Das Internet ist keine Einbahnstraße. Jeder ans weltweite Datennetz angeschlossene Rechner wird Teil dieses Netzes, und sei es nur temporär. Während dieser Zeit stehen seine Ressourcen prinzipiell allen anderen Usern zur Verfügung - er wird damit angreifbar.
Schwachstellen gibt es auf einem typischen Windows-System genügend: Das Gespann aus Internet Explorer und Outlook ist mit seiner umfangreichen Unterstützung von Scriptsprachen sowie bedenklichen Default-Einstellungen ein beliebtes Einfallstor von Malware. Genauso wie der Windows Script Host, der standardmäßig ohne Rückfrage VBS- und JavaScript-Dateien ausführt. Wir zeigen, wie sich diese neuralgischen Punkte entschärfen lassen. Ein Virenscanner gehört zwar zur Grundausstattung eines Rechners, ein Allheilmittel ist er aber nicht. Er wirkt nur gegen bekannte Viren , Würmer und Trojaner. Ein regelmäßiges Update der Signaturdateien ist also Pflicht.
Überdies richten alle technischen Sicherheitsmaßnahmen gegen leichtsinniges Verhalten der Anwender wenig aus. Dass man Passwörter nicht auf einen Zettel schreibt und unter die Tastatur klebt, scheint sich zwar langsam herumzusprechen; weniger jedoch, dass auch deren Wahl wohl überlegt sein will: Der Name von Ehefrau oder Freundin jedenfalls eignet sich denkbar schlecht. Dabei gibt es eine einfache Methode, wie man Passwörter so aussucht, dass sie nicht so leicht zu knacken sind.
Ohne eine Anfälligkeit der User für Social Engineering wären auch 0190-Dialer kaum derart erfolgreich. Die Anbieter versuchen fast immer mit derselben Masche, den Surfern die teuren Wählprogramme unterzuschieben: Ein Link verspricht kostenlosen Zugang zu viel nackter Haut. Eine gesunde Portion Misstrauen und ein paar technische Vorkehrungen verhindern, dass die Telefonrechnung in astronomische Höhen steigt.
Browsen - aber sicher
Aktuelle Browser sind wahre Alleskönner, mit denen sich nicht nur HTML-Seiten betrachten lassen. Sie interpretieren auch aktive Inhalte wie Java, JavaScript, ActiveX oder Visual Basic Script (VBS).
Zwar sind Sicherheitsmechanismen vorgesehen, die verhindern sollen, dass Unberechtigte Dateien auf dem PC des Anwenders verändern, löschen oder auslesen. Doch immer wieder tauchen in den Implementationen der Browser-Hersteller neue Sicherheitslücken auf. Durch die enge Verzahnung mit Mail- und News-Client wie beim Internet Explorer machen sich die Schwachstellen gleich auch bei diesen Komponenten bemerkbar.
Daher sollte man sehr zeitnah die Patches oder Updates aufspielen, die den entdeckten Bug beseitigen. Es empfiehlt sich also, regelmäßig auf den entsprechenden Webseiten der Hersteller nachzuschauen. Microsoft etwa informiert über Sicherheitsprobleme auf der Technet-Seite, wo man auch die Security Bulletins abonnieren kann.
Die Redmonder wollen allerdings detaillierte Hinweise über Sicherheitslücken erst veröffentlichen, nachdem ein Patch bereits mindestens 30 Tage erhältlich ist. Um trotzdem frühzeitig Gefahren abschätzen zu können, lohnt sich somit auf jeden Fall ein Abonnement der Bugtraq-Mailingliste.
Das Zonenmodell des Internet Explorer
Selbst ohne akute Sicherheitslöcher sorgen aktive Inhalte für genügend Gefahrenpotenzial. Daher benutzt der Internet Explorer seit Version 4 ein Sicherheitsmodell, um Websites in unterschiedlich vertrauenswürdige Zonen einzuteilen. Der Benutzer ordnet Websites einer der vier Zonen "Lokales Intranet", "Internet", "Vertrauenswürdige Sites" oder "Eingeschränkte Sites" zu, für die jeweils andere Sicherheitsvorgaben gelten. Die Herkunft der riskanten ActiveX-Controls bewertet der Internet Explorer anhand von digitalen Zertifikaten.
