Alternative Lösungen
"Wir haben genug technische Sicherheitslösungen. Aber der PC meiner Mutter ist trotzdem nicht sicherer", postulierte der Sicherheitsexperte Bruce Schneier. Seiner Meinung nach sollten die Softwareunternehmen und Provider durch Gesetze oder den Druck der Anwender dazu gebracht werden, ihre Produkte sicherer zu machen, anstatt die Kosten und den Aufwand zum Absichern der täglichen Arbeit auf dem PC auf ihre Kunden abzuwälzen. Sicherlich ein ehrenhaftes Ziel, aber bis das Sicherheitsproblem durch die Hersteller an der Wurzel gelöst werden wird, müssen wir uns weiter mit Viren, Würmern, Phishing und deren Abwehr auseinandersetzen.
Layered Defences
Aufgrund der Vielfalt der Angriffsmöglichkeiten und den immer kürzeren Zeiträumen zwischen Entdeckung einer Sicherheitslücke und deren Ausnützung durch einen Wurm oder Virus empfiehlt sich sowohl für Unternehmen, als auch für Privatanwender eine mehrschichtige Abwehr nach dem Zwiebelschalenmodell, die so genannte "Layered Defence". Gemeint sind hier mehrere Firewalls, Virenscanner und andere Verteidigungsmechanismen, sodass selbst dann noch eine Absicherung besteht, wenn der Wurm eine Verteidigungslinie durchbrochen hat.
Schützen Sie Ihren PC
Betrachtet man Sicherheit aus einem rein technischen Blickwinkel, so bilden drei präventive Maßnahmen die Eckpfeiler für einen sicheren PC – ungeachtet des Betriebssystems, welches zum Einsatz kommt. So sollte mittlerweile jeder PC durch eine Firewall abgesichert sein. Das gilt natürlich insbesondere für Windows-PCs, aber auch unter Linux oder Mac OS X.
Windows-Firewalls
Für den Normalanwender reicht unter Windows üblicherweise die integrierte Firewall des Service Packs 2. Wer über ein gewisses technisches Grundverständnis verfügt, kann auch die Firewall eines Drittherstellers einsetzen, welche auch ausgehende Verbindungen überwacht. Hier muss man allerdings damit rechnen, dass immer wieder mehr oder weniger seltsame Programme eine Verbindung nach Außen anfordern.
Firewalls
Auch unter Linux ist eine Firewall keine schlechte Idee, laufen bei den gängigeren Distributionen doch auch immer wieder Tasks, die nicht öffentlich zur Verfügung stehen sollten. Als Standard kann hier iptables gelten, für das die verschiedenen Distributionen auch mehr oder weniger bequeme Verwaltungstools mitbringen. Auch unter Apple sollte man die integrierte Personal Firewall aktivieren. Damit werden nur Verbindungen akzeptiert, die explizit freigegeben wurden und auf Pings, etc. reagiert der Rechner dann auch nicht mehr.
Updates
Zweiter wichtiger Punkt ist natürlich, den Rechner auf dem aktuellen Patch-Stand zu halten. Das Einspielen der aktuellen Betriebssystemupdates sollte zu den Routineaufgaben gehören, wie die regelmäßige Überprüfung des Ölstandes beim Auto. Zur Patchverwaltung bieten sowohl Microsoft, als auch die Linux-Distributionen und Apple mittlerweile sehr komfortable Tools an, die diesen Vorgang weitgehend automatisieren können. Als problematisch erweist sich in diesem Zusammenhang nur die Qualität der Updates, die anscheinend trotz umfangreicher Tests durch den Hersteller zu Problemen führen können. Vor allem in Unternehmen sollte man diese daher noch einer eigenen Qualitätskontrolle unterziehen, bevor man sie auf die PCs verteilt.
Virenscanner
Ein Virusscanner sollte, zumindest auf Windows-PCs, nicht mehr im Default-Setup fehlen. Neben den klassischen Word- oder E-Mail-Viren erkennen diese Programme mittlerweile auch unzählige Würmer und auch Malware, die den Benutzer ausspionieren soll. Die Software sollte natürlich regelmäßig, am bestens mehrmals täglich, aktualisiert werden, da sie den PC sonst nicht optimal schützen kann. Auch unter Linux und Mac OS X sollte man den Einsatz eines Virenscanners überlegen – und sei es nur, um etwaige verseuchte Dokumente von Windows-Usern automatisch zu entsorgen.
