Sicher online kommunizieren

Transkript

1 Sicher online kommunizieren Grosse Teile unseres Lebens findet immer mehr auch online statt. Dabei werden wir aber verwundbarer, denn je mehr Daten und Spuren wir im Internet hinterlassen, desto schwieriger wird es, diese Daten vor unbefugtem Zugriff zu schützen. Dies liegt auch daran, dass historisch gesehen die Infrastruktur des Internets ist nicht auf maximale Sicherheit vor Hackern, sondern vor allem für maximale Stabilität der Netzwerkverbindungen entwickelt wurde. Für die Hacker und Datensammler ist alles ist interessant, unser Privatleben, unser Konsumverhalten, unsere Finanztransaktionen, aber auch unsere Computer selber, die übernommen und ferngesteuert werden können. Problemfelder 1. Privatsphäre Ob Familie, Gesundheit oder unsere persönliche Meinung über Politik oder weltanschauliche Fragen. Dies alles ist aus vielerlei Gründen interessant Gläserner Kunde: Unternehmen wie Banken und Versicherungen können aufgrund dieser Daten eine Risikoabwägung vor Vertragsabschlüssen machen. Händler nutzen sie für gezielte Werbung. Arbeitgeber nutzen unsere Online-Profile für Screenings bei Bewerbungen. Hacker erstellen aufgrund all unserer Daten Profile für kriminelle Zwecke. Viele Passwörter können immer noch leicht erraten werden, wenn man Privates über jemanden weiss. 2. Wichtige Daten Zugang zu Konten und Zahlungsmitteln Persönliche Informationen, Identität Vertrauliche Daten (z.bsp. Lohnausweise, Bankauszüge, aber auch Zeugnisse, Krankenakten usw.) 3. Kommunikation Über die Kontrolle unserer Kommunikation kann sehr viel über uns in Erfahrung gebracht werden. Telefongespräche (speziell über Handy oder Skype) Viele, die sich Sorgen über die Sicherheit von Dropbox oder Google machen, verschicken ohne Bedenken vertrauliche Dokumente unverschlüsselt per . Chatnachrichten sind meist nicht nur unverschlüsselt, sondern Chatprogramme haben oft auch Sicherheitslücken, über die Hacker Zugriff auf den Computer erhalten können. Bedrohungen 1. Kriminelle Kriminelle sind in erster Linie hinter unserem Geld her oder nutzen gekaperte PCs zur Geldwäsche oder um Passwörter zu knacken. Die Anzahl gekaperter PCs (sogenannte Zombies) geht in die Millionen. Diese Botnetze werden oft zur Verbreitung von Spam genutzt. Ausserdem betreiben Kriminelle auch Wirtschaftsspionage im Auftrag von Staaten oder Unternehmen. 2. Hacker (z.bsp. Anonymous) Gute Hacker dringen in fremde Systeme ein, verfolgen dabei aber keine wirtschaftlichen Interessen. Oft geht es bloss um den sportlichen Ehrgeiz, als erster eine Sicherheitslücke zu finden. Diese werden dann auch den Herstellern gemeldet und erst öffentlich gemacht, wenn die Löcher durch ein Update behoben wurden ( responsible disclosure ). Es gibt sogar eine Hackerethik (siehe nacht er sich diese Hacker richten. Das Hackerkollektiv Anonymous rekrutiert sich hauptsächlich aus den Kreisen guter Hacker und greift beispielsweise die Websites von Scientology oder Neonazis an. Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 1! / 6!

