Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

November 2012 untersuchte das Bundesamt für Sicherheit in der Informationstechnik die Wirksamkeit ihrer eigenen Empfehlungen. Kurzerhand setzte man einen PC , auf dem Windows  7 installiert war, einhundert tagesaktuellen Websites aus, die über Drive-by-Download versuchten, den Computer mit einer Schadsoftware zu infizieren. Drive-by-Angriffe sind übrigens eine aktuell sehr verbreitete Methode, um Schadprogramme ohne Kenntnis des Anwenders und ohne Nutzerinteraktion zu installieren und auszuführen. In der Regel genügt der Besuch einer Website, um das System mit Schadsoftware zu infizieren. Das Ergebnis des BSI : In sechsunddreißig von den hundert Fällen wurde der Rechner gekapert; er war also erfolgreich infiltriert worden. Dieselben Websites wurden dann ein zweites Mal besucht, allerdings mit einem Computer, der zwar auch mit Windows  7 betrieben, aber unter Beachtung der Sicherheitsempfehlungen des Bundesamts eingerichtet wurde. Das jetzige Resultat: keine Infektion.
    Die Empfehlungen des BSI sind weder kompliziert noch teuer. Sie beziehen sich auf die Verwendung eines alternativen Browsers (Google Chrome anstelle einer Internet-Explorer-Version), eine andere Variante von Adobe Acrobat Reader und Adobe Flash Player, auf das Deaktivieren von Java Runtime und den Einsatz eines beschränkten Nutzerkontos anstelle eines mit administrativen Rechten. [29] Dazu die jeweiligen Updates sowie ein aktueller Virenscanner.
    Im privaten Umfeld kann zudem die Auswahl des Betriebssystems die Sicherheit erhöhen, denn unter Linux und Mac OS gibt es zwar ebenfalls Sicherheitslücken, aber die Schädlinge haben einen viel geringeren Verbreitungsgrad. Das liegt daran, dass sich mit Masse Geld verdienen lässt. Einen Schädling für ein Betriebssystem zu programmieren, das weltweit nur rund acht Prozent der Internetnutzer verwenden, ist weniger lukrativ, als einen Schädling für ein Microsoft-Betriebssystem zu entwickeln, das immerhin einen Marktanteil von immer noch fast 90  Prozent hat. Gegen einen gezielten Angriff schützt die Auswahl des Betriebssystems freilich nicht – Profis dringen in jedes Betriebssystem ein. Aber gegen die Wald- und Wiesenangriffe, die in großer Anzahl stattfinden, verbessert die Auswahl die Situation erheblich.
    Die zweite Stolperfalle sind die schon mehrfach erwähnten Passwörter. Die sind leicht zu erraten, wenn sie nach der Erstinstallation nicht geändert werden und dem Auslieferungsstandard entsprechen. Das hört sich nach Binsenweisheit an, aber leider ist es oft die Missachtung genau dieser kleinen Dinge, die zu großen Sicherheitslücken führt. Zu viele Nutzer ändern das Standardpasswort nicht oder schützen ihr E-Mail-Konto durch Passwörter wie
Winter
. Dabei ist es gar nicht so schwierig, gute Passwörter zu kreieren, die man sich auch merken kann.
8 tungbiW 13
würde ausgesprochen bedeuten: «Achtung, bald ist Wiesn (das Münchner Oktoberfest) 2013 .» In Ordnung, ertappt, das Buch entstand im Sommer 2013 ! Aber was soll’s. Man weiß, was gemeint ist.
    Für Geheimdienste, Kriminelle und andere Hacker ist der Zugang zum System häufig nur der erste Schritt. Interessant sind die Daten, die auf den Festplatten lagern, das Kommunikationsverhalten oder die Passwörter, die das System speichert. Sensible Daten sollten auf der Festplatte verschlüsselt abgelegt werden, denn selbst wenn sie gestohlen werden, bleiben sie für den Angreifer wertlos. Dazu eignen sich Open-Source-Werkzeuge wie TrueCrypt oder kommerzielle Verschlüsselungsprodukte. Ähnliches gilt für den E-Mail-Verkehr. Möchte man vertrauliche Dinge vertraulich halten, hilft auch hier nur eine Verschlüsselung, die mit Programmen wie Open PGP oder GNU Privacy Guard einfach und effektiv möglich ist.
    Seit den öffentlichen Diskussionen um die Abhörmethoden der amerikanischen und britischen Geheimdienste boomen in deutschen Städten sogenannte CryptoPartys. Auf diesen nicht-kommerziellen Veranstaltungen darf man allerdings weder laute Musik noch Tanz oder ausgelassen feiernde Menschen erwarten. Es sind Treffen, zu denen man den eigenen Laptop mitbringt und die zum Ziel haben, einer breiten Öffentlichkeit mit Hilfe von Vorträgen und Workshops zu zeigen, wie man Verschleierung und Verschlüsselung am Computer praktisch einsetzt, auch ohne ein IT -Experte zu sein. Die dazugehörigen Werkzeuge werden ausführlich erklärt und unter Hilfestellung am persönlichen Computer installiert.
    Zahlreiche Passwörter geknackt: