Sicherheit im Netz

Roland M. Eppelt, Februar 2011

Inhalt

1. Webseiten zum Thema "Sicherheit"
   
2. Neue Gefahren im Netz
   
3. Sicherheit im Kopf
   
4. Sicherheit im Rechner
   
5. Sicherheit im Browser
   
6. E-Mail
   
7. Kennwörter
   
8. Soziale Netzwerke
   
9. Datenschutz
   
10. Kryptographie
    
11. Rechtliches
    
12. Handy
    
13. Google
    
14. Facebook
    
15. Team-Ulm
    

Webseiten zum Thema "Sicherheit"

• http://www.bsi-fuer-buerger.de
• http://www.buerger-cert.de/
• http://www.verbraucher-sicher-online.de
• https://www.klicksafe.de/
• http://www.heise.de/security/
• http://www.dfn-cert.de/
• http://www.google.de/goodtoknow/

Neue Gefahren im Netz

• Schädlinge (Viren, Würmer, Trojaner)
• Spam, Abzocker, Dialer, Bots
• Cracker (Einbruch, Diebstahl, Manipulation)
• Informationen (Name, Adresse, Geburtsdatum, Telefonnr., E-Mail-Adr., Interessen, Freunde, Aufenthalt, Kontonr., Kreditkartennr., PIN/TAN)

Sicherheit im Kopf

• Der größte Schwachpunkt sitzt vor dem Rechner!
• Immer misstrauisch sein!
• Selber denken! Nicht alles glauben, was einem andere erzählen.
• Vieles ist nicht das, was es zu sein scheint.
• Gute Betrüger sind freundlich und hilfsbereit.
• Muss ich das jetzt unbedingt öffnen, starten oder ausprobieren?

Sicherheit im Rechner

• Betriebssystemwahl: Linux (am sichersten), Apple (mittel), Windows (am unsichersten)
• eine ganz kleine Linux-Auswahl: Ubuntu (anfängerfreundlich), openSuSE, Fedora, Knoppix (Live-Linux ohne Installation direkt von DVD)
• Nie als Administrator arbeiten oder surfen! Eingeschränktes Benutzerkonto erstellen!
• Besser noch: getrennte Konten für Internet und Offline
• Noch besser: getrennte Systeme für Internet und Offline
• Alle Programme aktuell halten (am besten automatisch)! Besonders wichtig: Betriebssystem, Browser, E-Mail, Antivirenprogramm, Mediaplayer, Java, Flash
• Tipp: Secunia Personal Software Inspector
• Programme gegen Viren und Spyware einsetzen; Gelegentlich das heruntergefahrene System von einer Rescue CD prüfen, z.B. Avira (Gut: tagesaktuell!), F-Secure, AVG, Kaspersky-labs. „Erfolgreiche Schädlinge sind im Betrieb unsichtbar.”
• Ganze Security-Suiten sind z.Zt. sinnlos. Windows Security Essentials sind gut.
• Alle Dateien gelegentlich auf eine externe Festplatte kopieren. „Ein Backup macht den Unterschied zwischen etwas Zeitaufwand und einem Desaster.”

Sicherheit im Browser

• Browserwahl: Firefox und Opera sind sehr sicher, Chrome und Safari sind sicher, Internet Explorer ist unsicher
• Cookies deaktivieren (auch von Drittanbietern) oder beim Beenden automatisch löschen (auch Silverlight- und Flash-Cookies!)
• Aktive Inhalte einschränken (Java, JavaScript, Flash) bzw. komplett abschalten (ActiveX, VBScript, JScript)
• Popup-Fenster blockieren
• Alle Einstellungen überprüfen
• Empfohlene Add-Ons für Firefox: NoScript, AdBlock Plus, FlashBlock, Better Privacy
• keine Dateien von unbekannten oder zweifelhaften Seiten laden
• vor dem Anklicken von Links kurz in die Statusleiste schauen, wohin der Link führen wird
• Verschlüsselung (https://) nutzen wo möglich; auf Login-Seiten unbedingt!
• Wie sicher ist mein Browser eingestellt?

E-Mail

• ist komplett fälschbar, vergleichbar einer Postkarte
• Besser: kryptografisch signieren und/oder verschlüsseln (z.B. Thunderbird mit Enigmail)
• unangekündigt zugesandte Anhänge auch vom besten Freund nicht öffnen
• Dateien mit zwei Endungen (z.B: „Datei.txt.exe”) nie öffnen (das gilt eigentlich immer)
• Kettenmails oder unsinnige E-Mails einfach löschen. Auf keinen Fall weiterleiten!
• Private Nachrichten mit Links sind fast immer Viren oder Trojaner, darum: Nicht anklicken! Im Zweifelsfall persönliche Rückfrage außerhalb des Systems (z.B. per Telefon oder E-Mail).

