Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

FAQ: Sicher durchs Web

In Pocket speichern vorlesen Druckansicht
Lesezeit: 5 Min.
c't Magazin
Von
  • Christiane Rütten
Inhaltsverzeichnis

Immer wieder heißt es, der Internet Explorer sei unsicher. Welcher Browser ist denn sicherer?

Jeder Browser enthält Sicherheitslücken, daher ist die Wahrscheinlichkeit für einen Angriff der ausschlaggebende Faktor. Weil sich Malware-Schreiber vornehmlich auf die größte Zielgruppe konzentrieren, ist der Internet Explorer, mit einigem Abstand gefolgt von Firefox, der Browser mit dem höchsten Risiko. Am sichersten fährt man mit wenig verbreiteten Browsern wie Opera, Chrome und Safari.

Wie kann ich sicherstellen, dass alle meine Programme auf dem aktuellen Stand sind?

Microsoft bietet automatische Updates für Windows, MS Office und andere Softwareprodukte aus dem eigenen Hause. Auch Mozilla-Programme wie Firefox und Thunderbird verfügen über ein Auto-Update. Aktivieren Sie automatische Updates möglichst bei allen Programmen, die Sie regelmäßig verwenden. So erhalten Sie zeitnah wichtige Sicherheits-Patches.

Leider gibt es viele Software-Komponenten, für die eine Update-Funktion fehlt. Solche und andere Problemfälle entdeckt der Update-Check von heise Security (www.heisec.de/dienste/update-check; benötigt Java). Dieser durchsucht den Rechner nach bekannten Programmen, Plug-ins und Active-X-Controls, für die Updates bereitstehen.

Verseuchter Download

Ich habe ein Programm aus dem Internet heruntergeladen. Wie finde ich raus, ob es sauber ist?

Wenn die Datei nicht aus einer vertrauenswürdigen Quelle stammt – das Heise-Software-Verzeichnis etwa erledigt den Virenscan automatisch –, kann man im Zweifel einen Online-Scan-Vergleich zu Rate ziehen. Zwei bekannte Dienste sind VirusTotal und Jotti’s Malware Scan. Schlagen von den bis zu 40 Scannern höchstens zwei oder drei mit einer allgemeinen „Generic“-, „Gen“- oder „Suspicious“-Meldung an, ist die Wahrscheinlichkeit hoch, dass es sich nur um Fehlalarme handelt.

Außerdem kann eine Analyse in einer Sandbox Aufschluss über das Verhalten eines ausführbaren Programms geben. Ein kostenloser Sandbox-Dienst ist beispielsweise ThreatExpert. Dieser startet das Programm in einer abgesicherten Umgebung und liefert anschließend ein Verhaltensprotokoll.

Brauche ich eine zusätzliche Personal Firewall, um sicher vor Angriffen aus dem Internet zu sein?

Nein, die seit Windows XP SP2 standardmäßig aktivierte Windows-Verbindungs-Firewall schützt ebenso gut vor unbefugten Zugriffen aus dem Internet. Ihr unschätzbarer Vorteil: Sie nervt nicht mit unnützen Warnungen und verwirrenden Nachfragen. Sie schützt zwar nicht vor ausgehenden Verbindungen, doch diese lassen sich ohnehin nicht zuverlässig blockieren.

Woran erkenne ich Phishing-Mails und Webseiten?

Die meisten Phishing-Mails weisen eines oder mehrere der folgenden Merkmale auf: Rechtschreibfehler, schlechtes Deutsch, keine Erwähnung nicht offensichtlicher Kundendaten, Mail-Eingang auf mehreren Konten oder Verweise auf unseriöse Domain-Namen. Insbesondere Domain-Namen, die nicht auf .de oder .com enden, sollten alle Alarmglocken läuten lassen.

Gut gemachte Phishing-Seiten sind in der Regel nur noch an dem Domain-Namen erkennbar.

Gut gemachte Phishing-Webseiten sind in der Regel eine Kopie der Original-Webseiten und daher äußerlich von diesen kaum zu unterscheiden. Anzeichen für eine Phishing-Seite sind jedoch fehlende HTTPS-Verschlüsselung bei Finanzdiensten, ungewöhnlicher Domain-Name, fehlende Funktionen oder Redirects auf die Original-Domain beim Navigieren in der Website. Das Beste ist, man besucht wichtige Webseiten nur über einmal angelegte Bookmarks oder durch Eintippen der URL in die Adresszeile.

Was macht ein gutes Passwort aus und wie oft sollte man es wechseln?

Gute Passwörter sollten schwer zu erraten und trotzdem leicht zu merken sein. Ein System für gute Passwörter ist beispielsweise, sie aus zwei Teilen zusammenzusetzen: einem stets gleichen Grundpasswort aus Buchstaben, Zahlen und Sonderzeichen sowie einem Teil, der sich auf den Dienst bezieht, für den das Passwort verwendet wird. Das Grundpasswort stellt sicher, dass die Passwörter stets ausreichend lang und komplex sind, und die Erweiterung sorgt dafür, dass man nicht überall dasselbe Kennwort verwendet.

Ohne einen akuten Anlass – etwa dass ein Passwort in falsche Hände geraten ist – genügt es, das Grundpasswort jährlich oder alle zwei Jahre zu wechseln. Wenn Sie Probleme beim Merken von Passwörtern haben, notieren Sie sie lieber auf einem Zettel, als für jeden Dienst dasselbe schwache Kennwort zu verwenden. Wichtig ist, dass Sie sie nicht im Computer speichern oder wenigstens einen Passwort-Safe benutzen. Doch auch dort sind sie vor Trojaner-Angriffen nicht wirklich sicher.

Ich bin auf eine Abofalle hereingefallen und soll nun 80 Euro jährlich für einen nichtsnutzigen „Dienst“ zahlen. Wie verhalte ich mich?

Die Anbieter bewegen sich rechtlich mit ihrem auf Irreführung beruhenden Geschäftsmodell auf äußerst dünnem Eis. Trotz ihrer imposanten Drohkulisse lassen sie es in der Regel nicht auf ein Gerichtsverfahren ankommen. Legen Sie gegen die Rechnung möglichst knappen Widerspruch ein und berufen Sie sich auf einen Vertragsirrtum. Außer auf einen gerichtlichen Mahnbescheid müssen Sie auf nichts mehr reagieren. Mehr dazu im Online-Artikel „Kriminelle Energie, Tipps gegen die neuen Abzockermethoden im Netz“ unter http://ct.de/-797550. (cr)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten