Kompromittierung unvermeidbar?

Verbreitungswege von Viren, Würmern, Dialern & Co und wie man sich dagegen schützen kann.

Inhalt

1. Einleitung

1.1. Motivation

Es scheint mittlerweile einen weit verbreiteten Irrglauben unter den normalen Heimanwendern zu geben, der auch teilweise von den Medien durch unkritische Berichterstattung geschürt wird.

Nämlich, dass Schadprogramme aller Art (Viren, Würmer, Dialer etc.) sich "einfach so" im Internet verbreiten und man sie sich einfach so "einfängt". Dass gelegentliche Infektionen mit Viren und Würmern eben zum Internet dazu gehören und man sie, gleichsam wie Naturkatastrophen, eben hinnehmen muss, weil es keinen effektiven Schutz gibt. Ab und an wird noch propagiert, dass Virenscanner oder sogenannte Personal-Firewalls ein zuverlässiger Schutz seien.

Auf dieser Seite werde ich meine Gründe für diese Auffassung darlegen und lade jeden herzlich ein, sie einer kritischen Analyse zu unterziehen. Ich bin gerne bereit, Kritik und Verbesserungsvorschläge entgegen zu nehmen.

1.2. Begrifflichkeiten

Es gibt verschiedene Arten von Schadprogrammen. Zu nennen wären hier: Viren, Würmer, Trojanische Pferde, Dialer und sonstige Malware. Über die jeweiligen exakten Definitionen und Einteilungskriterien wird auch unter Experten gerne mal gestritten, zumal die Grenzen zwischen den einzelnen Schädlingskategorien immer mehr verwischen.

Ich möchte im folgenden alle verschiedenen Schadprogramme wie Viren, Würmer, Dialer und Trojanische Pferde unter dem Oberbegriff "Schädlinge" zusammenfassen. Für das, worum es hier geht, braucht man sie eigentlich nicht so exakt zu unterscheiden.

1.3. Voraussetzungen und Hilfestellung

Ich versuche, möglichst wenig Wissen über Computer vorauszusetzen. Mein Ziel ist es, dass wirklich jeder verstehen kann, was ich schreibe. Auch mir passiert es allerdings manchmal, dass mir eine technische Formulierung oder ein Fachbegriff herausrutscht, ohne dass ich es so recht merke. Wenn Sie also eine Verständnisfrage zu meinem Text haben, zögern Sie bitte keinesfalls, mir eine E-Mail zu schreiben.

Außerdem will ich den Text möglichst kurz halten, damit er auch wirklich gelesen und nicht einfach weggeklickt wird. Das ist natürlich ein latenter Widerspruch dazu, alles schön ausführlich zu erklären, damit alle es verstehen können.

Bitte, bleiben Sie wenigstens bis zum "Fazit" dabei (ungefähr in der Mitte des Artikels)! Es lohnt sich! Im Anschluss an den Text mit der eigentlichen Argumentation und dem Fazit folgen dann nur der Nachschlag mit oft gebrauchten Gegenargumenten und noch weitere Informationen, Quellen, zusätzliche Tipps und Erklärungen. Die müssen Sie nicht unbedingt komplett durchlesen (obwohl ich es natürlich empfehle), dort reicht es, wenn Sie konkret nachschlagen, was Sie wissen wollen.

Dort, wo ich im Text auf diese Quellen Bezug nehme, setze ich folgendes Symbol ein: . Ein Klick darauf wird Sie direkt zum entsprechenden Abschnitt befördern.

2. Verbreitungswege von Schädlingen

2.1. Wie kommen die Viecher überhaupt auf meinen Rechner?

Von draußen. Per E-Mail, von Seiten im Internet, auf CDs, DVDs oder Disketten, über eine aktive Modem- oder ISDN-Verbindung oder durch das Netzwerkkabel.

Alles, was Daten transportieren kann, kann auch einen Schädling transportieren.

Dass die Schädlinge kommen, können Sie wirklich nicht verhindern. Es sei denn, Sie wären bereit, auf jede Form des Datenaustauschs mit anderen Systemen zu verzichten. Was Sie aber verhindern können, ist, dass der Schädling Ihr System auch befällt.

Unsere erste Erkenntnis ist also:

2.2. Was muss der Schädling machen?

Alle oben genannten Schädlinge sind Programme. Programme müssen ausgeführt werden, wenn sie funktionieren sollen. Ein Computerprogramm ist im Grunde genommen nur so etwas wie ein Kochrezept - eine Reihe von Handlungsanweisungen an den Computer, bei deren schrittweiser Abarbeitung etwas mehr oder weniger Sinnvolles passiert. Wird nichts ausgeführt, passiert auch nichts.

Ein Schädling, der einfach nur auf der Festplatte herumliegt, ist also an sich erstmal harmlos. Das kann man gut verstehen, wenn man sich nochmal des Vergleiches mit dem Kochrezept bedient. Stellen Sie sich mal vor, sie würden einen Zettel mit folgenden Anweisungen finden:

Dann kann Ihnen natürlich überhaupt nichts passieren, solange sie die Anweisungen auf dem Zettel nicht ausführen. Davon, dass der Zettel einfach nur auf Ihrem Küchentisch herum liegt, entsteht Ihnen keinerlei Schaden. Erst, wenn Sie die Anweisungen alle durchführen, haben Sie ein Problem.

Das führt uns zu einer wichtigen Erkenntnis:

2.3. Wie erreicht der Schädling das?

Natürlich würde kaum je einer auf die Idee kommen, die Anweisungen eines solchen Zettels einfach so zu befolgen. Ebenso würde niemand bewusst einen Schädling ausführen.

Der Schädling muss also irgendeine Form von Schwachstelle im System finden oder einen Trick anwenden. Etwas, das er ausnutzen kann, um ausgeführt zu werden, obwohl der Benutzer das eigentlich gar nicht will.

Somit können wir festhalten:

2.4. Und welche Schwachstellen gibt es?

Ein Großteil jener weit verbreiteten Schädlinge, die es teilweise sogar bis in die Tagesnachrichten schaffen, sind eigentlich (vom technischen Standpunkt aus betrachtet) unheimlich primitiv. Sie benutzen keine augeklügelten, komplizierten Verfahren, um das System zu übertölpeln, sondern wenden sich einfach direkt an den Benutzer.

Sie kommen in Form einer E-Mail oder Webseite herein und da steht dann natürlich nicht "Hallo, ich bin gefährlicher Virus oder ein fieser Dialer, bitte starte mich!". Statt dessen steht dort irgendetwas, das den Empfänger dazu verleiten soll, auf den Schädling zu klicken. Angebliche Strafanzeigen, Beleidigungen, Gewinne, leicht verdientes Geld, Nacktbilder von hübschen Frauen.

So gut wie alles, womit man das Gehirn eines Menschen zuverlässig ausschalten kann, muss dafür herhalten. Der Empfänger wird getäuscht, klickt auf den Anhang und führt diesen aus. Und der Schlamassel ist da.

Kein Browser oder E-Mail-Programm ist werksseitig so eingestellt, dass Programme aus dem Internet ohne Nachfrage ausführt werden. (Allerdings gibt es gerade bei älteren Versionen von Internet Explorer und Outlook Express diverse Fehler, mit denen die Schädlinge diese Einstellung umgehen können - dazu später mehr.)

Wer also einen Dialer installiert hat, hat entweder die Installation direkt genehmigt oder seinem Browser die Erlaubnis erteilt, Dinge immer automatisch installieren zu dürfen.

Solche Schädlinge verbreiten sich also durch aktive Mithilfe Ihrer Opfer!

Wir erkennen also:

Eine harte Wahrheit, die manchen vor den Kopf stoßen mag, aber es ist besser, sich ihr zu stellen.

2.5. Gibt es weitere Schwachstellen?

Ja!

Alle Programme (auch "Software" genannt) werden von Menschen geschrieben und Menschen machen nun mal Fehler. Also sind auch Programme mal fehlerhaft. Manche der Fehler in Programmen erlauben es einem Angreifer (z.B. einem Schädling), durch geschickte Manipulation das fehlerhafte Programm so aus dem Tritt zu bringen, dass es den Programmcode des Schädlings für seinen eigenen hält und ihn ausführt. So wird ein Programm gestartet, das der Benutzer eigentlich gar nicht starten wollte.

Ein Beispiel für einen Schädling, der eine solche Schwachstelle ausnutzt und zu trauriger Berühmtheit gekommen ist, ist der Blaster-Wurm (auch Lovesan genannt). Er hat einen Fehler im sogenannten "RPC-Dienst" von Windows ausgenutzt, um seinen Programmcode einzuschleusen und auszuführen. Auch Sasser war so ein Fall.

Einige der momentan grassierenden E-Mail-Würmer nutzen teilweise uralte Fehler in dem Programm "Outlook Express" aus, um sich zu verbreiten.

Also müssen wir auch konstatieren:

2.6. Das war alles etwas kompliziert, geht es auch einfacher?

Der Sachverhalt ist nicht ganz trivial. Fassen wir erst einmal unsere bisherigen Erkenntnisse zusammen:

• Schädlinge müssen ausgeführt werden
• Dazu müssen sie eine Schwachstelle finden
• Das kann entweder der Benutzer selbst oder ein Fehler in einem Programm sein, welches auf dem System läuft

Ich will mal versuchen, es mit einer kleinen Grafik zu veranschaulichen:

Bereits hier erkennen wir ganz klar die Kernthese meines Textes: Infektionen sind nicht unvermeidbar! Es gibt einen Pfad durch das Diagramm, bei dem man sich nicht infiziert!

Wenn ein Schädling keine fehlerhaften Programme vorfindet und der Benutzer sich nicht täuschen lässt, ist eine Infektion ausgeschlossen.

3. Schutzmöglichkeiten

3.1. Wie kann ich mich schützen?

Ein berechtigte Frage. Als allererstes sollten Sie die von Ihnen verwendete Software, insbesondere Browser und E-Mail-Client, so einstellen, dass sie keine Inhalte von selbst ausführen, sondern immer vorher um Erlaubnis fragen. Nur dann können Sie überhaupt selbst entscheiden, was sie ausführen und was nicht.

Anleitungen und Hilfestellung zum korrekten Einstellen der verschiedenen Programme findet man z.B. auf den Webseiten des Herstellers, im Handbuch, per Google und im Anhang.

3.2. Und dann werde ich gefragt?

Ja! Bei Schädlingen, die nicht irgendeinen Programmfehler ausnutzen können, muss der Browser dann nachfragen, ob das Ding wirklich installiert werden soll.

Viele Leute, die dank eines Dialers eine erhöhte Telefonrechnung haben, wurden vorher von ihrem Browser gefragt, ob sie den haben wollten. Nur haben sie meist die Frage nicht richtig gelesen und "einfach weggeklickt". Also bitte, besonders bei allem, was mit dem Internet zu tun hat:

3.3. Was noch?

Nun haben wir dafür gesorgt, dass nichts von selbst ausgeführt wird - es sei denn, durch einen Programmfehler, aber um die kümmern wir uns später. Jetzt müssen wir sicherstellen, dass der Benutzer (also Sie selbst) nichts Gefährliches ausführt.

Dazu müssen Sie zunächst einmal erkennen, dass Sie keinem Inhalt aus dem Netz einfach so vertrauen dürfen. Wenn Sie Inhalte aus dem Netz auf ihren Rechner transferieren und ausführen, dann sollten Sie sicher sein, dass sie ihnen vertrauen können.

Woher wollen Sie z.B. wissen, ob die E-Mail mit dem Anhang wirklich von Ihrem besten Freund stammt? Weil seine Adresse als Absender eingetragen ist? Diese Angabe kann man fälschen! Und selbst wenn die E-Mail tatsächlich auf dem Rechner Ihres Freundes entstand, wer sagt Ihnen, dass wirklich er sie geschrieben hat? Vielleicht ist er ja auch schon infiziert und der Schädling hat die E-Mail automatisch erzeugt und verschickt, um sich zu verbreiten, was ja sein Hauptzweck ist.

Würden Sie einem wildfremden und völlig unbekannten Menschen Ihre Autoschlüssel geben, nur weil der Betreffende vielleicht so ein nettes Gesicht hat, eine rührselig klingende Geschichte erzählt oder behauptet, Ihr bester Freund hätte ihn geschickt?

Genau wie im echten Leben die Bösen nicht immer an den schwarzen Hüten zu erkennen sind (im Gegensatz zu manchem klassischen Western-Film), kann auch der erste Eindruck von Inhalten aus dem Internet täuschen.

In der Fernsehserie "Akte X" gibt es einen netten Spruch: Vertrauen Sie niemandem! Das wäre auch im Umgang mit den Inhalten des Internets eine brauchbare Maxime.

Wenn Sie also keine nicht vertrauenswürdigen Programme starten, haben Sie einen Großteil der Bedrohungen aus dem Netz schonmal elimiert.

3.4. Wie erkenne ich denn aber vertrauenswürdige Inhalte?

Gute Frage. Leider gibt es keine einfache Antwort. Bei E-Mail-Anhängen hat sich folgendes bewährt: Jeder Anhang, der nicht vorher angekündigt bzw. abgesprochen wurde, ist nicht vertrauenswürdig. Bekommen Sie von einem Bekannten einen Anhang, bei dem Sie unsicher sind, dann fragen Sie einfach nach!

Für heruntergeladene Programme gilt: Prüfsummen oder digitale Signaturen sind das Beste. Natürlich müssen Sie sicherstellen, dass die Prüfsumme oder Signatur selbst nicht auch manipuliert wurde, beispielsweise, indem Sie Programm und Signatur von unterschiedlichen Servern (Mirrors, "Spiegel") herunterladen.

Als Faustregel könnte man formulieren: Vergessen Sie, was Ihnen versprochen wird und blenden Sie alle "Klick-mich-an-Reize" bewusst aus. Lassen Sie sich nicht hetzen und nehmen Sie sich Zeit. Fragen Sie sich dann, ob Sie es mit einem renommierten, seriösen Anbieter zu tun haben, der durch die Verbreitung gefährlicher Inhalte gewiss keinen Imageschaden erleiden will. Kennen Sie die Personen, die dahinter stehen und würden Sie denen vertrauen? Fragen Sie sich auch, ob die Software, das, was sie verspricht, überhaupt halten kann und ob Sie so etwas wirklich brauchen. Im Zweifel lassen Sie lieber die Finger davon oder fragen Sie Experten um Rat.

Oh, und lassen Sie sich auch nicht von der Aufmachung der Webseite oder E-Mail täuschen! Ein Schädlingsautor, der sich Mühe gibt, kann auch eine professionell wirkende Webseite erstellen, während umgekehrt eine ehrliche kleine Software-Schmiede das Geld vielleicht lieber in die Weiterentwicklung ihrer Produkte anstatt in eine super-bunte Homepage steckt. Auch Trickbetrüger tragen Anzüge!

3.5. Und was ist mit den Softwarefehlern?

Das ist nicht ganz so einfach, aber auch hier gibt es brauchbare Möglichkeiten. Im Prinzip sind es nur drei wesentliche Elemente.

3.5.1. Ducken

Zunächst gestalten wir die Angriffsfläche so klein wie möglich. Jede Software, die wir gar nicht erst installieren bzw. laufen lassen, kann uns mit ihren Fehlern auch keinen Ärger machen. Dazu gehört insbesondere, dass man keine unnötigen Dienste nach außen anbietet.

Ein normaler Heim-PC, der zum Surfen, E-Mail- und Briefeschreiben dient, braucht eigentlich gar keine externen Dienste anzubieten. Leider bringen Betriebsysteme wie Windows eine Reihe von solchen externen Diensten von Haus aus mit. Wie man sie abstellt bzw. in interne oder lokale Dienste verwandelt, kann man im Linkblock der dcs.* Gruppen nachlesen. Dort ist alles ausführlich erklärt und im Anhang dieses Textes finden Sie auch einiges dazu.

3.5.2. Flicken

Bei der Software, die dann noch übrig ist und auf die wir nicht verzichten können oder wollen, müssen wir eben dafür sorgen, dass sie keine Fehler aufweist. Wenn ein Hersteller von Software etwas taugt, dann wird er bei sicherheitskritischen Fehlern in seinem Programm kostenlos einen Patch herausgeben, der diesen Fehler behebt. Wenn er das Problem nicht sofort beheben kann, weil es vielleicht ein komplizierter Fehler ist, sollte er als Übergangslösung einen oder mehrere Workarounds nennen. Oder wenigstens die Schwachstelle selbst veröffentlichen, damit man als Nutzer selber entscheiden kann, ob man das Programm bis zur Behebung des Fehlers weiter benutzen möchte.

Natürlich findet niemand immer alle Fehler sofort, also kann es gut sein, dass im Laufe der Nutzungsdauer des Programms noch weitere Fehler gefunden und (hoffentlich) behoben werden. Sie müssen also regelmäßig nachsehen, ob neue Fehler entdeckt wurden.

Vernüftige Anbieter bieten Ihnen vielleicht die Möglichkeit an, Sie über Newsletter automatisch von neuen Fehlern und Patches in Kenntnis zu setzen. Manche verschweigen so etwas aber auch lieber. Sie sollten die Programme, die Sie kaufen, auch danach auswählen, wie der Hersteller mit seinen eigenen Fehlern umgeht. Zu glauben, es gäbe keine Fehler, weil der Hersteller keine nennt, wäre etwas naiv.

