Sicher im Internet unterwegs

(Dieser Beitrag wurde zuletzt am 17.08.2008 aktualisiert)

Immer wieder werde ich bei Problemen im Zusammenhang mit Computer und Internet um Rat gefragt. Der voliegende Beitrag ist eine Zusammenfassung meiner Erfahrungen dazu. Er zeigt die Probleme, welchen wir im und durch das Internet ausgesetzt sind, und liefert einfache Lösungen (sozial, technisch, rechtlich).

Datenschutz ^[1] und ein Recht auf Privatsphäre und informationelle Selbstbestimmung gibt es zwar auf dem Papier. Diese Rechte aber in der Praxis durchzusetzen, ist alles andere als einfach. Zudem ist es schon erschreckend, mit welcher Unbedarftheit und Naivität manche Zeitgenossen Informationen über sich und ihr soziales Umfeld im Web mehr oder weniger freiwillig preisgeben. Auch mit dem sicheren Umgang mit Internet-Applikationen sowie der Einrichtung der Infrastruktur tun sich viele äusserst schwer. Trotzdem hält die Mehrheit der PC-Nutzer Daten im Netz für sicher ^[2], obwohl der Besuch im Web immer gefährlicher wird ^[3]. Die Meisten kümmern sich erst wirklich darum, wenn sie bereits Opfer von Persönlichkeitsverletzungen wie Cyberbullying ^[4], Datendiebstahl wie Passwortklau ^[5] beziehungsweise Phishing ^[6], Spam oder sonstigen Attacken, Betrug oder Datenmissbrauch geworden sind, oder erst dann, wenn ihr Rechner einem Virus oder Trojaner zum Opfer gefallen ist oder zum ferngesteuerten Zombie-Rechner in einem Botnetz geworden ist.

Dabei wäre es gar nicht so schwer, mit bereits minimalsten Vorkehrungen das Leben im Cyberspace relativ sicher zu gestalten (obschon eine 100 prozentige Sicherheit gar nicht möglich ist). Deshalb habe ich im Folgenden ein paar grundsätzliche Verhaltensregeln, Anwendungen und Konfigurationsbeschreibungen zusammengestellt, die ein weitgehend sicheres Wandeln im Internet ermöglichen, auch ohne auf datenschutzproblematische, werbefinanzierte Dienstleistungen verzichten zu müssen.

Dieser Beitrag richtet sich auch an technisch weniger versierte Benutzer mit minimalsten IT-Grundkenntnissen und soll ihnen einen sichereren Umgang mit dem Internet sowie den Zugang zu weiter führenden Informationen ermöglichen. Daher ist der ganze Text gespickt mit Links. Wer Details zu einem betreffenden Stichwort wissen möchte, folgt einfach diesen Links. Zusätzlich finden sich Links zu anderen Websites und lesenswerten Beiträgen am Ende des Artikels.

In Anbetracht der Fülle des Themas ist dieser Beitrag eher ungewöhnlich lang geworden. Es empfiehlt sich, diesen auszudrucken (klicke dazu auf oben rechts) und augenschonend auf Papier zu lesen.

Sicheres Verhalten im Netz

Das grösste Risiko sitzt vor dem Bildschirm

In den meisten Fällen stellt der (unbedarfte) Benutzer das grösste Sicherheitsrisiko dar. Wird ein Rechner von mehreren Personen genutzt (Familien-PC), genügt es bereits oft, wenn auch nur ein einzelner sich durch sein Fehlverhalten mit einem Schädling infiziert. Wie wenn ein Kind dem „schwarzen Mann“ die Haustür öffnet, nützt es nichts, wenn sich seine Geschwister richtig verhalten. „Nur“ noch schnell ein Spielchen ausprobieren, „nur“ eine Datei mit lustigem Inhalt öffnen, das man per Email von Freunden bekommen hat, „nur“ …

Wie Alexander Greisle bei work.innovation richtig bemerkt ^[7], entwickelt sich Datenschutz zu den Kernkompetenzen im Online-Leben. Wer den bewussten Umgang mit persönlichen Informationen sowie auch den technischen Mitteln nicht lernt und auch nie übt, ist nicht fit genug für das Web. „Wer nicht liest, bleibt dumm“ hiess es früher. Das gilt im Web vor allem auch für das Lesen von allgemeinen Geschäfts- und Nutzungsbedingungen und Datenschutzerklärungen vor der Nutzung eines Online-Dienstes. Wer zum Beispiel die Datenschutzbestimmungen von Google ^[8] genau liest, dem werden einige Punkte zu Googles Umgang mit personenbezogenen Informationen etwas „komisch“ vorkommen – und nicht bloss dem Laien. Wenn dann die Google-Gründer öfftenlich ihre Sorgen um den Datenschutz ^[9] kundtun, ist das nicht sonderlich glaubwürdig.

Ein paar grundsätzliche Verhaltensregeln

Wie im Strassenverkehr gilt auch im Internet: mindestens so wichtig wie die technische Sicherheit ist das sichere Verhalten. Früher, da gab es mal die Netiquette ^[10], die so etwas wie der „Knigge“ für Internetnutzer war. Heute scheint sich kaum noch jemand daran zu erinnern. Sie wurde auch nie mehr aktualisiert und den heutigen Technologien angepasst. Daher fasse ich im Folgenden das Wesentliche in aktualisierter Form zusammen:

1. Nicht einfach alles ausprobieren, ohne zu wissen, was man tut und damit bewirkt!
2. Vor allem nicht auf jeden Link klicken, den man vorgesetzt bekommt – sei es in einer E-Mail oder auf einer Webseite!
3. Schadsoftware ^[11] kann sich prinzipiell in jeder Art von Datei einnisten. Daher Dateien nur von wirklich vertrauenswürdigen Websites herunterladen! Merke: Auch beim Betrachten eines Bildes oder Videos oder beim Anhören eines Musikstückes ^[12] wird die betreffende Datei auf den eigenen Rechner heruntergeladen.
4. Keine unnötige oder unbekannte Software installieren. Und wenn unbekannte Software ausprobiert werden soll, erfolgt dies nach Möglichkeit immer in einer eigens dafür vorgesehenen, isolierten Testumgebung.
5. Im Web kann jeder mitlesen. Daher nur solche Informationen publizieren, die man auch an eine Hauswand schreiben würde!
6. E-Mails können, wenn sie unverschlüsselt übertragen werden, von jedermann auf dem Übertragungsweg mitgelesen werden, der Zugriff auf die betreffende Infrastruktur hat. In E-Mails deshalb nur das schreiben, was man auch auf eine Postkarte schreiben würde!
7. Für unterschiedliche Zwecke verschiedene Email-Adressen verwenden! (Siehe weiter unten)
8. Gefährliche Websites aussperren, soweit dies technisch möglich ist! (Siehe weiter unten)
9. Sicherheits-Software ständig aktualisieren und Sicherheitslücken in Betriebssystemen und Anwendungen durch Einspielen von Patches möglichst rasch schliessen ^[13], sobald diese verfügbar sind! So lange allenfalls bestimmte Funktionen ausschalten oder auf ihre Nutzung (vorübergehend) verzichten.
10. Fremde sollten gar nicht oder (wenn unbedingt notwendig) nur unter Aufsicht an die eigenen IT-Systeme gelassen werden.
11. Nur wirklich notwendige persönliche Daten im Web preisgeben. Bei Wettbewerben (hochdeutsch: Preisausschreiben) oder Gewinnspielen sollte man besser erst gar nicht teilnehmen. Da geht es immer nur ums Sammeln von Namen und Adressen sowie das Erstellen von Konsumentenprofilen.

Preisgabe von Informationen

Im Zeitalter der Informationsgesellschaft sind Informationen in Form von Daten zum wohl wichtigsten Wirtschaftsfaktor geworden und stellen daher ein begehrtes Gut dar. „Wissen ist Macht“ gilt mehr als je zuvor. Seien es Geschäftsgeheimnisse, Zugangsdaten zu Online-Banking, Kreditkartennummern, Email-Adressen, Fotos mit peinlichem und kompromittierendem Inhalt oder bloss private Profildaten für zielgenaue Werbeeinblendungen, wir tun gut daran, diese Informationen nicht der breiten Öffentlichkeit zugänglich ^[14] zu machen. Aber der moderne Mensch besteht nun mal aus Daten ^[15]. Welche davon unkontrolliert umherschwirren, kann man weitgehend selber beeinflussen.

Das „ich google dich“-Phänomen beschränkt sich schon lange nicht mehr auf Personalmanager, welche auch die private Seite eines Bewerbers vor dem Interview-Termin ergründen wollen. Auch viele Kollegen, Nachbarn und Geschäftspartner erkundigen sich regelmässig im Web über die Web-Reputation von Personen ^[16], über welche sie mehr erfahren möchten als diese ihnen selber mitteilen. Einen rufschädigenden Eintrag auf einer Website loszuwerden und aus den Indizes und Caches der Suchmaschinen zu löschen, ist beinahe unmöglich und wenn es trotzdem gelingen soll, dann ist es mit sehr grossem Aufwand verbunden.

In öffentlich zugänglichen Bereichen des Web sollte man deshalb nur das schreiben, was man auch an eine Hauswand schreiben würde. Dabei macht es keinen Unterschied, ob man sich für eine Plattform registrieren muss oder nicht, denn wo sich jeder registrieren kann, kann auch jeder mitlesen. Aber auch Inhalte von ursprünglich privaten Emails und Beiträge im firmeneigenen Intranet gelangen Dank meist fehlender technischer Hürden leicht in den öffentlichen Teil des Netzes.

Auch im Web gilt die Volksweisheit „Was du nicht willst, dass man dir tut, das füg auch keinem andern zu!“ sowie die Regel „Wenn du schon Mist von dir gibst, dann tu das wenigstens so, dass man es nicht mit dir in Verbindung bringen kann!“. So sollte man zum Beispiel keine Namen von Personen in einem privaten oder gar intimen Zusammenhang öffentlich nennen, ausser es handelt sich um ein wirklich öffentliches Interesse, das höher zu gewichten wäre als der Persönlichkeitsschutz der betreffenden Person. In jedem Fall ist die Publikation von ehr- und persönlichkeitsverletzenden Inhalten zu unterlassen. Dies alles gilt ganz besonders für die Teilnahme in „sozialen Netzwerken ^[17]„. Und wenn man schon das Gefühl hat, zum Beispiel peinliche, kompromittierende Fotos zur allgemeinen Belustigung ins Netz stellen zu müssen, sollte man wenigstens die Namen der betroffenen Personen (sowie auch den eigenen) weglassen.

Datenschutz und Privatsphäre

Beliebte Social-Networking-Webseiten werden zunehmend zur Gefahr für die Privatsphäre. Dank Diensten wie Myspace, Xing & Co. werden private Daten zunehmend öffentlich. Über die Hälfte der Europäer haben Angst vor Datenmissbrauch im Social Networking, sagt die Studie von Survey Sampling International ^[18]. Am meisten Angst haben die Leute, Opfer von Identitätsdiebstahl und unerwünschter Werbung zu werden. Für Firmen wird es problematisch, wenn durch die Offenheit und Kommunikationsfreudigkeit der Mitarbeiter der Industriespionage Vorschub geleistet ^[19] wird. Dies alles tut dem Daten-Striptease allerdings (noch) keinen Abbruch.

Es kann vorkommen, dass persönliche Daten von einer Social-Networking-Site gestohlen ^[20] (respektive kopiert) und zum Zugriff auf andere Online-Dienste missbraucht werden. Wer sicher gehen möchte, dass seine Daten nicht missbraucht werden, sollte sich bei sozialen Netzwerken nur unter einem Pseudonym anmelden. Sich unter falschem Namen anzumelden und zu kommunizieren, ist aus rechtlicher Sicht erlaubt, auch wenn viele Plattformen dies in ihren allgemeinen Geschäfts- und Nutzungsbedingungen nicht zulassen. Bei geschäftlichen Kontaktplattformen macht dies allerdings auch keinen Sinn.

Bei allen Websites, für deren Nutzung eine Registrierung angeboten oder gar vorausgesetzt wird, wird jede einzelne Aktion des Besuchers aufgezeichnet. Daraus werden Personenprofile erstellt, die sich nicht nur für die Einblendung personalisierter Werbung eignen. Besonders bei der Verfolgung von Urheberrechtsverletzungen sind sie von besonderem Interesse, wie das Urteil zur Herausgabe von Logfiles ^[21] im Streit zwischen Google und Viacom zeigt. Auch wenn Google die Privatsphäre der Nutzer noch so sehr zu schützen versuchte, könnte Google gegen richterliche Anordnungen und Gerichtsurteile nichts ausrichten. Datenschützer sorgen sich ^[22] um die Privatsphäre der Internetnutzer.

Es gilt jeweils immer das Datenschutzrecht jenes Staates, in welchem der Provider seinen Sitz hat beziehungsweise in dem seine Server stehen. Da dies auch unterschiedliche Länder sein können (z.B. Anbieter in der Schweiz mit Servern auf Antigua), können gleichzeitig zwei durchaus ganz verschiedene Rechte zur Anwendung gelangen. Eine solche Rechtskollison stellt den jeweiligen Anbieter vor eine besondere Herausforderung. Der Benutzer gehört aber immer auch zu den Leidtragenden, ohne sich in irgendeiner Weise dagegen zur Wehr setzen zu können. Daher sollte man sich wirklich gut informieren und bedenken, wem man seine Daten anvertraut und wo man welche Spuren hinterlässt.

Du bist nicht allein und wirst beobachtet

„Das Web vergisst nichts ^[23]„ heisst der Grundsatz, den es zu beachten gilt. Irgendwo (ich weiss die Quelle leider nicht mehr) habe ich einmal folgende Weisheit gelesen: „Auch wenn Du plötzlich sterben solltest, hinterlasse das Web und Deine Einträge darin so, dass Du jederzeit guten Gewissens aus dem Leben treten kannst.“ Der Informatikdozent Kieron O’Hara drückt dies bildlich so aus: „Interneteinträge sind wie ein Tatoo auf unserem Gesicht“. Um die eigene Person zu schützen, sollte man sich (vorher) nicht nur gut überlegen, was man schreibt, sondern auch ob man unter dem richtigen Namen, unter einem Namenskürzel oder gänzlich anonmym unter einem Pseudonym ^[24] seine Meinung und Kommentare zum Besten geben möchte.

Das Internet eignet sich hervorragend für die personalisierte und streuverlustfreie Verbreitung von Werbung. Deshalb wird die Webnutzung von praktisch allen Werbetreibenden maximal möglich aufgezeichnet und ausgewertet, um mehr Informationen über den Besucher zu erfahren und ihn dann mit zielgenauer, auf seine Interessen und Neigungen abgstimmter Werbung zu beglücken. Das nennt sich personalisierte Werbung beziehungsweise „Behavioral Targeting ^[25]„. Viele Dienstleister bieten zudem kostenlose Software-Erweiterungen an, mit denen sie das Web-Nutzungsverhalten des Benutzers aufzeichnen und auswerten. Mehr dazu etwas weiter unten.

Wer als Arbeitnehmer am Arbeitsplatz Zugang zum Internet hat, muss immer damit rechnen, dass seine Emails und Web-Besuche vom Arbeitgeber überwacht und belauscht ^[26] werden, auch wenn dies sehr oft illegal geschieht ^[27]. Auch der Einsatz von Schädlings-Scannern auf dem Unternehmens-Proxy ist nichts Ungewöhnliches. Dabei wird oft der verschlüsselte Datenverkehr über https aufgebrochen, worüber der Mitarbeiter jedoch in jedem Fall informiert werden müsste, was aber nicht überall korrekt gehandhabt wird. Zudem können es sich viele IT-Administratoren nicht verkneifen, ihr Zugangsrechte und Systemkenntnisse auch zum Ausspionieren von Mitarbeitern einzusetzen ^[28].

Google weiss, was Du machst

Google Analytics ist ein kostenloser Service für Websitebetreiber, um das Nutzerverhalten der Besucher zu untersuchen und Statistiken darüber zu erstellen. Dabei werden personenbezogene Daten auf Servern in den USA gespeichert und umfassend ausgewertet. Sowohl den meisten Betreibern als auch Besuchern ist nicht bewusst, dass solche Werkzeuge zum Tracking ^[29] und Erstellen von Nutzungsstatistiken sowie auch der Transfer solcher personenbezogener Daten ins Ausland (in diesem Fall die USA) einen Verstoss gegen Datenschutzrechte darstellt ^[30].

Google hat Kenntnis über alle Besucher ^[31] auf Analytics-basierten Webseiten – und das sind über 80 Prozent der meistgelesenen Seiten im Web. Deutsche Datenschützer ^[32] haben dieses Problem ^[33] kürzlich aufgegriffen und stellen Google zu Rede ^[34]. Erste Websitebetreiber deaktivieren Google Analytics ^[35].

Google hat den US-amerikanischen Vermarkter von RSS-Feeds ^[36] Feedburner aufgekauft ^[37] und um den Dienst „Adsense for Feeds“ erweitert. Damit kontrolliert Google den grössten westlichen RSS-Feedvermittler und weiss auch, woher welche Nachrichten abgerufen werden. Wer Feedburner nutzt, gibt Google bekannt, wofür er sich interessiert und aus welchen Quellen er seine Informationen bezieht. Dies ermöglicht Google, seine bestehenden Profildaten anzureichern, denn Google weiss, wer sich für welche Nachrichten interessiert. Noch gefährlicher ist allerdings, dass Google dieses Wissen nicht bloss für zielgenaue Werbung einsetzen kann, sondern auch über das Wissen verfügt, über welche Kanäle die öffentliche Meinung höchsteffizient manipuliert werden kann, was auch für die nächsten Präsidentschaftwahlen in den USA sicher von Bedeutung sein wird.

Google Gadgets sind Spionagewerkzeuge ^[38] und ein Einfallstor für Datenspione und Hacker. Wer sogar ein Konto bei Google hat und dieses nutzt, teilt sein Leben mit dem Internet-Konzern aus Mountain View. Der 17 Minuten lange Beitrag der TV-Sendung „Monitor“ vom 24.07.2008 ^[39] gibt darüber Aufschluss ^[40].

Gefährliche Websites und Inhalte sollst Du meiden

Im Netz lauern „Spinnen“, die nur darauf warten, dass man ihnen in ihr vergiftetes Netz geht. Solche mit Schadsoftware verseuchten Seiten bieten attraktive Inhalte für die meist „labileren“ Besucher. Typisch für solche Lockvogel-Angebote sind Warez, Cracks, Cheats und viel nackte Haut, aber auch zunehmend vielversprechende, kostenlose Anti-Schadsoftware ^[41]. Bei zweifelhaften Angeboten ist äusserste Vorsicht geboten! Ein falscher Klick genügt, um sich zu infizieren.

Alle elektronischen Dokument-Formate (wie zum Beispiel Word-Dokumente, Excel-Tabellen, PDF-Dateien ^[42]), die ausführbaren Code (JavaScript oder Visual Basic for Applications) für Macros oder die Darstellung von Inhalten enthalten, sind beliebte Einfallstore für Hacker. Vor allem durch Programmierfehler in den Applikationen kann darüber beliebiger Programmcode eingeschleust und ausgeführt werden. Im weniger schlimmen Fall kann die Software gezielt zum Absturz gebracht werden. Voraussetzung ist allerdings, dass die Code-Ausführung in den Sicherheits-Einstellungen der jeweiligen Applikationen zugelassen wird. Allein das Öffnen einer manipulierten Datei genügt schon, um sich mit einem Schädling zu infizieren. Daher sollte man nicht wahllos von überall Dateien herunterladen.

Viele User tippen die URL der aufzurufenden Website immer noch von Hand ein. Gewisse Adressen sind besonders anfällig auf Vertipper, weil sie sich zum Beispiel auf der Tastatur nicht flüssig tippen lassen. Hier setzt Typosquatting ^[43] an. Der Benutzer wird „entführt ^[44]“ und landet auf einer Seite, welche der vermeintlich aufgerufenen zum Verwechseln ähnlich sieht, aber jemand anderem gehört, der damit unlautere bis kriminelle Absichten verfolgt. Um dies zu vermeiden, sollten oft besuchte Seiten (vor allem für Online-Transaktionen wie Banking und Shopping) in der Favoritenliste des Browsers gespeichert und nur darüber geöffnet werden. Wenn man trotzdem auf einer falschen Website landet, ist es am Besten, gleich den Browser ganz zu schliessen (oder notfalls im Taskmanager abzuschiessen) und ihn anschliessend neu zu starten.

Für jeden Zweck eine eigene Email-Adresse

Bei Publikation einer Email-Adresse im Web muss grundsätzlich mit massivem Spam-Aufkommen gerechnet werden, da die Suchroboter der Spammer regelmässig das ganze Netz durchforsten und dabei jede Adresse inventarisieren und verwerten, die sie auf einer Webseite finden. Für den elektronischen Briefverkehr mit unbekannten oder unsicheren Kommunikationspartnern empfiehlt sich daher eine Email-Adresse, die relativ leicht wieder „abgestossen“ und durch eine neue ersetzt werden kann. Vor allem dort, wo die Gefahr besteht, mit unerwünschter Werbung zugemüllt zu werden – bei Registrierung für Webdienste, im Online-Shop oder besonders auf sozialen Vernetzungsplattformen ^[45] – kommt diese Email-Adresse zum Einsatz. Solche Wegwerf-Adressen holt man sich zum Beispiel bei Gratis-Emailern (GMX ^[46], Web.de ^[47], …). Man muss sich dabei einfach bewusst sein und immer damit rechnen, dass sämtlicher Email- und Web-Verkehr über eine solche kostenlose Adresse vom Dienstanbieter mitgelesen und für Zwecke der Marktforschung sowie die „streuverlustfreie“, benutzerprofilbasierte Einblendung von Werbung analysiert ^[48] wird, obschon dies gegen das Datenschutzgesetz sowie das Fernmeldegeheimnis verstösst. Deshalb sollte man sich hier möglichst nur unter einer fiktiven Identität registrieren.

In der Praxis hat sich eine Unterscheidung zwischen verschiedenen Email-Adressen für folgende Zwecke bewährt:

• Newsletters (Wegwerfadresse)
• e-Commerce/Online-Shopping (Wegwerfadresse)
• öffentliche private Kontaktadresse
• öffentliche geschäftliche Kontaktadresse
• private Korrespondenzadresse
• geschäftliche Korrespondenzadresse

Wenn überhaupt, dann werden nur Wegwerf-Email-Adressen in unsicheren und öffentlichen Bereichen preisgegeben! Die private und geschäftliche Korrespondenzadresse wird nie öffentlich publiziert. Dafür ist die Kontaktadresse da. Diese sollte nach Möglichkeit kurz und leicht buchstabierbar sein, weil man sie gelegentlich auch telefonisch mitteilen muss. Auch für Einträge in Vereinslisten, die häufig auf der Vereinswebsite veröffentlicht werden, sollte man höchstens die öffentliche Kontaktadresse angeben. Ständige Email-Adressen und Telefonnummern sollten nur bekannt gegeben werden, wenn dies wirklich nötig und unumgänglich ist.

Auch für die Registrierung zur Freischaltung von Software grundsätzlich immer nur eine Wegwerf-Email-Adresse verwenden! Hier gibt es in den Online-Formularen meist ein Feld zur Abonnierung eines Newsletters des Anbieters, welches in der Regel schon vorselektiert ist. Wenn man nicht mit unerwünschter Werbung eingedeckt werden möchte, sollte man diese Checkbox unbedingt deaktivieren. Für die einmalige Registrierung über das Opt-in-Verfahren, bei dem die Registrierung über den Aufruf eines Links in einer Email an die angegebene Adresse erfolgt, verwendet man am besten spamcop.net ^[49] oder Spamgourmet ^[50], welche die eingehende Post wiederum auf eine Wegwerfadresse weiterleiten. Unerwünschte Emails lassen sich übrigens mit Filterregeln automatisch in definierte Verzeichnisse verschieben oder direkt löschen.

Verwende nur sichere Passwörter

Die meisten Onlinekonti bei Online-Diensten werden (auch) mit einem Passwort geschützt. Diese einfache Art der Authentisierung alleine ist zwar nicht besonders sicher, genügt aber bei richtiger Anwendung für viele Zwecke. Namen und Geburtsdaten aus dem Familien- und Freundeskreis sind als Passwort immer eine ganz schlechte Wahl und mittels „Social Engineering ^[51]“ relativ leicht zu erraten. Durch ein geeignetes Passwort lässt sich die Latte für Hacker bedeutend höher legen. Als Regel gilt:

• Ein Passwort sollte mindestens 12 Zeichen lang sein,
• sich nicht (nur) aus Wörtern zusammensetzen, die in Wörterbüchern zu finden sind,
• Gross- und Kleinschreibung gemischt verwenden und
• mindestens eine Zahl oder ein Sonderzeichen enthalten

Am besten wählt man einen leicht memorisierbaren Satz und leitet daraus das Passwort ab und/oder verfälscht ihn durch Sonderzeichen. Dazu zwei mögliche Beispiele:

• Aus „Meine Freundin wurde 1954 in Zürich geboren und hat 2 Hunde“ wird „MFw1954iZguh2H“

• Aus „Sammelsurium im Altersheim“ wird „S@mm€lsuriumImAlt€rsh€im“

Zu beachten ist, dass bei Passwörtern die Gross-/Kleinschreibung entscheidend ist (d.h. „Hallo“ ist ungleich „hALLO“). Wie sicher ein Passwort ist, kann leicht online zum Beispiel mit dem Passwort-Checker-Programm ^[52] des Datenschutzbeauftragten des Kantons Zürich geprüft werden. Bei solchen Passwort-Prüfern sollte man allerdings nie das effektiv verwendete Passwort sondern nur ein sehr ähnliches, gleicher Länge zur Prüfung eingeben.

Rechtsgeschäfte über das Internet

Online-Shopping

In Web-Shops online einzukaufen ist eine komfortable Sache. Man spart Zeit und Reisekosten und hat schnelle Vergleichsmöglichkeiten. „Klick-klick und browse, alles mit der Maus.“ Die Gefahren lauern hier bei unseriösen Anbietern:

• Zur Zahlung eingesetzte Kreditkartendaten können missbraucht werden.
• Anbieter mit finanziellen Problemen finanzieren sich gerne über Vorauskasse und liefern die bestellte Ware zu spät oder gar nicht.
• Die Privatsphäre wird ausgespäht und nicht alle Anbieter nehmen es mit dem Datenschutz so genau.
• Manch ein Anbieter überflutet seine Kunden mit unerwünschter Werbung, sobald er deren Email-Adresse hat.
• Mit gefälschten Webseiten (Typosquatting) oder eingeschleustem Programmcode (Cross Site Scripting ^[53]) werden Kundendaten geklaut (Phishing ^[54]) und anschliessend missbraucht oder zum Kauf angeboten.
• Mit angeblich kostenlosen Angeboten wird der Kunde zum Vertragsabschluss verleitet und wundert sich dann, wenn ein paar Tage später (nach Verstreichung der Frist für das Widerrufsrecht) eine unerwartete Rechnung ins Haus flattert. Es lohnt sich immer, auch das „Kleingedruckte“ in den allgemeinen Geschäftsbedingungen (AGB) zu lesen!

Bei Geschäftsbeziehungen zu Firmen sollten nur Angaben gemacht werden, die für die Abwicklung des betreffenden Online-Geschäfts wirklich nötig sind. So sind etwa das Geburtsdatum, finanzielle Verhältnisse und persönliche Interessen völlig überflüssig, werden aber immer wieder abgefragt (wie z.B. auch bei der Registrierung bei Gratis-Anbietern), weil es für Kundenstatistiken und die Werbung interessant ist. Konsumenten sollten den Passus in Verträgen streichen, der eine Weitergabe von Daten an unbeteiligte Dritte erlaubt, sofern dies möglich ist. Zur Verifikation der Volljährigkeit und damit Vertragsfähigkeit wird oftmals die Angabe des Geburtsdatums verlangt. Hier kann ruhig ein frei erfundenes Datum angegeben werden. Der Onlinekauf kommt trotzdem rechtswirksam zu Stande.

Der Kunde hat beim Abschluss von Online-Verträgen wie zum Beispiel beim Kaufvertrag immer ein Rücktrittsrecht von (je nach Land) mindestens 7 Tagen. Manche Anbieter verlängern diese Frist sogar bis zu 14 Tagen. Nach Schweizer Recht beginnt diese Frist beim Erhalt der Ware. Nach Deutschem Recht läuft diese First ab Erhalt der Ware aber frühestens erst, wenn der Kunde ausdrücklich über sein Widerrufsrecht informiert wurde (was unter Umständen auch erst Monate später erfolgen kann).

Online-Bezahlung

Die Zahlungsabwicklung ist ein weiterer, wenn nicht gar der heikelste Punkt bei Online-Transaktionen. Online-Bezahlsysteme (PayPal, Firstgate click&buy, easypay, klick2pay und wie sie alle heissen) haben sich aus diversen Gründen (auf die ich hier nicht näher eingehen möchte) nicht durchgesetzt. Deshalb ist die Bezahlung per Rechnung oder Kreditkarte immer noch die häufigste Zahlungsart. Bei deren Verwendung sollte stets darauf geachtet werden, dass die Kreditkartendaten immer nur über eine verschlüsselte Verbindung (HTTPS ^[55]) übermittelt werden. Dies ist daran zu erkennen, dass die Adresse mit „https://“ beginnt und in der Statuszeile des Browserfensters ein Schloss-Symbol angezeigt wird. Wird bei der Bezahlung nach dem PIN-Code (Geheimnummern) für die Kreditkarte gefragt, handelt es sich dabei mit Garantie um einen Betrugsversuch. In diesem Fall sofort den Bezahlvorgang abbrechen, den Browser schliessen und die Bank benachrichtigen! Bei Vorauszahlung ist immer grosse Vorsicht geboten! Ist man sich der Seriosität des Anbieters nicht sicher, kann man auch zuerst einen kleinen Testkauf tätigen, bevor man sich auf teure Experimente einlässt.

Bei Paypal ^[56] kommt es schon mal gerne zu Komplikationen. Besteht der Verdacht auf Geldwäsche oder sonstige Unregelmässigkeiten, kann es schon mal vorkommen, dass Accounts gesperrt und Guthaben auf dem Konto eingefroren werden. Paypal tätigt in solch einem Fall nicht gross Abklärungen, sondern greift direkt zur Sperre, meist ohne die Betroffenen darüber zu informieren. Das ist ärgerlich und deshalb ist Paypal sicher nicht unbedingt die erste Wahl bei elektronischen Online-Bezahlsystemen.

Online-Banking

Die Zugangsinformationen zum Bankkonto (Benutzername und Passwort/PIN-Code) sind in jedem Fall geheim zu halten. Ein Bank fragt einen Kunden niemals nach diesen Daten – weder per Email noch per Telefon. Nur Betrüger mit gefälschtem Absender bitten per E-Mail um die persönlichen Zugangsdaten. Jede Bank veröffentlicht Sicherheitshinweise zu elektronischen Bankgeschäften auf der eigenen Webseite. Es lohnt sich, diese zu lesen. Und nicht in jedem Fall ^[57] kann eine Bank die Risiken im Online-Banking einfach auf den Kunden überwälzen, wie ein Urteil des Amtsgerichts Wiesloch ^[58] zeigt.

Abo-Falle durch Täuschung mit Gratis-Angeboten

Viele Anbieter locken auf ihren Websites mit angeblichen „Gratis-Angeboten“, die sich bei näherer Betrachtung als arglistige Täuschung ^[59] herausstellen und als Abo-Falle ^[60] entpuppen. Sollte man trotz aller Vorsicht unbeabsichtigt einen solchen Vertrag „abschliessen“, muss dieser unmittelbar nach Feststellung des Irrtums (z.B. wenn die erste Rechnung ins Haus flattert) schriftlich (am besten per Einschreiben, d.h. gegen Empfangsschein) widerrufen werden. Auf keinen Fall darf eine ungerechtfertigte Rechnung bezahlt werden! Denn das würde heissen, dass man die Rechnung und damit den Vertrag akzeptiert, wodurch dieser rechtskräftig würde. Eine spätere Anfechtung des unrechtmässigen, mit List erwirkten Vertrags vor Gericht wird dadurch äusserst schwierig. Auf keinen Fall sollte man sich durch Mahnungen oder Betreibungsandrohungen einschüchtern lassen. Vor allem wenn es sich um grössere Geldbeträge handelt, ist es ratsam, einen Rechtsanwalt zu konsultieren, der den Fall individuell begutachtet und bei den zu ergreifenden rechtlichen Schritten behilflich ist.

Softwarekauf und -freischaltung

Allfällige AGB und Nutzungslizenz-Vereinbarungen, die nach dem Kauf von Software für die Freischaltung akzeptiert werden müssen, können getrost „akzeptiert“ werden, da sie (zumindest nach Schweizer Recht) keinerlei Rechtsgültigkeit besitzen. Das gilt insbesondere auch für Microsofts EULA (End User License Agreement = Endbenutzer-Lizenzvertrag), das jeweils für die Installation von Microsoft-Software mit einem Klick auf „ich akzeptiere“ bestätigt werden muss, ansonsten die Installation nicht möglich ist. Es gelten jeweils nur jene Konditionen, die beiden Parteien zum Zeitpunkt des Vertragsabschlusses bekannt waren oder bekannt sein mussten, denn nur so kann der Vertrag durch gegenseitige, übereinstimmende Willensäusserung überhaupt zustande gekommen sein. Verträge, die durch Täuschung erwirkt wurden oder eine Übervorteilung darstellen, sind nichtig oder zumindest teilnichtig.

Wenn Software für die Nutzung zuerst über eine (Online-) Registrierung beim Hersteller freigeschaltet werden muss, stellt dies einen Sachmangel an der Ware dar, wenn der Freischaltungs-/Registrierungszwang dem Käufer vor dem Kauf nicht mitgeteilt wurde und dies auch nicht aus der Beschreibung auf der Verpackung oder im Prospekt hervorgeht. Ebenso verhält es sich, wenn der Käufer bei der Registrierung zur Preisgabe von (persönlichen) Informationen (meist zu Statistik- und Werbezwecken) genötigt wird, für die keine Notwendigkeit besteht und ohne die er die gekaufte Software nicht nutzen kann. In diesem Fall greift die Pflicht des Verkäufers zur Sachgewährleistung (in CH: OR 197). Der Käufer hat den Mangel nach der Feststellung beim Verkäufer sofort zur Anzeige zu bringen (in CH: OR 201), andernfalls der Mangel als genehmigt gilt. Dabei hat der Käufer grundsätzlich wahlweise das Recht auf Wandlung, Kaufpreisminderung oder gleichwertigen Ersatz. Da bei Software ein Ersatz in der Regel nicht möglich ist, bleibt nur die Möglichkeit der Wandlung (Rückgabe der Ware und Rückerstattung des Kaufpreises) oder Minderung (Gewährung eines Preisnachlasses). Allerdings ist es in der Praxis äusserst schwierig, solche Rechte durchzusetzen.

Tipps für Eltern

Eltern haften für ihre Kinder

Eltern haben ihren Kindern gegenüber von Gesetzes wegen nicht wegbedingbare Fürsorge- und Aufsichtspflichten. Wenn sie diese vernachlässigen, können sie für unerlaubte Handlungen ihrer Kinder haftbar gemacht werden. In der Rechtsprechung ^[61] gehen die Meinungen der Gerichte zu dieser Thematik jedoch zum Teil weit auseinander. Belehrung ^[62] und Überwachung der Kinder im Umgang mit dem Internet müssen grundsätzlich angemessen, zweckmässig und zumutbar sein und richten sich nach der Voraussehbarkeit des illegalen oder schädigenden Verhaltens. Der Umfang der Massnahmen ist situationsbezogen, d.h. dem Alter und Wissensstand eines Kindes entsprechend, festzulegen und soll in einem sinnvollen und angemessenen Rahmen liegen wie etwa beim Verhalten im Strassenverkehr oder beim Umgang mit Schusswaffen. Wie auf einer Baustelle ist das Schild „Eltern haften für ihre Kinder“ irrelevant, wenn die Eltern nachweisen können, dass sie ihre Aufsichtspflichten erfüllt haben.

Kinder brauchen Regeln und Anleitung

Eltern unterschätzen oftmals die Online-Gefahren, denen ihre Kinder täglich ausgesetzt sind. Ein Grossteil der Eltern weiss nicht ^[63], was ihre Kinder im Internet so alles treiben und welche Websites sie besuchen. Und die Kinder wissen selber zu wenig ^[64] über Datenschutz. Über die Gefahren der vernetzten Kommunikation in der schönen, bunten Mitmach-Welt der neuen Medien klärt die Broschüre „Im Netz der neuen Medien ^[65]“ auf. Die Kernbotschaft an die Adresse der Eltern (und Lehrer) lautet: „Medienkompetenz ist Erziehungssache“. Hier nur ein paar ergänzende Tipps aus meiner eigenen Erfahrung:

1. Mach dich selber mit den Gefahren des Internets vertraut! Nur wenn du weisst, welche Gefahren auf deine Kinder lauern, kannst du sie vor ihnen schützen. Zu den gefährlichsten Websites für Kinder zählen Online-Spiele, oder solche, wo man Spiele herunterladen kann. Hier fangen sie sich schnell einen Schädling ein. Daneben sind alle Websites für Kinder gefährlich, wo es etwas zum Gaffen gibt, und wo sie Informationen aus ihrer Privatsphäre preisgeben (können). Dazu zählen neben den „klassischen“ sozialen Netzwerken wie MySpace ^[66] oder SchülerVZ ^[67] auch alle Chat-Foren. Besonders beliebt sind auch Instant Messenger, worüber die Kinder allerlei Dateien mit lustigen bis perversen und gewaltverherrlichenden Inhalten austauschen.
2. Eltern sollten sich generell dafür interessieren, was ihre Kinder so tun ^[68] – sei es in der Schule oder in der Freizeit. Sprich mit deinen Kindern darüber und lerne zu verstehen, wofür sie sich im Netz interessieren und auf welchen Webseiten sie sich am liebsten und häufigsten aufhalten!
3. Erkläre deinen Kindern, dass nicht alles der Wahrheit und Realität entspricht, was im Internet geschrieben steht und gezeigt wird. Vor allem die Beiträge bei Wikipedia haben eine ganz unterschiedliche Qualität. Neben einigen sehr hochstehenden Beiträgen findet sich hier auch ein Haufen Schrott: Unsinniges, Unwahres, getarnte Werbung, usw. Lass deine Kinder die Beiträge im Web mit solchen in Lexika und Fachbüchern und -zeitschriften vergleichen! Dann werden sie die Unterschiede meist selber schnell feststellen.
4. Stelle Regeln zur Nutzung des Computers auf und lass deine Kinder dabei mitreden! Am besten ist, ihnen klare Rahmenbedingungen zu setzen (z.B. ein wöchentliches, altersgemässes Zeitkontingent) und sie die Regeln selber ausarbeiten zu lassen. Dann werden die Regeln auch akzeptiert, denn andernfalls würden die Kinder ihre eigenen Entscheidungen in Frage stellen, was sie besonders vor ihren Eltern gar nicht gerne tun.
5. Ein Computer gehört nicht unbeaufsichtigt ins Kinderzimmer (genauso wie ein Fernseher), solange die Kinder minderjährig sind! Am idealsten wird der Rechner in einem der ganzen Familie zugänglichen Raum aufgestellt, der auch von mehr oder weniger der ganzen Familie regelmässig benutzt wird. Wichtig dabei ist, dass der Bildschirm auch von anderen einsehbar ist, d.h. dieser zur Zimmermitte beziehungsweise zur Türe zeigt. Die soziale Kontrolle ist besser und effektiver als jeder Webfilter.
6. Erkläre deinen Kindern die Gefahren des Netzes ^[69]! Mache sie mit den eingangs erwähnten Verhaltensregeln vertraut und hilf ihnen dabei, diese richtig umzusetzen! Kinder brauchen Regeln. Mach ihnen unmissverständlich klar, was sie auf keinen Fall tun dürfen und teile ihnen vorgängig mit, welche Konsequenzen (z.B. mehrtägiges Computerverbot) sie erwarten, wenn sie dagegen verstossen. Sei deinen Kindern ein Vorbild und halte dich selber an diese Regeln!
7. Kinder sollten gar nie unter ihrem richtigen Namen („Realname“) oder ihrem Foto im Internet auftreten. Sie sollten auch keine Informationen zu ihrem sozialen Umfeld (Wohnadresse, Schulhaus, etc.) preisgeben. Hilf deinem Kind bei der Wahl eines passenden Spitznamens („Nickname“). Anzügliche oder zweideutige Namen sollte man dabei vermeiden. Typische solche Name sind etwa „Kletterer71“, „TurboBoy“, „SchneeFee“ oder „Gamer4Fun“.
8. Begleite dein Kind zumindest in der Anfangsphase regelmässig auf seinen Streifzüger durchs Web und sprich mit ihm über das Gefundene und Erlebte! So hat dein Kind im schlimmsten Fall auch die Möglichkeit, Dinge zu verarbeiten, die seine Gefühlswelt aufgewühlt haben und die es noch nicht versteht und daher nicht einordnen kann.

Die richtigen Anwendungen einsetzen

Web-Browser und Erweiterungen

Die heute meisverbreiteten Web-Browser sind der Internet Explorer von Microsoft und der Mozilla Firefox ^[70], wobei der Firefox trotz aller Bemühungen von Microsoft als die sicherere Wahl ^[71] gilt und einfacher zu konfigurieren ist. Abgesehen davon passt mir persönlich das GUI besser und seit der Version 3 ist der Feuerfuchs noch effizienter ^[72]. Folgende Add-ons machen das Web-Surfen mit dem Firefox noch sicherer:

• „Adblock Plus ^[73]“ von Wladimir Palant unterdrückt unerwünschte und störende Werbung
• „NoScript ^[74]“ von Giorgio Maone ^[75] verhindert die automatische Ausführung von in HTML eingebettetem Script-Code
• „FlashBlock ^[76]“ von Lorenzo Colitti und Philip Chee verhindert die Aktivierung von Flash-Elementen (Projektseite ^[77])
• „BlockSite ^[78]“ von Erik van Kempen und Noel Briggs blockiert einzelne Web-Adressen und zeigt Links auf diese Seiten als reinen Text an
• „Web Developer ^[79]“ (nur mit technischen Kenntnissen brauchbar) von Chris Pederick

Der Nachteil der Mozilla-Addons ist, dass sie für jeden Benutzer einzeln installiert und aktualisiert werden müssen. Der Nutzen macht jedoch den Aufwand allemal wett. Der Firefox bietet in seinen Einstellungen auch eine automatische Aktualisierung. Wer diese nutzt, muss sich im Klaren sein, dass er dadurch die Nutzungsstatistiken von Mozilla füttert.

Folgende Toolbar-Addons bieten zwar nette Funktionen, sammeln aber Daten über den Nutzer und sein Surfverhalten und sind aus Datenschutzgründen zu meiden:

• Google Toolbar
• Yahoo Toolbar
• Alexa Toolbar

Auch sonst ist bei Addons mit unbekannter oder zweifelhafter Herkunft Vorsicht angesagt, denn über diese meist sehr nützlichen Browsererweiterungen kann Schadsoftware ^[80] eingeschleust werden! Nur allzu schnell kann man sich mit ein paar unüberlegten Klicks infizieren. So können anfangs nette und hilfreiche Addons auch erst in einer späteren Version ganz plötzlich bösartigen Code enthalten ^[81]. Ebenfalls können Programmierfehler zu Sicherheitslücken führen. Eine gewisse Sicherheit erhält man, wenn man den Namen eines zu installieren beabsichtigten Addons in eine Suchmaschine eingibt und die Kommentare und Empfehlungen auf anderen Webseiten dazu liest.

Download Manager

Download Manager sind generell mit grosser Vorsicht zu geniessen, weil viele dieser Helfer „Adware ^[82]“ sind (d.h. sich über die Einblendung von zur Laufzeit nachgeladener Werbung finanzieren) oder „Spyware ^[83]“ enthalten und somit ungefragt Daten ausspionieren, verschicken oder herunterladen. Eine Unterscheidung zwischen gewolltem und unerwünschtem Datentransfer ist für eine „Firewall ^[84]“ („Brandschutzmauer“) nicht möglich. Zudem stellen Download Manager bei unsachgemässer Programmierung eine zusätzliche Schwachstelle für heruntergeladene Dateien dar, die schädlichen Code enthalten, über die sich ein Angreifer Zugang zum Rechner des Benutzers verschaffen kann. Der eigene Download Manager des Firefox ist für die meisten Zwecke völlig ausreichend.

Personal Firewalls

Personal Firewalls ^[85] sind Programme, die auf dem eigenen Rechner laufen und den Netzwerk-Verkehr von und zum eigenen Rechner kontrollieren, d.h. sie bestimmen gemäss Einstellung, wer, womit, woher und wohin Daten versenden und empfangen darf. Meist unterscheiden sie zwischen einer unsicheren „Internet-Zone“ und dem vertrauenswürdigeren lokalen Netzwerk. Die in Windows enthaltene Firewall unterbindet in der Standard-Konfiguration nur den eingehenden Verkehr, lässt aber jede Anwendung „nach Hause telefonieren“ und so zum Beispiel Nutzungsdaten an den Hersteller schicken. Aus Sicht des Datenschutzes ist dies nicht unproblematisch. Daher empfiehlt sich der Einsatz einer alternativen Personal Firewall, wobei die Windows-eigene zu deaktivieren ist. Hier eine Auswahl bewährter Kandidaten:

• „Sunbelt Personal Firewall ^[86]“ von Sunbelt von Sunbelt Software (als leicht abgespeckte Version auch kostenlos)
• „Outpost Firewall ^[87]“ von Agnitum (auch als kostenlose Version ^[88])
• „Ashampoo FireWall PRO ^[89]“ von Ashampoo (auch als kostenlose Version ^[90])
• „Kerio WinRoute Firewall ^[91]“ von Kerio Technologies (30 Tage Testlizenz)
• „Comodo Firewall Pro ^[92]“ von Comodo (kostenlos)

Wer allerdings nicht versteht, wie eine Firewall funktioniert, ist auch mit der Konfiguration schnell einmal überfordert. Die Gefahr einer Fehlkonfiguration ist zu gross, was die Schutzmassnahme rasch in ein Sicherheitsleck verwandeln kann – vor allem, wenn man mit dem Rechner nicht hinter einem NAT-Router (NAT = Network Address Translation ^[93]) sitzt, sondern direkt mit dem Internet verbunden ist. In diesem Fall ist es trotzdem besser, sich nur auf die Windows-eigene Firewall zu verlassen, denn bei direkter Internetverbindung ohne Firewall ^[94] ist der Rechner innert Minuten mit Schädlingen eingedeckt.

Virenschutz

Ein Virenschutzprogramm gehört mitlerweile (leider) zur Standardausrüstung jedes (Windows-) Computers, denn Viren ^[95] gehören schon fast zum Rechner wie das Betriebssystem und die Zahl der Schädlinge wächst täglich ^[96]. Es sollte zuverlässig sein, ohne dabei zuviel Rechenleistung für die Virenprüfung zu verbrauchen. Empfehlenswerte Kandidaten sind:

• „AntiVir ^[97]“ von Avira
• „Kaspersky Anti-Virus ^[98]“ von Kaspersky Lab
• „AVG Anti-Virus ^[99]“ von AVG Technologies
• „Outpost Antivirus Pro ^[100]“ von Agnitum

Privatanwender, die sich kein kostenpflichtiges Programm leisten wollen oder können, sind auch mit der Gratis-Version „AntiVir PersonalEdition ^[101]“ von Avira genügend bedient, der einen vernünftigen, minimalen Schutz bietet.

Aber Achtung! AntiVir enthält in der neusten Version 8 auch einen „WebGuard“, der als lokaler „Proxy ^[102]“ den Datenverkehr vom und zum Internet auf Schädlinge untersucht. In Kombination mit einer Personal Firewall ^[103], welche zwischen einer „vertrauenswürdigen“ beziehungsweise „lokalen“ und einer unsicheren „Internet-“ Zone unterscheidet, bohrt man schnell mal ein Loch in die Firewall. Weil sich alle Applikationen über den lokalen Proxy ins Internet verbinden und dieser auf dem lokalen Rechner läuft, sieht es dann für die Firewall so aus, als würde sich eine Applikation nur ins sichere, lokale Netz verbinden. Der Proxy hat aber vollen Zugriff auf das Internet und leitet jede Anfrage weiter. Daher sollte man den „WebGuard“ gar nicht erst aktivieren.

Immer mehr Anbieter bieten auch integrierte Pakete an, die Virenschutz, Firewall, Spamfilter und mehr enthalten. Tendenziell sind solche Lösungen zu bevorzugen, da hier die einzelnen Komponenten besser auf einander abgestimmt sind und besser zusammenarbeiten. Mehr Informationen und unabhängige Tests von Anti-Viren- und Anti-Spyware-Software, Personal Firewalls sowie verwandter Produkte findet man bei AV-Test.de ^[104], einem Projekt der Arbeitsgruppe Wirtschaftsinformatik am Institut für Technische und Betriebliche Informationssysteme der Otto-von-Guericke-Universität Magdeburg in Zusammenarbeit mit der AV-Test GmbH.

Ein Rechner sollte erst dann mit dem Internet verbunden werden, wenn eine Firewall und ein aktueller Virenscanner darauf installiert und aktiv sind. Müssen diese zuerst noch aus dem Internet heruntergeladen werden, sollte dies zuerst unbedingt über einen anderen (sicheren) Rechner erledigt werden.

Sicherheitssoftware hat auch Gegner

An dieser Stelle soll aber nicht unerwähnt bleiben, dass es auch Kritiker von jeglicher Sicherheitssoftware wie Personal Firewalls und Antiviren-Software gibt, denn jede Software stellt grundsätzlich immer auch einen potentiellen, zusätzlichen Schwachpunkt im System dar. Vor allem Programmierfehler können hier von Hackern mit Insiderwissen für Angriffe ausgenutzt werden. Wenn man allerdings mit dem eigenen Rechner direkt (z.B. über ein Modem) mit dem Internet verbunden ist oder offene WLANs nutzt, kommt man einzig um eine Personal Firewall (und sei es nur die Windows-eigene) nicht herum, um jeglichen unerwünschten Zugriff von aussen abzublocken.

Anwendungen sicher konfigurieren

Nachdem die passenden Anwendungen ausgewählt und installiert sind, müssen noch der Web-Browser und der Email-Client sicher eingestellt werden. Die hier beschriebenen Einstellungen beschränken sich auf die meistgenutzten Anwendungen von Microsoft (Internet Explorer und Outlook) und Mozilla (Firefox ^[70] und Thunderbird ^[105]).

Web-Browser

Der Browser (das Programm, mit dem du diese Webseite im Web abgerufen hast) ist für Angreifer aus dem Internet das grösste Einfallstor auf dem Computer eines Anwenders. Der Besuch mit den falschen Browser-Einstellungen auf einer präparierten Webseite genügt oft schon, um sich mit einem binären Schädling zu infizieren. Vor dem Besuch einer potenziell gefährlichen Seite sollte man daher mindestens die Ausführung von Scripts (in Webseiten eingebetteter Programm-Code, der lokal vom Browser ausgeführt wird) in den Einstellungen deaktivieren. Wer mit dem Firefox unterwegs ist, erledigt dies komfortabel mit dem Add-on „NoScript“. Im Internet Explorer ist das etwas umständlicher und erfolgt über die Einstellungen der Sicherheitszone. Ebendort lassen sich auch die Einstellungen zu den grundsätzlich sicherheitskritischen ActiveX-Steuerelementen ^[106] vornehmen. Mehr dazu kann man bei Microsoft ^[107] nachlesen.

Cookies ^[108] (kleine Textdateien, die vom Browser lokal gespeichert werden) von Dritt-Websites sollten verworfen werden. Generell sollten Cookies am besten nach jeder Surf-Session gelöscht und der Cache geleert werden. Der Firefox erledigt dies automatisch, wenn in den Einstellungen zur Privatsphäre die Option „Private Daten beim Schliessen löschen“ mit den richtigen Einstellungen aktiviert wird.

Um nicht ständig durch sich selbständig öffnende Fenster gestört zu werden sollten Pop-up-Fenster blockiert werden. Dies ist mittlerweile auch im Internet Explorer einstellbar. Bei beiden Browsern können Ausnahmen zu bestimmten Webseiten definiert werden.

Wenn eine Website für die Verschlüsselung bzw. Authentisierung ein Benutzer-Zertifikat verlangt, sollte dieses nicht automatisch ausgewählt werden, sondern der Benutzer sollte die Möglichkeit haben, selber zu bestimmen, welches der anfordernden Webseite präsentiert werden soll (-> in den Einstellungen „jedesmal nachfragen“ wählen).

Wer sicher sein will, dass seine Browser-Einstellungen sicher sind, kann diese mit dem c’t-Browsercheck ^[109] überprüfen.

Email-Client

Grundsätzlich sollte ein Email-Client keine Funktionen des Web-Browsers übernehmen, d.h. er sollte weder in HTML-Emails eingebetteten Script-Code (JavaScript, VB Script) ausführen oder multimediale Inhalte (Filme, Musik) abspielen noch Cookies verarbeiten. Diese Funktionen können in den Einstellungen der aktuellen Email-Clients deaktiviert werden.

Unerwünschte Nachrichten (Spam) sollen bereits beim Eintreffen unterdrückt beziehungsweise gelöscht werden. Hier hilft einerseits der Spamfilter und andererseits können Regeln und Filter definiert werden, die Emails von bestimmten Absendern oder mit bestimmten Inhalten automatisch in den Papierkorb befördern oder direkt ganz löschen.

Das Email-Programm soll beim Öffnen einer Email auch keine Inhalte aus dem Netz nachladen dürfen. Daher soll sich der Email-Client nur mit den Ports ^[110] 110 bzw. 995 (POP3, zum Abholen der Post) und 25 (SMTP, zum Versenden der Post) an einem entfernten Rechner verbinden dürfen. Die anderen Ports sollten für den entfernten Kommunikationspartner in der Personal Firewall für den Email-Client blockiert werden. Damit wird verhindert, dass Spam, Schad-Code oder Web-Bugs (1 Pixel grosse Bilder, die auf einem Web-Server als Lesebestätigung abgeholt werden und Benutzeraktionen verfolgbar machen) nachgeladen werden. Wenn nachzuladende Inhalte von einem Webserver unterdrückt werden, dann sieht das so aus ^[111].

In mehrerer Hinsicht ist ein richtig konfigurierter, lokaler Email-Client einem Web-Client (wo die Emails im Web-Browser bearbeitet werden) in Sachen Sicherheit immer überlegen und deshalb nach Möglichkeit vorzuziehen.

Nur mit eingeschränkten Benutzerrechten arbeiten

Das Betriebssystem sollte so eingerichtet werden, dass ein Benutzer – vor allem wenn er im Internet unterwegs ist – jeweils nur als Nutzer mit eingeschränkten Rechten arbeitet. So erhält auch ein neu eingedrungener Schädling nicht den vollen Zugriff auf alle Daten und Einstellungen des Rechners und kann somit keine Veränderungen am System vornehmen, für welche Administratorrechte nötig sind.

Sichere Konfiguration des Internetzugangs

Grundsätzlich sollte man nur NAT-Firewall-Router (siehe auch „Personal Firewalls“ oben) für die Verbindung ins Internet verwenden, um die Hürden für ein Eindringen ins lokale Netzwerk und in den eigenen Computer möglichst hoch zu halten. NAT-Router trennen das lokale Netzwerk vom Internet, indem die lokalen Rechner einem anderen IP-Adressbereich ^[112] zugeordnet werden, der von aussen nicht sichtbar ist. Bei den meisten Geräten ist diese Funktion mittlerweile ab Werk aktiviert (sonst unbedingt aktivieren!).

Üblicherweise beherbergen die Geräte für den Heim- und Kleinbetrieb einen DCHP-Server, der den intern angeschlossenen Rechnern ihre IP-Adresse dynamisch und automatisch zuweist. Die eingebaute Firewall verhindert zusätzlich unerwünschten Datenverkehr von aussen nach innen und je nach Konfiguration auch von innen nach aussen.

Viele diese Geräte bieten die Möglichkeit eines Fernzugangs (remote access), um die Einstellungen auch von ausserhalb des heimischen Netzes administrieren zu können. Diese Funktion sollte möglichst deaktiviert werden, da sie meist nur mit einem einfachen Passwort geschützt werden kann und ein grosses Sicherheitsrisiko darstellt. Ein Angreifer könnte leicht die Kontrolle über den Internetzugang des Benutzers übernehmen und dabei die Einstellungen manipulieren.

Einige der Geräte bieten die Möglichkeit, den Datenverkehr mit bestimmten Teilnehmern zu unterbinden (Einstellung z.B. bei Netgear-Routern unter „» Zugriffsbeschränkung » Site sperren“). So lassen sich Domains aussperren, die unerwünschte Werbung schicken oder das Nutzungsverhalten ausspionieren möchten. Folgende Domains habe ich für mein Netzwerk gesperrt:

• adition.com
• advertising.com
• advertlets.com
• alexa.com
• doubleclick.com
• doubleclick.net
• etracker.com
• etracker.de
• google-analytics.com
• hitbox.com
• valueclick.com
• webtrends.com

Falls nicht in der Router-Firewall dann können diese Domains alternativ auch im Adblock-Plus oder in der lokalen Personal Firewall gesperrt werden.

Wer ein Wireless LAN (WLAN) nutzt, sollte sicherstellen, dass die Verbindung mit WPA bzw. WPA-2 verschlüsselt gesichert wird. Viele Geräte verwenden heute standardmässig leider immer noch das veraltete WEP, das von einem Profi innert wenigen Minuten geknackt werden kann.

Werden verdächtige Vorkommnisse bemerkt, so ist im Zweifelsfall die Internetverbindung lieber sofort zu beenden und die verdächtige Anwendung zu sperren. Gerade bei der Benutzung von Hotspots muss davon ausgegangen werden, dass die Verbindung von jedem mitgehört werden kann.

Das ADSL- oder Kabel-Modem sowie den Rechner kann man bei Nichtgebrauch abstellen. Das hat neben der Stromeinsparung auch den Vorteil, dass das eigene System zumindes während dieser Zeit von aussen garantiert nicht angreifbar ist und auch nicht als Botnetz-Zombie missbraucht werden kann. Vor allem ausser Haus sollten Drahtlosverbindungen wie WLAN und Bluetooth nur angeschaltet werden, wenn sie wirklich benutzt werden, und auch dies nur so lange, wie sie wirklich benötigt werden.

Anonym surfen

Wer sicher gehen will, dass sie/er beim Surfen nicht beobachtet wird, sollte einen sogenannten „Anonymizer ^[113]“ installieren. Diese Programme verteilen die einzelnen Anfragen des Browsers auf mehrere Anonymisierungsserver ^[114], die ihrerseits die Anfragen erst nach einer zufälligen Zahl von Weiterleitungen an andere Anonymisierungsserver den eigentlichen Zielservern zukommen lassen. So wird verhindert, dass der Computer des Benutzers im Internet zu identifizieren ist. Im Prinzip funktioniert das ganz ähnlich wie wenn Schwarzgeld über verschiedene Konten auf der ganzen Welt rein gewaschen wird. Folgende Anonymisierungsdienste bieten sich an:

• TOR ^[115] (The Onion Router) anonymisiert sämtlichen Datenverkehr auf TCP-Ebene über verschlüsselte Verbindungen.
• Bei JAP ^[116] teilen sich Anwender ihre IP-Adresse mit vielen anderen Benutzern von unterschiedlichen Orten und Providern. So kann die Adresse nicht eindeutig zugeordnet werden. Weder der angefragte Server noch der Provider bekommt mit, wer wann welche Seiten angesurft hat. In Kombination mit dem CookieCooker ^[117] erreicht man den bestmöglichen Schutz vor dem Ausspionieren des Surf-Verhaltens.
• Ixquick ^[118] ist eine anonyme Metasuchmaschine.

Der einzige Nachteil bei der Sache: anonym Surfen ist deutlich langsamer.

Daten durch Verschlüsselung sichern

Auch mobile Rechner (Notebooks) stellen ein Risiko für Datenschutz und Sicherheit dar und sind immer wieder beliebte Ziele für Hardware- und Datendiebe. Notebooks werden aber auch gerne verloren und vergessen ^[119] oder werden auch schon mal einfach so vom US-Zoll durchsucht oder ganz beschlagnahmt ^[120]. Ein Schutz gegen physische Entwendung kann mit mechanischen Mitteln nur beschränkt gewährleistet werden. Dagegen lässt sich der Zugriff auf die Daten eines gestohlenen Notebooks durch Verschlüsselung der Festplatte wirksam verhindern. Dafür gibt es mehrere Lösungen am Markt. Wer nur die Daten auf seinem Notebook sichern will und keine integrierte Plattform mit Dokumenten- und Email-Verschlüsselung braucht, ist auch mit dem kostenlosen TrueCrypt ^[121] bestens bedient. Ich selber habe die Version 5.1a auf meinem Notebook unter Windows XP im Einsatz und hatte bisher auch mit dem Hybernation-Mode keinerlei Probleme. Die Ver- und Entschlüsselung benötigt zwar etwas Rechenleistung. Diese hält sich aber auch bei meinem 1.6 GHz-Rechner in einem durchaus akzeptablen Rahmen und bremst ihn nicht störend aus. Eine verständliche Anleitung ^[122] findet sich im heise Software-Verzeichnis.

Auch wenn nicht gleich die ganze Festplatte verschlüsselt werden soll, können mit TrueCrypt auch mit einem Passwort gesicherte und verschlüsselte Daten-Container erstellt werden, die als eine einzige Datei auf der Festplatte gespeichert und als Laufwerk eingebunden werden. Alternativ kann auch jede beliebige Datei (z.B. Urlaubsfoto, MP3-Song, etc.) als Passwort genutzt werden. Dieses Laufwerk dient dann zur Speicherung von schützenswerten Daten wie Passwörter, Bankzugangsdaten, etc.

Wer Daten per Email verschlüsselt übertragen will und keine Möglichkeit zur Nutzung von Zertifikaten hat, kann die vertraulichen Inhalte in einen TrueCrypt-Container packen, diesen per Email als Anhang verschicken und dem Empfänger das Passwort mündlich oder per SMS mitteilen.

Übung macht den Meister

Microsoft und die Ludwig-Maximilians-Universität München (LMU ^[123]) haben einen Surfsimulator ^[124] entwickelt. Mit dem Internet Risk Behaviour Index (IRBI ^[125]) kann der Anwender sein Internet-Verhalten anhand von ausgewählten Szenarien prüfen und trainieren. Die Methodik hinter IRBI stammt von den Wissenschaftlern der Uni München. Neben dem Diebstahl von Identitäten, Trojanern, Viren und diversen anderen Schädlingen werden weitere aktuelle Bedrohungen simuliert. In Form dieser Simulationen soll es dem Anwender möglich sein, realitätsnah Erfahrungen mit Bedrohungen zu sammeln, die ihm in der Online-Welt begegnen können. Die Benutzung setzt allerdings die Installation von Microsoft Silverlight ^[126] voraus (Microsofts Konkurrenz zur Flash-Technologie).

Links

Detailliertere Informationen zu einzelnen Themen findest Du hier:

• Übersicht zu den Webseiten unter dem Titel Internet-Sicherheit ^[127] zusammengestellt vom Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Aktuelle Meldungen zu IT-Sicherheit von heise Security ^[128]
• privatsphaere.org ^[129] ist ein Verein zur Förderung von Datenschutz und Datensicherheit
• Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ^[130]
• onTraxx.net ^[131] macht transparent, welche Websites Tracking-Technologien einsetzen und welche Informationen über den Benutzer mit JavaScript gesammelt ^[132] werden können
• Grundlageninformationen ^[133] von educa.ch, dem Schweizerischen Bildungsserver
• klicksafe.de ^[134] ist die Umsetzung des Safer Internet Programms der EU in Deutschland
• Blinde Kuh ^[135] ist eine Suchmaschine für Kinder
• Kids24.ch ^[136] ist eine private Suchmaschine für Kinder
• Security4Kids ^[137] ist eine Initiative zur Bekämpfung der Online-Kriminalität und stellt zielgruppengerechte Informationen und Materialien für den sicheren Umgang von Kindern und Jugendlichen mit dem Internet zur Verfügung
• SCHAU HIN! ^[138] ist eine Initiative vom deutschen Bundesministerium für Familie, Senioren, Frauen und Jugend, Arcor, ARD, ZDF und TV Spielfilm mit Tipps ^[139], Ratgeber ^[140] sowie Studien ^[141] zur Medienerziehung ^[141]
• TeachToday ^[142] bietet Lehrern Ressourcen zum verantwortungsvollen Umgang mit den neuen Kommunikationstechnologien
• Chaos Computer Club FAQ ^[143] – Antworten auf oft gestellte Fragen
• „Technischer Datenschutz: anonyme Internetnutzung ^[144]“ von „Der Grosse Bruder“
• Rezension: Das Buch “Die Google-Falle” ^[145]
• Diplomarbeit zum Sturm-Wurm ^[146] mit einer Analyse des zugehörigen Botnetzes von Frédéric Dahl am Lehrstuhl für praktische Informatik der Universität Mannheim