Dem lokalen Intranet ordnet der Internet Explorer Sites zu, die er ohne Proxy-Server oder über einen UNC-Netzwerkpfad ansprechen kann. Diese Zone ist in erster Linie für Firmen interessant, die im LAN Webserver einsetzen und über einen Proxy mit dem Internet verbunden sind.
Die beiden Listen für vertrauenswürdige und eingeschränkte Sites sind standardmäßig leer: Die Einträge muss der Anwender selbst vornehmen. Unter der Zone "Internet" fasst der Browser alle übrigen Sites zusammen. Über die Registerkarte "Sicherheit" der Internet-Optionen lässt sich für jede Zone detailliert festlegen, wie der Internet Explorer mit potenziell schädlichen Inhalten umgehen soll. Die Einstellungen sind Microsoft-typisch verschachtelt aufgebaut und erlauben nicht unbedingt Feineinstellungen. So hat Microsoft unter "Active Scripting" JavaScript und VBS zusammengewürfelt. Wer nur eine der Scriptsprachen abschalten will, hat dazu keine Möglichkeit.
IE-Zonenmodell: Vorgaben
Microsoft hat die Sicherheitsoptionen zu Standardvorgaben von "sehr niedrig" bis "hoch" zusammengefasst und als Vorgabe jeder Internet-Zone eines dieser Settings zugewiesen. Die vertrauenswürdigen Sites behandelt der Internet Explorer (IE) mit "sehr niedrigen", die lokale Intranet-Zone mit "niedrigen", die Sites der Internet-Zone mit "mittleren" und die eingeschränkten Sites mit "hohen" Sicherheitseinstellungen.
In der wohl wichtigsten Zone "Internet" lässt der Browser damit Java, JavaScript, VBS und ActiveX-Controls zu - eine sehr fahrlässige Vorgabe. Stattdessen empfiehlt es sich, die Sicherheit in der Standardzone auf "hoch" zu setzen. Bei IE-Versionen vor 6.0 sollten Sie außerdem unter "ActiveX-Steuerelemente und Plug-ins" sämtliche Schalter deaktivieren.
Für einige Webangebote muss der Surfer die rigiden Vorgaben außer Kraft setzen - etwa weil die Online-Bank JavaScript voraussetzt. Zu diesem Zweck kann der Anwender die betreffenden Server in die Zone der vertrauenswürdigen Sites eintragen. Allerdings empfiehlt es sich, hier wirklich nur Sites bekannter Betreiber einzutragen.
Alternativen: Netscape und Opera
Wer statt Internet Explorer auf Netscape und Opera setzt, hat ein paar Sorgen weniger. Denn die beiden Konkurrenten unterstützen weder ActiveX noch VBS - ein klarer Vorteil in punkto Sicherheit. Ein Zonenmodell, wie vom Internet Explorer bekannt, verwenden Netscape und Opera nicht. Somit lassen sich Java und JavaScript immer nur generell abschalten und bei Bedarf wieder aktivieren.
Der Netscape Communicator 4.78 hatte Java noch fest integriert, die 6.x-Versionen unterstützen diese und andere Erweiterungen lediglich als Plug-ins - ebenso Opera. Diese Zusätze sollte man sich generell von den jeweiligen Hersteller-Servern herunterladen, was das Risiko, sich Malware einzufangen, minimiert.
Bei Opera hat der Surfer unter Datei/Einstellungen Zugriff auf sämtliche sicherheitsrelevanten Optionen - auch wenn sich diese wie die Checkboxen Scriptsprachen benutzen und Java einschalten nicht unter dem Punkt Sicherheit finden, sondern unter Plug-ins.
In Netscapes Sicherheitsbereich gelangt man durch Aufruf der erweiterten Einstellungen. Hier lässt sich Java sowie JavaScript, Letzteres getrennt für den Navigator sowie den Mail- und News-Client, ein- und ausschalten.
Outlook (Express)
Outlook und Outlook Express haben bei der Verbreitung von Viren und Würmern bislang stets eine tragende Rolle gespielt. Das liegt zum einen an der weiten Verbreitung dieser Programme: viele Nutzer bedeutet viele potenzielle Opfer. Zum anderen sind der Internet Explorer und Outlook eng verknüpft: Microsofts Mail-Client greift zur Darstellung von Nachrichteninhalten auf die Rendering-Fähigkeiten des Browsers zurück. Alles, was dieser interpretieren kann, wird bereits im Vorschaufenster ausgeführt. Das sind neben Grafiken aktive Inhalte wie ActiveX-Controls oder Visual-Basic-Scripts.
Um dem vorzubeugen, bietet Outlook unter Extras/Optionen/Sicherheit einige Einstellmöglichkeiten. Dazu gehört die Sicherheitszone, die der Mail-Client vom Internet Explorer übernehmen soll. Diese steht standardmäßig auf "eingeschränkte Sites". Wer sich nicht darauf verlassen mag, deaktiviert die automatische Vorschau unter Ansicht/Layout - was jedoch nur bei Outlook Express funktioniert. Outlook bietet diese Möglichkeit nicht.
Aus den oben genannten Gründen reagieren viele Menschen empfindlich auf Nachrichten im HTML-Format. Leider verwendet Outlook dieses Format standardmäßig, wenn Sie E-Mails schreiben oder in Newsgroups posten. Diese unsinnige Vorgabe sollten Sie daher unter den Senden-Optionen auf "Nur Text" umstellen.
Immerhin warnen beide Outlook-Varianten vor dem Öffnen ausführbarer Attachments. Weniger durchdacht ist hingegen die Möglichkeit, das "Speichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten" zu verhindern. Denn hiermit sperren Sie alle Attachments. Eine Ausnahmeliste wäre an dieser Stelle sinnvoller, so dass etwa reine Text-Dateien passieren dürften.
Starke und schwache Passwörter
Die Kombination aus User-ID und Passwort dient dazu, auf die unterschiedlichsten Ressourcen zuzugreifen, sei es der File-Server im Unternehmen oder das Postfach eines Freemail-Anbieters. Eine gültige User-ID herauszufinden, ist recht einfach: Einige IDs, etwa "Administrator", werden vom System vorgegeben. Bei anderen ist zumindest das Grundschema, etwa "vorname.nachname@firma.com", bekannt. Das zugehörige Passwort zu knacken, ist für geübte Hacker ein Kinderspiel - wenn die Anwender es ihnen zu leicht machen.
Bei der Wahl eines Codeworts sollte man immer daran denken, dass Angreifer mit minimalem Aufwand ein maximales Ergebnis erreichen wollen. Sie versuchen daher, so genannte schwache Passwörter aufzuspüren. Dazu zählen solche mit weniger als acht Zeichen, da sie zu anfällig für Brute-Force-Angriffe sind. Unsicher sind außerdem:
Personen, Daten und Fakten aus dem Umfeld des Users, etwa der Name von Frau, Kind, Haustier, Lieblingsfilm, das Geburtsdatum oder Autokennzeichen
lexikalisierte Begriffe, die ein lohnendes Ziel von Wörterbuchattacken sind
nahe liegende Buchstaben-/Zahlenkombinationen (qwertz, abc123, q1w2e3r4)
Als Gegenstrategie auf zufällig generierte Passwörter wie f7{r&q_0 auszuweichen, dürfte allerdings eher kontraproduktiv sein. Denn diese vermeintlich sichere Verknüpfung aus Buchstaben, Zahlen und Sonderzeichen kann sich kaum jemand merken, schon gar nicht über längere Zeit. Als Konsequenz notieren sich die User das Passwort auf einem Zettel, den sie zweckmäßigerweise unter die Tastatur kleben oder idiotensicher an den Bildschirm.
Als besser zu handhaben erweist sich die Taktik, die Anfangsbuchstaben aller Wörter eines Ihnen bekannten Satzes zu wählen. So wird etwa aus dem Kinderreim "Punkt, Punkt, Komma, Strich - fertig ist das Mondgesicht" das Passwort ppksfidm. Zusätzlich kann man noch die Groß- und Kleinschreibung sowie Satzzeichen berücksichtigen: P,P,K,S-fidM dürfte wirklich nicht einfach zu erraten sein.
Risiko Windows Script Host
Als Nachfolger für die aus DOS-Zeiten bekannten Batch-Dateien präsentierte Microsoft mit dem Windows Script Host (WSH) ein flexibleres Modell. Dieser Host interpretiert von Haus aus Visual Basic Script (VBS) und JavaScript (JS), lässt sich aber auch um weitere Module für Sprachen wie Perl oder Python erweitern.
WSH-Scripts bieten vielfältige Möglichkeiten, das System samt Applikationen fernzusteuern und dem Anwender lästige Routineaufgaben abzunehmen. Ein Zugriff auf die Registry lässt sich ebenso realisieren wie auf das gesamte Windows-Dateisystem. Kein Wunder, dass auch Programmierer von Malware den Script Host für ihre Zwecke nutzen. Ohne ihn hätten sich VBS-Würmer wie ILOVEYOU oder Anna Kournikova wohl kaum derart stark verbreitet.
Der WSH gehörte zwar bereits zum Lieferumfang von Windows 98 und 98SE, wurde aber nicht automatisch eingerichtet. Das hat sich mit der Millennium Edition (Me) geändert: Seitdem dient der Script Host als Default-Applikation für Dateien, die auf .js und .vbs enden.
Der in Windows XP enthaltene WSH 5.6, den es auch zum Download für ältere Betriebssystemversionen gibt, versucht immerhin, den Gefahren mit Hilfe von Signaturen vorzubeugen: Sie sollen für die Integrität und Authentizität von Scripts bürgen.
Beim Ausführen eines Scripts prüft der Script Host, ob es dafür eine Signatur gibt. Abhängig von der aktiven Sicherheitsstufe ("Kein Schutz", "Bei fehlender oder falscher Signatur warnen" oder "Nur Skripte mit einwandfreier Signatur ausführen") wird der Anwender gewarnt. Da derzeit aber erst wenige Scripts signiert sind, lautet die Defaulteinstellung "Kein Schutz".
Windows Script Host loswerden
Wer den Windows Script Host (WSH) nicht zwingend benötigt, sollte ihn am besten gleich deinstallieren. Problemlos gelingt das jedoch nur unter Windows 98: Über Systemsteuerung/Software lässt sich die Komponente entfernen.
Ab Windows 98 SE hilft nur ein rigoroses Vorgehen, indem man die ausführbaren Dateien löscht oder zumindest umbenennt. Sie befinden sich im System32-Ordner des Betriebssystems: wscript.exe ist die GUI-Variante des Script Host, cscript.exe die Kommandozeilenversion.
Möchten Sie dagegen den WSH grundsätzlich behalten, aber verhindern, dass er Skripts direkt ausführt, können Sie die relevanten Dateitypen .vbs und .js an einen Editor wie Notepad binden. So lässt sich der Inhalt vorab auf Schadfunktionen kontrollieren.
Die neue Zuordnung nehmen Sie über den Windows-Explorer oder das Icon Arbeitsplatz im Menü Ansicht/Ordneroptionen vor. Die Registerkarte "Dateitypen" zeigt die aktuell gültigen Zuordnungen. Wählen Sie die Einträge "JScript-Scriptdatei" respektive "VBScript-Scriptdatei" und klicken auf "Bearbeiten". In dem nun erscheinenden neuen Fenster wählen Sie den Eintrag "Öffnen" und anschließend "Bearbeiten". Hier lässt sich der Pfad zur gewünschten Applikation eintragen. Für Notepad ist das standardmäßig "C:\\Windows\\Notepad.exe" beziehungsweise "C:\\Winnt\\Notepad.exe". Wiederholen Sie diesen Vorgang auch für die kodierten Varianten der Script-Dateien (Datei-Namenserweiterungen .jse und .vbe).
0190-Dialer
Unternehmen, die ihre Dienstleistungen im Internet über 0190-Nummern bereitstellen, sind in letzter Zeit in die Kritik geraten. Schwarze Schafe unter den Anbietern schmuggeln auf den Rechner des Surfers Programme, die eine teure 0190-Verbindung aufbauen. Der dazu im DFÜ-Netzwerk von Windows neu angelegte Eintrag drängt sich als Standard vor die ursprüngliche Provider-Verbindung oder trennt eine bereits bestehende Verbindung.
Mittlerweile hat sich auch die Politik des Problems angenommen. So forderte Verbraucherschutzministerin Künast, dass die teils horrenden Gebühren nur noch abgerechnet werden dürften, wenn der Kunde keinen Widerspruch einlegt. In der Tat können die anfallenden Beträge je nach gewählter Telefonnummer extrem hoch ausfallen:
Rufnummern | Tarif | Preis (Euro / Min.) | Preis (Euro / Anwahl) | Davon für Anbieter (Euro / Min.) | Davon für Anbieter (Euro / Anwahl) |
|---|---|---|---|---|---|
Angaben laut Deutsche Telekom, Stand 4. Januar 2002. Alle Tarife inkl. 16 Prozent Umsatzsteuer. | |||||
0190-6x | T1 | 0,41 | --- | 0,15 | --- |
0190-5x | T2 | 0,62 | --- | 0,34 | --- |
0190-7x | T3 | 1,24 | --- | 0,90 | --- |
0190-8x | T4 | 1,86 | --- | 1,48 | --- |
0190-0x | Gruppe 1 | 0,15 | --- | 0,03 | --- |
0190-0x | Gruppe 2 | 0,25 | --- | 0,13 | --- |
0190-0x | Gruppe 3 | 0,12 | 0,51 | --- | 0,41 |
0190-0x | Gruppe 4 | 0,12 | 0,77 | --- | 0,61 |
0190-0x | Gruppe 5 | 0,12 | 1,28 | --- | 1,02 |
0190-0x | Gruppe 6 | 0,12 | 2,05 | --- | 1,63 |
Ab 2004 werden die bisherigen 0190-Nummern von Vorwahlen abgelöst, die mit 0900 beginnen. Die neuen Nummern vergibt die Regulierungsbehörde nicht mehr in Tausenderblöcken an die Netzbetreiber, sondern einzeln an die Inhalte-Anbieter. Diese können die Preise frei gestalten: Für Premium-Dienste, die über eine 0900-Einwahl laufen, gibt es keine Tarifgruppen.
0190-Dialer: Tricks der Anbieter
Wer per DSL surft und keine zusätzliche Modem- oder ISDN-Karte als Backup im Rechner stecken hat, ist durch 0190-Dialer nicht gefährdet: Ein eingeschaltetes DSL-Modem ist permanent mit dem Netzwerk des Providers verbunden, eine Einwahl somit nicht erforderlich. Beim Verbindungsaufbau übermittelt Ihr Rechner nur Ihre Kennung und Passwort, um sich zu authentifizieren.
Aufpassen müssen hingegen alle, die sich mit Windows ins Internet einwählen. Wie hoch das Risiko ist, sich einen Dialer einzufangen, hängt eng mit dem persönlichen Surfverhalten zusammen. Anwender, die bedenkenlos auf alle Links klicken, die mit den Begriffen "Gratis" und "Sex" werben, haben gute Chancen, die Telefonrechnung in astronomische Höhen zu treiben.
Unseriöse Anbieter versuchen häufig, User mit Hilfe von so genannten Vertipper-Domains anzulocken. Dabei handelt es sich um Internet-Adressen, die denen populärer Sites ähneln und sich nur durch typische Schreibfehler unterscheiden. Wer etwa www.oboot.de statt www.uboot.de aufruft, landet auf einer "legendären Underground-Site". Dort verheißt ein kostenloses Zugangstool hundertprozentige Sicherheit und einen schnellen Zugriff auf die gewünschten Inhalte. Der Link zu den "unerfüllten Phantasien" führt schnurstracks zur Installation eines 0190-Dialers.
Viele User versichern jedoch, nie so ein Programm geladen zu haben. Die Software müsste sich somit selbstständig beim Besuch einer Webseite installieren. Die Chance besteht, falls man einen schlecht konfigurierten Browser verwendet, der ActiveX versteht - was zurzeit nur der Internet Explorer beherrscht. In dem Fall lädt ein ActiveX-Control den Dialer und installiert ihn nach einem Neustart auf dem System des Anwenders.
0190-Dialer: Schutz
Die rigoroseste und gleichzeitig effektivste Schutzmöglichkeit gegen die Dialer besteht darin, die teuren Vorwahlbereiche beim jeweiligen Netzbetreiber zu sperren. Der verlangt dafür meist eine Gebühr, die bei der Deutschen Telekom einmalig 7,67 Euro beträgt.
Wer eine Telefonanlage besitzt, kann meist darüber die Anwahl festgelegter Rufnummern für bestimmte Nebenstellen verbieten. Sinnvoll ist das auf jeden Fall für den Anschluss, den der PC benutzt.
Bei allen Sperrmaßnahmen sollte man bedenken, dass vermehrt Dialer auftauchen, die nicht eine 0190-Nummer benutzen, sondern die Vorwahlen 0193, 0192 oder 0191. Diese Bereiche sind Service-Providern zugeteilt, die die Kosten pro Online-Minute selbst festlegen können.
Wer nicht gleich Nummern sperren will, kann über die Konfiguration seines Rechners, besonders des Browsers, viel erreichen. Gerade der Internet Explorer macht das Surfen durch die Unterstützung von ActiveX nicht unbedingt sicherer. Daher sollten Sie ActiveX über den Punkt Sicherheit in den Internet-Optionen abschalten. Das verhindert die automatische Installation unerwünschter Dialer auf dem PC durch ActiveX-Controls. Benutzer anderer Browser wie Opera oder Netscape sind hiervon nicht betroffen, zumindest, solange sie die fehlenden ActiveX-Fähigkeiten nicht durch Plug-ins nachgerüstet haben. Im Internet Explorer sollten Sie ebenfalls den automatischen Datei-Download deaktivieren. Diese Einstellung (Extras/Internetoptionen/Stufe anpassen/Dateidownload) verhindert, dass ActiveX-gesteuerte Downloads von Dialern erfolgen.
Tools wie YAW oder SmartSurfer, die das Windows-DFÜ-Netzwerk auf unerwünschte Dialer überwachen, stellen einen zusätzlichen Schutz dar. Komplett sollte man sich darauf jedoch nicht verlassen. Insbesondere, da einige 0190-Dialer gezielt die Schutzprogramme ausschalten.
Fazit
Jeder, der im Internet surft, muss sich darüber im Klaren sein, dass er nicht alleine ist. Millionen anderer User überall auf der Welt sind gleichzeitig online. Genau wie im realen Leben gibt es darunter gesetzestreue Bürger, aber auch zwielichtige Gestalten mit unseriösen Angeboten. Die schwarzen Schafe versuchen mit einer Kombination aus technischen Angriffen und psychologischen Ansätzen, so genanntem Social Engineering, zum Zuge zu kommen. Diese Taktik lässt sich gut anhand der untergeschobenen 0190-Dialer erkennen.
Als erstes empfiehlt es sich daher, die Schwachstellen der Standard-Internet-Software - Browser und Mail-Client - auszuräumen. Dazu gehört, Patches für Sicherheitslücken zeitnah zu installieren. Ein regelmäßiger Blick auf die entsprechenden Webseiten des Herstellers ist Pflicht. Doch es gilt, auch die Standardvorgaben unter die Lupe zu nehmen. So sollten Sie die Ausführung aktiver Inhalte wie JavaScript, VBS und ActiveX nur absolut vertrauenswürdigen Sites gestatten. Das Zonenmodell des Internet Explorer ermöglicht eine abgestufte Sicherheitspolitik.
Die größte Schwachstelle allerdings bleibt der Mensch vor dem Monitor. Noch so ausgeklügelte technische Schutzmaßnahmen können gegen Social-Engineering-Attacken kaum etwas ausrichten. Hier hilft nur, die Anwender gezielt über die Gefahren aufzuklären, damit sie sich mit einer gesunden Portion Misstrauen im Internet bewegen. (tri)