Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Natürliche Abwehrkräfte

Wer aus Angst vor Angriffen aus dem Internet gleich zu schwerem Werkzeug wie Personal Firewalls greift, tut den zweiten Schritt vor dem ersten. Zunächst gilt es, das Betriebssystem und die Anwendungen im Rahmen ihrer Möglichkeiten sicher zu konfigurieren.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 39 Min.
c't Magazin
Von
  • Jo Bager
  • Holger Bleich
  • Patrick Brauch
  • Axel Kossel
Inhaltsverzeichnis

Das DFÜ-Netzwerk, über das Windows die Verbindung zum Internet aufbaut, und die meisten Online-Anwendungen wie Browser und E-Mail-Programme lassen sich recht problemlos installieren und sind auf Anhieb arbeitsfähig. Das verleitet zum sofortigen Lossurfen - warum sollte man schließlich etwas verändern, das funktioniert? Leider erweisen sich jedoch viele dieser Standardkonfigurationen als bedenklich offen gegenüber Spionen und Saboteuren im Netz. Ein paar gezielte Modifikationen in den Tiefen der ‘Optionen’- und ‘Einstellungen’-Menüs können eine Menge Ärger ersparen.

Für dieses Sicherheits-Tuning gilt das Motto: ‘Alles ausschalten, was nicht gebraucht wird, egal wie harmlos es ist (oder scheint).’ Es wurden immer wieder Sicherheitslücken an Stellen entdeckt, wo sie niemand vermutet hatte.

Allerdings führt das strenge Befolgen des genannten Mottos schnell zu einem komplett verbarrikadierten System, auf dem sich beispielsweise viele Webseiten nicht mehr vernünftig darstellen lassen. Und ständiges Neusetzen der Sicherheitsoptionen je nach besuchter Site schmälert das Surfvergnügen. Es wäre daher wünschenswert, Optionen wie JavaScript oder Cookies für bestimmte Websites, die sie zum Vorteil des Anwenders nutzen, freizugeben, während sie generell gesperrt bleiben. Leider erlauben die meisten Internet-Anwendungen nur generelle Einstellungen, die immer gelten. Hier schafft dann nur ein Paket-Filter Abhilfe, der den Datenverkehr von und zu bestimmten Internet-Adressen individuell kontrolliert (siehe c't 4/2000 Seite 224).

Im Folgenden werden sicherheitsrelevante Einstellungen im DFÜ-Netzwerk von Windows, bei den gängigen Browsern, E-Mail- und Chat-Programmen beschrieben. Abbildungen der entsprechenden Dialoge helfen, diese Einstellungen zu übernehmen. Drei Symbole signalisieren dabei Handlungsbedarf: Optionen, die mit einem dicken, roten X gekennzeichnet sind, sollte man unbedingt ausschalten. Ein grünes Häkchen steht hingegen für ‘Einschalten’. Und das grüne Ausrufezeichen weist auf Stellen hin, wo man etwas eintragen sollte. Allerdings sind nur die Abweichungen von der Standardinstallation gekennzeichnet. Wer bereits Optionen geändert hat, muss daher die Dialogboxen seiner Programme genau mit den Abbildungen vergleichen.

Für den Internet-Zugang über Modem oder ISDN-Adapter ist das DFÜ-Netzwerk zuständig. Leider geht Windows mitunter (je nach Version und eventuell vorhandener LAN-Konfiguration) bei dessen Einrichtung etwas zu großzügig vor und bindet an den DFÜ-Adapter, das Pendant zur Ethernet-Karte, neben dem Netzprotokoll TCP/IP noch weitere wie NetBEUI oder IPX/SPX. Diese fallen bei Verbindungen ins Internet unter die Rubrik ‘überflüssig’ und sollten wieder entfernt werden. Gleiches gilt für Dienste des Windows-Netzwerks, die über das TCP/IP-Protokoll am DFÜ-Adapter zur Verfügung stehen.

Windows-Netzwerkdienste haben in den Einstellungen des DFÜ-Adapters nichts zu suchen.

Andernfalls bestünde die Möglichkeit, darüber den Rechner durch Denial-of-Service-Angriffe aus dem Internet lahm zu legen. Hängt der Rechner gleichzeitig in einem lokalen Windows-Netz, so wären über die ‘Datei- und Druckerfreigabe’ angebotenen Festplatten prinzipiell auch aus dem Internet für jedermann einsehbar. Als einziger Schutzmechanismus verbliebe ein Passwort, das jedoch in kleinen, lokalen Netzen, wo jeder auf alles Zugriff hat, häufig aus Bequemlichkeit weggelassen wird oder einem einfachen Strickmuster folgt, das erfahrene Cracker schnell durchschauen.

Um dem einen Riegel vorzuschieben, ruft man die Systemsteuerung auf und wählt den Punkt ‘Netzwerk’ aus. Aus der Liste entfernt man alle Einträge ‘xxx -> DFÜ-Adapter’, wobei ‘xxx’ für eine beliebige Zeichenfolge außer ‘TCP/IP’ steht. Sofern der PC nicht in einem lokalen Netz eingebunden ist, bleiben dabei nur die Einträge ‘DFÜ-Adapter’ und ‘TCP/IP -> DFÜ-Adapter’ übrig. Waren hingegen vor der Einrichtung des DFÜ-Netzwerks bereits andere Adapter, Protokolle und Dienste vorhanden, bleiben deren Einstellungen unberührt.

Die Option ‘Am Netzwerk anmelden’ kann unter Umständen die Einwahl beim Provider unnötig verzögern.

Im nächsten Schritt gilt es die Bindungen des Eintrags ‘TCP/IP -> DFÜ-Adapter’ zu überprüfen. Dazu selektiert man diesen Eintrag, drückt auf den Knopf ‘Eigenschaften’ und wählt die Karteikarte ‘Bindungen’. Dort werden alle Einträge (Netz-Clients, Freigabedienste etc.) ausgeschaltet. Beim Schließen des Netzwerk-Setup reagiert Windows dann eventuell mit dem Hinweis, dass kein Netzwerk-Client installiert sei, den man jedoch getrost ignorieren kann.

Läuft das DFÜ-Netzwerk, so muss für den Zugang zu einem Internet-Provider eine Verbindung angelegt werden. Auch dabei sollte man kontrollieren, dass Windows nicht zu viel konfiguriert. Die entsprechenden Einstellungen sind im Kontextmenü, das sich durch einen Klick mit der rechten Maustaste auf das Icon der Verbindung öffnen lässt, unter dem gleichnamigen Eintrag versteckt: Auf der Karteikarte ‘Servertypen’ werden alle Optionen ausgeschaltet, außer ‘Softwarekomprimierung aktivieren’ und ‘TCP/IP’.

