Der Computer im Netz
Mal wieder ein Sicherheitsloch in einem Teil der Computersysteme – diesmal mit dem klingen Namen KRACK-Attacke. Wieder stellt man sich als Computeranwender und Nutzer des Internets die Frage: Wie sicher ist das eigentlich?
Um was es geht
Zuerst: Wirklich fehlerfreie Software gibt es nicht. In jedem Computersystem und in jedem Computerprogramm kann ein Fehler stecken, der den Computer für Betrüger oder wen auch immer angreifbar macht. Wird ein solcher Fehler gefunden, informiert der Finder zumeist den Hersteller der Software. Der kann dann reagieren und eine Fehlerkorrektur (= Patch) veröffentlichen. Manchmal reagieren Hersteller aber auf solche Hinweise gar nicht oder sie reagieren verspätet oder der gefundene Fehler ist so gravierend, dass die Computer-Benutzer sofort reagieren sollten. Dann werden diese Fehler veröffentlich. So wie gerade bei der KRACK-Attacke.
Ist ein solcher Fehler gefunden, versuchen Programmierer, einen sog. Exploit zu entwickeln. Ein Exploit ist ein Computerprogramm, das den Fehler ausnutzt, um die Kontrolle über das System zu übernehmen und/oder ein Schadprogramm dort zu installieren und auszuführen. Das geschieht entweder in guter Absicht (um die Arbeitsweise zu verstehen, das System zu schützen und andere auf bestehende Fehler hinzuweisen) oder in böser, d.h. krimineller Absicht. Ein Zero-Day-Exploit ist ein Exploit, der entwickelt und eingesetzt wird, bevor der Hersteller den Fehler korrigieren konnte.
Warum der Aufwand? Weil viele Fehlerkorrekturen bzw. Patches nicht installiert werden und deshalb Systeme z.T. noch Jahre, nachdem ein Fehler gefunden wurde, angreifbar sind.
Eine große Schwachstelle ist die Meldung von Fehlern an die Hersteller. Es könnte ja sein, dass ein Fehler von jemandem gefunden wird, der gar kein Interesse daran hat, dass dieser Fehler behoben wird. Der behält dann das Wissen für sich und versucht, daraus einen Nutzen zu ziehen. Das können Kriminelle sein – das können aber auch Geheimdienste sein.
Wie kann ich mich schützen?
Wie kann ich mich schützen? Ganz einfach. Nur Geräte mit dem Internet verbinden, auf denen aktuelle Betriebssysteme und Software installiert sind und deren Hersteller die regelmäßige und schnelle Fehlerbehebung zusagen. Diese Fehlerbehebungen bzw. Patches und Updates sollten zeitnah (am besten automatisch) installiert werden.
Derzeit sehe ich zwei große Problembereiche:
(1) Android. Das Smartphone ist aus unserem praktischen Leben für viele Menschen unverzichtbar geworden. Marktführer sind Hersteller mit dem System Android. Leider gibt es kaum einen Hersteller, der für die verkauften Smartphones die von Google bereitgestellten Patches und Updates auch weiterleitet. Auch Android wird ständig weiterentwickelt und Google stellt die Wartung älterer Versionen ein. Für sie gibt es dann überhaupt keine Fehlerbehebungen mehr. Stand heute (18.10.2017): Das aktuelle System ist 8.0 (Oreo). Unterstützt werden noch alle Systeme bis 5.1.1 (Lollipop) sowie 5.0.2 und 4.4.4, aber nicht mehr 5.1 und 7.1. Quelle Doch das sind die Angaben von Google. Welches System vom jeweiligen Smartphone-Hersteller wie unterstützt wird, muss dort in Erfahrung gebracht werden. Recht zuverlässig mit Fehlerkorrekturen versorgt werden die Smartphones von Google (Nexus und Pixel). Bevor jetzt alle ein Google-Gerät bestellen: Datenschutz und Datensicherheit umfasssen noch andere Aspekte. Doch dieser Artikel soll ja kein Buch werden.
(2) Alle Geräte, die mit dem Internet verbunden sind und weder Computer, Notebook, Smartphone oder Tablet sind. Das sind vor allem Router, Drucker, Fernseher, Netzwerk-Festplatten usw. Deren Software ist oft im Gerät fest verbaut. Hier sind Fehlerkorrekturen oft überhaupt nicht möglich. Wer seinen Fernseher oder Drucker in ein Netzwerk hängt, das mit dem Internet verbunden ist und auf einem Computer in diesem Netzwerk schützenswerte Daten verarbeitet, handelt extrem leichtsinnig.
Aller Maßnahmen Anfang: die Gefährdungsanalyse
Bevor jetzt alle in Panik verfallen. Am Anfang jeder Strategie steht die Gefährdungsanalyse. Was für Daten verarbeite ich eigentlich? Was kann im schlimmsten Fall passieren?
Bei den Daten schlage ich vier Klassen vor:
- Daten, die mir völlig egal sind und die meinetwegen morgen in der Zeitung veröffentlich werden dürften.
- Daten, die mir wichtig sind und die ich nicht in der Öffentlichkeit sehen möchte.
- Daten, die mir wichtig sind und die ich nicht in der Öffentlichkeit sehen möchte und die zu einem Missbrauch und damit zu einem Schaden für mich verwendet werden können.
- Daten von anderen Personen, die ich auf meinem Computer verarbeite.
Bevor jetzt alle sich in die Klasse 1 einordnen: Die Kontaktdaten ihrer Freunde gehören in die Klasse 4… Ihnen sind die WhatsApp-Beiträge vielleicht gleichgültig, sie lächeln über die Witze oder lustigen Fotos. Sehen das alle anderen auch so?
