die besondere Problematik ist, daß ActiveX kein ausreichendes Sicherheitsmodell beinhaltet. Jedes ActiveX-Programm wird von ihrem Windows ausgeführt, egal woher es stammt. Bestenfalls werden sie darauf aufmerksam gemacht, daß der Urheber des Programmes unbekannt ist. Betrachten sie ActiveX grundsätzlich als "Teufelszeug". Schalten sie die Ausführung von Aktiven Inhalten generell ab, denn ab Windows 98 können sie es leider nicht mehr einfach deinstallieren.
Wenn sie mit dem Browser MS Internet-Explorer arbeiten, laden sie keine aktiven Inhalte herunter und schalten sie die Ausführung von aktiven Inhalten generell ab, oder verwenden sie gleich einen anderen Browser, alle anderen Browser führen standardmäßig ActiveX-Programme nicht aus.

Download von Programmen aus dem Internet generell

Nun wird man ja von kostenlosen Download-Angeboten im Internet geradezu erschlagen. Hinter allen möglichen Links verbergen sich ActiveX-Scripte, Java-Applets, und jede Menge Setup-Programme, je zweifelhafter die Site ist, auf der sie gerade surfen um so mehr solcher "Helferlein" kommen da auf sie zu.
Grundsätzlich gilt:
- NIEMAND ausser Ihnen selbst hat auf ihrem Computer irgendetwas zu installieren!
- Diese "Zusatzprogramme" nützten im Zweifelsfall nur dem Anbieter und nicht ihnen..Sie zu installieren, ist der beste Weg zu einem angeblich kostenlosen 0190-Dialer-Programm zu kommen. Überlegen Sie sich jeden einzelnen Click, der ihnen angeboten wird. Der erste kann schon zuviel sein!
- Wenn sie den Anbieter eines Programmes nicht kennen, gibt es überhaupt keinen Grund, das Programm zu installieren!
Viele Shockwave,- Real-, Flash- und sonstigen Intros und Animationen sind sicher hübsch bunt und nett anzusehen, aber noch lange kein Grund, unbedingt noch einen neuen Player auf ihrem System zu installieren, never touch a running System!

Zusammenfassung
Beherzigen sie die Ratschläge in diesem Kapitel, haben sie ihre Sicherheit bezüglich Schadprogramme um mindestens 90% erhöht.

Alternativ: Gehen sie nicht unter dem Betriebssystem Windows ins Internet. Dies können sie z. B. sehr leicht dadurch realisieren, daß sie Linux von einer Knoppix-CD starten, sie müssen dazu nicht einmal Linux installieren.

Sicherheitslücken

In der Software ihres Rechners befinden sich ziemlich sicher tausende Programmierfehler, die dazu führen können, daß ihre Programme abstürzen, wenn sie mit falschen oder präparierten Daten aufgerufen werden. Selbst werden sie das eher selten machen. Kritisch wird es jedoch, wenn solche Funktionen über ein Netzwerk aufgerufen werden können, oder über eingeschleuste Schadprogramme. Dabei ist weniger der Absturz kritisch als die Tatsache, daß sich über einen solchen Absturz, wenn er sehr geschickt ausgenutzt wird, sich ein Schadprogramm installieren kann. Man spricht dann von einem "Exploit". Dies ist dann eine sehr kritische Sicherheitslücke. Ein über Netzwerk-Exploits installierbares Virenprogramm verbreitet sich enorm schnell (So geschehen z. B. durch SQL-Slammer).

Es gibt aber auch die Variante, daß Funktionen, die einem bekannt sind (weil als "Feature" vom Hersteller dokumentiert), und von denen man annimmt, daß sie sowieso da sind, ganz einfach für Angriffe von Schadprogrammen zu verwenden sind. So wird z. B. nicht überprüft, ob das Schadprogramm überhaupt berechtigt ist, diese Funktion zu nutzen. Und dummerweise ist das jetzt die häufigste Art von Sicherheitslücke, da eine Programmiersprache, die gut dokumentiert, und fast überall installiert ist, solche Funktionen fürchterlich einfach zur Verfügung stellt, weil auf den meisten Systemen mit dieser Programmiersprache keine Authorisierung vorhanden ist.
Die Rede ist von ActiveX (oder besser Visual Basic Script oder Windows Scripting Host (ist nicht ganz dasselbe) unter Windows 9x.
Da stellt sich dem geneigten Schadprogramm-Programmierer in der Tat die Frage, warum er nicht VBS verwendet, wenn er einen sehr wirkungsvollen Schädling mit rudimentärem Programmierwissen und wenigen Stunden Zeitaufwand herstellen kann. So geschehen mit dem "I love you"- Virus, der bestand aus wenigen dutzend Zeilen VBS-Code und verbreitete sich in 2 Tagen auf mehreren Millionen Windows-Computern.
Das ging nur deshalb so einfach, weil er dafür die fast überall vorhandenen Funktionen der Windows-Registry, dem Outlook-Email-Programm, das überall installierte VB-Script und die unglaubliche Neugier der Email-Leser ("I love you") nutzte.

Daß es auch anders geht, demonstrierte schon vor langem der Anbieter SUN Microsystems mit seiner allseits bekannten Programmiersprache JAVA.
In diese Sprache ist von vorneherein ein Sicherheitskonzept eingebaut, die sogenannte "Sandbox" (Sandspielkasten). Ein Java-Programm aus dem Internet darf auf ihrem Computer erst mal gar nichts, wenn sie es ihm nicht erlauben, das heißt, es darf nicht von ihrer Festplatte lesen und nichts darauf abspeichern, es darf keine Netzwerkverbindungen öffnen und dergleichen mehr, es darf lediglich Anzeigen auf ihren Bildschirm ausgeben. Sie können Java-Programme also in dieser Hinsicht mit etwas anderen Augen sehen, Vorsicht ist aber auch hier angebracht.

Denial-of-Service- (DoS) oder Distributed-Denial-of-Service- (DDoS) Angriffe

Eine beliebte Spielwiese für Fieslinge im Internet sind Denial-of-Service Angriffe ("einen Dienst sabotieren").
Davon können sie in zwei Varianten betroffen sein:

Sie werden mit DoS angegriffen:
Ihr Computer wird mit verschiedensten Datenpaketen "beschossen", was entweder dazu führt, daß er unvermittelt abstürzt (z. B. der berüchtigte "Ping of Death für Windows 95". Oder das Netzwerk, in dem Sie sich befinden wird lahmgelegt, oder ihr Rechner wird blockiert.
Das ist alles nicht schön, aber mehr kann nicht passieren
Ihr Computer wird für DDoS-Angriffe verwendet:
Das merken sie oft gar nicht. Dabei wurde ihr Computer oft schon viel früher meist durch ein Trojaner-Programm "geknackt". Nun wird er von jemanden, der den Angriff dirigiert, ferngesteuert. Im Jahre 2000 wurden auf diese Art und Weise mehrere 10.000 Computer für Angriffe auf die Firma Amazon genutzt, und seitdem nimmt das stark zu. Besonders unangenehm ist dabei, daß Trojaner-Programme oft auch noch versuchen, ihre privaten Daten (z. B.Kreditkartennummer) zu stehlen oder über ihren Rechner Spam-Mails verschicken.

Spam

Im Vergleich zu den sonstigen Gefahren, die hier beschrieben werden, kann Spam als "lästiges Übel" angesprochen werden. Unter Spam werden unverlangt zugesendete Werbe-Emails verstanden, sie kosten Zeit beim Download ihrer Post, sie müssen sie herausfiltern und löschen, mehr schaden sie nicht. Allerdings ist ihre Menge mittlerweile gewaltig und es fast schon als häufig zu bezeichnen, daß man pro Tag bis oder mehr als 100 Spam-Mails in seinem Postfach vorfindet.
Schutz:
Auf keinem Fall die eigene Email-Adresse veröffentlichen! Dies tut man vor allem auf den eigenen Internet-Seiten in Form von "mailto:<meine.Adresse@meine.domain>" - HTML-Links oder indem man News an öffentliche News-Groups verschickt. Wenn es schon passiert ist, die Mailadresse ändern.

Abhören - Datendiebstahl

Computernetzwerke sind immer gemeinsam genutzte Medien. Das bedeutet, daß jeder an einem Netzwerk angeschlossene Rechner den Datenverkehr auf dem Netzwerk zumindest teilweise abhören kann. Die dazu nötigen Programme sind längst Allgemeingut und komfortabel zu bedienen. Wähnen sie sich also nicht unbeobachtet bei dem, was sie so über das Netzwerk schicken!
Wenn zufällig ihr Name, ihre Adresse und ihre Kreditkartennummer im Internet abgehört werden, kann der Lauscher für etliche zehntausend Euro damit einkaufen gehen, bevor sie das merken!
Sehen sie sich einmal an, wie ihre Datenpakete im Internet "herumlaufen". Öffnen sie hierzu eine "MS-DOS-Eingabeaufforderung" und geben sie "tracert <einenbeliebigen.internet.rechner>" ein, sie sehen dann den Weg, den ihr Datenpaket nimmt und werden sich wundern, wo das überall herumläuft. Auf dem gesamten Weg hin und zurück können ihre Daten abgehört werden.
Der einzige Schutz vor Abhörung ist die Nutzung von verschlüsselten Verbindungen und -Protokollen, wenn sie wichtige oder geheime oder private Daten verschicken!
Das heißt, daß sie Benutzernamen, Passwörter, Kreditkartennummern, ihre Anschrift, On-Line-Banking grundsätzlich nur mit verschlüsselten Protokollen durchführen sollen!
Wenn sie nun sichergehen wollen, daß außer dem Empfänger niemand ihre E-Mails und Dokumente lesen kann, müssen sie Verschlüsselungsanwendungen wie X.509 und PGP nutzen.

Abwehrmaßnahmen

Die allererste und wichtigste Abwehrmaßnahme ist eine gesunde Vorsicht bzw. ein gesundes Mißtrauen. Immer dann, wenn ihnen irgendetwas seltsam vorkommt, jemand den sie nicht kennen, ihnen irgendetwas schickt oder etwas von ihnen wissen will, vor allem wenn es private Daten sind, sollten sie erst mal ganz langsam und vorsichtig werden! Erst Denken, dann Handeln...

Die zweitwichtigste Abwehrmaßnahme ist:

Komplexität verringern!

Schalten sie alles ab, was sie nicht unbedingt brauchen,
Löschen sie Programme, die sie nicht brauchen,
Verwenden sie so wenige Funktionen wie möglich,
Verwenden sie nach Möglichkeit nur Funktionen, die sie auch verstehen.

Erst wenn sie diese Ratschläge beherzigen, denken sie über technische Schutzfunktionen nach, die im Folgenden beschrieben sind, die sind nämlich erst dann richtig wirkungsvoll, wenn sie sich so verhalten, wie gerade beschrieben

Verschlüsselung

Unter Verschlüsselung versteht man, Daten durch eine mathematische Rechenvorschrift vor dem Versand unkenntlich zu machen.
Keine Verschlüsselung ist gänzlich sicher und für viele Verschlüsselungen müssen vorher Vorbereitungen getroffen werden, meist die Verbreitung von digitalen "Schlüsseln" oder Signaturen über sichere Wege an ihre Datenaustauschpartner.
Deswegen sind Verschlüsselungen entsprechend unbeliebt und vor allem durch Nicht-Fachleute sehr selten genutzt.
Allgemein kann man sagen, daß alle relativ sicheren Verschlüsselungsverfahren über ein "gemeinsames Geheimnis" funktionieren.

Schlüssel
In der Regel ist das gemeinsame Geheimnis ein digitaler "Schlüssel". Nun wäre es ziemlich schwierig einen solchen digitalen Schlüssel über längere Zeit geheim zu halten, denn die Verschlüsselung, die der Schlüssel zur Verfügung stellt, ist nur dann sicher vor anderen, wenn ihn nur Sender und Empfänger kennen.
Vor allem will man ja den Schlüssel austauschen können, ohne daß man sich dazu persönlich treffen muß, also meistens über das Internet, und das geht, wie wir wissen, eben nicht so ohne weiteres Geheim...
Deswegen haben sich die Forscher ein etwas komplizierteres System ausdenken müssen:
Dabei wird nicht nur ein Schlüssel erzeugt, sondern ein Schlüsselpaar, daß zusammenpaßt.
Ein Schlüssel wird der geheime genannt und einer der öffentliche. Der geheime bleibt logischerweise geheim und dient zum entschlüsseln, er sollte also den eigenen Rechner nicht verlassen, oder noch besser, gar nicht auf einem Rechner gespeichert sein, sondern z. b. auf einer Chipkarte (Smartcard).
Der öffentliche Schlüssel soll natürlich verbreitet werden und darf jedermann bekannt sein. Er dient zum Verschlüsseln.
Der Clou dieses Verfahrens liegt nun darin, daß Daten (Emails, Dokumente usw.), die mit einem öffentlichen Schlüssel "verschlüsselt" wurden, nur von genau einem geheimen Schlüssel wieder entschlüsselt werden können, nämlich von dem dazu passenden Schlüssel.
Hat man solche Schlüsselpaare, muß man nur noch drei Probleme lösen:

Wie kommt der öffentliche Schlüssel zu einem Sender von Daten?
Wie kann der Sender sicher sein, daß der Schlüssel wirklich von demjenigen kommt, an den er senden will?
Wie kann man ein Schlüsselpaar wieder "einziehen", wenn der geheime Empfängerschlüssel unglücklicherweise doch bekannt geworden ist?

Es haben sich für dieses Verfahren vor allem zwei Standards verbreitet:
Zertifikate (X.509-Standard) oder "Pretty-Good-Privacy" (PGP)
Diese beiden Standards unterscheiden sich fundamental:

X.509

X.509 arbeitet nicht nur mit Schlüsselpaaren, sondern mit signierten Schlüsseln, sogenannten Zertifikaten.
Bei X.509 wird versucht, durch eine Hierarchie öffentlich bekannter Firmen, die für die Echtheit ihrer Zertifikate bürgen, ein quasi absolut authentisches und damit sicheres Ausweissystem im Internet zu installieren. Das ausgestellte Zertifikat funktioniert dabei ähnlich wie ihr Personalausweis, es wird ständig hergezeigt. Die Signatur der Zertifikats-Authority dient dabei als Beglaubigung ihrer Identität, da sie sich in der Regel persönlich ausweisen müssen, um ein Zertifikat zu erhalten.
Sie können X.509-Zertifikate für Email nutzen (S-MIME), das ist in den gängigen E-Mail-Programmen integriert, oder sie verschlüsseln Dateien mit den in den Zertifikaten enthaltenen Schlüsseln.
Das Zertifikat muß für die Nutzung natürlich auf ihrem Computer so gespeichert sein, daß es von jedem Programm, daß es verwenden soll (Email und Browser) gelesen werden kann. Verlieren sie ihr Zertifikat, weil ihre Festplatte kaputt geht, und sie keine Datensicherung haben, pech gehabt. Fällt ihr Zertifikat jemand anders in die Hände, weil sie nicht darauf aufgepaßt haben, kann er sich als Sie ausweisen und Schaden anrichten, also hüten sie ihr Zertifikat!
So weit, so gut, aber das ganze hat seinen Preis, nämlich das Zertifikat und dieser Preis dafür beginnt meist bei 50 Euro pro Jahr und endet oft erst bei über 1.000 Euro pro Jahr. Das bedeutet, das Privatpersonen oder Non-Profit-Organisationen sich diese Zertifikate in der Regel nicht leisten.
Hier setzt nun PGP an:

PGP

PGP kennt keine zentralen und öffentlichen "Ausweisbehörden", deshalb ist seine Nutzung kostenlos. Das heißt, die Nutzung ist nur deshalb kostenlos, weil der Erfinder von PGP, Dr. Phil Zimmermann so freundlich war, es kostenlos (als OpenSource-Programm) der Allgemeinheit zur Verfügung zu stellen.
Er wäre deswegen beinahe im Gefängnis gelandet, denn in seinem Heimatland, den USA ist es mittlerweile verboten, eine Verschlüsselungstechnik weltweit zu exportieren.
Aber zurück zu PGP...
Bei PGP müssen sie persönlich sicherstellen, daß der öffentliche Schlüssel tatsächlich von demjenigen stammt, den sie erreichen wollen. Im einfachsten Fall telefonieren sie mit ihrem "Verschlüsselungs"-Partner und lesen sich gegenseitig die Quersummen ihrer Schlüssel vor, die sogenannten "Fingerprints".

