STREAM
![Künstlerische Feldaufenthalte - Grundlagen am Beispiel [Konjunktiv]Grabung](assets/images/summary/visual_vav/werk_peak_theorie.jpg)
![Feldaufenthalt II - [Konjunktiv]Grabung](assets/images/summary/visual_vav/deadline.jpg)
![Factor Board [Zivilisation und Wildnis]](assets/images/summary/visual_vav/factor.jpg)
.jpg)
![[KonjunktivRadio]Ta ostatnia niedziela](assets/images/summary/visual_vav/konjunktiv_radio.jpg)
.jpg)
![Gegen Dokumentarvideos [Ikonen schaffen]](assets/images/summary/visual_vav/gegen_dokumentarvideos.jpg)
.jpg)
"NeSchüppeNix"
Dieser Text richtet sich natürlich an den normalen, praktisch orientierten, Privatanwender und spiegelt ausschließlich die persönliche Stammtisch-Meinung des Autors wieder, und kann so getrost direkt wieder vergessen werden.Ohne jede Gewähr usw. gibt die NonGeekZentrale hier mal ein paar rudimentäre Hinweise zu Sicherheit für Privatanwender im Umgang mit dem Internet.
Da ich (de Plate) in letzter Zeit immer häufiger danach gefragt werde hier mal eine Antwort.
Grundsätzlich muss vorweg gesagt werden, dass es keine Sicherheit gibt, solange ein PC mit einem Netzwerk verbunden ist.
Weiter ist WLAN (WiFi) immer "unsicherer" als das kabelgebundene Netz, denn schon allein die Information, "Es ist ein Netz vorhanden" ist unerwünscht.
WEP *UND* WPA/WPA2 sind knackbar. Target ist der WPA-PSK (P re S hared K ey). Zwar ist der Angriff ziemlich komplex, da er die genaue Analyse von Paketen z.B. mit Sniffern wie Snort voraussetzt, doch bei entsprechend lohnenden Zielen kann der Angriff gelingen. Im Prinzip kann so der Masterschlüssel via BruteForce oder Wörterbuch rekonstruiert werden.Das ist kein Geheimnis oder Insiderwissen, sondern allgemeiner Schulhofplausch, aber nur bis zu 7. Klasse noch ganz nett.
Immer zielen die WPA Angriffe auf die Rekonstruktion des Keys. Allerdings dürfte aufgrund der hohen Rechenlast dieser Angriff eher nicht im privaten Umfeld zum Einsatz kommen. Doch: Privatanwender wählen in der Regel absolut lächerliche Passwörter: Netzwerkname: Mami Passwort: Mami.
In der privaten Praxis ist WPA2 ganz okay. Dennoch gibt es von hier nur eine Empfehlung: Wichtige Rechner nur kabelgebunden betreiben, Dreckschleuder LapTop ruhig ins WLAN lassen, aber nicht ins eigene Kabelnetz.
WLAN ist nicht Cool, sondern anfällig und ein möglicherweise notwendiges Übel. Wer in irgendwelchen Cafes oder Public Access Points rumsurft ist ein Spinner (Es sei denn er tut es mit der hauseigenen Dreckschleuder). WEP ist leichter zu knacken als die Katzentür in unserer Gartentür.
Es ist eine allgemein paranoide Stimmung zu bemerken, wenn man sich mit unbedarften OttoNormalUsern unterhält, dass ist völlig unangemessen. Ein Paar Verhaltensregeln sind aber sinnvoll:
1.Was mache ich mit meinem PC, in welche gefährlichen Gebiete begebe ich mich. (Wer irgendwo in Tauschbörsen jedes Porno zieht der ist extrem gefährdet [wahscheinlich auf mehreren Ebenen], wer das nicht tut ist sicherer.)
Hier mehrere Tage in aller Ruhe nachdenken und eine konkrete Liste erstellen mit
potentiellen Surfzielen. Hierbei auch Communitys, OnlineBanking, OnlineShops etc. berücksichtigen. Dann für Commuitys einen Satz mit FakeDaten bereithalten, für alle anderen Anwendungen, bei denen die Übermittlung von persönlichen Daten erforderlich ist, vorher festlegen wann ein Vorgang abgebrochen wird. Beispielsweise kann man ja sagen okay - ich gebe Name, Adresse, Telefon, Geburtsdatum preis, wenn die aber auch noch mein Konto haben wollen breche ich grundsätzlich ab.
Dies sollte man vorher mit sich selbst vereinbaren. Dabei geht es vor allem um das Bewustmachen der Prozesse, das Ausfüllen eines Formulars sollte niemals zur unreflektierten Selbstversändlichkeit werden.
2. Woher kommt überhaupt die Gefährdung für Privatanwender?
Einerseits ist es theoretisch vorstellbar, dass tatsächlich Kriminelle irgendetwas mit meinem PC anstellen wollen. Hier muss man sich vor allem vor Trojanern und bestimmten Viren schützen. Die eigentliche Gefährdung aber ist die unendlich breite Datenspur, die jeder unbedarfte User im Netz hinter sich her zieht. Diese Autobahn entsteht schon durch eigentlich harmlose Dinge wie Cookis. Im wesentlichen geht es darum Daten für kommerzielle Verwertung zu sammeln, hier liegt die Hauptgefahr für Privatanwender. Es ist im Falle des Privatanwenders eben nicht die "Computer Mafia" die die Hauptgefahr für den Privatanwender darstellt, sondern es sind die kommerziellen Datensammler. Und wenn Private User Opfer werden, dann geschieht dies oft deshalb weil ihre Daten zuvor über Dritte erhoben wurden, weil die User selbst allzu leichtsinnig gewesen sind. Das sind dann keine technischen Angriffe, sondern eher soziale Angriffe. Vor allem in Zeiten des WEB 2.0 ist bei Teilnahme an Communitys etc. ein überzeugender Fake-Datensatz, sowie ein sehr bewusster Umgang mit den eigenen Daten absolut erforderlich. Niemand sollte, soweit dies nicht erforderlich ist, echte Daten in die sozialen Netzwerke einpflegen. Die Kommunikation mit Freunden und Bekannten läuft auch als Fake ganz wunderbar. Die Anbieter solcher Communitys generieren sich als echte Gutmenschen die gar keine Gewinnabsicht hegen, doch die Basis ihrer Profite sind die Daten ihrer User, die genutzt werden um gezielte Werbung zu schalten, um ein möglichst präzises Bild ihrer User zu bekommen. Warum sollte ein Unternehmen bestimmte DInge kostenlos zur Verfügung stellen wenn es damit nicht auch eine Gewinnabsicht verfolgen würde. Also muss man bei den kommerziellen Communitys ganz genau schauen, womit die eigentlich ihr Geld machen. Pfadfinder jedenfalls sind die nicht!
Auch ist es immer wieder vorgekommen, dass Daten an Dritte verkauft werden. Da muss man sich eben entscheiden, ob man will, dass auf Kosten der eigenen Privatsphäre andere Geschäfte machen. Die Betreiber sollten also beim Wort, genommen werden: Man nutzt die freundlicherweise bereitgestellten Dienste, aber erbringt ausser der Teilnahme keine Gegenleistung z.B. in Form der Einpflege echter persönlicher Dateno.Ä.!
So - nun haben wir noch garnicht viel über tolle Schutzsoftware gesprochen. Besonders die sogenannten privaten Firewalls machen einen kleinen Exkurs erforderlich:
1. Wie arbeitet eine einfache Firewall?
Eine Firewall filtert auf der Basis von Regeln Netzwerkverkehr. Die sogenennaten Protokolle strukturieren den Netzwerkverkehr und legen die Art und Weise des Austauschs zwischen zwei Rechnern fest. Sehr bekannt ist natürlich HTTP, das H yper T ext T ransfer P rotokoll, damit wird fast der gesamte Text/Bildbasierte Verkehr im Netz abgewickelt. Im Browser das berühmte http:// in der Browseradresszeile. Doppelpunkt Doppelslash also :// ist ein syntaktisches Erkennungszeichen für ein Protokoll. Es gibt z.B. auch ftp:// das F ile T ransfer P rotokoll, smtp:// das S imple M ail T ransport P rotokoll oder pop:// das P ost O ffice P rotocol. Viele weitere Protokolle existieren, doch die meisten Privatanwender sind niemals mit einem anderen Protokoll direkt, bewusst konfrontiert. Festgelegt sind diese Protokolle in den sogenannten RFC den R equests f or C omment, eine Sammlung von Netzwerkstandarts, sozusagen die Datenbank der diplomatischen Grundregeln der Netzwerkkommunikation.
Was man jetzt noch wissen muss ist, dass diese Protokolle an sogenannte PORTS
"andocken", dies sind Netzwerkschnittstellen:
SMTP: PORT25
POP: PORT80
FTP: PORT21
HTTP: PORT80
Hier nun schlägt die Stunde der Firewalls. Und jetzt kommt es: Ich rate dem Privatanwender KEINE Firewall zu verwenden, denn diese führt in der Praxis zu einem trügerischen Gefühl der Sicherheit. Die professionelle Konfiguration einer wirklichen Firewall ist eine äußerst komplexe und filigrane Angelegenheit, die von einem SystemAdministrator viel Arbeit und Fachwissen verlangt. In einem langen komplexen Prozess wird das Regelwerk immer weiter verfeinert und angepasst. Das ist ein Job für absolute Profis die eine ganze Sammlung von Werkzeugen verwenden, in denen der sog. Paketfilter (Firewall ;) ) nur ein kleines Tool ist. Die Dinger heißen Snort, IPTAPLES,Netfilter, Paket Filter, TripWire etc, laufen anständig eigentlich nur unter UNIX/Linux und sind nix für den durchschnittlichen Privatanwender.
Die für den Desktop PC erhältlichen Firewalls arbeiten theoretisch zwar ähnlich, doch es gibt einen entscheidenden Unterschied: Sie versprechen dem User eine einfache Sicherheitskonfiguration via Mausklick, und dieses Versprechen ist ein leeres Versprechen, geht vollkommen an der Gefährdungslage vorbei. Warum? Um diese Frage beantworten zu können müssen wir uns mal anschauen wie eine solche Desktop Firewall arbeitet, nennen wir dieses Tool mal "NeSchüppeNix".
User XYZ installiert sich "NeSchüppeNix" nachdem er sie aus einem tollen Paket geholt hat, alles sieht nach toller Anwendung aus, auf der Website des Herstellers prangen Buttons wie "Absolute Sicherheit" "Stopp die Computer Mafia" und einiges mehr. Abgerundet wird das Bild mit finsteren Abbildungen von böse maskierten Crackern hinter Batterien von Monitoren. Seltsamerweise finden sich auf der Website von z.B.IPTABLES nur komische englische Texte -> na aufgepasst? Wir sind in der Welt des "Mach Angst -> Kauf Mich -> Dann bist du Sicher" Marketings.
"NeSchüppeNix" ist nun installiert und los gehst: Der User Otto wählt sich ein und da springt plötzlich ein Fenster auf:
"NeSchüppeNix" sagt: "Die Anwendung Firefox will mit GOOGLE kommunizieren" dann soll Otto zunächst mal einen Haken bei "ja" oder "nein" machen. Zwar weiss Otto nicht was Firefox mit Google zu bequatschen hat, doch er merkt wenn er "nein" sagt, dann sagt Firefox "Die Verbindung mit GOOGLE" kann nicht hergestellt werden. Das probiert er drei mal, dann merkt er, dass wenn er ja sagt, Firefox sein Plaudestündchen mit GOOGLE halten kann. Mit diesem Klick hat Otto den Port80, also das HTTP Protokoll, freigegeben vielleicht zunächst nur mit GOOGLE. Da "NeSchüppeNix" im Moment aber noch bei jeder Website fragt ob Firefox mit ihr kommunizieren darf, wird der User irgendwann feststellen wie er den Port80 für Firefox komplett freigibt. Die Regel die er damit zusammengeschrieben hat wäre etwa:
-> Erlaube alle Kommunikation von Firefox an Port80 ein und ausgehend
Damit hat die Firewall an Port80 für Firefox aufgehört zu existieren.
Der User startet ein anderes Programm was an Port80 via http:// kommuniziert, wieder die Frage usw. usw. im Laufe der Zeit wird der User alle Kommunikation aller Anwendungen die er benutzt freigegeben haben, weil er sie sonst nicht mehr benutzen könnte. Dies geschieht in der Regel unreflektiert via Mausklick, mit dem vor allem für Dingens typischen Dialogboxen, die sowiso mit JA weggeklickt werden. Nach viel geklicke hat der User dann folgenden Regelsatz elaboriert:
-> Erlaube alles an Port80 mit allen installierten Anwendungen ein und ausgehend
Die Firewall hat für das HTTP Protokoll aufgehört zu existieren. Vorausetzung war dabei sowiso dass sie in der Grundeinstellung alles Blockt, und nicht etwa auch noch erwartet, dass der User erstmal selbst etwas verbietet.
Dieses Spielchen wiederholt sich bei allen Protokollen die der User benutzt, bei allen Servern mit denen er kommuniziert, überall wird er "NeSchüppeNix" mit "Ja" wegklicken, damit er seinen PC wie gewohnt nutzen kann. Was er da genau macht, dass weiss der Standard Privatanwender nicht, und muss es auch nicht wissen, denn am ende steht die Regel
-> Erlaube alles damit ich meinen PC nutzen kann wie bisher ein und ausgehend
Damit hat die Firewall aufgehört zu existieren. Halt, falsch: Sie existiert in ihrer psychologischen Form weiter, und tut ihren Dienst, indem Sie den User in trügerischer Sicherheit wiegt, weil ja immer da unten rechts in der Taskleiste dieses Schüppensymbol von "NeSchüppeNix" vor sich hin blinkt.
Hin und wieder meldet sich "NeSchüppeNix" noch mit Kryptischen Infos weil irgendein Cookie nach Hause telefonieren will, da kann man dann den Triumph des "Nein" evtl. auskosten.
Das Problem dürfte also klar sein: Private Firewalls sind SnakeOil Software, die in der Praxis des Privatanwenders keine Rolle spielen, und ihn in trügerischer Sicherheit wiegen. Die Kommunikation, die der Anwender wünscht wird er sowiso freigeben.
Der Job eines Firewall Admins [hier könnte man mal mit anfangen, wer mag.] wäre es ja fein auszutarieren was erlaubt ist und was nicht, was in der Praxis heißt, dass eben bestimmte Sites und Protokolle verboten werden, damit werden auch die zugehörigen Anwendungen nicht mehr funktionieren. Wenn der Privatanwender sich aber entscheidet z.B. Filesharing ist für mich okay, dann gibt er es eben frei, via Mausklick, und Ende-Aus-Nikolaus.
Zwar bieten einige der Desktop Firewalls auch die Möglichkeit komplexere Regelwerke zu etablieren, doch diese Funktionen sind in der Regel schlecht dokumentiert und würden eine lange Einarbeitungszeit erforderlich machen. Dann käme man auch schnell zu der Frage in wie weit es überhaupt Sinn macht, eine Firewall auf dem zu schützenden Rechner selbst zu betreiben, aber dies wäre dann auch nix mehr für TheNonGeek.
Der Privatanwender kann den Entscheidungsprozess welchen potentiell gefährlichen Aktionen er sich aussetzt nicht an eine Klickapparatur deligieren.
Damit hätten wir schonmal einen ganzen Brocken Pseudokram vom Tisch.
Was bleibt also?
1. Ein gutes Virenprogramm, eins ohne tausend SchnickSchnack Tralalallafunktionen - schon vor dem ersten Netzwerkkontakt installieren. Das erste nach der Neuinstallation des Betriebssystems wäre es dann die Updates vom Server des Herstellers einzuspielen. (Besser wäre man besorgt sich die Updates offline, und geht erst nach einspielen der Updates online.)
1.1. Es sollte einfach zu bedienen sein
1.2. Es sollte automatisch nach Updates suchen, und sich melden wenn eines vorliegt.
1.3. Es sollte möglichst wenig User - Entscheidungspielraum lassen, und Dialogboxen marketingfrei mit eindeutigen Abfragen präsentieren.
1.4. Es sollte den Mailverkehr überwachen
2. Ein gutes SpyWare Entfernungstool
2.1 Den größten Müll bringt die Werbeindustrie auf unsere Rechner. Mit sogenannter Spyware, TrackingCookie, Browser Toolbars und allem möglichen Schwachsinn verfolgen Sie unseren Weg durch das Intenet. Dies ist eine sehr ernste Gefahr für die Intimsphäre.
2.2. Es sollte nach Veränderungen in der Registry suchen
2.3. Es sollte nach TrackingCookies, Trojanern, Toolbars und anderen Veränderungen im Browser suchen.
2.4. Es sollte automatisch nach Updates suchen, und sich melden wenn eines vorliegt.
2.5. Es sollte möglichst wenig User - Entscheidungspielraum lassen, und Dialogboxen marketingfrei mit eindeutigen Abfragen präsentieren.
2.6. Es sollte den Mailverkehr überwachen
Diese beiden Programmtypen sollten staatliche Stellen jedem Bürger kostenlos zur Verfügung stellen.;)
3. Bewusster Umgang mit den eigenen Daten
3.1. Fakedatensatz mit Name, Adresse, PLZ, Geburtsort, Geburtsdatum und Dreckmail bereit halten. z.B. für Accounts bei irgendwelchen Communitys.
3.2 Ausstiegsfrage aus Bestell/Registrierungs/Bezahlprozessen etc. bereithalten. Also: Ich gebe ihnen alles aber z.B. niemals meine Kontonummer, dann breche ich ab.
3.3. AGB und Datenschutzerklärung der Anbieter lesen. AGB sind keine Gesetzestexte, geben aber einen Anhaltspunkt.
3.4. Sich niemals unter Druck setzen lassen irgendwas preiszugeben.
3.5. Sich nicht zu irgendwelchen Rabatt oder Bonuspunktesystemen verführen lassen.
3.6. Browsercache und Cookies nach jeder Session löschen.
4. Mail
4.1 Möglichst ein nicht eng mit dem Betriebssystem verbandeltes Mailprogramm verwenden
4.2. Auf Webmail weitgehend verzichten, soweit es sich um ein ernsthaftes Postfach handelt.
4.3. Nicht auf Schwachsinnige Mails klicken "3 Meter mehr in 3 Wochen" etc.
4.4. Banken schicken keine Mails, niemals werden irgendwelche Daten, die im Zusammenhang mit ihrem Konto stehen abgefragt.
5. Und sonst?
5.1. Öfter mal spazierengehen.
Fazit: Wichtig ist es sich nur begrenzt auf automatisierte Sicherheit zu verlassen. Außerdem scheint die Gefährdung der privaten Daten durch freiwillige Preisgabe bei allen möglichen Gelegenheiten viel größer zu sein als die Gefahr durch die "Computer Mafia". Es wäre ein Fehler sich die "Computer Kriminellen", die auf den Privatanwender zielen, als "Spitzen-Techniker" und "Computerexperten" vorzustellen. Das sind sie gerade nicht, sie sind viel eher gut darin mit einfachen Tricks die Leute dazu zu bringen alles was man wissen muss freiwillig preiszugeben. Sie operieren mit den menschlichen Schwächen der User, nicht in ertser Linie mit den technischen Schwächen des Netzes, der Hard- und Software. Das Gute an dieser Erkenntnis ist, dass der Privatanwender nicht auf komplizierte Technik zurückgreifen muss um sich zu schützen, er ist nicht ohnmächtig irgendwelchen "Computer.Supermans" ausgeliefert, sondern den üblichen Verdächtigen, die nicht sonderlich intelligent sind, es aber verstehen mit dem Urvertrauen der User schindluder zu treiben. Genau hier, durch das Bewusstmachen der Datentransfers, durch genaues Beobachten der Situation, kann der User ganz ohne "MegaBombastoFirewall" für den Schutz seiner Daten sorgen. Wie "früher" auch. Wenn man das um Antiviren- und Anti-Datenklau-Software bereichert hat man sehr viel getan.
Für Institutionelle Anwender sieht das natürlich vollkommen anders aus;)Dieser Text richtet sich natürlich an den normalen, praktisch orientierten, Privatanwender und spiegelt ausschließlich die persönliche Stammtisch-Meinung des Autors wieder, und kann so getrost direkt wieder vergessen werden.