Wie Sie sich vor 11 versteckten Internetbedrohungen schützen... 3

Transkript

1 Wie Sie sich vor 11 versteckten Internetbedrohungen schützen... 3 Verkürzte URLS... 3 Nutzen Sie einen Twitter-Client... 3 Installieren Sie ein URL-Preview-Plug-in... 4 Datenklau bei Ihren Profilen... 4 Verändern Sie Ihre Privatsphärenoptionen bei Facebook... 4 Akzeptieren Sie keine Freundschaftsanfragen von Unbekannten... 4 Teilen Sie mit Vorsicht... 4 Betrüger in sozialen Netzwerken... 5 Vorsicht bei Betrügereien von Freunden... 5 Internetschnüffler... 5 Arbeiten Sie mit Unternehmen zusammen, denen Sie vertrauen... 5 Benutzen Sie den privaten Surfmodus... 5 Scareware (Schrecken bereits auf Seite 2 beschrieben)... 6 Beißen Sie nicht an... 6 Keine Panik... 6 Aktualisieren Sie Ihren Browser... 6 Textnachrichten von Trojanern... 7 Besuchen Sie die offiziellen Hauptseiten für Updates und Nachrichten... 7 Verlorenes Notebook oder Handy... 7 Verschlüsseln Sie Ihre Daten... 7 Benutzen Sie sichere Passwörter... 8 Benutzen Sie ein BIOS Passwort... 8 Nutzen Sie Wiederherstellungsdienste... 8 Seite 1 von 13

2 Gefährliche WI-FI Hotspots... 9 Überprüfen Sie den Netzwerknamen... 9 Schwache Drahtlosnetzwerksicherheit... 9 Nutzen Sie eine bessere Verschlüsselungsmethode... 9 Datenbackups in Gefahr Verschlüsseln Sie Ihre Backupdaten Nutzen Sie einen Online-Backupdienst Nicht gepatchte Software Installieren Sie alle Sicherheitsupdates Sicherheitsmythen Ich habe nichts, was einen Angreifer interessieren würde Ich besitze eine Antivirensoftware, deswegen bin ich sicher Sicherheit ist nur ein Problem, wenn ich Windows nutze Mein Router besitzt eine integrierte Firewall, also ist mein PC geschützt Da ich nur große und vertrauenswürdige Seiten besuche, muss ich mich vor nichts fürchten Genaue Bestimmung nur per IP-Adresse Seite 2 von 13

3 Wie Sie sich vor 11 versteckten Internetbedrohungen schützen Antiviren-Software und eine Firewall allein sind kein Garant für Ihre Sicherheit. Schauen wir uns einmal an, wie Sie hinterlistige Internetattacken vereiteln können. Wissen Sie, wie man sich vor Scareware 1 schützt? Wie sieht es mit als Textnachricht getarnten Trojanern 2 aus? Oder mit Datensammlern in sozialen Netzwerken 3? Bösartige Hacker entwickeln gezielt immer neue Methoden, die unsere Art und Weise mit Computern umzugehen ausnutzen. Neue Angriffsstrategien täuschen auch vorsichtige Internetnutzer und Profis. In diesem Artikel werden Ihnen die elf neuesten und nicht zu unterschätzenden Internetbedrohungen vorgestellt und beschrieben, wie Sie sich vor ihnen schützen können. Verkürzte URLS Viele Tweets 4 und auch einige andere elektronische Nachrichten beinhalten Links, die von Diensten wie Bit.ly, Tr.im und Goo.gl 5 verkleinert werden. Diese Verkürzungen sind oft sehr praktisch, aber auch sehr riskant. Da verkürzte URLs keinen Hinweis darauf liefern, wo man nach einem Klick landet, können Angreifer sie nutzen, um Sie so auf eine von Hackern manipulierte Internetseite zu locken. So kann z.b. der originale Link auf eine Homepage zum Aufrufen eines Newsletters vorher so aussehen und nach dem Verkürzen, so aussehen Es ist unmöglich zu sehen, wo der Link in Wirklichkeit hinzeigt. Nutzen Sie einen Twitter-Client In den Optionen von Programmen, wie TweetDeck, können Sie einstellen, dass die hinter der verkürzten URL verborgene Seite als Vorschau eingeblendet wird. Wenn Sie nun auf eine verkürzte URL innerhalb des tweets klicken, öffnet sich ein Fenster, das den Seitennamen und die URL in voller Länge anzeigt. Zusätzlich wird angezeigt, wie viele Leute schon auf diesen verkürzten Link geklickt haben. Mit Hilfe dieser Informationen können Sie nun besser abwägen, ob Sie auf den Link klicken sollten, um die dahinter verborgene Seite zu besuchen. 1 Bei Scareware handelt es sich um Software, welche darauf ausgelegt ist, Computerbenutzer zu verunsichern oder zu verängstigen. Der Begriff ist ein englisches Kofferwort aus scare (Schrecken) und Software. Es handelt sich um eine automatisierte Form des Social Engineering. Fällt das Opfer auf den Trick herein und glaubt sich bedroht, so wird ihm häufig gegen Bezahlung eine Beseitigung der nicht vorhandenen Gefahr angeboten. In anderen Fällen soll das Opfer durch den Glauben an einen erfolgreichen Angriff zu Handlungen verleitet werden, welche den tatsächlichen Angriff erst ermöglichen. 2 Als Trojanisches Pferd (engl. Trojan Horse), auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.[1] Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen. 3 Beteiligung am "Mitmachinternet". Beispielsweise an benutzerorientierten und interaktiven Web-Plattformen wie Wikis, Webtagebücher (Blogs) oder Podcasts, die aktiv von den Benutzern der Community beigesteuert werden. Als bekannte Beispiele seien hier genannt: myspace.com, wikipedia.com, flickr.com, blogger.com, youtube.com, facebook. 4 Auf Twitter werden die Beiträge selbst als Tweets bezeichnet Seite 3 von 13