Beim ersten Öffnen der Verbindung fragt Windows nach Benutzername und Kennwort. Diese Informationen müssen unbedingt vor Datenspionen geschützt werden. Denn nach einem Diebstahl kann die Rechnung des Providers schnell in die Tausende von Mark klettern, wenn andere den Zugang für ausgiebige Surfausflüge missbrauchen.

Leider ist es für Trojanische Pferde ein Leichtes, Benutzername und Kennwort bei der Eingabe mitzulesen. Aber auch die Möglichkeit, das Passwort abzuspeichern, um es künftig nicht mehr eingeben zu müssen, hilft nichts. Programme wie Back Orifice können es dann nämlich problemlos ausspähen, sofern der Anwender, der es abgelegt hat, bei Windows angemeldet ist. Schlimmer noch: Ein abgespeichertes Passwort ermöglicht es Programmen, automatisch und ohne Zutun des Anwenders eine Verbindung zum Provider aufzubauen.

Die Zugangssoftware von AOL und T-Online bietet keine Einstellmöglichkeiten, um die Sicherheit zu erhöhen. Sie lässt lediglich die Option, das Passwort nicht abzuspeichern, was nach den Erfahrungen der Vergangenheit empfehlenswert ist.

Wacklige Surfbretter

Zu den meistgenutzten Internet-Anwendungen zählen die Browser. Sie zeigen längst nicht mehr nur HTML-Seiten an, sondern führen aktive Inhalte wie Java, JavaScript, VBScript oder ActiveX aus. Alle diese Techniken haben mehr oder minder große Sicherheitsprobleme, die teilweise prinzipbedingt sind und teilweise durch fehlerhafte Implementierung zu Stande kommen. Zum Glück lassen sich die Probleme durch entsprechende Einstellung der Browser minimieren. Auf neu entdeckte Sicherheitsprobleme reagieren die Browser-Hersteller meist mehr oder weniger rasch mit entsprechenden Patches, die Abhilfe schaffen. Man sollte sich daher regelmäßig auf den entsprechenden Webseiten [1, 2] nach solchen Patches umschauen. Wer prüfen möchte, wie sicher sein Browser aktuell ist, kann dies auf den Webseiten vom Datenschutzbeauftragten des Schweizer Kantons Zürich online tun [3].

Internet Explorer

Der Internet Explorer kommt mit seinem Zonenmodell der eingangs genannten Forderung nach individuellen Sicherheitseinstellungen für verschiedene Internet-Server sehr nahe. Dieses Modell teilt das Inter- und Intranet in mehr oder weniger vertrauenswürdige Bereiche ein, die es mit entsprechenden Sicherheitsvorgaben behandelt. Um dem Benutzer darüber hinaus zu ermöglichen, den Urheber der besonders riskanten aktiven Inhalte zu verifizieren - also beispielsweise bei ActiveX-Controls -, überprüft der Browser deren Herkunft anhand von digitalen Zertifikaten (Menü Extras/Internetoptionen, Registerkarte ‘Inhalt’, dort unter ‘Zertifikate’).

Auf diese Weise erlaubt es der Internet Explorer seinem Benutzer sehr detailliert festzulegen, wie er potenzielle Schädlinge in Abhängigkeit von der zu Grunde liegenden Website beziehungsweise des Herstellers behandeln soll. So kann der Benutzer zum Beispiel im vertrauenswürdigen Intranet ActiveX-Controls sofort ausführen lassen. Vor dem Download solcher Programmbausteine aus dem Internet dagegen fragt der Browser den Anwender erst oder er führt sie nur dann aus, wenn sie vom Programmierer digital signiert wurden und der Benutzer den Herausgeber in den Browser-Optionen als vertrauenswürdig eingestuft hat. Allerdings hat sich jüngst herausgestellt, dass sich dieses Sicherheitsmodell unter Zuhilfenahme von falsch reagierenden Webservern bedingt aushebeln lässt. Dabei werden Einstellungen bezüglich JavaScript für vertrauenswürdige Sites auf andere übertragen (siehe c't 4/2000 Seite 204).

Der Internet Explorer unterscheidet zwischen vier Zonen: ‘Intranet’, ‘Vertrauenswürdige Sites’, ‘Eingeschränkte Sites’ - also solcher Sites, von denen der Benutzer befürchtet, dass sie auf seinem PC Schaden anrichten könnten - und ‘Internet’. Zur Intranet-Zone zählt der Browser alle Sites, für die er keinen Proxy-Server verwenden muss (Internetoptionen, Registerkarte Verbindungen, dort unter ‘Einstellungen...’). Die Liste der vertrauenswürdigen und der eingeschränkten Sites kann der Benutzer selber bearbeiten; die Zone ‘Internet’ enthält alle restlichen Sites.

Sämtliche Parameter, die der Internet Explorer über die Zonen verwaltet, lassen sich unter der Registerkarte ‘Sicherheit’ der Internetoptionen verwalten. Neben der Behandlung von ActiveX-Controls umfassen die Sicherheitseinstellungen insgesamt 22 Einzelpunkte, darunter auch die Behandlung von Cookies, Java, JavaScript und VBScript sowie die Prämissen für den Dateidownload. Um die Einstellungen für den Anwender überhaupt handhabbar zu machen, hat Microsoft sie zu vier Standard-Sicherheitsstufen zusammengefasst: ‘Hoch’, ‘Mittel’, ‘Niedrig’ und ‘Sehr niedrig’.

Letztere benutzt der Internet Explorer als Voreinstellung für vertrauenswürdige Sites; Server im lokalen Intranet behandelt der Browser standardmäßig mit niedriger, solche in der Internet-Zone mit mittlerer und nur eingeschränkte Site mit hoher Sicherheit. Bei Bedarf kann der Anwender aber auch jede der einzelnen Detail-Optionen an die eigenen Anforderungen anpassen. Wer es mit seiner Online-Sicherheit genau nimmt, sollte auf jeden Fall von dieser Möglichkeit Gebrauch machen: Denn auch in der höchsten Sicherheitsstufe lässt der Browser Cookies zu. Außerdem führt er bestimmte, als ‘sicher für Scripting’ markierte ActiveX-Controls ohne Rückfrage aus. Bug-Jäger Georgi Guninski hat aber eklatante Sicherheitslöcher gefunden, die auf solchen ActiveX-Controls beruhen.

Verrammeln, aber wie?

Die Erfahrung mit dem Internet Explorer zeigt, dass jeder, der mit dem Browser auf Nummer Sicher gehen will, zumindest für die Internet-Zone und die eingeschränkten Sites wirklich alles ausschalten muss. Hierzu muss der Benutzer im Register ‘Sicherheit’ der Internetoptionen unter der jeweiligen Zone die Taste ‘Stufe anpassen...’ anklicken. In der Liste, die sich daraufhin öffnet, muss er jede einzelne Option ‘Deaktivieren’, falls der Browser dies nicht bereits von sich aus getan hat. Unter dem Punkt ‘Benutzerauthentifizierung’ heißt die sicherste Option ‘Anonyme Anmeldung’, bei den ‘Zugriffsrechten für Softwarechannel’ ist ‘Hohe Sicherheit’ die beste Wahl.

Kritisch ist die Situation bei JavaScript und VBScript - beim Internet-Explorer unter der Bezeichnung ‘Scripting’ zusammengefasst - oder bei Cookies. Viele Sites benutzen JavaScript für Navigationselemente, sodass ihre Bedienung durch Abschalten der entsprechenden Technik unkomfortabel bis unmöglich wird; werden Cookies abgelehnt, so weisen einige Dienste wie Hotmail den Surfer ab. Wer solche Server besuchen möchte, muss sie also seinen vertrauenswürdigen Sites hinzufügen und in den Sicherheitseinstellungen dieser Zone die benötigten Funktionen aktivieren.

Verstecke Fallstricke

Ärgerlicherweise hat Microsoft nicht alle sicherheitsrelevanten Optionen unter der Registerkarte ‘Sicherheit’ der Internetoptionen untergebracht. Auch ‘Inhalt’ enthält eine brisante Option: ‘AutoVervollständigen’ speichert auf Wunsch die Adressen besuchter Webseiten sowie die Einträge in WWW-Formulare. Auf diese Weise kann der Internet Explorer den Surfer bei der erneuten Eingabe unterstützen; dieser muss nur die ersten Zeichen einer Adresse oder eines Formulareintrags eingeben, der Browser fügt den Rest automatisch an.

Diese eigentlich sehr nützliche Funktion kann in Umgebungen kritisch werden, in denen mehrere Benutzer auf einen PC zugreifen (können). Denn in WWW-Formularen werden unter anderem sensible Informationen wie Kreditkartennummern oder Passwörter übermittelt. Auch Webadressen können als Parameter-Anhängsel Zugangsinformationen enthalten. Daher sollte man zumindest im Mehrbenutzerbetrieb das standardmäßig für Webadressen sowie Benutzernamen und Kennwörter aktivierte AutoVervollständigen ausschalten. Das ist jedoch nicht ganz einfach, da noch eine Checkbox ‘Verwenden von AutoVervollständigen für Webadressen’ in der Registerkarte ‘Erweitert’ existiert. Beide Einstellungen werden nicht synchronisiert; die Funktion ist nur deaktiviert, wenn der Benutzer sie an beiden Stellen ausschaltet.

Der Internet Explorer soll sich weder Webadressen noch Benutzerinformationen aus Formularen merken.

Ein Häkchen an der Option ‘Vor dem Wählen Systemsicherheit überprüfen’ unter der Registerkarte ‘Verbindungen’ kann eine Menge Ärger vermeiden; standardmäßig fehlt es. Nur wenn diese Option aktiviert ist, weist Windows den Benutzer vor der Anwahl ins Internet gegebenenfalls darauf hin, dass per Datei- und Druckerfreigabe bereitgestellte Ressourcen von außen zugänglich werden. Dies lässt sich jedoch zuverlässig durch die anfangs beschriebenen Einstellungen des DFÜ-Netzwerks verhindern.

Auch die Registerkarte ‘Erweitert’ enthält einen Bereich ‘Sicherheit’, in dem verschiedene Sicherheitsfunktionen per Standardeinstellungen abgeschaltet sind und die der Anwender von Hand einschalten sollte. So gilt es die beiden Optionen zu aktivieren, die den Internet Explorer veranlassen, (Server-)Zertifikate daraufhin zu überprüfen, ob sie zurückgezogen wurden. Die Option ‘Verschlüsselte Seiten nicht auf der Festplatte speichern’ muss aktiviert werden - insbesondere, wenn mehrere Benutzer Zugriff auf den PC haben.

Auch in der Registerkarte ‘Erweitert’ finden sich einige Optionen, die der Surfer abändern sollte. Die Protokolle TLS und PCT können deaktiviert bleiben; sie besitzen noch keine weite Verbreitung im Netz.

Besonders vorsichtige Naturen werden auch die Funktion ‘Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers’ einschalten. Dies löscht übrigens nicht sämtliche Dateien aus dem betreffenden Ordner (typischerweise C:\Windows\Temporary Internet Files); Cookies bleiben dort erhalten. Zusätzlich sammelt der Internet Explorer Cookies in einem eigenen Verzeichnis (typischerweise C:\Windows\Cookies). Im Laufe der Zeit können sich in beiden Verzeichnissen etliche der verräterischen Datenkrümel ansammeln, die sich der Benutzer vielleicht einmal in einer schwachen Minute hat unterjubeln lassen. Allerdings ist es sehr einfach, ungewünschte Internet-Explorer-Cookies zu löschen, denn jedes besteht aus einer eigenen Datei. In der Detailansicht zeigt der Explorer den Server an, der das Cookie gesetzt hat. So lassen sich gezielt Cookies Daten sammelnder Werbenetze wie Doubleclick.net eliminieren, während man benötigte Cookies beibehält.

Der standardmäßig aktivierte Profil-Assistent hat eine ähnliche Funktion wie Cookies: Er ermöglicht es dem Server, automatisch Profil-Informationen des Benutzers abzufragen, beispielsweise die Adresse, den Namen des Partners oder der Kinder. Der Surfer verwaltet diese Informationen im Register ‘Inhalt’ (‘Persönliche Informationen/Profil...’). Da kein verantwortungsvoller Anwender hier auch nur eine Information eingibt, die der Browser an Fremde weitergeben könnte, darf der Profil-Assistent aktiv bleiben.

Auf eine besonders bedenkliche Funktion jenseits der Internetoptionen sei aber noch explizit hingewiesen: Unter dem Menüeintrag ‘Extras/Verwandte Links anzeigen’ empfiehlt der Internet Explorer dem Surfer Sites mit ähnlichem Inhalt wie die aktuell besuchte Seite. Auch der Navigator verfügt über diese Möglichkeit; dort heißt die betreffende Funktion ‘Smart Browsing’ (Verwandte Objekte anzeigen).

Sicherheitsbewusste Zeitgenossen verzichten auf die vermeintliche Surf-Hilfe lieber komplett.

Die Surf-Empfehlungen liefert die Firma Alexa. Damit Alexa überhaupt Empfehlungen geben kann, muss das Unternehmen natürlich wissen, wo sich der Surfer gerade befindet - der Browser übersendet also die aktuelle URL an Alexa. Das Unternehmen legt großen Wert darauf, dass diese Informationen Alexa ausschließlich anonym erreichen. Auch versichert der Service, nur die Basis-URL und nicht etwa Parameter-Anhänge zu übertragen, der mitunter Passwörter enthalten kann. Intranet-Adressen übertrage man grundsätzlich nicht - nachprüfen kann man die Aussagen nicht, man muss Alexa entweder vertrauen oder auf das Angebot verzichten.

Der Internet Explorer verwirrt mit einer Vielfalt an Einstellungsmöglichkeiten, wovon die Online-Hilfe viel zu wenig erklärt. Dennoch fehlen Punkte wie etwa die Weitergabe des ‘Referrer’, die man nicht unterdrücken kann. Diese Zeilen im HTTP-Request verraten Webservern, auf welcher Site sich der Surfer vorher befand.

Netscape Communicator

Im Unterschied zum Internet Explorer bietet der Netscape Communicator nur wenige, grobe Sicherheitsoptionen und kein Zonenmodell. Dafür hat Netscape im Bereich der Verschlüsselung die Nase vorn: Die internationalen Windows-Versionen sind nun auch mit starker 128-Bit-Verschlüsselung erhältlich. Diese war bislang unter das Rüstungs-Exportverbot der USA gefallen, sodass Netscape seine Browser international nur mit schwacher 56- oder gar 40-Bit-Verschlüsselung anbieten durfte. Derzeit lockert die US-Regierung die Export-Restriktionen und Netscape hat prompt reagiert.

Will der Nutzer Online-Geschäfte übers Web abwickeln oder auch nur seinen Freemail-Account abfragen, gerät er meist an SSL-Server (Secure Socket Layer). Diese zwischen Transportebene und Anwendung liegende Protokollschicht sorgt für eine verschlüsselte Übertragung sowie eine sichere Authentifizierung von Server und Client, in dem der SSL-Server für jede Session einen neuen Key generiert. Der Pferdefuß dabei: SSL-Verbindungen sind immer nur so sicher wie der schwächste Teilnehmer. Ist also der heimische Browser auf 40-Bit-Verschlüsselung ausgelegt, so beschränkt er damit den gesamten Transfer auf diese Methode. Allerdings bemerkt man das zunächst nicht, denn der Communicator meldet ja eine ‘gesicherte Verbindung’. Erst ein Klick auf den Security-Button (unten links) liefert genaue Angaben zur Verschlüsselungsstärke. Daher sollte man seinen Browser in jedem Falle ‘aufrüsten’.

Für den Communicator und den älteren Navigator steht dazu ein - für Privatanwender kostenloses - Utility zur Verfügung: Fortify [4] stattet den Communicator mit allen modernen Verschlüsselungstechniken aus. Leider haben die Programmierer das nützliche kleine Tool nur für alle Windows-Varianten des Browsers übersetzt. Linux-Nutzer des Communicators schauen deshalb zum Beispiel in die Röhre.

Die Communicator-Voreinstellungen hat Netscape darauf ausgerichtet, den Browser als Alleskönner zu präsentieren. Damit zeigt sich der Browser nach der Erstinstallation alles andere als sicher.

Im Erweiterten Einstellungsmenü sollten aktive Inhalte wenn möglich abgestellt werden. Cookies dienen ebenfalls nicht der Sicherheit.

Sicherheitsbewusste Zeitgenossen sollten daher im erweiterten Einstellungsmenü des Communicator Java sowie JavaScript - sofern nicht unbedingt benötigt - deaktivieren. Leider geht dabei nicht etwa nur der aktive Site-Inhalt verloren, sondern auch die Fähigkeit des Browsers, Cascading Style Sheets (CCS) annehmbar darzustellen. Der Grund hierfür ist ein Bug, der erst im Communicator 5 (Seamonkey) behoben sein soll.

Ähnliches gilt für Cookies. Einst von Netscape als - übrigens nicht in der HTTP-Spezifikation enthaltene - Erleichterung für Website-Betreiber gedacht, entwickelten sich die Daten-Kekse zu regelrechten Privacy-Killern. Das schert Netscape offenbar wenig, denn in der Standardeinstellung gelangt jedes Cookie vom Nutzer unbemerkt auf die heimische Festplatte. Anders als Microsoft mit dem Internet Explorer bietet Netscape den Benutzern keine Möglichkeit, mittels ‘Internet-Zonen’ oder Ähnlichem Cookies nur für bestimmte Sites freizuschalten.

Der Mittelweg ist im Falle des Communicators alles andere als golden: Aktiviert man die Option ‘Warnmeldung vor dem Akzeptieren von Cookies’, geht der Surfspaß durch ständiges Checkbox-Wegklicken schnell verloren. Bleibt die Möglichkeit, sich mit externen Shareware-Tools wie etwa dem Cookie Crusher zu behelfen. Hier ist der Nutzer dann tatsächlich in der Lage, gezielt Sites für den Cookieempfang freizuschalten.

Auch eine andere Eigenentwicklung dient nach Netscapes Angaben lediglich zum bequemeren Surfen: die mit dem Communicator 4.06 eingeführte Smart-Browsing-Funktion, auch als what’s related bekannt. Sie verbirgt sich hinter dem Button ‘Verwandte Objekte’ rechts neben dem URL-Eingabefeld. Ist die Funktion aktiviert, liefert sie themenbezogene Alternativen zur geladenen Webseite.

Wie Microsoft arbeitet auch Netscape dabei mit Alexa zusammen. Doch der Communicator sendet außerdem von jedem HTTP-Request eine Art Kopie an einen Netscape-Server in den USA. Sie enthält die IP-Adresse des Clients, die angeforderte URL und gleich noch die ID eines persistenten Cookie - das perfekte Tracking.

Bedenklich ist insbesondere, dass der Communicator nicht zwischen Intra- und Internet unterscheidet. So enthält die gesammelte Datenspur bei Netscape auch sämtliche angewählte Intranet-Adressen, die einen firmeninternen Firewall eigentlich nicht verlassen sollten. Bei CGI-Anfragen schneidet der Communicator Suchbegriffe oder eventuell übermittelte Passwörter wenigstens vor dem Versand ab. Legt man Wert auf Schutz der Privatsphäre, tut man gut daran, die Funktion in den Einstellungen unter Navigator/Smart Browsing zu deaktivieren.

Netscapes Browser bindet während der Installation alle vorhandenen Datei-Assoziationen des Betriebssystems in seine Viewer-Konfiguration ein. Trifft es im Web auf ein Word-Dokument, so öffnet es folgerichtig Microsoft Office, um die Datei korrekt anzuzeigen. Damit der Benutzer die Kontrolle behält, muss er zuvor über eine Checkbox den Ladevorgang bestätigen.

Es ist sicherer, Dokumente aus dem Web zunächst auf der Festplatte abzuspeichern. Diese Option ermöglicht der Communicator unter Einstellungen/Navigator/Anwendungen/Bearbeiten...

Eine bessere Methode besteht darin, zuerst das Dokument auf der Festplatte abzuspeichern und auf Viren zu überprüfen. Die entsprechende Option befindet sich im Einstellungsmenü unter Anwendungen/Bearbeiten. Im Falle von Viewern und Plugins für den Communicator gelten die bekannten Sicherheitstipps: Installieren Sie nur Software, die Sie unbedingt benötigen.

Opera ist unter Vielsurfern längst kein Geheimtipp mehr. Schnell, kompakt und ohne viel Ballast erfreut er Windows-, BeOS und neuerdings auch Linux-Nutzer. Bisher beschäftigten sich Bug-Jäger auf Grund der geringen Verbreitung des Browsers noch nicht sehr intensiv mit dem Shareware-Programm. Es bietet - die richtige Konfiguration vorausgesetzt - kaum Angriffsfläche und gibt sich Datensammlern gegenüber angenehm schweigsam. Weil seine Schöpfer nicht in den USA residieren, zog er bislang in einem Punkt gar seinen Mitbewerbern davon: Von Haus aus und in jeder Variante unterstützt der Browser starke Verschlüsselung via SSL.

Alles, was wir weiter oben über Gefahren bezüglich dynamischer Webinhalte sagten, gilt auch für den Opera-Browser. JavaScript stellt man über die Multimedia-Einstellungen/Skriptsprachen ab. Übrigens bleibt bei Opera - anders als beim Communicator - die Darstellung von CSS dennoch vollständig erhalten. Opera verfügt allerdings über keinen selbst entwickelten Java-Interpreter. Wer dennoch Java nutzen möchte, kann Suns Java-Plugin in den Browser einbinden.

Vorbildlich: Opera zeigt seine Optionen klar und übersichtlich. Wer auf Nummer Sicher gehen will, schaltet die Skriptsprachen lieber ab.
In Opera lässt sich die Referrer-Zeile von HTTP-Requests unterdrücken. Ein sinnvolles Feature, das man in den anderen Browser-Suites vergeblich sucht.

Leider bietet auch Opera 3.61 keine Möglichkeit, Cookies nur von bestimmten Seiten zuzulassen. Entweder alles oder nichts, lautet auch hier die Devise. Deaktiviert man den Menüpunkt ‘Referrer Logging’, unterdrückt Opera die Weitergabe von Refer-URLs in allen HTTP-Antworten.

E-Mail ist für gezielte Angriffe ein noch besser geeignetes Medium als das Web: Der Eindringling kann aktiv sein Zielobjekt angehen und muss nicht warten, bis ein Surfer eine spezielle Webseite abruft oder eine bestimmte Datei herunterlädt, wie es die meisten Angriffe via WWW erfordern. Darüber hinaus lässt sich über die E-Mail-Adresse ein bestimmter Benutzer beziehungsweise ein spezieller PC ansprechen.

Die Absenderadresse einer E-Mail lässt sich ohne großen Aufwand fälschen, falls die elektronische Post ohne zusätzliche Sicherungsmaßnahmen verschickt wird. Diese Tatsache macht es unmöglich, mit Mitteln der E-Mail-Clients verlässlich den Absender einer E-Mail zu verifizieren. Wer Sicherheit über die Herkunft seiner elektronischen Post haben will, muss sich mit seinen Gegenübern darauf verständigen, Verschlüsselungsprogramme wie PGP oder S/MIME einzusetzen [5, 6]. Zusätzlich bewirken diese Programme, dass die E-Mail auf ihrem Transport nicht mitgelesen werden kann.

E-Mail ist ein idealer Transporteur für trojanische Pferde und Viren in Form einer angehängten Datei. Ein gesundes Maß an Misstrauen ist also bei unerwarteter Post von vermeintlichen Freunden oder Kollegen angebracht, die eine ausführbare Datei oder aber auch ein Office-Dokument enthalten. Denn auch Dateien der Office-Anwendungen können via Makro-Viren sehr großen Schaden anrichten.

Wir haben uns die populärsten E-Mail-Clients für Windows - Outlook Express, Outlook 2000, Netscape Messenger, Eudora, Pegasus und The Bat! - daraufhin angesehen, wie einfach sie es dem Anwender machen, vorschnell einen potenziell gefährlichen Anhang zu öffnen - oder ob sie gar von sich aus eine .exe-Datei starten beziehungsweise ein Word-Dokument an die Textverarbeitung senden.

Letztere Eigenmächtigkeiten erlaubte sich keines der Programme. Auch ist es bei fast allen Programmen unmöglich, ‘aus Versehen’ oder durch eine Fehlbedienung einen möglicherweise gefährlichen Anhang zu öffnen. Typischerweise zeigen die Programme Attachments in einem Extrafenster oder in einer Dateiliste, von wo aus sich Dateien per Doppelklick starten lassen. Über das Kontextmenü oder per Drag and Drop besteht die Möglichkeit, die Attachments abzuspeichern.

Einzig Outlook 2000 macht es dem Anwender gefährlich einfach, unbedacht eine Word-Datei zu öffnen. Zwar besitzt das Programm eine Sicherheitseinstellung zum Thema ‘Anlagensicherheit’, die ‘auf alle Sicherheitsprobleme’ hinweisen und dem Anwender die Wahl lassen soll, ob er potenziell unsichere Anlagen öffnet. Doch Word-Dateien zählt Microsoft offenbar nicht dazu. Wer in der Standardübersicht von Outlook das Heftklammer-Logo eines Word-Attachments anklickt, öffnet damit die betreffende Datei. Nur wer zugehörende Mail extra öffnet, kann den Anhang gefahrlos speichern. Bei ausführbaren Dateien warnt Outlook 2000 hingegen vor den damit verbundenen Risiken, bevor es ermöglicht, die Datei zu öffnen - wie alle Programme außer The Bat!.

Gefährliche, bunte Post

Indem die Hersteller ihre E-Mail-Clients immer mehr mit den Browsern verschmolzen und HTML als Auszeichnungssprache auch für elektronische Post herangezogen haben, sind neue Sicherheitsrisiken entstanden. Denn mit den bunten Bildern und Texten konnten E-Mails plötzlich auch JavaScript und andere potenzielle Schädlinge enthalten - gerade die Skriptsprache hat sich als sehr mächtiges Werkzeug für E-Mail-Angriffe erwiesen. Etliche der Sicherheitsrisiken, die in den letzten Monaten gefunden wurden, bezogen sich sowohl auf den Internet Explorer beziehungsweise den Navigator als auch auf den zugehörenden E-Mailer Outlook (Express) beziehungsweise Messenger.

Dabei lassen sich die Risiken gut eindämmen. Sowohl Outlook Express als auch Outlook 2000, die beide den Internet Explorer als Viewer für HTML-E-Mails verwenden, lassen dem Anwender die Wahl, welche Internetzone des Browsers sie dafür heranziehen sollen; die Internetzone und die eingeschränkten Sites stehen dafür zur Auswahl. Als Standard wählen sie leider die erste Möglichkeit; die andere Option mit möglichst entsprechend restriktiven Einstellungen ist auf jeden Fall besser. Der Netscape Messenger arbeitet mit den Sicherheitsvorgaben des Navigator. Der Anwender, der Wert auf Sicherheit legt, muss also entweder sowohl beim Messenger als auch beim Navigator ohne JavaScript leben oder einen anderen E-Mail-Client benutzen.

Für HTML-E-Mails sollte man auf jeden Fall restriktive Sicherheitsvorgaben machen.

Pegasus und The Bat! benutzen eigene HTML-Viewer, die JavaScript oder andere gefährliche Inhalte nicht beherrschen - eine Gefahr dürfte von deren Browsern nicht ausgehen. Man sollte sich aber auch als Benutzer dieser Programme nicht hereinlegen lassen und vorschnell ein HTML-Attachment doppelklicken - für solche Anhänge benutzen beide Programme den Standardbrowser des Rechners.

Hände Web!

Neben den E-Mail-Clients für den Desktop werden Web-basierte E-Mail-Dienste wie Hotmail oder GMX immer beliebter. Die Möglichkeit, E-Mails von jedem PC aus empfangen oder senden zu können, ist reizvoll, birgt aber auch ein hohes Risikopotenzial. Denn da die gesamte E-Mail-Arbeitsumgebung ein HTML-Dokument ist, kann schon eine trickreich beispielsweise mit JavaScript angereicherte E-Mail genügen, um Daten auszuspähen.

In letzter Zeit mehren sich Meldungen über Sicherheitslücken bei WWW-E-Mail-Diensten. Dass gerade Microsofts Hotmail sehr oft von solchen Lecks betroffen ist, muss dabei nicht unbedingt daran liegen, dass Hotmail besonders nachlässig programmiert oder gewartet wird. Vielmehr kann es auch sein, dass die Microsoft-kritische Online-Sicherheitsszene dieses Angebot besonders genau unter die Lupe nimmt.

Dabei existieren noch Dutzende anderer Freemailer, über deren Sicherheit man nur spekulieren kann. Für vertauliche Korrespondenz sollte man die meisten dieser Dienste aber auf jeden Fall meiden, da sie in der Regel weder verschlüsselten Versand noch Zertifizierung bieten. Zu den Ausnahmen zählt Web.de: Der Dienst verschlüsselt E-Mails serverseitig und erlaubt es seinen Benutzern auch, ihre Post per Zertifikat digital zu unterschreiben. Eine Garantie für die absolute Sicherheit ist dies jedoch auch nicht.

Neben E-Mail und WWW gehört heute das Chatten zu den beliebtesten Internet-Diensten. Allerdings tummeln sich in den Chat-Foren häufig auch echte und Möchtegern-Cracker. Angriffe auf fremde Systeme sind in diesem Umfeld sehr beliebt.

Das weltweit am weitesten verbreitete Chat-System heißt Internet Relay Chat (IRC).

Anonymität liegt dem IRC-Protokoll grundsätzlich fern: Jeder IRC-Server verlangt zur Anmeldung die Übermittlung der IP-Adresse des Clients. Damit kann im Grunde jeder IRC-Teilnehmer die IP-Kennung aller anderen Teilnehmer einsehen. Dieser Umstand ermöglicht den gezielten Angriff auf den Rechner eines Benutzers - unter Umständen sogar direkten Zugriff auf dessen Rechner. In jedem Fall reicht die Angabe einer IP-Adresse für einen ‘Flooding’-Angriff aus, eine Datenüberflutung. In der harmlosen Variante findet der Angriff direkt über das IRC-Protokoll statt, worauf im schlimmsten Fall der IRC-Server die Verbindung abbricht. Problematischer ist ein ‘Packeting’-Angriff, bei dem der Angreifer mit speziellen Programmen eine Flut von Datenpaketen an die entsprechende IP-Adresse schickt. Unter Umständen reißt dadurch die Verbindung zum Internet komplett ab.

Das Risiko lässt sich jedoch durch bestimmte Sicherheitsmaßnahmen minimieren. Die meisten IRC-Clients enthalten eine Tarnkappen-Option, den ‘Invisible Mode’. Von Haus aus ist diese Option bei den meisten IRC-Programmen allerdings ausgeschaltet; man muss sie explizit aktivieren.

Echte Unsichtbarkeit bietet dieser Modus zwar nicht, aber zumindest legt er die eigene IP-Adresse nicht allzu offen: Wer einen Server nach allgemeinen Domain-Namen (zum Beispiel *.de) absucht, findet die maskierte IP-Adresse daraufhin nicht mehr. Vor einer individuellen ‘whois’-Abfrage auf den konkreten Anwendernamen schützt das nicht - eine solche Abfrage bringt grundsätzlich immer die IP-Adresse zu Tage. Dazu muss der Angreifer aber konkret den ‘Nick’ (Nickname oder Spitzname) des potenziellen Opfers kennen.

Will man die eigene IP-Adresse völlig verheimlichen, geht man einen Umweg. Dies funktioniert im Wesentlichen durch zwei Methoden: Man benutzt entweder einen ‘Bouncer’ oder ein ‘Wingate’, die ins IRC verbinden. Der Bouncer macht seinem Namen alle Ehre, indem er für eine IRC-Verbindung erst einen anderen Server aufruft, auf dem die Bouncer-Software läuft, und von dort aus in das IRC-Net ‘hüpft’. Andere Teilnehmer bekommen so immer nur die IP-Adresse des Servers mit dem Bouncer zu sehen statt der eigenen IP. Es fällt allerdings nicht ganz leicht, Zugang zu einem Bouncer-Server zu finden: die wenigsten stehen der Allgemeinheit zur Verfügung.

Ein Wingate funktioniert ähnlich, steht aber in der Regel jedem Internet-Teilnehmer offen. Eine Liste mit Wingates steht zum Beispiel auf [7]. Eine feine Sache, würden nicht die meisten IRC-Server derartige Verbindungen untersagen - in erster Linie, weil viele Nutzer über derartige Verbindungen unter dem Deckmantel der Anonymität Unfug treiben. Proxy-Verbindungen über Wingates oder Bouncer bieten ihrerseits ein Risiko, da man meist nicht weiß, wer den jeweiligen Server betreibt - wie bereits in der Einleitung erwähnt.

Vor Floods im großen Stil schützen allerdings beide Methoden nur bedingt: Natürlich kann der Angreifer auch den Proxy angreifen und lahm legen. Daraufhin verliert man allerdings nur den Kontakt zum IRC; die Verbindung zum eigenen Provider bleibt bestehen.

Eine Gefahrenquelle liegt in einer IRC-Funktion namens DCC (Direct Client-to-Client Protocol). Diese dient einerseits dazu, direkt mit einer anderen Person zu kommunizieren, ohne den Umweg über den IRC-Server, andererseits auch zum beidseitigen Austausch von Dateien. Grundsätzlich gilt: Man nehme niemals eine Datei von einer unbekannten Person an. Am gefährlichsten sind ausführbare Dateien, in denen Viren und Trojaner lauern können. Besonders bedrohlich sind Clients wie VIRC für Windows, die ausführbare Dateien auf Wunsch nach deren Übertragung automatisch ausführen. Bei VIRC ist diese Funktion standardmäßig deaktiviert - die Vernunft gebietet, diese Option nicht zu nutzen.

Vor dieser Option sollte man sich hüten: Wer einem Chat-Client wie VIRC erlaubt, heruntergeladene Dateien automatisch auszuführen, öffnet Trojanischen Pferden die Tür.

Nicht wenige Chatter schicken anderen Teilnehmern gern Scripts zur Erweiterung des IRC-Clients: Sei es eine angenehmere Farberscheinung, aus ASCII-Zeichen bestehende Grafiken oder einfach nur Komfortfunktionen.

Die Dateinamen dieser Scripts enden meist auf ‘.ini’ oder ‘.mrc’; mIRC lädt sie zum Beispiel mit dem Kommandozeilenparameter ‘/load -rs ’. Es empfiehlt sich, mit derartigen Dateien sehr vorsichtig umzugehen - darin verbergen sich nicht selten Trojanische Pferde oder andere bösartige Programme, die entweder den Rechner ausspionieren oder einfach das Ziel haben, den Benutzer zu ärgern.

Neben IRC erfreuen sich so genannte Messenger-Systeme immer größerer Beliebtheit, die mehr auf die Kommunikation mit Einzelnen oder kleinen Gruppen ausgelegt sind. Dazu gehören ICQ und AIM. Die Abkürzung ICQ steht für ‘I Seek You’ - ein doppeldeutiges Wortspiel angesichts der Tatsache, dass nicht wenige Leute das Programm als ‘wanderndes Sicherheitsloch’ bezeichnen. Das Programm ist allerdings nicht so schlimm wie sein Ruf: Vernünftig konfiguriert und mit Bedacht benutzt, kann man ICQ durchaus sicher betreiben.

Das grundlegende Problem mit ICQ liegt darin, dass der gesamte Datentransfer unverschlüsselt stattfindet. Potenziellen Angreifern stehen damit alle Türen offen, zumal das ICQ-Protokoll viele Angriffsflächen bietet. Hinzu kommt, dass die IP-Adresse jedes Anwenders im Normalfall offen liegt, selbst wenn in den Standardeinstellungen ‘Do not publish IP-Adress’ steht.

Wesentlich wirksamer schützt man seine IP-Adresse, indem man nur Nachrichten von bekannten Teilnehmern zulässt, also Leuten aus der eigenen Kontaktliste (Menü: Preferences, Security & Privacy, Karteireiter ‘Ignore List’). Die eigene IP-Adresse liegt nämlich erst dann offen, wenn eine Nachricht angenommen wurde. Die Einschränkung auf bekannte Kontakte erspart einem auch Spam. ICQ verwendet Nummern zur eindeutigen Benutzerkennung, ‘Universal Identification Numbers’ (UIN) genannt; dies missbrauchen einige Teilnehmer dazu, um wahllos Werbebotschaften in das ICQ-Netz zu pumpen.

Die Standard-Sicherheitseinstellungen des ICQ-Clients eignen sich absolut nicht, um das Programm sicher zu betreiben. Der Anwender muss selbst Hand anlegen, unter Preferences, Security & Privacy, im Karteireiter ‘Security’. Zunächst sollte man nicht jedem Benutzer gestatten, die eigene UIN auf seine Kontaktliste zu setzen, sondern nur nach ausdrücklicher Erlaubnis (‘My Authorization is required’). Zwar können böswillige Anwender diese Einstellung ‘aushebeln’, doch bietet sie immerhin gewissen Schutz davor, dass jeder beliebige User sieht, ob man sich gerade online oder offline befindet.

So ist es richtig: empfohlene Sicherheitseinstellungen für ICQ

Dem gleichen Gedanken folgend sollte man die ‘Web Awareness’ ausschalten: Dies verhindert, dass andere Anwender auf der ICQ-Homepage sehen können, ob das ICQ-Programm auf dem eigenen Rechner gerade aktiv ist oder nicht. Um sich weiterhin zu schützen, sollte man immer ‘invisible’ online gehen: Dann können nur diejenigen ICQ-Teilnehmer, die in der Visible List stehen, den Online-Status feststellen. Diesen Schutzmechanismus können auch Zusatzprogramme und ICQ-Clones nicht aushebeln.

Auch das Passwort sollte man nie speichern. Dazu deaktiviert man das Häkchen ‘Save Password’ und setzt zudem die Sicherheitsstufe (‘Security Level’) auf ‘High’. Obwohl ICQ das Passwort nicht mehr im Klartext abspeichert, verhindert diese Sicherheitsmaßnahme, dass unautorisierte Benutzer einen fremden ICQ-Client missbrauchen - diese Gefahr besteht besonders bei Rechnern, auf die mehrere Leute Zugriff haben.

Paranoiker können weiterhin die Option ‘Do not allow direct communication with previous (less secure) client’ aktivieren. Dies verhindert grundsätzlich jegliche Kommunikation mit Linux- und MacOS-Versionen von ICQ, aber auch die Verbindung mit älteren ICQ-Versionen für Windows. Da sollte man doch lieber auf die oben beschriebene Methode zurückgreifen und die Kommunikation nur mit Teilnehmern aus der Kontaktliste zulassen.

Bei ICQ unterbindet man unerwünschte Nachrichten und die Erspähung der IP-Adresse am besten, indem man nur Nachrichten von Benutzern zulässt, die auf der Kontaktliste stehen.

Wie bereits erwähnt, überträgt das ICQ-Protokoll alle Daten unverschlüsselt. Mit etwas Geschick und entsprechender Software kann man daher Nachrichten mit fremden UINs versenden. Dieser Missstand schränkt natürlich das Vertrauen zu einer bestimmten UIN ein, selbst wenn man diese zu kennen glaubt. Besonders relevant ist diese Problematik beim Dateitransfer: Da ICQ keine Möglichkeit zur sicheren Bestätigung einer Identität bietet, kann eine Datei trotz vertrauenswürdiger Absender-UIN durchaus von einem böswilligen Zeitgenossen stammen. Absichern kann man sich nur durch hartnäckiges Rückfragen.

Noch eine Warnung zum Thema Dateitransfer: Selbst wenn man eine Datei erhält, die mit einer ‘harmlosen’ Endung wie .txt oder .gif endet, sollte man vorsichtig sein. Der ICQ-Dialog ‘Get File’ zeigt nur eine begrenzte Anzahl von Zeichen an - hinter zahlreichen Leerzeichen kann immer noch eine ‘.exe’-Endung lauern. Daher gilt: niemals eine empfangene Datei direkt aus ICQ öffnen, sondern immer erst nachsehen, ob die vorgegebene Dateiendung auch wirklich stimmt.

Andere Funktionen wie Plugins und Internet-Telefonie sollten grundsätzlich ausgeschaltet bleiben. Wer ICQ erlaubt, andere Programme auf dem Rechner aufzurufen, spielt ebenfalls mit dem Feuer. Wesentlich sicherer ist es, die Programme nach vorheriger Absprache mit dem Gesprächspartner von Hand zu starten - ein minimaler Mehraufwand.

Der von AOL in Umlauf gebrachte Instant Messenger bietet im Vergleich zu ICQ zwar deutlich weniger Funktionen und auch weniger registrierte Anwender, doch das Programm hat auch Vorzüge. Zum einen erreicht man darüber neben anderen AIM-Benutzern auch alle angemeldeten AOL-Teilnehmer, zum anderen bietet er deutlich weniger Angriffsmöglichkeiten.

Im Unterschied zu ICQ und IRC übermittelt der Instant Messenger keine IP-Adresse an die Gegenstelle, nicht einmal beim Austausch von Dateien. Dieser Umstand grenzt die Möglichkeiten eines potenziellen Angreifers bereits gewaltig ein. (Allerdings verschickt die Beta-Version des AIM 3.5 Bilder in das Telegrammfenster und baut dazu eine direkte IP-to-IP-Verbindung auf.)

Somit gehen die größten Gefahren bei diesem Chat-Client vom Programm an sich aus. So fanden US-amerikanische Schüler vor kurzem einen Weg, über ein Sicherheitsloch das Passwort eines beliebigen AIM-Teilnehmers bei der Anmeldung von AOL 5.0 zu überschreiben, um sich dessen AIM-Kontos zu bemächtigen. Die einzige Schutzmöglichkeit vor diesem Problem liegt darin, dass AOL den Fehler behebt.

Für die mit AIM versandten oder empfangenen Dateien gelten die gleichen Richtlinien wie für alle anderen Chat-Programme. Eine Einstellung im Dialog ‘File Transfer’ birgt besondere Risiken: Hier kann man anderen Benutzern erlauben, automatisch Dateien vom eigenen Rechner auf deren Computer zu übertragen - von dieser Erlaubnis sollte man entschieden Abstand nehmen.

Vorsicht bei den AIM-Einstellungen zum Dateitransfer: Andere Benutzer sollten Ihnen niemals Dateien automatisch und unbemerkt zusenden dürfen.

Glücklicherweise sichern die Standard-Einstellungen den Anwender weitgehend vor unliebsamen Überraschungen. Zumindest in Bezug auf die Rechnersicherheit kann man den AOL Instant Messenger ruhigen Gewissens mit den Standardeinstellungen nutzen.

Dienstbare Geister

Neben den Programmen, über die sich Internet-Dienste nutzen lassen, setzen manche Surfer auf ihrem PC auch Serversoftware ein, die solche Dienste selbst zur Verfügung stellt. Dazu zählen Webserver, die im lokalen Netz genutzt werden oder einfach nur bei der Erstellung eigener HTML-Seiten als Testplattform dienen. Auch ein ftp-Server kann nützlich sein, um einem Bekannten mal schnell eine Datei zum Download zur Verfügung zu stellen. Generell sollte man diese Server jedoch unbedingt beenden, bevor man online geht, ohne diese wirklich zu brauchen.

Mittlerweile werden die Adressräume der Provider, in denen die IP-Adressen der eingewählten Kunden liegen, ständig nach offenen Ports abgesucht. So werden die genannten Server leicht entdeckt. Sie besitzen häufig bekannte Sicherheitslücken oder sind - weil nur für den Hausgebrauch gedacht - schlecht konfiguriert, sodass Eindringlinge darüber Zugriff auf das System erhalten. Und wenn ein Server den Inhalt der Festplatte per HTTP oder ftp jedermann anbietet, dann nützt die beste Browser-Konfiguration nichts mehr. (ad)

[1] Patches für Internet Explorer

[2] Patches für Netscape Communicator

[3] Online-Browsertest

[4] Sichere Verschlüsselung für Netscape-Browser

[5] Dr. Gerald Spiegel: Hinter Schloss und Siegel, Sichere E-Mail durch S/MIME, c't 8/99, S. 174

[6] Norbert Luckhardt: Pretty Good Privacy, Teil 1: Einstieg in das Web of Trust, c't 12/99, S. 212

[7] Wingate-Verzeichnis (ad)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten