Wer seinen Computer vor Schädlingen und Angreifern schützen will, der braucht aktuelle Software – darüber haben wir im ersten Teil dieses Ratgebers berichtet (www.weser-kurier.de/ITsicherheit). Viele Gefahren lassen sich jedoch auch durch das richtige Verhalten abwenden. Im zweiten Teil erklären wir, worauf der Nutzer beim Surfen und Verschicken von E-Mails achten sollte und welche Arten von Schadsoftware es gibt.
Der Browser
Der Browser sowie Plug-ins und Add-ons müssen wie jede Software auf dem neuesten Stand gehalten werden. Dies bedeute allerdings keine einhundertprozentige Sicherheit, sagt IT-Sicherheitsforscher Karsten Sohr, der am Technologie-Zentrum Informatik und Informationstechnik (TZI) der Universität Bremen die Entwicklung der Informationssicherheit koordiniert. Grund dafür seien sogenannte Zero-Day-Exploits: Sicherheitslücken in Programmen, die von Cyberkriminellen genutzt werden, bevor der Entwickler Sicherheitsupdates anbieten kann. Solche und andere Schwachstellen werden unter Cyberkriminellen auch gehandelt, die Preise dafür liegen teilweise im sechsstelligen Bereich.
Eine Gefahr sind gefälschte Websites, wer auf ihnen ahnungslos Log-in- oder Kreditkartendaten eingibt, macht es den Kriminellen leicht. Aber woran erkennt der Nutzer denn überhaupt, ob eine Internetseite tatsächlich vertrauenswürdig ist? Sohr empfiehlt den Blick auf die Adresszeile des Browsers: Vor der Internetadresse sollte „https“ stehen. Das „s“ steht für secure – es bedeutet, dass die übertragenen Daten verschlüsselt werden. „Jede seriöse Website verwendet heutzutage https, das ist Stand der Technik“, sagt Sohr.
Eine weitere Gefahrenquelle sind Downloads, die der Nutzer selbst herunterlädt. Plug-ins und Add-ons für den Browser können nicht nur Sicherheitslücken haben, sondern selbst Schadsoftware sein. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) weist darauf hin, mit gesundem Menschenverstand im Netz zu surfen: Auch im Internet gebe es nichts gratis. Wer also im Netz die kostenlose Software als Alternative zum teuren Bildbearbeitungsprogramm findet, sollte skeptisch werden.
Praxistipp: Wer auf Internetseiten sensible Daten eingibt, der sollte darauf achten, dass die Seite eine https-Verbindung nutzt. Manche Browser wie Firefox zeigen bei einer sicheren Verbindung auch ein grünes Schloss an. Laut Sohr ist es bei der Eingabe von sensiblen Daten wichtig, auf die Adressleiste zu achten und zu schauen, ob die Adresse denn auch tatsächlich die des gewünschten Ziels ist oder nicht nur auf den ersten Blick so aussieht. Beim Download sollte der Verbraucher prüfen, aus welchen Quellen Software stammt.
E-Mails empfangen und senden
Auch beim Senden und Empfangen von E-Mails gibt es diverse Risiken, etwa das Phishing: Kriminelle geben sich als jemand anderes aus, etwa als der E-Mail-Anbieter des Adressaten, und fordern unter falschem Vorwand, sensible Daten preiszugeben. Social Engineering nenne sich das, sagt Sohr: Der Anwender werde in die Irre geführt.
Dies kombinieren Betrüger dann auch manchmal mit Sicherheitslücken. Phishing-Mails sind oft als solche zu erkennen, können aber auch handwerklich gut gefälscht sein. Es lässt sich auch der Absender der E-Mail manipulieren, sodass auf dem ersten Blick nicht erkennbar ist, dass es sich um eine Fälschung handelt.
Um solche Fälle zu vermeiden, lohnt es sich, die Kommunikation per E-Mail zu verschlüsseln und zu signieren. Denn E-Mails gleichen laut BSI weniger einem Brief als einer Postkarte, auf der theoretisch jeder mitlesen kann, was geschrieben steht. Deshalb könnten unverschlüsselte E-Mails an Knotenpunkten abgefangen oder gar manipuliert werden. Durch die Verschlüsselung kann nur der Empfänger die E-Mail lesen. Die Signatur helfe dabei, die Authentizität des Absenders zu verifizieren.
Wer seine E-Mails verschlüsseln will, braucht dafür zunächst ein Schlüsselpaar – einen privaten und öffentlichen Schlüssel. Die kann er mithilfe eines Programms oder Plug-ins im E-Mail-Programm erstellen und verwalten. Dann nimmt der Absender einer E-Mail den öffentlichen Schlüssel seines Gegenübers und verschlüsselt damit seine Nachricht. Der öffentliche Schlüssel gleicht einem Vorhängeschloss: Jeder, der einer Person eine E-Mail schreiben will, verschließt seine Nachricht mit dessen öffentlichen Schlüssel. Der Empfänger der E-Mail – und ausschließlich er– kann dann mit dem privaten, geheimen Schlüssel das Vorhängeschloss öffnen. Ein gängiges Verschlüsselungsverfahren für den Privatgebrauch sei PGP, Pretty Good Privacy, was übersetzt so viel wie ziemlich guter Datenschutz heißt. Unternehmen und Universitäten nützten oft den Standard S/MIME nutzen, sagt Sohr.
Die Verschlüsselung gewährt Sicherheit, hat laut IT-Experte Karsten Sohr aber auch Nachteile: Wenn sich zwei Personen verschlüsselte E-Mails schreiben möchten, dann müssen sie erst die Schlüssel tauschen, sonst funktioniere das nicht. Daher sei es auch Abwägungssache, welche Inhalte man verschlüssle: Triviale Informationen ließen sich auch unverschlüsselt versenden. Vor allem bei sensiblen Daten – auch von anderen Personen – lohne sich eine Verschlüsselung.
Praxistipp: Das BSI rät dazu, Passwörter, Zugangsdaten und Kontoinformationen nie per Telefon oder E-Mail mitzuteilen. Banken und seriöse Unternehmen würden ihre Kunden nie dazu auffordern, vertrauliche Informationen in dieser Form preiszugeben. Laut Gärtner sollten Empfänger den Inhalt von E-Mails auf Plausibilität prüfen: Ergibt es Sinn, was da verschickt wurde? Dies gelte auch für Kontakte in sozialen Netzwerken, denn auch diese würden gehackt oder kopiert. Wer also eine verdächtige Nachricht eines Freundes bekommt, in der etwa um Geld gebeten wird, sollte vorsichtig sein.
Risiken und Gefahrenquellen
Schadsoftware, auch Malware genannt, gibt es in vielen Ausführungen mit unterschiedlichen Funktionen. Würmer sind eigenständige Programme, die unentdeckt im Hintergrund laufen, schreibt das BSI. Sie können sich wie Parasiten von Computer zu Computer beispielsweise über infizierte E-Mail-Programme verbreiten.
Eher harmlos, aber dennoch nervig, ist die sogenannte Adware: Programme wie etwa Browser-Suchleisten, die in erster Linie Werbung sind und bei der Installation anderer Programme auf den Rechner installiert werden. Die sogenannte Spyware hingegen spioniert den Nutzer aus, um diese Daten zum Beispiel an die Werbewirtschaft zu verkaufen. Auch Geheimdienste würden solche Software nutzen, sagt Sohr.
Das Ziel von Cyberkriminellen ist es aber nicht nur, Daten auszuspähen. Die sogenannte Ransomware verschlüsselt innerhalb von Sekunden alle Daten wie Dokumente und Bilder auf dem Computer, sodass diese von dem Anwender nicht mehr genutzt werden können. Die Täter erpressen den Verbraucher und fordern ihn auf, ein Lösegeld online zu bezahlen, oft in Form von Bitcoins.
Praxistipp: Bei jeder Installation sollte überprüft werden, welche Programme auf den Rechner gespielt werden. Dafür sollte man nicht die Express-Installation, sondern die erweiterte wählen – denn oft sind die Häkchen für das Installieren der Adware schon gesetzt.
Das BSI rät Opfern von Ransomware davon ab, Lösegelder zu bezahlen – es gebe keine Garantie, dass die Daten auch tatsächlich wieder entschlüsselt würden. Stattdessen sollten Opfer Anzeige bei der Polizei erstatten. Außerdem helfen regelmäßige Sicherheitskopien, Daten wiederherzustellen. Auch hier hilft aber vor allem der achtsame Umgang mit E-Mail-Anhängen: Laut Sohr ist so gut wie nie nötig, die Makros eines angehängten Word-Dokuments auszuführen.