2 Böse Hacker werden eigentlich Cracker genannt, nutzen ihre Fähigkeiten zerstörerisch und stehen oft im Dienst von Kriminellen oder Staaten. 3. Kommerzielle Interessen Unternehmen nutzen Profiling zur Profitmaximierung und um gezielt Spam zu versenden. Auch hier ist zu unterscheiden zwischen solchen, die sich im Rahmen der Gesetze bewegen (wie z.bsp. Coop und Migros) und solchen, die mit fragwürdigen bis illegalen (Abzocker-) Methoden vorgehen. 4. Geheimdienste Staatliche Geheimdienste greifen (wie wir seit letztem Jahr wissen) massiv in unsere Privatsphäre ein, meist unter dem Vorwand polizeilicher Ermittlungen. Aber auch die Datensammlung (Data mining) zu politischen Zwecken (z.bsp. in China) oder Wirtschaftsspionage gehören zu den verfolgten Zielen. Zu den rechtliche Aspekte, die man als Benutzer von Onlinediensten beachten sollte gehört der Gerichtsstand, also der Ort, wo Rechtsstreitigkeiten ausgetragen werden. Dies sind meist die USA, welche z.bsp. bezüglich Daten- und Personenschutz weit hinter der EU oder der Schweiz zurück liegen. Methoden 1. Technisch Die meisten Passwörter sind relativ leicht zu knacken. Wo ein einzelner PC Jahre rechnen müsste, kann ein Botnetz von Millionen PCs dies in relativ kurzer Zeit tun. Oft ist es aber einfacher, Sicherheitslücken auszunutzen und Spyware zu installieren, die beispielsweise sämtliche Tastaturanschläge registriert und weiterleitet (Keylogger). 2. Social Engineering Noch einfacher als ein Passwort zu knacken ist es, einfach danach zu fragen ( Enkeltrick ). Es ist erstaunlich, wie schnell Menschen ihre Geheimnisse preisgeben, wenn man nur richtig danach fragt. So hat zum Beispiel der Hacker die Server der NORAD (North American Aerospace Defense Command) gehackt, indem er dort angerufen und sich als Systemadministrator ausgegeben hat, der Wartungsarbeiten ausführen muss und das Passwort braucht. Je genauer ein Hacker sein Opfer kennt, desto einfacher ist es, mit psychologischen Tricks dessen Vertrauen zu gewinnen. Ein bekanntes Beispiel für diese Methode wird im Film Catch me if you can gezeigt. Zur psychologischen Trickkiste gehört auch, Personen über Gewinnversprechungen per Mail auf eine Website zu locken, wo sie ein Konto mit Passwort erstellen muss. Da die meisten Personen für all ihre Onlinekonten die gleiche Mail/Passwortkombination nutzen, öffnen sich damit für den Hacker sämtliche Türen. Wenn das reicht, wird auch zu Drohung und Erpressung gegriffen (gekaperte Online-Konten freikaufen). 3. Zufall und Leichtsinn Das beste Passwort nützt nichts, wenn es auf einem Post-it am Monitor klebt oder auf einem Zettel in der obersten Schreibtischschublade liegt. Sehr leicht zu Passwörtern kommt man über den Schlüsselbund nicht passwortgeschützter Computer oder wenn Laptops offen stehen gelassen werden, während man sich einen Kaffe holt. Heikel ist auch das Surfen auf offenen öffentlichen Netzwerken, sei es bei Starbucks oder am Bahnhof, da hier der Netzwerkverkehr relativ leicht abgehört werden kann. Massnahmen Technische Massnahmen Die technische Aufrüstung ist eine Möglichkeit, Hackern das Leben zu erschweren. Da sich die Technologie und die Methoden der Hacker fortwährend weiterentwickeln, muss man diesen immer einen Schritt voraus sein. Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 2! / 6!

