Internet Security

So sind Sie sicher im Netz

05.12.2017 von Fahmida Y. Rashid und Serdar Yegulalp
Um online sowohl sicher als auch produktiv zu bleiben, sollten Sie weise Entscheidungen treffen und geeignete Maßnahmen ergreifen. Wir verraten Ihnen, wie Sie Ihr Risikolevel bestimmen und welche Security-Maßnahmen Sie ergreifen können, um im (Arbeits-)Alltag sicher im Netz unterwegs zu sein.

Das Internet kann ein beängstigender Ort sein. Bedrohungen treten hier in vielerlei Gestalt in Erscheinung und lauern praktisch an jeder Straßenecke. Und das IT-Security-Ratschlags-Korsett von gestern (seltsame Webseiten und illegale Aktivitäten vermeiden, nur mit Leuten interagieren die man persönlich kennt) ist heutzutage ebenfalls nicht mehr haltbar.

Die Phishing Mails kommen von vermeintlichen Familienmitgliedern, die Spyware lauert in Original-Apps und bekannte Webseiten werden mit Schadcode infiziert. Um sich sicher im Netz bewegen zu können, braucht es ein neues Regelwerk, das der aktuellen Bedrohungslage gerecht wird.

Sind Sie gegen die Gefahren der Onlinewelt gewappnet?
Foto: jamesteohart - shutterstock.com

Insbesondere, wenn man bedenkt, wie groß der Teil unseres Lebens ist, der sich mittlerweile online abspielt: Kommunikation, finanzielle Transaktionen, Unterhaltung, Arbeit und Bildung - um nur einige Bereiche zu nennen. Da kann es sich durchaus lohnen, sich wenigstens ein paar Tricks für sicheres Webbrowsing anzueignen. Oder für den Umgang mit E-Mails. Schließlich ist dieses Kommunikationsmittel heute bei Hackern das beliebteste, um Malware und Exploit Kits auf breiter Basis zum Einsatz zu bringen.

Wir geben Ihnen im folgenden Text eine Online-Sicherheitsstrategie an die Hand. Diese stellt heraus, welche Maßnahmen Sie zum Schutz Ihrer Daten und Identität im Internet ergreifen können, ohne dabei an Produktivität einzubüßen.

Zum Video: So sind Sie sicher im Netz

Bestimmen Sie Ihr Bedrohungsprofil

Angesichts des Threat-Overkills mag es verlockend erscheinend, die Schotten einfach dicht zu machen. Aber wie im echten Leben, ist Abschottung auch in Sachen Internet Security keine Lösung. Die Herausforderung besteht darin, die Sicherheitsmaßnahmen und -vorkehrungen so auszubalancieren, dass ein Maximum an Produktivität erhalten bleibt. Um beispielsweise maliziöses JavaScript zu vermeiden, könnten Sie dieses über die Browser-Einstellungen einfach deaktivieren. Dann wäre aber praktisch das halbe Netz nicht mehr benutzbar. Oder haben Sie schon mal versucht, Gmail mit deaktiviertem JavaScript zu nutzen? Seien Sie versichert: Das ist kein Spaß.

Jeder von uns nutzt das Internet auf unterschiedliche Art und Weise. Das Risiko, dem wir dabei ausgesetzt sind, wächst oder schrumpft dabei mit Standort, Zeit und Tätigkeit. Die Schutzmaßnahmen, die beispielsweise Sicherheitsforscher ergreifen, unterscheiden sich dramatisch von denen eines "normalen" Privatnutzers, der Facebook nutzt, E-Mails schreibt und Inhalte über Netflix streamt. Ein Software-Entwickler, der ständig neue Tools herunterlädt und regelmäßig Foren aufsucht, wird wiederum ein völlig anderes Profil aufweisen.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Eine Grundlage für die sichere Nutzung des Internets sollte die Instandhaltung Ihrer Software und Apps sein. Diese sollten Sie regelmäßig per Update auf den neuesten Stand bringen. Das gilt nicht nur für das Betriebssystem, sondern für jede einzelne Applikation - insbesondere Ihren Browser.

