Anleitungen: Sicherer Internetzugang

Aus EBE-Online e.V.
Version vom 26. Februar 2017, 11:14 Uhr von Daniel (Diskussion | Beiträge) (Bezug zu Windows XP sowie Analog- und ISDN-Zugängen entfernt, Formulierungen minimal angepasst.)

Die Frage nach einem sicheren Internetzugang muss in zwei Teile aufgebrochen werden:

  1. Wie kann ich meinen Computer oder mein privates Netzwerk ausreichend absichern?
  2. Kann ich - bei einem bereits sicheren System - die Sicherheit noch mehr erhöhen, indem ich zusätzliche Firewall- oder Virenscanner-Software installiere?

Die folgenden Erläuterungen zu diesen Punkten haben den Fokus auf Windows als Betriebssystem. Bei Linux oder anderen Systemen gelten die Regeln analog. (Auch Linux enthält Sicherheitslücken).

Wie kann ich meinen Computer oder mein privates Netzwerk ausreichend absichern?

Ein System kann durch drei Punkte unsicher werden:

Durch Softwarefehler:

Risiko:

Jedes Stück Software enthält zwangsläufig Fehler, entweder im logischen Ablauf oder in der Architektur. Diese Fehler können ausgenutzt werden, um entweder Code von externen Quellen einzuschleusen und auszuführen oder aber um Sicherheitssperren zu umgehen. Je mehr Software installiert ist (das nennen wir die Codebasis), um so mehr solcher Fehler sind zwangsläufig vorhanden.

Problemlösung:

  • Führen Sie regelmäßig (d.h. einmal monatlich) Windows Updates durch, lassen Sie dabei keine Updates aus, weil sie Ihnen besonders groß erscheinen, gerade die großen kumulativen Updates enthalten viele kleine Fehlerbereinigungen. Die Angst vor dem Ausspionieren von privaten Daten während des Updates ist unbegründet.
  • Installieren Sie nur die Software, die sie tatsächlich benötigen.
  • Installieren Sie Software nicht, weil sie diese möglicherweise irgendwann ausprobieren möchten, sondern recherchieren Sie vorab, ob die Software tatsächlich benötigt wird.
  • Installieren Sie nur Software aus vertrauenswürdigen Quellen. D.h. bei aus dem Internet herunterladbarer Software sollten Sie diese nur von der Hersteller-Website beziehen, nicht aus ominösen Foren oder anderen Downloadsites.

Durch Benutzerfehler:

Risiko:

Bösartige Software, die z.B. durch Webseiten verbreitet wird, läuft auf dem eigenen Rechner mit den Rechten, die der aktuell angemeldete Benutzer hat. Arbeitet man als Benutzer mit Administratorrechten, dann hat die bösartige Software ebenfalls Administratorrechte und kann sich ungehindert im eigenen System ausbreiten.

Problemlösung:

  • Man legt das Benutzerkonto von vornherein nur mit eingeschränkten Rechten an (bei Windows Home Versionen muss das nachträglich umgestellt werden) und legt sich (vorher) für administrative Tätigkeiten ein weiteres Konto an. Letzteres wird nur benutzt, um Updates durchzuführen oder unbedingt erforderliche Software zu installieren. Der ganze Rest wird mit dem eingeschränkten Konto erledigt.

Risko:

Ein Bekannter/Kollege/Mitschüler bringt auf einem USB-Stick eine Software oder ein Spiel mit. Dies ist wieder keine vertrauenswürdige Quelle, sondern ist als potentiell verseucht zu betrachten.

Problemlösung:

  • Wenn Sie unbedingt Software aus nicht vertrauenswürdigen Quellen installieren, sollten Sie einen aktuellen Virenscanner verwenden. Dieser muss nicht von Symantec sein, es gibt durchaus kostenlose aber dennoch hervorragende Lösungen. Aber Vorsicht: Ein Virenscanner ist kein Virenschutz, er dient nur dazu Viren zu erkennen, eine verlässliche Entfernung von einem bereits verseuchten System kann kein Virenscanner bieten (auch wenn die Hersteller etwas anderes versprechen). Außerdem kann kein Virenscanner wirklich jede bösartige Software erkennen, da zwischen dem ersten Auftreten einer bösartigen Software und der Erkennbarkeit durch Virenscanner immer etwas Zeit vergehen muss, damit die Virenscannerentwickler ein Erkennungsmuster herausfinden können, und diese neuen Erkennungsmuster müssen dem Virenscanner als Update bekannt gemacht worden sein.

Durch soziale Manipulation:

Risiko:

Man bekommt eine E-Mail, die den Eindruck macht, fehladressiert worden zu sein. Diese E-Mail enthält einen Anhang, der angeblich Strandfotos oder ähnliches z.B. einer weiblichen Person enthält.

Problemlösung:

  • Den Finger still halten, den Anhang nicht anschauen - denn dabei würde man die bösartige Software installieren - sondern die fehlgeleitete E-Mail in den Orkus befördern.