Zwiebelschichten
Was ist nun aber mit dieser Zwiebelschichtenverteidigung? Wo kommt diese ins Spiel? Nun, Tests in verschiedenen Fachmedien haben ergeben, dass Firewalls und Virenscanner nicht immer alle Attacken gleich gut erkennen und abwehren. So kann ein Virus etwa von einem Produkt nicht erkannt werden, vom Marktbegleiter aber schon. Es wäre also empfehlenswert, mehrere Virenscanner oder Firewalls im Einsatz zu haben – einer wird die Attacke schon erkennen. Außerdem hat man so noch eine zweite Verteidigungslinie, sollte der Angriff die erste Firewall oder den ersten Virenscanner umgangen haben.
Providerlösungen
So eine "Layered Defence" lässt sich für Privatkunden zum Beispiel recht einfach und mit wenig Aufwand in Zusammenarbeit mit dem Internetprovider aufbauen. Die Meisten bieten mittlerweile einen Viren- und Spamfilter für alle eingehenden E-Mails an. Aktiviert man diesen, zum Teil kostenpflichtigen, Dienst, so werden eingehende Mails nicht nur durch den lokalen Virenscanner, sondern bereits durch den Provider überprüft. Eine zweite Firewall kann man als Privatanwender etwa mittels eines der zahlreichen und kostengünstigen (WLAN-)Router realisieren, die im Handel erhältlich sind. Installiert man diesen, so muss der Angreifer erst dessen Verteidigungsmechanismen überwinden, bevor er den PC direkt angreifen kann.
Managed Security
Für Unternehmen, auch kleinere, gibt es mittlerweile auch Managed Security Lösungen, welche eingehende Mails eines Unternehmens überprüfen, bevor diese an den tatsächlichen Mailserver weitergeleitet werden. Wie auch bei den Lösungen für den Privatanwender profitiert man hier vom Wissen der Betreiber und den kurzen Updatezyklen dieser Lösungen. Außerdem sorgen sie für ein geringeres Volumen auf dem Server, da dadurch bereits ein Großteil des Spams ausfiltert wird.
Paranoia ist gut
Technische Lösungen können aber nur zu einem bestimmten Teil zur Sicherheit eines Systems beitragen. Natürlich sind sie ein grundlegender Bestandteil, damit ein PC nicht einfach durch einen Botnet-Betreiber für Angriffe auf die Internet-Infrastruktur benutzt werden kann, aber eine gewisse Paranoia des PC-Besitzers ist auch unverzichtbar, um den Rechner von Viren, Würmern und anderer Malware frei zu halten. "Muss ich diesen Anhang unbedingt öffnen? Vertraue ich dem Absender dieser Mail? Ist der Anbieter dieser Software vertrauenswürdig?" sind Fragen, die man sich im täglichen Umgang mit E-Mail und dem Web stellen sollte.
Signaturen und SSL
Natürlich kann man auch mit digitalen Signaturen (S/MIME oder PGP) seine Identität in E-Mails unter Beweis stellen und mit SSL-Verschlüsselung eine Online-Applikation oder Download absichern, aber gerade die Phishing-Attacken der letzten Zeit haben gezeigt, dass auch diese Vorgehensweise nicht wirklich schüzt. Im Zweifelsfall sollte man etwa bei Links in E-Mails nicht auf diese klicken, sondern im Browser über die Homepage des Anbieters auf das verlinkte Angebot zugreifen. Dann fällt man auch nicht auf Links zu e-bay.com herein, welche nichts mit dem Online-Aktionshaus ebay.com zu tun haben.
Technik allein schützt nicht
Layered Defences, Firewall, Anti-Virus-Software und digitale Signaturen können uns bis zu einem gewissen Grad schützen. Trotzdem ist der Mensch weiterhin das schwächste Glied in der Kette. Solange die Infrastruktur, Betriebssysteme und Anwendungen nicht sicherer werden, sollten wir bei E-Mails, Links und Webangeboten weiterhin skeptisch bleiben, unsere achtstelligen Passwörter weiterhin einmal im Monat wechseln und nicht jeden Anhang, der uns geschickt wird auch öffnen. (Martin Leyrer)