4 Installieren Sie ein URL-Preview-Plug-in Einige Webbrowser-Plug-Ins und Internetdienste ermöglichen ebenfalls Vorschaufunktionen. Beispielsweise beim Erstellen einer verkürzten Internetadresse mit TinyURL können Sie eine Option auswählen, die anderen ermöglicht, die Internetseite als Vorschau zu sehen, bevor man auf den Link klickt. Auf der anderen Seite können Sie einen angebotenen Previewdienst aufsuchen, wenn Sie einen TinyURL Link besuchen möchten, um zuvor die vollständige URL zu sehen. Damit TinyURLs Vorschauoptionen funktionieren, muss Ihr Browser Cookies akzeptieren. ExpandMyURL und LongURLPlease bieten beide Webbrowser-Plug-Ins oder Apps an, welche die Sicherheit der vollständigen URL hinter der Abkürzung von fast allen URL-Verkürzungsdiensten überprüfen. Statt den verkürzten Link in die vollständige URL umzuwandeln, überprüft ExpandMyURL die Internetseite im Hintergrund und färbt den Link grün, sofern er sicher ist. Goo.gl, Googles URL-Verkürzungsdienst gewährleistet ein gewisses Maß an Sicherheit, indem automatisch die URL gescannt wird, um mögliche bösartige Webseiten zu erkennen. Falls der Scan anschlägt, wird der Nutzer dieser verkürzten URL gewarnt, dass sich dahinter möglicherweise eine unsichere Seite verbirgt. Unglücklicherweise hat Google seinen Dienst Goo.gl dahingehend eingeschränkt, dass er nur in Verbindung mit anderen Google Produkten und -diensten nutzbar ist. Datenklau bei Ihren Profilen Einige Ihrer persönlichen Daten, die Sie über soziale Netzwerke preisgeben, wie Ihre ehemalige Schule, Heimatstadt oder Geburtstag, sind auch häufig jene, die bei Sicherheitsfragen beim Vergessen Ihres Passwortes gefordert werden. Jemand, der genügend dieser Informationen sammelt, könnte so an Ihre persönlichen Benutzerkonten kommen. (Social Engineering) Verändern Sie Ihre Privatsphärenoptionen bei Facebook Nachdem Sie sich bei Facebook angemeldet haben, klicken Sie auf Einstellungen in der Menüleiste und wählen Sie ihre Privatsphäreneinstellungen aus. Die Privatsphäreneinstellungen gestatten es, die Nutzer festzulegen, die Ihre privaten Details sehen sollen. Wir empfehlen die Einstellung, Nur Freunde, damit nur diese Ihre persönlichen Daten angezeigt bekommen. Weiterhin können Sie auswählen, dass noch Freunden von Freunden oder jeder Ihre Informationen einsehen kann. Zusätzlich können Sie für jede Einzelinformation in Ihrem Profil diese Einstellungen separat ändern. Beispielsweise für Ihr Geburtsdatum, Religionszugehörigkeit, politische Gesinnung, Bilder oder Ihre Statusmeldungen. Akzeptieren Sie keine Freundschaftsanfragen von Unbekannten Immer wieder kann es vorkommen, dass Sie eine Freundschaftsanfrage von jemandem erhalten, den Sie nicht kennen. Wenn Ihnen Ihre Daten wichtig sind, sollten Sie solche Anfragen nicht akzeptieren. Teilen Sie mit Vorsicht Überlegen Sie sich, ob andere wirklich Informationen wie Ihr Geburtsdatum oder Ihre Heimatstadt sehen sollten. Ebenfalls sollten Sie es sich zweimal überlegen, ob Sie an einem Facebook-Quiz oder an Kettenbriefen teilnehmen. Auch wenn es harmlos scheint: Ihr bevorzugtes Frühstück, Ihr zuletzt besuchtes Konzert oder wo Sie sich gerne mit anderen treffen mitzuteilen, können Angreifer dazu nutzen, um Ihre Identität zu entschlüsseln. (Social Engineering) Seite 4 von 13

5 Betrüger in sozialen Netzwerken Wenn Sie bei Facebook, über Twitter oder einem anderen sozialen Netzwerk Informationen teilen, dann wahrscheinlich, weil Sie die Person kennen und ihr vertrauen. Manche Angreifer schaffen es jedoch, ein Konto eines Freundes zu hacken und dieses Vertrauen auszunutzen. Vorsicht bei Betrügereien von Freunden Mithilfe von Malware, Phishing 6 Seiten oder andere Methoden können Hacker Benutzerkonten von Freunden bei sozialen Netzwerken in Besitz nehmen und Ihnen Spam schicken, Ihre privaten Daten stehlen oder gar an Ihr Geld kommen. Beispielsweise könnte folgende Nachricht an Sie geschickt werden: Hilfe! Ich bin gerade in London und meine Brieftasche wurde gestohlen. Kannst du mir kurz Geld für den Rückflug überweisen? Oder Ihnen werden Nachrichten geschickt, die Sie auffordern einen Link anzuklicken, über den Malware auf Ihrem Computer installiert wird. Möglicherweise um auch Ihre Benutzerkonten zu übernehmen. Internetschnüffler Jeder Nutzer hinterlässt seine eigene reichhaltige Datenspur mit seinen persönlichen Vorlieben. Die Bücher, die Sie lesen, die Filme, die Sie sich ausleihen, die Leute, mit denen Sie sich unterhalten und die Dinge, die Sie sich kaufen sind eine wahre Goldgrube für Suchmaschinen, Werbefachleute und jeden, der ein wenig in Ihren persönlichen Vorlieben schnüffeln will. Arbeiten Sie mit Unternehmen zusammen, denen Sie vertrauen Seien Sie sich über die Datenschutzregelungen der Webseiten und Dienste, die Sie benutzen bewusst. Und wichtiger, schränken Sie die Internetnutzung auf Dienste ein, bei denen Sie sich sicher sein können, dass Ihre angegebenen Informationen sicher sind. Benutzen Sie den privaten Surfmodus Die aktuellen Versionen des Internet Explorer, Firefox, Safari und Chrome besitzen die Möglichkeit des privaten Surfens. Diese Option, wie der InPrivate Modus von Internet Explorer 8 oder der Private Modus von Firefox 3.x, zeichnet keine Seitenverläufe, ausgefüllte Formularfelder, Suchfelder, Passwörter und andere Details auf. Diese Informationen verbleiben dadurch nicht im Cache des Browsers oder Passwortmanagers, nachdem der Browser geschlossen wurde. So können Sie allzu neugierige Kollegen oder Verwandten davon abhalten, sensible Daten im Verlauf zu finden. Diese Einstellung ist aber nur am lokalen PC wirksam, nicht aber im Internet selbst. Diese Spuren erzeugen Sie dennoch und werden auch von 6 Bezeichnung für den Versuch, mittels gefälschter s vertrauliche Benutzerdaten zu bekommen. Phishing (zusammengesetzt aus "Password" und "fishing") verleitet den Benutzer mit Links, zu scheinbar seriösen Unternehmenswebsites, persönliche Daten wie Passwörter, Kreditkartennummern oder PIN-Nummern preiszugeben. Die entsprechenden gefälschten Formulare schauen den der echten Firmen täuschend ähnlich. Eine eigene Anti-Phishing Working Group (APWG) befasst sich mit diesem Thema. Seite 5 von 13

6 Webseiten, die mit WebTracking arbeiten (Google Analytics als bekanntestes und eines von vielen genannt), zeichnen Ihre Bewegungen dennoch ungefragt auf und senden die gesammelten Daten inklusive Ihrer IP Adresse, und anderen Merkmalen Ihres PCs, an Auswertungsserver in das EU- Ausland. Warum gerade in das EU-Ausland? Dort ist es schwer, das Datenschutzgesetzt einzuklagen. Scareware (Schrecken bereits auf Seite 2 beschrieben) Sie sind sich sicher der Vielzahl an Möglichkeiten bewusst, wie Phishingseiten versuchen, Ihnen Ihre Daten abzuluchsen. Wie ein Wochenendangler nutzen Phisher einen Köder wie beispielsweise eine E- Mail, die aussieht, als käme Sie von einer Bank oder dem Finanzamt, um Sie auf eine Ihrer Seiten zu locken. Scareware versucht Sie nicht auf täuschend echt aussehende Seiten zu locken, sondern gibt beispielsweise die Nachricht aus, dass Ihr System mit einem Virus infiziert wurde und dieser nur durch das Antivirenprogramm auf Seite xy aufgehalten werden kann. Beißen Sie nicht an Wenn Sie so eine Nachricht plötzlich in Ihrem Postfach finden, lautet die Devise erst mal: Stopp und nachdenken. Wenn beispielsweise gar keine Sicherheitssoftware auf Ihrem PC installiert sein sollte, woher kann dann ein Sicherheitsalarm stammen? Besitzen Sie andererseits eine Sicherheitssoftware, die bereits dafür sorgt, dass Malware nicht auf Ihrem Computer Fuß fassen kann, warum sollte das Programm dann versuchen, Sie zu einem Zusatzdownload zu veranlassen, um die Infektion abzuwenden? Recherchieren Sie, wie Alarmmeldungen Ihrer Anti-Viren Software aussehen, sodass Sie gefälschte Alarmmeldungen erkennen und entlarven können. Keine Panik Auf Ihrem Computer ist meist schon ein gewisser Anti-Malwareschutz vorhanden. Wenn nicht, dann sollten Sie sich unabhängig von einer gefälschten Fehlermeldung sowieso Gedanken machen, ob Ihr System infiziert ist. Die Lösung ist einfach: Scannen Sie Ihr System mit kostenlosen online Malwarescannern, wie HouseCall oder lassen Sie Microsofts Malicious Software Removal Tool einmal laufen. Sobald der Scan abgeschlossen ist, unabhängig davon, ob Malware gefunden wurde oder nicht, sollten Sie eine Anti-Malware-Applikation installieren, die Ihr System in Zukunft schützt. Aktualisieren Sie Ihren Browser Gefälschte