WLAN-Router, Mobile Devices, Smart TV oder Wearables: Angriffsziele für Hacker gibt es viele – noch bevor man das eigene Haus verlassen hat und es im Büro damit weitergeht: schließlich ist der „Risikofaktor Mensch“ schon an sich oftmals eine Sicherheitslücke. Hinzu kommt, dass sich vor allem bei Standard-IT-Produkten laut Bundesamt für Sicherheit in der Informationstechnik (BSI) die schon hohe Anzahl kritischer Schwachstellen 2015 noch einmal massiv erhöht hat.
Wie aber können sich Internetnutzer online besser schützen – nicht nur gegen Cybercrime, sondern auch gegen Ausspähung und Überwachung? Tipps dazu gibt es von Christoph Schäfer, Datenschutz-Experte der Secorvo Security Consulting GmbH aus Karlsruhe.
Wenn wir unseren digital vernetzten Alltag betrachten: Wann und unter welchen Umständen laufen wir am stärksten Gefahr, Zielscheibe eines Hackerangriffs zu werden und was können wir dagegen tun?
Das ist schwer zu beantworten, da es sehr vom jeweiligen Nutzungsverhalten und natürlich der Person selbst abhängt. Um wirklich zur „Zielscheibe“ zu werden, bedarf es eines gezielten Angriffs. Sich gegen diesen zu wehren ist sehr schwer. Allerdings ist das meist eher ein Problem von Unternehmen oder Institutionen. Der „normale“ Heimnutzer wird in der Regel Opfer von weniger zielgerichteten – also eher zufälligen – Angriffen.
Ganz generell sind E-Mails ein Haupt-Einfallstor für Schadsoftware. Gerade die derzeit um sich greifende Welle an Verschlüsselungs- bzw. Erpressungstrojanern (sogenannte Ransomware) wird vor allem per E-Mail verteilt. Der Empfänger erhält dabei täuschend echt aussehende Nachrichten. Diese sind längst nicht mehr so schlecht gemacht und mit Rechtschreibfehlern übersät wie früher. Der Empfänger wird meist persönlich angesprochen und sehr trickreich dazu gebracht, einen E-Mail-Anhang zu öffnen oder auf einen Link zu klicken.
Der beste Schutzschild ist Aufmerksamkeit, denn gerade bei neuen Varianten von Schadsoftware brauchen die Hersteller von Virenschutzsoftware mehre Stunden bis sogar Tage, um ihre Signaturen zu aktualisieren und den neuen Schädling zu erkennen. Der Trojaner kommt meist auch nicht mehr als EXE-Datei daher – oft versteckt der sich in ZIP-, Word- oder PDF-Dateien. Einmal angeklickt verschlüsselt er alle Dokumente und verlangt anschließend ein Lösegeld. Wenn man nicht auf eine aktuelle Datensicherung zurückgreifen kann, hat man ein echtes Problem.
Was kann man also tun? Am besten gar nicht erst dubiose E-Mails öffnen – schon gar nicht den Anhang! Eine regelmäßige Datensicherung begrenzt im Ernstfall den Schaden. Und in jedem Fall muss stets das Betriebssystem und die Software aktuell gehalten, also Patches und Updates umgehend installiert werden.
Bei der kommenden Anti-Prism-Party, die am 29. April im ZKM stattfindet, halten Sie einen Vortrag zum „Sicheren Surfen“. Wie geht man am besten vor, wenn man sicher surfen will?
Zunächst muss man klären, was man unter „sicher surfen“ versteht. Grundsätzlich gibt es zwei Unsicherheiten: Erstens kann man sich beim Surfen Schadsoftware einfangen, die den eigenen Rechner kompromittiert. Zweitens leben die großen Internetkonzerne, aber auch andere Werbetreibende, davon, dass sie uns im Internet möglichst genau verfolgen und Profile über uns bilden, um uns so zu analysieren und zielgerichtet bewerben zu können.
