Sicherheit im Internet
Grundlegende Netzwerk- und Programmeinstellungen
Personal Firewalls

Übersicht

• Einleitung - wozu diese Seite.
• Das Netzwerk - wie konfiguriere ich das Netzwerk für sicheres Surfen ?
• Das DFÜ-Netzwerk - wichtige Einstellungen.
• Proxy-Server - eigene IP-Adresse verschleiern und Seitenaufbau beschleunigen.
• Sicherheitsoptionen in ISDN- und Modemtreibern.
  • Dialer, 0190-Warner, 0900-Warner
• Virenscanner - unverzichtbar !
  • Virenlisten und -beschreibungen
• Personal Firewalls - alles unter Kontrolle.
  • WinTop - laufende Hintergrundprozesse erkennen.
• Schutzwall überprüfen - ist der eigene Computer sicher ?
• Browser - das Tor zur Welt.
  • 128 Bit Verschlüsselung, SSL, HTTPS - Übertragung persönlicher Daten
  • Cookies
  • Java und JavaScript, VBScript, ActiveX
    • Zonenmodell im Internet Explorer
  • Autovervollständigen - Gefahr bei mehreren Benutzern an einem Computer
  • Plug-In's
    • Downloadanforderung
    • History, Adressliste oder Verlauf löschen
  • Unsichtbar - Anonym im Internet surfen
• Email - böse Nachrichten vom Nachbarn ?
  • UpdateSpam-Mail
    • Homepagebetreiber "verschlüsseln" ihre Emailadresse.
  • PGP usw. - Nachrichten verschlüsseln (auch Online und kostenlos)
  • Verschlüsselte Emails mit Zertifikaten (z.B. über web.de [kostenlos])
  • Anonym Emails verschicken
• Onlinebanking - ein Restrisiko bleibt
  • Besser HBCI- als PIN/TAN - Verfahren
• Spionagefunktionen in Anwendungsprogrammen
  • Fallstricke in Anwendungsprogrammen
• Zusammenfassung der Links

Man hört es immer wieder, daß Hacker es schaffen sich Zugang zu privaten Rechern zu verschaffen und sich dabei persönliche Daten aneignen. Hier ist nicht von einem Internetserver, der Informationen und Daten im Internet bereitstellt gemeint, sondern der ganz normale Internetsurfer, der denkt, wenn das DFÜ-Netzwerk installiert ist und es funktioniert, dann sei alles in Ordnung. Das ist leider nicht so.
Ich habe nun versucht alle Informationen wie man seinen Rechner abschottet, hier zusammenzutragen. Dabei gehe ich von meiner persönlichen Konfiguration aus, die bei Euch natürlich anders aussehen kann. Außerdem will ich auf besondere Features wie JavaScript nicht verzichten.

Ganz wichtig ist es, daß man sich immer um die neuesten Sicherheitsupdates für sein Betriebssystem kümmert und diese installiert. Das zeigt sich gerade jetzt wieder beim neuen OS Windows XP, welches offen wie ein Scheunentor zu sein scheint. Updates findet man unter Microsoft Support.
Weiterhin sollte man immer die neuesten Versionen seines Internet-Browsers aufspielen. Beziehungsweise auch die Sicherheitsupdates zum Browser.

Meine Konfiguration

• Windows ME
• DeTeWe Euromaster Data (ISDN)
• T-Online
• Zweiter Computer über USB-Netzwerkkabel verbunden

Wenn irgendwelche Fehler im nachfolgenden Text vorhanden sind oder Ihr Verbesserungsvorschläge habt, so bitte ich Euch mir per Mail bescheid zu geben. Ich will ja nichts falsches verbreiten.

Das Netzwerk stellt eine Verbindung zwischen zwei oder mehr Computern oder einem Computer und dem Internet dar. Für die Kommunikation zwischen zwei Computern werden Protokolle benötigt. Das Internet kommuniziert über das TCP/IP-Protokoll und für zwei Computer in einem kleinen lokalen Netzwerk kommt NetBEUI zum Einsatz.
Bei mir sind zwei Computer über ein USB-Netzwerkkabel verbunden. Das geht schnell und man braucht die Gehäuse der Computer nicht aufzuschrauben. Egal welche Komponenten Ihr verwendet, z.B. Ethernet-Karte, die Vorgehensweise bei der Abschottung des Computers gegenüber dem Internet ist die gleiche.
Die Einstellungen erreicht man über "Start/Einstellungen/Systemsteuerung/Netzwerk".

Das wichtigste Protokoll ist TCP/IP, welches mit dem DFÜ-Adapter verbunden ist. Wie in der obigen Grafik zu sehen, dürfen keine weiteren Dienste mit TCP/IP über "Bindungen" verbunden sein, sonst besteht die Möglichkeit über das Internet z.B. über die "Datei- und Druckerfreigabe" auf Euren Computer zuzugreifen. Selbst wenn Ihr Eure Verzeichnisse mit einem Passwort versehen habt, schützt das nicht vor einem Angriff. Im Internet gibt es viele Tools, die das Passwort knacken.
Wenn alle Dienste, Clients und Freigaben deaktiviert sind und man das Netzwerk-Setup schließt, beschwert sich Windows. Das kann man allerdings ignorieren.

Desweiteren dürfen keine weiteren Protokolle außer TCP/IP an den DFÜ-Adapter gebunden sein. Das heißt: "NetBeui -> DFÜ-Adapter", "IPX/SPX -> DFÜ-Adapter" usw. müssen entfernt werden.

"NetBeui -> USB-USB Network Bridge Adapter" bleibt für das lokale Netzwerk bestehen. Hier müssen über "Bindungen" alle Dienste aktiviert sein, damit ein Austausch über beide Computer möglich ist. Voraussetzung dafür ist auch, daß in der Dialogbox "Datei- und Druckerfreigabe" beide Optionen aktiviert sind.

Der Windows-Nachrichtendienst ist eigentlich dafür gedacht, einem Administrator die Möglichkeit zu geben sich mit anderen Usern im lokalen Netzwerk auszutauschen. Er kann z.B. mit einer Nachricht darauf hinweisen, daß das Netz für Wartungsarbeiten bald heruntergefahren wird.
Dieser Dienst kann von Werbemüllversendern genutzt werden um ihnen Werbebotschaften zu übermitteln. Ist dies der Fall, dann löschen sie einfach die Datei- und Druckerfreigabe für Microsoft-Netzwerke, wenn sie nicht über ein lokales Netzwerk verfügen. Verfügen sie über ein lokales Netzwerk, dann rufen sie die Windows-Hilfe auf und suchen sie nach dem Nachrichtendienst, den sie dann separat abstellen.

Das DFÜ-Netzwerk ist für die Verbindung zum Internet über ISDN oder Modem zuständig. Wie es installiert und eine neue Verbindung eingerichtet wird, will ich hier nicht weiter erläutern. Daß haben schon andere gemacht. -> Albert Rommel.

Wähle "Start / Einstellungen / DFÜ-Netzwerk". Zeige mit der Maus auf eine Verbindung und drücke die rechte Maustaste und wähle "Eigenschaften". Hier sind nur die Register "Netzwerk" und "Sicherheit" von Bedeutung.

Softwarekomprimierung ist immer gut und sollte aktiviert sein. Seit Juni 2001 unterstützt auch T-Online mittels Stac-Komprimierung die Softwarekomprimierung des DFÜ-Netzwerkes. NetBEUI- und IPX/SPX-Protokoll haben nichts mit dem Internet zu tun. Deaktivieren. Dafür aber TCP/IP. Dies sollte als einziges aktiviert sein. In den "Einstellungen" sind je nach Provider Einstellungen vorzunehmen. Bei T-Online müssen keine Veränderungen vorgenommen werden. "Vom Server zugewiesene IP-Adresse", "Vom Server zugewiesene Namensserveradressen", "IP-Headerkomprimierung verwenden" und "Standardgateway ..." sind ausgewählt.

Der Benutzername zum anmelden beim Provider kann ruhig gespeichert sein. Das Kennwort aber auf keinen Fall. Gebe das Kennwort bei jeder neuen Verbindung zum Internet neu ein und aktiviere niemals die Option "Kennwort speichern". Die Option "Verbindung automatisch herstellen" nicht auswählen, sonst sind Verbindungen ohne Dein Wissen möglich. Die Option "Am Netzwerk anmelden" ebenfalls auslassen. Sie verzögert nur die Einwahl.

Das Kennwort nicht zu speichern liegt auf der Hand. Programme könnten ohne Dein Zutun eine Verbindung zum Internet herstellen. Wird der Computer von mehreren Personen benutzt, kann jeder auf Deine Rechnung im Internet herumsurfen. Ein Spion aus dem Internet kann, entsprechende Tools vorausgestetzt, Dein Kennwort und Deinen Benutzernamen, trotz aller Vorsichtsmaßnahmen bzw. durch die vielen Sicherheitslücken, die in der Vergangenheit in allen Windows-Versionen und vielen Internet-Anwendungen gefunden wurden, in Erfahrung bringen.
Das Kennwort nicht zu speichern bringt allerdings nichts, wenn sich ein Trojaner o.ä. auf Deinem Computer eingenistet hat und Deine Tastatur überwacht. Hier kommen dann Viren-Scanner und Firewalls zum Einsatz.

Ein Proxy-Server ist ein Zwischenspeicher der zwischen deinem Computer und dem Internet seinen Dienst verrichtet. Dabei werden Inhalte zwischengespeichert (Cache) und können beim nächsten Abruf schneller dem Anforderer zugesandt werden. Außerdem, und das ist das wichtigere, wird deine eigene IP-Adresse im Netz nicht sichtbar, sondern nur die IP des Proxys.
Die IP-Adresse ist sozusagen deine Telefonnummer im Internet über die Du identifiziert und erreicht werden kannst.

Nachteile bei Einrichtung von Proxys:

• Wenn Internetinhalte aktualisiert werden, so kann es passieren, daß du die neuen Informationen nicht zugesandt bekommst, sondern noch die alten Daten die im Zwischenspeicher liegen.
• Verschiedene Clients (Chat, Ftp usw.) können nicht über einen Proxy kommunizieren. Sie brauchen eine direkte Internetverbindung ohne Proxys.
• Viele Proxys, besonders von deinem Internetprovider sind nicht anonym, d.h. die IP-Adresse mit der du online warst, ist deinem Provider bekannt. Anonyme Proxys findet man aber auf vielen Proxy-Listen im Internet.

Außerdem besteht noch die Möglichkeit sich auf seinem eigenen Rechner einen Proxy-Server einzurichten. Dieses Thema werde ich aber hier nicht weiter behandeln, da es zu umfangreich ist.
Siehe auch das Kapitel "Anonym im Internet surfen" weiter unten.

Proxys einrichten unter Netscape Navigator (Beispiel T-Online)

Öffne den Netscapebrowser und klicke dich zum Menü "Bearbeiten/Einstellungen/Erweitert/Proxys" durch und nehme die Einstellungen, wie im Bild zu sehen, vor. Diese Einstellungen erhälst du für deinen Onlineanschluß bei deinem Internetprovider, wenn du nicht bei T-Online sein solltest (soll ja vorkommen ;-)

Proxys einrichten unter Internet Explorer bzw. Windows (Beispiel T-Online)

Öffne entweder den IE und klicke dich zum Menü "Extras/Internetoptionen/Verbindungen" durch oder unter Windows mit "Start/Systemsteuerung/Internetoptionen/Verbindungen". Nimm die Einstellungen, wie im Bild zu sehen, vor.

Proxys und IP-Adresse überprüfen

Stelle eine Onlineverbindung her, öffne den Browser und rufe die Internetseite www.google.de auf. In der Statusleiste des Browsers siehst du nun, daß die Verbindung über den Proxy hergestellt wird. Die Ausnahme bilden in diesem Beispiel alle Server die auf t-online.de enden, z.B. www.t-online.de oder www.heute.t-online.de usw. Diese Server wurden nämlich bei den Einstellungen ausgenommen und werden im Internet direkt aufgerufen.

Wichtig ! Bevor du nun deine IP überprüfst, deaktiviere zuerst Java in deinem Browser. Mittels Java-Applets ist es nämlich möglich, trotz Proxys, deine wahre IP herauszufinden.

Um die echte IP-Adresse, mit der du online bist, herauszufinden rufe "Start/Ausführen..." auf und tippe unter Windows 9x "winipcfg" ohne Anführungszeichen ein. Unter Windows NT/2000 lautet der Aufruf "ipconfig". In der Dialogbox siehst Du nun deine IP-Adresse.

Um nun die IP-Adresse herauszufinden, die andere Server übermittelt bekommen, rufe die Seite von Symantec auf. Er stellt die IP-Adresse fest, die ihm übermittelt wird. Ist diese anders als diejenige, die in der Dialogbox steht, dann funktioniert alles richtig.
Probiere auch einmal dieses Verfahren aus, wenn du direkt, also ohne Proxys, mit dem Internet verbunden bist. Die IP-Adressen müssen dann übereinstimmen.

Viele Anbieter von ISDN- und Modemkarten liefern mit ihren Treibern zusätzliche Sicherheitsoptionen mit, die auch ausgewählt sein sollten. Stichwort 0190-Nummern als Standard DFÜ-Verbindung bei Besuch einer schmuddeligen Internetseite (auch Dialer genannt).
Bei "DeTeWe Euromaster Data" ist es z.B. das Register "Sicherheit" unter "Einstellungen" im CAPIControl:

Nur die Nummer von T-Online ist freigegeben. Versucht eine Anwendung oder das DFÜ-Netzwerk eine andere Rufnummer zu wählen, so erscheint ein Warnhinweis der mit JA für Verbindungsfreigabe oder NEIN beantwortet werden muß.

Darüber hinaus gibt es bei DeTeWe, daß ein Telefon mit eingebauter ISDN-Karte ist, im Einstellungsmenü des Telefons über "Menü / Gerät / Schutz ein" noch die Option "CAPI-Virenschutz". Ist diese aktiviert, so muß bei einer Verbindungsaufnahme am Telefon noch eine Taste gedrückt werden.

TIPP: Für alle anderen Anwender, die keine Sicherheitsfunktionen in Ihren Modemtreibern vorfinden bietet sich der kostenlose 0190 bzw. 0900-Warner als Alternative an. Zu finden ist die Software unter http://www.wt-rate.com/

Hinweis: Anwender, die DSL, ADSL oder eine direkte Verbindung ins Internet über Netzwerkkarte verwenden, brauchen keine Angst vor 0190-Dialern zu haben, denn sie funktionieren hier nicht. Aber Achtung: Sollten sie zusätzlich zum DSL-Anschluß noch eine Modem- oder ISDN-Karte in Ihrem Rechner haben und diese ist am Telefonnetz angeschlossen, so kann sich der Dialer über diese Karten ins 0190-Netz einwählen !

Darüber braucht man keine weiteren Worte zu verlieren. Wer keinen aktuellen Virenscanner einsetzt und sich so einen Plagegeist einfängt ist selber Schuld.

Es gibt eine Unzahl von Virenscannern. Am besten geeignet sind solche, die Ihre Arbeit im Hintergrund von Windows verrichten. Sie bauen eine Art Schutzschild auf und überwachen jede Dateioperation. So hat man am wenigsten Arbeit und muß sich keine Sorgen machen etwas falsches zu tun.

Dann gibt es noch sehr viele kostenlose Virenscanner. Entweder Freeware oder für den privaten Gebrauch kostenlos. Am weitesten verbreitet scheint mir F-Prot von Frisk Software International [weitere URL , URL zum Download und auf vielen anderen Ftp-Servern]. Es handelt sich dabei um ein Programm das in der DOS-Box läuft und somit über keine Hintergrundüberwachung verfügt. Gut geeignet, wenn der Computer nur noch im DOS-Modus hochfährt.
Man sollte daher beachten alle Downloads aus dem Internet oder Dateien von Diskette, CD o.ä. zuerst auf Viren hin zu überprüfen, bevor man die Dateien oder Programme ausführt.

Bitte daran denken immer die neuesten Signaturdateien zu besorgen. Wer F-Prot benutzt bestellt sich am besten den Newsletter über neue Downloads bei CHIP. So ist man immer auf dem neuesten Stand und kann die Dateien direkt über Chip downloaden.

• Und dann gibt es noch AntiVir Personal Edition von H+BEDV, welches für Privatanwender kostenlos ist und über eine Hintergrundüberwachung und ein Internet Update verfügt.

Tipp: Die neuesten Viren und Trojaner werden bei vielen Programmanbietern von Antivirensoftware beschrieben. Die aktuellsten Trojanerbeschreibungen findet man z.B. unter Trojaner-Info. Eine weitere sehr interessante Seite ist BlueMerlin-Security. Und der Bund hat auch Informationen anzubieten.

Tipp: Hier noch einige andere Internetseiten mit Virenbeschreibungen:

• McAfee Avert (engl.) - meine persönliche Topadresse.
• Virus aktuell (de)
• Symantec Security (engl.)
• Ikarus (de)

Kommen wir nun zu den Personal Firewalls. Diese Programme überwachen im Hintergrund Zugriffe auf die Ports. Versucht ein Hacker über das Internet einen Angriff auf Deinen Computer, so wehrt die Firewall diesen ab und suggeriert dem Hacker, daß überhaupt kein Computer da ist.
Sollte sich schon ein Trojaner (das ist ein Programm, daß unbemerkt im Hintergrund läuft und die Kontrolle über Deinen Computer über das Internet an einen Hacker weiterleitet. Dieser Hacker kann dann alles an Deinem Computer machen, was Du auch kannst.) bereits auf Deinem Computer eingenistet haben und dieser versucht eine Verbindung zum Internet herzustellen, so wird eine Warnmeldung ausgegeben.

Übrigens ! Eine gute Möglichkeit Programme die im Hintergrund laufen zu erkennen, bietet WINTOP, daß Bestandteil der KernelToys von Microsoft ist. Diese Sammlung nützlicher Programme kann kostenlos bei Microsoft gedownloadet werden. Auf der Internetseite von Microsoft wird zwar ausdrücklich darauf hingewiesen, daß die KernelToys nur für Windows 95 bestimmt sind. Aber WINTOP läuft auch unter Windows ME einwandfrei.

Abb.: Deutlich ist der Unterschied der angezeigten Programme zwischen Wintop und dem TaskManager (STRG+ALT+ENTF) zu sehen.

TIPP: WinTop ist sehr spartanisch ausgestattet. Wer einen besseren TaskManager mit vielen Zusatzfunktionen, ähnlich wie der TaskManager unter Windows NT, einsetzen will, der findet eine Shareware für 8 € mit dem Namen WinTaskMan bei http://www.wt-rate.com/

Jetzt aber zur Firewall.

Die bekannteste Firewall dürfte wohl ZoneAlarm sein. Die Software ist für den privaten Gebrauch kostenlos. Download über Zonelabs. Nach der Installation ist rechts unten in der Taskleiste zu sehen. Darauf doppelklicken für Konfiguration. Eine deutsche Hilfe findet man hier.

Hier nur die wichtigsten Einstellungen:

Die Security Settings Die besten Einstellungen sind so wie im Bild zu sehen. "Block local" und "Internet servers" bedeutet, daß Du auf Deinem Computer keinen Server einrichten kannst, der mit dem Internet oder dem lokalen Netz kommunizieren kann bzw. umgekehrt. Somit auch keine Trojaner ! Aber leider auch keine Ftp-Programme oder Tauschbörsen wie LimeWire usw. "MailSafe protection" ist eine sehr nützliche Sache. Wenn Du eine Email mit Dateianhang bekommst und diese Datei zu einem Programm gehört, welches Skripte ausführen kann (vbs, xls, doc, exe usw.), dann benennt ZoneAlarm diese Datei um, damit ein automatisches ausführen der Datei unmöglich wird.

Jedes Programm, daß versucht mit dem Internet Kontakt aufzunehmen, wird hier registriert und man kann verschiedene Einstellungen zum Verhalten und zur Freigabe vornehmen.

Achtung ! Die Installation von Opera 5.12 hat mir ZoneAlarm zerschossen ! Es werden keine Programme, die auf das Internet zugreifen wollen, mehr erkannt. Eine Deinstallation und Neuinstallation von ZoneAlarm führte auch zu keinem Erfolg. Die Deinstallation von Opera 5 konnte den Ursprungszustand auch nicht wiederherstellen. Wer hat ähnliche Erfahrungen gemacht ?
Zwei Tage später die neueste Version von ZoneAlarm 2.6.231 installiert und alles funktioniert wieder. Puh, Glück gehabt.

