Home | Impressum  
 
Webseitenlogo

Allgemein

Grundlagen

Praxis

Sonstige Texte

Für Hinweise, Kommentare, oder Kritik nutzen Sie bitte den Menüpunkt "Kontakt & Sonstiges"

Datenschutz am Arbeitsplatz
 
Banner der Piratenpartei


Datenschutz am Arbeitsplatz umfasst eine ganze Reihe verschiedener Punkte, von denen einige, wie etwa die Überwachung durch Vorgesetzte, oder die Veröffentlichung firmeninterner Daten im Internet, bereits mehrmals von öffentlichem Interesse waren. Außerdem sind einige Maßnahmen der Computersicherheit sinnvoll um sensible Informationen vor Mißbrauch zu schützen. Da dieses Themengebiet also sehr umfassend ist, gliedert sich dieses Kapitel in folgende Abschnitte:


Der sichere Arbeitsplatz
1. Die Verwendung des Büro-Computers
2. Das sichere Betriebssystem
3. Freie Software im professionellen Einsatz

Dokumentensicherheit in Text und Bild
4. Metadaten
4.1 Metadaten in Word-Dokumenten
4.2 Metadaten in PDF-Dateien
4.3 Metadaten in Bilddateien

Sicherheit und Passwörter

5. Passwörter Erstellung
5.1 Gebrauch sicherer Passwörter
5.2 Gültigkeitsdauer von Passwörtern
5.3 Social Hacking und Phishing

Sicherheits-Software

6.1 (Un-) Sicherheit von Virenscannern
6.2 Das Risiko von Personal Firewalls
6.3 Beste Sicherheits-Software

Neben den allgemeinen Hinweisen zum Betriebssystem, sind besonders die Abschnitte über Metadaten von Bedeutung, stellt doch sicheres Dokumentenmanagement, also der richtige Umgang mit Dokumenten, besonders wenn diese an Dritte weitergegeben oder auf einer Webseite veröffentlicht werden sollen, einen wesentlichen Punkt für datenschutzfreundliches Arbeiten dar. Anschließend finden sich wie oben beschrieben auch Sicherheitshinweise im Bezug auf Passwörter - und zuguterletzt wird als Insidertipp die beste Sicherheitssoftware für Büro- und Heimcomputer vorgestellt.. Damit enden dann auch die einleitenden Worte, es folgt der direkte Einstieg.


Der sichere Arbeitsplatz

Die Verwendung des Büro-Rechners


Im beruflichen Alltag gibt es eine ganze Reihe von Punkten die es zu beachten gilt, will man Daten vor unabsichtlicher Weitergabe an Dritte schützen. Vieles davon mag selbstverständlich wirken, da es aber gerade oft die kleinen Dinge sind, die den (innerbetrieblichen) Datenschutz gefährden, werden sie an dieser Stelle dennoch behandelt.

Eine im Februar 2009 veröffentlichte Studie des Ponemon Insitute, die  von der PGP Corporation in Auftrag gegeben worden war, kommt zu dem Schluss das 88% der Datendiebstähle durch Nachlässigkeit und nicht unmittelbar durch Hacking-Angriffe oder ähnliches entstehen.
Ein Monitor

So sollte sich der Anwender stets bewusst sein, dass er mit seinem PC und dessen Internetzugang zunächst einmal ein fester Teil des Firmennetzwerks ist. Dessen Server protokollieren standardmäßig den gesamten Netzwerkverkehr des Unternehmens, so dass alle Aktivitäten innerhalb des Netzwerks genau nachzuvollziehen sind. Darüber hinaus haben die Administratoren die solche firmeninternen Netzwerke betreuen, oft sogar weitergehende Befugnisse - so ist ihnen etwa die Einsicht von E-Mails möglich. (die bekannten T-Shirts mit dem englischen Aufdruck "I read your email" sind also eigentlich alles andere als lustig).


Tatsächlich sind sogar Fälle bekannt in denen die Angestellten durch Keylogger überwacht wurden. Dabei handelt es sich um spezielle Software die alle Tastatureingaben aufzeichnet. Auch wenn diese Programme in der Regel nur von Kriminellen verwendet werden, bietet dieses Vorgehen auch dem Arbeitgeber eine effektive Möglichkeit, die Computer-Nutzung zu prüfen.

Daher ist es selbstverständlich, das private Internet-Nutzung im Rahmen der Arbeitszeit nicht nur aus Angst vor der eventuellen Kündigung, sondern auch zum Schutz privater Daten unbedingt zu unterlassen ist. Selbst wenn der Arbeitgeber die Privatnutzung von Firmenrechnern gestattet, sollte man sich aufgrund der Netzwerkprotokollierung zweimal überlegen, ob die private E-Mail an die Verlobte unbedingt in der Mittagspause abgeschickt werden muss.

Darüber hinaus gibt es einige weitere Möglichkeiten, Daten auf dem Rechner vor unbefugtem Zugriff von außen zu schützen. Eine sehr einfache Methode besteht in der Verwendung von passwortgeschützten Bildschirmschonern. Ist der Angestellte einige Zeit lang nicht aktiv, schaltet sich der Bildschirmschoner ein, der etwa von Kollegen nicht ohne das richtige Passwort beendet werden kann.

Eine weitere Möglichkeit die am Heim-PC verwendet werden kann ist der Passwortschutz gepackter Dateien. Dabei werden die betreffenden Dateien (etwa Texte, Fotos, Tabellen) mittels eines geeigneten Programms, wie etwa 7zip komprimiert und durch ein Passwort geschützt (7zip ist sogar in der Lage die Datei zu verschlüsseln). Das entpacken der Datei ist anschließend nur nach Eingabe des Passworts möglich.

Textdokumente kann man auch ohne sie zu packen mit einem Passwort sichern, mehr dazu findet sich im Abschnitt über Dokumentensicherheit. Auch die Wahl eines sicheren Passworts wird im Rahmen dieses Kapitels erklärt werden.

Hinweis:
Die genannten Methoden sind nicht wirklich als "sicher" zu bezeichnen, mit den entsprechenden Kenntnissen ist es einer Person durchaus möglich diese Vorkehrungen zu umgehen. Zum Schutz vor allzu neugierigen Gastnutzern des Rechners und übereifrigen Kollegen, sollten sie aber reichen.

Als einfaches Beispiel dafür, wie trotz einer Maßnahme wie oben beschrieben an sensible Daten gelangen könnte, mag ein Laptop dienen: Bei längerem Nichtgebrauch fährt dieser in den Ruhezustand und speichert dabei eine Kopie des aktuellen Arbeitsspeichers in einer Datei ab, damit später schneller weitergearbeitet werden kann. In diesem Fall würde es theoretisch reichen, Zugriff auf die Datei mit der Arbeitsspeicher-Kopie zu bekommen, um sie dann nach schützenswerten Daten, wie etwa Passwörtern durchsuchen zu können.

Jedoch ist auch in diesem Fall die grundlegende Gegenmaßnahme einfach - sie besteht in der Deaktivierung des Ruhezustandes bei Laptops mit vertraulichen Inhalten. Sollte dies, gerade bei Laptops die vom Unternehmen ihren Mitarbeitern zur Verfügung gestellt werden, nicht der Fall sein, so könnte man diesen Punkt an geeigneter Stelle ansprechen.