3 1. Mehrere -Accounts Um seine Haupt-Mailadresse zu schützen und von Spam frei zu halten empfiehlt es sich, mit mehreren Mailadresse zu arbeiten, also für Websites, von denen eventuell Spam zu erwarten ist, eine neue Adresse zu erstellen, falls man für eine Dienstleistung eine Mailadresse hinterlegen muss (z.bsp. Online-Verkäufer). 2. Updates schnell installieren Es ist sehr wichtig, Updates immer und zeitnah nach deren Veröffentlichung zu installieren, da viele Updates auch Sicherheitslücken schliessen (nicht nur als Security Update ausgewiesene). Dies Betrifft in erster Linie Systemupdates und Browserupdates, aber auch Aktualisierungen von Java oder Plugins wie Flash oder dem PDF-Plugin von Adobe, da diese auf das System gewisse Zugriffsrechte haben. 3. Passwort Ein starkes Passwort ist das wichtigste Sicherheitselement eines Computers. Ein gutes Passwort ist nach folgenden Regeln aufgebaut: Sowohl Gross- als Kleinbuchstaben Zahlen und Sonderzeichen Mindestens 8 Stellen lang Wie gut ein Passwort ist, kann auf den folgenden Seiten überprüft werden: Auf diesen Seiten natürlich nicht das eigene, sondern ein sinngemässes Passwort eingeben! Das Passwort sollte nicht niedergeschrieben und an niemanden weitergegeben werden. Um ein langes und kompliziertes Passwort zu erstellen, das man sich auch merken kann, gibt es einen Trick: Einen Satz erfinden, in dem auch Zahlen und Sonderzeichen vorkommen. Von jedem Wort das erste Zeichen und alle Sonderzeichen als Passwort nehmen Beispiel: Mein Name ist Kurt, ich habe am 5. März Geburtstag. > Passwort: MNiK,iha5.MG Weitere Tipps: Der Computer sollte bei jeder Anmeldung nach dem Passwort fragen. Wenn Websites eine sogenannte Two-factor-authentication anbieten, sollte dies genutzt werden. Dabei wird Der Zugang über ein Passwort und einen zweiten Faktor (wie SMS oder Bestätigungsmail) geschützt. Für jeden Internetdienst ein eigenes Passwort einrichten. Bei Onlinediensten nach der Nutzung immer abmelden. 4. Verschlüsselung Websites können das Übertragungsprotokoll sichern. Mit einer sogenannten SSL-Verbindung werden alle Daten zwischen der Website und dem Browser verschlüsselt übertragen. Dies erkennt man im Browser a, Präfix « und meistens an einem eingeblendeten Vorhängeschloss-Symbol. Man kann seine Daten aber auch selber verschlüsseln, bevor man sie online stellt oder in einen mit dem Internet verknüpften Ordner (wie Dropbox oder Google Drive) legt. Leider ist das relativ kompliziert und hat auch einige Nachteile. So können Freigabe-Funktionen dieser Dienste nicht mehr genutzt werden, da die verschlüsselten Dateien nicht mehr von anderen gelesen werden können. Ein Programm, das eine relativ transparente Verschlüsselung anbietet ist «Cloudfogger» > Die Standardsoftware in diesem Bereich nennt sich PGP, ist aber normalen Computerbenutzern nicht zuzumuten. Um die Daten lokal zu schützen, kann auch im Betriebssystem eine Verschlüsselung aktiviert werden, welche die ganze Festplatte mit einem Passwort schützt. Unter MacOS X nennt sich die Funktion «FileVault», unter Windows «Bitlocker». Eine ausgebaute Festplatte kann so ohne Passwort nicht gelesen werden (der Schutz ist natürlich nur so gut wie das gewählte Passwort), aber sobald die Dateien gelesen und weitergegeben Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 3! / 6!

4 5. Software Verhalten Es gibt diverse Software, welche den Computer sicherer machen kann: Jedes Betriebssystem hat eine integrierte Firewall, die in den Sicherheitseinstellungen aktiviert werden kann. Diese kontrolliert eingehende Verbindungen und kann damit Angriffe von aussen verhindern. Wenn auch ausgehende Verbindungen unterdrückt werden sollen, braucht es spezielle Zusatzsoftware wie Little Snitch (MacOS X) oder NetLimiter (Windows). Antivirensoftware verhindert, dass bekannte Viren oder Trojaner das System infizieren. Wichtig ist, keine Software aus unbekannter oder dubioser Quelle herunterzuladen und zu installieren. Dies sind Beispielsweise viele Windowssoftware-Downloadseiten (wie Megadownload), aber auch alle Seiten, die illegale Software (sogenannte Warez ), aber auch Musik oder Videos zum Download anbieten. Auf jeden Fall muss von wichtigen Daten ein Backup erstellt werden, im Idealfall sogar von allen Daten auf der Festplatte. Um sicher zu gehen empfiehlt es sich, mindestens zwei Backups zu haben, eines an Ort (z.bsp. auf einer lokalen Festplatte), ein zweites verschlüsselt im Internet (z.bsp. bei einem Anbieter wie backblaze.com) Software kann auch in einer virtualisierten Umgebung (wie Parallels oder VMWare) installiert werden, einem Computer im Computer, wenn man Sicherheitsbedenken hat. Dort kann sie ohne Zugriff auf das eigentliche System laufen und kann somit auch keinen Schaden anrichten. Die grössten Gefahren gehen nicht von der Technik, sondern vom Menschen aus - schwache oder gar keine Passwörter, leichtsinniger Umgang mit persönlichen Daten oder schlicht Bequemlichkeit. Aus Naivität und Unwissen sind viele Computer für Angriffe viel zu leicht zugänglich. Mit einigen wenigen Verhaltensregeln können die meisten Risiken aber minimiert werden. 1. Gesundes Misstrauen Grundsätzlich muss wegen der Anonymität im Netz davon ausgegangen werden, dass man nie weiss, wer das Gegenüber wirklich ist und was seine Absichten sind. Deshalb sollte man auf folgende Punkte achten: Wer online einen neuen Dienst nutzen möchte, sollte die AGB lesen. Viele seriöse Anbieter bieten unterdessen eine Zusammenfassung mit den wichtigsten Punkten, welche auch tatsächlich für Nichtjuristen verständlich formuliert sind. Einen Link zu fälschen ist relativ trivial (Beispiel: anschauen). Die im Browser angezeigt URL zeigt hingegen die tatsächliche URL an, deshalb sollte diese beachtet und nicht ausgeblendet werden. Viele Webseiten bieten die Möglichkeit von Privatsphäre-Einstellungen. Bei Google, Facebook und anderen kann so definiert werden, wer auf die Daten welche Zugriffsrechte hat. Beachtet werden sollte aber, dass diese Einstellungen von Zeit zu Zeit vom Anbieter ungefragt abgeändert werden können (z.bsp. bei Facebook). Seriöse Anbieter verlangen nie ungefragt per Mail nach Passwörter oder anderen privaten Daten. In sogenannten Phishing-Mails geben sich Kriminelle als seriöse Unternehmen aus (wie Banken oder Versicherungen). Der Kunde soll sich aus irgendwelchen Gründen sofort melden und dazu einen Link im Mail anklicken. Dieser öffnet dann eine Seite, die der Originalseite zum Verwechseln ähnlich sieht und die Eingabe von Loginname und Passwort verlangt. Diese Phishing-Mails erkannte man früher meistens an den vielen Rechtschreibfehlern, heute ist es bedeutend schwieriger geworden, echte von falschen Mails zu unterscheiden. In diesem Fall hilft ein Blick auf die Mailadresse des Absenders. Bei Zweifeln sollte die Adresse im Mail nicht angeklickt sondern kopiert und im Browser eingesetzt werden. Ein Grossteil des Mailverkehrs im Internet besteht aus Spam. Es gibt auch immer wieder Kettenmails, die einen auffordern, sie an möglichst viele Bekannte weiterzuleiten. Das sollte man tunlichst unterlassen, auch bei so rührseligen Geschichten wie krebskranken Kindern oder aussterbenden Tieren, die man damit retten würde. Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 4! / 6!

5 2. Risikoverteilung Um das Risiko zu minimieren hilft es, eine bewusste Auswahl von Onlinediensten zu treffen und sich nicht ziellos überall anzumelden. Wichtig ist, für verschiedene Zwecke unterschiedliche Anbieter zu nutzen. Auch wenn es sehr bequem ist, bei Google seine Mailadresse, sein Adressbuch und seinen Kalender einzurichten, auf GoogleDrive seine Daten abzulegen, bei Google+ seine Fotos freizugeben und sich überall mit dem Google-Login anzumelden - letztlich macht man sich damit nicht nur abhängig sondern auch verletzlich, weil ein Angreifer nur noch einen Dienst hacken muss, um Zugriff auf sämtliche Daten zu haben. Es ist auch ratsam, sich genau zu überlegen, welche Daten man ins Netz stellen möchte und welche am besten nur lokal gespeichert oder vor dem Hochladen verschlüsselt werden. 3. Vorsicht bei Online-Käufen Geldtransaktionen gehören zu den am besten gesicherten Bereichen des Internets. Trotzdem gibt es auch hier einiges zu beachten: Wer heute online einkauft kommt praktisch nicht mehr ohne Kreditkarte aus. Ein Möglichkeit sind Geschenkgutscheine, die von einigen Händlern angeboten werden (itunes, Amazon, ). Wenn man Kreditkarten verwendet, sollte man darauf achten, dass die Bank eine doppelte Sicherheit bietet (z.bsp. SMS-Bestätigung bei Belastungsversuchen). Eine alternative Zahlungsmöglichkeit ist Paypal. Bei Paypal wird die Kreditkarte hinterlegt und bei Zahlung muss ein (beliebig langes) Passwort eingegeben werden. Paypal bietet einen (begrenzten) Käuferschutz. Direkte Geldüberweisungen an Händler sollten die absolute Ausnahme sein und nur an Händler erfolgen, deren Gerichtsstand in der Schweiz ist. Vertrauenswürdig sind in aller Regel nur Online-Shops aus der Schweiz oder mitteleuropäischen Ländern respektive den USA. Absolut tabu sollten Köpfe bei ostasiatischen oder russischen Händlern sein. Kontoauszüge sollten immer auf undurchsichtige Ausgaben überprüft werden. Manchmal werden von Betrügern auch immer wieder minimale Beträge belastet, damit es nicht so schnell auffällt. 4. Öffentliche Netzwerke meiden Wer bei Starbucks, an Bahnhöfen oder anderen Orten offene/öffentliche WLAN-Netzwerke nutzt, geht dabei das Risiko ein, dass Dritte den Netzwerkverkehr mithören ( man in the middle -Angriff). Deshalb sollten vertrauliche Informationen auf solchen Netzwerken nur auf gesicherten (SSL/https) Webseiten eingegeben werden. Eine VPN-Verbindung bietet in diesem Fall erhöhte Sicherheit. 5. Vorfälle melden Es gibt diverse Stellen, die daran arbeiten, das Netz sicherer zu machen und Missbräuche zu verhindern. Dazu sind sie auch auf Hinweise angewiesen, wenn neue Phishing- oder Spammails in Umlauf sind. Spamcop: Bund (Melde- und Analysestelle Informationssicherung MELANI): Auch Provider nehmen Meldungen per Mail an den Support entgegen.! Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 5! / 6!

6 Links Sicher im Web surfen (Google) > Social Engineering Fundamentals > Anleitungen zu Sicherheitseinstellungen > US Computer Emergency Readiness Team > 6 Tipps für Online-Sicherheit (Microsoft) > Norton Security Center > ch.norton.com/security-center/ 25 Internet Security Tips > Melde- und Analysestelle Informationssicherung MELANI > 10 Internet Security Tips > Digital Learning Center Medienberatung, Medienproduktion & Geräteausleihe stud.phzh.ch/digitallearning 6! / 6!