Pop-Up Fenster werden Sie dazu auffordern eine Betrügerseite aufzurufen, die wahrscheinlich, ohne dass Sie es merken, Malware auf Ihrem Computer installiert. Aktuelle Browserversionen und Anti-Viren Programme haben einen eingebauten Phishing-Schutz, der Sie davor warnt, bestimmte Internetseiten zu besuchen. Es ist wichtig sich bewusst zu machen, dass zwar die Betrügerseiten-Datenbanken der Programmanbieter ständig aktualisiert werden, sie aber keinen 100%igen Schutz bieten. Darum sollten Sie sich angewöhnen, immer zunächst die URL des Links anzusehen, auf den Sie klicken möchten. Um dies leichter zu machen, bieten der Internet Explorer 8 und Chrome die Möglichkeit, den Hauptteil der URL dick-gedruckt hervorzuheben. Damit sehen Sie auf einen Blick, ob Sie auf oder landen. Seite 6 von 13

7 Textnachrichten von Trojanern Einige Hacker nutzen Spam-Textnachrichten an Ihr Mobiltelefon, die aussehen, als kämen Sie vom Internetprovider oder vom Finanzamt. In den Textnachrichten werden Sie auf Seiten gelockt, die bestimmte Software installieren, wodurch Ihr Mobiltelefon manipuliert werden kann, um Nutzernamen, Passwörter und andere Daten abzugreifen. Besuchen Sie die offiziellen Hauptseiten für Updates und Nachrichten Wenn Sie eine Textnachricht erhalten, die von einer vertrauenswürdigen Quelle zu kommen scheint, die von Ihnen aber verlangt, eine bestimmte Software zu installieren oder das selbstständig tut und Ihre Zustimmung verlangt mit der Installation fortzufahren, schließen Sie die Textnachricht sofort. Im nächsten Schritt sollten Sie den Kundenservice des Unternehmens oder der Institution, von der die Textnachricht zu kommen schien, kontaktieren und nachfragen, ob solch eine Installationsaufforderung offiziell veranlasst wurde. Sie sollten an Ihrem PC auch nicht mit administrativen Rechten die tägliche Arbeit verrichten, sondern nur als normaler User mit eingeschränkten Rechten, da Sie sich ja auf die Arbeit und nicht auf die Sicherheit konzentrieren. Unerwünschte oder unerlaubte Software kann bei einem eingeschränkten Benutzerkonto kaum oder nicht so viel Schaden anrichten, als wenn Sie mit administrativen Rechten angemeldet sind. Sie werden wahrscheinlich viele unaufgeforderte s von Unternehmen erhalten, mit denen Sie Kontakt hatten. Einige dieser s werden von Ihnen vielleicht sogar als Spam angesehen, jedoch werden angesehene Unternehmen niemals unaufgefordert Links und Updates per schicken. Genauso wenig werden diese Unternehmen unaufgefordert Textnachrichten an Ihr Mobiltelefon senden, die Sie auffordern Updates oder Softwaredownloads durchzuführen. Angreifer hoffen, dass Sie dem Unternehmen oder der Institution blind vertrauen und Softwareupdates oder -downloads nur ausführen, weil die Textnachricht offiziell wirkt. Sobald der kleinste Verdacht besteht, dass etwas nicht stimmt, sollten Sie sich mit dem Kundendienst des betreffenden Unternehmens in Verbindung setzen. Verlorenes Notebook oder Handy Notebooks und Mobiltelefone überallhin mitzunehmen ist sicherlich sehr komfortabel. Aber das bedeutet auch ein erhöhtes Risiko sie zu verlieren oder gar bestohlen zu werden. Wenn Ihr Notebook, Netbook, Handy oder ein anderes Gerät in die falschen Hände fällt, können unautorisierte Personen Zugriff auf Ihre persönlichen Daten erhalten. Verschlüsseln Sie Ihre Daten Sie können Programme wie den BitLocker von Microsoft nutzen, um Ihre Daten zu verschlüsseln. Leider ist BitLocker nur für Windows Vista und Windows 7 verfügbar, und auch dort nur in der Ultimate- und Enterprise-Version. Dieses Tool werden Sie auf den Standardversionen der Betriebssysteme vergeblich suchen, wobei in Unternehmen hauptsächlich die Enterprise Version im Einsatz ist. Glücklicherweise ist BitLocker nicht das einzige Verschlüsselungsprogramm. Empfehlenswert ist ebenfalls TrueCrypt, das kostenlos mit Open-Source Lizenz herunter zu laden ist. True Crypt ermöglicht Ihnen ebenso wie BitLocker Ihre Daten vor unerwünschtem Zugriff mit Hilfe einer Verschlüsselung zu schützen. Seite 7 von 13

8 Das Verschlüsseln von Daten hat jedoch auch seine Schattenseiten. Der größte Nachteil ist, dass Sie Ihr Passwort immer zur Hand haben müssen. Sollten Sie Ihr Verschlüsselungspasswort jemals vergessen und/oder verlieren, werden Sie schnell herausfinden wie sicher Ihre Daten nun auch vor Ihnen sind. Benutzen Sie sichere Passwörter Wenn für Sie die Datenverschlüsselung nach zu viel Aufwand aussieht, sollten Sie wenigstens ein sicheres Passwort zum Schutz Ihres PCs nutzen. Längere Passwörter sind besser, da man mehr Zeit und Rechenaufwand benötigt, sie zu knacken. Sie sollten außerdem bestimmte Buchstaben durch Zahlen und Sonderzeichen ersetzen. Beispielsweise können Sie statt Dolphin-Net einfach D0LghiN+N t benutzen. Dieses Passwort ist immer noch leicht zu merken, es ist aber aufgrund der Nutzung von Sonderzeichen, Zahlen und Großbuchstaben deutlich schwieriger zu knacken oder gar zu erraten. Sie sollten immer ein sicheres Passwort zu Ihrem PC-Benutzerkonto anlegen, auch wenn Sie die einzige Person sind, die den Computer benutzt. Allerdings sollten Sie sich im Klaren sein, dass ein sicheres Passwort zwar vor Angriffen auf normalem Weg schützt. Versierte Hacker besitzen jedoch Möglichkeiten, durch Aus- und Anbau bestimmter Hardwarekomponenten diese Sicherheitssperre zu umgehen. Benutzen Sie ein BIOS Passwort Durch ein BIOS-Passwort oder ein Festplattenpasswort (oder noch besser beides) können Sie sicher sein, dass niemand außer Ihnen den Computer booten kann. Das BIOS zu starten ist von System zu System verschieden. Der als erstes sichtbare Bildschirm beim Booten des PCs zeigt an, welche Taste Sie drücken müssen, um in die BIOS-Einstellungen zu gelangen. Meist sind das die Tasten Entf, Esc oder F10. Einmal geöffnet findet man im Menü die Sicherheitseinstellungen. Dort können Sie ein Passwort einrichten, das andere Nutzer davon abhält, den PC zu booten oder in die BIOS-Einstellungen zu gelangen. Die Option dorthin hat von System zu System unterschiedliche Namen, wird aber meist administrator password oder supervisor password genannt. Wenn Sie möchten, können Sie auch ein Festplattenpasswort einrichten, das jeden Zugriff auf die Festplatte verweigert, solange nicht das richtige Passwort eingetippt wurde. Es gibt Wege diese Passwörter zu umgehen, aber durch das Einrichten dieser Passwörter wird eine zusätzliche Sicherheitsbarriere aufgestellt, die einige Angreifer abhalten wird, an Ihre Daten zu gelangen. Nutzen Sie Wiederherstellungsdienste Wenn Sie Ihre Ausrüstung verlieren oder Sie bestohlen werden, wünscht man sich zunächst, wieder an die Ausrüstung oder zumindest an die Daten zu gelangen. Ist es nicht möglich die Hardware zurückzubekommen, möchte man wenigstens die Daten, die darauf gespeichert sind, irgendwie löschen, so dass diese nicht in falsche Hände gelangen können. Einige Hersteller, wie HP oder Dell bieten Dienste an, die beides für bestimmte Notebookmodelle bieten. Sowohl HPs Notebook Tracking and Recovery Service als auch Dells Laptop Tracking and Recovery basieren auf Computrace von Absolute Software. Wenn Sie ein gestohlenes oder verlorenes Notebook melden, das mit einem dieser Dienste geschützt wird, versucht das Programm beim nächsten Versuch damit ins Internet zu gelangen und den Standort des Notebooks zu senden. Sobald ein verlorenes oder gestohlenes Gerät eine Verbindung herstellen konnte, sind Sie in der Lage, hoch sensible Daten oder gar die ganze Festplatte ferngesteuert zu löschen. Seite 8 von 13

9 Das Add On FireFound von Firefox bietet einen ähnlichen Service. Sie können FireFound so konfigurieren, dass es automatisch Ihre Passwörter, den Internetverlauf und die Cookies löscht, falls ein Loginversuch scheitern sollte. Auf Mobiltelefonen sind häufig ebenfalls sehr heikle Daten zu finden. Apples iphone bietet Dienste wie Find My iphone für eine jährliche Gebühr an. Ähnliches wird für auf Android basierende Smartphones angeboten. Diese Dienste ermöglichen es ebenfalls, das Smartphone zu lokalisieren und ferngesteuert Ihre Daten zu löschen. Falls Ihr Smartphone über GPS verfügt, kann sogar die aktuelle und exakte Position des Smartphone an Sie gesendet werden. Diese Informationen sind natürlich wertvoll, um möglicherweise wieder an die Hardware zu gelangen. Gefährliche WI-FI Hotspots Es gibt immer mehr öffentlich zugängliche Wi-Fi-Netzwerke. Manche Hacker setzen jedoch auch betrügerische öffentliche Wi-Fi-Netzwerke ein, um nichtsahnende Nutzer dazu zu bringen, sich mit ihrem Netzwerk zu verbinden. Einmal mit einem derartigen Netzwerk verbunden, kann der Angreifer Ihren PC Datenverkehr überwachen und Informationen, die Sie versenden, wie Benutzernamen und Passwörter, ausspionieren. Überprüfen Sie den Netzwerknamen Wenn Sie sich mit dem Internet über ein öffentliches Wi-Fi Netzwerk verbinden möchten, sollten Sie sich zunächst darüber informieren, wie die SSID des Hotspotnetzwerkes lautet. Die SSID ist der Name des Drahtlosnetzwerkes, der schließlich bei den zur Auswahl stehenden Wi-Fi Netzwerken angezeigt wird. Beispielsweise könnte eine SSID in einem McDonalds Restaurant "mickeyds" lauten. Ein Angreifer könnte nun ein Wi-Fi Netzwerk einrichten, dessen SSID "mcdwifi" oder "mickeyds2" lautet. Ihr Computer würde nun beide Namen in der Liste verfügbarer Drahtlosnetzwerke anzeigen. Es kann sogar sein, dass das Betrügernetzwerk eine bessere Signalstärke ausweist und darum über dem eigentlichen Hotspotnetzwerk an erster Stelle angezeigt wird. Stellen Sie sicher, dass Sie sich mit dem richtigen Netzwerk verbinden. Wenn Sie sich nicht sicher sind, sollten Sie keinem öffentlichen Netzwerk vertrauen. Die meisten öffentlichen Netzwerke sind unverschlüsselt und deswegen auch nicht geschützt. Das bedeutet, dass Ihr Datentransfer zwischen Computer und Drahtlosrouter von unbekannten Dritten, die sich in Reichweite befinden, abgefangen werden kann. Sofern Sie nicht Ihre eigene sichere Verbindung, beispielsweise über VPN (Virtual Private Network) zum Netzwerk am Arbeitsplatz, besitzen, sollten Sie über öffentliche Drahtlosnetzwerke nicht sensible Benutzerkonten, wie oder Bankkonten, ansteuern. Stattdessen sollten Sie Ihre Internetnutzung in öffentlichen Netzwerken auf das Lesen von Nachrichten, Wetterberichten oder Verkehrsmeldungen beschränken. Schwache Drahtlosnetzwerksicherheit Als vorsichtiger Nutzer von drahtlosen Netzwerken haben Sie sicherlich schon ein Passwort für Ihr Netzwerk eingerichtet, um anderen den Zugriff auf Ihr Netzwerk zu verwehren. Jedoch ist ein Passwortschutz allein möglicherweise nicht ausreichend. Nutzen Sie eine bessere Verschlüsselungsmethode Es gibt mehrere Arten der Drahtlosnetzwerkverschlüsselung und es gibt wichtige Unterschiede. WEP (Wired Equivalent Privacy) Verschlüsselung ist vermutlich immer noch die am häufigsten genutzte Methode in Drahtlosnetzwerken. Sofern Sie ein mit einem WEP-Passwort geschütztes Drahtlosnetzwerk betreiben, haben Sie schon einen großen Schritt zu einem sicheren Netzwerk getan. Seite 9 von 13

10 Jedoch hat WEP einen großen Nachteil. Es kann mit den richtigen Werkzeugen sogar von nicht sehr professionellen Hackern in wenigen Minuten geknackt werden, um Zugriff auf Ihr Netzwerk zu erhalten. WEP ist allerdings immer noch besser als gar kein Schutz, da die meisten Angreifer sich nicht die Zeit nehmen, über ein Passwortknackprogramm Zugriff auf Ihr Netzwerk zu erhalten. Sicherer als WEP ist WPA (Wi-Fi Protected Access) oder der Nachfolgestandard WPA2. Diese Verschlüsselungsmethoden bügeln die Schwächen einer WEP-Verschlüsselung aus und bieten so einen besseren Schutz. Melden Sie sich bei Ihrem Router an und suchen Sie die Drahtlossicherheitseinstellungen. Dort können Sie zwischen den Verschlüsselungsvarianten wählen, wie WPA oder WPA2. Legen Sie dann ein Passwort an und speichern Sie die Änderungen. Nach einem Neustart des Routers können Sie nun ohne großen Umstellungsaufwand sicherer surfen. Datenbackups in Gefahr Sie wissen sicher, dass Sie Ihre Daten regelmäßig auf einer Zusatzfestplatte oder online speichern sollten (Backup). Backups dienen dazu, einzigartige Dateien wie beispielsweise Familienbilder in Form einer Kopie noch zu besitzen, falls die eigene Festplatte einmal eine Funktionsstörung aufweisen sollte. Gerne werden solche Backups auf CDs, DVDs oder USB Sticks realisiert, doch sind diese Medien sehr einfach zu transportieren und können so einfach entwendet werden. Verschlüsseln Sie Ihre Backupdaten Vergewissern Sie sich, dass Sie ein Backupprogramm nutzen, das eine Direktverschlüsselung der Daten gestattet oder Sie zumindest die Daten per Passwort schützen können. Falls Sie einen Schritt weiter gehen wollen, können Sie Ihre Backups direkt auf einer externen verschlüsselten USB Festplatte, wie Seagate Maxtor BlackArmor, speichern. Es gibt auch externe Festplatten mit Fingerabdruckerkennung, wie Apricorn Aegis Bio oder LaCie d2 Safe. Nutzen Sie einen Online-Backupdienst Sie können auch Online Speicherdienste wie Microsoft Windows Live SkyDrive oder Dropbox oder Ubuntu One nutzen. Bei Skydrive können Sie 25 GB an Daten kostenlos hinterlegen. Diese Daten werden über einen Nutzernamen und ein Passwort geschützt. Leider ist das Kopieren von 25 GB Daten über eine Internetverbindung sehr zeit- und ressourcenaufwändig. Gegen eine geringe Gebühr können Sie auch Dienste, wie Mozy, nutzen, bei denen zugleich ein automatisierter