HurricanX
19.04.2005, 15:00
Was ist Security ?
Durch Sicherheit versucht man seine Intimsphäre gegen Andere zu
schützen. Diese kann personen-, sach- oder objektbezogen sein.
Sicherheit beginnt bereits beim Verschließen seiner Türe, wenn man
sein Haus verläßt. Niemand möchte, daß sein Haus unbefugt betreten
wird, denn das würde eine Verletzung der Intims- oder Privatsphäre
darstellen.
Natürlich möchte ich nicht über die Sicherheit von Haus- und Hof
oder einem schlecht angeketteten Fahrrad sprechen - es soll nur
verdeutlichen, daß das Bedürfnis nach Sicherheit uns in
alltäglichen Situationen begleitet, ohne, daß wir uns dessen
eigentlich wirklich bewußt sind.
Die Seite ist mit ‘Security’ überschrieben, dies impliziert
automatisch, daß es hier, wie bereits gesagt, um IT-Sicherheit
geht, also alles, was mit Bits und Bytes und dem Austausch dieser
über Datenleitungen zu tun hat.
Da es sich um eine Einführung für Neulinge handeln soll, werde ich
versuchen nicht allzu tief in die Materie einzudringen und mich
halbwegs verständlich auszudrücken.
Man muß nicht gleich paranoid sein, wenn man ein Bedürfnis nach
Sicherheit hat - es ist vielmehr eine angeborene Sache, die mehr
oder weniger in jedem von uns steckt !
Das eigentliche Problem - besonders im Internet - ist die Frage,
wie man sich effektiv schützen kann !? Gerade Anfänger und Neulinge
stehen vor diesem Problem.
Um dieser Frage auf den Grund zu gehen, sollte man zuerst die
möglichen Gefahren kennen, denen man sich mit dem Herstellen einer
Verbindung mit dem Internet aussetzt.
Ich möchte an dieser Stelle nochmals betonen, das es sich um
potentielle Gefahren handelt, d.h. daß man nicht sofort alle Daten
auf der Festplatte gelöscht bekommt, wenn man ungeschützt ins
Internet geht.
Spätestens aber seit das Internet salonfähig und somit der breiten
Masse zugänglich geworden ist, ist Sicherheit ein Thema, mit dem
man sich auseinandersetzen sollte ! Das Ganze sollte aber mit
gesundem Menschenverstand, also nüchtern und sachlich betrachtet
werden. Nicht jeder braucht gleich die ultimative Firewall um
ausreichenden Schutz für sich zu gewährleisten. Auch die eigene
Verhaltensweise spielt eine große Rolle.
Wenn man IT-Sicherheit im Ganzen betrachtet, dann ist der eigene PC
(="Intimsphäre") einer ganzen Reihe potentieller Gefahren
ausgesetzt. Diese müssen nicht unbedingt alle vom Internet oder
einem lokalen Netzwerk (LAN) ausgehen. Der Schutz des eigenen PC
beginnt streng betrachtet bei der lokalen Sicherheit.
Sofern der eigene PC einer gewissen Öffentlichkeit ausgesetzt ist,
d.h.Unbefugte haben die Möglichkeit lokal Zugriff auf Ihren PC zu
erlangen, stellt dies auch ein Gefahrenpotential dar !
Die Art der Gefährdungen sind:
- Einsicht in intime/private Daten
- Entwendung intimer/privater Daten
- Manipulation intimer/privater Daten
- Zerstörung intimer/privater Daten
- Materielle Zerstörung (wird hier vernachlässigt)
- Ist der PC nun auch noch mit dem Internet oder allgemein einem
Netzwerk verbunden, können alle diese Gefahren zusätzlich auch noch
aus der Ferne auf Ihren Rechner einwirken. Das Fatale daran ist,
daß dies auf sehr vielfältige Weise geschehen kann, also nicht nur
über die Tastatur, Ihren Bildschirm oder dem Disketten/CD-Rom-
Laufwerk, sondern via Datenleitung über sogenannte ‘Hintertüren’,
deren Existenz dem Laien überhaupt nicht bekannt sind. Weiterhin
finden diese Angriffe mehr oder minder ‘unsichtbar’ statt, d.h. man
bemerkt das Eindringen erst sehr spät oder sogar gar nicht; eine
geeignete Gegenmaßnahme kommt in vielen Fällen dann nicht
rechtzeitig.
Welche Art von ‘Hintertüren’ gibt es also ? Hier die gebräuchlichsten:
1.) Trojanische Pferde und Viren
Meist durch angehängte Dateien (Attachments) in E-Mails
eingeschleust, nisten sich die oft sehr kleinen Programme auf der
Festplatte des Empfängers ein und beginnen nach und nach ihr
Unwesen zu treiben. In vielen Fällen breiten sie sich wie ein Virus
(daher der Name) im PC aus und dieser ‘erkrankt’. Diese Erkrankung
kann sich in sehr vielfältiger Weise äußern. Harmlose Viren zaubern
nur ein paar bunte Bildchen auf den Bildschirm oder begnügen sich
mit ein paar netten Sprüchen. Die härtere Sorte hingegen hat es auf
die Daten auf dem PC und deren Manipulation/Zerstörung abgesehen.
Dies kann sogar soweit gehen, daß das System unbrauchbar wird.
Im Gegensatz zu Viren versenden Trojaner diese Daten unbemerkt an
Ihren Absender oder öffnen diesem Tür und Tor zum infizierten
Rechner. Der Absender hat dann wiederum die Möglichkeit unbemerkt
auf dem Rechner einzudringen und ebenfalls eine Manipulation/Zerstörung
der Daten vorzunehmen oder diese unbefugt einzusehen.
2.) DoS (Denial of Service) Attacken*
Bei Denial of Service Attacken wird der PC über die Datenleitung
derart mit ‘nutzlosen Datenpaketen’ bombadiert, bis dieser durch
die Verarbeitung der Datenpakete ‘in die Knie’ gezwungen, d.h.
schlichtweg überfordert wird. Die häufige Folge daraus ist der
Absturz des Rechners. DoS-Attacken werden in erster Linie auf
Dienstanbieter (Server) (WWW, FTP usw.) verübt um einen
wirtschaftlichen Schaden anzurichten. Nicht selten handelt es sich
hierbei um ‘Jungenstreiche’.
3.) Exploits
Exploits sind Sicherheitslücken in Programmen oder Betriebssystemen
(die strenggenommen auch nur Programme sind), die bei der
Programmierung übersehen wurden. Angreifer, die diese Lücken
kennen, nutzen sie aus, um höhere Benutzerrechte auf dem Rechner zu
erhalten, und um somit an geschützte Daten heranzukommen oder durch
den Exploit den Rechner lahmzulegen (auch als ‘Nuken’ bekannt).
Auch hier kann es wieder zur Manipulation, Zerstörung, Entwendung
oder unbefugter Einsicht der Daten kommen.
Gerade die weitverbreiteten Betriebssysteme von Microsoft (Windows
9x, NT) sind voll von solchen Exploits, die sich mehr oder weniger
leicht als Angriffspunkt nutzen lassen.
4.) IP Spoofing / Portscans
Um die Methodik von IP Spoofing und Portscans zu erläutern, muß
hier etwas technisches Hintergrundwissen vorausgeschickt werden.
In Netzwerken müssen Daten über ein Protokoll ausgetauscht werden.
Das kann man so interpretieren, daß sich die vernetzten Rechner auf
eine allgemeingültige ‘Sprache’, die von allen zu verstehen ist,
untereinander verständigen und austauschen. In vielen Netzwerken
und besonders im Internet wird hierzu TCP/IP verwendet. TCP/IP
steht für ‘Transmission Control Protocol / Internet Protocol’,
womit auch klar wird, woher dieses Protokoll eigentlich stammt: dem Internet.
Die beiden Eigenschaften, die beim IP-Spoofing und Portscanning zum
tragen kommen, sind zum einen die Tatsache, daß jeder Rechner im
Netzwerk eine eindeutige Adresse besitzt (auch für andere
Protokolle gültig ), diese bei TCP/IP jedoch durch eine
Sicherheitslücke manipuliert bzw. verschleiert werden kann (=IP
Spoofing) und zum anderen, daß bei TCP/IP die verschiedenen
Internetdienste, wie WWW, FTP, Telnet usw. auf sogenannten ‘Ports’
laufen. Man kann sich diese Ports wie Türen vorstellen - stellt man
beispielsweise eine Anfrage auf den WWW-Port (= Port-Nr. 80) eines
Rechners und ist dieser Port nicht verschlossen, können Daten nach
Außen über diese ‘Türe’ gesendet werden. Natürlich müssen auch
Daten für diese Türe bereitstehen (der sog. Serverdienst, hier:
WWW, muß auf dem entspr. Rechner laufen )!
Bei einem Portscan klopft (‘pingt’) man nun alle verfügbaren Türen
auf einem Rechner ab. Ist eine dieser Türen nicht verschlossen,
antwortet sie auf die Klopfzeichen (‘echo’).
Das stellt in diesem Sinne noch keine Sicherheitsverletzung dar. In
vielen Fällen macht sich der Angreifer aber die Unwissenheit des
Opfers zu Nutze, da viele gar nicht wissen, welche dieser Ports auf
ihrem Rechner geöffnet und welche verschlossen sind. Somit bietet
man Angreifern eine Möglichkeit in das System einzudringen und
ensprechend Daten auszuspionieren. Zusammen mit der IP-Spoofing-
Technik kann der Eindringling sogar seine eigentliche Herkunft
verschleiern, so daß er auf nimmer wiedersehen verschwindet...
5.) Sniffing
Sniffing bedeutet übersetzt soviel wie ‘Schnüffeln’, was die Art
der Gefahr sehr passend beschreibt. Beim Sniffen ‘lauscht’ der
Angreifer unbemerkt auf der Datenleitung mit und ist somit in der
Lage Besitz von Passwörtern und anderen brisanten Daten zu
erlangen. Die daraus entstehenden Möglichkeiten brauche ich wohl
nicht weiter aufzuführen...
6.) Buffer Overflows*
Ähnlich wie bei Denial Of Service Attacken werden bei Buffer
Overflow Angriffen Rechner/Dienste (s. Ports) mit Daten
überschwemmt - nur handelt es sich hierbei um ‘sinnvolle’ Daten,
die die Speicher (=’Buffer’) des Rechners überfüllen (=’Overflow’).
Hierbei kann es passieren, daß auch die Sicherheitsbestimmungen
(‘wer darf zugreifen, wer nicht...’) mit über Bord geworfen werden
und dem Angreifer somit die Tür geöffnet wird.
* Die Punkte 2. und 6. führe ich hier nur der Vollständigkeit
halber auf. Die Wahrscheinlichkeit, daß diese Methoden auf
Privatrechner angewendet werden ist verschwindend gering. Dennoch
sollte man im Zusammenhang mit dem Thema IT-Security davon gehört
haben, nicht zuletzt deswegen, weil immer häufiger in den Medien
von solchen Attacken auf professionelle Server berichtet wird.
Damit wir nicht schweißgebadet, von Alpträumen gepeinigt in der
Nacht aufwachen, wollen wir uns nun den geeigneten Maßnahmen
widmen, um die beschriebenen Bedrohungen abzuwenden und unser
System sicherer zu machen. Als Faustregel hierfür gilt immer:
Prophylaxe ist besser als Schadensbegrenzung !
Das heißt also, daß wir den möglichen Gefahren vorbeugen müssen
anstatt hinterher die Scherben zusammenzukehren. Die Vorbeugung
beginnt bei unserem persönlichen Verhalten und geht über die lokale
Sicherheit bis hin zur Sicherheit im Netzwerk.
a) Persönliches Verhalten
Im Zusammenhang mit IT-Sicherheit verstehe ich unter persönlichem
Verhalten einen reellen Bezug zur Thematik herzustellen. In vielen
Fällen gilt es hier die eigene Bequemlichkeit zu überwinden und
aktiv über Sicherheit nach- und mitzudenken. Die Gewährleistung der
Sicherheit obliegt einzig und allein Ihnen ! Keiner kann Ihnen
diese Aufgabe abnehmen !
Halten Sie Ordnung auf Ihrem PC. Es sollte nur das installiert
sein, was Sie auch wirklich benutzen. Im Zeitalter, wo
Festplattenkapazitäten von 20 GB als Standard angesehen werden
kann, gerät man schnell in Versuchung mehr zu installieren (bzw.
installiert zu lassen) als man eigentlich braucht...wie schnell
verliert sich da der Überblick und öffnet Viren und Trojanern Tür
und Tor!
Ein System sollte klar strukturiert und übersichtlich sein. Was man
nicht oder nur selten braucht, kann auch auf externe Datenträger
ausgelagert werden. Ohnehin überflüssig zu betonen, daß von Ihren
Daten regelmäßig Sicherheitskopien (‘Backups’) angefertigt werden
sollten. Daß diese Backups ebenso sicher verstaut sein sollten,
versteht sich ebenfalls von selbst !
b) Wahl des Betriebsystems
Wer sich nicht gerade hinter der geschützten Umgebung einer
Firewall wähnen kann, sollte beim Thema Sicherheit auch die
richtige Wahl des Betriebssystems in Betracht ziehen.
Die mitgebrachten Sicherheitsfunktionen der beiden häufigsten
Vertreter Windows 95 und Windows 98 sind als unzureichend zu
betrachten. Bevor nun ein Großteil der Leser in Panik ausbricht,
möchte ich hinzufügen, daß die fehlende Sicherheit hauptsächlich
lokaler Natur ist, d.h. wer direkten Zugang zu einem Win 9x-Rechner
hat, kann ohne größere Anstrengung auch dessen Daten einsehen –
über ein Netzwerk ist dies nicht ganz so einfach und kann für den
einen oder anderen Gelegenheitsanwender sogar ausreichend sein.
Für alle anderen, die auf die multimedialen Fähigkeiten von Windows
9x nicht verzichten möchten, aber dennoch eine etwas bessere
Absicherung wünschen, sei an dieser Stelle wiederum der Einsatz von
Drittsoftware, wie Personal Firewalls, die sich recht einfach
installieren lassen, oder die Verschlüsselung seiner privaten Daten
durch PGP (Pretty Good Privacy) zu empfehlen.
Den Semi-professionellen Anwendern möchte ich in diesem
Zusammenhang zu Windows NT oder einem Unix-Derivat, wie Linux,
raten. Diese Betriebssysteme bieten eine wesentlich höhere
Sicherheit, in der Daten ohne ausreichende Authentifizierung nicht
ohne weiteres eingesehen werden können - vorausgesetzt, man bindet
diese Sicherheitsmechanismen auch ein ! Bei Windows NT
beispielsweise sollte die Wahl des Dateisystems auf NTFS und nicht
FAT oder FAT32 fallen. Nur so ist sichergestellt, daß
ausschließlich die authorisierte Benutzer an die Daten gelangen.
Linux ist derzeit noch immer für viele Laien eine Abschreckung, da
hier ein Großteil des Betriebssystems noch immer über die
Kommandozeile konfiguriert werden muß und zumindest anfangs noch
keine graphische Oberfläche zur Verfügung steht. Aber auch hier
gibt es bereits sehr gute Ansätze, die Linux sehr bald zur echten
(und vor allem günstigeren) Alternative zur Windows-Familie werden läßt.