Wo wir gerade beim Browser sind: Hier sollten Sie das automatische Abspielen von Flash-Videos deaktivieren. Darüber hinaus können Sie auch auf ActiveX und Java verzichten. Letzteres ist eventuell noch für einige Games oder spezielle Bildungssoftware erforderlich, spielt ansonsten aber keine Rolle mehr. Auch die großen Collaboration-Tool-Anbieter setzen inzwischen auf HTML5.

Sie sollten unbedingt auch Zweck und Ort Ihrer Internetnutzung im Hinterkopf behalten. Sensible Transaktionen in öffentlichen WLAN-Netzwerken durchzuführen, kann zu Problemen führen. Das öffentliche Netzwerk im Lieblingscafé ist nicht die geeignete Umgebung für Online-Banking. Auch dann nicht, wenn Sie eine SSL-Verbindung nutzen. Denn auch in diesem Fall ist eine Man-in-the-Middle-Attacke möglich.

Wenn Sie sich um diese Grundlagen gekümmert haben, sollten Sie sich darüber Gedanken machen, welche Gefahr für Sie die bedrohlichste ist, welche Güter Sie schützen möchten, mit wem Sie regelmäßig interagieren und wo Ihre Daten gespeichert sind.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Keine Malware, bitte!

Die meisten Menschen - und ganz besonders Unternehmen - wollen Malware-Befall um jeden Preis verhindern. Zwei der gängigsten Angriffsvektoren in diesem Bereich sind Links, die zum Download von Malware führen und Drive-by-Downloads, die den automatischen Schadcode-Download von einer Internetseite bezeichnen. Schadhafte Links können auf Webseiten, in E-Mail- oder Instant-Messaging-Nachrichten lauern. Scammer nutzen auch oft soziale Netzwerke und URL-Shortener, um maskierte, schadhafte Links zu streuen - immer in der Hoffnung, dass irgendein User klickt.

Erste Maßnahme: Hören Sie auf, unkontrolliert auf Links zu klicken. Was sich auf den ersten Blick leicht liest, ist schwerer als man denkt. Insbesondere in der heutigen Zeit, wo wir andauernd Links erhalten und versenden - sowohl im privaten als auch im beruflichen Bereich. Regelmäßige Kontakte sollten Sie deshalb darum bitten, Ihnen vorab eine Notiz zukommen zu lassen, wenn Sie Ihnen einen Link zukommen lassen wollen. Eine weitere Möglichkeit: Versichern Sie sich über einen anderen Kommunikationskanal, dass der Link wirklich vom Absender stammt. Darüber hinaus tun Sie gut daran, Ihre Links händisch einzutippen. Und wenn Ihnen jemand einen Link zu dem neuen Sensations-Whitepaper schickt, dann suchen Sie sich das doch bei der entsprechenden Quelle einfach selbst heraus.

Tipp: Stellen Sie Ihren Browser so ein, dass er Sie bei einem Download nach dem Speicherort fragt. So sind Sie immer darüber informiert, wenn ein Download gestartet wird. Ihre Security Software sollte alle heruntergeladenen Dateien auf Schädlingsbefall prüfen.

Spyware unerwünscht!

Ein Hacker der es schafft, Ihren Browser zu kompromittieren, könnte an alle möglichen Informationen herankommen. In diesem Fall sind Browser-Addons nicht unbedingt hilfreich. Sie sollten deren Einsatz so gering wie möglich halten, denn Addons können unvorhergesehen zu Malware-Lieferanten mutieren. Überprüfen Sie deshalb regelmäßig alle installierten Erweiterungen auf verdächtige Aktivitäten. Mit einer Deaktivierung können Sie in so einem Fall nichts falsch machen. Seien Sie sich außerdem bewusst, dass es Internetseiten gibt, die Sie mit Tricksereien dazu bringen wollen, Browser-Erweiterungen zu installieren (beispielsweise mit wahnwitzigen Speed-Up-Versprechen).