und intelligenter Uploadprozess der Daten geregelt werden kann, damit Ihr Backup immer auf dem neusten Stand bleibt. Achten Sie dabei aber auf die Regeln des Datenschutzgesetztes und vor allem auf die AGBs des Dienstanbieters. Nicht dass am Ende die Daten nicht nur Ihnen alleine gehören. Mein persönlicher Vorschlag ist, die Daten auf eine Hardware zu speichern, die in Ihrem Besitz und in Ihrem Blickfeld ist. Externe Festplatten sind durch Ihre ausgereifte Technik (Festplatten gibt es schon über 40 Jahre), ein verlässliches Speichermedium und wenn Sie es selbst entscheiden können, wer darauf zugreifen darf, ist es immer noch besser, als jemand den Sie nicht kennen, ist für die ordnungsgemäße Verwahrung Ihrer Daten zuständig. Seite 10 von 13

11 Nicht gepatchte Software Microsoftprodukte wie der Internet Explorer waren lange Zeit das Lieblingsziel von Hackern, um Malware zu verteilen. Heutzutage bietet aber auch Drittanbietersoftware wie der Adobe Reader Hackern eine Chance, um an Ihre Daten zu kommen. Installieren Sie alle Sicherheitsupdates Angreifer haben festgestellt, dass es einige Drittanbietersoftware, wie den Adobe Reader oder Adobe Flash, gibt, die praktisch auf jedem PC installiert sind und ausnutzbare Schwachstellen besitzen. Um sich gegen solche Gefahren zu schützen, können Sie Programme, wie Secunia Personal Software Inspector nutzen, die Ihr System nach Applikationen durchsuchen, die bekannte Sicherheitslücken besitzen und die nötigen Updates installieren. Sie sollten via Updates alle Ihre Programme immer aktuell halten. Die About.com Antivirus Software Seite ist ein guter Startpunkt, um diese Informationen zu erhalten. Sie können auch McAfees Avert Labs Threat Library nutzen, um sich über die neuesten Gefahren aus dem Internet zu informieren. Obwohl die Drittanbietersoftware wohl den Weg des geringsten Widerstandes für Hacker darstellt, haben die bösen Jungs Microsoftprodukte noch nicht aus dem Auge verloren. Windows-Nutzer sollten also die Option zum automatischen Update der Microsoftprodukte aktivieren und den Download und die Installation von wichtigen Updates automatisieren. Das automatische Update hält das Windows-Betriebssystem und Microsoftsoftware, wie den Internet Explorer oder Office Applikationen, auf dem aktuellen Stand. Sicherheitsmythen Sie sind sich sicher, alles für Ihre Datensicherheit zu tun? Oder fühlen Sie sich sicher, wenn Sie im Netz surfen oder Daten herunterladen? Denken Sie nochmal darüber nach, nachdem wir Ihnen fünf häufige Sicherheitsmythen über digitale Sicherheit vorstellen. Ich habe nichts, was einen Angreifer interessieren würde Durchschnittliche Nutzer denken häufig, dass die Daten auf ihrem Computer nur für sie selbst einen gewissen Wert besitzen, aber nicht für andere. Deswegen sorgen sie sich auch nicht so sehr über die Sicherheit ihrer Daten. Es gibt aber drei Probleme bei dieser Denkweise. Erstens wollen Angreifer oft nicht an die Daten selbst, sondern sie möchten die Kontrolle über den Computer übernehmen, um über diesen Malware und Spam an andere Nutzer zu verschicken. Zweitens können Sie zwar der Meinung sein, dass auf Ihrem PC keine wichtigen oder sensiblen Daten gespeichert sind, jedoch reicht einem Angreifer häufig der Name, die Adresse und das Geburtsdatum aus, um Ihre Identität zu klauen und beispielsweise bei sozialen Netzwerken einzusetzen. Und drittens sind die Angriffe von Hackern meist automatisiert. Angriffe sind also meist nicht auf ein vorher ausgewähltes Ziel gerichtet, sondern können jeden treffen. Ich besitze eine Antivirensoftware, deswegen bin ich sicher Antivirensoftware ist unbedingt notwendig, aber sie allein schützt nicht vor allem. Einige Antivirenprodukte blockieren zudem weder Spam noch Phishingversuche noch Spyware oder andere Malware. Selbst wenn Sie eine Antivirensoftware besitzen, die gegen mehr als nur Viren schützt, müssen Sie diese auch auf dem aktuellen Stand halten. Neue Malware wird täglich aufgedeckt, sodass Antivirensoftware nur so gut sind, wie sie beim letzten Update waren. Außerdem dauert es immer ein wenig, bis neu aufgekommene Bedrohungen erfolgreich in einer Datenbank gespeichert wurden und die Seite 11 von 13

12 Gegenmaßnahmen dazu auf den Antimalwareprodukten aktualisiert wurden. Sie sind also nicht vom Tag Null an vor neuartigen Angriffen geschützt. Sicherheit ist nur ein Problem, wenn ich Windows nutze Microsoft hatte in den letzten Jahren sicher das größte Stück vom Angreiferkuchen erhalten. Dies bedeutet aber nicht, dass andere Systeme oder Applikationen immun gegen Angriffe sind. Zwar sind Microsoftprodukte das häufigste Ziel von Angriffen, aber Linux und Mac OS X haben ebenfalls Sicherheitslücken, die ausgenutzt werden können. Da alternative Betriebssysteme und Webbrowser steigende Nutzerzahlen aufweisen, werden sie langsam auch attraktivere Ziele. Momentan zielen die Angriffe vor allem auf Drittanbietersoftware, wie den Adobe Reader, um auch Daten von diesen Systhemen stehlen zu können. Mein Router besitzt eine integrierte Firewall, also ist mein PC geschützt Eine Firewall bietet hervorragenden Schutz gegen zufälligen, unautorisierten Zugriff auf Ihr Netzwerk und wird Ihren Computer vor einer Vielzahl von Gefahren schützen. Jedoch haben Hacker schon vor langer Zeit herausgefunden, dass der schnellste Weg durch die Firewall die Ports sind, die Daten unbeachtet passieren lassen. In den Standardeinstellungen für die meisten Firewalls wird normaler Datenverkehr, wie Webdaten und s durchgewunken, während sich nur die wenigsten Nutzer die Mühe machen, die Firewalleinstellungen genauer unter die Lupe zu nehmen. Außerdem laufen heutzutage viele Attacken webbasiert ab, beispielsweise über eine Phishingseite, vor der Sie auch eine Firewall nicht schützen kann. Da ich nur große und vertrauenswürdige Seiten besuche, muss ich mich vor nichts fürchten Sie erhöhen natürlich die Wahrscheinlichkeit Ihr System zu infizieren, indem Sie auf zwielichten Webseiten surfen. Doch auch große und bekannte Webseiten werden ab und zu infiltriert. Beispielsweise wurden die Seiten von Apple, CNN, ebay, Microsoft, Yahoo und sogar vom FBI von Angreifern geknackt und Informationen über die Nutzer konnten gesammelt und Malware auf anderen Computern installiert werden. Genaue Bestimmung nur per IP-Adresse Ein Forscherteam hat einen Ansatz entwickelt, um den physischen Standort von Computern einzig anhand der IP-Adresse sehr genau zu ermitteln. Dazu nutzen sie die IP-Adressen der Webserver von großen Unternehmen und Universitäten als Orientierungshilfen. Damit wird die IP-basierte Geoortung 50 Mal genauer als bisher. Der Standort wird mit wenigen 100 Metern Unsicherheit ermittelt, und das ganz ohne Zustimmung des Users. Es war schon bislang gut möglich, den Standort anhand der IP in etwa auf die Größe einer Kleinstadt genau zu ermitteln. Es ist beeindruckend, dass die Ungenauigkeit im Mittel bei 690 Metern und teils bei nur 100 Metern liegt. Möglich wird das, weil große Firmen und Universitäten ihre Website oft auf einem Server hosten, der auf dem eigenen Gelände steht. Zudem ist auf der Seite mit bekannter IP- Adresse meist die physische Adresse zu finden. Mithilfe von Google Maps werden diese Organisationen dann praktisch zu markanten Wahrzeichen für die IP-Orientierung. Der Ansatz nutzt dazu zunächst eine herkömmliche, grobe IP-basierte Standortbestimmung. Dann können Techniker durch den Vergleich von Paketlaufzeiten, welche ihrer Orientierungshilfen sich in der Nähe eines Rechners befinden. Dieser Prozess wird dann auf feinerer Detailebene nochmals wiederholt, um das dem gesuchten Rechner nächstliegende IP-Wahrzeichen zu ermitteln. Der Standort des gesuchten Computers kann somit zwar nicht exakt bestimmt, aber sehr genau eingegrenzt werden. Seite 12 von 13

13 Ein potenzielles Anwendungsgebiet für die genaue Ortung ist die Werbung. Amazon, Facebook oder Google nutzen IP-Standortbestimmung längst für diese Zwecke. Mit einer genaueren Standortbestimmung könnte Online-Werbung für Kleinunternehmen interessanter werden, die,wie beispielsweise Pizzazusteller, möglichst Kunden in einem klar definierten, relativ kleinen Gebiet erreichen wollen. Allerdings ist es fraglich, ob dieser Ansatz mit der noch genaueren GPS- oder 3G-Ortung bei Handys mithalten kann. Im Vergleich zu Smartphone-Ortungssystemen gibt es freilich einen markanten Unterschied. Bei Smartphones entscheidet der User, ob er beispielsweise einer App sein Vertrauen schenkt, die auf GPS-Daten zugreifen will. Die IP-basierte Ortung dagegen kann definitiv ohne Einwilligung des Users erfolgen. Aus datenschutzrechtlichen Gründen ist diese Ortungsgenauigkeit eher als kritisch zu betrachten. Ohne Zustimmung kann jedes größere Unternehmen die genaue Adresse eines Users feststellen. Es wäre wirklich alarmierend, wenn man aufgrund der IP eine genaue Türnummer ermitteln könnte, aber der Stand der Technik ist schon so weit. Seite 13 von 13