Um sie nicht gänzlich von Verschlüsselung abzuschrecken: Es gibt auch Verschlüsselungen, die ohne solche Vorbereitungen funktionieren, wir nennen sie im Folgenden "Ad-Hoc-Verschlüsselungen", sie sind aber weniger sicher.
Hier sind vor allem die Netzwerkprotokolle SSL, TLS und SSH zu nennen (siehe nächstes Kapitel).

Verschlüsselte Protokolle (SSL, TLS, SSH)

Verschlüsselungsprotokolle wurden vor allem entwickelt, als sich die Nutzung des Internet verbreitet hat. Dies mit gutem Grund, das Internet ist ein anonymes Netz, in dem viele Millionen Menschen teilnehmen, ohne sich ausweisen zu müssen. Wie Eingangs gesagt, sind Computernetzwerke gemeinsam genutzte Medien, bei denen potentiell jeder Teilnehmer alles mithören kann. Es ist mittlerweile unglaublich einfach geworden, an einem Computernetzwerk mitzuhören, dafür gibt es phantastische Programme!
Alle Dienste, die sie für gewöhnlich im Internet nutzten, sind dummerweise unverschlüsselt.
Beispiele:
Email (smtp, pop, imap), WWW (d. h. http), ftp, gopher, telnet
Um nun den Lauschern den Spaß zu verderben und ihre Sicherheit zu erhöhen, gibt es die folgenden Ad-Hoc-Verschlüsselungsprotokolle.

SSL - Secure Socket Layer

Das bekannteste ist sicher SSL (Secure Socket Layer) oder auch HTTPS genannt. Sie verwenden es mithilfe ihres Internet-Browsers. Meist gibt es dort ein Icon, daß ein offenes oder geschlosses Vorhängeschloß darstellt. Ist es offen, wird das unverschlüsselte Protokoll (http) verwendet, ist es geschlossen, wird das verschlüsselte Protokoll (https) verwendet. Beim Wechsel von einem Protokoll zum anderen kriegen sie von ihrem Browser darüber eine Mitteilung. Sie sehen das Protokoll auch im Adressfeld ihres Browsers, es sind die ersten 4 bzw. 5 Buchstaben der Adresse, danach folgen die Zeichen "://"
Sie sollten sich unbedingt davor hüten, wichtige, persönliche oder geheime Daten wie Benutzernamen, Passwörter, Kreditkartennummern, Adresse, PIN- und TAN-Nummern für Onlinebanking in ihrem Browser einzugeben, wenn kein HTTPS verwendet wird. Verlangt ein www-Anbieter so etwas von ihnen, ist er entweder fürchterlich naiv, dumm, oder er führt böses im Schilde.
Das HTTPS-Protokoll enthält ein weiteres Schutzinstrument: Wird eine HTTPS-Verbindung gestartet, schickt der Webserver aus dem Internet ihnen ein Zertifikat nach dem X.509-Standard. Dieses Zertifikat läßt sich in der Regel überprüfen, bzw. ihr Browser überprüft es für sie.
Kann das Zertifikat von ihrem Browser nicht überprüft werden, ist entweder ihr Browser zu alt oder das Zertifikat nicht bei einer offiziellen Zertifikat-Authority hinterlegt. Das kann auch Kostengründe haben. In einem solchen Fall kann das Zertifikat aber auch gefälscht sein. Sie sind dann nicht sicher, mit wem sie Daten austauschen.

TLS

steht für "Transport Layer Security" und ist nichts anderes als ein SSL-Protokoll, daß sie auch außerhalb des Browsers verwenden können.
Alles unter SSL gesagte gilt deshalb auch für TLS. Es wird typischerweise verwendet, um die unverschlüsselten E-Mail-Protokolle zu verschlüsseln.
Meist wird das in den E-Mail-Programmen als "sicheres Abholen" oder "sicheres Versenden" angesprochen.
Der Haupt-Nutzeffekt für sie ist, daß ihr Benutzername und ihr Passwort nicht mehr unverschlüsselt über das Internet gesendet werden, ein Einbruch in ihre Postfächer wird damit sehr unwahrscheinlich.

SSH/SCP

Eigentlich ist SSH oder die "Secure Shell" ein Terminalprogramm und damit ein sicherer Ersatz für "telnet". Mit SSH wird aber auch ein verschlüsseltes Netzwerkprotokoll bezeichnet, daß Dateien hin- und herkopieren kann, nämlich scp oder "Secure Copy". SCP ist damit der sichere Ersatz für ftp (File Transfer Protocol). Verwenden sie wo es geht SCP anstelle von FTP. Hier haben sie den Nutzeffekt, daß ihre Daten und ihr Benutzername/Passwort nicht unverschlüsselt über das Internet laufen.

