4. Wie kann ich mich schützen?

Grundsätzlich: Durch Ihr Nutzerverhalten

• Klicken Sie niemals auf ungeprüfte E-Mail-Anhänge!
• Verwenden sie Antivirensoftware!
• Spielen Sie regelmäßig Sicherheitsupdates ein.
• Stellen Sie sicher, dass Sie niemals Binärdateien aus potentiell nicht vertrauenswürdigen Quellen auf Ihrem Rechner ausführen.
• Stellen Sie sicher, daß auch die verwendete Software dies nicht tut. Ich weiß, das geht nicht immer. Wer weiß schon konkret was die Programme tun? Nichtmal die Entwickler.. Aber versuchen Sie es zumindest wo Sie können!
• Verwenden Sie eine Firewall. Am besten einen Hardwarerouter mit Firewall-Funktion.
• Arbeiten sie niemals mit Administratorrechten wenn Sie online sind.

Das klingt zwar jetzt hochgestochen aber trotzdem: Vertrauen Sie nicht blindlings Marketing-Sprüchen. Informieren Sie sich über tatsächliche Gefahren und Risiken. Schon eine kurze Recherche mit einer Suchmaschine wie zB: http://www.google.at kann helfen. Wägen Sie die Gefahren gegen die zu schützenden Werte auf Ihrem Rechner ab, loten Sie Ihre technischen und ökonomischen Möglichkeiten aus. Das soll heißen: Leiste ich mir eine Hardware-Firewall, konfiguriere ich einen alten PC als Linux Router oder reicht es mein System mit Bordmitteln sicher zu konfigurieren? Gehen Sie einmal alle Ihre Daten durch und checken Sie was Sie davon benötigen. Es ist wahrscheinlich mehr als Sie denken! Auch Backups alleine bedeuten keine Sicherheit. Oder überprüfen Sie den Inhalt jeder einzelnen Datei bevor Sie sie sichern nach Fehlern? Wann bemerken Sie zB. einen Trojaner, Wurm etc. der in Ihren Daten nach dem Zufallsprinzip Bits ändert?

Schaffen Sie sich ein persönliches "Konzept". Dieses "Konzept" oder einfach Verhaltensregeln sollten nicht nur auf Ihren Rechner beschränkt sein, sondern auch für Registrierungen online oder im Supermarkt gelten, und ständig in Bezug auf Anforderungen und neue technische Gegebenheiten überprüft werden. Das Verwenden von sicheren Paßwörtern gehört hier ebenfalls dazu! Faustregel: Mind. 8 Zeichen, keine Wörter die irgendwas bedeuten könnten, möglichst Klein- Großbuchstaben gemischt mit Ziffern und Satzzeichen. Das ist natürlich schwierig zu merken, klar. Bitte trotzdem versuchen!

Was können Sie nun konkret an Ihren Rechner(n) unternehmen? Da ist es ist wichtig zwischen Einzelrechner und Netzwerk zu unterscheiden:

• Einzelrechner: Die benötigen kein NetBIOS und andere Dienste also nach der untenstehenden Anleitung alles deaktivieren, Virenscanner installieren und genauso wie die verwendete Software regelmäßig Updaten. Fertig.
• Netzwerk: Hier wird es schwieriger oder auch einfacher :) Für ein kleines Heimnetzwerk gibt es folgende Wege: Entweder einen Hardwarerouter mit Firewallfunktionalität kaufen und diesen auch richtig konfigurieren. Also nicht das Standardpaßwort behalten, das jeder kennt, nicht alle Ports und Funktionen offenhalten die irgendjemand irgendwann einmal benötigen könnte, und: HANDBUCH LESEN!!!
  Für Bastler mit einem alten Rechner (Pentium 60MHz mit 16MB Ram genügt völlig): Einen kleinen Linuxrouter aufstellen zB: http://www.fli4l.de
• bsi.de/taskforce/literatur/aktivinh.htm

Vernünftige (saubere) Rechnerkonfiguration!!!

Eine "saubere" Konfiguration sollte so aussehen, dass keinerlei Dienste auf die Interneteinwahlhardware (z.B. ISDN-Karte oder Netzwerkkarte zum Modem) gebunden werden. Leider haben gängige Betriebssysteme (Windows, viele Linux-Distributionen) die unangenehme Angewohnheit, direkt nach der Installation Dienste ins Internet anzubieten. Diese sollten normalerweise deaktiviert werden! Die entsprechenden Einstellungen sind bei Windows in der Netzwerkumgebung (die TCP/IP-Bindungen der diversen Dienste müssen von der Internethardware gelöst werden) und bei Linux in /etc/inetd.conf (kann distributionsabhängig variieren) zu finden.

Und so werden die einzelnen Betriebssysteme eingerichtet:

• Windows 9x

  Im Prinzip kann man hier nicht viel falsch machen, da Windows 9x recht einfach gestrickt ist. Falls der "Datei- und Druckerfreigabe"-Dienst installiert sein sollte, muss man allerdings darauf achten, dass dieser Dienst nicht an die externe Hardware gebunden wird. Anmerkung: Port 139 (netbios) von Windows bleibt aus unerfindlichen Gründen offen, auch wenn man die Bindungen sämtlicher überflüssiger Dienste auf die Internethardware gelöst hat (zumindest deren Funktionalität ist tatsächlich deaktiviert). Eine Anleitung, wie man diesem vorbeugen kann (zumindest kenne ich nur diesen Weg aus dem Stegreif), gibt es auf Steve Gibsons Homepage. http://grc.com Ich kann mich nicht allen dort vertretenen Ansichten ("personal firewalls" sind toll) ruhigen Gewissens anschließen, siehe auch - "Warum keine personal firewall"? Ich persönlich neige ja dazu, das "Netbios-Problem" einfach zu ignorieren, denn ob ein neugieriger Internetnutzer nun herausfindet, ob mein PC den Windowsnamen "Superman" trägt oder ob ich ihm dieses verwehre, ist doch letztlich egal.

• Windows NT 4

  Meiner Erfahrung nach gilt dasselbe wie bei Windows 9x. Wenn etwaige Freigaben nicht auf die Internethardware gebunden sind, bleiben netbios (port 139 TCP) und der RPC endpoint mapper (port 135 TCP) offen, beides Dienste ohne (bisher natürlich, daher ist das Abonnieren einer Securitymailingliste essentiell) nennenswerte Schwächen. Was es bei NT 4 per default an möglichen (nicht zwingend aktiven) Diensten gibt, kann man sich hier http://www.plasma-online.de/english/help/solutions/nt4_services.html durchlesen. Ach ja, den letzten Service Pack (6a IIRC, irgendwo auf der Microsoftseite zu finden) sollte man schon installiert haben. Aber grundsätzlich ist NT4.0 kein sicheres System und wird außerdem von Microsoft nicht mehr unterstützt.

• Windows 2000

  Schicke Anleitung zum Diensteabstellen
  http://www.kssysteme.de/htdocs/documents/w2kservices1.html

• Windows XP

  Schicke Anleitung zum Diensteabstellen
  http://www.kssysteme.de/htdocs/documents/w2kservices1.html
  Wem seine Privatsphäre nicht wichtig ist, dem sei Windows XP wärmstens empfohlen. Das Programm XP Antispy hilft weiter.

• Auch Microsoft gibt gute Tips. Mehr unter dem Link Microsoft Security

• Linux

  Die meisten Dienste lassen sich in der /etc/inetd.conf (distributionsabhängig) deaktivieren. Damit es keine bösen Überraschungen gibt, so noch ein Posting von bugtraq empfohlen, Abhilfe entweder mit dem im Posting http://online.securityfocus.com/archive/1/271983/2002-05-30/2002-06-05/0 erwähnten Patch oder per Beschäftigung mit ipchains/iptables.

Wie kann ich mich unsichtbar machen?

Garnicht.

Um "unsichtbar" zu sein, müßten Sie mit der IP Adresse Ihres nächsten Routers "ICMP - Host/Network unreachable" senden. Merke: Bei ICMP ist keine Antwort gleichbedeutend mit "Ich bin hier!". Weil wenn Sie nicht da wären, würde jemand anderes sagen "Der ist nicht da". Nämlich der nächste Router. Der steht bei Ihrem Provider und dann hätten Sie kein Internet. ;) Es reicht völlig, wenn Ihre Ports bei einem Scan als "blocked" angegeben werden.

Sichereres Surfen im Internet

Sie können seitenweise die verschiedenen Sicherheitstufen und Optionen des Internet Explorers durchlesen und studieren. Ich will mir diese Arbeit nicht antun und auch niemanden zumuten das zu lesen und durchzuführen. Benutzen Sie Mozillas kleinen Bruder Firefox. Das ist ein schlanker kleiner Browser der ziemlich sicher ist, frei und um einiges sympatischer. ;) Mozilla Firefox

Maßnahmen gegen Computerviren

Gegen Computerviren helfen folgende Maßnahmen:

• Benutzerverhalten: Überprüfen Sie jegliche Datei ob sie Viren enthalten könnte. Nicht nur mit einem Virenprogramm, sondern auch mit dem Hausverstand zB. Ist der Anhang in der E-Mail wirklich wichtig? Habe ich um das File gebeten, oder kommt das "nur so" mit? etc.
• Benutzung eines Virenscanners. Es gibt Antivirenprogramme die für Privatanwender kostenlos sind. Eines ist zB. Antivir
• Mindestens einmal in der Woche ein Update des Virenscanners.

Maßnahmen gegen E-Mail Würmer

Benutzerverhalten: Überprüfen Sie jegliche Datei ob sie Viren enthalten könnte. Nicht nur mit einem Virenprogramm, sondern auch mit dem Hausverstand zB. Ist der Anhang in der E-Mail wirklich wichtig? Habe ich um das File gebeten, oder kommt das "nur so" mit? etc.

Benutzung eines Virenscanners. Es gibt Antivirenprogramme die für Privatanwender kostenlos sind. Eines ist zB. Antivir

Mindestens einmal in der Woche ein Update des Virenscanners.

Die Sicherheit des Mailprogrammes erhöhen am Beispiel von "Outlook Express".

• Menü Extras - Optionen - Registerkarte Sicherheit: Speichern oder Öffnen von Anlagen die einen Virus enthalten können, nicht zulassen.
  Das ist zwar manchmal nervend, aber sollte als Grundeinstellung belassen bleiben. Für betimmte Anhänge, bei denen man sicher ist, daß sie keinen Wurm etc. enthalten, kann man die Funktion immer deatkivieren. Aber nacher nicht vergessen die Funktion wieder zu aktivieren!
• Das Vorschaufenster deaktivieren. Menü - Ansicht - Layout. Dadurch können HTML - E-Mails die schädliche Skripten oder virenverseuchte Anlagen enthalten, nicht automatisch ausgeführt werden. E-Mails werden dann nicht mehr im Vorschaufenster angezeigt, sondern müssen aktiv geöffnet werden.

Immer die aktuellste Version des E-Mailclient verwenden.

Den Windows Scripting Host (WHS) deaktivieren. Wenn Sie VBS oder VBA (Makros) nicht unbedingt benötigen, können Sie den WHS deaktivieren.
Für Windows 98 und Windows 2000 funktioniert das so: Start - Einstellungen - Systemsteuerung. Dort das Icon Software anklicken. Im Eintrag Zubehör auf Details klicken. Markierung bei "Windows Scripting Host" entfernen.
Windows 95/Me und Windows XP: Menüleiste des Ordners (Windows Explorer) wähle: Ansicht - (Ordner)Optionen (Win95) bzw. Extras - Ornderoptionen (WinMe, WinXP). In der Liste der registrierten Dateitypen suche einfach nach der Dateierweiterung vbs. Haben Sie einen solchen Eintrag gefunden, wählen Sie Entfernen bzw. Löschen.