Erste Maßnahme: Seien Sie besonders vorsichtig bei Browser-Erweiterungen, die von nicht zertifizierten Anbietern stammen. Auch weil diese sich möglicherweise mit Nicht-https-Seiten verbinden. Sie sollten sich stets die Frage stellen, ob der Nutzen eines Addons dessen potenzielles Risiko übersteigt.

Tipp: Betrachten Sie immer zuerst die Quelle. Wenn Sie Flash oder den Adobe Reader downloaden müssen, besuchen Sie dazu die entsprechende Hersteller-Webseite. Verzichten Sie auf den Download von Software-Tools über unabhängige Webseiten, denn hier haben Spyware, Adware und andere maliziöse Dateien allzu oft leichtes Spiel. Entsagen Sie Praktiken wie einfach das erstbeste Programm herunterzuladen. Projekte wie PortableApps.com oder Ninite können dabei helfen, gängige Open-Source-Programme und -Applikationen über vertrauenswürdige Quellen up-to-date zu halten.

Gib Tracking keine Chance!

Es ist uns allen schon einmal passiert: Einmal bei Obi nach schönen Fliesen-Alternativen gestöbert, schon folgt uns der kecke Baumarkt-Biber, wohin wir auch gehen. Um das zu ermöglichen, nutzen die Werbetreibenden im Internet Cookies. Aber es geht dabei nicht nur Werbung: Cookies speichern auch unsere Account-Informationen, Passwörter und besuchte Webseiten. Das Ziel: Ihre Aktivitäten auf den entsprechenden Seiten nachzuverfolgen. Wenn Sie Cookies deaktivieren oder die Daten regelmäßig löschen, haben kriminelle Hacker weniger Daten, die sie stehlen können.

Erste Maßnahme: Nutzen Sie die Funktion für "privates" Browsing, beziehungsweise den "Inkognito"-Modus, wenn Sie online sind. In diesem Fall werden die Daten beim Beenden der Session gelöscht. Wenn Sie diese Browser-Einstellung nutzen, können Sie sicher sein, nicht getrackt zu werden.

Tipp: Wenn Sie Facebook, Twitter oder andere soziale Medien nutzen wollen, ohne dabei von diesen ausgespäht zu werden, sollten Sie Ihr Profil in einem eigenen Browser öffnen, der exklusiv für diesen Zweck zum Einsatz kommt. Dieses Vorgehen stellt sicher, dass nur die Daten auf die sozialen Plattformen fließen, die dort auch landen sollen. Diese Technik eignet sich übrigens auch hervorragend dazu, das Tracking von Plattformen wie Spotify einzuschränken, die soziale Netzwerke als Single-Sign-On-Provider nutzen.

Wenn Ihnen Tracking Sorgen bereitet, sollten Sie die entsprechende "Do not track"-Option bei jedem Ihrer Browser aktivieren. Wichtig zu wissen ist allerdings, dass hierbei lediglich eine Anfrage an die entsprechende Website geschickt wird. Ob der Betreiber der Seite Ihren Wunsch respektiert, steht auf einem anderen Blatt. Nichtsdestotrotz schadet es ja nicht, gleich vorab für klare Fronten zu sorgen.

Hände weg von meinen Daten!

Cookies sind aufgrund der Informationen die sie beinhalten, bevorzugte Ziele von Cyberkriminellen. Das gilt in besonderem Maße für diejenigen mit E-Mail-Daten, Account-Informationen und Passwörtern. Die Auswirkungen können gravierend sein. Sogenannte Cross-Site-Scripting-Angriffe nutzen JavaScript auf einer Website, um User- und Session-Infos aus den Cookies zu extrahieren. Anschließend können Cyberkriminelle die digitalen Identitäten unter anderem zur Verschleierung ihrer Aktivitäten nutzen.