Zusätzlich kann man beim Internetzugang über einen Router die Firewall im Router aktivieren, dabei sollte man jedoch auf sämtliche Portweiterleitungen im Router verzichten, ebenso auf DMZ-/Exposed-Host-Einstellungen, die eher als Unsicherheitsfunktion zu bezeichnen sind, sowie auch auf UPNP (Universal Plug And Play). Damit können Programme von „innen“ (also aus dem Heimnetzwerk) bestimmte Sicherheitsregeln auf dem Router deaktivieren, ohne dass der Benutzer dies bemerkt. Angebliche Sicherheitsfunktionen wie „ICMP-Filter“ oder „Ping-Filter“ hingegen bringen keinen zusätzlichen Schutz sondern können sogar zur Verschlechterung der Internetgeschwindigkeit zu manchen Zielen führen.

Wird kein Router verwendet empfiehlt es sich die Windows Firewall zu aktivieren. Von der Installation anderer Firewallprodukte als der systemeigenen ist dringend abzuraten. Diese vergrößert die Codebasis (siehe oben) und erhöht somit die effektive Unsicherheit.

Kann ich die Sicherheit noch mehr erhöhen, indem ich zusätzliche Firewall- oder Virenscanner-Software installiere?

Grundsätzlich sollte jedes Sicherheitskonzept (ich spreche bewusst nicht von Firewall, diese ist nur eine Komponente eines Sicherheitskonzepts) nach dem Zwiebelprinzip aufgebaut sein.

  • Ganz innen muss der Benutzer sich der Sicherheitsproblematik bewusst sein, darf sich nicht auf Firewall, Virenscanner und Co. verlassen und muss sich an die oben genannten Regeln halten.
  • Auf der nächsten Schicht hält aktuell gehaltene Software die Anzahl der Programmfehler gering bzw. stellt sicher dass Fehler kurz nach deren Bekanntwerden behoben werden und somit Sicherheitslücken reduziert werden.
  • Die nächst äußere Schicht ist der Virenscanner, der dennoch durchgekommene bösartige Software erkennen (jedoch nicht verlässlich entfernen) kann.
  • Zuletzt der Schutz durch eine Firewall, die sicherstellt, dass nur gewünschter Netzwerkverkehr bis zum betroffenen System vordringen kann.

Der Erklärung des Punktes „Firewall“ kann man bereits entnehmen, dass eine Firewall am besten wirkt, wenn sie vor dem zu schützenden System arbeitet, nicht auf, also ist eine Firewall auf dem Router grundsätzlich besser geeignet als eine Firewall auf dem PC selbst.

Nun mag man argumentieren, dass zusätzliche Schichten die Sicherheitszwiebel noch besser machen könnten und man daher ruhig eine weitere Firewall und noch einen Virenscanner installieren kann. Dies ist jedoch falsch.

Wie oben bereits erläutert, erhöht jede installierte Software - auch ein Virenscanner und auch eine Firewall - die Codebasis eines Systems und somit auch die Anzahl der Softwarefehler, die ganz oben als einer der Hauptunsicherheitsfaktoren genannt wurden.

Zusätzlich bringen Doppelinstallationen ein weiteres Problem mit sich:

  • Ein Virenscanner muss sich in die Dateizugriffsfunktionen des Betriebssystems einklicken. Bei zwei Virenscannern geschieht dies im Idealfall einfach doppelt, d.h. bei jedem Dateizugriff werden nun beide Virenscanner und dann das Betriebssystem benachrichtigt. Das reduziert die Systemgeschwindigkeit. Läuft es aber schlecht, kann dies zu ernsthaften Problemen führen, da beide Virenscanner nicht damit rechnen, dass sie vor oder nach einen anderen Virenscanner laufen, sondern das Betriebssystem als vorherige oder nachfolgende Komponente erwarten. Das kann entweder dazu führen, dass sich die Virenscanner gegenseitig aushebeln oder das System gänzlich unbenutzbar machen, weil jeder Dateizugriff zwischen den Virenscannern steckenbleibt.
  • Eine Software-Firewall (gemeint ist ein Firewallprogramm, keine Firewall auf einem Router) muss sich in die Netzwerkzugriffsfunktionen des Betriebssystems einklicken. Wer obigen Abschnitt der Dateizugriffsroutinen bei zwei Virenscannern durchgelesen hat, kann sich das Problem bei zwei konkurrierenden Firewallprogrammen auf demselben System bereits lebhaft vorstellen.

Gerne wird argumentiert, dass die Router- oder Windows-Firewall zwar vor eingehenden Zugriffen schützt, dass man aber auch ausgehende Verbindungen kontrollieren möchte und dafür andere Programme benötigt. Das ist jedoch ein Trugschluß: Wenn eine bösartige Software es schafft, sich auf dem lokalen Rechner zu installieren, dann hat sie zwangsläufig auch ausreichende Rechte, in der Firewall des Fremdherstellers heimlich still und leise eine Ausnahme für sich zu konfigurieren oder die Firewall gleich gänzlich abzuschalten (ohne dass es für den Anwender erkennbar ist).