Wir müssen also:

Besonderes Augenmerk gilt es auf alle Programme zu richten, die fremde Daten verarbeiten. Webseiten und E-Mails sind z.B. fremde Daten, aber auch ein Word-Dokument, das einem vom Kollegen zugeschickt wird. Alles, was Sie nicht selbst erstellt haben, kann als Container für einen Schädling dienen.

Mindestens ein Mal die Woche sollten Sie dies auf jeden Fall machen, besser öfter! Regelmäßige Wartung der benutzten Software mit Ausbessern aller eventuellen neuen Fehler ist wichtig! Bei einem Auto würden Sie ja auch nicht 300.000km fahren, ohne die Bremsbeläge oder den Reifenluftdruck zu kontrollieren. Im Anhang finden Sie einige erste Ansatzpunkte.

3.5.3. Auswechseln

Jeder macht mal Fehler. Sie genauso wie ich und alle anderen. Dass in einem Programm Fehler entdeckt werden, ist also nicht automatisch ein Zeichen für die Inkompetenz des Herstellers.

Wenn eine Software aber immer wieder durch Fehler auffällt oder der Hersteller sich weigert, die vorhandenen Fehler zu beheben, dann stimmt etwas nicht.

Vergleichen wir es mal mit dem Handwerk: Stellen Sie sich vor, Sie bauen ein Haus. Wenn Ihre Handwerker dann an sich zügig und ordentlich arbeiten, dann werden Sie es ihnen sicherlich nachsehen, wenn sie mal ein oder zwei kleinere Fehler machen, beispielsweise beim Arbeiten eine der schon verlegten Fliesen im Bad zerschlagen. Sowas kann halt mal passieren, dann muss das eben ausgebessert werden. Wenn die Handwerker aber ständig Fehler machen, z.B. dauernd Dinge kaputt machen und Wasser- und Stromleitungen anbohren und/oder sich dann weigern, die Schäden auf eigene Rechnung zu beseitigen, dann werden Sie sich schon fragen, ob Sie da wirklich dem Richtigen den Auftrag erteilt haben, oder?

Das gleiche gilt für Software. Wenn ein Produkt ständig durch Fehler auffällt und der Hersteller sich nicht mal darum bemüht, sie zu beheben, dann sollten Sie diese Software durch andere ersetzen. Das gleiche gilt für Programme, die nur dann richtig arbeiten, wenn Sie mit Administrator-Rechten betrieben werden.

Im Anhang habe ich meine eigene Beurteilung einiger weit verbreiteter Browser und E-Mail-Programme aufgeführt.

3.6. Aber wenn ich doch mal etwas ausführe?

Wenn Sie ein Betriebssystem besitzen, das Benutzerkonten unterstützt, also z.B. Windows 2000 oder XP, Linux oder MacOS X, dann sollten Sie sich für die tägliche Arbeit und das Surfen im Internet ein eigenes, beschränktes Benutzerkonto anlegen.

Gehen Sie niemals mit Administratorrechten ins Internet! Wenn Sie einen Schädling manuell ausführen, dann darf der automatisch all das, was Sie auch dürfen. Und der Administrator darf alles!

Sie sollten ohnehin nie mit Administrator- bzw. Root-Rechten arbeiten, sondern sich diese Rechte nur holen, wenn Sie sie wirklich brauchen. Das ist wie die Sicherung einer Schusswaffe. Die entfernt man auch nur, wenn man wirklich vorhat zu schießen. Wer immer mit entsicherter Pistole herum läuft, schießt sich früher oder später damit in den Fuß.

Wenn Sie also in dem benutzten Account keine Rechte besitzen, hat der Schädling sie auch nicht. Je weniger Zugriffsrechte Sie besitzen, desto kleiner der Schaden, den er anrichten kann. Vielleicht kann er sogar gar nichts machen, weil ihm für das, was er vorhat, die Rechte fehlen.

Ein beschränkter Account kann jedoch Infektionen nicht sicher verhindern, er reduziert lediglich den möglichen Schaden. Und es ist nicht ausgeschlossen, dass ein mit geringen Rechten gestarteter Schädling einen Fehler in einem privilegierten Systemdienst nutzt, um dessen Rechte zu stehlen.

Vorsicht allerdings vor dem "Hauptbenutzer" unter Windows. Er unterscheidet sich kaum vom Administrator und ist daher eine ebenso schlechte Wahl.

Wenn Ihr System kompromittiert wurde, sollte Sie unbedingt nach dieser Anleitung vorgehen. Etwas ausführlicher ist die Anleitung von Jürgen P. Meier. Benutzen Sie nicht eines der von Antivirenherstellern häufig empfohlenen Programme zum Entfernen des Schädlings, denn die können gar nicht funktionieren.

Machen Sie deshalb auch immer regelmäßige Sicherungen Ihrer wichtigen Daten! Solche Backups sind nicht nur hilfreich, wenn der Computer kaputt geht, sondern damit können Sie auch im Falle einer Infektion schnell wieder zu einem lauffähigen System kommen.

4. Fazit

4.1. Was wissen wir bis jetzt?

Wir wissen nun:

1. Schädlinge kommen über alles, was Daten transportieren kann.
2. Sie müssen aber ausgeführt werden, um Schaden anzurichten.
3. Entweder verleiten sie den Benutzer dazu, sie auszuführen...
4. ...oder sie missbrauchen ein fehlerhaftes Programm.

Die Gegenmaßnahmenn dazu sind:

1. Wenn man seine Programme regelmäßig wartet, haben sie keine ausnutzbaren Fehler.
2. Wobei Programme, die wegen ständiger Fehler "unwartbar" sind, durch bessere ersetzt werden sollten.
3. Der Benutzer verhindert unbeabsichtigtes Ausführen, indem er alle Meldungen sorgfältig liest...
4. ...und seine Programme und Dienste richtig einstellt...
5. ...und keinen fremden Inhalten vertraut!