Erste Maßnahme: Blockieren Sie Cookies, wann immer es möglich ist. Grundsätzlich wäre es am besten, alle Cookies zu blockieren - was aber dafür sorgen wird, dass viele E-Mail-Webdienste und soziale Netzwerke nicht mehr nutzbar sind. Blockieren Sie dennoch zumindest die Cookies von Drittanbietern und leeren Sie Ihren Browser Cache regelmäßig. Es ist zwar gängige Praxis, aber dennoch keine gute Idee, Ihre Passwörter im Browser abzuspeichern. Benutzen Sie stattdessen einen eigenständigen Passwort-Manager.

Tipp: Nutzen Sie für die Suche im Internet eine Suchmaschine, die nicht automatisch persönliche Informationen wie Ihre IP-Adresse oder andere Teile Ihrer digitalen Identität abspeichert - zum Beispiel DuckDuckGo. Dort müssen Sie zwar auf Auto-Complete-Suchen verzichten, dafür wird aber auch kein Bewegungsprofil über Ihre Person erstellt.

Wenn Sie Ihre Informationen gerne für sich behalten, empfiehlt sich wie bereits erwähnt der "Incognito"-Modus Ihres Browsers. Wenn keine Cookies gespeichert werden, gibt es auch nichts zu stehlen. Und wenn welche gespeichert werden, sollten Sie in Betracht ziehen, alle Cookies nach jeder Browser-Session zu löschen. Das wird Unbequemlichkeiten beim Login auf diversen Portalen nach sich ziehen, erhöht aber Ihre Sicherheit.

Browser-Erweiterungen sind nicht ungefährlich, können aber auch überaus nützlich sein. So wie das Tool Disconnect, das effektiv Tracking Cookies von Drittanbietern blockiert. Außerdem hindert das Script soziale Netzwerke daran, die von Ihnen besuchten Webseiten zu scannen und gibt Ihnen als Nutzer die Kontrolle. Empfehlenswert ist auch das Addon Ghostery, das alle gängigen Tracking-Skripte blockiert, dabei aber die Einrichtung einer Whitelist zulässt.

Phishing? Nicht mit mir!

Bei Phishing-Seiten handelt es sich um betrügerische Internetseiten, die dazu entworfen wurden, persönliche Informationen der Nutzer abzugreifen. Das beschränkt sich nicht alleine auf Login-Daten für E-Mail- oder Bankkonten. Auch Malware kann so den Weg auf Ihren Rechner finden, um weitere sensible Informationen auszuspähen oder Geld zu erpressen.

Erste Maßnahme: Verzichten Sie darauf, Links anzuklicken, die Sie per E-Mail erhalten. Füllen Sie keine Formulare aus, die Sie auf diesem Weg erhalten. Gefälschte E-Mails, beispielsweise von Versanddienstleistern, sind immer wieder massenhaft in Umlauf und warten nur auf Ihre persönlichen Informationen. Im Zweifel rufen Sie beim betreffenden Unternehmen an und fragen direkt nach. Gleiches gilt, wenn eine vermeintlich wichtige Aufforderung aus der Personalabteilung per E-Mail eintrudelt. Eine gängige Betrugsmethode sind auch gefälschte URLs, die teilweise mit Zahlen statt Buchstaben arbeiten ("0" ersetzt "O", etc.) und nur schwer vom Original zu unterscheiden sind. Händisches Eintippen hilft an dieser Stelle, um auf der sicheren Seite zu sein.

Tipp: Teilen Sie persönliche Informationen ausschließlich auf Internetseiten, die den HTTPS-Standard nutzen. Denken Sie dabei daran, dass das Vorhängeschloss-Icon im Zeitalter frei verfügbarer SSL-Zertifikate nicht mehr ausreicht: Halten Sie nach einem Extended-Validation-SSL-Zertifikat Ausschau. Das erkennen Sie zum Beispiel daran, dass der Name des Unternehmens/der Institution in der Adressleiste angezeigt wird. Eine gute Option ist außerdem das Browser-Addon HTTPS Everywhere, das HTTPS-Verbindungen erzwingt. Wenn Sie viele E-Mails von Werbetreibenden erhalten, versuchen Sie, die Nachrichten im Text- statt im HTML-Format anzuzeigen. So erkennen Sie leichter, welcher Inhalt hinter einem Link steht.