Authentifizierung

Unter Authentifizierung versteht man, daß man sich um einen Dienst zu nutzen, zunächst Ausweisen muß, also seine Identität belegen muß.
Dies geschieht in der Regel durch Preisgabe eines vorher vereinbarten Benutzernamens (Login, Account) und dem dazu passenden Passwort.
Ein weiteres mittlerweile etabliertes Verfahren ist die Verwendung einer sogenannten "Smartcard" oder "Chipkarte", auf der meist ein Zertifikat des Benutzers gespeichert ist.
Haupt-Gefahren bei der Authentifizierung:

Man vereinbart Benutzernamen und Passwort über einen unsicheren Weg (z. b. unverschlüsselt über das Internet) und sie werden abgehört
Man weist sich gegenüber dem Falschen aus
Man schickt Benutzername und Passwort unverschlüsselt über das Netzwerk, wenn man sich authentifiziert und wird dann abgehört
Man plaudert gern und oft Benutzername und Passwort aus (Das dringendste Bedürfnis mancher Zeitgenossen scheint es zu sein, einem "Helfer" als erstes das Passwort mitzuteilen).

Authentizität und Integrität

Unter Authentizität versteht man eine Überprüfung, daß eine Nachricht oder eine Datei oder ein Dokument tatsächlich von einem bestimmten Absender stammt und nicht verfälscht worden ist.
Integrität bedeutet, daß Nachrichten oder Daten nicht beschädigt worden sind.
Beides wird im Computerbereich in der Regel durch digitale "Signaturen" sichergestellt.
Diese Funktionen brauchen sie in der Regel erst, wenn sie wichtige oder vertrauliche Dokumente über Computernetze verschicken.

Authorisierung

Unter Authorisierung versteht man, daß man als Computerbenutzer für bestimmte Funktionen berechtigt wird und berechtigt ist.
Die grundlegenden Voraussetzungen für Authorisierung sind zunächst eine Benutzerverwaltung und eine Berechtigungsverwaltung. Diese Funktionen müssen in der Regel im "Betriebssystem" ihres Computers vorhanden sein. Schlecht ist es vor allem, wenn ihr Betriebssystem solche Funktionen nicht kennt. Dies trifft für die Betriebssysteme DOS, Windows 3.x, Windows 95,-98, -Millenium Edition (ME) und MacOS Versionen vor 10.x zu.
Nutzen sie ein solches System, können sie sicher sein, daß ein Schadprogramm ALLES, aber auch ALLES mit ihrem Computer und ihren Daten anstellen kann.
Einziger Schutz: Wechseln sie auf ein Betriebssystem, daß solche Funktionen besitzt (Windows NT, Windows 2000, Windows XP, Unix, Linux, MacOS X) und arbeiten sie auf keinem Fall unter einem Benutzer, der Systemverwaltungsrechte besitzt (Superuser, Administrator, root usw.), sonst können Sie sich das auch sparen...

Firewalls

Unter einer Firewall versteht man entweder einen Firewall-Rechner (als Privatleute haben wir so was meist nicht) oder ein Firewall-Programm, daß bestimmte Computer-Netzwerkverbindungen blockieren kann. Seit der massenhaften Verbreitung von DSL und WLAN gibt es eine weitere Variante: in ihrem DSL- der WLAN-Router werkelt ein Firewall-Programm (meist auf Basis von Linux – iptables).
Grundsätzlich gilt:
Es ist besser, nur die Netzwerkverbindungen einzuschalten, die sie unbedingt benötigen, als alle möglichen Netzwerkverbindungen bzw. Dienste einzuschalten und sie dann durch eine Firewall zu blockieren. Dabei macht man nämlich gerne Fehler. Außerdem ist das oft sehr aufwändig.
Das bedeutet, daß sie in der Regel keine Firewall brauchen, aber sich dann, wenn sie keine verwenden, genau anschauen müssen, was auf ihrem Computer so alles automatisch läuft!
Firewalls helfen eigentlich nur gegen zwei Arten von Angriffen, aber gegen die sehr gut:
DoS und Netzwerk-Exploits, vor allen anderen Angriffen schützen sie nicht!
Das ist ein magerer Schutz für den Aufwand und das Wissen, daß man dafür investieren muß....

Jede Firewall-Variante hat ein Administrations-Interface, oft Browser-basiert (im Falle ihrer DSL- oder WLAN-Router). Getreu dem Grundsatz, nur unbedingt benötigte Dienste freizuschalten, werden hier Regeln definiert, die sich meist auf einen Verbindung-Port beziehen (InternetProtocol-Port), da bestimmte Dienste immer an demselben IP-Port auf Verbindungen warten. Der Name des Ports ist meist der des Dienstes (z. B. ftp, http, https, smtp (für Email), pop3). Detailliertere Anleitungen entnehmen sie bitte den Anleitungen ihres Firewall-Programmes, das würde hier zuweit führen.

Virenschutz-Programme

Benutzen sie ein Computersystem, für das eine Menge Schadprogramme existieren, sollten sie natürlich auch ein Schutzprogramm gegen Schadprogramme benutzen. Mit anderen Worten: Benutzen sie einen Windows-Rechner, sollten sie ein Virenschutz-Programm benutzen!

Ein modernes Virenschutz-Programm erkennt ganz entgegen seinen Namen auch andere Arten von Schadprogrammen.
In der Regel kann ihre Virenscan-Programm ein bereits installiertes Schadprogramm auch wieder entfernen
Wenn sie ein Virenschutz-Programm benutzen, müssen sie seine Suchfunktion auch dauernd aktuell halten, sonst sind sie nicht gegen neu auftretende Schadprogramme gschützt!
Hierzu ein Beispiel:
Aktuelle und gut programmierte Schadprogramme verbreiten sich im Internet derzeit in wenigen Stunden rund um die Welt
Die Virenschutz-Programmhersteller schaffen es oft, innerhalb weniger Stunden ihre Suchfunktionen für ein neues Schadprogramm zu aktualisieren.
Sie müssen die Aktualisierung ihrer Suchfunktion vornehmen, bevor sie das Schadprogramm erwischt. Das geht nur, wenn sie mit dem Internet verbunden sind.
Hoffentlich stellt ihr Virenschutz-Programm-Hersteller auch Aktualisierungen bereit, bei sehr alten Versionen tut er das oft nicht mehr, oder der Hersteller geht pleite, dann ist es vorbei mit dem Schutz
Gelingt das alles, sind sie einigermaßen vor Schadprogrammen geschützt.
Aber auch nur dann, wenn sie das Schadprogramm auf Grund von Unvorsicht nicht schneller starten oder installieren, als ihr Virenscan-Programm es finden kann.
Es gibt Schadprogramme, die verhindern, daß sie sich mit dem Internet verbinden, und ihre Suchfunktion aktualisieren können.
Es gibt mittlerweile Schadprogramme (Phatbot), die nicht sicher von Virenschutzprogrammen erkannt werden
Überschätzen sie wegen dem vorneweg gesagten nicht die Schutzwirkung ihres Virenschutzprogrammes!
Wenn sie kein Virenschutzprogramm verwenden, sind sie gar nicht vor Schadprogrammen geschützt, sie merken unter Umständen nicht einmal, daß ein Schadprogramm bereits seit Monaten auf ihrem Computer sein Unwesen treibt....

System aktualisieren (patchen)

Jedes Computersystem enthält Sicherheitslücken und Programmierfehler, vermutlich sind es tausende.

Je mehr Funktionen ihr Computersystem besitzt (also je komfortabler es ist), desto mehr solcher Probleme enthält es.
Je aktueller ihr Computersystem ist, desto mehr gehört es zu dieser Kategorie
Besitzen sie ein älteres Computersystem, werden sie oft keine Patches (s.u.) mehr erhalten, oder die Patches erst sehr spät erhalten,
Sie sitzen also in jedem Fall in der Falle, ob ihr System nun alt oder neu ist. Entweder Sie brauchen besonders viele Patches oder sie kriegen gar keine mehr oder viel zu spät.
Aus dieser "Patchfalle" kommen sie nur mit zwei Varianten raus:

Sie verwenden ein System, daß so alt oder so unbekannt oder so wenig verbreitet ist, daß kein Hacker der Welt dafür Schadprogramme programmiert, dann brauchen sie keine Patches
In dem Fall werden sie keine oder keine aktuellen Programme für ihr System bekommen und es wohl kaum nutzen können (diese Möglichkeit fällt also fast aus)
Sie verwenden ein System, das von Grund auf sicher konstruiert wurde. Da gibt es mindestens eines, daß dem sehr nahe kommt: OpenBSD.
Allerdings ist der Weg dahin, es zu nutzen, steinig. Dafür ist es aber kostenlos....

Für alle anderen gilt:

Die Sicherheits-Probleme ihres Systems können erst behoben werden, wenn sie bekannt werden.
Bekannt werden Sicherheitslücken und Programmierfehler in der Regel erst, wenn sie durch Schadprogramme ausgenutzt wurden.
Die Behebung solcher Probleme benötigt Zeit, die Verbreitung und Installation der dafür notwendigen "Patches" (=Flicken) noch mehr.
In der Regel werden Sie Patches nur dann (rechtzeitig) installieren, wenn das fast oder ganz automatisch vor sich geht.
Bei der Installation eines Patches kann auf ihrem Computersystem immer einiges schief gehen
Ich will ihnen das Patchen nicht ausreden. Wenn Sie können, sollten Sie ihr System auf jeden Fall patchen. Aber seien Sie sich bewußt, daß von allen Maßnahmen, die Sie treffen können, diese Maßnahme diejenige ist, die sie am wenigsten schützen wird, denn das Patchen kommt immer zu spät. Der Name trifft es ziemlich gut, ein Patch ist nur ein "Flicken".
Wenn Sie gar nicht patchen, sind Sie noch schlechter dran....
Betreiben sie einen Computer als Server-Rechner im Internet, patchen sie soviel und sooft sie können, denn einen anderen Schutz haben sie nicht.

Versuch eines Fazits

Wie komme ich nun (gewissermaßen als ein einsamer Rufer in der Wüste) hier in die Lage, ihnen als Benutzer derart drastische Ratschläge geben zu wollen?
Warum rate ich ihnen, Funktionen grundsätzlich abzuschalten, die die Konstrukteure des Windows-System erst mit viel Aufwand in den letzten Jahren nachgerüstet haben und mache ihnen damit ihr Windows "madig"? Irgendjemand muß doch hier grundsätzlich falsch liegen?
Aus meiner sicher "nicht allumfassenden" Sicht führten vor allem 3 Fakten zu dieser Schieflage:

Das Windows-System (jetzt mal unabhängig von der Version) ist ursprünglich als reines Desktop-System konstruiert worden, es basierte noch bis ins 3. Jahrtausend hinein teilweise (Windows ME) technisch auf einem DOS-Kern, einem Single-User, Single-Tasking-16-bit-Betriebssystem. Viele Netzwerksicherheitskonzepte, die längst Stand der Technik sind, konnten auf dieser Basis einfach nicht eingebaut werden
Abwärtskompatibilität: alte Anwendungs-Programme sollten immer auch noch auf dem neuen Betriebssystem (selbst wenn es auf einer ganz anderen Technik aufbaute wie Windows NT) laufen können. Das sie dabei neue Sicherheitskonzepte unterstützen, kann man dabei natürlich nicht verlangen. Aus der Sicht des Kampfes um Marktanteile hat ein solches Vorgehen sehr viel Nutzen für den Systemhersteller
Komfort: Man will es dem Benutzer vor allem "bequem" machen, dann wird er das bequeme System auch wählen, es ist für ihn viel leichter zu erlernen. Komfort ist aber immer auch der Sicherheit abträglich und der Benutzer weiß letztendlich nicht mehr, welche Funktionen er da eigentlich startet, ja es soll ihm sogar teilweise verborgen bleiben, denn erst dann wird es richtig bequem. Wenn sie stolzer Besitzer eines aktuellen Windows XP sind, haben sie mal locker 1 GigaByte System- und systemnahe Software auf ihrer Festplatte. Sie sitzen auf dem komplexesten Desktopsystem, daß je entwickelt wurde. Lernen sie erst mal kennen, mit was sie es da zu tun haben!

Entscheiden, wem sie da nun glauben wollen, müssen sie letztendlich selbst....