4.2. Das heißt...

...dass eine Kompromitterung sehr wohl vermeidbar ist!

Zumindest in den meisten Fällen. Absolute Sicherheit kann es nicht geben, aber die Umsetzung des hier genannten dürfte so gut wie alle aktuellen Schädlinge wirkungslos abprallen lassen und auch einer ganzen Reihe von menschlichen Angreifern ("Hacker", eigentlich Cracker) die Chancen vermasseln.

5. Nachschlag

5.1. Muss ich das wirklich alles machen?

Ja!

Diese Maßnahmen schützen Sie nur dann wirkungsvoll, wenn Sie sie komplett umsetzen! Was nützt es Ihnen, wenn Ihre Programme richtig eingestellt sind und vor dem Ausführen eines Schädlings nachfragen würden, wenn sie gleichzeitig einen Fehler beinhalten, durch den der Schädling die Nachfrage umgehen kann?

Was hilft es Ihnen, wenn keine Programmfehler mehr im System sind und Sie dafür selber die Schädlinge ausführen, weil Sie vielleicht die Meldung nicht richtig gelesen haben?

5.2. Ich habe Besseres zu tun...

...als mich ständig mit richtiger Konfiguration und Wartung meines Systems zu befassen.

Das ist ein Satz, den man so oder so ähnlich recht häufig hört, wenn man dieses Thema anspricht. Es ist eine durchaus berechtigte Einstellung, wenn Sie dazu keine Lust haben. Dann sollten Sie jemand anderes dafür bezahlen, dass er/sie Ihnen diese Arbeit abnimmt und das System für Sie ordentlich wartet.

5.3. Das ist mir zu teuer!

Es ist nun mal mit allem im Leben so, dass man es entweder selbst machen kann (was Zeit kostet) oder jemand anderen dafür bezahlt, es zu tun (was Geld kostet). Das fängt beim Brot backen an und hört beim Bauen von Weltraumsonden auf. Warum sollte ausgerechnet die Sicherheit da eine Ausnahme sein?

5.4. Ich brauche keine Sicherheit, so wichtig sind meine Daten nicht!

Sie haben keine wichtigen Daten auf Ihrem System? Keine Passwörter, Kontodaten, Kreditkarteninformationen, privaten Briefe, vertrauliche Geschäfts- und Buchführungsunterlagen? Es stört Sie nicht, wenn Ihr Rechner stundenlange 0190-Gespräche führt oder eine Strafanzeige ins Haus flattert, weil mit Ihrem Ebay-Account Betrügereien veranstaltet wurden, für die Ebay dann auch noch die Einstellgebühren von Ihnen kassieren möchte?

Gut. Kein Problem. Aber was ist mit den anderen? Wenn Sie einen Rechner mit dem Internet verbinden, dann ist er Teil dieses Netzwerks. Ein Schädling, der Ihr System befällt, wird jede sich ihm bietende Gelegenheit nutzen, sich zu vermehren und von Ihrem Rechner zu entweichen. Auch Ihre Internetverbindung wird dafür herhalten müssen. Damit werden Sie selbst zu einem Infektionsherd im Netz, von dem aus sich die Schädlinge weiterverbreiten und anderswo Schaden anrichten können. Wollen Sie das wirklich?

Im Übrigen kann Sie so etwas auch Ihren Internetzugang kosten, wenn Ihr Provider meint, nur durch Abklemmen Ihres Systems den Rest des Netzes schützen zu können. Rechtliche Bedenken von wegen grober Fahrlässigkeit und Mitstörerhaftung mal außen vor gelassen, dazu konsultieren Sie lieber einen Anwalt.

Hinzu kommt, dass die Schädlingsautoren häufig auch die von ihren Schöpfungen übernommenen Rechner fernsteuern können und das zu allerlei illegalen Dingen benutzen. Beliebt sind beispielsweise verteilte Angriffe auf andere Rechner im Internet, das Versenden von Massenwerbung (sogenanntem Spam) und auch der eine oder andere rechtsradikale oder kinderpornografische Inhalt dürfte darunter sein. Wenn die Strafverfolger der Sache dann nachgehen, klingeln die natürlich erstmal bei Ihnen (oder treten gleich die Türe ein). Das kam ja schließlich alles von Ihrem Rechner. Dann sind alle Ihre Rechner und Datenträger bis zur Klärung der Sache (was durchaus einige Monate dauern kann) erstmal beschlagnahmt. Und wer einmal in den Mühlen der Justiz gefangen ist, kommt da nicht so schnell wieder heraus.

Wenn Ihnen die Sicherheit Ihres System wirklich egal ist, dann halten Sie Ihren Rechner bitte aus öffentlichen Netzen (wie dem Internet) fern und sagen Sie fairerweise auch allen Freunden und Bekannten, mit denen Sie Daten austauschen (über Disketten, CDs, DVDs, private Netze usw.), dass Ihr System möglicherweise verseucht ist und sie deshalb bitte alles mit der Kneifzange anfassen sollen. Dann ist auch das überhaupt kein Problem.

5.5. Warum sollte man ausgerechnet mich angreifen?

Warum nicht?

Den Virenautoren geht es üblicherweise nicht darum, gezielt Ihren Rechner unter ihre Kontrolle zu bringen. Vielmehr wollen sie einfach so viele Rechner wie nur irgend möglich infizieren. Häufig mit dem Hintergedanken, durch den Schädling die Kontrolle über den Rechner übernehmen zu können.

Die zahlreichen infizierten Rechner der vielen tausend ahnungslosen Heimanwender werden dann von den Schädlingsautoren zu so genannten "Botnetzen" zusammengefasst und gemeinsam ferngesteuert. Diese vielen PCs stellen dann zusammen eine beachtliche Streitmacht dar, die die Befehle ihres Herrn und Meisters treu ergeben ausführt. Befehle, die üblicherweise anderen schaden sollen.

Zudem geht es diesen Gruppen auch um handfeste finanzielle Interessen. Das Vermieten solcher Botnetze an Spammer ist beispielsweise ein lukratives Geschäft geworden. Die werden Ihren Rechner also nicht in Ruhe lassen, weil Sie sie für "ein unwichtiges Würstchen" halten. Im Gegenteil, gerade die PCs von Heimanwendern sind aufgrund des mangelnden Sicherheitsempfinden ihrer Besitzer häufig leichter zu kapern. Daher übernehmen diese Leute lieber 1.000 Heim-PCs statt einen gut abgesicherten Firmenserver im Internet, obwohl der allein die gleiche Kapazität hätte. Außerdem: Wenn man auf dem Großrechner eine Infektion bemerkt, ist es für den Schädlingsautor zuende mit dem Geschäft. Bemerkt von den 1.000 befallenen PCs ein Anwender die Infektion, dann hat der Angreifer immer noch 999 andere. Neutral betrachtet ist die Beschränkung auf Heimanwender also eine sinnvolle Wahl.

5.6. Ich habe aber eine Firewall, ein Antivirenprogramm und einen Dialer-Warner!

Schön. Das hat nur nichts mit diesem Thema zu tun.

Eine "Firewall", ein Dialer-Warner oder eine Antivirensoftware ist zunächst einmal ein Programm. Ein Programm kann, wie wir bereits wissen, fehlerhaft sein und als Angriffspunkt dienen. Wenn Sie mehr Software einsetzen, vergrößern Sie Ihre Angriffsfläche, statt sie zu verkleinern. Und das ist keine rein theoretische Überlegung, es gibt tatsächlich immer wieder Sicherheitslücken in Personal-Firewalls und sogar bereits einige Schädlinge, die gezielt bestimmte Personal-Firewalls angreifen.

Zudem leisten Personal-Firewalls und Virenscanner in der Regel nicht, was sie versprechen. Virenscanner finden prinzipbedingt höchstens schon bekannte Schädlinge. Gegen neue und unbekannte sind sie praktisch chancenlos. Eine ausführliche und erschöpfende Darlegung dieses Themas finden Sie im bereits erwähnten Linkblock.

Der Gedanke, dass man Sicherheit in Pappschachteln kaufen kann, ist wirklich verführerisch, ich weiß. Einfach irgendein tolles Programm installieren, das in einem Hochglanzmagazin als ultimative Lösung beworben wurde und nie wieder darum kümmern müssen. Leider funktioniert das nicht. Wirklich nicht. Glauben Sie mir.

Wie Personal-Firewalls, die ohne hinreichenden Sachverstand eingesetzt werden, den eigenen Rechner "schützen", ist zum Beispiel hier sehr eindrucksvoll beschrieben.

Wir wissen bereits, dass man nicht vertrauenswürdige Inhalte nicht ausführen soll. Nun stellen Sie sich die Frage: Wenn Sie dem Inhalt aber bereits vertrauen können, warum dann noch auf Viren scannen? Oder umgekehrt: Wenn Sie meinen, etwas auf Viren scannen zu müssen, ist das bereits ein Indiz dafür, dass Sie ihm eben gerade nicht vertrauen können und lieber die Finger davon lassen sollten. Denn wenn der Scanner nichts findet, wissen Sie nur, dass ihm der eventuelle Schädling unbekannt ist.

5.7. Sind Virenscanner und "Firewalls" also nutzlos?

Das kann man so nicht sagen. Es hängt davon ab, welche Aufgaben sie erfüllen sollen. Ich selbst setze z.B. auch den freien Virenscanner ClamAV ein. Allerdings nur, um Schädlinge aus meiner täglichen Post in einen speziellen Müllordner zu sortieren, weil es mich nervt, jeden Tag 5-10 dieser Dinger manuell aussortieren zu müssen. Er ist für mich sozusagen eine Erweiterung meines Spamfilters, mehr nicht. Ich weiß, dass ich mich nicht auf den Scanner verlassen darf und dass etwas nicht deswegen ungefährlich ist, weil der Scanner es durchschlüpfen ließ.

Wer einem Virenscanner aber eine tragende Rolle in einem Sicherheitskonzept zuweist, sich also auf ihn verlässt und glaubt, er sei geschützt, der sollte sich mal diese nette Anekdote durchlesen.

Auch "Firewalls" (eigentlich sind es Paketfilter, aber das Wort lässt sich schlechter vermarkten) können demjenigen, der auf seinem Rechner wirklich Dienste anbieten will und weiß, was er tut, in bestimmten Fällen hilfreich sein. Sie müssen dann aber auch ordentlich konfiguriert und gepflegt werden.

Umgekehrt gilt: Wer sich konsequent sicherheitsbewusst verhält - wie in diesem Dokument beschrieben - und seine Dienste sicher konfiguriert (siehe Linkblock und Anhang), der braucht eigentlich nicht unbedingt einen Virenscanner und auch keine Personal-Firewall.

5.8. Das ist alles zu kompliziert! Sicherheit muss einfach, schnell und bequem sein! Und kostenlos!

"Wasch mich, aber mach mich nicht nass." - Oder wie hatten Sie sich das vorgestellt?

6. Anhang A: Sicherheit in Programmen

6.1. Ist der Internet Explorer sicher?

Der Internet Explorer gehört zur der Sorte von Programmen, die in der Vergangenheit immer wieder durch sicherheitskritische Fehler aufgefallen sind.

Selbst auf dem derzeit aktuellsten Stand enthält er noch eine Reihe von solchen Schwachstellen, die nicht behoben sind. Einige davon sind bereits seit Monaten bekannt, Microsoft hat jedoch offenbar kein Interesse daran, sie zu beseitigen.

Vergleiche mit anderen Produkten und Herstellern zeigen, dass Microsofts Internet Explorer überproportional häufig mit Sicherheitslücken vertreten ist und diese im Schnitt auch länger unbehoben bleiben.