Alternative E-Mail Clients

Mozilla (Browser, Newsreader und E-Mailclient)
Eudora
Pegasus Mail
Netscape

Maßnahmen gegen Hoaxes

Hier hilft nur der gesunde Hausverstand und bitte kein E-Mail automatisch weitersenden. In Zweifelsfällen finden Sie hier Hoax Warnlisten:

Hoax-Warnlisten: bsi.de/av/vb/hoaxes.htm - Hoax-Warnlisten

Maßnahmen gegen Mailbombing

Das Ihnen Mailbomben gesendet werden, können Sie nicht verhindern. Aber Sie können verhindern, daß diese E-Mails von Ihrem E-Mail Client abgeholt werden. Es gibt Programme mit denen Sie bei Ihrem Provider die E-Mail Header Informationen, also Absender, Betreff, Eingangsdatum und Umfang ansehen können, ohne dabei die gesamte Datei zu übertragen. Wenn Sie zB. eine sehr große Mail vorfinden, können Sie diese ganz einfach löschen. Ein solches Programm ist zB. Email Remover

Maßnahmen gegen Spam

Der Kampf gegen Spam ist mit viel Aufwand und auch Kosten verbunden. Unter spam.trash.net ist sowohl erläutert, wie man Spam vermeidet, als auch, was man tun kann, wenn man bereits Spam erhält. Vermeiden kann man Spam nur durch Geheimhaltung der eigenen Email-Adresse.

Auf alle Fälle sollte der Computer bereits vor Viren geschützt sein. Hierzu bietet das Bundesamt für Sicherheit in der Informationstechnik BSI eine 10 Punkte-Liste an.

Außerdem sollten die Sicherheits-Patches der Hersteller (v.a. Microsoft) installiert sein und regelmäßig aktualisiert werden. Diese findet man unter Microsoft Security oder auch Windows Update

Wichtig: Auf keinen Fall sollte man den Aufforderungen der Spam-Nachrichten nachkommen und versuchen, sich aus solchen Listen auszutragen. Dies erhöht nur die Anzahl der Spam-Nachrichten, da die Sender jetzt wissen, dass die Nachrichten wirklich gelesen werden, und so die Adresse teuer verkaufen können.

Die Spam-Nachrichten sollten sofort gelöscht werden. Bei nur wenigen Nachrichten reicht oft noch das manuelle Löschen, falls man schon sehr viele erhält, gibt es auch Filterprogramme. Ein sehr gutes Freewaretool ist zum Beispiel K9. Nach einer Lernphase von ca. 500 Spam-Emails liegt die Treffsicherheit bei über 90%. www.keir.net Die von "K9" markierten Spam-Mails können dann vom E-Mail- Client mit einer Filterregel aussortiert oder gelöscht werden.

Maßnahmen gegen Trojaner

Trojanische Pferde gibt es leider unüberschaubar viele. Um herauszufinden, ob ein Trojaner auf Ihrem System aktiv ist, müssen Sie feststellen ob ein Port auf Ihrem System geöffnet ist, an dem ein Trojaner auf eine Verbindung wartet. Mit einem Portscanner können Sie Ihr System auf gängige Standardtrojaner untersuchen. Ein solcher Scanner ist zB. Superscan. Das Programm ist Freeware und kann von zahlreichen Seiten heruntergeladen werden. google

Um zu verhindern, daß ein Trojaner auf Ihr System gelangt verwenden Sie Antivirenscanner die auch neben Würmen und Computerviren die meisten Trojaner aufspüren können. Siehe Maßnahmen gegen Viren.

Zurück

Fragen?