Es ist kein leichtes Unterfangen, jeden Phishing-Versuch zu erkennen - einige sind extrem gut gemacht. Auch hier sollten Sie deshalb an die Grundlagen denken: Benutzen Sie nicht dasselbe Passwort für mehrere Accounts. Wird es gestohlen, sind alle damit verbundenen Konten kompromittiert. Sie sollten auch darauf achten, die persönliche und die berufliche Internetnutzung so gut wie möglich zu trennen. Nutzen Sie auch - und insbesondere für Finanzgeschäfte - die Möglichkeit zur Zwei-Faktor-Authentifizierung, um es kriminellen Hackern möglichst schwer zu machen.

Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.
Phishing-Mails
Hier sehen Sie Phishing-Mails, die gut bis sehr gut gemacht sind.

Mehr Sicherheit geht nicht!

Wenn Sie maximale Sicherheit wollen, brauchen Sie ein System aus mehreren Browsern und Betriebssystemen, um Ihre Aktivitäten getrennt zu halten. Eventuell sollten Sie auch den Einsatz von einigen virtuellen Maschinen in Betracht ziehen, um Bedrohungen isolieren zu können.

Erste Maßnahme: Nutzen Sie verschiedene Browser für verschiedene Aktivitäten. Einen für Online-Banking, einen anderen zur Kommunikation, einen dritten nur für Webbrowsing-Zwecke. Sollte ein Angreifer nun über einen Kommunikationskanal wie ein Internetforum eine Cross-Scripting-Attacke starten, würde diese beim Online-Banking ins Leere laufen, weil sie nicht browser-übergreifend funktioniert.

Für besonders wichtige Accounts oder Applikationen sollten Sie einen eigenen Browser "reservieren" und ihn so strikt wie nur möglich konfigurieren. Wenn Sie beispielsweise nur auf Ihre AWS-Konsole zugreifen wollen, blockieren Sie alle anderen Webseiten. So laufen Sie nicht Gefahr, versehentlich eine Seite anzusteuern und so die Cloud-Infrastruktur Ihres Unternehmens angreifbar zu machen.

Tipp: Geht es um kritische Infrastrukturen, sollten Sie Ihre Aktivitäten auf verschiedene, virtuelle Systeme verteilen. Für kriminelle Hacker bedeutet das eine Menge Aufwand.

Eine gute Alternative zu virtuellen Maschinen sind Linux Live CDs. Für maximale Sicherheit lassen sich diese auch auf einer virtuellen Maschine abspielen. Auch das USB-Linux Tails kann dazu genutzt werden, digitale Fußabdrücke zu verstecken, weil es keinerlei Daten vorhält.

Wenn Sie verdächtige E-Mail-Anhänge erhalten, öffnen Sie diese einfach in einer virtualisierten Umgebung. Halten Sie die Dateien aber in jedem Fall von Ihrem Desktop fern.

Um Ihre Online-Aktivitäten zu verschleiern, empfiehlt sich die Nutzung des Tor-Browsers, der Sie durch Verschlüsselung und Umleitungen unkenntlich macht und keine Verknüpfung Ihrer IP mit bestimmten Inhalten zulässt.

Mit NoScript schalten Sie Java, JavaScript, Flash und anderen dynamischen Content ab. Das wird viele Webseiten erst einmal unattraktiv machen, gibt Ihnen aber die manuelle Kontrolle über den Inhalt der Seite. AdblockPlus hingegen blockiert zuverlässig Popup-Fenster und andere lästige Inhalte. Natürlich können JavaScript und Popups auch direkt über den Browser deaktiviert werden. Die meisten Internet-Browser blockieren Werbefenster standardmäßig, JavaScript ist hingegen aufgrund seiner Verbreitung in der Regel aktiviert.