Kennwörter

• Kennwörter nie ein zweites Mal verwenden! Ein einmal gewähltes Kennwort ist für immer verbrannt.
• Speichere deine Kennwörter in einem Kennwortsafe, z.B. Keepass (nur Windows), KeepassX (frei), PasswordStore (frei), PasswordSafe (eingeschränkte Version kostenlos)
• Kennworte können geknackt werden, es ist immer nur eine Frage des Aufwands (z.B. 7 Kleinbuchstaben auf PC in 10 Sekunden, 9 Zeichen (a-z, A-Z, 0-9) für 2.000 US$ oder mit aktueller Grafikkarte in 40 Tagen). Wenn Teile des Kennworts in einem Wörterbuch stehen (z.B. „john23052010” oder „123katze§$%”), kann es praktisch sofort geknackt werden.
• Empfehlung: völlig wirre Kombination aus Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen mit mindestens 10 Zeichen verwenden. Länger ist besser!
• Password-Check, über Brute-Force-Attacken, Passwort-Rettung

Soziale Netzwerke

• „Rein kommen ist leichter als raus kommen...”
• „Das Internet vergisst nichts!” Löschen kann schwer bis unmöglich sein.
• Privates und Beruf strikt trennen; Privat nie den echten Namen verwenden!
• Trenne unterschiedliche Netzwerke für verschiedene Zwecke (Freundschaft, Beziehung, Schule, Beruf, Fan, Selbstdarstellung)
• Halte persönliche Informationen zurück!
• Zugriffsmöglichkeiten für Fremde einschränken
• Muss dein Profil über Suchmaschinen auffindbar sein?
• Müssen Bilder von dir im Netz sein? Musst du darauf markiert sein?
• Müssen andere wissen, was du gerade tust oder wo du gerade bist?
• Respektiere die Privatsphäre deiner Freunde: Müssen Geburtstagsgrüße, Status-Updates, Bild-Markierungen wirklich sein?
• Seitenbetreiber fragen dich NIE nach deinem Kennwort!
• Impressum, Datenschutzerklärung und AGBs lesen

Datenschutz

• „Immer misstrauisch sein!”
• „Niemand hat etwas zu verschenken!” Alles hat seinen Preis. Und womit verdient der Anbieter eigentlich sein Geld?
• Vieles ist nicht das, was es zu sein scheint.
• Alles hinterlässt Spuren im Netz!
• RFID-Tags: „Die Cookies der echten Welt”
• Kundenkarten und EC-Karten machen mich zum „gläsernen Kunden” (z.B. Easycash)
• In Deutschland dürfen nur Daten gespeichert werden, die zur Erfüllung des Geschäfts unbedingt erforderlich sind; insbesondere personenbezogene Daten müssen bald wieder gelöscht werden. Jeder Bürger hat gegen jede Firma ein Auskunftsrecht über die über ihn gespeicherten Daten (BDSG).
• Suche dich regelmäßig selbst in Personensuchmaschinen, z.B. yasni.de, 123people.de
• Zukünftige Chefs schauen im Internet gezielt nach dir

Kryptographie

• Aufgaben: Vertraulichkeit, Integrität, Authentizität
• verwandt: Steganographie, d.h. Verheimlichen, dass überhaupt kommuniziert wird
• früher: Buchstaben vertauschen und ersetzen
• früher: „Security by Obscurity“ (heute: Bekannte, quelloffene Verfahren)
• (beweisbar) am sichersten: XOR-Verknüpfung mit One-Time-Pad; leider unpraktisch
• Problem: Schlüssel-Austausch
• Heute asymmetrische Public-Key-Verfahren: Schlüssel-Paar: Privater/Öffentlicher Schlüssel
• dazu: „Einweg“-Funktion
• verschlüsselt im Web surfen mit: https://
• E-Mails verschlüsseln/signieren: Thunderbird mit Enigmail, Apple Mail mit GPGMail (basierend auf PGP/GnuPG)
• Dateien verschlüsseln, z.B.: (Win) Zip

Rechtliches

• Urheberrechtsverletzungen können sehr teuer werden (Filesharing, Bilder, Musik, Texte, Landkarten). Der Download aus offensichtlich rechtswidrigen Quellen ist strafbar!
• Die Privatkopie bleibt weiterhin geduldet. Grundregeln: Immer nur vom Original kopieren, nie Geld verlangen, keinen wirksamen Kopierschutz umgehen. Sieben Kopien sind noch völlig in Ordnung.
• „Das Recht am eigenen Bild“: Fotos darfst du nur veröffentlichen, wenn alle Abgebildeten zugestimmt haben
• Deutsche Webseiten müssen den Anbieter kenntlich machen. Lies das Impressum!
• Fernabsatzgesetz: Bei Kauf über Internet, Telefon o.ä. haben private Kunden ein 14-tägiges Widerrufsrecht. Darüber muss der gewerbliche Verkäufer informieren!
• Das Strafrecht gilt auch im Internet! Also besser keine Üble Nachrede, Beleidigung, Verleumdung, Kinderpornographie, Gewalt, Betäubungsmittel, Volksverhetzung, Rassismus oder Pornographie ohne Zugangsschutz
• Der Versuch, in fremde Computersysteme einzudringen, ist schon strafbar.
• Im Internet geschlossene Verträge sind gültige Kaufverträge (z.B. eBay).
• PCs mit Internetzugang sind GEZ-pflichtig

Handy

• IMEI-Nummer notieren: Einfach *#06# eingeben.
• PIN-Sperre einschalten!
• Bluetooth aus oder mindestens unsichtbar
• Unbekannte Anrufer bzw. SMS → Vorsicht: Kostenfalle!
• Porno- oder Gewaltvideos weiterzuleiten, ist strafbar.
• Auch Handys können sich Viren, Würmer, Trojaner etc. einfangen.
• Smartphones sind perfekte Wanzen
• Handys können geortet werden → Bewegungsprofile
• Telefonanbieter können durch soziale Graphen Rückschlüsse auf den Einzelnen ziehen
• Empfehlung: handysektor

Google

• Google speichert jede Suchanfrage für 18 Monate personalisiert.
• Google Mail/Gmail: du gibst Google das Recht, die Mails mitzulesen und daraus zu lernen
• Google Maps/Google Earth: Google weiß, wo du bist oder zumindest wohin du willst
• Google Calendar: Google weiß, wann du was tust; wann du dich mit wem triffst
• iGoogle: Gadgets verraten Google, was dich interessiert
• Google Online Office: Google kennt deine Officedokumente
• Google RSS Readers: Über die abonnierten Seiten lässt sich sehr einfach ein Interessenprofil von dir ermitteln
• Google Analytics: Eigentlich Analysetool für den Webseitenbetreiber. Aber Google erfährt dabei praktisch alles über meinen Besuch auf dessen Webseiten. In Deutschland nicht zulässig; wird aber trotzdem oft eingesetzt
• DoubleClick: Über Cookies und Werbe-Grafiken Rückverfolgung des Benutzers von Webseite zu Webseite möglich
• Youtube: als Video-Monopolist erfährt Google noch mehr über meine Interessen
• Google Health (geplant): Google kennt deine Gesundheit/Krankheiten, deine Krankenkasse, deine Ärzte, deine Medikamente...
• Google TV: Google weiß, was du anschaust
• Empfehlung: Die Welt ist eine Google
• Alternativen: ixquick.com, myvideo.de

Facebook

• Bei Facebook heißt es: „Du gibst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, unentgeltliche, weltweite Lizenz für die Nutzung jeglicher [...]-Inhalte, die du auf oder im Zusammenhang mit Facebook postest”. (Stiftung Warentest)
• Facebook speichert dauerhaft und ungefragt Daten über Nicht-Mitglieder (Name, Vorname, E-Mail,. Telefon, Geburtstage etc.)! (Das wäre in Deutschland absolut undenkbar.)
• Facebook verdient dadurch Geld, dass es dich möglichst genau kennt. Diese Daten wird Facebook nie freiwillig wieder löschen! Es ist nur eine Frage der Zeit, bis deine Daten an andere Firmen verkauft oder (versehentlich? vorsätzlich?) weitergegeben werden.
• Ilse Aigner (Bundesverbraucherministerin, Ex-Facebook-Mitglied) sagt: „[...] zeigt ein weiteres Mal, wie wenig Respekt Facebook vor der Privatsphäre der Internetnutzer hat. [...] Es ist geradezu grotesk, wenn ein Netzwerk, das sich sozial nennt, sein Profitstreben permanent über die Privatsphäre seiner Mitglieder stellt.”

Team-Ulm

• kein https://-Login, d.h. dein Benutzername und Kennwort gehen im Klartext durchs Internet (unsicher, unprofessionell)
• nutzt Google-Analytics (in Deutschland unzulässig)
• Gästebuch und Buddyliste sind immer öffentlich! Gästebuch-Einträge können nicht gelöscht werden!
• Team-Ulm verdient Geld durch Werbung; damit gleiche Problematik wie bei Facebook
• Die Datenschutzerklärung ist offensichtlich falsch