Hier muß aber auch gleich eingehakt werden: Gerade weil Linux noch
nicht diese Benutzerfreundlichkeit aufweist, ist es um einiges
sicherer als seine bunten Microsoft-Pendants. Daraus folgern wir,
daß Benutzerfreundlichkeit im Widerspruch zu Sicherheit steht ! Der
Grund hierfür ist eigentlich auch ganz einfach. Wenn hier von
Benutzfreundlichkeit die Rede ist, dann bedeutet dies immer, daß
ein Teil der Aufgaben eines Betriebssystems durch graphische
Oberflächen (GUIs) dem Benutzer vorenthalten werden. Er soll es
schließlich so einfach wie möglich haben, und nicht gleich die
Flinte ins Korn werfen, wenn es bei der Konfiguration seines
Systems etwas kniffliger wird.
Da hier also nicht der direkte Weg, sondern der indirekte aus
Gründen des Komforts zur Zielführung benutzt wird, schleichen sich
durch den Mehraufwand an Programmierung solcher GUIs natürlich auch
ein nicht unerheblich größerer Teil an Exploits und Fehler ein -
und was das bedeutet wissen wir ja bereits !
Zur Behebung solcher Bugs und Exploits, die zweifelsohne in allen
Betriebssystemen vertreten sind, werden von den Herstellern
sogenannte Patches oder ganze Ansammlungen davon (Service Packs)
zur Verfügung gestellt. Bei Linux & Co. sind solche Patches bereits
wenige Stunden nach Bekanntwerden eines Exploits verfügbar - bei
den langsamen Mühlen von Microsoft kann dies schon mal einige
Monate in Anspruch nehmen. Auch das sollte einen Maßstab für Ihre
Sicherheitsanforderungen sein !
c) Paßwörter und Verschlüsselung
Als ersten aktiven Teil, den Sie zu Ihrer eigenen Sicherheit
beitragen können, gilt es sichere Paßwörter zu vergeben. Namen,
Daten (z.B. Geburtstage) und sonstige Dinge, die in irgendeiner
Weise mit Ihnen in Verbindung gebracht werden, sind tabu ! Als ich
in Punkt 1. von Bequemlichkeit sprach, ist es genau diese
Bequemlichkeit, die Unwissende solche Paßwörter wählen lassen.
Schließlich sind sie so viel einfacher zu merken. Aber auch viel
einfacher von Anderen zu erraten !!!
Idealerweise sollten Paßwörter aus 5-8 Stellen, einer Mischung von
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen !
Auch wenn es Ihnen noch so schwer fällt diese Regel einzuhalten -
sie hat ihre Berechtigung und ist der erste Schritt in die gute
Absicherung Ihres PCs.
Geben Sie Paßwörter und persönliche Daten (Kreditkartennummern
etc.) nur in sicheren, verschlüsselten Umgebungen ein. Das beste
Paßwort nützt Ihnen nichts, wenn Andere es mitlesen können (wir
erinnern uns an den Abschnitt ‘Sniffing’ bei den Gefahren...)! Im
Internet erkennen Sie verschlüsselte (‘SSL-’)Verbindungen z.B.
daran, daß die Adresse mit https://... beginnt und viele Browser
zusätzlich irgendwo ein kleines Schloß im Fenster eingeblendet
haben. Sollte keine Verschlüsselung angeboten werden, verzichten
Sie lieber auf die Eingabe von Daten, zumindest von solchen, die
Ihnen finanziellen oder persönlichen Schaden zufügen könnten.
Daß Sie Paßwörter nur in Ihrem Kopf aufbewahren sollten, und nicht
auf irgendwelchen bunten Zettelchen, die Ihren Monitor verzieren,
brauche ich sicherlich nicht gesondert zu betonen...
d) Schutz vor Viren und Trojanern
Den Schutz vor Viren und Trojanischen Pferden können Sie neben der
Ordnung auf Ihrem PC in erster Linie einem kommerziellen bzw.
Share-/Freeware Virenscanner überlassen. Häufig gibt es für
Trojaner eigenständige Schutzprogramme.
Bedenken Sie aber, daß ein Virenscanner nur so gut sein kann, wie
er up to date ist. Die meisten Anbieter von Antivirensoftware
veröffentlichen einmal wöchentlich oder mindestens einmal im Monat
ein Update der Virusdatenbank, die in jeden Virenscanner eingebaut
ist. Mit dieser Datenbank erkennt und entfernt der Scanner Viren
auf Ihrem Rechner. Ist die Datenbank veraltet, kann auch kein
ausreichender Schutz gegen die neuesten Viren geboten werden.
Als weiteren Punkt zum Schutz vor solchen Eindringlingen dient die
genaue Prüfung der Herkunft von Software, die auf Ihren Rechner
gelangt: Öffnen Sie keine e-Mails von Unbekannten, prüfen Sie die
Seriösität des Anbieters, von dem Sie Software aus dem Internet
herunterladen und prüfen Sie Dateien, die neu auf Ihren Rechner
gelangen mit einem Virenscanner bevor Sie diese öffnen !
Nette Bauernweisheit hierzu: "Was der Bauer nicht kennt, ißt er
nicht !" :-)
Halten Sie es hier genauso !
e) ActiveX- und Java-Applets
Eigentlich könnte man diesen Punkt zu den Viren und Trojanern
zählen; ich möchte aber gesondert darauf eingehen, da das Thema
AktiveX/Java recht umfangreich ist.
Generell dienen AktiveX- und Java-Applets (streng genommen alle
Skriptsprachen, wie CGI, PERL, PHP3 usw...) zur
Funktionserweiterung der HTML-Sprache (alle WWW-Seiten sind in
dieser Sprache aufgebaut) und sollen somit eigentlich den
Benutzungs- komfort des Bedieners erhöhen. Allerdings sind diese
Sprachen im Laufe der Jahre so umfangreich und mächtig geworden,
daß Ihnen unter Ausnutzung von Exploits bei Browsern und
Betriebssystemen die Möglichkeit offensteht auf private Daten von
Rechnern zuzugreifen und entsprechenden Mißbrauch damit zu treiben.
Auch wenn dies nur einen geringen Anteil der Applets und Scripte
darstellt, sollte man hier erhöhte Vorsicht walten lassen. Viele
Browser bieten die Möglichkeit die Sicherheit entsprechen Ihren
Bedürfnissen anzupassen. Bedauerlicherweise würde ein generelles
Unterbinden von Scripts/Applets auf Ihrem System dazu führen, daß
Sie nahezu keine Seite mehr im Internet öffnen könnten. Auch diese
nicht. Hier sollten Sie also wissen, wohin Sie surfen und ob sie
dem jeweiligen Anbieter vertrauen können.
Moderne Virenscanner besitzen zwar teilweise die Möglichkeit
feindliche Angriffe durch Java-Scripts und ActiveX-Applets zu
erkennen, 100%ig ist darauf aber auch nicht Verlaß, da diese
Technologie noch in den Kinderschuhen steckt bzw. die Standardsnur
sehr vage abgesteckt sind.
f) Angriffe via TCP/IP
Darunter sind generell alle Angriffe zu verstehen, die sich die
Technologie des TCP/IP-Protokolls zu nutze machen, also DoS-
Attacken, Spoofing und Portscanning, oder auch Buffer Overflows.
Solche Angriffe erfolgreich abzuwehren, erfordert ein gewisses
Know-How im Bereich des TCP/IP-Protokolls, des Routens von
Datenpaketen und den Diensten, die auf den einzelnen TCP/IP-Ports
sitzen. Wer mehr darüber wissen will, sollte sich die eine oder
andere Adresse auf meiner Link-Seite anschauen.
Prinzipiell kann auch hier auf professionelle Software und
sogenannte ‘Firewalls’ zurückgegriffen werden.
Eine Firewall stellt einen Schutzschild gegen TCP/IP-Angriffe dar.
Dieser Schutzwall schottet den Benutzer hinter der Firewall vor den
besagten möglichen Gefahren aus dem Internet ab. Der Benutzer
selbst hat aber vollen Zugriff auf die Dienste im Internet. In
Verbindung mit sogenannten ‘Proxy-Servern’ stellt diese Kombination
einen recht brauchbaren Schutz gegen Angreifer und Zugriffe aus dem
Internet dar. Proxy-Server holen die gewünschten Inhalte (z.B. WWW-
Seiten, FTP-Daten, usw...) im Auftrag des Benutzers ab. Der
Benutzer selbst stellt nur die Anfrage an den (sicheren) Proxy-
Server und setzt sich somit nicht den potentiellen Gefahrenquellen
im Internet aus. Viele Internetanbieter (Provider) bieten solche
Proxy-Server beim Zugang ins Internet an.
Berücksichtigen wir alle hier aufgeführten Punkte, dann haben wir
schon ein gutes Maß an Sicherheit mit relativ wenig Aufwand
erreicht. Wer tiefer in die Materie einsteigen will, wird den einen
oder anderen Punkt in der Networking-Sektion interessant finden
oder kann sich bei den Szenarien ein genaueres Bild über
Konfiguration und Ausstattung seines PCs machen.
Die Wahl des Security Levels, der Sicherheitsstufe also, ist immer
auch eine finanzielle Frage, die sich jeder selbst beantworten muß.
Was sind Sie bereit zu investieren um Ihre Daten zu
schützen ?
Anhand verschiedener Szenarien möchte ich hierzu gängige
Fallbeispiele für Sicherheitsstufen nennen. ‘Stufen’ ist hierbei
eigentlich der falsche Ausdruck, da die Übergänge fließend und auch
Kombinationen der hier aufgeführten Beispiele denkbar sind.
I) Unvernetzte Einzelplatzrechner
Da diese Rechner keinerlei Angriffsfläche für Angriffe von
Außerhalb bieten, kann man sich hier ausschließlich der lokalen
Sicherheit zuwenden, d.h. Sorge dafür tragen, daß niemand direkten
Zugriff auf Tastatur und Laufwerke erhält. Ggfs. sollte man private
Daten verschlüsseln - auf jeden Fall aber sollten regelmäßige
Sicherungskopien davon anfertigt und an einem sicheren Ort verwahrt
werden.
Sollten externe Datenträger (Disketten, CD-Roms, etc.) zum Einsatz
kommen, empfiehlt sich die Installation und Pflege einer
Antivirensoftware. Nutzt man Austauschdatenträger nicht (das ist
wohl bei den wenigsten der Fall), sollte man sicherheitshalber auch
die entsprechenden Laufwerke aus dem Rechner entfernen, oder
zumindest abschalten (einfach die Kabel im Innern abziehen).
Alternativ kann auch das Starten (Booten) des Rechners über diese
Laufwerke im BIOS unterbunden werden - versehen Sie Ihr BIOS dann
aber auch mit einem Paßwort. Dieses läßt sich für gewiefte
Angreifer zwar leicht umgehen, ist aber immer noch besser als
überhaupt keinen Schutz vorzusehen.
Die oben aufgeführten Punkte sollten als Ausgangsbasis für die nun
folgenden Szenarien dienen; sie stellen quasi einen minimalen
Schutz dar, auf dem die anderen Mechanismen aufsetzten
II) Einzelplatzrechner mit gelegentlicher Internetanbindung
Diese stellen wohl die häufigste Konstellation dar. Ein einzelner
Rechner wird gelegentlich über eine Telefonleitung (Modem, ISDN)
mit dem Internet verbunden. Unter ‘gelegentlich’ würde ich hier
nicht mehr als 10 Stunden Internet im Monat verstehen.
Neben der Basissicherheit aus Punkt 1 könnte man je nach
Sicherheitsbedürfnis über die Anschaffung einer Personal Firewall
Software nachdenken. Hierbei muß es sich nicht unbedingt um
kommerzielle Software handeln, auch im Share- und Freewarebereich
lassen sich sehr gute Produkte ( @-Guard, E-Safe Protect) finden,
die einfach zu installieren und zu handhaben sind.
Der Zugriff auf Internet-Inhalte sollte möglichst über die
Schutzmechanismen (Proxies) des Providers erfolgen.
III) Einzelplatzrechner mit häufiger Internetanbindung
Wer mehr als 10 Stunden monatlich im Internet unterwegs ist, sollte
sich auf jeden Fall eine Personal Firewall Software installieren.
Da davon auszugehen ist, daß auch häufiger die eine oder andere e-
Mail ausgetauscht wird, sollte man die vorher genannten
Sicherheitsüberlegungen zu Viren und Trojanern mit in die
Absicherung einbeziehen. Auch die Provider-Proxies sind eine gute
Wahl.
Wer etwas mehr Sicherheit haben möchte sollte über die Vernetzung
mit einem Linux-PC nachdenken, der die Einwahl ins Internet für den
Hauptrechner erledigt (s. nächster Punkt).
IV) Privat vernetzte PC-Umgebung mit Internetanbindung
Da man sich ohnehin schon den Luxus von zwei oder mehr Rechnern
leistet, sollte man auch das nötige Kleingeld für einen Linux
Gateway-Server aufbringen. Dies kann durchaus ein betagter P-133
mit 32 MB RAM sein. Die Kosten hierfür sind relativ gering, da es
sich um ausgediente Hardware handelt und eine Linux-Version in der
Regel um 100,- DM erstanden bzw. kostenlos aus dem Internet geladen
werden kann (für Anfänger nicht zu empfehlen). Auf diesem Gateway-
Server sollten keinerlei private Daten gespeichert werden.
Lediglich Firewall- und Masquerading-Funktionen und evtl. einige
Serverdienste (Proxies, DNS, DHCP) sollten hier installiert sein.
Näheres hierzu in der Networking-Sektion meiner Homepage.
An dieser Stelle möchte ich nochmals darauf hinweisen, daß auch die
Serverdienste richtig eingerichtet werden müssen (beispielsweise
nicht als 'root' ausführen...), da man sonst mehr Schaden als
Nutzen anrichten kann.
V) Dedizierte Firewall-Umgebung mit DMZ
Als sehr hohen Sicherheitslevel möchte ich abschließend, und auch
nur der Vollständigkeit halber, auf die Techniken bei größeren
Unternehmen eingehen. Da es hier ganze Unternehmenszweige zu
schützen gilt und in vielen Fällen auch eine permanente
Internetanbing besteht, muß auch ein entsprechend hoher
Sicherheitsaufwand betrieben werden. Nicht selten beherbergen große
Unternehmen Ihre Internetserver im eigenen Haus und müssen somit
auch die höheren Risiken (DoS-Attacken, Buffer Overflows, etc.) in
Kauf nehmen.
Um dieser Aufgabe gerecht zu werden, kommen professionelle
Firewall-Lösungen, deren Kosten sehr schnell 5-stellige DM-Beträge
erreichen, zum Einsatz (Application-Level Firewalls, etc.). Die
Internet-Server selbst werden in einem eigens dafür abgekoppelten
Netzwerk, der demilitarisierten Zone (DMZ), angebunden. Der Zugriff
auf die Server kann von innen (Intranet) und außen (Internet) nur
über die Firewall erfolgen - dies ist auch ein Grund, warum diese
Firewall-Lösungen als zentrales Sicherheitsorgan so teuer sind.
Für Privatpersonen sind solche Lösungen sicherlich nicht
erschwinglich und eigentlich auch überzogen, sofern keine
permanente Internetanbindung bestehet. In Zeiten von Flatrates und
steigenden Onlinezeiten allerdings, sollte man aber seine
Möglichkeiten kennen. Denkbar wäre z.B. der ideale Zustand einen
Rechner nur als Firewall einzurichten - keine anderen Dienste oder
Daten dürften sich dann darauf befinden. Diese sollten dann
konsequent hinter der Firewall platziert werden.
Durch Sicherheit versucht man seine Intimsphäre gegen Andere zu
schützen. Diese kann personen-, sach- oder objektbezogen sein.
Sicherheit beginnt bereits beim Verschließen seiner Türe, wenn man
sein Haus verläßt. Niemand möchte, daß sein Haus unbefugt betreten
wird, denn das würde eine Verletzung der Intims- oder Privatsphäre
darstellen.
Natürlich möchte ich nicht über die Sicherheit von Haus- und Hof
oder einem schlecht angeketteten Fahrrad sprechen - es soll nur
verdeutlichen, daß das Bedürfnis nach Sicherheit uns in
alltäglichen Situationen begleitet, ohne, daß wir uns dessen
eigentlich wirklich bewußt sind.
Die Seite ist mit ‘Security’ überschrieben, dies impliziert
automatisch, daß es hier, wie bereits gesagt, um IT-Sicherheit
geht, also alles, was mit Bits und Bytes und dem Austausch dieser
über Datenleitungen zu tun hat.
Da es sich um eine Einführung für Neulinge handeln soll, werde ich
versuchen nicht allzu tief in die Materie einzudringen und mich
halbwegs verständlich auszudrücken.
Man muß nicht gleich paranoid sein, wenn man ein Bedürfnis nach
Sicherheit hat - es ist vielmehr eine angeborene Sache, die mehr
oder weniger in jedem von uns steckt !
Das eigentliche Problem - besonders im Internet - ist die Frage,
wie man sich effektiv schützen kann !? Gerade Anfänger und Neulinge
stehen vor diesem Problem.
Um dieser Frage auf den Grund zu gehen, sollte man zuerst die
möglichen Gefahren kennen, denen man sich mit dem Herstellen einer
Verbindung mit dem Internet aussetzt.
Ich möchte an dieser Stelle nochmals betonen, das es sich um
potentielle Gefahren handelt, d.h. daß man nicht sofort alle Daten
auf der Festplatte gelöscht bekommt, wenn man ungeschützt ins
Internet geht.
Spätestens aber seit das Internet salonfähig und somit der breiten
Masse zugänglich geworden ist, ist Sicherheit ein Thema, mit dem
man sich auseinandersetzen sollte ! Das Ganze sollte aber mit
gesundem Menschenverstand, also nüchtern und sachlich betrachtet
werden. Nicht jeder braucht gleich die ultimative Firewall um
ausreichenden Schutz für sich zu gewährleisten. Auch die eigene
Verhaltensweise spielt eine große Rolle.
Wenn man IT-Sicherheit im Ganzen betrachtet, dann ist der eigene PC
(="Intimsphäre") einer ganzen Reihe potentieller Gefahren
ausgesetzt. Diese müssen nicht unbedingt alle vom Internet oder
einem lokalen Netzwerk (LAN) ausgehen. Der Schutz des eigenen PC
beginnt streng betrachtet bei der lokalen Sicherheit.
Sofern der eigene PC einer gewissen Öffentlichkeit ausgesetzt ist,
d.h.Unbefugte haben die Möglichkeit lokal Zugriff auf Ihren PC zu
erlangen, stellt dies auch ein Gefahrenpotential dar !
Die Art der Gefährdungen sind:
- Einsicht in intime/private Daten
- Entwendung intimer/privater Daten
- Manipulation intimer/privater Daten
- Zerstörung intimer/privater Daten
- Materielle Zerstörung (wird hier vernachlässigt)
- Ist der PC nun auch noch mit dem Internet oder allgemein einem
Netzwerk verbunden, können alle diese Gefahren zusätzlich auch noch
aus der Ferne auf Ihren Rechner einwirken. Das Fatale daran ist,
daß dies auf sehr vielfältige Weise geschehen kann, also nicht nur
über die Tastatur, Ihren Bildschirm oder dem Disketten/CD-Rom-
Laufwerk, sondern via Datenleitung über sogenannte ‘Hintertüren’,
deren Existenz dem Laien überhaupt nicht bekannt sind. Weiterhin
finden diese Angriffe mehr oder minder ‘unsichtbar’ statt, d.h. man
bemerkt das Eindringen erst sehr spät oder sogar gar nicht; eine
geeignete Gegenmaßnahme kommt in vielen Fällen dann nicht
rechtzeitig.
Welche Art von ‘Hintertüren’ gibt es also ? Hier die gebräuchlichsten:
1.) Trojanische Pferde und Viren
Meist durch angehängte Dateien (Attachments) in E-Mails
eingeschleust, nisten sich die oft sehr kleinen Programme auf der
Festplatte des Empfängers ein und beginnen nach und nach ihr
Unwesen zu treiben. In vielen Fällen breiten sie sich wie ein Virus
(daher der Name) im PC aus und dieser ‘erkrankt’. Diese Erkrankung
kann sich in sehr vielfältiger Weise äußern. Harmlose Viren zaubern
nur ein paar bunte Bildchen auf den Bildschirm oder begnügen sich
mit ein paar netten Sprüchen. Die härtere Sorte hingegen hat es auf
die Daten auf dem PC und deren Manipulation/Zerstörung abgesehen.
Dies kann sogar soweit gehen, daß das System unbrauchbar wird.
Im Gegensatz zu Viren versenden Trojaner diese Daten unbemerkt an
Ihren Absender oder öffnen diesem Tür und Tor zum infizierten
Rechner. Der Absender hat dann wiederum die Möglichkeit unbemerkt
auf dem Rechner einzudringen und ebenfalls eine Manipulation/Zerstörung
der Daten vorzunehmen oder diese unbefugt einzusehen.
2.) DoS (Denial of Service) Attacken*
Bei Denial of Service Attacken wird der PC über die Datenleitung
derart mit ‘nutzlosen Datenpaketen’ bombadiert, bis dieser durch
die Verarbeitung der Datenpakete ‘in die Knie’ gezwungen, d.h.
schlichtweg überfordert wird. Die häufige Folge daraus ist der
Absturz des Rechners. DoS-Attacken werden in erster Linie auf
Dienstanbieter (Server) (WWW, FTP usw.) verübt um einen
wirtschaftlichen Schaden anzurichten. Nicht selten handelt es sich
hierbei um ‘Jungenstreiche’.
3.) Exploits
Exploits sind Sicherheitslücken in Programmen oder Betriebssystemen
(die strenggenommen auch nur Programme sind), die bei der
Programmierung übersehen wurden. Angreifer, die diese Lücken
kennen, nutzen sie aus, um höhere Benutzerrechte auf dem Rechner zu
erhalten, und um somit an geschützte Daten heranzukommen oder durch
den Exploit den Rechner lahmzulegen (auch als ‘Nuken’ bekannt).
Auch hier kann es wieder zur Manipulation, Zerstörung, Entwendung
oder unbefugter Einsicht der Daten kommen.
Gerade die weitverbreiteten Betriebssysteme von Microsoft (Windows
9x, NT) sind voll von solchen Exploits, die sich mehr oder weniger
leicht als Angriffspunkt nutzen lassen.
4.) IP Spoofing / Portscans
Um die Methodik von IP Spoofing und Portscans zu erläutern, muß
hier etwas technisches Hintergrundwissen vorausgeschickt werden.
In Netzwerken müssen Daten über ein Protokoll ausgetauscht werden.
Das kann man so interpretieren, daß sich die vernetzten Rechner auf
eine allgemeingültige ‘Sprache’, die von allen zu verstehen ist,
untereinander verständigen und austauschen. In vielen Netzwerken
und besonders im Internet wird hierzu TCP/IP verwendet. TCP/IP
steht für ‘Transmission Control Protocol / Internet Protocol’,
womit auch klar wird, woher dieses Protokoll eigentlich stammt: dem Internet.
Die beiden Eigenschaften, die beim IP-Spoofing und Portscanning zum
tragen kommen, sind zum einen die Tatsache, daß jeder Rechner im
Netzwerk eine eindeutige Adresse besitzt (auch für andere
Protokolle gültig ), diese bei TCP/IP jedoch durch eine
Sicherheitslücke manipuliert bzw. verschleiert werden kann (=IP
Spoofing) und zum anderen, daß bei TCP/IP die verschiedenen
Internetdienste, wie WWW, FTP, Telnet usw. auf sogenannten ‘Ports’
laufen. Man kann sich diese Ports wie Türen vorstellen - stellt man
beispielsweise eine Anfrage auf den WWW-Port (= Port-Nr. 80) eines
Rechners und ist dieser Port nicht verschlossen, können Daten nach
Außen über diese ‘Türe’ gesendet werden. Natürlich müssen auch
Daten für diese Türe bereitstehen (der sog. Serverdienst, hier:
WWW, muß auf dem entspr. Rechner laufen )!
Bei einem Portscan klopft (‘pingt’) man nun alle verfügbaren Türen
auf einem Rechner ab. Ist eine dieser Türen nicht verschlossen,
antwortet sie auf die Klopfzeichen (‘echo’).
Das stellt in diesem Sinne noch keine Sicherheitsverletzung dar. In
vielen Fällen macht sich der Angreifer aber die Unwissenheit des
Opfers zu Nutze, da viele gar nicht wissen, welche dieser Ports auf
ihrem Rechner geöffnet und welche verschlossen sind. Somit bietet
man Angreifern eine Möglichkeit in das System einzudringen und
ensprechend Daten auszuspionieren. Zusammen mit der IP-Spoofing-
Technik kann der Eindringling sogar seine eigentliche Herkunft
verschleiern, so daß er auf nimmer wiedersehen verschwindet...
5.) Sniffing
Sniffing bedeutet übersetzt soviel wie ‘Schnüffeln’, was die Art
der Gefahr sehr passend beschreibt. Beim Sniffen ‘lauscht’ der
Angreifer unbemerkt auf der Datenleitung mit und ist somit in der
Lage Besitz von Passwörtern und anderen brisanten Daten zu
erlangen. Die daraus entstehenden Möglichkeiten brauche ich wohl
nicht weiter aufzuführen...
6.) Buffer Overflows*
Ähnlich wie bei Denial Of Service Attacken werden bei Buffer
Overflow Angriffen Rechner/Dienste (s. Ports) mit Daten
überschwemmt - nur handelt es sich hierbei um ‘sinnvolle’ Daten,
die die Speicher (=’Buffer’) des Rechners überfüllen (=’Overflow’).
Hierbei kann es passieren, daß auch die Sicherheitsbestimmungen
(‘wer darf zugreifen, wer nicht...’) mit über Bord geworfen werden
und dem Angreifer somit die Tür geöffnet wird.
* Die Punkte 2. und 6. führe ich hier nur der Vollständigkeit
halber auf. Die Wahrscheinlichkeit, daß diese Methoden auf
Privatrechner angewendet werden ist verschwindend gering. Dennoch
sollte man im Zusammenhang mit dem Thema IT-Security davon gehört
haben, nicht zuletzt deswegen, weil immer häufiger in den Medien
von solchen Attacken auf professionelle Server berichtet wird.
Damit wir nicht schweißgebadet, von Alpträumen gepeinigt in der
Nacht aufwachen, wollen wir uns nun den geeigneten Maßnahmen
widmen, um die beschriebenen Bedrohungen abzuwenden und unser
System sicherer zu machen. Als Faustregel hierfür gilt immer:
Prophylaxe ist besser als Schadensbegrenzung !
Das heißt also, daß wir den möglichen Gefahren vorbeugen müssen
anstatt hinterher die Scherben zusammenzukehren. Die Vorbeugung
beginnt bei unserem persönlichen Verhalten und geht über die lokale
Sicherheit bis hin zur Sicherheit im Netzwerk.
a) Persönliches Verhalten
Im Zusammenhang mit IT-Sicherheit verstehe ich unter persönlichem
Verhalten einen reellen Bezug zur Thematik herzustellen. In vielen
Fällen gilt es hier die eigene Bequemlichkeit zu überwinden und
aktiv über Sicherheit nach- und mitzudenken. Die Gewährleistung der
Sicherheit obliegt einzig und allein Ihnen ! Keiner kann Ihnen
diese Aufgabe abnehmen !
Halten Sie Ordnung auf Ihrem PC. Es sollte nur das installiert
sein, was Sie auch wirklich benutzen. Im Zeitalter, wo
Festplattenkapazitäten von 20 GB als Standard angesehen werden
kann, gerät man schnell in Versuchung mehr zu installieren (bzw.
installiert zu lassen) als man eigentlich braucht...wie schnell
verliert sich da der Überblick und öffnet Viren und Trojanern Tür
und Tor!
Ein System sollte klar strukturiert und übersichtlich sein. Was man
nicht oder nur selten braucht, kann auch auf externe Datenträger
ausgelagert werden. Ohnehin überflüssig zu betonen, daß von Ihren
Daten regelmäßig Sicherheitskopien (‘Backups’) angefertigt werden
sollten. Daß diese Backups ebenso sicher verstaut sein sollten,
versteht sich ebenfalls von selbst !
b) Wahl des Betriebsystems
Wer sich nicht gerade hinter der geschützten Umgebung einer
Firewall wähnen kann, sollte beim Thema Sicherheit auch die
richtige Wahl des Betriebssystems in Betracht ziehen.
Die mitgebrachten Sicherheitsfunktionen der beiden häufigsten
Vertreter Windows 95 und Windows 98 sind als unzureichend zu
betrachten. Bevor nun ein Großteil der Leser in Panik ausbricht,
möchte ich hinzufügen, daß die fehlende Sicherheit hauptsächlich
lokaler Natur ist, d.h. wer direkten Zugang zu einem Win 9x-Rechner
hat, kann ohne größere Anstrengung auch dessen Daten einsehen –
über ein Netzwerk ist dies nicht ganz so einfach und kann für den
einen oder anderen Gelegenheitsanwender sogar ausreichend sein.
Für alle anderen, die auf die multimedialen Fähigkeiten von Windows
9x nicht verzichten möchten, aber dennoch eine etwas bessere
Absicherung wünschen, sei an dieser Stelle wiederum der Einsatz von
Drittsoftware, wie Personal Firewalls, die sich recht einfach
installieren lassen, oder die Verschlüsselung seiner privaten Daten
durch PGP (Pretty Good Privacy) zu empfehlen.
Den Semi-professionellen Anwendern möchte ich in diesem
Zusammenhang zu Windows NT oder einem Unix-Derivat, wie Linux,
raten. Diese Betriebssysteme bieten eine wesentlich höhere
Sicherheit, in der Daten ohne ausreichende Authentifizierung nicht
ohne weiteres eingesehen werden können - vorausgesetzt, man bindet
diese Sicherheitsmechanismen auch ein ! Bei Windows NT
beispielsweise sollte die Wahl des Dateisystems auf NTFS und nicht
FAT oder FAT32 fallen. Nur so ist sichergestellt, daß
ausschließlich die authorisierte Benutzer an die Daten gelangen.
Linux ist derzeit noch immer für viele Laien eine Abschreckung, da
hier ein Großteil des Betriebssystems noch immer über die
Kommandozeile konfiguriert werden muß und zumindest anfangs noch
keine graphische Oberfläche zur Verfügung steht. Aber auch hier
gibt es bereits sehr gute Ansätze, die Linux sehr bald zur echten
(und vor allem günstigeren) Alternative zur Windows-Familie werden läßt.
Hier muß aber auch gleich eingehakt werden: Gerade weil Linux noch
nicht diese Benutzerfreundlichkeit aufweist, ist es um einiges
sicherer als seine bunten Microsoft-Pendants. Daraus folgern wir,
daß Benutzerfreundlichkeit im Widerspruch zu Sicherheit steht ! Der
Grund hierfür ist eigentlich auch ganz einfach. Wenn hier von
Benutzfreundlichkeit die Rede ist, dann bedeutet dies immer, daß
ein Teil der Aufgaben eines Betriebssystems durch graphische
Oberflächen (GUIs) dem Benutzer vorenthalten werden. Er soll es
schließlich so einfach wie möglich haben, und nicht gleich die
Flinte ins Korn werfen, wenn es bei der Konfiguration seines
Systems etwas kniffliger wird.
Da hier also nicht der direkte Weg, sondern der indirekte aus
Gründen des Komforts zur Zielführung benutzt wird, schleichen sich
durch den Mehraufwand an Programmierung solcher GUIs natürlich auch
ein nicht unerheblich größerer Teil an Exploits und Fehler ein -
und was das bedeutet wissen wir ja bereits !
Zur Behebung solcher Bugs und Exploits, die zweifelsohne in allen
Betriebssystemen vertreten sind, werden von den Herstellern
sogenannte Patches oder ganze Ansammlungen davon (Service Packs)
zur Verfügung gestellt. Bei Linux & Co. sind solche Patches bereits
wenige Stunden nach Bekanntwerden eines Exploits verfügbar - bei
den langsamen Mühlen von Microsoft kann dies schon mal einige
Monate in Anspruch nehmen. Auch das sollte einen Maßstab für Ihre
Sicherheitsanforderungen sein !
c) Paßwörter und Verschlüsselung
Als ersten aktiven Teil, den Sie zu Ihrer eigenen Sicherheit
beitragen können, gilt es sichere Paßwörter zu vergeben. Namen,
Daten (z.B. Geburtstage) und sonstige Dinge, die in irgendeiner
Weise mit Ihnen in Verbindung gebracht werden, sind tabu ! Als ich
in Punkt 1. von Bequemlichkeit sprach, ist es genau diese
Bequemlichkeit, die Unwissende solche Paßwörter wählen lassen.
Schließlich sind sie so viel einfacher zu merken. Aber auch viel
einfacher von Anderen zu erraten !!!
Idealerweise sollten Paßwörter aus 5-8 Stellen, einer Mischung von
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen !
Auch wenn es Ihnen noch so schwer fällt diese Regel einzuhalten -
sie hat ihre Berechtigung und ist der erste Schritt in die gute
Absicherung Ihres PCs.
Geben Sie Paßwörter und persönliche Daten (Kreditkartennummern
etc.) nur in sicheren, verschlüsselten Umgebungen ein. Das beste
Paßwort nützt Ihnen nichts, wenn Andere es mitlesen können (wir
erinnern uns an den Abschnitt ‘Sniffing’ bei den Gefahren...)! Im
Internet erkennen Sie verschlüsselte (‘SSL-’)Verbindungen z.B.
daran, daß die Adresse mit https://... beginnt und viele Browser
zusätzlich irgendwo ein kleines Schloß im Fenster eingeblendet
haben. Sollte keine Verschlüsselung angeboten werden, verzichten
Sie lieber auf die Eingabe von Daten, zumindest von solchen, die
Ihnen finanziellen oder persönlichen Schaden zufügen könnten.
Daß Sie Paßwörter nur in Ihrem Kopf aufbewahren sollten, und nicht
auf irgendwelchen bunten Zettelchen, die Ihren Monitor verzieren,
brauche ich sicherlich nicht gesondert zu betonen...
d) Schutz vor Viren und Trojanern
Den Schutz vor Viren und Trojanischen Pferden können Sie neben der
Ordnung auf Ihrem PC in erster Linie einem kommerziellen bzw.
Share-/Freeware Virenscanner überlassen. Häufig gibt es für
Trojaner eigenständige Schutzprogramme.
Bedenken Sie aber, daß ein Virenscanner nur so gut sein kann, wie
er up to date ist. Die meisten Anbieter von Antivirensoftware
veröffentlichen einmal wöchentlich oder mindestens einmal im Monat
ein Update der Virusdatenbank, die in jeden Virenscanner eingebaut
ist. Mit dieser Datenbank erkennt und entfernt der Scanner Viren
auf Ihrem Rechner. Ist die Datenbank veraltet, kann auch kein
ausreichender Schutz gegen die neuesten Viren geboten werden.
Als weiteren Punkt zum Schutz vor solchen Eindringlingen dient die
genaue Prüfung der Herkunft von Software, die auf Ihren Rechner
gelangt: Öffnen Sie keine e-Mails von Unbekannten, prüfen Sie die
Seriösität des Anbieters, von dem Sie Software aus dem Internet
herunterladen und prüfen Sie Dateien, die neu auf Ihren Rechner
gelangen mit einem Virenscanner bevor Sie diese öffnen !
Nette Bauernweisheit hierzu: "Was der Bauer nicht kennt, ißt er
nicht !" :-)
Halten Sie es hier genauso !
e) ActiveX- und Java-Applets
Eigentlich könnte man diesen Punkt zu den Viren und Trojanern
zählen; ich möchte aber gesondert darauf eingehen, da das Thema
AktiveX/Java recht umfangreich ist.
Generell dienen AktiveX- und Java-Applets (streng genommen alle
Skriptsprachen, wie CGI, PERL, PHP3 usw...) zur
Funktionserweiterung der HTML-Sprache (alle WWW-Seiten sind in
dieser Sprache aufgebaut) und sollen somit eigentlich den
Benutzungs- komfort des Bedieners erhöhen. Allerdings sind diese
Sprachen im Laufe der Jahre so umfangreich und mächtig geworden,
daß Ihnen unter Ausnutzung von Exploits bei Browsern und
Betriebssystemen die Möglichkeit offensteht auf private Daten von
Rechnern zuzugreifen und entsprechenden Mißbrauch damit zu treiben.
Auch wenn dies nur einen geringen Anteil der Applets und Scripte
darstellt, sollte man hier erhöhte Vorsicht walten lassen. Viele
Browser bieten die Möglichkeit die Sicherheit entsprechen Ihren
Bedürfnissen anzupassen. Bedauerlicherweise würde ein generelles
Unterbinden von Scripts/Applets auf Ihrem System dazu führen, daß
Sie nahezu keine Seite mehr im Internet öffnen könnten. Auch diese
nicht. Hier sollten Sie also wissen, wohin Sie surfen und ob sie
dem jeweiligen Anbieter vertrauen können.
Moderne Virenscanner besitzen zwar teilweise die Möglichkeit
feindliche Angriffe durch Java-Scripts und ActiveX-Applets zu
erkennen, 100%ig ist darauf aber auch nicht Verlaß, da diese
Technologie noch in den Kinderschuhen steckt bzw. die Standardsnur
sehr vage abgesteckt sind.
f) Angriffe via TCP/IP
Darunter sind generell alle Angriffe zu verstehen, die sich die
Technologie des TCP/IP-Protokolls zu nutze machen, also DoS-
Attacken, Spoofing und Portscanning, oder auch Buffer Overflows.
Solche Angriffe erfolgreich abzuwehren, erfordert ein gewisses
Know-How im Bereich des TCP/IP-Protokolls, des Routens von
Datenpaketen und den Diensten, die auf den einzelnen TCP/IP-Ports
sitzen. Wer mehr darüber wissen will, sollte sich die eine oder
andere Adresse auf meiner Link-Seite anschauen.
Prinzipiell kann auch hier auf professionelle Software und
sogenannte ‘Firewalls’ zurückgegriffen werden.
Eine Firewall stellt einen Schutzschild gegen TCP/IP-Angriffe dar.
Dieser Schutzwall schottet den Benutzer hinter der Firewall vor den
besagten möglichen Gefahren aus dem Internet ab. Der Benutzer
selbst hat aber vollen Zugriff auf die Dienste im Internet. In
Verbindung mit sogenannten ‘Proxy-Servern’ stellt diese Kombination
einen recht brauchbaren Schutz gegen Angreifer und Zugriffe aus dem
Internet dar. Proxy-Server holen die gewünschten Inhalte (z.B. WWW-
Seiten, FTP-Daten, usw...) im Auftrag des Benutzers ab. Der
Benutzer selbst stellt nur die Anfrage an den (sicheren) Proxy-
Server und setzt sich somit nicht den potentiellen Gefahrenquellen
im Internet aus. Viele Internetanbieter (Provider) bieten solche
Proxy-Server beim Zugang ins Internet an.
Berücksichtigen wir alle hier aufgeführten Punkte, dann haben wir
schon ein gutes Maß an Sicherheit mit relativ wenig Aufwand
erreicht. Wer tiefer in die Materie einsteigen will, wird den einen
oder anderen Punkt in der Networking-Sektion interessant finden
oder kann sich bei den Szenarien ein genaueres Bild über
Konfiguration und Ausstattung seines PCs machen.
Die Wahl des Security Levels, der Sicherheitsstufe also, ist immer
auch eine finanzielle Frage, die sich jeder selbst beantworten muß.
Was sind Sie bereit zu investieren um Ihre Daten zu
schützen ?
Anhand verschiedener Szenarien möchte ich hierzu gängige
Fallbeispiele für Sicherheitsstufen nennen. ‘Stufen’ ist hierbei
eigentlich der falsche Ausdruck, da die Übergänge fließend und auch
Kombinationen der hier aufgeführten Beispiele denkbar sind.
I) Unvernetzte Einzelplatzrechner
Da diese Rechner keinerlei Angriffsfläche für Angriffe von
Außerhalb bieten, kann man sich hier ausschließlich der lokalen
Sicherheit zuwenden, d.h. Sorge dafür tragen, daß niemand direkten
Zugriff auf Tastatur und Laufwerke erhält. Ggfs. sollte man private
Daten verschlüsseln - auf jeden Fall aber sollten regelmäßige
Sicherungskopien davon anfertigt und an einem sicheren Ort verwahrt
werden.
Sollten externe Datenträger (Disketten, CD-Roms, etc.) zum Einsatz
kommen, empfiehlt sich die Installation und Pflege einer
Antivirensoftware. Nutzt man Austauschdatenträger nicht (das ist
wohl bei den wenigsten der Fall), sollte man sicherheitshalber auch
die entsprechenden Laufwerke aus dem Rechner entfernen, oder
zumindest abschalten (einfach die Kabel im Innern abziehen).
Alternativ kann auch das Starten (Booten) des Rechners über diese
Laufwerke im BIOS unterbunden werden - versehen Sie Ihr BIOS dann
aber auch mit einem Paßwort. Dieses läßt sich für gewiefte
Angreifer zwar leicht umgehen, ist aber immer noch besser als
überhaupt keinen Schutz vorzusehen.
Die oben aufgeführten Punkte sollten als Ausgangsbasis für die nun
folgenden Szenarien dienen; sie stellen quasi einen minimalen
Schutz dar, auf dem die anderen Mechanismen aufsetzten
II) Einzelplatzrechner mit gelegentlicher Internetanbindung
Diese stellen wohl die häufigste Konstellation dar. Ein einzelner
Rechner wird gelegentlich über eine Telefonleitung (Modem, ISDN)
mit dem Internet verbunden. Unter ‘gelegentlich’ würde ich hier
nicht mehr als 10 Stunden Internet im Monat verstehen.
Neben der Basissicherheit aus Punkt 1 könnte man je nach
Sicherheitsbedürfnis über die Anschaffung einer Personal Firewall
Software nachdenken. Hierbei muß es sich nicht unbedingt um
kommerzielle Software handeln, auch im Share- und Freewarebereich
lassen sich sehr gute Produkte ( @-Guard, E-Safe Protect) finden,
die einfach zu installieren und zu handhaben sind.
Der Zugriff auf Internet-Inhalte sollte möglichst über die
Schutzmechanismen (Proxies) des Providers erfolgen.
III) Einzelplatzrechner mit häufiger Internetanbindung
Wer mehr als 10 Stunden monatlich im Internet unterwegs ist, sollte
sich auf jeden Fall eine Personal Firewall Software installieren.
Da davon auszugehen ist, daß auch häufiger die eine oder andere e-
Mail ausgetauscht wird, sollte man die vorher genannten
Sicherheitsüberlegungen zu Viren und Trojanern mit in die
Absicherung einbeziehen. Auch die Provider-Proxies sind eine gute
Wahl.
Wer etwas mehr Sicherheit haben möchte sollte über die Vernetzung
mit einem Linux-PC nachdenken, der die Einwahl ins Internet für den
Hauptrechner erledigt (s. nächster Punkt).
IV) Privat vernetzte PC-Umgebung mit Internetanbindung
Da man sich ohnehin schon den Luxus von zwei oder mehr Rechnern
leistet, sollte man auch das nötige Kleingeld für einen Linux
Gateway-Server aufbringen. Dies kann durchaus ein betagter P-133
mit 32 MB RAM sein. Die Kosten hierfür sind relativ gering, da es
sich um ausgediente Hardware handelt und eine Linux-Version in der
Regel um 100,- DM erstanden bzw. kostenlos aus dem Internet geladen
werden kann (für Anfänger nicht zu empfehlen). Auf diesem Gateway-
Server sollten keinerlei private Daten gespeichert werden.
Lediglich Firewall- und Masquerading-Funktionen und evtl. einige
Serverdienste (Proxies, DNS, DHCP) sollten hier installiert sein.
Näheres hierzu in der Networking-Sektion meiner Homepage.
An dieser Stelle möchte ich nochmals darauf hinweisen, daß auch die
Serverdienste richtig eingerichtet werden müssen (beispielsweise
nicht als 'root' ausführen...), da man sonst mehr Schaden als
Nutzen anrichten kann.
V) Dedizierte Firewall-Umgebung mit DMZ
Als sehr hohen Sicherheitslevel möchte ich abschließend, und auch
nur der Vollständigkeit halber, auf die Techniken bei größeren
Unternehmen eingehen. Da es hier ganze Unternehmenszweige zu
schützen gilt und in vielen Fällen auch eine permanente
Internetanbing besteht, muß auch ein entsprechend hoher
Sicherheitsaufwand betrieben werden. Nicht selten beherbergen große
Unternehmen Ihre Internetserver im eigenen Haus und müssen somit
auch die höheren Risiken (DoS-Attacken, Buffer Overflows, etc.) in
Kauf nehmen.
Um dieser Aufgabe gerecht zu werden, kommen professionelle
Firewall-Lösungen, deren Kosten sehr schnell 5-stellige DM-Beträge
erreichen, zum Einsatz (Application-Level Firewalls, etc.). Die
Internet-Server selbst werden in einem eigens dafür abgekoppelten
Netzwerk, der demilitarisierten Zone (DMZ), angebunden. Der Zugriff
auf die Server kann von innen (Intranet) und außen (Internet) nur
über die Firewall erfolgen - dies ist auch ein Grund, warum diese
Firewall-Lösungen als zentrales Sicherheitsorgan so teuer sind.
Für Privatpersonen sind solche Lösungen sicherlich nicht
erschwinglich und eigentlich auch überzogen, sofern keine
permanente Internetanbindung bestehet. In Zeiten von Flatrates und
steigenden Onlinezeiten allerdings, sollte man aber seine
Möglichkeiten kennen. Denkbar wäre z.B. der ideale Zustand einen
Rechner nur als Firewall einzurichten - keine anderen Dienste oder
Daten dürften sich dann darauf befinden. Diese sollten dann
konsequent hinter der Firewall platziert werden.