| Hoax-Info | Hoax-Liste | Weblog | Extra-Blätter | Sicherheits-Updates | E-Mail Hilfe | Presse |
|---|
Sicherheit im Internet
| Sicherheits-Updates |
|---|
| Haben Sie die aktuelle Version? →Liste der neuesten Sicherheits-Updates |
Sicherheitslücken in Web-Browsern u.a.
Die Web-Browser von Mozilla und Microsoft (Firefox, Seamonkey bzw. Internet Explorer, MSIE) sind die Standardwerkzeuge für die Benutzung des World Wide Web (WWW), des beliebtesten Teils des Internets. Hinzu kommen eher wenig verbreitete Programme wie Opera, Safari, Chrome oder Konqueror. Sie ermöglichen den Zugriff auf HTML-Dokumente (Web-Seiten), sowie auf Datei- bzw. Software-Archive (FTP, HTTP), teilweise auch auf Newsgroups (UseNet-Diskussionsforen) und E-Mail.
| Welche Datentypen sind sicher? |
|---|
| Kurz gesagt: keine mehr. Inzwischen gibt es für fast alle verbreiteten Dateiarten auch Möglichkeiten sie zum Einschleusen von schädlichem Code zu nutzen, auch PDF oder Videos gehören dazu. Meist hängt es nur noch von der Software (-Version) ab, mit der Sie eine Datei öffnen, ob Ihr Rechner gefährdet ist. Reine Textdateien mögen unproblematisch erscheinen – aber nur, weil eine Datei die Endung "TXT" trägt, muss es keine reine Textdatei sein. |
Durch diese große Bandbreite an Funktionen und die damit einhergehende Komplexität der Software schleichen sich immer wieder Programmierfehler ein. Diese beeinträchtigen z.T. die Funktionalität im täglichen Gebrauch (z.B. stürzt der Browser bei bestimmten Funktionen immer wieder ab); eine Reihe dieser 'Bugs' genannten Fehler führen aber auch (meist unbemerkt) zu einer Beeinträchtigung der Datensicherheit und -integrität auf der Festplatte.
Sie ermöglichen es Online-Kriminellen, die diese Fehler kennen und ausnutzen, Dateien auf der Festplatte zu manipulieren oder Viren und andere Schädlinge, so genannte Malware, einzuschleusen und sie auszuführen.
Dies geschieht z.B. durch speziell präparierte Web-Seiten oder durch E-Mails, die schädlichen Code enthalten, also Befehle, die einen Angriff auf die Rechner der Benutzer darstellen.
Die Liste dieser Fehler ist lang. Jede neue Version eines Browsers beseitigt meist eine Reihe inzwischen bekannt gewordener Bugs, einige bleiben und es kommen neue hinzu.
Um die Sicherheit des eigenen Rechners vor solchen Angriffen zu wahren, sollten folgende Empfehlungen beachtet werden:
- Verwenden Sie nur aktuelle Versionen der Browser (z.B.: Firefox, Opera, MSIE), vermeiden Sie dabei jedoch Beta-Versionen (z.B. Google Chrome)
- schalten Sie jeweils die höchste Sicherheitsstufe ein
- aktivieren Sie alle Bestätigungen/Sicherheitsabfragen
- aktivieren Sie den im Browser enthaltenen Phishing-Filter (→Phishing)
- deaktivieren Sie Java und JavaScript (MSIE: JScript, VB-Script, Active Scripting)
- deaktivieren Sie ActiveX (nur MSIE)
- speichern Sie keine Passwörter im Browser
- deaktivieren Sie die Annahme sog. Cookies (hierin werden Benutzerdaten auf Ihrer Festplatte gespeichert) bzw. erlauben Sie Cookies nur für Websites, denen Sie vertrauen und auf denen es nicht anders geht
- schließen Sie nicht mehr benötigte Browser-Fenster - insbesondere, bevor Sie vertrauliche Daten eingeben (z.B. beim Online-Banking oder in Online-Shops)
- installieren Sie regelmässig Sicherheits-Updates, auch für Anwendungs-Software.
Sie werden zwar feststellen, dass Sie bestimmte Web-Angebote mit derart restriktiven Einstellungen nicht oder nur noch eingeschränkt nutzen können, die Sicherheit Ihrer Daten ist jedoch wichtiger. Wägen Sie daher im Einzelfall ab, ob Sie dem Anbieter eines Web-Dienstes vertrauen dürfen und einige der Funktionen zeitweise aktivieren. Meistens entgeht Ihnen jedoch nichts, das ein erhöhtes Risiko wert wäre.
Bei Browsern aus der Mozilla-Familie (wie Firefox, Seamonkey) können Sie mehrere Benutzer-Profile
anlegen. Erstellen Sie eines mit strengen Sicherheitseinstellungen (s.o.) und eines für
vertrauenswürdige Web-Sites, z.B. Intranet-Seiten. Das Konzept von Internet
einerseits und Intranet andererseits (mit entsprechenden Sicherheitseinstellungen)
kennt auch der Internet Explorer (MSIE) ab v4.0, es ist jedoch löcherig wie ein Schweizer
Käse und daher nur bedingt brauchbar.
Der von mir für die Zeitschrift c't
mitentwickelte Browser-Check bietet
Konfigurationsanleitungen und Demos von Sicherheitslücken für MSIE, Netscape, Mozilla und Opera.
Weitere Sicherheitstipps:
- Installieren Sie Antivirus-Software und halten Sie sie aktuell
- Eine Desktop Firewall und/oder ein (DSL-) Router mit Paketfilter (sog. "Firewall-Router") kann einen Virenscanner nicht ersetzen, jedoch sinnvoll ergänzen
- seriöse Anti-Spyware-Programme können eine sinnvolle Ergänzung zum Virenscanner sein
- Gehen Sie nie ins Internet, wenn Sie als Benutzer mit Administrator-Rechten angemeldet sind (Windows: 'Administrator', Unix/Linux: 'root'). Richten Sie dafür einen Benutzer mit drastisch eingeschränkten Rechten ein. Andernfalls sind Angriffen verschiedenster Art (z.B. durch Trojanische Pferde) Tür und Tor geöffnet, da diese auf Ihrer Festplatte die gleichen Rechte wie Sie haben.
- Informieren Sie sich über Sicherheitslücken in Ihrer Internet-Software, einschließlich des Betriebssystems. Installieren Sie regelmäßig entsprechende Updates (Bug-Fixes, Patches, Service Packs), die bekannt gewordene Löcher stopfen.
Security-Links:
- c't Browser-Check
- Sicherheit in der Informationsgesellschaft (BMWi)
- Archiv der BUGTRAQ-Mailingliste Sicherheitslücken in Anwendungen und Betriebssystemen
- WWW Security FAQ
- Secunia: neueste Sicherheitslücken
zum Anfang dieser Seite