Gegen Schadsoftware kann man sich zumindest teilweise durch aktuelle Virenscanner und Software schützen.
Zudem gibt es noch Möglichkeiten, den Internetbrowser durch Erweiterungen (Plugins) weniger angreifbar zu machen (beispielsweise „NoScript“). Andere Plugins helfen gegen Tracking, also die Verfolgung des Nutzers im Internet. Man kann beispielsweise mit „Ghostery“ gezielt Trackingtools auf Webseiten blockieren. Außerdem sollte man sich aus Webdiensten wie dem Google-Konto oder Facebook ausloggen, wenn man sie nicht aktiv benutzt.
Um sich möglichst anonym durch das Internet zu bewegen, kann man das Tor-Netzwerk nutzen. Tor ist ein Netzwerk zur Anonymisierung von Verbindungsdaten. Es schützt seine Nutzer vor der Analyse des Datenverkehrs. Dazu muss man auf seinem Computer ein Programm installieren (Onion-Client), mit dem man sich mit dem Tor-Netzwerk verbinden kann. Will man nun eine Webseite besuchen, schleust einen das Tor-Netzwerk über drei verschiedene Server, bevor die Seite aufgerufen wird, wodurch man selbst anonym bleibt.
Was Facebook und WhatsApp betrifft, so haben diese – zumindest was die Ausspähung durch Dritte angeht – immerhin schon einige Schritte Richtung verschlüsselter Kommunikation übernommen: WhatsApp z.B. verschlüsselt die Nachrichten zwischen seinen Nutzern und bald auch die über den Messenger getätigten Telefonate. Wie hoch kann man diese Bemühungen hängen, auch vor dem Hintergrund, dass diese Dienste weiterhin massenhaft persönliche Daten horten – schließlich ist das ihr Geschäftsmodell?
Die Diskussion um Kommunikationsdienste wie Facebook und WhatsApp wird teilweise scheinheilig geführt. Einerseits erwarten die Nutzer, dass solche tollen Dienste kostenfrei angeboten werden, andererseits sollen alle Daten optimal geschützt und nicht vom Anbieter verwendet werden. Das passt nicht so recht zusammen. Dabei will ich die Praktiken von Facebook, WhatsApp & Co. keineswegs verteidigen. Allerdings kann es keinen überraschen, dass sie die Daten ihrer Kunden auch nutzen wollen – worüber man in ewig langen „Datenschutzerklärungen“ informiert wird.
Die eingesetzten Verschlüsselungsmethoden sind technisch meist gut gemacht, haben aber in der Regel den Zweck, die Daten vor dem Zugriff externer Angreifer zu schützen. Die Anbieter wollen die Daten aber nicht vor sich selbst schützen. Denn wie in der Frage zurecht erwähnt: Das Geschäftsmodell fußt darauf, die Nutzer möglichst gut zu kennen.
Gänzlich auf solche Dienste zu verzichten wäre der beste Schutz. Vielleicht genügt es aber auch schon, nicht alle Urlaubsfotos und jegliche Kommunikation über diese Kanäle zu verbreiten. Wen nerven denn nicht die Facebook-„Freunde“, die einen sogar an ihrem Zahnreinigungsritual teilhaben lassen?
****UPDATE 5. April, 20 Uhr****
WhatsApp bietet nun die Verschlüsselung auf allen Clients für Chats, Gruppenchats, Anhänge, Anrufe und Sprachnachrichten an.
Warum schaffen es Webdienste-Anbieter wie Threema immer noch nicht, sicherere Produkte massentauglich zu machen?
Im Gegensatz zur E-Mail-Kommunikation sind die Messenger geschlossene Kommunikationssysteme. Man kann also nur mit jemandem kommunizieren, der dasselbe System einsetzt. WhatsApp hat dabei schlicht den Vorteil der Masse, und funktioniert zudem unkompliziert.
Es ist ein Henne-Ei-Problem: Warum sollte ich zu einem Messenger wechseln, den keiner meiner Freunde nutzt? Meine Freunde nutzen den Messenger aber erst, wenn möglichst viele ihrer Freunde ihn ebenfalls verwenden. Anscheinend genügt es nicht, wenn wir wissen, dass alle Nachrichten bei einem Anbieter in einem großen Datenteich in den USA gespeichert werden. Dem Nachbarn würde man seine intimen Geheimnisse natürlich nicht anvertrauen. Die Gefahr, dass er Unfug damit treiben könnte, ist viel zu konkret. Die Möglichkeit, dass die intime Kommunikation mit der besten Freundin, die bei WhatsApp in den USA gespeichert ist, möglicherweise ausgewertet wird, ist doch viel zu abstrakt und ganz weit weg.
Abgesehen von Datenschutzproblemen kann ein unbefugter Zugriff, zum Beispiel auf einen von mir genutzten Nachrichtendienst, auch größeren Schaden anrichten. Folgendes Szenario: mein Mailkonto wird gehackt und ein Unbefugter Dritter versendet in meinem Namen Mails mit Malware-verseuchtem Anhang. Einer der Empfänger öffnet nichtsahnend den Anhang und lädt unbemerkt eine Spyware herunter, die beim nächsten Online-Shopping die Zahlungsdaten des Benutzers abgreift. Da sich nachvollziehen lässt, dass das Schadprogramm von meinem Konto aus versandt wurde, so könnte ich theoretisch gesehen haftbar gemacht werden?
Um im Namen einer fremden E-Mail-Adresse Nachrichten zu versenden, muss ein Hacker keinen Zugriff auf das Konto haben. Oft wird lediglich eine tatsächliche E-Mail-Adresse als vermeintlicher Absender gewählt, damit die E-Mail echter wirkt. Dadurch wird versucht, Spam-Filter und Empfänger auszutricksen.
Die Haftungsfrage ist relativ kompliziert und hängt von den konkreten Umständen ab. Es gibt zwar einige Urteile, die sich mit solchen Fragen beschäftigt, aber bisher keine gefestigte Rechtsprechung. Viele Fälle drehten sich um die Verantwortung für das Versenden sogenannter SPAM-Nachrichten, also ungewollter Werbung.
Letztlich sind zwei Fälle denkbar: Der Account-Inhaber hat bewusst Schadsoftware versendet oder jemand hat den Account missbraucht. Im ersten Fall ist die Verantwortung recht klar, im zweiten Fall müsste festgestellt werden, ob dem Account-Inhaber ein Verschulden vorgeworfen kann. Nur wie stellt man überhaupt fest, wer die E-Mail nun versendet hat? Allein aus dem Grund, dass von einem bestimmten Account eine E-Mail gesendet wurde, beweist ja nicht, dass diese auch vom Account-Inhaber stammt. Und welche Sorgfaltspflichten hat der Account-Inhaber überhaupt?
Es bleibt in solchen Fällen den Richtern überlassen, die Beweislage zu bewerten. Ganz nach dem alten Grundsatz: Vor Gericht und auf hoher See ist man in Gottes Hand.
Warum ist hierzulande die Zwei-Faktoren-Authentifizierung noch nicht weit verbreitet? Also dass Nutzer nicht nur ein Passwort eingeben, sondern zusätzlich beispielsweise einen Code, der auf ein Smartphone gesendet wird?
Setzt man eine Zwei- (2FA) oder noch besser Multi-Faktor-Authentifizierung ein, ist dies ein erheblicher Sicherheitsgewinn. Als Faktoren können Wissen (beispielsweise Passwort), Besitz (beispielsweise Chipkarte oder Token) und Eigenschaft (beispielsweise Fingerabdruck) zum Einsatz kommen. Kombiniert man zwei unterschiedliche Faktoren, wird es einem Angreifer erheblich schwerer gemacht, in ein System einzudringen. Denn er muss zunächst alle Faktoren kennen beziehungsweise besitzen.
Viele größere Dienste setzen solche Möglichkeiten bereits ein. Beispielsweise bekommt man für Online-Spiele teilweise einen zusätzlichen Hardware-TAN-Generator (sog. Token) oder einen TAN-Generator als App für sein Smartphone. Große Online-Dienste wie Facebook, Google und Dropbox haben 2FA im Angebot und auch unter Windows 10 kann man mit „Microsoft Passport“ einen solchen Dienst nutzen. Von daher sind Lösungen durchaus vorhanden, aber eben meist lediglich optional und nicht als Standard. Von den Nutzern werden sie auch nicht nachgefragt.
Ein weiteres Problem dürfte sein, dass es kaum einheitliche Verfahren gibt. Und wer hat schon Lust, mehrere Apps auf seinem Smartphone zu verwalten oder mehre Token an seinem Schlüsselbund zu tragen.
Angenommen, ich gebe mir größte Mühe: Ich maile und chatte nur noch verschlüsselt, ich verwende die Zwei-Faktoren-Authentifizierung, generiere meine Passwörter stets neu und überprüfe die URL, bevor ich eine Aktion auf einer Website tätige – und dann kommt dieses global arbeitende Hacker-Netzwerk mit Hochleistungsrechnern und macht mal eben eine Brute-Force-Attacke. Kurz gesagt: Lohnt sich der ganze Aufwand für mich überhaupt?
Um diese Frage zu beantworten, müsste man erst mal festlegen, wann es sich denn lohnt. Wenn man ein gutes Gefühl hat? Wenn nichts passiert? Es kann auch nichts passieren, wenn man sich überhaupt nicht um Sicherheit kümmert. Und gegen wen will man sich eigentlich schützen? 100%-ige Sicherheit gibt es sowieso nicht – Sicherheit ist immer ein Kompromiss. Es geht auch nicht darum, keinerlei Angriffen mehr ausgesetzt zu sein sondern vielmehr darum, die Hürden höher zu legen.
Im Prinzip ist es wie bei einer Autoreparatur: Am liebsten hätte man diese schnell, billig und gut erledigt. Das funktioniert im echten Leben so aber nicht. Bei mindestens einem Faktor muss man Abstriche machen.
Vor allem kommt es aber auf zwei Dinge an: Erstens kann man durch manche Maßnahmen mit wenig Aufwand viel erreichen. Die Zwei-Faktor-Zertifizierung ist ein gutes Beispiel, vor allem wenn man sie vom Anbieter gratis angeboten bekommt.
Zweitens muss man sinnvolle Maßnahmen wählen, die auch wirklich angemessen und notwendig sind. Ein sicheres Passwort (möglichst lang, also mindestens zehn Zeichen und nicht ganz simpel aufgebaut) muss man nicht andauernd wechseln. Sondern nur dann, wenn man befürchten muss, dass jemand Kenntnis davon erlangt hat. Auch muss man sich nicht für jeden Webdienst ein hochsicheres Passwort ausdenken. Bei einem Webshop (wo Bankdaten hinterlegt sind) oder dem E-Mail-Konto (über das ich alle Passworte zurücksetzen kann), sollte es schon möglichst sicher sein. Beim Hobby-Reiter-Forum, wo ich mich über die optimale Fütterung meines Pferdes oder die nächsten Turniertermine austausche, genügt auch ein ganz simples Passwort. Alles in allem geht es darum, die Angriffsfläche zu verringern.
Sich gegen einen gezielten Angriff zu wehren, ist mindestens schwierig. Zufälligen Angriffen, wie den eingangs erwähnten Verschlüsselungs-Trojanern, kann man aber durch Aufmerksamkeit, aktuell gehaltene Software und regelmäßige Datensicherungen einen großen Teil ihres Schreckens nehmen.
Tipps, wie sich Internetnutzer online besser schützen können, gibt es bei der Anti-Prism-Party am 29. April im ZKM (Eintritt frei).