Glossar TOR - The Onion Router, Dark Web, Deep Web
Tor
"Tor" war ursprünglich ein Akronym und steht für The Onion Router (Projekt). Das Tor-Netzwerk benutzt mehrfache Verschlüsselungs-Layer, um Daten wie auch deren Ursprung und Zielort zu verbergen. Dies trägt dazu bei, die Daten/Verbindung zu anonymisieren. Tor ist die einzige Möglichkeit auf einen Großteil des => Deep Web zuzugreifen.
Blockchain
Bitcoin beruht auf dem Konzept der verteilten Datenbank, der sogenannten Blockchain. Dabei handelt es sich um eine gemeinsame Transaktionsdatenbank aller Tor-Knoten in einem System, basierend auf dem Bitcoin-Protokoll. Um unabhängig voneinander die Urheberkette jedweden Bitcoin-Betrages zu verifizieren, verfügt jeder Knoten über seine eigene Kopie der Blockchain.
Carding
Das Kaufen und Verkaufen gestohlener Kreditkarteninformationen.
Dark Web, Deep Web (auch Deepnet, Hidden Web, Invisible Web)
Der Bereich des Internets, der nicht über reguläre Browser auffindbar und nicht über normale Suchmaschinen indiziert ist.
Exit-Node
Verbindungs-/Knotenpunkt innerhalb des Tor-Netzes, an dem ein Nutzer dieses wieder verlässt.
Hidden Wiki, The
Ein versteckter Dienst, der eine Linksammlung von .Onion-Seiten (=> weiterer Begriff) enthält, die über das Deep Web zu erreichen sind. Diese Seite ist tatsächlich ein Wiki. Hier werden die Seiten bearbeitet beziehungsweise hinzugefügt, die anschließend sichtbar werden sollen. Wie es die Natur des Hidden Wiki nahelegt, ist es tatsächlich voll mit böswillig manipulierten Seiten, die in erster Linie kriminelle Ziele verfolgen.
Kryptowährung
Ein Begriff, der alternative oder ausschließlich digitale Währungen bezeichnet, die auf Verschlüsselung und einer dezentralen Struktur basieren. Solche Kryptowährungen sind insbesondere für Cyberkriminelle das Zahlungsmittel der Wahl geworden, denn sämtliche Transaktionen laufen anonymisiert ab.
.Onion
Die Pseudo-Top-Level-Domain, die von Webseiten oder verborgenen Diensten im Deep Web genutzt wird und die ausschließlich im Tor-Netzwerk verfügbar ist.
I2P
I2P steht für "Invisible Internet Project" und ist eine freie P2P-Software, die ein anoymes und dezentrales IP-basiertes Netzwerk samt einfacher Übertragungsschicht zur Verfügung stellt, um Applikationen sicher und anonym nutzen zu können. Der Datentransfer ist über vier Schichten je Paket verschlüsselt, auch die Empfangspunkte sind extra geschützt.

Security-Standards erhalten

Um online sicher unterwegs zu sein, bedarf es einer Kombination aus Technologie, Awareness und Bereitschaft. Die heutigen Browser bieten eine Vielzahl von Schutzmaßnahmen. Wer diese nutzt und grundlegende Regeln der Internet Sicherheit (beispielsweise regelmäßige Software-Updates) beachtet, ist vor einer Vielzahl primitiver Angriffe bereits geschützt.

Allerdings ist es heutzutage einfacher denn je, sich Malware einzufangen oder Opfer einer Phishing-Attacke zu werden. Diese laufen selten zielgerichtet ab, sondern eher nach dem Motto "zur falschen Zeit am falschen Ort". Wenn Sie aber erst einmal wissen, was genau Sie wie gut schützen möchten, können Sie eine für Ihren (Arbeits-)Alltag angemessene Sicherheitsstrategie entwerfen. (fm)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.