Die möglichen Risiko-Szenarien könnten so aussehen:
- Die Daten sind verschwunden oder können nicht mehr genutzt werden.
- Die Daten werden verändert und sind damit unbrauchbar (z.B. die Angaben im Fahrtenbuch oder die Kontostände der Buchhaltung). Hoffentlich bemerken sie das, bevor weiterer Schaden entsteht.
- Die Daten werden abgezogen und gegen sie verwendet oder sie werden erpresst.
- Kompromittierende Informationen über sie oder über Dritte gelangen an die Öffentlichkeit.
Welches Szenario für sie am schlimmsten ist, überlasse ich mal ihrer Phantasie.
Dann die nächste Frage: Wie wahrscheinlich ist es, dass sie Opfer einer Attacke werden?
Grundsätzlich gilt: Privatpersonen werden wohl eher zufällig Opfer einer Attacke. Da wird im großen Stil Schadsoftware verteilt und dann ist man mal bei den Empfängern. Gegen solche ungezielten Attacken kann man sich vergleichsweise gut schützen.
Unternehmen, Institutionen und Personen des öffentlichen Lebens bzw. Personen, denen ein gewisses öffentliches Interesse gilt, sind durch gezielte Attacken gefährdet. Da probiert jemand mit der ganzen Fülle seines Werkzeugkastens aus, in ihr Computersystem bzw. Computernetzwerk einzudringen. Jetzt hängt alles davon ab, wie gut gefüllt der Werkzeugkasten des Angreifers ist. Gegen die Angriffe eines Profi-Hackers sind sie als Privatperson nahezu machtlos.
Noch einmal: Was tun?
Was tun? Schauen sie auf ihr Haus bzw. ihre Wohnung: Sind die gegen alle möglichen Angriffsszenarien geschützt? Vermutlich nicht. Wenn sie eine blaue Mauritius oder einen Picasso im Hause haben, werden sie einen größeren Aufwand betreiben, als wenn sie ganz übliche Haushaltsgegenstände ihr eigen nennen.
Einige Tipps für mehr Sicherheit im Internet:
- Verwenden sie nur aktuelle Betriebssysteme und Software und installieren sie Fehlerkorrekturen bzw. Patches und Updates ganz regelmäßig – am besten automatisch.
- Verwenden sie einen aktuellen Router und aktivieren sie dort alle Sicherheitsoptionen (Passwörter, WLAN-Verschlüsselung usw.).
- Lassen sie es nicht zu, dass ein Gerät aus ihrem privaten Netzwerk oder ein Dienst (z.B. Musik, NAS=Netzwerkfestplatte) aus dem Internet erreichbar ist. Jede Tür, die von außen erreichbar ist, erhöht das Risiko und erfordert gezieltes Know-How.
- Binden sie keine Geräte in das Netzwerk ein, deren Software-Stand sie nicht überprüfen und ggf. aktualisiseren können. Ein Gerät mit fehlerhafter Software im Funknetzwerk (= WLAN, WiFi) ist eine Einladung an böse Buben.
- Auch wenn es ein paar Euro mehr kostet: Installieren und nutzen sie zwei getrennte Netze.
- Verwenden sie zum Surfen im Internet aktuelle Browser – am besten solche, bei denen sie JavaScript und andere aktive Inhalte abschalten können. Dann sollten die auch tatsächlich abgeschaltet sein und nur gezielt für eine WebSite eingeschaltet werden.
- Schalten sie Dienste für andere Geräte ab. So ist es z.B. nicht ratsam, mit einem Notebook durch die Gegend zu fahren, das Datei- bzw. Netzwerkfreigaben für andere bereithält.
- Verbinden sie ihr SmartPhone oder Notebook nicht mit unbekannten Netzen (z.B. in Hotels oder Restaurants). Ein Telekom-Hot-Spot oder der eines anderen bekannten Anbietes bietet einen gewissen Schutz. Bedenken sie aber: Ihr Gerät wird dann Teil dieses Netzwerkes, ist ohne den Schutz des heimischen Routers und kann ggf. vom Gast am Nebentisch angegriffen werden. Außerdem können sie auf diese Weise Schadsoftware in ihr privates Netz einschleppen.
- Augen auf im Straßenverkehr: Zweifelhafte Mails nicht öffnen, sondern sofort löschen. Ggf. kann man ja beim Absender mal nachfragen. (Achtung: Nicht auf Antworten-Taste der Mail drücken, sondern die e-Mail-Adresse von Hand eingeben bzw. aus den eigenen Kontakten übernehmen.) Nicht jeden Link einfach anklicken und zweifelhafte Angebote im Internet meiden. Barbusige Damen und Gewinn-Versprechen sind am leichtesten zu durchschauen und trotzdem die wirkungsvollsten Lockvögel.
- Machen sie regelmäßige Datensicherungen (am besten im alten Drei-Generationen-Verfahren) auf externen Datenträgern und lagern sie diese Datensicherungen an einem getrennten Ort sicher auf.
Außerdem – ich kann es nicht oft genug wiederholen: Wenn sie schützenswerte Daten Dritter verarbeiten, dann müssen sie ihren Computer und ggf. das gesamte System gesondert sichern. Ansonsten machen sie sich bei einem Mißbrauch dieser Daten strafbar. Dabei geht es dann immer um zumutbare Vorkehrungen und Regelungen zum Schutz dieser Daten. Beachten sie die Regelungen ihres Arbeitgebers und holen sie sich im Zweifel Rat von einem (richtigen) IT-Experten. Das ist dann gut angelegtes Geld. Ansonsten muss man sich hiermit vertraut machen: IT-Grundschutz. Das Kompendium hat nur 763 Seiten.