Recherchen in einschlägigen Sicherheitslisten liefern beispielsweise für Mozilla vier, für Opera zwei und für den Konqueror einen Treffer. Für den Internet Explorer alleine dagegen ganze 37, Fehler in von ihm benutzten Systembibliotheken nicht mitgezählt! (Stand: 31.03.2004)

Diverse Konfigurationsanleitungen (auch die hier verlinkten) beschreiben die "sichere" Konfiguration des Internet Explorer über dessen Zonenmodell. Jedoch hat es in der Vergangenheit immer wieder Fehler im Internet Explorer gegeben, durch die es einem Schädling möglich war, aus der jeweiligen Zone auszubrechen. Außerdem gibt es neben den vier sichtbaren noch eine fünfte, unsichtbare Zone, die man erst richtig einstellen kann, wenn man einen Registry-Eintrag vornimmt. Und selbst dann wird die gesamte Zonenkonfiguration bei den lokalen Benutzereinstellungen hinterlegt, kann also vom Nutzer selbst oder von einem Programm, das dieser ausgeführt hat, jederzeit wieder geändert werden.

Ich persönlich habe aus diesen Gründen für mich entschieden, dass ich den Internet Explorer auf keinen Fall einsetzen möchte. Ebenso kann ich niemandem guten Gewissens dieses Programm empfehlen.

6.2. Was ist mit Outlook Express?

Outlook Express benutzt den Internet Explorer, um E-Mails anzuzeigen. Viele Fehler des Internet Explorers betreffen deshalb auch Outlook Express und daher ist auch dieses Programm in meinen Augen nicht empfehlenswert.

Ich schätze, dass über 90% aller E-Mail-Würmer auf Outlook Express als Plattform zur Verbreitung setzen.

6.3. Und Outlook (ohne "Express")?

Outlook verwendet ebenso wie Outlook Express den Internet Explorer zum Anzeigen von HTML in E-Mails. Man kann ihn in aktuellen Versionen jedoch so konfigurieren, dass er dies nicht macht.

Was bleibt, ist eine Neigung, Dateianhänge falsch anzuzeigen und (zumindest ohne die Verwendung zusätzlicher Software) Office-Dokumente als "sicher" einzustufen, obwohl darin Makros enthalten sein können.

6.4. Wie sieht es mit Mozilla, Firefox oder Thunderbird aus?

Die Mozilla-Entwickler korrigieren sicherheitskritische Fehler in ihren Programmen üblicherweise nur im Zuge von neuen Versionen. Welche sie genau behoben haben, veröffentlichen sie auf einer speziellen Seite, doch welche Fehler vielleicht noch offen sind, sagen sie nicht. Das ist schade, da man nie so recht weiß, wie viele Löcher in einer bestimmten Version momentan gerade offen sind. Meiner Ansicht nach ist das überdenkenswert.

Fakt ist jedoch, dass es in der Vergangenheit nur sehr wenige Schädlinge gab, die Lücken in Mozilla-Programmen effektiv ausgenutzt haben.

Daher sind sie in meine Augen immer noch eine deutlich bessere Alternative als z.B. der Internet Explorer und Outlook Express. Sie sollten jedoch darauf achten, immer die aktuellste Version einzusetzen.

6.5. Und Opera?

Mit der zeitnahen Veröffentlichung von Schwachstellen tut sich auch dieser Hersteller offenbar etwas schwer. Durch den grundsätzlichen Verzicht auf die Verarbeitung aktiver Inhalte bietet der Browser aber eine vergleichsweise kleine Angriffsfläche. Zudem sind gravierende Fehler relativ selten und daher hat dieser Browser ebenfalls eine sehr viel bessere Sicherheitsgeschichte als der Internet Explorer. Ferner steht Opera in dem Ruf, einer der schnellsten und standardkonformsten aller grafischen Browser zu sein.

Einen fahlen Beigeschmack hinterlässt bei mir zumindest aber die Tatsache, dass der Quellcode nicht offen liegt und man sich beispielsweise auf die Erklärungen des Herstellers verlassen muss, was den Datenschutz (z.B. die Auswertung der Klicks auf die Werbebanner in der kostenlosen Version) betrifft.

Mittlerweile gibt es die kostenlose Version von Opera auch ohne Werbebanner, so dass einzig der fehlende Quellcode und die etwas zugeknöpfte Informationspolitik als Kritikpunkte verbleiben.

6.6. Der Konqueror?

Der Browser und Dateimanager des KDE-Projekts. Das KDE-Projekt hat eine klare Politik bezüglich Fehlern. Man könnte sie zusammenfassen mit: Es werden nur die Fehler zurückgehalten, die so schwerwiegend sind, dass man sie sofort beheben muss. Wenn sie behoben sind und die verschiedenen Anbieter von Binärpaketen ausreichend Zeit hatten, diese zu aktualisieren, dann werden auch diese Fehler samt den reparierten Paketen veröffentlicht.

Von den hier genannten Produkten meiner Ansicht nach der offensivste Umgang mit Fehlern, von denen es auch bisher nicht allzu viele gegeben hat. Mein Browser der Wahl, leider für Windows-Nutzer nicht so ohne Weiteres verfügbar. Man könnte KDE unter Cygwin nutzen, aber die Entwicklung dort hängt immer etwas hinterher, somit brauchen auch die Patches etwas länger, bis sie verfügbar sind.

6.7. Wie steht es um Apples Safari?

Ein vergleichsweise junger Browser, daher kann man hier keine früheren Fehler zur Bewertung heranziehen. Er benutzt die gleiche Engine (KHTML) wie der Konqueror und dürfte daher vermutlich entsprechende Fehler mit diesem teilen. Mir sind momentan keine Schwachstellen bekannt, die ausschließlich Safari betreffen.

7. Anhang B: Authentizität von Programmen sicherstellen

7.1. Wie kann ich wissen, dass ein Programm nicht manipuliert ist?

Benutzen Sie Prüfsummen oder digitale Signaturen!

