8 Fragen zur Sicherheit
Viele Computer-Nutzer haben einen Internet-Anschluß, aber die meisten machen sich keine großen Gedanken darüber, welche Gefahren damit verbunden sein können. Die folgenden Ausführungen haben ein grundsätzliches Verständnis für mögliche Gefährdungen zum Ziel, die einem Computer-Nutzer bei "Außenkontakten" drohen.
Eigentlich sollte der Benutzer die Alleinherrschaft über seinen PC (d.h. "P"ersonal "C"omputer!) haben; er sollte über alle vorzunehmenden Änderungen an den Daten informiert sein, und es sollte nichts vor seinen Augen Verborgenes geschehen, und schon gar nichts gegen seinen Willen. Aber die Wirklichkeit sieht gar zu oft ganz anders aus! Gelegentlich hat man das Gefühl, dass sich der Rechner ziemlich eigenwillig benimmt, ja, dass er partout nicht das machen will, was der Benutzer gerne hätte. Wirklich schlimm wird die Sache aber dann, wenn dabei die Daten des Benutzers gefährdet werden.
Wenn mein Rechner Außenkontakte hat, z.B. durch einen Internet-Anschluß, dann gibt es prinzipiell zwei verschiedene Risiken:
- Daten-Diebstahl:
Daten, die auf meinem Computer vorhanden sind, könnten gegen meinen Willen über das Netz auf andere Rechner und damit in fremde Hände gelangen. Mögliche Ziele solcher Spionageangriffe könnten z.B. meine auf der Festplatte gespeicherten TAN-Nummern für das Online-Banking sein.
- Daten-Manipulation:
Programme, die gegen meinen Willen gestartet werden, könnten die Daten auf meinem Computer verändern. Der häufigste Fall ist der des destruktiven "Virus", der (auf Dauer) den gesamten Inhalt der Festplatte meines Rechners zerstört.
Solche unerwünschten Aktionen werden in der Regel von Programmen ausgeführt, die ohne mein Wissen auf meinem Rechner gestartet werden. Um das zu verhindern, sollte ich zu jeder Zeit einen Überblick darüber haben, welche Programme (bzw. "Prozesse") auf meinem Rechner aktiv sind und was sie zu welchem Zweck tun. Eine so profunde Systemkenntnis wird kaum ein normaler Computernutzer haben, denn in den modernen "Multitasking"-Betriebssystemen sind ständig eine Vielzahl von betriebssystemnahen Prozessen aktiv, von denen man normalerweise gar nichts wahrnimmt. Bei vielen neuen Betriebssystemen kann man sich zwar eine Liste der aktiven Prozesse anzeigen lassen (z.B. in Windows 2000 unter "Programme | Zubehör | Systemprogramme | System-Informationen | Softwareumgebung | Aktive Tasks"). Für den gewöhnlichen Benutzer sind aber die meisten der Einträge dieser Liste kaum interpretierbar, womit er dann eben auch diesen einen "bösen" Prozess nicht erkennen kann, der gerade eben erst über das Netz auf seinem Rechner gestartet wurde...
Auf welche Art und Weise kann überhaupt ein Programm "von außen" auf meinem Rechner gestartet werden kann? Im Alltag der meisten Computer-Benutzer kommen die folgenden drei Möglichkeiten wohl am häufigsten vor:
- Ich lege eine Auto-Start-CD in das entsprechende Laufwerk und diese startet automatisch.
Dies bedeutet, dass eine im Wurzelverzeichnis der CD liegende Start-Datei (meist "autorun.inf") ausgeführt wird. Eine solche Datei ist eine Textdatei, die aber vom Betriebssystem als "Kommandodatei" interpretiert wird. Und je nach ihrem Inhalt können dann beliebige Programme auf der CD gestartet werden.
(Entsprechendes gilt für die inzwischen schon fast aus der Mode gekommenen Disketten. Speziell eine im Laufwerk A: "vergessene" Diskette stellt eine große Gefahr dar, weil sie beim nächsten Bootvorgang eventuell die Kontrolle über den gesamten Rechner übernehmen kann!)
- Ich lade eine Internet-Seite mit "aktiven Inhalten" auf meinen Rechner.
Aktive Inhalte sind in die Internet-Seite eingebettete Programme, die von vielen Browsern automatisch gestartet werden können. Wenn aber z.B. eine Seite ein "ActiveX-PlugIn" enthält, kann der Benutzer nach dessen Start in keiner Weise mehr kontrollieren, was dieses Programm auf dem Rechner tut.
- Ich bekomme eine EMail mit einem Anhang, der eine ausführbare Datei enthält.
Viele EMail-Programme "kennen" eine Menge von Datei-Kennzeichnungen und starten für jede angehängte Datei eilfertig gleich den zugehörigen Editor; ist der Anhang eine EXE-Datei (oder eine sonstige ausführbare Datei), dann wird das Betriebssystem beauftragt, dieses Programm gleich mal zu starten!
In jedem dieser Fälle wird das "böse Programm" in der Regel so schnell aktiv werden, dass keine Zeit bleibt, effektive Gegenmaßnahmen zu ergreifen. Wie kann ich mich also schützen? Wenn die direkte Erkennung und Beendigung schädlicher Prozesse nicht möglich ist, bleibt nur die Möglichkeit der Vorbeugung. In den drei oben geschilderten Szenarien sind die folgenden Maßnahmen sinnvoll:
- "Auto-Start-Funktion" des CD-Laufwerks deaktivieren:
Damit wird dann auf einer neu eingelegten CD kein Programm mehr automatisch gestartet; ich kann mir den Inhalt der CD in aller Ruhe im Explorer ansehen, bevor ich irgendeines der darauf gespeicherten Programme starte. Das Problem, ob ich "der CD traue" oder nicht, bleibt mir natürlich auch so nicht erspart. Immerhin kann ich aber nun selbst entscheiden, welche Programme laufen sollen. Hoffen wir, dass ich das immer richtig mache!
(Um das oben beschriebene Booten von einer im Laufwerk A: vergessenen Diskette zu unterbinden, kann man im BIOS-Setup des Rechners die "Boot-Reihenfolge" so einstellen, dass das Betriebssystem immer zuerst auf der Festplatte gesucht wird.)
- Keine aktiven Inhalte im Browser ausführen lassen:
Die meisten Internet-Browser kann man so konfigurieren, dass sie von sich aus keine aktiven Inhalte ausführen. Wird eine Seite mit aktiven Inhalten geladen, werde ich zunächst gefragt, ob dieses Programm ausgeführt werden soll oder nicht. Auch hier kann ich selbst entscheiden, statt mich dem blinden Mechanismus einer Automatik auszuliefern.
- Automatische Verarbeitung von EMail-Anhängen deaktivieren:
Man kann den meisten EMail-Programmen die automatische Verarbeitung der Dateien eines Anhangs untersagen, gelegentlich sogar individuell für die verschiedenen Dokumenttypen. In einem solchen Fall muss ich dann selbst darüber entscheiden, was mit dieser Datei passieren soll.
Eine zusätzliche Gefahr stellen sogenannte HTML-EMails dar, die sich bei unbedarften Zeitgenossen großer Beliebtheit erfreuen, weil man damit formatierte EMails schreiben kann. Für HTML-Dokumente gelten aber alle oben für Internet-Seiten aufgeführten Sicherheitsbedenken: auch HTML-EMails können aktive Inhalte enthalten! Um sich davor zu schützen, sollte man einen EMail-Client benutzen, der HTML nur passiv darstellt, aber keine aktiven Inhalte ausführen kann.
Schreiben Sie selbst keine HTML-EMails! Unter kundigen Computer-Benutzern gilt sowas eh' als schlechter Stil!
Wenn Sie sich die obigen Ausführungen genau durchgelesen haben, dann sollte Ihnen aufgefallen sein, dass man auf eine Menge "Windows-Komfort" verzichten muss, um einen einigermaßen "sicheren Internet-PC" zu bekommen. Dieser Eindruck ist völlig richtig. Man könnte sogar von einem "datenschutztechnischen Erhaltungssatz" sprechen, der etwa so zu formulieren wäre:
Bei einem PC ist die Summe aus Sicherheit und Komfort stets konstant.
Mit jeder Benutzerbequemlichkeit, die Sie sich gönnen, öffnen Sie also ein mögliches Sicherheitsloch. Und die Absicherung eines Internet-PCs geht notwendigerweise mit einem Verlust an Benutzer-Komfort einher. Ehe Sie jetzt aber beschließen, einen MAC zu kaufen oder Windows durch Linux zu ersetzen, lassen Sie sich versichern, dass die obige Regel auch für solche PCs gilt!
Betrachten Sie zum Beispiel die Autostart-Funktion Ihres CD-Laufwerks! Sie wurde eingeführt, um dem Benutzer die Installationen neuer Software-Pakete zu erleichtern: einfach CD reinschieben, der Rest geht problemlos und automatisch. Aber natürlich können destruktiv veranlagte Zeitgenossen diesen Mechanismus auch für ihre finsteren Zwecke ausnützen, indem sie eine CD produzieren, die Ihr C-Laufwerk formatiert... Kurz: Komfort ist gefährlich. Aber man will auch nicht immer auf ihn verzichten! Wer sich allerdings hinreichend auskennt, dem wird die Installation des nächsten (vertrauenswürdigen!) Softwarepaketes auch ohne die Auto-Start-Funktion des CD-Laufwerks gelingen: er wird sich das Wurzelverzeichnis der CD im Explorer anzeigen lassen und die Installation dann manuell starten. Im Detail hilft eben nur ein möglichst umfassendes Wissen.
Die Balance zwischen Komfort und Bequemlichkeit wird je nach den Sicherheitsansprüchen des jeweiligen Benutzers anders ausfallen. Damit gibt es auch keine Universallösung, die für alle Fälle gelten könnte. Die obigen Hinweise zeigen eher die Problemfelder auf, als dass sie allgemein gültige Lösungen darstellen. Was aber in jedem Falle auf einem PC mit Internet-Zugang vorhanden sein sollte, ist ein Virenscanner mit ständig aktuell gehaltenen Signaturen-Bibliotheken! Dies dient sowohl der Diagnose als auch der Therapie: Sie können sich einerseits einen Überblick über den (wahrscheinlichen) Zustand Ihres Rechners verschaffen und andererseits im Krisenfall die "verseuchten" Dateien identifizieren (und beseitigen). Details über den Umgang mit "Anti-Viren-Software" finden Sie unter anderem in der Online-Hilfe der einschlägigen Produkte.
Und wenn Sie einmal einen wirklich gut abgesicherten Rechner haben wollen, dann gibt es ein einfaches und zuverlässiges Mittel:
Der beste Schutz ist eine Lücke aus Luft.
Der Verzicht auf einen Netzwerkanschluß und die physikalische Trennung eines Rechners von jeglichem Datennetz stellen immer noch die zuverlässigsten Barrieren. Allerdings wird das Arbeiten dann möglicherweise etwas mühsam....