2. Das sichere Betriebssystem

Auch wenn sich diese Anleitung an Benutzer für Windows-Systeme wendet, so sind dennoch viele Inhalte genereller Natur, die sich dementsprechend bedingt auch auf andere Betriebssysteme anwenden lassen. Besonders für Privatpersonen, Freiberufler und andere Personen die nicht als Angestellte an die Bedingungen von Firmennetzwerk und standardisiertem Betriebssystem gebunden sind, kann es sich lohnen, auch einmal über den Wechsel zu einem alternativen Betriebssystem nachzudenken. GNU/Linux wird (nach Windows-Maßstäben) immer benutzerfreundlicher und ein Blick auf dieses System könnte sich gerade vom sicherheitstechnischen Aspekt her durchaus lohnen.

Wer GNU/Linux einmal gefahrlos antesten möchte kann dies mit Knoppix tun. Es lässt sich als so genannte "Live CD" direkt von CD starten und anwenden, so dass keine Installation erforderlich ist. CDs/DVDs mit Knoppix finden sich regelmäßig als Beigabe von Computer-Magazinen.Der Linux-Pinguin Tux

Für Anwender, die ihren Computer hauptsächlich produktiv für Arbeit und Internet nutzen, wird als Windows-Alternative oft die GNU/Linux-Distribution Ubuntu genannt. Mit Ubuntu kann auch der unbedarfte Anwender arbeiten, ohne tiefer in die Geheimnisse des Betriebssystems eintauchen zu müssen. Außerdem gibt es umfangreiche deutschsprachige Unterstützung, etwa im deutschen Webpportal des Ubuntuusers (DE). Wer zum Antesten nicht erst eine Ubuntu Live CD suchen will, dem sei der Wubi Ubuntu Installer (EN) empfohlen. Mit diesem Programm lässt sich Ubuntu wie ein ganz normales Windows-Programm installieren und deinstallieren.

Desktop von gNewSenseNachteilig (wenn auch für den Anfänger von Vorteil) ist, dass der Ubuntu-Benutzer, ähnlich wie bei Windows, ständig gesagt bekommt, was er zu tun hat, außerdem können Erfahrungen die mit Ubuntu gemacht wurden, nicht ohne weiteres auf andere GNU/Linux-Distributionen übertragen werden.

Für besonders sicherheitsbewusste Anwender gibt es auch Live-Distributionen die als Datenschutz CD angeboten werden. Diese umfassen neben dem Betriebssystem meist zusätzliche Software zur Verschlüsselung oder Anonymisierung. Vorteil einer solchen Datenschutz CD ist, dass wie bei anderen Live CDs auch, das ursprüngliche Betriebssystem unangetastet bleibt.

Zu den unterschätzten Sicherheitsrisiken für ein Betriebssystem - egal ob es sich dabei um Microsoft Windows, GNU/Linux, Mac OS oder andere handelt - gehören offene Ports und die Netzwerkfreigabe. Teilweise haben Anwendungen, die beispielsweise keinerlei Zugang zum Internet benötigen, entsprechende Zugriffsrechte und können so als Schwachstelle zum Eindringen in das System missbraucht werden.

. Unabhängig vom Betriebssystem ist auch die regelmäßige Erstellung von Backups (Sicherungskopien) des gesamten Systems, oder zumindest wichtiger Dokumente zu machen, Teil eines abgesicherten Betriebssystems, damit bei einem Ausfall die Daten möglichst vollständig wieder verfügbar sind. Auch Updates (Aktualisierungen) und Patches (kleinere Fehlerkorrekturen) des Herstellers sollten regelmäßig heruntergeladen und installiert werden. Allerdings gilt es hier durchaus vorsichtig zu sein - gerade bei Microsoft Windows kam es in der Vergangenheit teilweise zur völligen Funktionsunfähigkeit des Systems, nachdem etwa das Service Pack drei für Windows XP installiert worden war.

Für Privatanwender die aus Bequemlichkeit die installierten Programme nicht selbst einzeln auf Updates überprüfen wollen (und die als nervig empfundenen Hinweise deaktiviert haben) gibt es zwar Software, die auf Wunsch des Nutzers eine große Zahl der auf den meisten Rechnern vorhandenen Standardprogramme auf Aktualisierungen prüft (ein so genannter "Software Update Monitor"), allerdings ist die Verwendung nicht unbedingt empfehlenswert, wie man an folgendem Grundsatz sieht:

Als eine der wichtigsten Grundlagen für ein sicheres und stabiles Betriebssystem gilt aber vor allem der Grundsatz, das System so schlank und übersichtlich wie möglich zu halten. Jedes zusätzliche Stück Software erhöht die Komplexität und macht das Ganze somit fehleranfälliger.

Aus diesem Grund sollte immer überdacht werden, ob man eine bestimmte Anwendung wirklich unbedingt benötigt - und selbstverständlich haben gerade diverse "Spaßprogramme" oder gar "Scherzsoftware" nichts auf dem Rechner verloren (einmal ganz abgesehen davon, dass es in Betrieben sicher nicht gern gesehen wird, wenn solch sinnfreie Programme ihren Weg auf den Computer finden). Außerdem handelt es sich dabei nur allzu oft um wahre Virenschleudern.


3. Die Verwendung von Freier und Open Source Software

Wie im weiteren Verlauf dieses Dokumentes immer wieder zu sehen sein wird, sind die größten Risikofaktoren für die Privatsphäre der Benutzer oft weniger irgendwelche Online-Kriminelle, sondern vielmehr große Firmen - seien es nun Microsoft, eBay oder AOL.

Viele dieser Unternehmen (sowohl Webdienst-Anbieter als auch Softwarehersteller) haben ein unangemessenes Interesse an Informationen über die Nutzer ihrer Programme und Dienste.

Das GNU-LogoDaher geht ein großer Teil der Datenspionage auch auf das Konto dieser kommerziellen Anbieter. Somit empfiehlt sich auch aus Gründen der Privatsphäre die Nutzung von Freier Software oder Open Source Software. Bei dieser ist der Quellcode (mit dem sie programmiert wurden) offen zugänglich und auf diese Weise können Änderungen nachvollzogen werden, so dass im Allgemeinen keine Spionagefunktionen zu befürchten sind (Zum wichtigen Unterschied zwischen "Freier Software" und "Open Source Software" sowie deren Lizenzen, findet sich der Artikel "Freie Software und Freie Formate" auf dieser Seite).

Bei Software deren Quellen (Source) nicht offen (open) liegen - wie es besonders bei kommerzieller Software die Regel ist (man spricht deswegen auch von "unfreier" oder "proprietärer" Software) - kann theoretisch alles mögliche in die Software eingebaut worden sein, etwa Anwendungen die dazu dienen sollen, das Nutzungsverhalten des Anwenders auszuspionieren.

Durch den Vorteil der Quelloffenheit und Transparenz, eignet sich Freie Software als auch Open Source Software sehr gut für den professionellen Einsatz im Büro, aber selbstverständlich profitieren auch Heimanwender von der Verwendung quelloffener Programme.

So kann die Nutzung jeweils aktueller Versionen, wenn sie von der Seite des Herstellers heruntergeladen wird, sowohl die Infektion durch Spyware (Spionageprogramme) verhindern, als auch die Freiheit und Unabhängigkeit des Benutzers von monopolistischen Firmen fördern.

Als Nachteile für Freie Software für professionellen Einsatz wird angeführt, dass es anders als bei proprietären Programmen keinen ausreichenden Support gäbe, also Problemlösungen und Hilfe durch Entwickler schwer bekommen zu wären. Diese Aussagen sind nur bedingt richtig.

Zum einen gibt es eine ganze Reihe von proprietären Programmen, die von einem einzigen Entwickler oder nur einer kleinen Gruppe geschlossen programmiert und als so genannte "Freeware" (kostenlose Programme) angeboten werden. In diesem Fall gibt es in der Regel keinerlei Möglichkeit Fehler oder Probleme zu melden. Die Software wird also oft nicht verbessert, oder ist sogar veraltet, was ein Sicherheitsrisiko darstellt.

Im Gegensatz dazu gibt es einige Projekte die im Rahmen der Freien Software von einer großen Zahl von Freiwilligen getragen werden. Hier gibt es kontinuierliche Weiterentwicklung, es werden neue Programmversionen veröffentlicht und zusätzlich ist die Unterstützung in den Foren, Chats und E-Mails im Gegensatz zu vielen proprietären Angeboten oft kostenlos.

Darüber hinaus bieten kommerzielle Unternehmen wie etwa Novell durchweg professionellen Kundenservice.

Mehr Informationen und eine kommentierte Liste mit verschiedenen freien Programmen die unter Microsoft Windows lauffähig sind, finden sich im Kapitel über Freie Software unter Windows.


Dokumentensicherheit in Text und Bild

4. Metadaten - Was Texte und Grafiken verraten

Wie Eingangs bereits gesagt, beginnt das Risiko unbeabsichtigt Informationen über sich oder seine Arbeit weiterzugeben nicht erst im Internet . Bereits beim Verfassen und Abspeichern von Office-Dokumenten oder PDFs (Ebooks) und beim Umgang mit Bilddateien (vornehmlich Bildern von Digitalkameras) kann so manche Lücke in die Privatsphäre gerissen werden.

Solche verborgenen Informationen sollten daher vor der Veröffentlichung (etwa auf einer Webseite) unbedingt entfernt werden. Nun stellt sich natürlich die Frage, wie es überhaupt erst dazu kommen kann.

Schuld daran sind normalerweise nicht einsehbare Dateiinformationen.

Das Geheimnis liegt in den so genannten Metadaten, das sind (ganz einfach) Daten, die Informationen über andere Daten enthalten. Das heißt, dass es innerhalb eines Word-Textes oder einer JPG-Grafik Dateien gibt, die Auskunft geben können - etwa über Autor, Erstellungsdatum, Änderungsdatum, das verwendete Programm und ähnliches mehr. Da sie bereits innerhalb anderer Dateien liegen, werden sie auch nicht als selbstständiges Dateiformat angezeigt.

 4.1 Metadaten in Word-Dokumenten

Für den durchschnittlichen Anwender von Bürosoftware in Privathaushalten ist es meist zunächst eher irrelevant, wenn sich zusätzliche Informationen in Dokumenten finden lassen. So wird der Tatsache, dass im Office-Programm unter "Datei" - "Eigenschaften" vermerkt ist, wann der Brief erstellt, zuletzt geändert und wer als Autor eingetragen wurde, nicht viel Bedeutung beigemessen. Auch dass sich eventuell über die Option "Rückgängig machen" der Bürosoftware geänderte Textpassagen genauer betrachten ließen, klingt zunächst wenig spektakulär. All diese Umstände werden den durchschnittlichen Privatanwender nicht groß stören - in geschäftlichen Angelegenheiten kann das jedoch durchaus interessant sein. Dazu ein kleines Beispiel:

Nehmen wir einmal an, der aufgebrachten Sachbearbeiterin soll glaubhaft gemacht werden, dass das verspätete Antwortschreiben, dass als Mailanhang viel zu spät eingesandt worden war, bereits vorgestern in einer anderen Mail fristgerecht abgeschickt wurde, diese Mail jedoch "rein zufällig" irgendwo im Netz verloren gegangen sein muss. Ist die Dame vom Amt nun clever und wütend genug, wirft sie (wie oben beschrieben) einen Blick in die Dateieigenschaften und entdeckt, das besagtes Antwortschreiben erst heute Vormittag erstellt worden war...upps.Uppsss

Daher stellt sich natürlich die Frage

Sichere Word-Dokumente - Was kann man tun?

Um Texte datenschutzfreundlich weitergeben zu können, sind im wesentlichen zwei Punkte von Bedeutung: Das Programm mit dem das Dokument erstellt wurde und das verwendete Format. In der Regel wird von Windows-Anwendern das Programm Microsoft Word verwendet, das entsprechend oft genutzte Format ist *.doc. Dabei handelt es sich jedoch um eine alles andere als optimale Lösung.

Neben weiteren Nachteilen, die im Kapitel über Freie Formate genannt werden, enthalten Microsoft Word Dateien in der Regel eine Menge persönlicher Daten. Dazu zählen der Name des Verfassers und die Anzahl der vorgenommenen Änderungen, auch lassen sich ganze gelöschte Passagen und Absätze wiederherstellen.

Daher empfiehlt es sich, Dokumente die oft überarbeitet wurden, den gesamten Text vor der Weitergabe an Dritte in eine neu erstellte Datei zu kopieren, so dass Änderungen nicht mehr ohne weiteres nachvollzogen werden können.

Tipp:
Die Verwendung von Open Office org hat in puncto Datenschutz klare Vorteile gegenüber Microsoft Word. Das Programm bietet die Möglichkeit, eventuell unerwünschte persönliche Daten automatisch zu entfernen. Hierzu sind lediglich ein paar einfach vorzunehmende Einstellungen nötig:

Nach dem Start von Open Office.org geht man in der Menüleiste auf "Extras" und wählt dort "Optionen". Im Fenster das sich nun öffnet wird der oberste Menüpunkt "Open Office.org" mit einem Doppelklick geöffnet. Hier wählt man den Unterpunkt "Sicherheit".

Nun setzt man Häkchen vor den Optionen "Persönliche Informationen beim Speichern aus Dateien entfernen", "Speichern oder Senden""PDF-Dateien erzeugen". Mit einem Klick auf "Ok" wird das Fenster wieder geschlossen.

Ab sofort werden die entsprechenden Inhalte automatisch gelöscht.

Direkt vor der Weitergabe empfiehlt sich dann noch der folgende Schritt:

Im geöffneten Dokument auf "Datei" - "Eigenschaften" - Im Fenster das sich dann öffnet im Tab "Allgemein" folgt dann noch ein Klick auf "Löschen" - nun ist das Dokument bereit zum spurenarmen Versand.

Auch lässt sich das Dokument vor unbefugtem Zugriff schützen, indem man es mit einem Passwort versieht. Unter Open Office.org ist auch das bequem über die Funktion "Speichern unter" und einem Häkchen vor "mit Kennwort speichern" möglich. Somit ist zumindest ein Schutz vor unbemerkten Veränderungen des Textes gegeben.

Wer nun die Datenschutz-Vorteile mit einer Beschleunigung von Open Office.org ergänzen möchte und dafür auf Datenbank-Funktionen und Makros verzichten kann, dem ist es möglich durch Deaktivierung des Java Runtime Enviroments die Geschwindigkeit zu erhöhen und so eine kürzere Ladezeit beim Start des Programms zu erreichen. Dazu geht man wie folgt vor: In der Menüleiste auf "Extras", Auswahl von "Optionen". Dort unter "Java" das Häkchen vor "Eine Java-Laufzeit-Umgebung (Java Runtime Enviroment) verwenden" entfernen. Das Programm sollte nun deutlich schneller starten.