Am besten ist, wenn die betreffende Datei von einem anderen Server stammt als die zu ihr gehörende Prüfsumme. Dann muss ein Angreifer, der einen Schädling unbemerkt einschleusen will, nämlich gleich in zwei verschiedene Rechner einbrechen und sowohl die Datei als auch die Prüfsumme verändern.

Das Thema der Kryptografie und Prüfsummen ist einfach zu komplex, um es hier zu erläutern, es würde den Rahmen dieses Artikels mehr als sprengen. Daher einfach ein paar Links mit weiterführenden Informationen.

Klarstellen möchte ich hier lediglich noch ein weit verbreitetes Missverständnis: Signaturen sagen nichts darüber aus, ob ein Programm oder eine Seite sicher ist! Sie sagen lediglich, dass es wirklich von der Person stammt, von der es zu sein behauptet und auch von niemandem unterwegs manipuliert wurde.
Ob Sie dem Autor aber vertrauen wollen, müssen Sie nach wie vor selbst entscheiden. Wenn der Ganove "Ede Tunichgut" Ihnen seinen Personalausweis zeigt, steht seine Identität auch zweifelsfrei fest. Trotzdem sollten Sie ihn vielleicht lieber doch nicht an die Schmuckschatulle lassen.

7.1.1. Der GNU Privacy Guard (Verschlüsselungs- und Signierprogramm)

7.1.2. Prüfsummen-Programme für Windows

7.1.3. Ein Prüfsummenprogramm in Java (plattformunabhängig!)

7.2. Und ohne Prüfsumme oder Signatur?

Wenn der Hersteller des Programms mehrere Rechner hat, auf denen das Programm liegt, können Sie dies genau wie im obigen Abschnitt mit Signatur und Programm nutzen. Laden Sie sich das gleiche Programm von zwei verschiedenen Seiten herunter und erstellen Sie selbst von beiden Fassungen eine Prüfsumme. Stimmen die Summen überein, ist dies ein starkes Indiz dafür, dass das Programm nicht verändert wurde.

Schreiben Sie ruhig auch Anbieter an, von denen Sie Programme herunterladen, dass diese doch Prüfsummen oder Signaturen für ihre Dateien verwenden mögen. Eine Firma, die sich um die Sicherheitsbedürfnisse ihrer Kunden ernsthaft kümmert, wird dies sicher gerne machen.

7.3. Und wenn der Hersteller weder Prüfsummen noch Signaturen oder Mirrors hat und auch keine anbieten will?

Nun, dann sollten Sie den Wunsch dieses Herstellers respektieren und seine Produkte in Zukunft meiden.

Seine Konkurrenten werden Sie sicherlich willkommen heißen. Vielleicht lernt er ja auch mit der Zeit etwas daraus, dass ihm nach und nach die Kunden weglaufen.

8. Anhang C: Weitere Informationen, Anleitungen, Hilfestellungen

8.1. Hinweise

In diesem Abschnitt verweise ich auf andere Seiten im Netz, wo Sie Hilfestellungen und weiterführende Informationen zu den verschiedenen Aspekten in diesem Dokument finden.

Die meisten davon finden sich direkt oder indirekt bereits im Linkblock, aber ich führe sie hier nochmal gesondert auf.

Alle Seiten öffnen sich in einem neuen Fenster.

Ein Tipp: Lassen Sie sich nicht von der scheinbaren Flut an Informationen abschrecken. Am besten, Sie nehmen sich einen Zettel und schreiben sich auf, welche Programme in welcher Version Sie benutzen. Und dann gehen Sie die Liste Schritt für Schritt durch, suchen sich die nötigen Verweise heraus und stellen ein Programm nach dem anderen ein.

8.2. Allgemeines

8.2.1. Der "Linkblock" von de.comp.security.*

8.2.2. microsoft.public.de.security.heimanwender FAQ

8.3. Programme sicher konfigurieren

8.3.1. Dienste unter Windows 2000

8.3.2. Dienste unter Windows XP

8.3.3. Dienste unter Windows XP/2000 (GUI)

Volker Birk hat ein Programm geschrieben, dass die Vorschläge aus den beiden oben genannten Quellen automatisch umsetzt, auf einen Klick quasi.
http://www.dingens.org

8.3.4. Diverse Browser

Unter anderem Microsoft Internet Explorer 5.0 und 6.0, Netscape 4.X, 6.X und 7.X, Mozilla, Opera 5.X und 7.X:

Man kann dort auch seinen Browser auf verschiedene, bekannte Schwachstellen überprüfen lassen. Einen Service, den Sie unbedingt nutzen sollten!

8.3.5. Microsoft Outlook und Outlook Express

8.3.6. StarOffice

8.3.7. Weitere?

Wissen Sie, welches Programm hier noch fehlt? Haben Sie vielleicht schon einen passenden Link dafür zur Hand? Dann nichts wie her damit!

8.4. Fehlerbeseitigung (Patches, Updates, Upgrades)

8.4.1. Microsoft Windows, Internet Explorer und Outlook Express

8.4.2. Microsoft Office

8.4.3. Mozilla, Firefox, Thunderbird

8.4.4. Opera

8.4.5. MacOS X

8.4.6. SuSE Linux

Ein automatischer Update-Dienst steht in Form des Programms "YaST Online Update (YOU)" zur Verfügung.

8.4.7. Debian Linux

Updates sind in der Regel einfach und bequem via "apt" beziehbar.

8.4.8. Redhat Linux

8.4.9. Mandrake Linux

Falls Sie diese Seite in Ihre Lesezeichen bzw. Favoriten aufnehmen wollen, können Sie eine folgenden URLs verwenden:

• http://malte-wetz.cjb.net/index.php?viewPage=sec-compromise.html
• http://malte-wetz.de.vu/index.php?viewPage=sec-compromise.html
• http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html