"Allow connect":

• Grüner Haken bedeutet, daß das Programm ohne Nachfrage Kontakt aufnehmen darf.
• Rotes Kreuz bedeutet, auf keinen Fall Kontakt aufnehmen.
• Fragezeichen bedeutet, daß erst nachgefragt wird, ob Kontakt aufgenommen werden darf.

Das gleiche gilt auch für die Einstellung "Allow Server". Darf das Programm als Server arbeiten ?

"Pass Lock" bedeutet: Wird die "UNLOCKED/LOCKED"-Taste gedrückt, darf das Programm dann weiterhin noch auf das Internet zugreifen ?

Die "STOP" -Taste bedeutet, daß der Internet-Zugriff sofort gesperrt wird. Es geht gar nichts mehr.

Dieser Alarm erscheint beim ersten Aufruf eines Programms und bei jedem weiteren Aufruf danach, wenn bei ALLOW CONNECT ein Fragezeichen angewählt ist. Anhand der bläulichen Farbe des Alarmfensters erkennt man sofort, daß hier ein Programm versucht auf das Internet zuzugreifen. Vor der Freigabe des Programms ist hier genauestens zu prüfen um was für eine Art von Programm es sich handelt. Trojaner müssen ebenfalls über einen Port auf das Internet zugreifen und können mittels dieses Dialoges aufgehalten werden.

Hat man alle Einstellungen unter ZoneAlarm und Netzwerk vorgenommen, kann man seinen Computer auf Schwachstellen hin überprüfen lassen. Dazu besucht man diese Homepage.

Achtung ! Man muß eine Software downloaden. Ich übernehme hiermit keine Garantie, daß

1. die Software funktioniert,
2. die Software Viren- und Trojanerfrei ist und
3. der Anbieter keine schlechten Absichten hat.

Hier kann man noch seine Shields überprüfen. Die englische Seite versucht aus dem Internet eine Verbindung zu Deinem Computer aufzubauen. ZoneAlarm sollte das verhindern !

Und hier gibt es noch eine deutsche Seite von Symantec, welche Deinen Computer auf Internetsicherheit hin überprüft.

Klicke auf More Info um weitere Informationen über die Art des Angriffes und den Angreifer zu erfahren. Du wirst dazu mit der Homepage von Zonelabs verbunden.

Nach der Überprüfung sollte man sich neu am Internet anmelden, um eine neue IP-Adresse zu bekommen. Ansonsten kann es sein, daß Du ununterbrochen "gescannt" wirst. Das bringt allerdings nichts, wenn Du über Deinen Provider eine feste (Flatrate) anstatt einer dynamischen IP-Adresse zugewiesen bekommst. Dann heißt es bis zur nächsten Anmeldung, mit der man 5 Minuten warten sollte, fröhlich alle ZoneAlarm-Meldungen wegklicken.

Browser sind die am meisten verwendeten Anwendungen um sich am Internet anzumelden. Dabei werden nicht nur HTML-Seiten dargestellt, sondern es werden mittels Java, JavaScript, VB-Script und Active-X auch dynamische Inhalte, die auch mit dem User eine Interaktion eingehen können, angezeigt.
Das ist ein Grund um sich die verschiedenen Browser, wegen der Internetsicherheit, etwas genauer anzusehen.

128 Bit Verschlüsselung, SSL, HTTPS - Übertragung persönlicher Daten

Online-Shopping wird von immer größer werdender Bedeutung im Internet. Daher sollte man darauf achten, daß seine persönlichen Daten, wie Anschrift, Kreditkartennummer und Bestellanforderungen auch sicher durch das Internet zum Anbieter gelangen. Das gleiche gilt natürlich auch bei Passwort-Änderungen für die Anmeldesequenz über DFÜ-Netzwerk beim Provider. Bei T-Online sieht es so aus.

Grundvorraussetzung dafür ist ein Browser mit 128 Bit SSL-Verschlüsselung (Secure Socket Layer).

Ob Dein Browser diesen Anforderungen entspricht, siehst Du, wenn Du in Netscape 4.7x den Dialog unter "Communicator/Extras/Sicherheitsinformationen" anwählst. Im linken Fenster des Dialogs "Navigator" anklicken. Vor den beiden Buttons "SSL v2 konfigurieren" und "SSL v3 konfigurieren" müssen die Häckchen (SSL aktiviert) gesetzt sein. Klicke die beiden Buttons nacheinander um die Sicherheitsinformationen anzuzeigen. Beende die Dialoge mit "Abbrechen". Unter Netscape ab Version 6.x den Dialog über "Hilfe/Über Netscape" aufrufen.

Im Internet Explorer den Dialog über "?/Info..." aufrufen.

Ob man nun eine sichere (verschlüsselte) Webseite aufgerufen hat, sieht man daran, daß in der Adressleiste "https://" vor der URL steht. Außerdem zeigt ein geschlossenes Schloß die Sicherheit an. Je nach Browsereinstellungen wird auch ein Warnhinweis eingeblendet.

Cookies

Cookies sind Informationen von Homepage-Betreibern, die auf Deiner Festplatte gespeichert werden. Unter Netscape in der Datei COOKIES.TXT im Verzeichnis {C:}\Programme\Netscape\Users\Username\ und für den Internet Explorer im Verzeichnis {C:}\Windows\Cookies\.
Der Betreiber kann verschiedene Gründe haben um ein Cookie auf Deiner Festplatte einzurichten. Der wohl bedenklichste ist, wenn das Surfverhalten des Users ermittelt wird. Für viele Onlineshops werden ebenfalls Cookies benötigt um die Artikel im Warenkorb zwischenzuspeichern (obwohl das mit purem JavaScript auch funktioniert). Ein anderes Einsatzgebiet für Cookies sind personalisierte Homepages, welche den Surfer sofort beim Besuch der Homepage erkennen.

Wer das alles nicht haben und lieber ohne diese Kekse auskommen will, kann die Cookies abschalten. Unbedingt notwendig sind sie nämlich nicht, auch wenn andere Leute etwas anderes behaupten.

Unter Netscape die Cookies abzuschalten ist einfach: "Bearbeiten/Einstellungen/Erweitert/Cookies deaktivieren". Damit wird auch die oben erwähnte COOKIES.TXT-Datei von der Festplatte gelöscht.

oder

Man sucht im User-Verzeichnis nach der Datei "cookies.txt" und aktiviert das Schreibschutzflag. Netscape ist es egal ob es in diese Datei hineinschreiben kann oder nicht. Die Datei muß nur vorhanden sein.

Unter dem Internet Explorer ist die Sache nicht ganz so einfach, weil der IE über ein Zonenmodell verfügt, daß im nächsten Kapitel weiter erläutert wird. Will man generell die Cookies beim Internetsurfen abschalten, so wählt man das Menü: "Extras/Internetoptionen/Sicherheit", wählt das Icon "Internet" an und stellt über den Button "Stufe anpassen..." die Cookies ab. Die Cookies in "{C:}\Windows\Cookies" müssen von Hand gelöscht werden. Auch die Option "Dauerhaftigkeit der Benutzerdaten" weiter unten deaktivieren. Nur IE6: wer die schon gespeicherten Cookies löschen will: "Extras/Internetoptionen/Allgemein". Den Button "Cookies löschen" drücken. Dies löscht allerdings nicht die Cookies in "{C:}\Windows\Cookies" sondern in "{C:}\Windows\Tempoary Internet Files". Die Cookies in "{C:}\Windows\Cookies" müssen also wie beim IE5 von Hand gelöscht werden.

Einige Homepages funktionieren dann nicht mehr richtig. Aber man wird durch die Internetseite darüber aufgeklärt.

Java und JavaScript, VBScript, ActiveX

Mittels Java, JavaScript (bei Internet Explorer JScript), VBScript und ActiveX (nur Internet Explorer) werden den Browsern aktive dynamische Techniken zur Verfügung gestellt. So wie das Menüsystem dieser Homepage mit JavaScript durch auf- oder zuklappen der Ordner einen dynamischen und somit übersichtlichen Touch erhält. Alle Techniken haben mehr oder weniger große Sicherheitsprobleme. Java und JavaScript sollten normalerweise keinen Zugriff auf die Festplatte haben. Aber Hackern gelingt es immer wieder, Sicherheitslöcher aufzutun und Informationen von Deinem Rechner abzurufen oder sie installieren Viren oder führen andere schädliche Aktionen aus.

ActiveX bedeutet, es werden Systemkomponenten aus dem Internet auf Deinen Computer heruntergeladen. Diese Komponenten sollten auf jeden Fall signiert sein. Aber selbst dann ist nicht mit 100%iger Sicherheit gesagt, das die Komponente nicht doch eine schadhafte Funktion ausführt. Meine persönliche Meinung: Finger weg von ActiveX.

VBScript kann grundsätzlich auf die Festplatte zugreifen, besonders in Verbindung mit dem Windows Scripting Host. Siehe dazu Thema Email. Es ist somit die schwächste Variante.

Mein Tipp: Alles abschalten, was nicht unbedingt benötigt wird. JavaScript wird von den meisten Anwendern aktiviert gelassen. Es scheint auch am sichersten zu sein.

Um Sicherheitslöcher zu vermeiden, sollten daher immer die neuesten Programmversionen der Browser installiert werden. Zusätzlich, wenn mal wieder ein Sicherheitsloch [1],[2] aufgedeckt wurde, gibt es von den Herstellern Sicherheitsupdates die von den Seiten von Netscape und Microsoft gedownloadet und installiert werden sollten.

Unter folgender Internetadresse kann man seinen Browser daraufhin überprüfen lassen wie sicher er ist: Datenschutzbeauftragter des Schweizer Kantons Zürich.

Um nun die Einstellungen für das Active Scripting zu verändern:

Unter Netscape ist die Sache mal wieder einfach. Die Einstellungen sind für alle Internetseiten gleich. Unter "Bearbeiten/Einstellungen/Erweitert" kann man Java und JavaScript deaktivieren. JavaScript für Email ist auch nicht besonders sinnvoll. Man will ja über Email schnell Informationen mit anderen Personen austauschen und nicht igendwelche Animationen ausführen lassen, die nur Zeit kosten und nur einen geringen Nutzwert besitzen.

Der Internet Explorer besitzt dagegen ein Zonenmodell. Das bedeutet, daß für das Internet, das Intranet (lokal), für vertrauenwürdige Sites und für eingeschränkte Sites verschiedene Sicherheitsstufen gelten die auch vom Benutzer selber noch angepasst werden können. Das sollte man auch machen, denn egal welche Sicherheitsstufe Du wählst, Cookies werden in allen Stufen akzeptiert ! Bei IE6 hat sich das geändert, Cookies sind deaktiviert. Zu sehen auf der Registerkarte "Datenschutz". Vertraut man einer Internetseite, so kann man die URL den "Vertrauenswürdigen Sites" hinzufügen. Im Gegensatz dazu fügt man alle URLs von Internetseiten, denen man auf keinen Fall vertraut, den "Eingeschränkten Sites" hinzu. Um die Sicherheitsstufen anzupassen wähle "Extras/Internetoptionen/Sicherheit". Wähle die Zone aus, z.B. "Internet" und klicke auf den Button "Stufe anpassen". Klicke Dich durch die Liste und deaktiviere alles, was Du nicht ausführen willst. JavaScript (JScript) und VBScript sind dabei als "Scripting" zusammengefasst und lassen sich nicht seperat abstellen.

Autovervollständigen - Gefahr bei mehreren Benutzern an einem Computer

Betrifft nur den Internet Explorer 4 und den Netscape Communicator ab Version 6.

Wenn mehrere Personen an einem Computer arbeiten, sollte unbedingt die Autovervollständigen-Option im IE und NC abgeschaltet sein. Denn wenn Du vorher Dein Passwort in ein Formular eingegeben hast, kann eine nachfolgende Person ebenfalls das Passwort automatisch vervollständigen, wenn er das erste Zeichen richtig eingibt. Und das ist durch Probieren sehr schnell geschafft.

	Über "Extras/Internetoptionen/Inhalt/Autovervollständigen" ist dieser Dialog erreichbar. Wo man schon einmal dabei ist, sollte man auch gleich die Buttons "Formulare löschen" und "Kennwörter löschen" betätigen. Denn was nicht auf der Festplatte ist, kann auch niemand herausfinden.
	Das gleiche gilt auch für den NC ab Version 6. Über "Bearbeiten/Einstellungen/Privatsphäre und Sicherheit" kann die Autovervollständigung von Formularen und Kennwörtern abgeschaltet werden. Auch hier sollte man die schon gespeicherten Daten löschen. Dazu siehe auch "Aufgaben/Privatsphäre und Sicherheit".

Plug-In's

Plug-In's sind Hilfsprogramme, welche die Browser mit Zusatzfunktionen fremder Anbieter ausstatten. Die bekanntesten sind wohl Adobe Acrobat Reader, Flash, Shockwave, Winamp und noch sehr viele andere. Auch hier gilt: Finger weg von unbekannten Plug-Ins. Unbekannte Plug-Ins können ebenfalls schadhafte Funktionen auf dem Computer ausführen.
Auch ist darauf zu achten, daß man auf Internetseiten keine Links ausführt, welche ausführbare Programme (z.B. EXE) starten, bzw. sollten Warnhinweise, ob die Datei ausgeführt oder auf der Festplatte gespeichert wird, erscheinen. Dies erreicht man, wenn man in den unten aufgeführten Dialogen die Warnhinweise für jedes Plug-In aktiviert, welches man für unsicher hält.

Eine Übersicht über die installierten Plug-Ins liefern folgende Dialoge:

Netscape: "Bearbeiten/Einstellungen/Navigator/Anwendungen"

Internet Explorer: Anzeige und Bearbeitung nicht möglich. Allerdings gibt es bei einer Downloadanforderung einen Warnhinweis.

Immer "Speichern" auswählen und die Dateien zuerst mit einem Virenscanner überprüfen !

Übrigens: wer sein Surfverhalten vor fremden Augen schützen will, sollte die Historys löschen. Diese speichern alle Links die besucht wurden und gehen niemanden etwas an.

Netscape: "Bearbeiten/Einstellungen/Navigator". Buttons "History löschen" und "Adressleiste löschen" betätigen. Und für den Festplattencache: "Bearbeiten/Einstellungen/Erweitert/Cache".

IE: "Extras/Internetoptionen/Allgemein". "Temporäre Internetdateien" und "Verlauf".

Unsichtbar - Anonym im Internet surfen

Wenn man sich über seinen Provider am Internet anmeldet, werden sämtliche Webadressen die nun angesurft werden, aufgezeichnet. Das nennt man nun einen gläsernen Surfer. Wer solche Spuren nicht im Internet hinterlassen will, sollte einen Anonymizer anwählen. Dort gibst Du die URL der Homepage ein, die Du dir anschauen willst. Der Provider sieht nur die Adresse des Anonymizers aber nicht die Adresse der Webseite. Das gilt natürlich auch für alle anderen Server im Internet. Sie "sehen" nur die Adresse des Anonymizers. Allerdings gibt es keine 100%ige Anonymität im Internet. Profis finden fast alles heraus.

Abb.: Lycos.de über einen Anonymizer angewählt.

Der wohl bekannteste Anonymizer ist, kaum zu glauben, Anonymizer.com. Die frei verfügbare und kostenlose Version hat allerdings einen entscheidenden Nachteil. Sie stellt keine Internetseiten mit Frames dar. Wer dieses Feature haben will, muß sich kostenpflichtig anmelden und bekommt auch nicht mehr den Werbebanner aus obiger Grafik zu sehen.

Email ist eine feine Sache und wird immer beliebter. Schnelle Zustellung von Informationen und Daten. Schnelle Beantwortung, meistens zumindest. Aber man sollte sich im klaren darüber sein, daß man nun direkt angegriffen werden kann.

Grundsätzlich gilt: Jede Email ist sicher, solange keine angehängten Dateien ausgeführt werden ! Dateianhänge zuerst, wenn überhaupt, auf der Festplatte speichern und mit einem Virenscanner überprüfen !
Keine Regel ohne Ausnahme. Die Ausnahme stellen HTML-formatierte Emails dar. Auch sie können ausführbaren JS-Code enthalten. Daher JavaScript für HTML-Emails deaktivieren (unter Netscape: "Bearbeiten/Einstellungen/Erweitert" "JavaScript für Mail und Diskussionsforen".). Selbst, wenn HTML-Emails keinen JS-Code enthalten, so können sie Grafiken enthalten (es reicht 1 * 1 Pixel), die eine Rücksprungadresse enthalten. So erfährt der Angreifer, ob eine Email-Adresse überhaupt existiert.

Tipp: Wer in seinem Mailprogramm eine eingegangene Email anklickt, bekommt gleich den Inhalt angezeigt. Wie oben beschrieben wird somit eventuell enthaltener HTML- oder JS-Code ausgeführt. Wenn ihr Provider die Option erlaubt, können sie nur die Kopfzeilen (Betreff) der Emails herunterladen und erst dann entscheiden, welche Inhalte sie auf ihren Computer laden wollen. Unter Netscape stellen sie diese Option unter "Bearbeiten/Einstellungen/Mail & Diskussionsforen/Mail-Server" ein. Makieren sie den Eintrag in der Liste für eingehende Mail und klicken sie den Button Bearbeiten. Auf dem Register POP aktivieren sie die Option "Nachrichten auf dem Server belassen".

Tipp: Bei Anwendern, dessen Provider diese Option nicht unterstützt, besteht meist die Möglichkeit sich einen weltweiten Mailaccount über einen Browser einzurichten. Bei T-Online ist es Webmail (nur für T-Online Kunden). Unbedingt darauf achten, das Emails beim anklicken nicht gleich geöffnet werden und die Verbindung über https (sichere Verbindung) läuft !

Spam-Mail

Man bekommt immer wieder Emails von Pornoseitenanbietern oder andere Werbung. Genau hier liegt die Gefahr, daß man sich Trojaner oder Viren einfängt, die z.B. die Standardverbindung des DFÜ-Netzwerkes auf eine 0190er-Nummer ändert. Wie schon weiter oben beschrieben.

Hinweis ! Windows-Nachrichtendienst ausschalten und Werbemailversender aussperren. Siehe hier...

Es gilt: Rufe nie einen Link auf, der Dir anonym zugeht. Antworte nicht darauf, einfach ignorieren. Dein Gegenüber weiß sonst, daß Du erreichbar bist. Lässt der Inhalt der Email eindeutig auf einen illegalen Inhalt schließen, so kann man auch die bayerische Polizei darüber informieren. Ansonsten Email löschen und nicht vergessen auch den Papierkorb (Trash) danach zu leeren.

Tipp: Nimmt die Spam-Mail überhand, können Nachrichtenfilter in den Mail-Programmen definiert werden, die bei Mails mit bekanntem Absender, oder bestimmten Wörtern wie "sex", "money" oder "kostenlos" in der Betreffzeile, die Mail automatisch löschen.

Bei Dateianhängen, besonders vbs, js, reg, bat, doc, xls, exe und anderen ausführbaren Programmen und Skripten gilt: Dateien zuerst mit einem Virenscanner überprüfen. Bitte daran denken, daß auch die aktuellsten Virenscanner nicht die neuesten Viren kennen. Die Virenprogrammierer sind immer einen Schritt voraus. Programmierer von Virenscannern können nur reagieren, wenn ein neuer Virus aufgetaucht ist.

Tipp: Benutze einen anderen Mail-Client als Outlook. Denn die meisten Virenprogrammierer haben sich auf das Programm eingeschossen, weil es so oft benutzt wird. Viren wie Melissa, Iloveyou oder Sircam haben das Adressverzeichnis von Outlook, zur massenweisen Verteilung des Virus im Internet, genutzt.

Homepagebetreiber "verschlüsseln" ihre Emailadresse

Damit Spam-Mail Versender ihre Werbebotschaften verschicken können, benötigen sie Emailadressen. Diese bekommen sie besonders leicht indem sie mit sogenannten Robots die Homepages, vorwiegend privater Betreiber, im Internet