Schutz vor Makroviren in Textdokumenten

Textdokument-MakrovirenGanz allgemein gesagt ist es grundsätzlich von Vorteil, wenn Textdokumente, wann immer möglich, nicht im Original Microsoft Office-Format als *.doc, sondern in anderen Alternativformaten gespeichert und weitergegeben werden. Empfehlenswert ist die Verwendung des Rich Text Formats (Datei-Endung *.rtf), da dieses selbst keine Makros enthalten kann. Makros sind ausführbare Dateien die in Texten, z.B. Formatierungen erleichtern sollen, aber gleichzeitig den Text als Datei mit ausführbarem Inhalt zu einem potentiellen Sicherheitsrisiko, in Form von Makroviren machen.

RTF-Dateien sind also wesentlich sicherer, allerdings gibt es auch hier noch eine Einschränkung. Auch wenn eine RTF-Datei an sich keine Makros enthalten kann, gilt das nicht für eventuell in den Text eingefügte Objekte, wie etwa Bilder. In diesen können durchaus noch Makros und damit potentiell Makroviren versteckt sein. Jedoch werden sie nicht sofort beim öffnen der Datei aktiv, wie dies etwa bei Microsoft Word Dateien der Fall wäre, sondern der Benutzer muss explizit auf das eingebettete Objekt klicken. Bedenkt man das, ist *rtf. tatsächlich dem *.doc Format vorzuziehen.

Bei kurzen Texten die keinerlei Formatierung benötigen, kann auch das oft vernachlässigte *.txt Format wieder Verwendung finden. Übrigens sind nach Auskunft von Fachleuten der Firma Gartner die bereits mitgelieferten Bordmittel zur Entfernung von Metadaten von Windows Vista und Office 2003 nicht ausreichend. So werden unter Vista lediglich Kopien des Dokuments benutzt, somit bestehe immer noch die Gefahr versehentlich das Original zu versenden. Office 2003 zeige zwar Metadaten an, diese müssen jedoch von Hand entfernt werden.

Allerdings berichtete 2006 der Computerforensik-Blog, beim Versand per E-Mail würden die Metadaten sehr wohl entfernt. Falls man ganz sicher gehen möchte, empfiehlt sich dennoch die Verwendung eines anderen Programms und anderer Textformate.

Tipp: Ein (eventuell zweisprachiger) Hinweis auf die Bevorzugung von "sicheren" Textformaten beim Dokumentenaustausch, kann beispielsweise in der Signatur oder Fußnote einer E-Mail angebracht werden:

"Textanhaenge nach Moeglichkeit bitte nur im .rtf oder .txt Format senden"

"If possible, please send texts in .rtf or .txt format only"

4. 2 Metadaten in PDF-Dokumenten (Ebooks)

Ähnlich wie Word-Dokumente enthalten auch PDF-Dateien meist allgemeine Informationen über den Autor, den Namen des Programms mit dem sie erstellt wurden, Erstellungs- und Änderungsdatum, sowie eventuelle ergänzende Kommentare. Anders als bei herkömmlichen Texten, kommt man jedoch an diese Informationen nicht ohne weiteres heran. Das es aber doch recht einfach werden kann, zeigt ein Fall aus dem Jahr 2006.

Damals gab das Pentagon einen Untersuchungsbericht über die Erschießung eines italienischen Geheimdienstagenten namens Nicola Calipari heraus (er befreite der im März 2005 die Journalistin Giuliana Sgrena als Geisel aus dem Irak und wurde kurz darauf von US-Soldaten erschossen) Im PDF-Dokument waren Textpassagen geschwärzt worden. In diesem Fall reichte das markieren der geschwärzten Teile und anschließendes kopieren in den Editor aus, um sie im Klartext lesen zu können.

Sicherere PDF-Dokumente – Was kann man tun?

Eine einfache Lösung bietet unter Windows das PDF-Bearbeitungsprogramm PDF Explorer (EN/DE) mit dem sich die Metadaten aus PDFs auslesen und anpassen, bzw. vollständig löschen lassen. Die Seite ist zwar auf Englisch verfasst, während der Installation kann als Sprache jedoch auch "Deutsch" gewählt werden. Seitenanfang


4. 3 Metadaten in Bilddateien

Besonders Fotos, die mit Digitalkameras gemacht und im JPEG-Format gespeichert werden, können Metadaten enthalten. Das gleiche gilt auch für Grafiken im PNG-Format).Diese werden in JPEG-Bildern als so genannte Exif-Dateien gespeichert. Darin enthalten sind unter anderem Informationen wie Kameratyp, Aufnahmedatum, Brennweite und Belichtungszeit, sowie andere Informationen die aber auf den ersten Blick nur für professionelle Fotografen interessant zu sein scheinen.Bild eines Seevogels

Als Beispiel verwende ich an dieser Stelle die Photographie eines Vogels (mit freundlicher Erlaubnis von LgmDan) um zu zeigen, was so alles an Metadaten in einem Digitalfoto versteckt sein kann. Wie gesagt das dürfte recht uninteressant sein, zeigt aber mal die Menge an Daten (selbstverständlich habe ich sie anschließend aus dem Bild entfernt):

      Hersteller: SONY
      Modell: DSLR-A100
      Beschreibung: SONY DSC
      Änderungsdatum: Freitag, 27. April 2007 23:55:13
      Orientierung: unknown (0)
      X-Auflösung: 72/1
      Y-Auflösung: 72/1
      Auflösungseinheit: Inch
      Firmware Version: DSLR-A100 v1.02
      YCbCr-Positionierung: 1

      Kommentar:
      Aufnahmedatum: Freitag, 27. April 2007 23:55:13
      Digitalisierungsdatum: Freitag, 27. April 2007 23:55:13
      Belichtungszeit [s]: 1/500
      Belichtungsprogramm: Normal
      Belichtung: Auto
      Exposure Bias [EV]: 0,0
      F-Nummer: F7,1
      Brennweite [mm]: 300
      35mm-Brennweite [mm]: 450
      ISO-Wert: 100
      Max. Blende: F5,6
      Digitalzoom: Off

      Blitz: Not fired, auto mode
      Messmethode: Multi-Segment
      Gain-Kontrolle: None
      Lichtquelle: Unknown
      Weißabgleich: Auto
      Kontrast: Normal
      Sättigung: Normal
      Schärfe: Normal
      Helligkeit: 9,87
      Farbraum: Uncalibrated
      Objektbereich: 35073
      Dateiquelle: DSC
      Andere Berechnung: Normal

      Szenentyp:
      Aufnahmetyp: Standard
      Bildbreite: 1024
      Bildhöhe: 685
      Komponentenkonf.: YCbCr
      Durchschn. Kompression: 8/1
      EXIF-Version: 0221
      FlashPix Version: 0100
      Kompression: 6
      X-Auflösung: 72/1
      Y-Auflösung: 72/1
      Auflösungseinheit: Centimeter
      YCbCr-Positionierung: 1
      Index: R98
      Version: 0100

Jetzt stellt sich natürlich die Frage;

Warum sind diese Metadaten in Bildern denn nun so sensibel?


Das Problem ist vor allem die Unkenntnis darüber, dass Digitalfotos unfreiwillig mit Metadaten versehen werden, deren Inhalt weder dem Fotografen, noch seinem Modell/Motiv bekannt sind.

Es wird unter anderem das Vorschaubild abgespeichert, wie es vor der Bearbeitung war. Ist etwa ein Portrait zwecks Veröffentlichung im Internet aus einem größeren Foto am PC "ausgeschnitten" worden (sei es ein Gruppenbild oder ein "freizügigeres" Bild), dann ist unter Umständen in der Bildvorschau (die in der Datei enthalten ist) noch das original Gesamtbild zu sehen.

Das gleiche gilt natürlich auch für Unkenntlichmachung/Verfremdung des Gesichts (etwa durch den berühmten "schwarzen Balken" über den Augen). Bei einem Digitalbild im Format *.jpg, könnte somit im gespeicherten Vorschaubild durchaus noch das vollständige Gesicht zu sehen sein (was das etwa für anonyme Informanten von Journalisten oder verdeckte Ermittler bedeuten könnte, dürfte jedem klar sein).

Auch Geländeaufnahmen können problematisch sein. Verschickt etwa der Angehörige einer Spezialeinheit zensierte Aufnahmen aus seinem aktuellen Einsatzgebiet an weitere Stellen und hat dabei etwaig vorhandene Metadaten nicht entfernt, so kann anschließend die vollständige Geländeaufnahme eingesehen werden, was beispielsweise den geheimen Truppenstandort verraten könnte.

Foto-Metadaten
                                                                                   geändertes Foto                                 Foto mit Metadaten

Zuguterletzt enthalten einige Bilder sogar noch zusätzlich GPS-Daten, dass heißt, man könnte genau feststellen, wo dieses Bild aufgenommen wurde. Besonders Foto-Handys haben teilweise die GPS-Funktion aktiv, ohne das dies dem Benutzer bewusst ist. Bei obigem Beispiel während die Auswirkungen fatal, aber auch ohne Geheimagent zu sein, legt man nicht unbedingt Wert darauf, Fremden seinen Aufenthaltsort zu verraten.

Tatsächlich gibt es auch Möglichkeiten, Digitalfotos freiwillig mit GPS-Daten zu versehen. Das klingt für jeden Datenschützer nach Bereitschaft zur Selbstüberwachung, tatsächlich handelt es sich dabei um ein beliebtes Hobby. So gibt es selbstverständlich Software, mit der ein Benutzer problemlos GPS-Daten in seine Bilder importieren kann. Das macht er jedoch nicht nur um sie etwa nach genauem Aufnahmeort zu sortieren - der ambitionierte Hobby-Fotograf nutzt diese Programme um seine Aufnahmen auf Online-Weltkarten den Standort der Aufnahmen markieren und präsentieren zu können.

Zu diesen Programmen gehört beispielsweise die Microsoft Pro Photo Tools, die zur Lokalisierung den Dienst MSN Virtual Earth verwenden. Auf der Photokina 2008 wurde eine noch einfachere Möglichkeit der Ortung vorgestellt: Ein Gerät, das mit der Kamera verbunden über einen GPS-Senderdie nötigen Daten erfasst. Mit der entsprechenden Software lassen sich dann die gespeicherten GPS-Daten abrufen und speichern. Laut Herstellerangaben gehören hierzu Land, Ort Straße und ggf. die  nächstgelegene Sehenswürdigkeit.

Zusammenfassend muss man leider feststellen, dass der "Trendsport" der sich"Geo-Tagging", "Geo-Mapping" etc nennt das Risiko birgt, die Privatsphäre des Fotografen empfindlich zu verletzten, vor allem gilt dies natürlich für den Fall, dass diese Bilder in die falschen Hände geraten. Das scheint den meisten der Geo-Mapping Freunde egal zu sein - schließlich versehen sie ihre Photos bewusst mit diesen Daten, hier kann von Unkenntnis keine Rede sein.

Sichere Bilddateien – Was kann man tun?


Auch hier ist die einfachste Lösung ein kleines Programm, in diesem Fall stehen unter Microsoft Windows sogar zwei empfehlenswerte Programme zur Auswahl. Wer vor dem Löschen wissen will, welche Informationen in dem Bild vorhanden sind, kann hierfür das Programm Exifer (DE) verwenden und es kostenlos von der deutsch/englischsprachigen Webseite von Exifer herunterladen. Das Programm ist leider proprietär und wird nicht weiterentwickelt. "Aktuelle"  (2002) Versionen müssen aber nicht mehr per Postkarte registriert werden.

Wer lediglich eine schnelle Möglichkeit sucht die Exif-Dateien aus Bildern in den Formaten *.jpg und *.png zu entfernen, der ist auch ohne der englischen Sprache mächtig zu sein mit dem spartanischen JPEG&PNG Stripper (EN) gut bedient: Einfach das Bild in das Fenster des Programms ziehen und schon werden die Metadaten (so vorhanden) entfernt. Das wirkt sich auch auf die Dateigröße aus.

Unter GNU/Linux wird ebenfalls kein besonders komplexes Programm hierfür benötigt - so bietet etwa der Foto-Manager Digikam (EN) bereits standardmäßig Funktionen zum editieren von Exif-Dateien. Noch sparsamer kommt jhead aus, das auf der Kommandozeile/Terminal eine entsprechende Funktion bietet und keinerlei grafische Oberfläche benötigt (Befehl zum löschen von Exif-Daten: jhead -purejpg Dateiname.jpg).

Neben dem Datenschutzaspekt hat das ganze noch einen weiteren Effekt: Durch die Entfernung von Metadaten verringert sich die Dateigröße. Dabei handelt es sich zwar nur um wenige Kilobyte (KB), bei Webseiten mit einer hohen Anzahl von Fotos kann es sich dennoch positiv auf die Ladezeit der Seite auswirken, wenn die Bilder auf diese Weise "geschrumpft" werden. .

Zusammengefasst lässt sich also sagen: ein "Datenschutz Bild" ist ein Bild ohne Metadaten - doch lassen sich die Daten vor ihrer Löschung sogar noch zu einem kleinen Vorteil nutzen. So löst ein beifällig geäußerter Satz wie

"Dein Urlaubsfoto wurde mit einer Canon PowerShot A610 aufgenommen - nicht wahr?"


nicht nur Staunen aus, sondern bietet (neben großen Augen und dem amüsanten Verblüffungseffekt) auch einen guten und lockeren Gesprächs-Einstieg um Bekannte und Freunde für das Thema Datenschutz zu sensibilisieren.  Seitenanfang

 


Sicherheit und Passwörter

5. Passwörter - sicher gewählt, einfach zu merken

Der Gebrauch von Passwörtern ist praktisch Teil jeder Dokumentation zum Thema Datensicherheit. Daher werde ich an dieser Stelle nur kurz darauf eingehen. Dass Namen von Personen und Orten oder einfache Begriffe nicht als Passwort verwendet werden dürfen, sollte jedem klar sein. Versionen wie etwa "g3b4u1" ("gebaut") mögen originell sein - wirklichen Schutz bieten sie jedoch auch nicht.

Wie wichtig sichere Passwörter und deren Geheimhaltung sind, zeigte ein Bericht des Fernsehmagazins "Report München" vom 23.06.2008. Dort wurde berichtet, dass eine Softwarefirma, deren Programme in den Einwohnermeldeämtern von etwa 200 Gemeinden verwendet wurden, die überall gültigen Zugangsdaten für die Datenbanken auf ihrer Webseite veröffentlicht hatte.

5.1 Gebrauch sicherer Passwörter

Ein sicheres Passwort ergibt sich aus Länge und Aufbau. Je nach Verwendungszweck sind Passwörter unterschiedlich lang. So wird etwa für effektive Verschlüsselung von Festplatten eine Mindestlänge von zwanzig Zeichen empfohlen. Im Alltag, etwa für E-Mails und Instant Messaging sind diese meist deutlich kürzer - dennoch gibt es auch hier einiges zu beachten.Notizuch mit Schloss

Aus diesem Grund gelten Grundregeln für sichere Passwörter: Ein Passwort für den täglichen Gebrauch ist mindestens achtstellig, besteht aus einer Kombination von Groß- und Kleinschreibung, Umlauten sowie Zahlen und Sonderzeichen. In manchen Fällen sind keine Umlaute oder Sonderzeichen erlaubt - die übrigen Regeln behalten jedoch weiterhin ihre Gültigkeit.

