zurück zum Artikel

Manche Sicherheits-Tools schützen wirklich, auf andere kann man aber auch getrost verzichten. Dieser Ratgeber gibt Tipps für den optimalen Rundum-Schutz, der nicht nervt.

Das Fehlen einer guten Verhaltenserkennung ist eine der wichtigsten Einschränkungen kostenloser Antiviren-Software. Bei guten kommerziellen Produkten wie Norton oder Kaspersky bildet diese Verhaltensanalyse eine letzte und sehr effiziente Verteidigungslinie, indem sie die Aktivitäten von Programmen überwacht und bewertet.

Häufen sich die verdächtigen Aktionen, etwa weil ein Programm sich zunächst in der Registry verewigt, Tastatureingaben abfängt und sich in die verschlüsselte Kommunikation des Browsers einklinkt, hat man es vermutlich mit einem Trojanischen Pferd zu tun. In solchen Fällen schreitet der Verhaltenswächter ein und ermöglicht es im Idealfall sogar, die Manipulationen am System zu verhindern.

Auch wer ein kostenloses Antivirus-Programm einsetzt, muss nicht auf diesen zusätzlichen Schutz verzichten. PC-Tools bietet mit ThreatFire eine kostenlose, spezialisierte Verhaltenserkennung an. Sie ist darauf ausgerichtet, zusätzlich zu einem herkömmlichen Antiviren-Programm installiert zu werden. Ein Betrieb allein, also ohne zusätzlichen Basisschutz durch einen herkömmlichen Virenwächter mit guter Signatur- und Heuristikerkennung ist somit nicht zu empfehlen. Schließlich genügt ein einziger, nicht erkannter Schädling, um das System zu infizieren – und die große Masse davon fischen nun mal nur die herkömmlichen AV-Lösungen zuverlässig weg.

In unseren Tests mit Avira und MSE funktionierte der Parallelbetrieb mit ThreatFire völlig reibungslos. Die Kombination von Threatfire mit einem AV-Produkt, das selbst bereits ein Verhaltenserkennung enthält, ist jedoch nicht zu empfehlen. Im Allgemeinen hält sich der Wächter dezent im Hintergrund. Wenn er verdächtige Aktivitäten feststellt, bietet er an, das fragliche Programm normal fortzusetzen oder zu blockieren. Im Test blockierte es alle 15 händisch gestarteten Schädlinge, die den klassischen Wächtern durchrutschten. Nur in einem Fall blieb ein Registry-Eintrag und einmal eine ausführbare Datei zurück. In keinem der Tests war jedoch das System danach infiziert.

Firewalls und Updates

Firewalls

Als weitere Schutzmaßnahme werden immer wieder Personal Firewalls diskutiert, die den Netzwerkverkehr kontrollieren und damit bösartige Aktivitäten unterbinden sollen. Dabei will man zum einen Angriffe von außen abwehren und zum anderen Trojaner daran hindern, ausspionierte Daten zu verschicken.

Wer seinen Heim-PC noch direkt mit dem Internet verbindet, sollte sich einen Hardware-Router mit Firewall-Funktionen anschaffen. Der filtert schon mal alles weg, was ungefragt aus dem Internet kommt. Nur wenn man sich etwa mit einem Notebook regelmäßig direkt mit potenziell feindseligen Netzen verbindet, braucht man dann noch wirklich eine Personal Firewall, die das System gegen unerwünschte Zugriffe von außen abschottet. Doch diese Aufgabe erledigt die Windows Firewall bereits sehr zuverlässig – und meist sogar besser als die Personal Firewalls von Dritt-Herstellern, die mit seltsamen Ausnahmeregeln oder fehlender IPv6-Unterstützung Löcher in den Schutzwall reißen.

Der Versuch hingegen, den ausgehenden Netzwerkverkehr eines PC zu überwachen und zu regulieren, um mögliche Spionage-Aktivitäten zu verhindern, ist aussichtslos. Fast alle Programme haben heutzutage irgendwelche Netzwerkfunktionen und mit den Informationen einer Firewall können nicht einmal Experten entscheiden, ob eine bestimmte Verbindung gefährlich oder sogar fürs Funktionieren des Computers notwendig ist. Diese Überwachung ergibt nur im größeren Kontext einer Verhaltensanalyse Sinn. Deshalb sind auch die Personal Firewalls der Internet-Security-Suiten dazu übergegangen, Netzwerkverkehr von Programmen, die nicht sonst irgendwie auffällig geworden sind, ohne Nachfragen durchzuwinken. Separate Personal Firewalls hingegen nerven den Anwender oft mit ständigen Alarmmeldungen.

In den letzten Tests von c't waren gerade in Bezug auf Sicherheit alle Personal Firewalls von Dritt-Herstellern schlechter als die Windows Firewall. Wer sich also einen Gefallen tun will, bleibt bei der und konzentriert sich lieber auf

Updates

Ein kritisches Einfallstor, das man unbedingt verriegeln sollte, sind alte Programmversionen mit bekannten Sicherheitslücken. Schwachstellen in Browsern, Java, Flash, Adobe Reader, MS Office, MP3-Playern und so weiter werden mittlerweile routinemäßig ausgenutzt, um Spionageprogramme oder Bot-Netz-Software einzuschleusen. Und zwar nicht nur in den Schmuddelecken des Internet, sondern beispielsweise über gekaperte Server bekannter Websites oder eingeblendete Anzeigen.

Die Update-Funktionen von Windows, die die Sicherheits-Updates aus Redmond automatisch nachinstallieren und mittlerweile auch andere Microsoft-Produkte wie MS Office einschließen, sind ein Segen, dem man sich nicht verschließen sollte. Anders als etwa Linux hat Windows jedoch immer noch keine brauchbare Infrastruktur, um Programme von Drittherstellern systematisch zu aktualisieren. Deshalb kocht jeder Hersteller sein eigenes Süppchen, was dazu führt, dass viele Programme nicht oder zumindest nicht zuverlässig auf den aktuellen Stand gebracht werden.

Abhilfe schafft ein regelmäßiger Besuch beim Update-Check von heise Security. Dort testet einJava-Applet im Browser Windows und 26 verschiedene Programme, darunter die gängigen Browser, Adobe Reader, Flash, Quicktime und Java auf bekanntermaßen unsichere Versionsstände. Findet er eine Version mit bekannten Sicherheitslücken, bietet er auch gleich einen Link zur Installation eines Updates an.

Gründlicher geht der lokal installierte Personal Software Inspector [1] (PSI) von Secunia zu Werke, der die vorgefundenen Programme mit der umfangreichen Schwachstellendatenbank des skandinavischen Sicherheitsdienstleisters abgleicht. Der Mozilla Plugin Check [2] funktioniert zwar durchaus auch mit Internet Explorer, überprüft aber nur die Browser-Erweiterungen.

Passwörter und mehr

Passwörter

Ein Problembereich sind nach wie vor Passwörter. Nicht weil die reihenweise geknackt würden, wie Untersuchungen über die nötige Komplexität von Passwörtern suggerieren, sondern weil man mehr braucht, als man sich merken kann. Und wer für viele Seiten das gleiche Passwort verwendet, lebt gefährlich. Wenn einer dieser Server gehackt werden sollte oder man sich im falschen WLAN aus Versehen über eine unverschlüsselte Seite anmeldet und prompt jemand das im Klartext verschickte Passwort mit liest, stehen dem geneigten Hacker Tür und Tor zu einer ganzen Reihe von Diensten offen.

Das vielleicht wichtigste Passwort ist das des Mail-Zugangs. Denn in der Inbox finden sich oft Zugangsdaten und oft kann man sich über einen Passwort-Reset Zugang zu weiteren Diensten verschaffen. Deshalb sollte man dieses Passwort möglichst separat behandeln.

Um für die anderen Accounts jeweils ein eigenes, ausreichend sicheres Passwort zu verwenden, kann man sich helfen lassen; zum Beispiel von einem der eingebauten Passwort-Safes der Browser. Doch die lassen sich ihre Geheimnisse sehr leicht entlocken. Als mindestes sollte man dort ein Master-Passwort für den Zugriff setzen. Sonst genügen wenige Mausklicks am unbeaufsichtigten Rechner, um sich die komplette Passwortliste auszudrucken. Oder eine der auf Websites nahezu allgegenwärtigen Cross-Site-Scripting-Lücken [3] gibt das Passwort preis.

Die nächste Stufe ist ein externer Passwort-Safe wie Keepass [4]. Damit hat man die schutzbedürftigen Geheimnisse schon mal aus der Risikozone Browser entfernt. Allerdings bleibt der Safe ein sehr lohnenswertes und prinzipbedingt anfälliges Ziel. Denn irgendwann müssen Sie ja mal das Master-Passwort eintippen – und dann kann ein eventuell mitlauschendes Spionageprogramm im Hintergrund abräumen.

Wer es also Ernst meint mit der Sicherheit, geht noch einen Schritt weiter und speichert die Passwörter nicht auf dem anfälligen PC sondern merkt sie sich mit einem Trick: Man merkt sich eine möglichst lange, komplexe Zeichenkette und kombiniert die mit einer im Zweifelsfall leicht zu erratenden für jede einzelne Site. Da kommt dann etwa heis%fgHao6CE4 heraus. %fgHao6CE4 brennt sich im Gedächtnis ein, wenn man es ein paar Dutzend Mal eingetippt hat und etwas wie "heis" für den heise-Account kann man sich grade noch merken. Zu knacken ist diese Art von Passwort jedoch kaum.

Wem das zu kompliziert ist, dem sei ein altmodischer, analoger Passwort-Safe ans Herz gelegt. Auch wenn es oft verspottet wird, ist das Aufschreiben von Passwörtern auf einem Zettel, den man im Geldbeutel verwahrt, gar keine so schlechte Idee. Auf den Geldbeutel passt man ohnehin gut auf und das Spionageprogramm, das vom PC aus einen solchen Zettel ausspioniert, muss erst noch erfunden werden.

Ein Taschendieb der einen Geldbeutel klaut, wird am Bargeld und der Kreditkarte mehr Freude haben, als an einem unscheinbaren Zettel mit kryptischen Zeichenfolgen. Und wer sich wirklich gezielt Geldbeutel klaut, um an diese Passwörter zu gelangen, scheut im Zweifelsfall auch nicht vor dem Einsatz von physischer Gewalt zurück. Natürlich sollte man den Zettel-Safe nicht als Passwort-Policy für Hochsicherheitsbereiche verallgemeinern. Aber wenn man zwischen wenigen, schlechten Passwörtern und Aufschreiben entscheidet, ist der Zettel definitiv die bessere Wahl.

Mehr davon

Wer darüber hinaus noch etwas für seine Sicherheit tun will, sollte das Haupteinfallstor weiter absichern: den Web-Browser. Firefox [5] statt Internet Explorer zu benutzen, bringt einen schon aus der Schusslinie vieler Exploits. Aber man sollte sich damit nicht allzu sehr in Sicherheit wähnen. Denn Firefox ist kein Exot mehr und Web-Exploits sind eine reale Gefahr: Für Bot-Netz-Baukästen wie Zeus gibt es bereits spezielle
Firefox-Module.

Aus Sicherheitssicht viel versprechend ist Google Chrome [6], da hier Entwickler mit dem Ziel, einen modernen, sicheren Browser zu bauen, den gesamten Netscape-Ballast über Bord geworfen und dabei einige sehr interessante Sicherheitskonzepte umgesetzt haben. So isoliert Chrome jedes Browserfenster in einem eigenen Prozess und kritische Komponenten sind nochmals in einem Bereich mit niedrigen Privilegien abgeschottet. Diese zusätzlichen Hürden sind sicher nicht unknackbar, aber sie haben immerhin dazu beigetragen, dass Chrome als einziger der „großen“ Browser bereits zwei Mal unversehrt aus dem alljährlichen Hacker-Spektakel Pwn2own hervorging. Das man sich damit wieder ein Stück mehr dem Datenkraken Google ausliefert, steht auf einem anderen Blatt.

Das Microsoft-Tool EMET [7] aktiviert zusätzliche Schutzmechanismen von Windows und lässt damit viele Exploits ins Leere laufen. Den Alltag im Internet können auch kleine Helfer in Form von Add-ons sicherer gestalten. Mit NoScript [8] kann man aktive Inhalte weitgehend verbieten und nur ausgewählte, vertrauenswürdige Websites für dynamische Inhalte freischalten. Das ist natürlich mit erheblichen Komforteinbußen verbunden. Wer sich in sozialen Netzen tummelt, kennt die allgegenwärtigen Kurz-URLs von Bit.ly & Co. Sie verschleiern das eigentliche Ziel eines Links und kommen deshalb gern zum Einsatz, um Anwender auf bösartige Seiten zu leiten. Der Dienst LongURL Please [9] löst die Umleitung auf und enthüllt das eigentliche Ziel. Das erledigt auf Mausklick ein kleines Bookmarklet, das man in seiner Lesezeichenleiste speichert. Für Firefox gibt es sogar ein Add-on. (ju [10])

URL dieses Artikels:
https://www.heise.de/-1106122

Links in diesem Artikel:
[1] http://www.heise.de/software/download/personal_software_inspector_psi/47507
[2] https://www.mozilla.com/en-US/plugincheck/
[3] https://www.heise.de/hintergrund/Passwortklau-fuer-Dummies-270910.html
[4] http://www.heise.de/software/download/keepass_password_safe/15712
[5] http://www.heise.de/software/download/firefox/19416
[6] http://www.heise.de/software/download/google_chrome/57483
[7] https://www.heise.de/hintergrund/Microsoft-Tool-laesst-Exploits-ins-Leere-laufen-1078697.html
[8] http://www.heise.de/software/download/noscript/37987
[9] http://www.longurlplease.com/
[10] mailto:ju@ct.de

Copyright © 2010 Heise Medien