Startseite   Produkte   Seminare   Support   Sicherheit   Ergonomie   Kontakt
 

Tipps zur Internet-Sicherheit

(von Wolfgang Redtenbacher, <wolfgang@redtenbacher.de>)

Internet-Sicherheit muß (auch wenn es in der Presse oft anders dargestellt wird) kein ständiges "Räuber und Gendarm"-Spiel zwischen Hackern und Sicherheitsexperten bleiben. Es gibt auch für den findigsten Hacker nur ganz wenige Kanäle, über die er angreifen kann, und diese Kanäle lassen sich vollständig schließen. Ein so gesichertes System erlaubt eine risikolose Internetnutzung und ist auch ohne ständige Anpassung zuverlässig gefeit vor dem nächsten "Sicherheitsskandal".

Für einen normalen Internetnutzer (d. h. jemanden, der das Internet nur zum Surfen und für E-Mails nutzt und nicht selbst einen Internet-Host betreibt) gibt es 3 Angriffskanäle, die "gestopft" werden müssen:

A. Angriffe auf die Transportschicht

Hierher gehören die klassischen Hackerangriffe: Der Angreifer wählt sich beim Opfer ein oder baut zum Opfer, das gerade online oder über einen Router mit dem Internet verbunden ist, eine (TCP/IP-)Verbindung auf und benutzt anschließend Serverdienste, die auf dem PC des Opfers aktiv sind, oder Sicherheitslücken von Programmen wie "WINSOCK" o. ä., um Daten auszuspionieren oder zu manipulieren.

Abhilfen:

  1. Deinstallieren aller nicht benötigten Serverdienste und Ersetzen von "Winsock & Co." durch Komponenten, die keine Fernsteuerung von außen zulassen
  2. Einrichten einer Firewall

Viele Firmen wählen hier die Variante 2 und installieren eine "Firewall". Man sollte sich jedoch in diesem Fall darüber bewußt sein, daß auch die beste Firewall noch die beiden anderen Angriffskanäle (s. u.) unverändert offen läßt.

B. Angriffe auf den Browser

Auch wenn eine Firewall installiert ist, hat ein Angreifer die Möglichkeit, über entsprechend manipulierte WWW-Seiten (mit legalen HTML-Mitteln!) bekannte Fehler eines Browsers auszunutzen und dadurch die Kontrolle über den Browser (der ja im Grunde ein durch die WWW-Seite "ferngesteuertes" Programm ist) zu übernehmen. Für die englischen Versionen der wichtigsten Browser (Internet Explorer, Netscape) finden sich im Internet bereits fertige Rezepte dafür.

Wenn ein Hacker eine bekannte Website mit solchen "bösartigen HTML-Konstrukten" infiziert (und viele der großen Websites wurden schon einmal "gehackt"), kann er anschließend alle Besucher dieser Website "fernsteuern" oder ausspionieren, sofern diese einen der "anfälligen" Browser einsetzen.

Abhilfen:

  1. 100%-Lösung Nr. 1: Browser durch Spezialsoftware ersetzen, die nicht fernsteuerungsfähig ist (z. B. WWW-Abrufe über KT-MAIL).
  2. 100%-Lösung Nr. 2: Zum Surfen getrennte Surf-PCs einsetzen, die vom eigentlichen Firmennetz physisch getrennt (d. h. ohne LAN-Anschluß!) sind. (Bei dieser Lösung sind die Surf-PCs "Freiwild", d. h. Angriffen von außen ausgesetzt, und enthalten nichts, was schützenswert wäre. Die Daten, die man auf das Firmennetz übernehmen möchte, kann man per Mail dorthin senden [vgl. Abschnitt C unten]).
  3. 90%-Lösung: Die beiden großen Browser (Internet Explorer, Netscape) vermeiden - beide enthalten unzählige Sicherheitslücken - und statt dessen z. B. "Opera" nutzen. (Bisher sind in den deutschen Versionen von Opera nur sehr wenige Sicherheitslücken bekannt geworden - verglichen mit ca. 1-2 neuen Sicherheitslücken pro Monat bei Netscape und ca. 5-8 neuen Sicherheitslücken pro Monat beim MS Internet Explorer.)

C. Angriffe über E-Mails

E-Mails können als Binäranlagen beliebige Dateien transportieren, darunter natürlich auch Viren. Diese Programme können "zuschlagen", wenn sie ausgeführt (d. h. gestartet) werden.

Wie der Virus ILOVEYOU (alias VBS/Love Letter) gezeigt hat, ist es fast nutzlos, den Anwendern einzuschärfen, unbekannte E-Mail-Anlagen nicht durch Doppelklick zu aktivieren: ILOVEYOU wurde auch durch (als vertrauenswürdig empfundene) Mailserver diverser Landesregierungen in angeblich völlig sichere Verwaltungsnetze verbreitet, und fast überall fand sich zumindest eine Person, die trotz aller oft gehörten Warnungen auf den merkwürdigen "Liebesbrief der übergeordneten Behörde" doppelklickte und den Virus damit aktivierte (und weiter verbreitete).

Außerdem läßt sich aufgrund des Umstands, daß Windows bestimmte Dateierweiterungen verbirgt (auch dann, wenn die Explorer-Option "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" explizit ausgeschaltet wurde), für einen Nichtfachmann kaum erkennen, ob eine Dateianlage potentiell gefährlich oder harmlos ist. (Eine Datei namens "BillGates.JPG" sieht z. B. harmlos aus, denn JPG-Grafiken können keine Viren enthalten. In Wirklichkeit kann sich dahinter jedoch der echte Dateiname "BillGates.JPG.pif" [= ein tatsächlich existierender Virus] verbergen, weil die Erweiterung ".pif" von Windows nicht angezeigt wird.)

Bei den aktuellen Versionen der MS-Mailprogramme Outlook und Outlook Express kommt noch hinzu, daß diese Programme bestimmte Instruktionen in E-Mails automatisch ausführen, ohne daß dazu die E-Mail überhaupt geöffnet werden muß. Die früher gültige Regel "E-Mails können erst durch Doppelklick auf eine Dateianlage gefährlich werden" gilt daher für Outlook und Outlook Express nicht mehr. Bei einem Virus wie "BubbleBoy" reicht es schon aus, daß er mit Outlook Express empfangen wird, und er schlägt danach ohne jeden Mausklick des Empfängers zu.

Ein Virenscanner reicht daher für eine angemessene E-Mail-Sicherheit nicht aus.

Abhilfen:

  1. 90%-Lösung: "Outlook" bzw. "Outlook Express" durch eines der E-Mail-Programme ersetzen, die:
  2. 100%-Lösung: "Vorschalt-Software" einsetzen, die eingehende E-Mails analysiert und 3 Aktionen vornimmt:

Variante 2 schränkt den normalen E-Mail-Verkehr fast gar nicht ein und hätte bei allgemeiner Nutzung dennoch jeden einzelnen aller Virenvorfälle vermieden, die je in der Presse Schlagzeilen gemacht haben. (Variante 2 kann z. B. durch das KT-Mail-Gateway realisiert werden.)

Zusammenfassung:

  1. Wer aus dem "Räuber und Gendarm"-Spiel ausbrechen will, muß alle 3 Kanäle sichern. Der Kauf einer Firewall ist nur von sehr beschränktem Nutzen, wenn aus diesem Netz heraus weiterhin mit Produkten wie "MS Internet Explorer" oder "Netscape" gesurft wird.
  2. Eine "100%-Lösung" auf allen 3 Kanälen ist machbar. Mit ihr läßt sich das Internet ohne jedes "Restrisiko" nutzen.

 

Nach oben Nach oben