Wie kann man sich sichere Passwörter merken? Eine der einfachsten und zugleich sichersten Methoden ist die Bildung von Sätzen und deren Abkürzung. Das sind dann etwa wie folgt aus:

"zwei ganz enge Freunde werden fünf bösen Kerlen übel eins verpassen" -> 2geFw5böKü1v

So ist es auch möglich sich längere Passwörter einfach zu merken. (Durch Verwendung als Beispiel ist dieses Passwort natürlich als kompromittiert anzusehen)

 Ein solches Passwort ist relativ sicher vor so genannten "Brute-Force-Angriffen", bei denen mit elektronischen Wörterbüchern alle möglichen Begriffe aus verschiedenen Sprachen ausprobiert werden, um so das Passwort zu "erraten". An sich selbstverständlich wird an dieser Stelle noch einmal darauf hingewiesen: Die Änderung von voreingestellten Standardpasswörtern wie sie "ab Werk" ausgeliefert werden, ist sowohl für Unternehmen, als auch für sicherheitsbewusste Privatpersonen absolute Pflicht.

Gelegentlich finden sich sls Sicherungsmaßnahme entweder als Ersatz oder als Ergänzung zu einem Passwort manchmal auch Sicherheitsabfragen. In diesen Fällen sollen Fragen beantwortet werden, deren Antworten nur eine vertrauenswürdige Person kennen kann. In der Regel sind aber Passwörter verschiedener Art nach wie vor das Mittel der Wahl wenn es um die Sicherheit von vertraulichen Daten geht.

In einigen speziellen Fällen benötigt man jedoch stattdessen eine Passphrase (auch Mantra genannt). Dabei handelt es sich um einen längeren Zeichensatz, der genau wie ein Passwort verwendet wird. Für die Erstellung eine Passphrase empfiehlt es sich, keine kurzen Redensarten wie "Eile mit Weile" als Grundlage zu benutzen - ein länger "Satz" ist hierbei quasi Pflicht (sonst könnte man auch gleich nur ein Passwort nehmen). A

An manchen Stellen wird empfohlen als Passphrase tatsächlich ein Realsatz-Mantra einen verständlichen, realen Satz zu wählen. Dieser sollte jedoch nicht zu einfach sein und die Verwendung ungewöhnlicher Worte, etwa aus einer Mundart, sowie vorsätzliche "Schraibvehler" können bedingt sinnvoll sein um das Erraten eines Realsatz-Mantra zumindest für Menschen zu erschweren.

Ein Realsatz-Mantra könnte also beispielsweise lauten: "Da hobn die zwoa  Buba aber heftig gsuffa"

In der professionellen Praxis ist ein Mantra bzw. eine komplexe Passphrase jedoch eine besonders lange Form des Passworts, für das alle oben genannten Regel in vollen Umfang gelten. Ein Unterschied zum normalen Passwort ist neben der Länge  die Verwendung von Leerstellen, wie bei einem realen Satz.

Eine komplexe Passphrase könnte also etwa so aussehen: wHä! gew94Z 50q9t? "M3göy28

Solch eine Passphrase scheint unmöglich zu merken zu sein - schreibt man sie jedoch oft genug, bleiben selbst komplexe Zeichenfolgen (obige hat 27 Stellen) im Gedächtnis. Dann ist es zuguterletzt eben nur noch eine Frage der Bequemlichkeit und des Zeitaufwands (sowie den Bedingungen die vom Programm oder der Webseite an Länge und Sonderzeichen gestellt werden).

Soviel zur Erstellung sicherer Passwörter - ebenso wichtig wie die sichere Erstellung ist jedoch auch der sichere Gebrauch von Passwörtern. Auch wenn es praktisch und bequem ist, kann von der gängigen Praxis Passwörter zu speichern (etwa zum automatischen Start von Messengern) nur abgeraten werden.

Das Risiko durch einen Keylogger (Schadprogramm das Tastatureingaben protokolliert um so an sensible Daten wie etwa Kennwörter für Online-Banking) unbeabsichtigt Passwörter preis zugeben ist nach meiner Ansicht geringer, als sie durch Speicherung für Programme zu gefährden.

Selbstverständlich gibt es davon abweichende Meinungen - es sei durchaus möglich Passwörter sicher zu speichern. So bietet unter anderem auch der Mozilla Firefox die Möglichkeit, ein so genanntes Master-Passwort zu verwenden. Dabei handelt es sich um eine Art Hauptpasswort dass es zu knacken gilt, bevor man an die eigentlichen Passwörter (etwa für Foren-Logins) gelangt. Hat der Benutzer viele verschiedene Passwörter die er sich merken muss, gibt es für diesen Zweck entsprechende Programme zur Verwaltung von Passwörtern, wie etwa die Freie Passwort-Software KeePass (EN/DE).

Wer jedoch sein zwölfstelliges komplexes Passwort aus Buchstaben, Zahlen und Sonderzeichen mit einem Post-It Klebezettelchen unter seiner Schreibtischablage versteckt, dem ist natürlich auf keine der oben genannten Arten zu helfen.

5.2 Gültigkeitsdauer von Passwörtern


Wie lange Passwörter unverändert bleiben sollen, darüber gibt es verschiedene Ansichten. Manche Sicherheitsexperten schlagen mindestens eine halbjährliche Änderung vor, in manchen Unternehmen werden bestimmte Passwörter bisweilen wöchentlich gewechselt. Welche Vorgehensweise ist also empfehlenswert?

Sehr komplexe Passwörter in kurzen Abständen zu ändern bringt weniger Sicherheitsgewinn als vielleicht gedacht. Das auswendig lernen eines komplizierten Passworts, das wenige Wochen später durch ein anderes ersetzt wird, frustriert den Anwender. Als Folge davon wird er dazu tendieren, zunehmend einfachere Passworte zu wählen - auf diese Weise gefährdet er jedoch die Sicherheit des Systems.

Die beste Lösung dürfte also ein Mittelweg sein: Hauptpasswörter sollten möglichst komplex sein und können über längere Zeit beibehalten werden. Die Gültigkeitsdauer untergeordneter Passwörter kann dagegen auch kürzer sein, dennoch sollten natürlich auch hier die Grundregeln beachtet werden.

Welche Daten als besonders "schützenswert" gelten und daher durch das Hauptpasswort gesichert werden ist natürlich unterschiedlich. Während in einigen Fällen lediglich besonders sensible Verzeichnisse oder Ordner mit langen Passphrasen geschützt werden, sicheren andere bereits die ganze Festplatte mit einem Mammutpasswort.

Tatsächlich hat ein Bekannter einmal seine gesamte Festplatte zunächst verschlüsselt und anschließend mit einem 26-stelligen Passwort gesichert. Zu seinem Pech vergaß er im Trubel seines Umzugs dieses Passwort und entsorgte die Festplatte schließlich als Elektroschrott.

Ein letzter Punkt zum Thema Passwörter und Zugangsdaten allgemein, sollen Methoden sein, bei denen der Benutzer von sich aus sensible Daten preisgibt, Dieses Risiko ist seit langem bekannt - nicht umsonst  ist die Aussage "Das größte IT-Sicherheitsrisiko sitzt vor dem Computer" nach wie vor populär. Wer sich nun fragt wie leichtgläubig jemand sein muss, der freiwillig Passwörter und ähnliches Preis gibt, der sollte sich mit den entsprechenden Methoden vertraut machen.

Die Sicherheitsrisiken von denen hier die Rede ist, nennen sich


5.3 Social Engineering, Social Hacking und Phishing.

Social Hacking SymbolDie Gefahr eines Passwortdiebstahls beginnt nicht erst im Netz und allen drei Methoden ist gemein, dass die Gefährlichkeit dieser Art des Angriffs meist völlig unterschätzt. Waren früher  In der Regel vor allem Unternehmen betroffen, so sind mittlerweile längst auch Privatanwender Ziele, weshalb es auch von Vorteil für sie ist, dieses Risiko zu kennen.

Ursprünglich bedeutete Social Engineering (im übertragenen Sinne "Sozialtechnik") dass jemand durch Vorgabe falscher Informationen und Position (er gibt sich etwa als Mitarbeiter der Telekom aus) und geschickte Gesprächstechnik den Gegenüber manipuliert und dazu verleitet, sensible Daten (hauptsächlich Passwörter) zu verraten.

Ich selbst habe diese Technik einmal ausprobiert und bin so innerhalb einer Stunde in Besitz eines Skype Passwort gelangt (selbstverständlich habe ich die verblüffte Testperson anschließend darüber aufgeklärt und sie dazu veranlasst sofort ihr Passwort zu ändern). Zwinkern

Diese Methode an Passwörter zu gelangen hat sich gegenüber den oben genannten "Wörterbuch-Angriffen" als weitaus erfolgreicher erwiesen. Ein wahrer Meister in dieser Kunst war David Mitnick, ein Ex-Hacker, der nun eine Firma für Sicherheitsberatungen führt und Bücher zu diesem Thema geschrieben hat.

Allerdings entwickeln sich natürlich auch hier die Methoden weiter und damit auch die Definitionen.

So führte der Sicherheitssoftware-Anbieter Trend Micro in seinem Sicherheitsbericht für das Jahr 2008 das Social Engineering als Hauptursache für kritische Sicherheitsprobleme an. In diesem Fall wird unter diesem Begriff aber jede Art von Täuschungsmanöver mit "Überzeugungscharakter" verstanden.

Dazu gehört auch die als "Phishing" bekannte Methode, bei der versucht wird den Benutzer durch fingierte E-Mails auf eine manipulierte Webseite zu locken und ihn dort zum Download einer bestimmten Software zu "überreden". Die Themen von Phishing-Mails sind in der Regel so ausgelegt, dass sie - ähnlich wie etwa beim telefonischen Social Hacking - eine Handlung des Opfers erfordern. Dazu gehören beispielsweise:

*E-Mails mit Meldungen über Sicherheitslücken (mit Link zu einer Webseite auf der sich die vermeintliche "Sicherheitssoftware" herunterladen lässt, bei der es sich natürlich um Schadprogramme handelt).

*Drohungen in Form von Rechnungen, Mahnungen oder Strafbefehlen (etwa dass man anhand seiner IP beim Filesharing mit illegal heruntergeladenen MP3s identifiziert worden sei und nun das Textdokument im Anhang der Mail öffnen müsse).

*Dramatische Nachrichtenmeldungen (Diese sollen die Neugier des Empfängers ausnutzen, indem Behauptungen aufgestellt werden wie etwa"Politiker XY schickt Waffengeschenke an Kriminellen YX". Der Link in der E-Mail verweist auf eine Webseite auf der das angeblich so bedeutende Video zu sehen sein soll. Dort wartet stattdessen die Meldung, um das Video abzuspielen müsse man noch folgende Datei herunterladen und installieren...)

Damit ist Phishing also letztlich nichts anderes als die elektronische Form der Telefon-Lügengeschichte - mit dem Unterschied, dass Phishing-Mails sehr allgemein gehalten sind und nicht auf eine einzelne Person und ihre Schwächen eingehen können. In diesem Punkt ist es daher dem klassischen Social Hacking unterlegen.

Auf dem Prinzip des Social Engineering funktioniert auch der Einsatz von Scare-Ware - ("scare" = Schrecken). Hierbei simulieren entsprechend präparierte Webseiten realistisch aussehende Alarmmeldungen von Virenscannern, die dem Surfer suggerieren, sein Rechner sei von besonders bösartigen Schädlingen befallen. Ein Link zu einer Webseite auf der entsprechende Anti-Virus-Software heruntergeladen werden kann findet sich "praktischerweise" ebenfalls in der Warnung.

Was nun nach diesem ersten Schrecken geschieht, hängt von der Absicht des Kriminellen ab die er mit der Scareware verfolgt.. So kann - man ahnt es bereits - der vermeintliche Virenscanner selbst trojanische Pferde und andere Schadprogramme enthalten. Allerdings kann auch eine Registrierung zum Download der "Schutzsoftware" erforderlich sein - im Kleingedruckten findet sich dabei der Hinweis, dass gleichzeitig ein mehrmonatiger Vertrag mit extrem hohen Beiträgen geschlossen wird.

Die beste Methode zur Abwehr von Social Engineering, egal ob es sich nun um Telefongeschichten, Phishing E-Mails oder Scareware handelt,  ist das strikte befolgen der Devise  "Trust noone" (Vertraue niemandem). Kein seriöses Unternehmen wird seine Kunden dazu auffordern aus Wartungsgründen oder aufgrund eines angeblich bestehenden Sicherheitsproblems irgendwelche sensiblen Daten zu übertragen - schon gar nicht per E-Mail.

Aus diesem Grund sollte es klar sein, dass weder Passwörter noch sonstige Zugangsdaten per E-Mail oder Telefon an angebliche Mitarbeiter irgendeines Unternehmens weitergegeben werde. Auch Hinweisen, man solle aus verschiedenen Gründen eine bestimmte Software installieren sollte man nicht unreflektiert Folge leisten. Kommt man in Einzelfällen zu dem Schluss, das geschilderte Problem könnte tatsächlich bestehen, empfiehlt sich eine entsprechende Rückfrage.

Dabei sollten die Kontaktdaten (wie etwa die E-Mail) unbedingt aus einer neutralen Quelle wie dem Telefonbuch gezogen werden. Das ist wichtig, da geschickte Betrüger zwar reale Postangaben machen, die E-Mail jedoch gefälscht ist, damit weitere angebliche "Mitarbeiter" versichern können, es sei alles in Ordnung.

Zum Abschluss des ersten Kapitels möchte ich noch auf eine besonders effektive Sicherheitsmaßnahme hinweisen:


 Sicherheits-Software - was sie kann und was nicht

Auch wenn es auf dieser Webseite primär um Datenschutz geht, so kommt man, gerade auch in Büros und an privaten Arbeitsplätzen nicht um das Thema Sicherheit herum. Daher wird an dieser Stelle und zum Abschluss dieses Kapitels, auch noch auf dieses Gebiet ein kritischer Blick geworfen.

Das Angebot an Sicherheits-Software, die den PC schützen soll ist praktisch unüberschaubar. Neben dem mehr als umfangreichen Angebot an Virenscannern, Anti-Spionage-Programmen und Firewalls, gibt es mittlerweile spezialisierte Trojaner-Aufspürer und Anti-Hacking-Tools. Eines haben diese Programme aber alle gemeinsam - sie sind ein zusätzliches Stück Software auf der Festplatte und destabilisieren somit das System. Zudem zahlt man für einige davon sogar bares Geld für Lizenzen usw.

Doch was ist dran, an dem versprochenen Rundumschutz?

6.1 (Un-)Sicherheit durch Virenscanner

Grundlegendes Problem bei allen gebräuchlichen Virenscannern ist, dass sie prinzipiell keinen effektiven Schutz bieten können. Das liegt neben der Funktionsweise, auch an den Erwartungen der Benutzer (deren Erwartungen durch die Versprechen der Hersteller dieser Software natürlich bestärkt werden).

Anti Virenscan LogoZunächst einmal kann ein Virenscanner nur die Schädlinge entfernen die er erkennt. Allerdings nimmt die Zahl an Computerviren und Schadprogrammen derart schnell zu, dass selbst ein Virenscanner der sich stündlich aktualisiert niemals auf dem neusten Stand sein kann. Dazu kommt, dass viele Schädlinge, sind sie erst einmal auf dem Rechner, den Virenscanner gezielt blind gegenüber weiteren Viren machen. Das alles führt dazu, dass ein Virenscanner niemals eine effektive Sicherheitsmaßnahme ist.

Dem Benutzer wird aber genau das versprochen. Garantien wie etwa, "professionellen Rundumschutz" zu bieten, sind nicht das Papier Wert auf dem sie gedruckt sind. Leider führen sie dazu, dass sich der Computer-Anwender völlig auf sein scheinbares "Schutzprogramm" verlässt und relativ unbedarft mit Dateien umgeht, die er aus dem Internet, oder von Freunden erhalten hat.

Dieses naive Vertrauen in die Unfehlbarkeit von Antiviren-Programmen, ist es auch, das es gewitzten Kriminellen ermöglicht, wie oben beschrieben mit Scareware Schaden anzurichten, da der Benutzer der ungerechtfertigten "Autorität" des Virenscanners vertraut.

Ebenso bedauerlich wie tröstlich ist, dass der Irrtum, Virenscanner würden effektiven Schutz bieten, längst nicht nur von Computer-Anfängern begangen wird. Diverse Artikel in Computer-Zeitschriften vertreten ebenfalls diesen irrigen Standpunkt (was zumindest teilweise auf Werbeeinnahmen durch Virenscanner-Firmen zurückzuführen sein mag). Jedoch sind selbst ausgewiesene IT-Experten nur allzu oft vom Grundsatz Virenscanner = Sicherheit überzeugt.

Einen Vorteil von Virenscannern gibt es jedoch zugegebenermaßen: Meldet der Virenscanner einen Fund und schlägt Alarm, weiß selbst der unerfahrene Nutzer, dass es ein Problem gibt - und höchstwahrscheinlich noch mehr Schädlinge auf der Festplatte sind, als der Scanner finden und löschen kann.

Nach Ansicht des Autors gibt es nur eine einzige Maßnahme von der man annehmen kann, dass sie den Virenbefall beendet - unter Microsoft Windows ist dies die Eingabe des Befehls format C:/ - die komplette Formatierung der Festplatte, wobei das vollständige Betriebssystem entfernt wird und alle Daten (inkl. Viren) verloren gehen. Nun, zumindest sind sie nicht allzu leicht wiederherzustellen. Mit entsprechenden Mitteln ist dies durchaus möglich, jedoch in der Regel zu aufwendig für den Heimanwender und in einem solchen Fall ja auch nicht wünschenswert. Zwinkern

6.2 Das Risiko von Personal Firewalls

Auch dieser Satz mag verunsichern, finden sich in diversen Computer-Zeitschriften und Internet-Foren immer wieder der Hinweis, man solle unbedingt eine Personal Firewall (PFW) verwenden - und auch hier bietet der Markt alles mögliche - unter Namen wie ZoneAlarm, Kerio und Norton finden sich kostenpflichtige und kostenlose Programme (wobei die Kaufversionen natürlich noch besonders "sichere" Funktionen versprechen).

In der Realität sieht jedoch auch hier einiges anders aus, an dieser Stelle wird die Kritik auf einige, für den Laien verständliche Punkte beschränkt.

Eine Personal Firewall macht, besonders wenn sie auf Microsoft Windows läuft, das System prinzipiell unsicherer - schon alleine durch die Tatsache, dass sie überhaupt auf dem Rechner installiert ist. Denn an erster Stelle ist eine Personal Firewall eine zusätzliches Programm auf dem Computer. Jede Software die zusätzlich installiert wird, macht das bestehende System komplexer und damit fehleranfälliger, besonders wenn man bedenkt, dass jede Software auch Programmierfehler haben kann, die dann zusätzliche Schwachstellen schaffen, die es vorher nicht gab.

Tatsächlich gibt es einige Schädlinge, die sogar gezielt auf die Schwachstellen von Personal Firewalls zugeschnitten sind. Auch in diesem Fall gilt: Hätte man diese Software nicht auf dem Rechner, hätte man ein Problem weniger.

Ein weiterer Minuspunkt dieser "Sicherheitssoftware" ist die fehlende Vertrauenswürdigkeit der Software. In der Regel ist eine Personal Firewall genau so proprietär (closed-source) wie Windows selbst, was bedeutet, der Benutzer weiß weder was in seinem Betriebssystem läuft, noch was die Firewall genau macht.

Außerdem kann keine Firewall das halten, was von ihren Marketing-Genies versprochen wird. Prinzipiell kann eine PFW nur eingehende Verbindungen effektiv prüfen - ist etwa ein Spionageprogramm erst einmal auf dem Rechner, ist auch die Personal Firewall, die ja selbst auf dem infizierten System läuft, wirkungslos. Die betreffende Spyware kann dann problemlos "nach Hause telefonieren" und Daten nach außen senden.

Dagegen sind viele "Angriffe" die von so mancher Firewall mit dramatischem Hinweisfenster und Signalton gemeldet werden, schlicht und einfach normaler Internetverkehr und Datenaustausch. Der Benutzer wird also ohne jede Veranlassung durch die harmlose Übertragung von Daten im Internet in Angst und Schrecken versetzt - oder er erfreut sich seiner sorgenlosen "Sicherheit", zeigt doch die Statistik der Firewall, wie viele Angriffe bereits erfolgreich abgewehrt wurden.

Zuguterletzt wird der Computer durch den Betrieb einer völlig überflüssigen Personal Firewall unnötigerweise einer Dauerbelastung ausgesetzt, was sich an der Auslastung des Systems und dessen verlängerten Reaktionszeit bemerkbar macht.

6.3 Die Lösung - Verwendung der besten Sicherheits-Software

Neben diesem heftig beworbenen und oft kommerzialisierten Angebot an nutzloser Software, gibt es jedoch ein kostenloses Open Source Produkt, das (quasi als regelrechter "Geheimtipp"), von allen führenden Hackern und unabhängigen Sicherheitsexperten empfohlen wird und dessen Wirksamkeit auch in professionellem Einsatz absolut unbestritten ist. Mit Hilfe dieser Software verhindert man bereits im Voraus die Infektion durch Viren, hält Trojaner und Würmer fern, schützt sich vor Spyware - und härtet somit letztlich das ganze System.

Diese Software nennt sich - Brain.exe (DE) - die aktuelle deutsche Version ist Gehirn 2.0.

Etwas ernsthafter betrachtet heißt das "Denken kommt vor klicken". Wer seinen Verstand benutzt und sich vorher überlegt, welche Programme er wirklich benötigt, welche E-Mail er öffnet und auf welchen Link er klickt, tut mehr für die Sicherheit seines Systems und zur Wahrung seiner Privatsphäre, als dies eine Software jemals könnte.
Seitenanfang


Logo der CC Lizenz
Dieses Werk von zazengate steht
unter einer Creative Commons Lizenz.